Strategie aziendali per una sicurezza "idonea"

A partire dal 1° gennaio 2001 sono diventate definitivamente obbligatorie per tutti i titolari dei trattamenti di dati personali le misure che il d.P.R. 318/1999 impone per la sicurezza dei dati stessi, alla luce dei criteri e delle modalità fissate dalla l. 675/1996.

Il termine appena indicato è stato così fissato in virtù della l. 325/2000, che a suo tempo concesse una proroga alle aziende ed agli enti pubblici che non fossero ancora in regola, a causa di particolari esigenze tecnico-organizzative.

Attualmente, dunque, anche per le aziende e gli enti pubblici che hanno fruito di quella proroga, l’obbligo è vigente.

Le misure da adottare sono quelle MINIME descritte dal decreto, la cui mancata attuazione determina una responsabilità di tipo penale: arresto fino a due anni o ammenda da dieci a ottanta milioni delle vecchie lire.

A prima vista sembrerebbe che i problemi per le aziende finiscano qui: adottando le precauzioni, tutto sommato banali, imposte dal decreto, si evita di essere incriminati per il reato di mancata adozione delle misure di sicurezza.

Oltretutto, le recenti modifiche apportate dal d.lgs. 467/2001hanno introdotto una procedura che già è stata definita di "ravvedimento operoso", in quanto il titolare inadempiente potrà usufruire di un termine, non superiore a sei mesi, per la regolarizzazione della propria posizione.

In realtà, i problemi principali sono, a questo punto, in gran parte ancora da risolvere.

La l. 675/1996, infatti, prevede anche, oltre alle misure minime, l’adozione di misure IDONEE a ridurre al minimo i rischi di distruzione o perdita anche accidentale dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.

La scelta va fatta sulla base delle conoscenze fornite dal progresso tecnico, della natura dei dati e delle specifiche caratteristiche del trattamento.

Appare evidente, dunque, che il concetto di misura idonea è, in primo luogo, differente da realtà a realtà: perciò è impossibile individuarle, genericamente, per tutte le aziende e gli enti pubblici. In secondo luogo, lo stesso concetto ha caratteristiche di estrema dinamicità e mutevolezza, essendo strettamente collegato all’evoluzione delle tecnologie di sicurezza.

La tematica della sicurezza in generale e delle misure idonee in particolare dovrebbero avere un ruolo di primo piano nell’ambito delle politiche dell’azienda, poiché, se è vero che dalla mancata adozione di questo tipo di precauzioni non deriva una responsabilità di tipo penale, è però bene tenere presente che permane in capo al titolare una responsabilità di tipo civilistico nel caso in cui si cagionino danni agli interessati.

In particolare, il legislatore ha voluto applicare al trattamento dei dati personali il regime probatorio previsto per le attività pericolose, che impone a chi gestisce l’attività, ai sensi dell’art. 2050 cod. civ., di fornire la prova di avere adottato tutte le misure idonee ad evitare il danno.

Di fatto, si determina un’inversione dell’onere della prova rispetto alle regole normalmente vigenti nel codice civile, in virtù di una presunzione di responsabilità a carico dell’esercente l’attività pericolosa.

A ciò si aggiunga che il legislatore ha espressamente previsto anche la risarcibilità del danno morale, normalmente risarcibile nel nostro ordinamento solo nelle ipotesi di commissione di reati.

Sembra a questo punto sufficientemente chiaro come la mancata adozione di misure idonee possa avere serie conseguenze sul bilancio aziendale e quanto sia perciò importante studiare un’adeguata politica per la sicurezza.

Relativamente alla tematica della sicurezza, i problemi per le aziende potrebbero essere, dal punto di vista organizzativo, quelli di reagire a sollecitazioni di almeno tre tipi:

• Rispondere alle richieste del Garante;
• Rispondere alle richieste dell’interessato ex. art. 13 della legge 675/1996;
• Dimostrare in un eventuale giudizio civile la mancanza di una propria responsabilità.

In tutti e tre i casi, è essenziale avere chiara la situazione organizzativa dell’azienda, perché in mancanza di una pronta risposta, le conseguenze potrebbero essere:

• Approfondimenti di investigazioni ed eventuali aperture di procedimenti;
• L’interessato potrebbe rivolgersi all’Autorità Giudiziaria o al Garante per far valere i propri diritti (le richieste degli interessati devono essere soddisfatte entro cinque giorni);
• Incapacità di fornire la prova di aver adottato tutte le misure idonee ad evitare il danno e, conseguentemente, condanna al risarcimento.

Di fatto, il legislatore impone alle aziende di scegliere il meglio sul mercato e di dotarsi di un’organizzazione in grado di gestire tutti gli aspetti legati a privacy e sicurezza.

L’ideale, da questo punto di vista, potrebbe essere per le imprese medio-grandi la nomina di un "Gruppo privacy" o di un "Gruppo sicurezza" in grado di svolgere i controlli e gli adempimenti quotidiani che la normativa impone.

Certo è che le piccole imprese sono, spesso, evidentemente non in grado di dedicare a queste problematiche risorse economiche, professionali e logiche sufficienti.

Al contrario, le aziende di grandi dimensioni hanno problemi di tipo organizzativo, poiché spesso le banche dati sono numerose, gestite in modo indipendente, magari con dati la cui titolarità appartiene ad un’altra azienda a causa di servizi offerti o ricevuti in outsourcing.

Ognuno di questi aspetti dovrà essere tenuto nella dovuta considerazione.

L’unico modo per cercare di risolvere al meglio questo tipo di problemi, tenendo sempre presente che le scelte in materia non sono mai definitive e non rappresentano perciò mai una soluzione, consiste nel dedicarvi costantemente un certo numero di ore di lavoro, da quantificare anche in base alla considerazione che, oltre all’attività di pianificazione e adozione delle misure, è necessario svolgere costantemente la manutenzione e le verifiche periodiche.

Il primo passo consiste senza dubbio nell’esaminare la legge sulla privacy ed accertarsi che si è fatto quanto necessario, compresa l’adozione delle misure minime di cui al d.P.R. 318/1999. Esaminato questo aspetto — regolarità delle informative, raccolta dei consensi, nomine degli incaricati e dei responsabili, notifiche al Garante — si è già a buon punto.

Sarà opportuno, in questa fase delle operazioni, se non si è già provveduto, dare istruzioni precise e dettagliate agli incaricati; assegnare ambito d’azione e compiti ben definiti — sempre per iscritto — ai responsabili.

Sarà bene fissare quanto più dettagliatamente possibile questi aspetti, insieme alle responsabilità di ciascuno.

Fondamentale sarà, in secondo luogo, un’adeguata formazione e sensibilizzazione del personale, tramite corsi, mansionari, formazione di formatori, circolari interne: qualsiasi misura di sicurezza si rivelerà inutile se il dipendente autorizzato al trattamento lascia il computer acceso con la schermata dei dati in vista durante la pausa pranzo.

La formazione degli incaricati è uno degli aspetti imposti dal d.P.R. 318/1999, pur se in via secondaria: il documento programmatico sulla sicurezza, infatti, che rappresenta una misura minima a determinate condizioni, impone la redazione di un piano di formazione per gli incaricati, la cui revisione dovrà essere annuale, insieme a quella del documento programmatico.

A prescindere dalla vincolatività dell’obbligo, sarà bene ricordare, nell’ottica, appunto, di una sicurezza "idonea", che la sicurezza é un investimento per l’impresa, oltre che una spesa, a fronte degli eventuali oneri che potrebbero scaturire da un atteggiamento disattento e superficiale.

La sicurezza, infatti, rappresenta il giusto equilibrio tra i costi delle misure di sicurezza ed i costi dei danni scaturiti dal verificarsi dell’evento dannoso.

Proprio come spiegato per la formazione, sarà opportuno investire quanto più possibile per il bilancio aziendale nella creazione di un programma sulla sicurezza, simile a quel documento programmatico sulla sicurezza imposto dal d.P.R. 318/1999 alle aziende che svolgono trattamenti di dati sensibili su elaboratori accessibili mediante rete disponibile al pubblico; questo tipo di programmazione sarà fondamentale per affrontare razionalmente le problematiche illustrate.

L’attività di sviluppo della sicurezza consisterà in un primo momento nell’ANALISI DEI RISCHI, comprensiva di:

• CATALOGAZIONE SPECIFICA DEI BENI DA PROTEGGERE, in cui rientreranno risorse hardware e software, banche dati, tipologia dei dati, modalità del trattamento e persino risorse professionali (che possono essere oggetto, ma anche fonte di minaccia);
• CATALOGAZIONE DELLE MINACCE per ogni singolo bene individuato;
• INDIVIDUAZIONE DELL’ESPOSIZIONE A RISCHIO.

Sulla base di questa prima fase di analisi, sarà possibile passare a quella successiva dell’INDIVIDUAZIONE DELLE CONTROMISURE DA ADOTTARE, considerando gli aspetti di:

1. SICUREZZA FISICA;
2. SICUREZZA LOGICA;
3. SICURZZA ORGANIZZATIVA.

Si potrà scegliere a questo punto, per ogni singolo rischio individuato, se ABBATTERLO (o, meglio, ridurlo), sopportarlo in proprio, trasferirlo in via contrattuale o non contrattuale.

Adottate le misure, sarà opportuno premunirsi dinanzi al verificarsi di un evento dannoso predisponendo un piano operativo contenente i compiti, le mansioni, le responsabilità di ogni dipendente. In questo piano, saranno previsti sia i compiti in situazioni normali, sia nelle situazione straordinarie di emergenza determinate dall’evento dannoso temuto.

In pratica, bisogna decidere dettagliatamente CHI FA COSA in entrambe le ipotesi.

Opportunamente, si predisporrà un piano serio e accurato per effettuare le operazioni di back-up, custodendo i supporti contenenti le copie in luoghi sicuri; si doteranno gli impianti hardware di sistemi RAID.

Obiettivo primario, infatti, è fare in modo di recuperare le informazioni allo stato in cui erano prima che l’evento si verificasse.

Sicurezza, infatti, è:

1. EVITARE IL DANNO;
2. VERIFICATOSI IL DANNO, LIMITARNE LE CONSEGUENZE.

Sarà poi il caso di predisporre anche un piano d’intervento in caso di calamità naturali con un vero e proprio IT Disaster Recovery, in modo da garantire, eventualmente, continuità ai servizi forniti.

Perché tutti questi obiettivi possano essere centrati, anche il sistema di controlli dovrà essere ben organizzato e strutturato in modo che i responsabili siano soggetti differenti e autonomi rispetto alla gestione dell’esercizio, cosicché si possano garantire verifiche adeguate sull’operato del team di gestione.

Questo tipo di divisione dei compiti, che rappresenta l’optimum dal punto di vista organizzativo, sarà possibile solo in casi particolari di aziende o enti di dimensioni molto grandi.

Il monitoraggio degli Activity log file, tramite cui risalire all’autore delle operazioni, dovrà essere assicurato dalla disponibilità costante dei files stessi; il programma dei test di verifica dovrà essere adeguato e tale valutazione dipenderà da una seria ed accurata analisi dei rischi da cui bisogna difendere le risorse possedute.

I controlli potranno essere basati su un programma di monitoraggio costante svolto dai responsabili della sicurezza, nonché su verifiche saltuarie (e non preannunciate) sull’efficacia delle misure e delle disposizioni organizzative;

Infine, sarà opportuno affidarsi, periodicamente, ad un’azienda che si occupi del monitoraggio dello stato di attuazione delle misure, al fine di appurare l’effettivo livello di sicurezza del sistema informativo aziendale.

Roma, marzo 2002