Le ricadute legali della gestione della protezione di dati e informazioni in azienda sono molteplici. Occorre individuare alcune figure specifiche, preposte a gestire questa complessa materia
Le implicazioni legali della gestione della sicurezza in azienda sono diverse.
È compito di un Cso essere costantemente aggiornato in merito ai riflessi delle diverse normative applicate, ad esempio, alla tutela della privacy, a quella del copyright sulla proprietà intellettuale o, più semplicemente, a quelle del trattamento dei dati personali. «Al fine di gestire in modo efficace i rischi informatici sotto il profilo legale, occorre tenere sotto controllo tre elementi – esordisce Gabriele Faggioli, legale dello Studio Tamburrini & Savi Associati – . Anzitutto, il corretto adempimento delle norme, siano esse volontarie o cogenti. Ancora, la corretta stesura dei contratti; infine, la verifica nel tempo del rispetto delle normative, anche alla luce di eventuali evoluzioni della giurisprudenza, su tutti i documenti rilevanti». L’oggetto dell’attività di controllo interno deve necessariamente riguardare le licenze sui software installati. «L’abusiva duplicazione di un programma, infatti, non è solo un illecito civile, ma anche penale – mette in guardia Faggioli -. Attraverso l’attività di auditing, quindi, si dovrà verificare la legittimità di tutte le applicazioni presenti in azienda e delle relative licenze. Questi controlli dovrebbero, in linea di principio, essere svolti almeno una volta l’anno. La verifica delle applicazioni dovrebbe anche essere accompagnata da un controllo circa la sussistenza o meno, sui server e sui client, di materiale non lavorativo sottoposto a tutela dei diritti d’autore, quali film o canzoni». Ma anche i contratti con i fornitori di prodotti e servizi informatici dovrebbero essere oggetto delle attività di controllo interno, perché «molto spesso, nei contratti proposti dai fornitori – prosegue il legale -, le previsioni inerenti la sicurezza si risolvono in generiche indicazioni di principio o in astratti riferimenti alle norme di legge o, nel migliore dei casi, alla garanzia delle misure minime di protezione previste dall’allegato B del Dl 196/03 (si veda in proposito il grafico). Di fatto, si tratta di previsioni talmente generiche da risultare inutili o, alla meglio, troppo poco tutelanti. Occorre, invece, provvedere a stendere e verificare tutte le nomine a responsabile del trattamento esterno dei dati, controllando che i livelli di sicurezza che il fornitore si deve obbligare a rispettare siano effettivamente idonei, considerando i componenti affidati in outsourcing. Qualora siano previsti meccanismi disincentivanti quali le penali, sarà necessaria la verifica nel tempo del rispetto dei livelli di servizio previsti contrattualmente, al fine dell’eventuale attivazione di tutte le tutele legali e contrattuali azionabili». Attraverso l’attività di auditing occorrerà valutare la presenza o meno del Documento Programmatico di Sicurezza (si veda box), la sua adeguatezza e aggiornamento costante, tenuto conto, in particolare, dell’obbligo di revisione annuale, con scadenza a fine marzo di ciascun anno. «Ma in aggiunta a questo – conclude Andrea Reghelin, legale dello Studio Tamburrini & Savi Associati – sarà possibile valutare la correttezza e idoneità delle misure di protezione adottate e l’eventualità di un loro aggiornamento o adeguamento alle evoluzioni tecnologiche. Sotto questo ultimo aspetto, basta pensare che il Garante per la protezione dei dati personali ha emanato, negli ultimi anni, provvedimenti specifici, per esempio, in materia di Internet e posta elettronica, sistemi biometrici, Rfid e videosorveglianza. Una particolare attenzione durante le attività di auditing, poi, dovrà essere rivolta a tutti quei disciplinari che prevedono obblighi in capo ai lavoratori o indicazioni di comportamento imposte dal datore di lavoro. Occorrerà valutare l’adeguatezza delle regole imposte dall’azienda, la loro corretta diffusione presso i lavoratori e l’eventuale necessità di un confronto sindacale, in considerazione della natura dei controlli che l’azienda si è eventualmente riservata di poter compiere».
