Se la costruzione di un portale enterprise porta con sé molteplici aspetti attraenti, sia in termini di utilizzo pervasivo di informazioni, che in termini di risparmi di costi, non bisogna dimenticare che esistono disposizioni di legge da osservare in materia di trattamento di dati
Durante un recente convegno, Consiel, un’azienda
italiana di consulenza direzionale e di formazione, ha illustrato come
sempre più imprese, utilizzando la tecnologia Internet, stiano costruendo
ampie intranet utilizzate non solo per la consegna di documenti all’interno
di un’organizzazione, ma anche per collegare software, database e
hardware in una rete universale. Fra i principali vantaggi offerti alle
aziende vi è che le risorse in una intranet sono accessibili a chiunque e
ovunque, basta possedere un computer, un modem e una password; inoltre, i
dati complessi e le applicazioni possono essere usati all’interno della
intranet con molta facilità.
Si tratta di una premessa se vogliamo banale, ma
utile a comprendere come il quotidiano uso di una intranet sia in grado di
creare seri problemi di accesso diffuso ai dati personali, e come ogni
azienda debba oggi fare i conti quotidianamente con gli oneri imposti dalla
normativa sul trattamento di tali dati. Si è passati, infatti, da un
sistema informativo inteso come automazione di processi, dove i compiti
delle macchine erano meramente ripetitivi e il controllo veniva affidato al
fattore umano, a un sistema di elaborazione autonoma, che ha reso possibile
aggregare e disaggregare moli di dati.
Il problema che si è immediatamente
posto, riguarda sia i principi secondo cui stabilire i comportamenti minimi
dovuti da parte di chi tratta i dati, sia i minimi diritti di chi vede
trattare le proprie informazioni personali. A tutela della riservatezza
della privacy delle persone è intervenuta la legge 675 del 31 dicembre 1996,
la quale afferma che il trattamento dei dati avviene in modo legittimo e
corretto solo quando vengono rispettati i principi della finalità e
della correlatività, cosa che si traduce con la finalizzazione e la
pertinenza allo scopo per cui è stato fornito il dato da trattare. In
sostanza, la legge sulla privacy si prefigge di impedire che un archivio
informatizzato sia utilizzato per scopi diversi da quelli per cui è stato
creato, sanzionando severamente anche in sede penale, la diffusione indebita
delle informazioni. Quali sono, dunque, le incombenze a cui deve far fronte
un imprenditore che si accinga all’avvio di un’attività che comporti il
trattamento dei dati personali?
Portali e legge 675
La risposta
arriva da Mario Franzosi, docente della University of Washington e autore di
uno studio sull’ utilizzo indebito di informazioni riservate nell’uso di una
intranet. «La società – dice il docente – deve inviare le
notifiche previste al Garante, tenendo conto che esiste la possibilità di
nominare uno o più responsabili, diversi dal titolare, in grado di vigilare
sul corretto trattamento dei dati, nel qual caso la società è comunque
ritenuta responsabile, almeno per la scelta, il controllo e la progettazione
delle misure di sicurezza. La notificazione deve essere effettuata
preventivamente e una sola volta, a prescindere dal numero delle operazioni
da svolgere e dalla durata del trattamento, ma il titolare è tenuto a
effettuare una nuova notificazione nel caso mutino anche solo alcuni degli
elementi comunicati. La novità, rispetto al passato, consiste nel fatto
che la notifica non riguarda più i singoli archivi o banche dati, ma il
complesso delle attività di raccolta ed elaborazione d’informazioni. Di
regola, ciascuna azienda o ente può effettuare una sola dichiarazione, che
non è soggetta a limiti temporali e non va in genere rinnovata».
Per
quanto riguarda il consenso delle persone interessate, la legge è piuttosto
esplicita. «Il trattamento dei dati personali da parte di privati o enti
pubblici – dice ancora Franzosi – è ammesso solo con il consenso
dell’interessato, ed è considerato valido solo se espresso liberamente in
forma specifica e documentata per iscritto, previa informativa resa
all’interessato».
L’azienda, infatti, deve inviare a clienti, fornitori
e personale dipendente una informativa riguardo le finalità e le modalità
del trattamento dei dati, la natura obbligatoria o facoltativa del loro
conferimento e le conseguenze di un eventuale rifiuto di rispondere;
l’informativa deve comunicare anche i soggetti o le categorie di
soggetti ai quali i dati possono essere comunicati e l’ambito di
diffusione dei dati medesimi; non devono mancare il nome, la ragione
sociale, la residenza o la sede del titolare e, se designato, del
responsabile. Stabilito ciò, il legislatore ha previsto alcuni esoneri
al consenso, come nel caso il trattamento o il trasferimento all’estero dei
dati risulti funzionale alle condizioni contrattuali o precontrattuali,
oppure serva all’adempimento di obblighi legali, oppure ancora
nell’eventualità che i dati personali provengano da pubblici registri,
elenchi, atti o documenti consultabili da chiunque. Sono escluse dalle
eccezioni tutte le attività di outsourcing, la qual cosa comporta la
presenza del previo consenso per tutte le attività che una società delega ad
altre imprese. «Un escamotage – osserva Franzosi – potrebbe
essere rappresentato dalla nomina di tali società di outsourcing quali
responsabili e incaricati del trattamento dei dati, fermo restando gli
obblighi prima citati».
Privacy e sicurezza
Per quanto
riguarda la sicurezza dei dati, la legge considera il sistema sicuro quando
è in grado di garantire che ogni utente possa accedere esclusivamente alle
informazioni di sua competenza (confidenzialità), modificare solo
informazioni di sua competenza (integrità) e ogni azione intrapresa da
persone non autorizzate sia preventivamente bloccata. Le misure che la legge
chiede di adottare non sono quelle idonee a evitare il danno, ma quelle che
consentono di abbassare fino al livello minimo la soglia del rischio. Sono
dunque i responsabili dell’azienda a decidere gli interessi in gioco e a
stabilire cosa sia preferibile fra il costo dell’attivazione di tutte le
misure possibili e il costo potenziale derivante da una sicurezza
inadeguata.
Lo studio effettuato da Franzosi evidenzia come la maggior parte
delle aziende disponga di dati personali sensibili in banche dati di
rete: nel caso questa, anche per la sola connessione su linee dedicate,
debba utilizzare la rete pubblica, ecco che i dati sensibili diventano
“disponibili al pubblico” e quindi suscettibili di un uso scorretto.
Non
bisogna poi trascurare i rischi derivanti dal fattore umano, dai dipendenti
infedeli (secondo lo studio l’87% dei dipendenti insoddisfatti si
vendicherebbero della propria azienda cercando di sabotare i sistemi
aziendali) e dei danni da virus.
Appare evidente, dunque, come sia
preferibile per le società dotarsi, a fini precauzionali, di un sistema
omogeneo di sicurezza che rispetti le misure più restrittive. A questo
proposito è importante sottolineare come la norma ponga a carico del gestore
della banca dati ogni conseguenza dei danni provocati a terzi, se non prova
di aver adottato le misure idonee a evitare il danno, o che lo stesso
danno sia conseguenza di un caso fortuito o di forza
maggiore.
