Il Codice della Privacy si presenta come l’opportunità più ghiotta per il mercato It dai tempi dell’Anno 2000 Vademecum per distinguersi dalla massa e fornire un vero servizio orientato alla sicurezza informatica
Settembre 2004 Forse ha ragione il presidente di Assintel, Ignazio Rusconi Clerici, quando, nell’introdurre l’ennesimo convegno a tema, afferma: «Il Codice della Privacy è servito soprattutto a incrementare la schiera di consulenti, legali e no». Tra gli operatori Ict se ne parla da più di un anno. Negli incontri in cui siamo stati in questi ultimi mesi, tutti i fornitori o i partner di canale hanno rivisto la propria offerta in ottica “Codice della Privacy”. Per non considerare i numerosi incontri a tema, in cui avvocati, consulenti e rappresentanti del Garante della Privacy si sono divisi la platea per cercare di fare luce sui vari aspetti del pur completo Testo Unico.
L’impressione unanime è che “il legislatore”, come viene chiamato genericamente chi ci governa, abbia, tutto sommato, fatto un buon lavoro. Il Testo Unico è sufficientemente chiaro, vista la vastità e la genericità dell’argomento, ed è scritto con buona competenza tecnica. Ciononostante, è necessario uno studio accurato per comprenderne l’applicazione corretta e l’eventuale proposizione al cliente. Il Codice della Privacy rappresenta, infatti, l’opportunità più ghiotta per i fornitori Ict dai tempi dell’Anno 2000. È un’opportunità piena di sfumature, perché coinvolge tutti gli ambiti del settore, dal software all’hardware ai servizi di consulenza, dal mercato dello storage a quello della sicurezza e si rivolge a tutta la clientela aziendale, indipendentemente dal settore merceologico. Inoltre, il Testo Unico prevede la figura del “responsabile dei dati personali” per conto del titolare, l’azienda che li tratta e che li custodisce fisicamente, e la Legge non vieta che il responsabile possa essere una società esterna. Un attento fornitore di tecnologie, quindi, ha tutte le carte in regola per proporsi come responsabile dei dati per conto di un titolare, creandosi così un nuovo business intorno a questo servizio di “outsourcing virtuale”.
Un primo importante test arriverà a Natale
Il Testo Unico sulla privacy è entrato in vigore il primo gennaio del 2004, e il primo banco di prova della sua applicazione doveva essere il 30 giugno, data di scadenza per la presentazione del Documento programmatico sulla sicurezza da parte delle aziende che trattano dati personali con strumenti elettronici (praticamente tutte). A ridosso della scadenza, precisamente il 22 giugno, il Consiglio dei ministri ha finalmente recepito le indicazioni del ministro della Giustizia che, pressato da ogni parte, chiedeva una proroga. Il rinvio era ipotizzato da tutti, visto che sia il ministero competente che il Garante della Privacy e gli stessi media specializzati, come Il Sole 24 Ore, hanno iniziato a occuparsi della faccenda con grande ritardo. La proroga è arrivata e non è roba da poco. La presentazione del Documento programmatico sulla sicurezza dovrà avvenire entro il 31 dicembre del 2004 e, di conseguenza, l’eventuale adeguamento alle normative da parte delle aziende, previsto inizialmente per il primo gennaio del 2005, slitta al 31 marzo 2005.
Il documento richiesto non è altro che una dichiarazione da parte dell’azienda del possesso di dati personali, della descrizione dei modi e degli strumenti informatici utilizzati per la custodia e la tutela. Questa prima scadenza è sicuramente un esperimento operativo per tutti, per “il legislatore”, per il Garante della Privacy, che secondo il Codice ha un ruolo fondamentale nella gestione del tutto, per i consulenti e per le aziende. Secondo la legge, l’azienda che non lo presenta, o che non si adegua alle direttive, incorre in sanzioni penali e pesanti multe, previa la necessaria verifica da parte della Guardia di Finanza. Parliamo di multe da 3mila a 30mila euro (in certi casi triplicabili) e della reclusione da 6 mesi a 3 anni per i casi più gravi, anche se pagando la multa e regolarizzandosi entro sei mesi si evita la sanzione penale. In contemporanea con la presentazione del documento, le aziende potranno lavorare all’adeguamento delle strutture per raggiungere serenamente la scadenza del marzo 2005.
Con le date originali, queste due scadenze sancivano una differenza involontaria tra i tipi di fornitori Ict coinvolti. Con le nuove date gli operatori si troveranno a lavorare insieme. Inizialmente ci sarà spazio per i consulenti o i fornitori di software, successivamente accompagnati dai fornitori di hardware di storage e di sicurezza, con i loro relativi partner.
In prima battuta largo ai consulenti
La prima fase, già in corso da mesi, è finalizzata essenzialmente alla comprensione delle richieste della Legge e alla corretta interpretazione. Successivamente si lavorerà, se non lo si sta già facendo, alla realizzazione del fatidico documento programmatico che rappresenta una base di partenza imprescindibile. Il documento, infatti, è una sorta di carta d’identità della struttura dei dati personali presenti in un’azienda e deve essere rinnovato periodicamente. La sua redazione o l’aggiornamento devono essere, addirittura, citati nella relazione consuntiva del bilancio d’esercizio, per quelle aziende obbligate a presentarlo. Il fatto che tutta la documentazione relativa ai dati personali trattati debba essere sempre disponibile e aggiornata si trasforma in una prima opportunità per gli operatori. È consigliabile, infatti, che le aziende integrino all’interno del proprio Erp i dati richiesti o almeno che il sistema informativo sia in grado di estrapolarli nel formato e nei tempi richiesti. Largo, dunque, agli sviluppatori o ai fornitori di software gestionale.
Messa a posto l’infrastruttura software è necessario pensare all’hardware, in vista della scadenza del gennaio 2005.
Spazio ai fornitori di ferro
In questo ambito rientrano le opportunità di chi vende storage, sicurezza e infrastrutture di rete. La Legge, infatti, richiede espressamente che i dati siano “protetti contro il rischio di intrusione e dell’azione di programmi atti a questo scopo”. Questo significa reti informatiche protette da firewall e antivirus “da aggiornare con cadenza almeno semestrale”. Secondo l’Allegato B (disciplinare tecnico in materia di misure minime di sicurezza) deve essere implementata una specifica procedura di autenticazione per l’accesso ai dati da parte degli incaricati. Ciò significa gestione automatizzata delle password d’accesso, con aggiornamento almeno semestrale. Potrebbe essere la volta buona per proporre una Vpn (Virtual private network) al cliente. A questo proposito, a dimostrazione di quanto, dal punto di vista tecnico, la Legge sia attuale e competente, tra le misure per l’accesso sicuro sono state considerate anche le tecniche basate sulla biometria. Per quanto riguarda l’archiviazione, e qui entrano in gioco i fornitori di storage, si parla espressamente di supporti removibili per il back up. La Legge chiede la distruzione dei dati non utilizzati e il ripristino degli stessi in caso di danneggiamento in un tempo massimo di sette giorni. Insomma, c’è abbastanza carne al fuoco per rendere appetitoso il business Ict nell’immediato futuro, ma soprattutto per un’attività di consulenza e di assistenza che si sviluppi più a lungo nel tempo.
