Cibersicurezza_1

Modelli 231 e Cibersicurezza: esigenze aziendali e requisiti normativi

04 October 2019

di Costanza MATTEUZZI e Aldo PEDICO

Rimanendo nell’ambito organizzativo aziendale, sino ad oggi, abbiamo associato la canonica definizione di Qualità ai processi interni sino ad arrivare alla loro certificazione (ad esempio: ISO 9001).

Con l’evoluzione tecnologica ed i rischi che ne derivano, da una parte, e l’emanazione delle recenti leggi europee, dall’altra, la definizione di Sistema Qualità necessita di una revisione:

  • concettuale (mentalità),
  • metodologica (procedure),
  • tecnologica (prodotti) e,
  • tecnica (attività o modi di intervento).

Tale revisione impone l’adeguamento, di tutto o in parte, dell’attuale modo di approcciare ai sistemi di trattamento delle informazioni personali e aziendali, ottenendo un adeguamento alle attuali e sempre più complesse esigenze.

Gli autori hanno intrapreso la scrittura di questo articolo per illustrare la loro idea di coniare una nuova definizione di Sistema Qualità. Di seguito, gli autori hanno voluto, tramite l’illustrazione e l’applicabilità dei nuovi concetti, dare una dimostrazione della loro nuova asserzione.

Tale asserzione, come descritto nei paragrafi successivi, arricchisce il Sistema Qualità del valore Cibersicurezza; a tale valore viene assegnata una posizione di assoluta e di primaria importanza, al punto tale da conferire un nuovo e più adeguato assioma: SISTEMA QUALITÀ CIBERSICUREZZA

INTRODUZIONE

L’Unione Europea manca del potere di legiferare in via diretta in materia penale. In questo ambito specifico in virtù di quanto stabilito dall’art. 25 della Costituzione che cristallizza il principio della riserva assoluta di legge il rapporto tra l’ordinamento interno e quello europeo, assume caratteri peculiari. Tuttavia il ruolo dell’Unione nell’ambito del diritto penale è tutt’altro che marginale, indicando la meritevolezza di beni giuridici da tutelare, ed altresì, palesando la necessità dell’applicazione di pene in caso di lesione dei primi, tendendo alla armonizzazione degli ordinamenti tra ciascuno Stato Membro e tra fonti del diritto europeo e interno. Pertanto non stupisce che vi siano delle integrazioni strutturali delle norme incriminatrici tali da ampliare o meno la portata del penalmente rilevante, oppure uno sforzo interpretativo delle norme vigenti in modo conforme al diritto comunitario. In buona sostanza ciò conferma come l’ordinamento interno debba essere ispirato dall’Unione al raggiungimento di obiettivi comuni, eguali per tutti gli Stati.

ESIGENZE AZIENDALI E PERSONALI

Per rispondere alle sfide globali e fronteggiare in modo adeguato il terrorismo, la criminalità organizzata ed attacchi di ordine generale sin dal 2009, la Commissione Europea ha sentito la necessità di rivedere il complesso normativo e di adottare delle nuove best practice in materia di sicurezza, combinando quest’ultima con lo scambio di informazioni e con la coerenza di dati condivisi. Pertanto l’adozione di uno strumento giuridico che ha lo scopo di responsabilizzare chi tratta i dati di un altro soggetto non deve stupire. Il GDPR è infatti una delle espressioni pratiche del Piano di azione per l’attuazione del Programma di Stoccolma, le cui finalità sono state riportate dalla Comunicazione della Commissione al Parlamento Europeo e al Consiglio il 29 aprile 2010.

L’intento principale dell’azione dell’Unione in questo settore per i prossimi anni è “portare avanti l’Europa dei cittadini” dando loro i mezzi per esercitare i diritti e trarre pieno beneficio dall’integrazione europea. (…) Obiettivo del presente piano d’azione è realizzare queste priorità a livello europeo e globale, garantendo ai cittadini i vantaggi che derivano dai progressi compiuti nello spazio di libertà, sicurezza e giustizia, in modo che l’Unione possa guardare al futuro e dare una risposta chiara e adeguata alle sfide europee e globali.

In particolare vengono messi in evidenza nell’Allegato, nella sezione – Gestione del flusso delle Informazioni – alla Comunicazione alcune azioni fondamentali:

  • Comunicazione relativa alla situazione generale della raccolta e dello scambio di informazioni;
  • Proposta legislativa relativa a un metodo comune dell’UE per l’impiego dei dati del codice di prenotazione (dati PNR) a fini di contrasto;
  • Comunicazione sul trasferimento a paesi terzi dei dati;
  • Relazione di valutazione sull’applicazione della direttiva 2006/24/CE sulla conservazione dei dati, seguita se necessario da una proposta di revisione;
  • Comunicazione sul modello europeo di scambio delle informazioni, seguita da un piano
    d’azione;
  • Comunicazione su una maggiore tracciabilità degli utenti di servizi di comunicazione
    prepagati a fini di contrasto.

Ecco che l’Unione tende a predisporre un programma strategico per lo scambio d’informazioni che presuppone una visione d’insieme degli attuali sistemi di raccolta, trattamento e condivisione dei dati, che sia accompagnata da una valutazione approfondita della loro utilità, efficienza, efficacia, proporzionalità e dell’osservanza del diritto al rispetto della vita.

REQUISITI: LEGGI, NORME E STANDARD

Pertanto è in questa ottica che scaturiscono, oltre al Regolamento Europeo n. 679/2016 per la protezione delle persone fisiche con riguardo al trattamento dei dati personali, anche la Direttiva n. 2016/943/CE recepita nell’ordinamento italiano con il D.Lgs. N. 63/2018 che ha ad oggetto la tutela del know how riservato e le informazioni commerciali riservate (c.d. segreti commerciali); la Direttiva 2016/1148 (Direttiva NIS)(1) recepita con il D.Lgs. N. 65/2018 sulle misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione Europea.

Infine il Regolamento Europeo n. 1807/2018 che detta delle regole generali alla libera circolazione dei dati non personali nell’Unione Europea.

Proprio mediante l’analisi sintetica e di certo non esaustiva di queste norme è possibile pensare ad un’azienda come ad una unità che si prefigge l’obiettivo di sviluppo di sistemi di informazioni coerenti e completi, diretti ad un modello di qualità dell’intero asset aziendale.

IMPLICAZIONI

La vita di ogni persona è ormai intrisa dall’uso della tecnologia per il trattamento dei dati.

Sempre più di frequente anche in auto o in fila allo sportello si ha l’abitudine di inviare messaggi, mail e gestire dati personali ed aziendali. Questa prassi è sintomatica da un lato della agilità con cui oggi è possibile gestire anche grandi quantità di dati e, dall’altro, di quanto siano talvolta scarse l’attenzione e la sicurezza che si adottano nel gestire tali flussi.

Affinché vi sia allora una garanzia di sicurezza e una protezione dei dati, è essenziale che l’azienda definisca una strategia di salvaguardia dei dati (personali e non), una o più procedure per il loro trattamento e quindi adotti una politica di compliance alle norme sia giuridiche (es. Reg. (UE) n.679/2016, D.Lgs. n.231/01, D.Lgs. n. 14/2019) sia tecniche (es. ISO/IEC 27001:2017, ISO/IEC 25023 per la qualità del software, ISO/IEC 25024 per la qualità del dato, ISO/IEC 29100 tecniche di valutazione per la protezione del PII, ossia, Personal Identifiable Information)(2).

Il Regolamento Europeo n. 1025/2012, a sua volta, chiarisce che l’obiettivo principale della normazione consiste nel definire specifiche tecniche o qualitative volontarie alle quali prodotti, processi di produzione o servizi attuali o futuri possano conformarsi. Pertanto, aderire ad uno standard qualitativo consente di tutelare e preservare i diritti di un’azienda, come la reputazione o il know how, ed altresì mantenere la certificazione nel tempo e laddove la sussistenza di certi requisiti indica la serietà e l’efficienza del prodotto immesso o del servizio reso sul mercato nei confronti dei competitor.

Il Regolamento n. 1025/2012 non manca di evidenziare l’importanza dell’uso delle Tecnologie di Informazione e Comunicazione (TIC) per accelerare il processo decisionale degli organismi di normazione e, specularmente a quanto prima detto, è opportuno individuare un nucleo di valori giuridici che devono essere salvaguardati, primi tra tutti i dati e le informazioni. Lo sviluppo delle tecnologie digitali nei processi aziendali (es. tecnologia mobile, social, machine-to-machine, cloud computing, data analytics, …) richiede un Sistema di Gestione Aziendale adeguato alle esigenze di tutti i “portatori di interesse” (finanziatori, dipendenti, clienti, fornitori, amministrazioni locali, istituzioni statali). Ciò trova conferma anche nella richiesta da parte delle Pubbliche Amministrazioni di una crescente dimostrazione di requisiti volontariamente acquisiti da parte dell’azienda che si è sottoposta consensualmente a controlli di qualità. Questo porta con sé la necessità di prevedere degli SLA (Service Legal Agreement) ossia clausole contrattuali che siano idonee a garantire dei livelli essenziali minimi per l’erogazione e la garanzia di un servizio.

D’altra parte l’azienda dovrà dotarsi di un modello 231 che tenga conto proprio di quanto stabilito all’interno dell’art. 24 bis rubricato “Delitti informatici e trattamento illecito di dati”; ciò a dimostrazione che la non corretta gestione dei dati che potrebbe scaturire da una mancata osservanza della disciplina GDPR, ma anche di tutte le altre norme sopra indicate, può comportare la responsabilità dell’ente per il compimento dei reati presupposto ivi menzionati e di conseguenza sfociare in sanzioni pecuniarie o talvolta interdittive. Un adeguato modello organizzativo deve tuttavia considerare che le ipotesi delittuose che si possono compiere mediante l’uso di sistemi informatici sono molteplici. Basti pensare ad un ente che intende partecipare a gare di appalto: un valido modello 231 dovrà prendere in considerazione il rischio derivante dalla condotta dei vertici che per ottenere la vittoria di un appalto di servizi, ad esempio, si avvalgano di cyber criminali.

Corollario di quanto detto è proprio il Regolamento UE n. 881/2019 che sposa l’obiettivo ultimo di realizzare una fiducia nella sicurezza delle reti e nelle informazioni mediante l’adozione di un sistema generale di norme e di un Ente Centrale, ENISA, che controlli il livello di cibersicurezza dei prodotti, dei servizi e dei processi.

 

to be continued 1/2

 

Intervento di:

Costanza MATTEUZZI, Avvocato, Foro di Firenze, esperta in Privacy, GDPR, reati informatici e modelli 231

Aldo PEDICO, Consulente GDPR e Cybersecurity Act, DPO

 


Per approfondimenti, consultare i seguenti link e/o riferimenti:

Regolamento UE n. 679/2016 per la protezione delle persone fisiche con riguardo al trattamento dei dati personali

Direttiva n. 2016/943/CE per la tutela del know how riservato e delle informazioni commerciali riservate (c.d. segreti commerciali)

D.Lgs. N. 63/2018

Direttiva 2016/1148 (Direttiva NIS) sulle misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’UE

(1)  Connaturata allo sviluppo di una strategia progressivamente operativizzante nel senso ancorante gli obiettivi strategici di alto livello alle politiche comuni in ambito Atlantico ed Europeo, si pensi a ENISA ma anche ESA. Gli stessi vanno sviluppandosi meglio anche nel documento strategico di politica spaziale nazionale e nel documento di visione strategica per lo spazio. Tutto ciò si inserisce in quella cornice di sicurezza meglio definita “perimetro” dall’esecutivo del Prof. Avv. Giuseppe Conte, che vede sempre più protagonista una partnership pubblico-privato, assicurando la necessaria resilienza delle infrastrutture critiche.

D.Lgs. N. 65/2018

Regolamento UE n. 1807/2018 per le regole generali alla libera circolazione dei dati non personali nell’UE

D.Lgs. n.231/01

D.Lgs. n. 14/2019

(2)  Si menziona per completezza anche: 2017 COSO ERM – Committee of sponsoring organizations enterprise risk management integrating with strategy and performance- che detta le linee guida internazionali in tema di gestione del rischio

Regolamento UE n. 1025/2012

Regolamento UE n. 881/2019 relativo all’ENISA 



Lascia un Commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono segnati con *