Negli ultimi anni il tema della compliance, soprattutto in Italia, è esploso tanto da diventare un vero e proprio elemento critico da affrontare e gestire spesso con strutture interne appositamente dedicate, talvolta anche imposte a livello legislativo.
La complessità normativa non ha risparmiato la funzione sistemi informativi, che deve oggi fare i conti con una serie di adempimenti o vincoli normativi sia di carattere generale, cioè trasversali al mercato, che di settore, con particolare riferimento al settore bancario e al settore delle telecomunicazioni.
È bene ricordare che se il d.lgs 518 del 1992, che ormai oltre 20 anni fa riconobbe ai programmi per elaboratore dignità di opera dell’ingegno di carattere creativo, può essere considerata la prima normativa settoriale inerente i sistemi informativi, sono poi stati numerosi gli interventi legislativi, anche a livello di autorità preposte a particolari settori, che oggi insistono sui sistemi informativi e di telecomunicazione, spesso con la finalità di spingere pubbliche amministrazioni e aziende ad aumentare il livello di sicurezza delle proprie infrastrutture ICT.
Tuttavia, dopo alcuni anni di aggravamento degli obblighi normativi, nel biennio 2011-2012, complice la crisi, il legislatore ha mutato in parte direzione e ha quindi iniziato un’opera di alleggerimento degli obblighi a carico delle aziende e delle pubbliche amministrazioni. In particolare, è intervenuto su adempimenti di carattere generale ritenuti eccessivamente onerosi o sproporzionati: si pensi alla abrogazione del documento programmatico sulla sicurezza o alla de-tutela dei dati inerenti le persone giuridiche, che oggi non è più nel perimetro del d.lgs 196/03.
Parallelamente, tuttavia, sia il legislatore che talune autorità amministrative fra cui in particolare il Garante per la protezione dei dati personali, sono intervenuti con una serie di provvedimenti, spesso settoriali, finalizzati a aumentare il livello di sicurezza in talune specifiche circostanze. Si pensi per esempio a:
– Provvedimento del Garante per la protezione dei dati personali del 12 maggio 2011, inerente la tracciabilità degli accessi ai dati bancari che, mirato solo ed esclusivamente alle banche e ai gruppi bancari, ha imposto una serie di obblighi di controllo sui dati bancari estremamente onerosi.
– Decreto Legislativo n. 69/2012 che, nella parte riferita alle società di telecomunicazione, impone una serie di obblighi particolarmente stringenti mirati a prevenire, e nel caso gestire, eventuali perdite di dati.
– Decreto del Presidente del Consiglio dei Ministri del 24/01/2013 n° 67251, che ha introdotto una politica di gestione della sicurezza nelle infrastrutture critiche.
Approcci diversi per garantire la conformità
A livello aziendale, o di pubbliche amministrazioni, l’impatto delle normative inerenti la sicurezza, e in generale la conformità normativa a livello ICT, vede coinvolte diverse competenze, e le scelte che le aziende adottano per gestire tale tematica non risultano certamente uniformi. In linea generale, pur trattandosi di tematiche legali, molto spesso è direttamente la funzione ICT che prende in carico le singole problematiche, soprattutto quando il rispetto normativo è caratterizzato da una forte componente tecnologica.
Si pensi, in via esemplificativa, all’adeguamento al provvedimento sugli amministratori di sistema del Garante per la protezione dei dati personali del 27 novembre 2008.
In altri casi, invece l’adeguamento normativo viene spesso gestito dalla funzione legale (o compliance, se esiste) con il supporto dei sistemi informativi. Esempio tipico di questa modalità di gestione è l’aggiornamento dei modelli organizzativi ex decreto legislativo 231/01, che le aziende che hanno scelto di adeguarsi alla normativa hanno dovuto porre in essere quando i reati informatici sono stati ricompresi fra i reati rilevanti.
Le tabelle 1 e 2 sintetizzano questi aspetti. Rappresentano da un lato il coinvolgimento della direzione ICT per singola tematica normativa avente impatto in termini di compliance ICT, dall’altro quali sono tipicamente le altre direzioni aziendali coinvolte e, infine, l’impatto potenziale del mancato rispetto normativo. Sono state presentate lo scorso 6 giugno a Roma al 5° Workshop della Management Academy for ICT Executives, focalizzato sul tema della Compliance e Security in ambito ICT, a cui hanno preso parte 27 CIO e Security Executives di aziende della domanda e 18 membri del Club Dirigenti Tecnologie dell’Informazione di Roma.
È bene considerare che ogni tematica inerente la sicurezza dei sistemi informativi e di telecomunicazione si porta appresso due principi: da un lato il legislatore pretende che le aziende e le pubbliche amministrazioni aumentino il livello di sicurezza di infrastrutture, dati personali, informazioni e ciò, in generale, a tutela della continuità operativa delle strutture stesse e, quindi, di tutti gli stakeholders. Dall’altro però il legislatore stesso fissa una serie di limiti alla possibilità per gli stessi soggetti di porre in essere controlli e di adottare sistemi di sicurezza. E infatti da un lato la normativa a tutela dei lavoratori (tipicamente lo Statuto dei Lavoratori e in particolare l’articolo 4) e dall’altro la normativa a protezione dei dati personali, vincolano le aziende nell’adozione di sistemi di sicurezza che, se potenzialmente permettono il controllo sull’attività lavorativa, possono essere installate solo previo accordo sindacale, e comunque nel rispetto delle normative poste a limitazione del potere del datore di lavoro.
Attività preventive e possibili reazioni
Occorre quindi sempre considerare che gli obblighi di compliance imposti normativamente trovano un limite nei vincoli che i datori di lavoro hanno relativamente al potere di controllo.
E allora, in un percorso di adeguamento normativo e di costruzione di una politica di sicurezza ICT, occorrerebbe domandarsi perlomeno da un lato quali siano le attività preventive che si possono effettuare ponendosi alcune domande: quali informazioni devo raccogliere? Cioè quali sono gli obblighi normativi di data retention; quali informazioni posso raccogliere? Cioè in che limiti e con quali procedure posso utilizzare sistemi che permettono di raccogliere informazioni riferibili, tipicamente ma non necessariamente, ai lavoratori; per cosa posso usare le informazioni che vengono raccolte? Cioè entro quali limiti le informazioni che raccolgo tramite sistemi di controllo sono utilizzabili; quali controlli preventivi possono essere posti in essere? Cioè quali controlli possono essere avviati senza che vi sia una preventiva evidenza di comportamenti illeciti? E se dovessero servire le informazioni, come occorre acquisirle e mantenerle?
Da un altro punto di vista, invece, cioè a livello reattivo e in particolare quando vi sia l’evidenza della commissione di un illecito e si decida di intervenire, occorrerebbe chiedersi: quali fattispecie potrebbe configurare l’illecito su cui si decide di intervenire? In particolare, è opportuno capire la rilevanza civile e/o penale del fatto per decidere al meglio come impostare una strategia di intervento: quali competenze è opportuno coinvolgere (tecniche, HR, relazioni industriali, legali)? Quali procedure e tempistiche prescrizionali occorre rispettare? Quali informazioni ci sono in azienda? Quali sono le fonti? Per quanto tempo sono conservate? Per quali motivi sono raccolte e mantenute? Domande essenziali per poter conoscere e valutare non solo gli elementi per impostare una strategia di intervento, ma anche i possibili usi processuali delle informazioni, e in ultima istanza la forza di un’eventuale azione giudiziaria. Le informazioni presenti possono essere prodotte in sede processuale? Potranno essere considerate dal magistrato in sede processuale a fondamento di una decisione?
È bene considerare che oltre al piano legislativo il tema della sicurezza e della compliance è oggetto di costante attenzione anche da parte della magistratura, in quanto sempre più spesso nascono contenziosi. Negli ultimi anni particolarmente rilevanti sono state due sentenze della Corte di Cassazione (Cassazione n° 4375/2010 e Cassazione n° 2722/2012) che hanno delimitato e chiarito il rapporto fra obblighi normativi, potere di controllo del datore di lavoro e limiti, nell’ambito dei sistemi di controllo, dell’utilizzo delle strumentazioni informatiche e telematiche da parte dei lavoratori.
E’ opportuno quindi oggi che le aziende e le pubbliche amministrazioni non solo impostino una politica di compliance in ambito ICT che tenga conto degli obblighi normativi ma, nel contempo, che siano ben chiari i limiti entro cui le scelte in materia di sicurezza possono essere adottate per evitare, nell’eccesso di adeguamento, di porre in essere comportamenti illeciti.
