Ex documento programmatico sulla sicurezza

Inizio con questo articolo una serie di pubblicazioni – saranno sei appuntamenti – che riguardano l’analisi del decreto 196/2003, alla luce del recente provvedimento di inclusione dei reati in esso contemplati fra quelli rientranti nel perimetro di competenza del decreto 231/2001; questo provvedimento – si tratta del decreto 93/2013 – ha inciso, per quanto sta in ordine alla responsabilità d’impresa, in una apparente diversa direzione rispetto alle intenzioni riconosciute nelle misure di semplificazione intervenute in questi ultimi anni sull’argomento della privacy, tanto da sollecitare in varie sedi opportuni chiarimenti; è una sollecitazione cui sento perciò anche nella presente sede di dare risposta.

Tra gli interventi di semplificazione che sono intervenuti con l’introduzione del decreto 112/2008, in materia di privacy, quello che ha sicuramente destato il maggior interesse ed il più evidente gradimento da parte delle imprese, soprattutto quelle di minori dimensioni, è senza dubbio stata la misura che ha fatto decadere l’obbligatorietà della redazione del Documento Programmatico per la Sicurezza.
La semplificazione in questo caso è stata interpreatata infatti come la sconfitta di una inutile burocrazia, il venire meno finalmente di una pratica amministrativa della cui vera utilità non si era mai stati convinti fino in fondo all’interno delle organizzazioni aziendali.
Tuttavia molti sono stati anche i casi di realtà aziendali dove si è continuato a produrre il documento, nonostante non si rendessero più necessaire alcune formalità connesse alla sua produzione. In particolare mi riferisco, ad esempio, all’obbligo di verbalizzazione del suo aggiornamento entro il primo trimestre di ogni anno.
Vanno perciò operati alcuni distinguo in ordine all’atteggiamento corretto da assumere davanti alle citate norme di semplificazione, innanzi tutto distinguendo ciò che è appesantimento burocratico da ciò che invece rappresenta obbligo di controllo.
Ed oggi, dopo pochi anni dall’introduzione del citato decreto, convertito poi nella legge 133/2008, ritengo che molti più operatori di quanti ne sarebbero potuti essere in quell’anno, saranno d’accordo con quanto sosterrò.

Il Dps è infatti prima di tutto uno strumento efficiente, parte di un sistema di controllo interno comunque presente in una organizzazione complessa come quella di ogni impresa, sia essa piccola, media o grande.
Per rendersi conto di ciò e convenire su tale considerazione, è sufficiente esaminare le linee guida che il Garante ha messo a suo tempo a disposizione degli imprenditori per la redazione del documento.
Le linee guida, infatti, sono forse solo in ultima istanza uno strumento di supporto alla scrittura del Dps. Sono innanzi tutto dell’altro: rappresentano ad esempio una strumento di autovalutazione del modello organizzativo assunto in ambito informatico per il trattamento delle informazioni aziendali; si configurano, ancora, come una check-list di verifica che le funzioni aziendali interessate possono utilizzare per le attività di auditing rivolte al modello organizzativo riferito al sistema informativo; possono essere, infine, anche una guida, ma non tanto rivolta alla scrittura di un documento, cosa che lascerebbe – questa sì – ogni attività conseguente costretta in un confine solo di tipo burocratico, quanto rivolta alla implementazione di processi, attività e controlli presenti lungo tutta la filiera del trattamento delle informazioni aziendali e dell’utilizzo di strumenti a ciò finalizzati, “in primis” le attrezzature dedicate all’ IT.

Vale quindi la pena di rivedere l’ottica con la quale si interpreta l’utilità del documento programmatico e porre così alcuni fermi convincimenti in proposito.

In primo luogo redarre il Dps significa allestire una serie di registri da impiegare come ricognizione periodica, o ancor meglio continua, di alcune parti del modello organizzativo. Si tratta degli elenchi dei cosiddetti trattamenti; in questo ambito rientrano tutti i dati che all’interno dell’organizzazione aziendale – identificata nel gergo del Garante di fatto con la nozione di titolare – sono raccolti, archiviati, utilizzati, trasmessi, elaborati, analizzati.
L’approccio iniziale a questa indicazione richiesta dal codice della privacy può sembrare certamente oltremodo impegnativo; tuttavia implementando una tale ricognizione appare subito evidente che si tratta di assolvere un’esigenza di chiarezza e presidio difficilmente rinunciabile in una organizzazione che vuole essere efficiente ed, in poche parole, controllata.
Tali elencazioni si devono tradurre infatti in elenchi tabellari che nella pratica registrano ordinatamente ogni funzione aziendale, indicando la tipologia di informazioni che la stessa detiene, le attrezzature informatiche di cui è responsabile e le banche dati costituite, le persone che la compongono, distinguendo per ognuna ruolo e responsabilità, i luoghi in cui i documenti ed i dati che queste utilizzano trovano la loro collocazione fisica e quelli della loro collocazione informatica, quali reti, software, connessioni.
E’ abbastanza evidente che disporre di una tale organica mappa geografica costituisce molteplici vantaggi organizzativi per la struttura interessata, al pari di qualsiasi attività inventariale che con molta più abitudine è resa disponibile in numerosi diversi altri ambiti gestionali.
E’ soprattutto l’aggiornamento di tali registri che diventa, in un secondo tempo, una attività di monitoraggio e manutenzione dei sistemi, nonché di controllo delle funzionalità di questi, indispensabile ed opportuna da molteplici punti di vista: basterebbe assolvere l’esigenza di un continuo presidio delle attrezzature informatiche, in termini di assegnazione alle risorse e buona funzionalità nel loro utilizzo, per individuarne a sufficienza di questi.

Un secondo ambito di redazione del Dps, estremamente interessante, è quello riferito alla “analisi dei rischi”. Si tratta di un attività di tipo analitico che, peraltro, molto difficilmente emergerebbe in modo “spontaneo” all’interno di un’impresa. Essa riguarda il risk assessment rivolto al patrimonio delle informazioni aziendali. Questa risorsa patrimoniale, che non appare in nessun bilancio ed in nessuna nozione, ad esempio, del capitale investito, è invece costitutiva di un valore importantissimo per qualsiasi organizzazione aziendale. Molto spesso non viene menzionata nemmeno tra gli aspetti “intangibili” dell’impresa, annoverandosi tra questi solo le poste che hanno comunque un rango di tipo contabile. Eppure a tutti è noto quale valore costituiscano per un’impresa il bagaglio delle informazioni che nel tempo sono acquisite, conservate e, per l’appunto, trattate.
L’analisi dei rischi impone un esame attento, non formale, dei possibili eventi in grado di danneggiare, in modo più o meno drastico, la sicurezza dei dati. Naturalmente il lavoro di analisi deve essere adeguatamente approfondito e con esso devono essere sviluppati, conseguentemente, tutti gli esami riguardanti le misure di contrasto a tali rischi, proseguendo tale indagine fino alla definizione precisa delle procedure e dei comportamenti da applicare nei casi in cui si verificano le situazioni di rischio rintracciate.
Quindi, all’analisi dei rischi, conseguono le misure di sicurezza, che solo scongiuratamene si è pensato dovessero essere minime, quando invece l’intento del Garante, ovviamente, era quello di intendere che fossero almeno quelle minime.
Di fatto, comunque, dal Dps emergono evidentemente le coerenze e le incoerenze del proprio sistema di sicurezza ed ancora una volta la sua redazione rappresenta il momento di analisi ed aggiustamento di procedure di fondamentale importanza, nonché l’affrancamento di livelli di rischio, per un aspetto delicato e strategico quale quello delle informazioni detenute, ad un grado di accettabilità. Come saprete certamente, stiamo parlando delle procedure di conservazione e ripristino dei dati, note sotto i titoli di disaster recovery e business continuity.

Giunti a questo punto delle considerazioni che si volevano fare, il passo è breve per giungere ad una conclusione certa: la redazione del Dps non riguarda la stesura di un documento, bensì la ricognizione generale e complessa del sistema informativo, la valutazione della sua sicurezza e dei sistemi di protezione attivi. Nulla a che vedere con la burocrazia.

Possiamo quindi ulteriormente concludere che non esiste un’epoca annuale di rinnovo ed aggiornamento del Dps, ma piuttosto un processo di continuo monitoraggio e continua sorveglianza, che richiede il mantenimento di una giusto livello di efficienza del sistema informativo.

Il documento programmatico diventa quindi uno strumento di reportistica interna mediate il quale il modello organizzativo informativo viene tenuto sotto controllo e costantemente aggiornato, non una volta all’anno entro una certa data, ma piuttosto ogni qual volta la situazione lo richiede.

Fatte queste considerazioni non dovrebbe meravigliare, né destare particolare preoccupazione, l’inclusione avvenuta quest’anno dei reati elencati al capo I e II del terzo Titolo del d.lgs.196/2003 fra quelli rientranti nel perimetro di applicazione del decreto 231, dovendo semmai destare stupore il fatto che non lo fossero già stati fin dal 2001.
Se il decreto sulla responsabilità amministrativa degli enti tanto discute di modelli organizzativi, perché mai avrebbe dovuto dimenticarsi dei modelli organizzativi relativi ai sistemi informativi ?
Di questo ho già parlato in una delle mie precedenti pubblicazioni, alla quale quindi rinvio, aggiungendo qui unicamente un’ulteriore osservazione di merito: il modello organizzativo 231 non è altro che un sistema di controllo interno, giunto ormai, in conseguenza dell’attuale perimetro di inclusione dei reati nel decreto legislativo 231/2001, ad una competenza generale che non esclude alcuna area organizzativa aziendale, comprendendo oggi, sotto diversi profili oltre a quello della privacy, tutto il sistema informativo aziendale, che ovviamente con il progresso tecnologico è venuto a costituire ormai una parte importante del sistema di gestione aziendale nel suo complesso.

Proseguirò con successive pubblicazioni, quindi, l’indagine relativa alla normativa dettata dal d.lgs.196/2003 e dei suoi aggiornamenti integrativi nel tempo succedutisi, per la sua importanza ai fini del modello organizzativo aziendale e dei profili di responsabilità che ricadono invece sui modelli di governo dell’impresa e sull’impresa stessa, insieme ai suoi rappresentanti.