Simpler

(Marco)

Vi presento alcune mie riflessioni sul percorso che porterà all’adozione di standard di sicurezza informatica nelle imprese italiane, seguendo la norma 196/2003. Potete scaricare il PDF o leggerlo qui di seguito.

Quanto manca per la sicurezza informatica?

di Marco Piermarini (piermarini aT gmail.com)

16 luglio 2006

L’applicazione della normativa: la sicurezza sul luogo di lavoro

È solito della cultura italica cercare di realizzare il minimo indispensabile per poter ottemperare alle leggi, senza domandarsi le conseguenze delle proprie scelte o riflettere in maniera strategica sulle decisioni prese. Questo si è dimostrato vero già con l’applicazione della legge 626/94, per la quale sono stati necessari diversi anni, quasi 10, affinché si diffondesse una cultura pronta a riconoscere alla normativa un’utilità concreta per la salvaguardia dell’azienda.

La normativa prevede standard adeguati per tutelare la salute dei lavoratori sul luogo di lavoro e per tutelare anche i clienti o altri soggetti che lo frequentano.

Essere a norma con la 626 viene oggi percepito come utile per evitare danni ed infortuni che avrebbero un maggiore impatto economico sull’azienda, oltre a possibili conseguenze ancor più spiacevoli (sanzioni o responsabilità penali).

L’attuazione della normativa sulla privacy

Quanto tempo servirà per un’attuazione concreta del D.lgs. 196/03?

La normativa riguarda, per chi non la conoscesse, la tutela delle informazioni di ogni singolo individuo che sono trattate dalle aziende. Alla domanda rispondo dicendo che il tempo necessario per raggiungere una reale applicazione con adozione delle necessarie misure sarà molto più breve. Vediamo nel dettaglio quali fattori mi fanno sostenere una simile posizione in apparenza non supportata da riscontri “storici”.

L’applicazione della normativa

Diversi sono gli elementi che differenziano le due leggi e che incideranno sulla rapidità di adozione, sebbene siano presenti alcuni punti di contatto.

Entrambe le normative sono state prorogate per diverso tempo prima di entrare in vigore, questo per aiutare i soggetti, le aziende e la PA (soprattutto!), ad adeguarsi in tempo.

Ma qui si nota subito una prima differenza: la normativa sulla privacy non è stata prorogata in toto, lo sono stati soltanto alcuni adempimenti, mentre altri sono entrati in vigore nei tempi inizialmente prescritti. Quindi c’è una maggiore intransigenza da parte del legislatore, dettata anche dal fatto che la gestione delle informazioni, e la loro tutela, sono troppo importanti nella società odierna e coinvolgono troppi interessi connessi.

Un esempio su tutti: la gestione delle informazioni trapelate dalle intercettazioni, hanno causato bufere e continuano a creare sconvolgimenti nei più vari ambienti.

Ma ancora, finché non si creerà la convinzione della sicurezza delle transazioni on-line con la carta di credito, sarà impossibile offrire servizi che costano meno e che vedano il canale informatico come preferenziale. In questo sono coinvolti lo stato, i singoli cittadini, ma anche le industrie che hanno tutto l’interesse a far sì che i clienti si sentano tutelati nel trattamento dei loro dati.

Questo comporterà che le aziende medio-grandi, operanti in maniera “customer oriented”, dovranno dare una spinta alla diffusione della normativa e della cultura ad essa legata, perché consapevoli che il rilancio del “famigerato” Sistema Italia è legato alla fidelizzazione e alla qualità dei servizi offerti, magari riducendo i costi, elemento di criticità italiano.

La pmi e la privacy

Purtroppo gli interessi e l’attenzione delle aziende medio grandi non si ritrovano anche nella media e piccola impresa, che vede l’adempimento soltanto come una indebita pressione dello stato che vuole mettere nuovamente le mani in tasca all’azienda con la conseguenza di farla, presto o tardi, chiudere. Cosa dovrebbe dunque spingerla ad investire o a cambiare l’approccio mentale già avuto quando si affacciò la 626?

In primis c’è proprio la presenza di una 626 che è stata ben dettagliata ed attuata, con corsi di formazione in aula per i vari ruoli aziendali, manuali di procedure ed una serie di controlli degli organi competenti, per cui le aziende si sono progressivamente adeguate e uniformate alla legge.

La barriera esistente che faceva dire all’imprenditore “la ditta è mia e ci faccio ciò che voglio” non esiste più, o almeno, si è assottigliata, accettando l’ingerenza dello stato e della normativa sulla sicurezza. Ma è stato fatto un passo ulteriore: si è riconosciuto il valore delle norme e l’utilità sociale di adottare certe procedure, anche prevenendo rischi che possono avere ricadute notevoli sull’economia dell’attività.

È cambiata la mentalità

Dunque la privacy trova una maggiore elasticità mentale sia sulla necessità di formazione, che sull’adeguamento alle leggi. Ma la privacy ha u altro vantaggio, perché la normativa è in vigore dal lontano 1996, al contrario della normativa della 626 che era novità.

Infatti la legge 675/96 (che tutti conoscevamo per le firme in banca o in assicurazione) ha comunque compiuto un minimo di sensibilizzazione delle persone che vi sono entrate in contatto, poi è stata integrata da una legge nel 1999, per confluire infine con adeguate modifiche nell’attuale normativa.

C’è un trascorso che ha portato a sentenze e provvedimenti.

Il Garante

Proprio su questo punto in gioco il fattore che differenzia in maniera sostanziale le due normative: la presenza di un Garante della Privacy (http://www.garanteprivacy.it/garante/navig/jsp/index.jsp), figura terza ed indipendente, con la funzione specifica di far rispettare ed applicare la normativa.

Il Garante, che si trova a Roma, ha avuto anche la fortuna di avere nel prof. Rodotà un esponente di grande forza e carisma, che ha portato avanti con coraggio idee ed ideali che iniziano ad attecchire nella società. La 626 non ha un ente che la sostenga, ma vede soltanto dei soggetti come controllori dell’attuazione delle norme, senza alcuna possibilità di tracciare le linee guida o di intervenire anche su scelte legislative che non sempre sono “felici”, attività che il Garante attua con molta perseveranza.

Le differenze

Ecco che emergono elementi di differenziazione nella genesi e nel percorso delle due normative, che comunque si accentuano ulteriormente nella reale applicazione del D.lgs. 196/03.

Infatti la privacy per le piccole aziende è vista come “devo comprare il nuovo pc, mettere queste psw, fare il back up”…..misure che in alcuni casi sembrano eccessive, e forse lo sono per attività se a gestione familiare, ma che in altri casi erano già in atto, mancando solo di un organizzazione adeguata e di un coordinamento interno.

A questo si aggiunge la differenza sostanziale: la 626 comporta un adeguamento ed un mantenimento con poco dispendio di energie e di risorse economiche.

Nella privacy è diverso: l’adozione di misure minime (comunque assolutamente insufficienti per circoscrivere responsabilità e rischi), comporta un adeguamento dei comportamenti quotidiani di chi lavora, che tocca l’organizzazione interna dell’azienda.

Le lettere di incarico per i dipendenti, ad esempio, sono necessarie per definirne le competenze e richiedono un’attenta analisi delle loro attività ed un continuo monitoraggio per adeguarle qualora dovessero mutare le mansioni.

Un diverso cammino

Un monitoraggio continuo dell’azienda, un investimento per il mantenimento delle misure minime, una authority che controlla e sanziona a livello nazionale e si coordina con altre authority a livello europeo (si veda il gruppo di lavoro previsto dall’art. 29 della direttiva europea che raccoglie tutti i garanti della UE, http://ec.europa.eu/justice_home/fsj/privacy/workinggroup/index_en.htm), una cultura di impresa che prevede sempre più standard di qualità nelle procedure aziendali ed adeguamenti alle normative: tutto questo faciliterà l’attecchire della privacy?

A mio avviso, sì. Con quali tempistiche?

Su questo punto è difficile essere precisi: l’elemento fondamentale sarà il rigore dei controlli e dell’applicazione delle successive sanzioni, il tutto connesso dal riscontro che verrà dall’opinione pubblica, unica vera cassa di risonanza che potrà consentire un salto di qualità.

Il ruolo dei cittadini

L’opinione pubblica è l’elemento chiave, infatti finché non ci sarà l’attenzione dei cittadini, i primi veri garanti della loro privacy, non ci sarà la svolta!

Ma per fortuna i segnali positivi in tal senso sono numerosi e ritengo che ci si stia muovendo a più livelli positivamente con un reale contributo che potrebbe portare ad una attuazione della normativa non soltanto perché imposta dall’alto, ma perché percepita utile e funzionale alle esigenze presenti nella vita quotidiana.

Un esempio su tutti, il dipendente che conosce la normativa è il primo che può indicare al Garante la sua mancata applicazione in azienda, che dovrà risponderne per cifre importanti e che mettono paura.

A fronte di un simile rischio il datore di lavoro, dolente o nolente, dovrà presto entrare in un ottica di reale applicazione della normativa, e non solo della sua formale presenza, poco utile e facilmente rilevabile. Dunque alziamo l’attenzione in modo che si possa realizzare un miglioramento sostanziale degli standard con conseguente vantaggio per tutti i cittadini e anche per le aziende.

Infatti molti adempimenti sono funzionali anche ad un aggiornamento tecnologico, il quale altrimenti non verrebbe attuato, mancanza molto grave se si considera come le nuove tecnologie incidano ad ogni livello della gestione aziendale, apportando miglioramenti facilmente percepibili.

La mia speranza è che le aziende italiane non vogliano fare muro contro muro, come molto spesso càpita nel nostro paese dominato da atteggiamenti di categorie ed albi, che non favoriscono lo sviluppo del paese, ma aggravano la sua già pesante crisi.