Tempo di lettura stimato: 5'
Normalmente gli IT, di fronte a un contratto di Cybersecurity, hanno la stessa espressione della mucca quando vede passare il treno. C’è chi non se ne interessa e dice “Tanto non mi compete”, chi giudica il contratto un ostacolo “Perché la tecnologia è più veloce della legge” e chi dice “Ce ne preoccuperemo quando sarà il momento”. Male. Questo approccio ai contratti deve cambiare. Gli IT non possono più permettersi di ignorare gli aspetti legali, soprattutto quando si parla di cyber sicurezza.
Ne ho parlato in un LIVE di Raise Academy, l’Accademia formazione efficace di PrivacyLab, con l’Avvocato Valentina Frediani fondatrice di consulentelegaleinformatico.it - tra i primi siti in Italia a trattare esclusivamente il diritto delle tecnologie - e della società Colin & Partners, specializzata in diritto informatico. Membro del Comitato Scientifico di Federprivacy ed esaminatrice in TUV per il DPO (Data Protection Officer), riveste il ruolo di DPO per aziende del settore energetico, idrico, produttivo e della grande distribuzione.
Qui trovi solo un estratto, l’intervista LIVE completa è sulla Raise!
Cyber sicurezza, leggi e contratti: forma e sostanza non possono divergere
Andrea Chiozzi: La cybersecurity viene vista sempre come un’attività tecnica e spesso la si considera quando oramai i buoi sono scappati. Dal punto di vista normativo, quando ci approcciamo al concetto di sicurezza informatica, ci sono delle regole di cui dobbiamo tenere conto?
Avvocato Frediani: Sì. Quando si parla di cyber sicurezza è necessario richiamare tutto il tema del GDPR, perché il Regolamento ti chiede di fare un’analisi in accountability dei rischi ed è ovvio che questa valutazione la fai tenendo conto anche di quelli che sono gli elementi di cyber sicurezza. Poi abbiamo la NIS (Direttiva NIS 2016/1148, Network and Information Security) a cui sono obbligati diversi operatori nazionali, che è una normativa verticalizzata sulla cyber sicurezza e il D.lgs 231/01 relativo a tutta una serie di reati che devono essere oggetto di prevenzione e quindi devono passare attraverso la cyber sicurezza. Vedi la sottrazione di dati, il whistleblowing, il Data Breach. Quindi c’è un incastro tra la contrattualistica, la cyber sicurezza e vari temi normativi.
Andrea Chiozzi: Quanto un responsabile IT deve prestare attenzione al contratto di gestione della sicurezza informatica? Oppure quello che conta è andare al sodo?
Avvocato Frediani: Io non scindo le due cose. Il contratto deve essere la sostanza. Il contratto che si fa in ambito tecnologico è proprio quello che, più degli altri, mira a prevenire problemi pratici. Quinci chi si occupa di tecnologia lo può capire anche meglio di altri. Se io sgancio la parte legale da quella tecnologica, ho dei risultati pessimi. A noi succede spesso di intervenire quando il contratto è stato stipulato e l'ICT alza le mani e dice "Ma io l'ho passato all'ufficio legale" e l'ufficio legale dice "Ma io di queste cose non me ne intendo, più che aver letto nel merito chi si occupa di tecnologia…" Ecco questo significa distruggere l’interesse dell’azienda e quello progettuale dell’ICT manager. Un minimo di consapevolezza sui contratti deve esserci.
Ambito giuridico VS ambito tecnologico: la tartaruga e la lepre
Andrea Chiozzi: Ho sempre visto la tecnologia correre molto più velocemente dell'adeguamento legale. Questo gap c’era già ai tempi delle misure minime di sicurezza. Adesso è cambiato tutto col GDPR. Il Regolamento per la protezione dei dati è riuscito a ridurre questo gap o ancora ci portiamo dietro l’idea che basti la password e “fare tre cose” per essere a posto?
Avvocato Frediani: Sì e no. Rimango ancora basita quando parlo con medie e grandi realtà dove fai un audit e una simulazione di ispezione e chiedi in accountability che tipo di analisi dei rischi hanno fatto i sistemi informativi. Spesso ti viene risposto - anche dai DPO - che i sistemi informativi non hanno partecipato alla redazione, che non sono intervenuti nello sviluppo del modello. A volte vengono tenuti fuori. Molti non vogliono nemmeno intervenire "perché non è una loro responsabilità". E questo della responsabilità è un tema nefasto. Poi a volte i sistemi informativi non sono stati coinvolti e l'analisi è stata fatta solo da risorse umane insieme al responsabile privacy. Quindi parlo con degli interlocutori che non capiscono cosa avrebbero dovuto fare, perché manca uno degli attori principali: cioè chi si occupa della parte dei sistemi.
In altri casi, soggetti che hanno partecipato non riescono però a ingranare e a capire il senso, perché gli è stato proposto il Regolamento come qualcosa di documentale, per cui dicono "Va bene, allora io rimango nel mio orticello e non mi vado a sobbarcare tutta una serie di attività che sono ultronee rispetto a quello che mi è stato chiesto." In realtà, il GDPR si pone in un'ottica estremamente evolutiva da questo punto di vista, perché il fatto di porre un'accountability, rispetto all'analisi dei rischi nel momento in cui ci parla di "privacy and security privacy by design", dà un coinvolgimento dei sistemi informativi, come è giusto che sia, importantissimo.
La scelta del fornitore della cybersecurity e le responsabilità dell’amministratore di sistema
Andrea Chiozzi: Come scegliere e verificare il fornitore della cybersicurezza?
Avvocato Frediani: Un tema importante è l'inquadramento del fornitore. Nell'ambito della cyber sicurezza spesso si assiste all’acquisizione di servizi che hanno una filiera di subfornitori. Di per sé ci può stare, perché possono esserci competenze molteplici da mettere in campo e questi subfornitori devono essere inquadrati fin dalle origini. Anche perché, tra le altre cose, ci sono degli obblighi in termini di GDPR. Quindi va chiarito: chi sono gli attori del contratto, a che livello devono arrivare i fornitori per erogare la loro prestazione. Spesso non vengono descritti i tempi, il livello di prestazione, né si racconta cosa succederebbe quando il rapporto si dovesse poi sciogliere.
Andrea Chiozzi: L’amministratore di sistema è responsabile esterno del trattamento, sì o no?
Avvocato Frediani: Innanzi tutto l'amministratore di sistema è solamente persona fisica mentre il Responsbile esterno può essere sia persona fisica che giuridica, nei casi quindi di Aziende esterne queste possono essere solamente Responsabili esterni ma mai amministratori di sistema. Ho una visione molto chiara. per chiarirci stiamo parlando di chi si occupa di sicurezza informatica che è si un "responsabile dell’amministrazione del sistema", ma non è autorizzato a fare trattamenti. Si occupa di sicurezza e non ha una responsabilità del trattamento e delle operazioni e non è responsabile esterno. Iil contratto serve proprio a questo: definisce chiaramente chi deve fare cosa.
Andrea Chiozzi: Il contratto è un modo di esprimere quello si fa, come, perché, quando, quali sono le condizioni. Il contratto definisce il campo di gioco, a prescindere dalle cause legali.
Avvocato Frediani: Il contratto serve per non arrivare alle cause legali. Dobbiamo smettere di pensare “Se succederà qualcosa, poi vedremo.” In un’economia che traballa dobbiamo renderci conto che il contratto costituisce lo strumento per chiarire fin dall'origine prestazioni e pricing e prevenire situazioni che possono limitare l'attività dell’azienda.
Articolo tratto dall’intervento dell’Avvocato Valentina Frediani su RAISE Academy.
Questo era solo un assaggio!
La formazione completa e aggiornata su GDPR, privacy e cybersecurity è su Raise Academy, l'Accademia di Formazione Efficace di PrivacyLab che coinvolge consulenti e professionisti del GDPR, grazie al connubio tra tecnologia, presenza, competenza, contatto, condivisione e diffusione.
RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.