Nella normativa italiana esistono due leggi per le imprese che sono tanto rilevanti quanto normalmente disattese, tanto che l’85% delle verifiche effettuate dalla Guardia di Finanza si concludono con un’ammenda. Parliamo della legge sul trattamento dei dati personali e sulla privacy (d.lgs.196/2003) e quella che regola le responsabilità aziendali sulle azioni del proprio personale o da chi opera in nome di esse (d.lgs. 231/2001).
Obblighi privacy
Per conformarsi alle norme sulla privacy è necessario disporre di un backup dei dati, avere un accesso controllato ai sistemi e definire modalità operative per la gestione dei dati cartacei (es.: i CV di candidati esterni). I dati riservati vanno inoltre mantenuti per almeno sei mesi e, dal 15 dicembre 2009 (DL 196/03), i file di log comprovanti gli accessi degli Amministratori di sistema devono essere e conservati per almeno sei mesi in formato immodificabile.
Sono tutte procedure che non possono e non devono dipendere dalla buona volontà dell’addetto ma seguire un criterio organizzato che ha il duplice scopo di proteggere i dati e averne piena e immediata accessibilità. Queste buone prassi, prima ancora che obbligo di legge, sono criteri di Qualità propri dei processi di TQM.
Responsabilità aziendali
Gestire in piena riservatezza i dati personali che circolano in azienda tuttavia non basta: anche i dipendenti e collaboratori possono accedervi (email, immagini, suoni, filmati scambiati via Internet), facendone un uso più o meno lecito di cui però il titolare dell’azienda è responsabile. Ad esempio, ogni volta che un’azienda mette a disposizione dei dipendenti una connessione a Internet «si rende responsabile dell’uso che questi ne fanno, ne risponde penalmente ed è quindi chiamata a dotarsi di strumenti in grado di regolamentare la navigazione, gestire al meglio la banda disponibile e soprattutto di essere in grado di opporre prova certa del dipendente che ne fa un uso illecito».
Tuttavia, come recentemente sancito anche dalla Sentenza 4375/10 della Corte di Cassazione, il datore di lavoro non può in alcun modo accedere alle informazioni che vengono gestite dal personale («
è illegittimo l’utilizzo da parte del datore di lavoro di programmi informatici che consentono il monitoraggio della posta elettronica e degli accessi ad internet»).
La legge vieta infatti il controllo a distanza del lavoratore (L300/70 art.4) e, per estensione della legge sul trattamento dei dati, a qualsiasi persona. Inoltre, come sancito da più sentenze della Cassazione, i dati registrati non possono essere utilizzati dal datore di lavoro (o da sue emanazioni) per controllare il collaboratore.
Ma allora, se un dipendente invia file pirata dal computer dell’azienda, come dimostrare la buona fede del datore di lavoro? La legge fornisce indicazioni per tutelarsi (ad esempio la gestione delle password) ma nessuno strumento. Purtroppo, anche se quando si accede a una postazione informatica o ci si connette a Internet o alla Intranet locale il sistema mantiene le informazioni sulle connessioni effettuate e delle attività svolte, è anche vero che tali informazioni restano in chiaro e accessibili dall’utente, pertanto rimovibli o modificabili (e la non modificabilità dei dati di tracciamento è un requisito di legge).
Ed è indubbio che la maggioranza delle aziende medio piccole (ma vale soprattutto per le micro-imprese) non applica alcuna regola. Allo stesso modo, molte realtà aziendali utilizzano strumenti di backup solo per pratiche amministrative e contabili. Su questi aspetti il cammino è ancora lungo e non privo di ostacoli, primo tra tutti il gap culturale che impedisce la penetrazione di strumenti evoluti.
Soluzioni tecnologiche
I dati che tracciano le attività di un collaboratore – per non violare la legge – devono dunque essere disponibili ma non accessibili, se non per attività di maintenance dei servizi.
Come fare? La Ant@res di Desio (MB) distribuisce due soluzioni che si inquadrano in questi ambiti di rispondenza ai requisiti di legge e che risultano altamente appetibili anche perchè conformi alle norme e all’architettura (garanzie con il minimo ingombro, senza operare in modo invasivo sulla struttura aziendale o informatica in essere): BlackBox e WebBox.
Vincenzo Corradi, fondatore della casa produttrice, a spiegato a PMI.it l’idea alla base dela nascita dell’azienda, i suoi brevetti e il prodotto, che mira a “concquistare anche quelle imprese arretrate o scarsamente ricettive circa le normative di legge, che in realtà dovrebbero (e potrebbero) essere vissute come un obbligo che apre a molte opportunità di sviluppo imprenditoriale.
La BlackBox si struttura come un server blindato che acquisisce i dati, li codifica con chiave asimmetrica, li memorizza e li rende accessibili solo all’autorità giudiziaria. Questa soluzione può operare anche per gestire dati non legati alla navigazione internet, come ad esempio il mantenimento delle riprese effettuate dalle telecamere di sicurezza.
La WebBox si propone invece come strumento di monitoring della navigazione Internet, per tutelare l’azienda da usi impropri della rete. I dati su accessi, navigazione, siti visitati e attività di upload/download vengono mantenuti in modo da consentirne un utilizzo mirato al rispetto della legge.
L’architettura hardware si completa con un hard disk in grado di mantenere i dati per un elevato periodo di tempo, avendo capacità superiore ad un terabyte.
Dal punto di vista software, le componenti primarie sono: la modalità di crittografia dei dati, che opera con protocollo a chiave asimmetrica e rende i dati memorizzati inaccessibili se non all’autorità giudiziaria; il protocollo di comunicazione brevettato da Antares, che garantisce anch’esso l’inaccessibilità e la non modificabilità dei dati.
Una volta installata, ci si dimentica letteralmente di averla ma è sempre attiva e disponibile, in caso di necessità. Un ulteriore aspetto, sicuramente non irrilevante, è il costo che si colloca approssimativamente allo stesso livello dell’ammenda che si deve corrispondere per la mancata osservanza dei requisiti di legge!