Cyber crime tra accountability e colpa organizzativa

Abstract

L’avvento dell’informatica pur avendo introdotto nuove opportunità di lavoro, ha al contempo determinato anche il proliferarsi di condotte illecite. Oggi, infatti, assistiamo in misura sempre più crescente, ad attacchi informatici da parte di hacker anonimi, i quali riescono ad infiltrarsi in sistemi aziendali particolarmente vulnerabili. Invero, i crimini informatici riguardano ormai, senza alcuna distinzione, sia piccole che grandi realtà aziendali, nella maggior parte dei casi, tutte fortemente digitalizzate e sostenitrici dell’industria 4.0. In questo nuovo scenario, l’azienda –  come un “giano bifronte” –  per assicurare adeguata protezione al proprio patrimonio, sarà chiamata a muoversi su un duplice binario: adozione e attuazione di un MOGC –  D.lgs. 231/2001 –  atto a prevenire i cybercrimes e a garantire che, nel caso di realizzazione di tali crimini, l’azienda vada esente da colpa e adozione di misure tecnico – organizzative di sicurezza, atte a garantire il corretto trattamento, la tutela e la protezione dei dati personali, in ottemperanza al principio di accountability previsto dal Reg. UE 679/2016 – GDPR.

While the advent of information technology has introduced new job opportunities, it has at the same time also resulted in the proliferation of misconduct. Today, in fact, we are increasingly witnessing cyber attacks by anonymous hackers who are able to infiltrate particularly vulnerable business systems. Indeed, cybercrimes now affect, without distinction, both small and large companies, in most cases, all highly digitized and supporters of Industry 4.0. In this new scenario, the company-as a “two-faced Janus” – in order to ensure adequate protection for its assets, will be called upon to move on a dual track: adoption and implementation of a MOGC – Legislative Decree. 231/2001- apt to prevent cybercrimes and to ensure that, in the case of the realization of such crimes, the company goes blameless, and adoption of technical - organizational security measures, designed to ensure the proper processing, protection and safeguarding of personal data, in compliance with the principle of accountability provided by EU Reg. 679/2016 - GDPR.

 

Sommario

1. Premessa

2. Il principio di accountability

3. La colpa organizzativa

4. I cyber crimes nel D.lgs. 231/2001

5. Il risk assessment nei reati informatici e l’adozione di misure di sicurezza

6. Tra accountability e colpa organizzativa

7. Riflessioni finali

 

Summary

1. Foreword

2. The principle of accountability

3. Organizational fault

4. Cyber crimes in Legislative Decree 231/2001

5. Risk assessment in cyber crimes and the adoption of security measures

6. Between accountability and organizational fault

7. Final reflections

 

1. Premessa

Internet, è il più grande spazio pubblico che l’umanità abbia mai conosciuto, è la rete che avvolge l’intero pianeta[1].

In questo grande spazio pubblico, l’affermarsi della tecnologia ha messo in evidenza da un lato le opportunità e le potenzialità offerte da tale sviluppo, dall’altro i rischi e le vulnerabilità dello stesso. Oggigiorno, tutti noi navighiamo in rete e utilizziamo i più avanzati strumenti tecnologici per l’esercizio della prestazione lavorativa e per gran parte delle attività della nostra quotidianità, condividendo una grande mole di dati personali. Questo potrebbe, talvolta, tradursi in un rischio concreto per la nostra privacy, pertanto, diviene fondamentale tutelare i nostri dati personali allo scopo garantire il rispetto di conseguenza il rispetto della dignità e della riservatezza della persona. Tale esigenza di tutela, rafforzatasi in concomitanza con il fenomeno della digitalizzazione, ha condotto il legislatore europeo ad intervenire con una disciplina uniforme: il Regolamento EU 679/2016 – GDPR (d’ora in avanti GDPR). Attraverso l’emanazione di questo Regolamento, l’Unione Europea ha voluto riconoscere una tutela universale ai dati personali. Obiettivo principale del Regolamento è, infatti, quello di intervenire principalmente in chiave preventiva. La prevenzione, a cui il Regolamento si ispira, è espressa attraverso i principi di privacy by design e privacy by default – art. 25 GDPR. Si tratta di principi basilari, in base ai quali la protezione dei dati personali deve essere garantita sin dalla progettazione di un processo aziendale e per impostazione predefinita. Ne deriva, quindi, che le tutte le valutazioni, che il titolare del trattamento deve effettuare in tema di protezione dei dati personali, devono essere compiute a monte, cioè prima di procedere al trattamento dei dati vero e proprio.

 

2. Il principio di accountability

L’art. 24 GDPR sancisce il principio di accountability – Responsabilità del Titolare del trattamento – nella sua accezione inglese di responsabilizzazione e di rendicontazione. In particolare, il Regolamento pone l’accento sull’adozione di comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione di tutti i principi contenuti all’interno dello stesso Regolamento. Ciò significa, che i soggetti gravati dagli obblighi del GDPR dovranno autoresponsabilizzarsi e adottare precise strategie volte ad assicurare la tutela dei dati personali, con particolare attenzione ai rischi di trattamento illecito degli stessi. L’accountability prevede, dunque, la pianificazione di specifiche policy e tecnologie finalizzate a prevenire principalmente i rischi connessi alla distruzione, all’alterazione, alla perdita e all’accesso non autorizzato ai dati personali. In tal senso, il principio di accountability diviene sinonimo di operazioni di controllo degli accessi ai dati. Tale controllo si basa sulla concezione che gli individui sono responsabili per le proprie azioni all’interno del sistema aziendale e devono renderne conto ai terzi che ne fanno richiesta.

Per rispondere a tali esigenze, il principio di accountability tiene conto di tre sotto principi fondamentali: principio di trasparenza posto che ogni azienda deve offrire la garanzia di poter accedere ai dati personali di cui è in possesso agli interessati che ne fanno richiesta; principio di limitazione delle finalità del trattamento, in quanto il Titolare del trattamento deve trattare solo i dati personali strettamente necessari al perseguimento delle finalità; principio di idoneità e adeguatezza, in quanto l’art. 32 GDPR impone al Titolare del trattamento di adottare misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio[2]. Da ciò si evince che il livello di sicurezza delle misure di protezione non può essere generalizzato e predeterminato ex ante, dovendo piuttosto essere adeguato al singolo caso concreto. Nell’ottica dell’accountability, quindi, il Titolare del trattamento dovrà puntare ex ante allo sviluppo di strumenti da utilizzare per valutare il livello di tutela e di protezione dei dati personali all’interno della propria organizzazione e per dimostrarlo, ex post, all’Autorità Garante per la protezione dei dati personali.

Per leggere il contributo integrale CLICCA QUI!

 

[1] RODOTÀ S., Il diritto di avere diritti, Bari, 2015.

[2] CAVALLARI G., La sicurezza del trattamento: analisi dell’articolo 32 GDPR, Iusinitenere,2018.