L’industria 4.0 rappresenta oramai una realtà concreta di forte trasformazione digitale, quale processo che porterà alla produzione industriale del tutto automatizzata e interconnessa. Le nuove tecnologie digitali (Internet of Things – IoT) sono fonte di opportunità di business, riduzione dei costi di produzione e di miglioramento dei servizi alle persone. Tuttavia, la grande quantità di dati gestiti quotidianamente dalle aziende pone significative sfide riguardo alla loro protezione e relative misure di sicurezza. Sempre più diffusi sono, infatti, i casi di aziende vittime del cybercrime nelle sue più svariate manifestazioni: dal semplice criptaggio di file al fine di ottenere di un riscatto (ad esempio il famigerato “krypto locker” od il recentissimo “wannacry”), a veri e propri furti di informazioni riservate (konw-how, segreti commerciali) e/o di dati sensibili (dati dei clienti, dei contatti, ecc.). Per altro, rammentiamo che i dispositivi per mezzo dei quali oggi si verificano e si propagano i cyber-attacchi sono molto più vari che in passato: non solo PC, tablet e smartphone, ma anche e soprattutto videocamere, Televisori  e prodotti un tempo non in rete, come gli smartwatches, elettrodomestici vari, ecc.

Dati attuali permettono di evidenziare come i cyber- attacchi si concretizzino soprattutto nelle realtà delle medie e piccole imprese, che risultano impreparate e più vulnerabili di fronte alla minaccia e spesso non adottano i più basilari principi in materia di cyber-sicurezza (ad esempio password complesse e diverse per ogni account, accesso alla rete solo al personale autorizzato, configurazioni aggiornate e formazione ai dipendenti, ecc.); in questo senso anche una recente pubblicazione dell’Osservatorio Information Security&Privacy del Politecnico di Milano conferma che sul totale degli investimenti in materia di security effettuati in Italia nel 2016, il 74% è riconducibile a grandi imprese.

Ancora, l’azienda che non rispetta i parametri richiesti dal nostro ordinamento, si renderà responsabile non solo all’interno (verso i dati dei suoi dipendenti, del proprio know-how e relative perdite economiche, ecc.), ma anche all’esterno (i dati di fornitori, dei clienti, ecc.). Attualmente, la normativa di riferimento in Italia è l’Allegato B del Codice sulla Privacy, ove sono contenute le misure minime da rispettare nel caso di trattamento di dati per mezzo di strumenti elettronici.

In realtà, tale Codice verrà progressivamente sostituito dal Regolamento UE 2016/679, con il quale per la prima volta l’Unione Europea ha preso posizione in materia e che “si applica al trattamento interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi” (art. 2). L’Italia si sta già attivando al fine di portare a termine le procedure richieste (es: Artt. 42 e 43 – creazione di meccanismi e organismi di certificazione della protezione dei dati; Art. 54 – Istituzione autorità di controllo; Art. 84 individuazione delle sanzioni per la violazione del Regolamento; ecc.), entro la deadline fissata al 28 maggio 2018.

Il Regolamento Europeo prevede adempimenti specifici a carico delle aziende; tra essi, utile tenere a mente l’Art. 20 laddove si afferma che “nell’esercitare i propri diritti relativamente alla portabilità dei dati, l’interessato ha il diritto di ottenere la trasmissione diretta dei dati personali da un titolare del trattamento all’altro, se tecnicamente fattibile”. Appare necessaria anche l’introduzione di un apposito report aziendale, all’interno del quale indicare le misure adottate, le implementazioni, al fine di evitare di incorrere nella responsabilità e quindi nella sanzione (ex Art. 30 “Registri delle attività di trattamento”). L’Art. 35 introduce, per casi specifici, l’obbligo di eseguire una “Valutazione d’impatto dei trattamenti previsti sulla protezione dei dati”, volta ad illustrare la necessità di alcune tipologie di trattamento e le conseguenti misure di tutela. Infine viene introdotto l’obbligo di individuare in ogni azienda un Responsabile della protezione dei dati (ex Art. 37), i cui compiti vengono dettagliatamente riassunti nel medesimo articolo.

Il Regolamento Europeo prevede sanzioni pecuniarie estremamente significative e proporzionate al fatturato dell’impresa per i mancati adempimenti, così come richiesti al suo interno. Si badi che, in base all’Art. 82 “Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento”.

 

Contributo inserito nella Newsletter n.2/2017.
Le informazioni contenute nel presente contributo, così come tutto il contenuto del nostro sito web, hanno carattere generale e scopo meramente informativo, naturalmente senza pretesa di esaustività, e non costituiscono attività di consulenza legale mirata.
Nessuna parte di questo contributo può essere riprodotta, distribuita o trasmessa in qualsiasi forma e con qualsiasi mezzo senza la previa autorizzazione scritta dell’autore.
Copyright © Studio Legale Bressan 2017