Previous Page  97 / 100 Next Page
Information
Show Menu
Previous Page 97 / 100 Next Page
Page Background

95

manipolazione o danneggiamento,

i cui esiti possono avere impatti

dannosi, assai rilevanti.

Da un punto di vista legale, per

esempio, in caso di violazione del

sistema frenante di una smartcar

potremmo dover considerare,

oltre alle norme in materia di

danneggiamento e accesso abusivo

a sistemi informatici o telematici,

anche quelle in materia di delitti

contro la persona. Questo per aver

provocato, in ipotesi, attraverso

la violazione informatica, lesioni

personali al conducente o ai

passeggeri, ovvero la loro morte.

Nondimeno, la violazione dello

smarthpone, analogamente a

quanto appena chiarito, potrebbe

implicare di dover considerare, per

la protezione degli interessi o dei

diritti lesi, le norme in materia di

informazioni riservate o di tutela

della corrispondenza.

In questo scenario diventa evidente

quanto sia importante stabilire, per

le organizzazioni che all’interno

di esso devono operare, senza

subire danni a cose o persone,

dei criteri di massima da seguire

nella disciplina dell’uso da parte

del personale addetto, nelle varie

funzioni, degli strumenti e delle

informazioni di cui dispongono.

Byod or not Byod? Questo

è il dilemma

La prima scelta da compiere per

un’organizzazione in merito alle

politiche di sicurezza da applicare

nei confronti del personale

dipendente è quella, non scevra

di importanti implicazioni legali,

relativa all’eventualità di impiego,

da parte di quest’ultimo per finalitá

correlate all’adempimento della

prestazione lavorativa, di dispositivi

di elaborazione propri da integrare,

caso per caso e in base a regole

prestabilite, con policy relative

alla protezione del patrimonio

aziendale.

Oltre le questioni legate al

social enginering o a minacce

piú marcatamente tecnologiche

(malware, trojan etc.), a proposito

del ‘bring your own device’ quello

che è importante sottolineare,

quanto a proteggibilità delle

informazioni aziendali allocate

o elaborate per il tramite di un

dispositivo a uso promiscuo, è

il fatto che, detta promiscuità

limiti, in alcuni casi totalmente,

non solo il controllo preventivo

sulla diffusione, la condivisione

o l’accesso alle informazioni, ma

soprattutto anche drasticamente la

loro successiva stessa disponibilità

per indagini o analisi. Ciò in quanto

nel nostro ordinamento, e in

ambito processual-penalistico, in

particolare, vige la regola per cui

nessuno può essere costretto ad

autoaccusarsi; con la conseguenza

che, in termini pratici, nessuno,

neanche il personale dipendente,

può essere costretto a rivelare,

banalmente, la password di accesso

ai dati di un dispositivo di cui è

proprietario.

Quindi, delle due l’una, o il

dispositivo è di proprietà della

organizzazione e viene usato

nell’ambito di policy scritte,

accettate e correlate a specifiche

configurazioni del dispositivo stesso,

che ne garantiscono, comunque,

l’accessibilità, oppure, il rischio

che l’organizzazione corre è, in

ultima analisi nel peggiore degli

scenari, quello di perdere la

disponibilità delle informazioni in

esso contenute. Intaccando così

ottobre 2016

Giuseppe Serafini

,Avvocato

giuseppe.serafini@ordineavvocati.perugia.it

uno dei tre pilastri del concetto

stesso di sicurezza delle informazioni

che, come sappiamo, devono essere:

riservate, integre e disponibili.

...Ma non è tutto!

Anche nel caso in cui, l’uso di

uno strumento elettronico da

parte di una organizzazione,

sia legittimamente presidiato e

assoggettato a regole puntuali,

rimangono ancora, come vero

e proprio rischio residuo, da

considerare, almeno due evenienze

che possono verificarsi.

In primo luogo il mancato

‘volontario’ rispetto delle regole

stabilite da parte dell’utilizzatore

e, in secondo luogo, ma non certo

per importanza e/o gravità di

impatto, il loro mancato rispetto per

negligenza, imprudenza o imperizia.

In questo quadro si collocano

alla perfezione, come soluzione

di diritto positivo, le norme degli

articoli 29 e 32 comma 4 del

nuovo Regolamento promulgato dal

legislatore comunitario in materia

di protezione dei dati personali.

Espressamente prevedono che:

“Il titolare del trattamento e il

responsabile del trattamento fanno

sì che chiunque agisca sotto la loro

autorità e abbia accesso a dati

personali non tratti tali dati se non

è istruito in tal senso dal titolare del

trattamento”.

NEL PROSSIMO NUMERO

Nel prossimo numero, anche alla

luce dei contenuti sin qui espressi,

ci occuperemo di illustrare, qua-

li siano i contenuti delle recenti

Misure Minime di Sicurezza ICT

per le Pubbliche Amministrazioni,

recentemente rese disponibili sul

sito di AgID.

1 89 90 91 92 93 94 95 96 97 98 99 100  FlippingBook