Diventa Autore per CoreTech | Scopri di più
20/07/20 Avvocato Dalla Riva Blog
dell’Avvocato Gianluca Dalla Riva
Una delle questioni che interessano molto agli MSP (Managed Service Provider) e, non solo, è capire quali sono le contromisure più corrette per mitigare il rischio nell’ambito dell’adozione di un modello di compliance privacy, in modo che se un domani si va dal Garante o davanti ad un giudice, non ci possano essere contestazioni.
Si vuole insomma una formula (magica) che permetta di scegliere le regole tecniche ed organizzative da applicare al proprio modello di gestione del rischio che garantisca certezza contro eventuali contestazioni.
Quando vai di fronte ad un giudice, di certo non c’è nulla, quindi non esistono formule magiche che permettano di raggiungere una certezza assoluta, ma certo si possono adottare soluzioni ragionevoli e più difendibili rispetto ad altre.
Il tema riguarda l’epistemologia in ambito giudiziale (c.d. epistemologia giudiziaria), ambito che ho avuto modo di approfondire nella mia tesi di laurea in giurisprudenza, in ambito penale, sul libero convincimento del giudice, molti anni fa.
Tali principi li ho poi applicati anche per la compliance privacy, spiegati in dettaglio nel mio corso e-learning sull’analisi e gestione del rischio, in cui in sostanza si parte dal presupposto che ogni regola tecnica è il frutto di un lungo processo di falsificazione in cui ad un certo punto la regola, così vagliata, entra a far parte del bagaglio conoscitivo di una data scienza e quindi di una determinata comunità scientifica di riferimento.
Queste regole formano il paradigma conoscitivo dello “stato dell’arte” (come si esprime lo stesso GDPR), dando luogo a codifiche di regole tecniche da parte di organismi internazionali o nazionali o anche privati, tutti molti autorevoli perché formati da esperti di settore, che si occupano di redigere protocolli e linee guida da seguire.
È chiaro allora che se vai ad applicare queste regole così codificate, puoi sostenere di essere stato diligente perché un tecnico del settore di riferimento le riconosce come valide e quindi da applicare.
Io stesso, nel mio corso sull’analisi e gestione del rischio, allego varie linee guida con l’effetto, per esempio, che alcuni miei clienti hanno cambiato protocolli informatici seguendo queste indicazioni.
Resta il tema complesso della scelta tra più regole tecniche tutte applicabili ad un determinato caso e tutte accettate dalla comunità scientifica di riferimento, essendo sempre possibili più soluzioni ad un problema (e questo anche in ambito informatico).
In questo caso direi che, se è stata adottata una soluzione, supportata da regole tecniche codificate o comunque accettabili da un esperto del settore, a fronte della possibile applicabilità anche di altre regole tecniche anch’esse accettate, allora siamo di fronte ad un caso di speciale difficoltà e quindi si risponde solo per colpa grave ex art. 2236 codice civile (per colpa grave si intende la mancanza di un comportamento che l’esperienza ha dimostrato poter determinare, con un alto livello di probabilità, un danno grave. Per esempio se l’MSP si dimentica di installare l’antivirus, questa negligenza è conosciuta pacificamente per determinare un alto livello di rischio di virus pericolosi).
Certo le situazioni variano e la complessità delle soluzioni non sono facili da spiegare ad un giudice, ma il CTU (Consulente Tecnico d’Ufficio) molto probabilmente evidenzierà che le regole tecniche applicate fanno parte del sapere tecnico di riferimento, quindi ragionevoli in relazione al caso di specie.
Io stesso alle aziende MSP mie clienti quando propongo di preparare l’analisi e gestione del rischio, sottolineo l’importanza di trovare una copertura tecnico-scientifica alle regole tecniche ed organizzative applicate, da indicare in sintesi nelle note della singola contromisura anche solo come rimando (si veda per esempio il complesso di regole legate alla 27001).
La soluzione appare ragionevole e convince, e tu, la trovi ragionevole?