(A cura di Valerio Ferlizzi)
“Se è riservato verrà lasciato nella fotocopiatrice”
A. Bloch
Nella redazione di questa serie di articoli, che vedono la figura del Professionista della Security al centro dell’attenzione, non potevo non trattare il concetto della “riservatezza”.
Recentemente, in occasione di un corso di formazione dal titolo “Travel Security Specialist”, mi è stato chiesto di trattare il tema legato alla correlazione tra privacy e security, e questo mi ha spinto a ricercare una chiave di lettura che potesse risultare utile agli studenti.
In molti hanno trattato la correlazione tra questi due concetti, primo fra tutti il Prof. Villarosa, con la sua analisi che vede il professionista della security molto vicino al Data Protection Officer, figura professionale recentemente introdotta dal GDPR-General Data Protection Regulation.
I punti di incontro possono essere molteplici, dall’obbiettivo stesso della professione, e quindi la messa in sicurezza di un qualcosa o di un qualcuno, alla collaborazione che questi due ipotetici professionisti devono costruire e mettere a sistema nello svolgimento delle proprie mansioni.
Da qui la volontà di approfondire il concetto di riservatezza, la quale, volendo rispondere alla domanda posta nel titolo del presente articolo, rientra tra i requisiti morali e professionali del Security Manager.
Tale affermazione viene confermata dalla definizione stessa della parola “riservatezza”, la quale secondo Treccani è “Il fatto di essere riservato, discreto e controllato nell’esprimersi e nel comportarsi, come caratteristica e qualità abituale”.
Volendo ampliare il campo di analisi, appare evidente come la legislazione italiana e il garante della privacy europeo siano in linea con tale definizione riportandola nei vari articolati di legge che impongono a chi opera per lo Stato e alle aziende private, un preciso perimetro entro il quale si ha la possibilità di garantire un corretto livello di riservatezza nella gestione delle informazioni.
A tal proposito, volendo effettuare qualche parallelismo con quanto fin qui esposto, appare opportuno analizzare come lo Stato intende affrontare il concetto di riservatezza.
Il legislatore italiano, mediante l’entrata in vigore della legge 124 del 2007, dal titolo “Sistema di informazione per la sicurezza della Repubblica e nuova disciplina del segreto”, ha inteso riformare la gestione delle informazioni e gli organismi che operano per la protezione del Sistema Paese.
Di seguito solo alcuni degli articoli che ho ritenuti utili ai fini del presente articolo:
Articolo 1 “Competenze del Presidente del Consiglio dei Ministri”
Proprio al primo articolo vengono evidenziate le responsabilità che il Presidente del Consiglio dei Ministri ha nella correlazione tra sicurezza nazionale e riservatezza nella gestione delle informazioni.
Tra queste ultime rientrano ad esempio:
- L’assegnazione e la garanzia della tutela del segreto di Stato il quale viene apposto, solo a specifiche condizioni;
- Determinazione dei criteri per l’apposizione o l’opposizione del suddetto, emanando le disposizioni per la sua tutela amministrativa;
- Identificazione dei canoni relativi al rilascio del NOS, ovvero il Nulla Osta Sicurezza;
- Il coordinamento, con il coinvolgimento del Comitato interministeriale per la sicurezza della Repubblica, degli organismi d’informazione al fine di garantire il loro coordinamento.
Articolo 9 “Tutela amministrativa del segreto e nulla osta di sicurezza”
mediante tale articolo è possibile comprendere l’attenzione posta dal legislatore circa la gestione delle informazioni e il relativo livello di riservatezza che gli attori coinvolti devono garantire, infatti vengono trattati due concetti fondamentali, ovvero:
- L’istituzione, nell’ambito del DIS, ovvero il Dipartimento delle Informazioni per la Sicurezza, dell’Ufficio Centrale per la Segretezza, anche conosciuto come UCSe.
Tra le funzioni di tale organismo rientrano:
- L’individuazione delle misure utili a garantire il segreto di Stato, oltre che verificane la corretta applicazione;
- La predisposizione delle misure di tutela di tutto ciò che è classificato;
- La gestione del Nulla Osta Sicurezza, in tutti suoi aspetti conservandone l’elenco di tutti i possessori.
- La riorganizzazione di tutto ciò che riguarda il NOS, il quale:
- Viene rilasciato solo a seguito di un attento accertamento utile a confermare l’effettiva affidabilità e riservatezza del richiedente, oltre che alla fedeltà nei confronti delle istituzioni della Repubblica e della Costituzione;
- Ha specifiche caratteristiche in funzione della classifica di segretezza alla quale appartiene quell’informazione, documento o atto.
- Può essere revocato in qualsiasi momento se chi lo detiene non rispetta i requisiti imposti.
Articolo 39 “Il segreto di Stato”
Tale articolo risulta fondamentale ai fini del presente elaborato perché ci introduce cosa effettivamente intende lo Stato con il termine “segreto”.
Il suddetto infatti, citando testualmente, riguarda tutti “gli atti, i documenti, le notizie, le attività e ogni altra cosa la cui diffusione sia idonea a recare danno all’integrità della Repubblica, anche in relazione ad accordi internazionali, alla difesa delle istituzioni poste dalla Costituzione a suo fondamento, all’indipendenza dello Stato e alle relazioni con essi, alla preparazione e alla difesa militare dello Stato”.
Il legislatore, oltre ad aver evidenziato cosa può essere coperto da segreto di Stato e il perché dell’apposizione, ha anche stabilito le modalità di accesso, stabilendo al comma 2 dell’articolo 39 “Le informazioni, i documenti, gli atti, le attività, le cose e i luoghi coperti da segreto di Stato sono posti a conoscenza esclusivamente dei soggetti e delle autorità chiamati a svolgere rispetto ad essi funzioni essenziali, nei limiti e nelle parti indispensabili per l’assolvimento dei rispettivi compiti e il raggiungimento dei fini rispettivamente fissati. Tutti gli atti riguardanti il segreto di Stato devono essere conservati con accorgimenti atti ad impedirne la manipolazione, la sottrazione o la distruzione.”
Vengono altresì citati i livelli di classificazione di segretezza, i quali sono:
- Riservato;
- Riservatissimo;
- Segreto;
- Segretissimo.
Articolo 41 “Divieto di riferire riguardo a fatti coperti dal segreto di Stato”
Con l’articolo 41 si arriva al punto cruciale del parallelismo tra entità pubblica e privata nella gestione della riservatezza in quanto il legislatore ha evidenziato la necessità di mantenere il segreto circa le informazioni o parte di esse delle quali si entra in possesso, citando testualmente “Ai pubblici ufficiali, ai pubblici impiegati e agli incaricati di pubblico servizio è fatto divieto di riferire riguardo a fatti coperti dal segreto di Stato. Nel processo penale, in ogni stato e grado del procedimento, salvo quanto disposto dall’articolo 202 del codice di procedura penale, come sostituito dall’articolo 40 della presente legge, se è stato opposto il segreto di Stato, l’autorità giudiziaria ne informa il Presidente del Consiglio dei ministri, nella sua qualità di Autorità nazionale per la sicurezza, per le eventuali deliberazioni di sua competenza.”
L’altro esempio che ho ritenuto utile è relativo al già citato GDPR, mediante il quale il legislatore ha inteso unificare le regole fondamentali per la gestione della privacy a livello europeo.
Come è ormai noto, sono state introdotti o confermati diversi aspetti, tra i quali:
- Accountability, concetto non nuovo nella gestione della privacy, mediante il quale si affida si toglie l’imposizione delle norme utili alla protezione dei dati, bensì si affida al diretto interessato la responsabilità di individuare le corrette misure di tutela;
- Privacy by design, che consente di passare da un mero adempimento alla realizzazione di una vera e propria valutazione del rischio (DPIA – Data Protection Impact Assessment);
- Privacy by default, che impone la trattazione dei dati sensibili secondo le modalità e i tempi strettamente necessari al fine per il quale se ne è entrati in possesso;
- Data breach, ovvero una vera e propria violazione del perimetro di sicurezza posto a tutela dei dati, la quale può comportare la distruzione, la perdita, la modifica o la divulgazione non autorizzata.
Ovviamente ciò può avvenire accidentalmente o in modo illecito.
Questi due spunti che ho utilizzato per rispondere alla domanda posta nel titolo del presente articolo certamente possono risultare molto distanti nell’ambito di applicazione ma sono altrettanto vicini nella filosofia d’approccio e il punto d’incontro è da ricercare nelle prime righe ovvero la riservatezza non è un concetto specifico ma un modo di ragionare, di comportarsi, di svolgere le proprie mansioni nella quotidianità al fine di evitare potenziali “data breach” involontari che arrecherebbero danni non solo all’organizzazione per la quale si opera, ma anche alla credibilità e alla professionalità del Security Manager.