Business Continuity & Crisis Management: riflessioni operative sullo stato d'emergenza Covid-19
L'attuale situazione di emergenza legata al Covid-19 sta facendo emergere molteplici aspetti sociali, giuridici ed economici su cui è opportuno riflettere, in relazione al rallentamento produttivo (se non addirittura del totale blocco), che impattano tanto nel breve tanto nel medio lungo termine. La necessità di garantire la continuità aziendale (Business Continuity) dovrebbe essere letta almeno da due prospettive, diverse ma complementari, entrambe rientranti nella declinazione del principio di “accountability” previsto dal GDPR.
Nella prima fase di gestione della crisi (Crisis Management) devono essere effettuate delle scelte ICT ed organizzative, che presuppongono anche una coerenza diretta con tutte le altre disposizioni vigenti, proprio perché vi è una assunzione di responsabilità (in questo caso, è opportuno richiamare il principio di “culpa in eligendo”). A mero titolo esemplificativo, con specifico riferimento all'ambito della protezione dei dati personali, l'opportuna adozione di modalità di “smart-working” non è esente da implicazioni legate alla Cyber-Security ed alla normativa in materia di “Salute e Sicurezza negli ambienti di lavoro”.
Basti pensare, che il “luogo di lavoro” - su cui sono state preventivamente effettuate delle valutazioni sull'esposizioni ai diversi rischi (risk assessment) - si sposta altrove: nel primo caso della Cyber-Security, infatti, è necessario garantire almeno il medesimo livello di sicurezza nella fase di connessione (firewall, antivirus, adozione di vpn, criptazione dei dati), ma anche di natura organizzativa, impartendo opportune e “nuove” istruzioni, per proteggere i dati. Infatti, i device utilizzati (troppo spesso personali) non sempre hanno gli stessi programmi di protezione, vengono connessi a router e/o reti “casalinghi” privi di adeguate e specifiche cautele, ed infine, pc portatili e tablet restano molto spesso “a disposizione” dei familiari (volontariamente o involontariamente), mettendo a rischio la Confidentiality, Integrity and Availability.
Allo stesso modo, il datore di lavoro e titolare del trattamento, deve monitorare (per evitare di “inciampare” nel principio di “culpa in vigilando”) che in itinere i sistemi siano efficientemente efficaci per non esporsi ad eventuali Data Breach.
Dall'altro, vi è una conseguente riflessione legata alla salute e sicurezza: in primis, legata al rispetto di orari e di pause, per cui sarebbe opportuna una “consultazione” con il medico del lavoro ed il responsabile della sicurezza; quindi, sotto il profilo strettamente operativo, gli schermi (dei pc, smartphone e tablet), le tastiere, i mouse, etc. sono a stretto contatto con le persone, potendo diventare un veicolo che favorisce la trasmissione del virus. Per tali ragioni, è opportuno (se non addirittura necessario) che si adottino delle prassi o procedure (tanto per chi resta a lavorare in ufficio o quanto per chi a maggior ragione lavora in smart-working) di pulizia (o meglio dire disinfezione) “costante” degli stessi.
Una banale (ma pratica ed efficace) soluzione, per limitare il contatto di terzi con questi strumenti, è quella di avvolgerli con la pellicola trasparente (ad esempio, quella alimentare) durante l'uso, per poi accuratamente cestinarla al termine.
Va detto che, queste ed altre soluzioni e misure (si richiamano, ad esempio, le “improbabili” misure preventive, correlate alla somministrazione di questionari all'ingresso delle aziende, censurate lo scorso 02 marzo dall'Autorità Garante, anche perché in netto contrasto con il Decreto legislativo 9 aprile 2008, n. 81) è opportuno che siano preventivamente formalizzate (sul piano formale, per dimostrare la necessaria buona fede, buon senso, e capacità gestionale; mentre su quello sostanziale, divulgando le istruzioni, per non esporsi a maggiori rischi di quanto sia “accettabile”), nel quadro delle diverse normative applicabili per la gestione della fase “extra-ordinaria” di emergenza: infatti, va ricordato che oltre alle specifiche disposizioni del GDPR, potrebbero essere anche configurarsi alcune condotte (in relazione alle specifiche circostanze) con effetti anche sul Modello Organizzativo Gestionale e di Controllo ex D.Lgs.231/2001, e sulla attività dell'Organismo di Vigilanza.
Chiaramente, in questo modo nella fase inter-pandemica (a conclusione della stato di emergenza), sarà possibile fare le necessarie valutazioni di merito, per aggiornare il Privacy Risk Assessment ed eventualmente prevedere i conseguenti follow-up.
