Per proteggere i dati aziendali esistono due metodi complementari. Da un lato, occorre garantire la sicurezza dell’autenticazione di chi accede. Dall’altro, occorre identificare il grado di riservatezza dei documenti gestiti dall’impresa e sapere chi li può consultare. Ma perché è così importante e, soprattutto, come garantire la protezione di un documento riservato?
Personale e riservato: la differenza tra le due cose
Per evitare confusione, stabiliamo rapidamente la differenza tra un dato personale e un documento riservato.
Cos’è un dato personale
Un dato a carattere personale è un’informazione che permette di identificare una persona fisica, direttamente o indirettamente. Questo può avvenire grazie all’uso di una registrazione (come un numero identificativo) o di diversi dati/caratteristiche personali.
Parliamo così di dati riservati. L’identificazione passa attraverso un controllo incrociato relativo all’individuo (cognome e nome, indirizzo, data di nascita, indirizzo e-mail, numero di telefono, codice fiscale, ecc.).
La natura di un documento riservato
Le aziende hanno la responsabilità di generare un grande numero di dati di diversa natura. Più l’impresa è grande, più sono numerosi i dati da gestire. Per citarne alcuni: statuti e dati personali dei dipendenti, coordinate dei partner commerciali, contratti aziendali, brevetti vari, piani sociali, rapporti finanziari e così via.
Alcune di queste informazioni sono estremamente sensibili e/o segrete e passano attraverso documenti riservati. Quando si parla di documenti riservati, si tratta quindi di gestire il grado di riservatezza di un’informazione custodita e/o trasmessa dall’azienda.
La protezione di un documento riservato
Siamo nel 21° secolo. Più che mai, la protezione delle informazioni è cruciale per il buon funzionamento di un’azienda, ancora di più se questa gestisce affari a livello internazionale. Altrimenti, senza porsi le domande giuste, un documento riservato rischia rapidamente di non esserlo più.
Il rischio per un documento riservato
Ai giorni nostri tutto è smaterializzato o quasi. Il rischio è magari meno frequente di dimenticare (o di farsi rubare) una cartella piena di documenti. Ma al giorno d’oggi le aziende sono sempre più frequentemente vittime di spionaggio virtuale e di pirateria informatica. È legittimo preoccuparsi dei documenti riservati.
Rispetto ai documenti su carta, è molto più difficile recuperare un’informazione divulgata o distruggere tutte le copie. Se una e-mail esce dalla cerchia privata dell’azienda, non c’è più niente da fare. L’informazione viaggia veloce come un fuscello al vento.
Le domande da porsi
Se un’azienda vuole creare un documento riservato oggi, è essenziale porsi innanzitutto le domande giuste:
- A chi è destinato il documento in questione?
- Per quanto tempo deve restare accessibile?
- Si tratta proprio di un documento di carattere riservato?
Rispondendo a queste tre domande si può determinare quale importanza dare al documento in termini di riservatezza. E indicarlo in tale documento per proteggere le informazioni sensibili che contiene.
L’aspetto legale del problema
Fissare un livello di riservatezza per i documenti, da cui deriva l’evoluzione dei mezzi di comunicazione dello scambio all’interno dell’azienda. Bisogna impedire l’ottenimento, la divulgazione e l’utilizzo illegali di un documento riservato (segreti di fabbricazione, strategia commerciale, resoconti delle negoziazioni, dati sulla clientela, ecc.). Le aziende hanno dunque degli obblighi da rispettare se vogliono proteggere efficacemente i loro scambi, soprattutto nella fase precontrattuale.
L’obbligo di riservatezza di un’azienda
Quando sono in una fase di negoziazione commerciale, due aziende devono dare prova di quella che si chiama buona fede contrattuale. Ciascuna ha l’obbligo di rispettare la riservatezza delle informazioni che detengono e di non servirsene per proprio conto. Questo perché firmano degli accordi di riservatezza.
Ma ogni azienda è responsabile della sicurezza dei dati aziendali che detiene. Deve attuare misure di protezione ragionevoli contro il furto o la perdita di documenti. Altrimenti non potrà far valere i propri diritti di fronte a un tribunale. Occorre quindi attuare un processo che sia in grado di:
- Identificare un documento riservato;
- Classificare questo documento;
- Proteggere questo documento con il metodo appropriato.
In caso di divulgazione di un documento riservato
Contare solamente sul principio di buona fede contrattuale è un errore. Il rischio di vedere un documento riservato divulgato è ancora maggiore. Se un documento di cui l’azienda è responsabile dovesse essere reso pubblico o uscire dalla cerchia privata a cui appartiene, l’azienda può essere perseguita in tribunale.
A seconda del caso, i rischi per l’impresa sono:
- procedimenti per concorrenza sleale (responsabilità extracontrattuale);
- essere imputata per un procedimento penale (per la rivelazione di un’informazione segreta).
Come proteggere un documento riservato
È quindi essenziale proteggere i documenti in base alla loro importanza. Quando due entità commerciali si scambiano informazioni, è necessario attribuire un codice ai documenti digitali. Così è possibile identificarli come documenti riservati o meno. Il marchio indicato sul documento è un’avvertenza sulle conseguenze possibili, in caso di perdita o di furto.
Per garantire la protezione di un documento riservato esistono quattro codici diversi. Ciascun codice indica quindi così chiaramente se l’informazione è pubblica, sensibile, critica o se è di importanza strategica.
I documenti contrassegnati con C0 o NC
Le lettere NC significano “Non Classificato”. Questo livello di riservatezza rappresenta letteralmente il grado zero (da cui la cifra 0) della sensibilità del documento. Un documento contrassegnato con “C0” può circolare al di fuori del vostro perimetro. Ciò non comporta alcuna conseguenza in termini di sicurezza o di riservatezza.
I documenti contrassegnati con C1
L’etichetta “C1” indica che il documento è destinato a un uso interno. Questo è spesso il livello di riservatezza applicato in modo predefinito. Il documento e le informazioni che contiene possono circolare liberamente all’interno dell’azienda, ma non al di fuori di essa.
I documenti contrassegnati con C2
Quando un documento è contrassegnato con “C2” vuol dire che i dati sensibili che contiene sono considerati a diffusione limitata. Queste informazioni non possono essere comunicate a persone che non abbiano l’autorizzazione. I destinatari possono tuttavia essere persone interne o esterne al servizio e/o all’azienda.
Una violazione di questa riservatezza può danneggiare il funzionamento del reparto, del dominio o del servizio che ne è all’origine. L’azienda rischia procedimenti giudiziari.
I documenti contrassegnati con C3
L’etichetta “C3” rappresenta il più alto livello di riservatezza attribuito a un documento. I dati riservati che contiene sono classificati come segreti. Se è presente il marchio “C3” si tratta di un documento la cui perdita o il cui furto rischia di danneggiare gli interessi strategici, la sicurezza o l’esistenza stessa dell’azienda. Solo il personale debitamente autorizzato può attribuire questo grado di riservatezza a un documento. Ancora una volta, queste informazioni non possono essere consultate se non da persone che dispongono della relativa autorizzazione.
Ora conoscete le ragioni che spingono un’azienda a proteggere l’accesso a un documento riservato. La semplice buona fede contrattuale non è sufficiente a garantire la sicurezza delle informazioni. Il rischio di perdita o di furto informatico cresce con il passare del tempo. Occorre quindi utilizzare dispositivi e una classificazione adeguati.