Il fenomeno della digitalizzazione dei beni e dei rapporti, in forza del quale gli assett delle imprese – tra i quali: know how, brevetti, informazioni riservate etc. – sono sempre più spesso digitali sin dalla loro creazione o digitalizzati in un momento successivo, come logica conseguenza determina il fatto che questi possano essere aggrediti, danneggiati o sottratti, digitalmente, dall’esterno o dall’interno dell’organizzazione che li controlla. Non solo, ulteriore conseguenza di questa situazione, è il fatto che, anche le prove riferibili agli illeciti appena citati sempre più spesso sono reperibili in modo esclusivo all’interno di sistemi elettronici di elaborazione, nella disponibilità sia dell’azienda vittima sia di terzi che, a quest’ultima, offrono servizi in outsourcing, per esempio di backup o di storage in cloud.
Gli aspetti critici di una investigazione digitale
Nel quadro descritto, è evidente come l’attivitá di indagine diretta ad accertare un illecito digitale, svolta per esempio dal consulente nominato dal difensore della società ai sensi degli art. 391 bis e ss del Codice di Procedura Penale, si caratterizzi, da una parte, nell’impattare fortemente l’operatività quotidiana dell’azienda, rischiando di paralizzarla e, dall’altra, nel sottoporre a investiga- zione digitale anche sistemi che contengono, oltre a informazioni utili per l’indagine, dati personali o documenti, pure rilevanti da un punto di vista economico o legale, ma che, con il reato da accertare, poco o nulla hanno a che vedere. Basti pensare, per esempio, al fatto che per documentare violazioni delle procedure aziendali relative ad accessi non autorizzati a determinati dati, ai sensi dell’art. 615 ter del codice penale potrebbe essere necessario consentire a terzi, dotati delle necessarie competenze non sempre disponibili in azienda, di svolgere analisi o ricerche su tutta la corrispondenza telematica, dandogli accesso all’intero archivio di tutte le e-mail ricevute e inviate dal sospettato o dai sospettati. In questi casi, il rischio, ulteriore, che l’azienda, e per essa il suo difensore o i soggetti che materialmente svolgono le indagini corrono, è quello di violare o di consentire che siano violati i diritti dei soggetti estranei al crimine commesso.
Cosa prevede il codice di deontologia e buona condotta.
Fin dal 2008, anche per queste ragioni, il Garante per la Protezione dei Dati Personali è intervenuto in una materia così delicata che, con provvedimento dedicato, ha emanato, il 24 novembre di quell’anno, il Codice di deontologia e di buona condotta per i trattamenti di dati personali effettuati per svolgere investigazioni difensive (in G.U. 24.11.2008, nr. 275). Il Codice, per quanto qui ci interessa, si applica, da un punto di vista soggettivo nei confronti di tutti coloro che, a vario titolo, partecipano alle operazioni di indagine, quindi: avvocati, investigatori privati, consulenti e altri soggetti. E, da un punto di vista oggettivo, a tutti i dati personali, sensibili, genetici, biometrici etc., il cui trattamento è finalizzato sia allo svolgimento di attività dirette a far valere o difendere un diritto in sede giudiziaria, sia in fase stragiudiziale e sia nelle fasi propedeutiche all’instaurazione di un eventuale giudizio. Quest’ultimo ambito di applicazione, è molto rilevante con riferimento allo svolgimento di operazioni di investigazione digitale in ambito aziendale, poiché, per ragioni di varia natura, si constata una ragionevole ritrosia da parte delle imprese, soprattutto per motivi reputazionali, nel denunziare eventuali crimini informatici di cui siano state vittima alle Autorità di Polizia Giudiziaria.
Come procedere con indagini interne preventive
In effetti, capita sovente che, prima di divulgare notizie relative a reati subiti, in grado di esprimere, di per se, violazioni della sicurezza ed evidenziare mancanze, anche gravi, nelle politiche di sicurezza dell’impresa stessa, quest’ultima ritenga preferibile procedere, con indagini interne, ad attività di investigazione difensiva preventiva, che è consentita, dalle norme ricordate, per gli atti che non richiedo l’autorizzazione o l’intervento dell’Autorità Giudiziaria, anche per l’eventualità che si instauri un procedimento penale; quindi prima del suo inizio. Tali operazioni, tecnicamente non sempre semplici, ma da condurre con molta delicatezza in vista dell’eventuale processo, devono essere svolte, in primo luogo, previo conferimento di apposito mandato a un difensore con atto che deve avere sottoscrizione autentica e data certa e, in secondo luogo, previa nomina da parte del difensore autorizzato, a sua volta, dei soggetti che parteciperanno materialmente allo svolgimento delle specifiche attività, nella qualità, se non titolari autonomi, di incaricati o responsabili del trattamento in materia di protezione dei dati personali, ai sensi degli artt. 30 e 29 del relativo codice. Il Garante ha inoltre specificato che, ai sensi dell’art. 11 del Codice Privacy, i dati utilizzati risultino strettamente funzionali all’esercizio del diritto di difesa, in conformità ai principi di proporzionalità, pertinenza, completezza e non eccedenza rispetto alle finalità difensive. Specifica attenzione deve quindi essere prestata nell’adozione di idonee cautele per prevenire l’ingiustificata raccolta, utilizzazione o conoscenza dei dati, in ambiente digitale, nei seguenti casi: scambio di corrispondenza per via telematica, utilizzo di dati di cui è dubbio l’impiego lecito anche per effetto del ricorso a tecniche invasive e infine, utilizzo e distruzione di dati riportati su particolari dispositivi o supporti come registrazioni audio/ video, tabulati di flussi telefonici e informatici etc.
Conclusioni
Da questa sintetica disamina delle principali disposizioni di legge applicabili al trattamento dei dati personali, nell’ambito delle attività di investigazione difensive specialmente in presenza di prove/evidenze digitali, si può constatare come la materia si presenta particolarmente difficile da affrontare, implicando in più momenti il bilanciamento non sempre agevole degli interessi, anche contrapposti, in gioco. È il caso però di osservare come alla luce di tutto questo si riesca, muovendo da un angolo visuale più ampio che non si limiti al particolare delle singole operazioni di investigazione e tenendo presente la disciplina applicabile alla sicurezza delle informazioni, a immaginare, in modo coerente, la strutturazione di procedure aziendali specifiche, idonee a supportare l’impresa, anche in queste delicate fasi della sua vita, comunque necessarie alla protezione dei propri diritti e interessi.
