I recenti avvenimenti mondiali hanno reso evidente come il passaggio al digitale sia diventato sempre più necessario. La trasformazione digitale implica inevitabilmente una completa revisione dei processi, delle relazioni (interne ed esterne) e dei servizi forniti. Digitalizzare l’ufficio legale significa infatti tornare a focalizzarsi sulle proprie attività fondamentali: fornire consulenza legale e creare valore.

Abbiamo preparato un Fact Sheet per fornirvi alcuni consigli pratici su come affrontare il passaggio al digitale. Sebbene scegliere e implementare nuove soluzioni non sia in molto casi un compito semplice, i benefici ottenibili in termini di efficientamento dei processi e contenimento dei costi sono innegabili. Recenti studi dimostrano come gli uffici legali che hanno avviato un processo di digitalizzazione  standardizzino i compiti comuni e ripetitivi e tendano ad esternalizzare meno attività.

DiliTrust Governance è una  piattaforma legale collaborativa e sicura, progettata specificatamente per il dipartimento legale aziendale: la soluzione permette ai Chief Legal Officers di semplificare la gestione legale e di organizzarne tutte le attività. Facile e intuitiva, DiliTrust Governance è certificata ISO 27001 e i dati sono ospitati su server europei, non soggetti a normative potenzialmente invasive della privacy, come il Cloud act americano.

E’ il momento di fare il punto e interrogarsi sull’opportunità di avviare un processo di digitalizzazione dell’ufficio legale: iniziate consultando il nostro Fact Sheet.

Il processo di trasformazione digitale delle aziende avviato da tempo e accelerato dall’emergenza sanitaria ha moltiplicato i rischi connessi alla sicurezza informatica. Così, anche se a lungo colpevolmente trascurata, la cybersecurity si impone oggi con forza all’attenzione dei General Counsel.

Quando si parla di cybersecurity riecheggia spesso una citazione attribuita al prof. Eugene Howard Spafford: “L’unico sistema veramente sicuro è quello spento, gettato in un blocco di cemento e sigillato in una stanza piombata con delle guardie armate – e anche così ho dei dubbi”. L’iperbolica affermazione ci vuole ricordare che ogni volta che si interagisce con un sistema informatico lo si espone inevitabilmente a dei rischi. In una fase storica così delicata come la nostra dove le possibilità offerte dalla trasformazione digitale sono divenute delle necessità categoriche, la quantità di lavoro svolta attraverso cloud, web app più in generale attraverso dispositivi connessi alla rete internet globale, è aumentata notevolmente e con essa i rischi di divenire bersagli di cyber attacchi potenzialmente molto dannosi. Con lo smart working, inoltre, ci si è trovati nella condizione di dover utilizzare dispositivi e reti domestiche solitamente meno sicure e più vulnerabili con risultati che parlano da soli.

Impennata di attacchi informatici

Gli attacchi informatici in Italia hanno subito un incremento di oltre il 250% nel secondo trimestre rispetto al primo, con un picco nel mese di giugno quando ormai tutte le attività economiche nel nostro Paese erano riprese.

Un aumento percentuale decisamente notevole che ha riguardato principalmente la sicurezza e la conservazione di dati essenziali. Qui i temi piuttosto scottanti, anche a livello normativo per il rischio di sanzioni, della sicurezza dei dati e la tutela della privacy si intrecciano fra loro richiedendo, dunque, una seria analisi e piano di azione da parte di tutti i General Counsel, su cui ricade solitamente la gestione dei rischi all’interno dell’azienda.

Gli attacchi sono stati possibili da un lato per l’inadeguatezza delle misure di protezione dei dati e dei sistemi informatici, ma dall’altro per un mancato investimento nella cultura digitale degli utenti. Molto più spesso di quanto si pensi, sono le stesse persone, ingannate attraverso phishing o social engineering, a fornire credenziali e informazioni essenziali o ad avviare un software malevolo.

I costi delle violazioni ci ricordano l’importanza della cybersecurity

Le conseguenze sono non di poco conto: il costo dei data breaches per le aziende ha mostrato come ogni episodio costi in media 3,86 milioni di dollari a livello globale; 2,90 milioni di dollari se si prendono in considerazione solo le aziende italiane.

Software malevoli ed errori umani sono le principali cause dei data breaches e solo in misura minoritaria (19%) le violazioni avvengono per falle proprie del sistema. Per migliorare la situazione è certamente necessario intervenire nei reparti della sicurezza informatica ma spesso i CISO lamentano di svolgere un ruolo prettamente tecnico e non avere potere decisionale in merito alla gestione di questi eventi.

La cybersecurity si configura, dunque, come un problema di governance che ricade oggi nelle competenze dei General Counsel. Risulta evidente la necessità di porre il tema della cybersecurity in cima alla lista delle priorità.

La questione parte innanzitutto dalla privacy all’interno dell’azienda: molti dei data breaches analizzati riguardavano dati personali e sensibili del proprio personale. Inoltre, sui loro computer, tablet e smartphone sono passati, durante il periodo di lockdown, anche dati dell’azienda e dei clienti con tutti i rischi del caso. I data breaches determinano immediate conseguenze non solo sul piano economico ma anche sul piano reputazionale: essendo ormai quasi accettata l’eventualità di un attacco, l’immagine dell’azienda, in questi casi, sarà strettamente legata alla capacità di reazione e contenimento della violazione. Quella che di fatto è una minaccia può rappresentare in via mediata una situazione in cui brillare e venirne fuori con una reputazione addirittura migliorata.

I passi da seguire per combattere i cyber attacchi

Affrontare la minaccia dei cyber attacchi non è semplice, a maggior ragione per i General Counsel che vengono da un tipo di formazione e bagaglio di competenze molto diverso da quello dell’IT. Innanzitutto si rende necessario uno stretto rapporto di collaborazione tra la direzione degli affari legali ed i tecnici della sicurezza informatica. Il primo passo è quello di avere una chiara idea di quanto spazio viene occupato dai sistemi informatici nell’azienda per analizzarne criticità e possibili rischi futuri. Può essere utile anche studiare casi di attacchi subiti da altre realtà ed imparare dai loro errori.

Si potranno poi mettere in campo protocolli e procedure idonee a prevenire da un lato e contenere dall’altro possibili attacchi informatici. La prevenzione passa soprattutto per la formazione del personale con una maggior diffusione della cultura digitale e con essa la capacità di riconoscere i vari tentativi di phishing, drive by download ecc.

È poi essenziale avere un piano di azione in caso di attacco che sia in grado di garantire un’immediata risposta – entro le 48 ore – per affrontare la minaccia da diversi punti di vista: legale, informatico ma anche della comunicazione. Può risultare vincente la scelta di individuare preventivamente le figure di riferimento per ciascun settore che avranno il compito di prendere le decisioni chiave in caso di attacco.

Strumenti per gestire dati e attività in maniera sicura

La gestione della sicurezza passa necessariamente attraverso la collaborazione fra tutti i soggetti che operano all’interno dei processi aziendali. Il coordinamento di queste energie, oggi, per forza di cose spetta agli uffici legali che tuttavia possono essere agevolati in questo complesso compito grazie all’adozione di piattaforme legali collaborative e sicure – come Dilitrust Governance  – che consentono di gestire al meglio i dati sia sotto il profilo della consultazione che della loro protezione. La piattaforma è concepita per rispondere in maniera specifica alle esigenze dei giuristi di impresa tenendo conto della necessità di strutturare i dati in modo che siano sempre facilmente accessibili e allo stesso tempo protetti sulla base di protocolli di sicurezza collaudati e certificati secondo standard internazionali.

I notevoli progressi in campo tecnologico non potevano esimere il settore legale da una trasformazione digitale: intraprendere il cammino della digitalizzazione apre nuove opportunità per il giurista d’impresa, il cui ruolo è più centrale che mai.

La mole di lavoro svolta dalle direzioni legali nelle grandi e medie imprese è oggi divenuta estremamente importante ed abbraccia ogni aspetto dell’attività d’impresa. Strutture societarie complesse e nuove problematiche poste dalle continue evoluzioni tecnologiche e normative, pongono i General Counsel nella delicata posizione di dover conoscere e seguire ogni ambito dell’azienda, innanzitutto per garantire la compliance a criteri normativi che invadono sempre più settori: il GDPR è stato uno dei più importanti cambiamenti degli ultimi anni ma rappresenta comunque solo una delle voci della funzione di compliance affidata alle direzioni legali accanto ad es. all’antitrust o alla responsabilità amministrativa ex legge 231/2001.

Prospettive futur(istich)e per il giurista d’impresa

Da un rapporto realizzato da Chief Executive Group and BarkerGilmore emerge con forza la tendenza ad affidare e a chiedere al General Counsel un apporto che va molto al di là del suo ruolo tradizionalmente relegato a gestione dei rischi e compliance. Nelle grandi società per azioni analizzate nello studio l’84% degli amministratori delegati ha introdotto il General Counsel nel leadership team. Il giurista d’impresa non può più essere un puro uomo di legge, anzi, dallo studio emerge come il 70% dei CEO chieda ai propri General Counsel di essere in grado di dare il proprio contributo nella pianificazione strategica dell’azienda, nel prendere decisioni importanti e nello sviluppare idee per la crescita del business. Richieste che rappresentano una grossa sfida per il giurista ma che offrono anche l’opportunità di guadagnare rilievo e importanza nell’organigramma aziendale.

I General Counsel alle prese con la trasformazione digitale

In questa prospettiva la grande quantità di informazioni e di dati che le direzioni legali devono gestire necessitano di strumenti come DiliTrust Governance per ridurre in maniera considerevole il dispendio di energie e di tempo necessari a processarli e per ottimizzarne l’accessibilità. La possibilità di classificare ed analizzare in maniera smart le informazioni raccolte e generare report automatici,  consente di semplificare la gestione degli uffici legali e il loro controllo sull’attività societaria. In questo modo il General Counsel è facilitato nell’avere una più approfondita conoscenza dell’azienda, dei prodotti e dei servizi offerti e più tempo per comprendere lo scenario in cui la propria azienda compete. Il General Counsel è posto nella condizione di acquisire gli strumenti necessari a fare in modo che la sua attitudine al problem solving possa essere applicata tanto al mondo legale quanto alle decisioni più strettamente economiche e commerciali, come richiesto dai CEO dello studio sopra citato.

Questioni di sicurezza

La diffusione degli strumenti informatici per la gestione del lavoro offre, dunque, notevoli vantaggi nel fornire un quadro generale al General Counsel ma porta con sé anche numerose sfide. Il giurista d’impresa custodisce dati e risorse dei propri clienti, gestisce contratti, può svolgere la funzione di Segretariato per il CdA, copre quindi una vasta gamma di attività che per loro natura sono fortemente esposte al rischio di attacchi informatici.

Il livello di sicurezza garantito dai gestionali per gli uffici legali rappresenta un punto cruciale: la necessità di bilanciare la massima accessibilità ai documenti e la loro sicurezza è una delle questioni centrali per ogni direzione legale e al tempo stesso un importante aspetto della loro funzione di compliance. DiliTrust Governance è un perfetto esempio di piattaforma collaborativa che assiste il giurista d’impresa ponendo la questione della sicurezza in primo piano. File e dati sempre accessibili grazie al cloud sono, infatti, fisicamente localizzati in Europa, fuori dall’ambito applicativo di normative controverse come il Cloud Act. Le misure di sicurezza adottate rispondono ai più elevanti standard internazionali (ISO 27001) e sono conformi al sistema di trattamento dei dati personali delineato dal GDPR, il regolamento europeo generale sulla protezione dei dati.

Anche da questo punto di vista il ruolo del General Counsel si evolve e muta, e con l’avvento del GDPR spesso copre anche il ruolo di DPO (Data Protection Officer). Questo comporta che il giurista d’impresa non possa più limitarsi a verificare la compliance in materia di sicurezza informatica ma debba sempre più tendere alla supervisione di questo aspetto, ancora troppo spesso appaltato all’IT. Solo il 17% dei giuristi d’impresa gestisce la cybersecurity, un ambito aziendale continuamente sottoposto a interventi normativi a livello nazionale e internazionale e che ha estremo bisogno di una prospettiva strategica da parte di un esperto di diritto.

La digitalizzazione delle riunioni societarie è oggi divenuta, in uno, obbligo ed opportunità. Da un lato la necessità (resa anche più gravosa dall’emergenza sanitaria) di gestire i rapporti con realtà diverse in Paesi di tutto il mondo e dall’altra l’opportunità di sfruttare i nuovi strumenti digitali per ottenere maggior efficienza e flessibilità.

Espressioni come smart working o lavoro agile sono ormai divenute di uso quotidiano pur non essendo state di certo inventate in questi mesi. La pandemia di Covid-19 ha inciso profondamente in tutti gli aspetti delle vite delle persone ed anche le strutture societarie hanno dovuto adattare i propri ingranaggi alle nuove circostanze. L’impossibilità di tenere riunioni societarie di persona e, in genere, di far funzionare nel mondo analogico quasi tutti gli organi collegiali di un’azienda ha posto con forza la necessità di trovare nuove soluzioni ad una situazione assolutamente senza precedenti. Così, costretti ad ampliare o anche solo a spostare di qualche grado la propria prospettiva, i CDA hanno scoperto che la digitalizzazione è un’opportunità da non lasciarsi scappare per perseguire in generale una migliore governance aziendale, anche al di là delle contingenti esigenze legate all’emergenza sanitaria.

Quest’ultima ha certamente spinto le imprese a scegliere tra la completa paralisi e un’accelerazione del processo di trasformazione digitale. Un rapporto Istat dello scorso 15 giugno ha mostrato numeri sorprendenti in tema di smart working: una realtà che, come accennavamo in precedenza, non era del tutto sconosciuta alle imprese italiane pur riguardando solo l’1.2 % dei lavoratori fino al periodo gennaio-febbraio. L’esplosione della pandemia nel nostro Paese ha determinato un’improvvisa impennata di questa percentuale: in generale la grande e media impresa hanno deciso di convertire l’organizzazione aziendale portando le quote di lavoro da casa rispettivamente al 31,4% e al 21,6% (partendo da percentuali irrisorie del 4,4% e 2,2%).

DIGITALIZZARE LE RIUNIONI SOCIETARIE: perché le aziende italiane stanno adottando soluzioni smart

Cifre notevoli che assumono un significato ancor più forte, che va oltre il Covid-19, quando si vanno ad analizzare come sono cambiate queste percentuali con il venir meno del rigido periodo di lockdown. Pur con qualche fisiologico punto di flessione, lo smart working continua ad essere impiegato nei mesi di maggio e giugno per il 25,1% dei lavoratori delle grandi imprese e 16,2% di quelle medie. Il lavoro agile ha rappresentato un utile strumento per contrastare il rallentamento dell’economia alternativo alla paralisi dell’attività, licenziamenti o ridimensionamento dell’azienda stessa sul mercato. Il processo di digitalizzazione dimostra di essere, al di là dell’emergenza, valido ed efficiente: la trasformazione delle imprese in questa direzione da step obbligato è divenuta una consapevole scelta di organizzazione del lavoro per la crescita e per il futuro.

Tutto questo trova un fortissimo riscontro soprattutto nelle stanze dei bottoni delle aziende: la possibilità di tenere riunioni societarie, CDA e comitati dematerializzando tutto quel processo che va dall’organizzazione e la convocazione della seduta collegiale fino alla firma dei documenti è sembrata a lungo qualcosa di futuristico e poco praticabile, ma che oggi appare, invece, in tutta evidenza sempre più concreto e necessario. Gestire i processi di decisione e controllo e il lavoro dei vari organi collegiali è stato da sempre complesso e macchinoso: faldoni di documenti da studiare e portarsi dietro, appunti da condividere con più persone, spostamenti per partecipare alle riunioni societarie sono solo alcune delle zavorre che vengono meno con la digitalizzazione delle riunioni di CDA, comitati e organi societari collegiali in genere.

Che cos’è il CDA digitale?

Il CDA Digitale è di fatto una piattaforma software che offre tutti gli strumenti per gestire in maniera dematerializzata il funzionamento di un CDA, sebbene il principio di funzionamento si adatti tranquillamente ad ogni altra riunione societaria. Si tratta di soluzioni che seguono tutte le fasi di un CDA a partire dalla redazione dell’ordine del giorno e la necessaria convocazione. L’elemento più significativo è l’abbandono, totale o quasi, della carta in favore di archivi completamente digitali in grado di fornire un accesso istantaneo a risorse documentali e favorire la collaborazione fra diverse persone. La gestione dei documenti su cloud fa sì che con un semplice tablet e una connessione internet si possa accedere a tutto quanto necessario alla riunione societaria, prendere appunti, condividerli, insomma quelli che vengono definiti strumenti di lavoro “a distanza” finiscono per offrire l’indubbio beneficio di favorire una più stretta collaborazione e comunicazione tra i soggetti interessati.

Le regole, sia esterne che interne, cui è sottoposta un’azienda richiedono soluzioni informatiche specifiche che tengano conto del concreto modo di funzionare delle strutture societarie. È per questo che soluzioni come DiliTrust Exec sono pensate specificamente per gestire CDA Digitali, fornendo quanto necessario ad un CDA non solo nella fase preparatoria ma anche nel suo effettivo svolgimento: il verbale, la votazione e la firma vengono gestite dal software in modo da facilitare gli aspetti più burocratici, favorire l’attenzione sugli aspetti essenziali dell’attività di un board e garantire al contempo la massima trasparenza.

Soluzioni per i problemi di sicurezza

Tracciabilità e trasparenza sono due aspetti chiave che fanno della digitalizzazione della governance aziendale una soluzione estremamente valida anche per quanto attiene alla sicurezza dei dati e in particolar modo dei dati sensibili. Fino a quando le informazioni viaggiano su carta o attraverso mail che vengono a loro volta stampate si pongono seri rischi di sicurezza che nessuna società può permettersi e in particolar modo società come quelle per azioni. Passare ad una soluzione smart consente di allocare in maniera sicura tutti i documenti in modo che da un lato siano sempre accessibili per le persone autorizzate ma dall’altro restino assolutamente inarrivabili per chi deve restarvi estraneo.

Il risvolto della medaglia è che la diversa natura dei documenti digitali pone diversi rischi e alcuni aspetti critici da affrontare in relazione alla sicurezza dei dati. È per questo che soluzioni come DiliTrust Exec sono progettate per essere in grado di rispondere ai requisiti fissati da standard internazionali come l’ISO 27001, relativo, appunto ai sistemi di gestione della sicurezza informatica. Non parliamo infatti solo di gestione della privacy e di trattamento dei dati personali, ma più in generale le informazioni costituiscono oggi gli assetti più rilevanti di un’azienda ed in quanto tali vanno protetti tanto da accessi indesiderati quanto dal punto di vista della loro integrità. È cruciale dotarsi di strumenti volti a prevenire la perdita di dati attraverso sistemi di backup ma anche soluzioni di Disaster Recovery che approccino l’eventualità di calamità o situazioni eccezionali in modo da poter in ogni caso garantire il prosieguo dell’attività societaria e limitare, di conseguenza, i danni.

Lo scorso giovedì 16 luglio 2020 la Corte di Giustizia dell’Unione Europea ha annullato il Privacy Shield [1] , uno dei principali strumenti che legittimavano il trasferimento di dati personali dall’Unione Europea verso gli USA nel pieno rispetto del GDPR.

Il Privacy Shield è caduto: e ora?

Sul versante americano dell’Atlantico, tutte le aziende del settore tecnologico vedono la propria posizione indebolirsi sul secondo mercato più grande del mondo, l’Europa.

Sul versante europeo, le opinioni sono discordi e riflettono le consuete fratture in materia di protezione dei dati personali. I sostenitori della privacy lo interpretano come un campanello d’allarme per gli Stati Uniti, il paese della NSA e di altre agenzie governative superpotenti. Le startup europee e i sostenitori della sovranità digitale stanno studiando il modo per guadagnare quote di mercato. Sono le aziende europee ad essere le meno soddifatte, perché non sanno più come fare per rispettare la legge. La posta in gioco è alta: il trasferimento transatlantico di dati personali in base all’ormai defunto Privacy Shield può essere sanzionato fino al 4% del loro fatturato annuo.

Come DiliTrust, accogliamo con favore questa decisione che rafforza, se necessario, il nostro impegno a favore della sovranità digitale e conferma la natura rischiosa del trasferimento di dati verso gli Stati Uniti.

PRIVACY SHIELD, UN MECCANISMO CHE COPRE ESCLUSIVAMENTE I DATI PERSONALI

Le aziende hanno a disposizione una quantità crescente di dati. Va precisato come il Privacy Shield sia applicabile solo ai dati personali. Per “dati personali” si intende qualsiasi dato che può essere utilizzato per identificare una persona direttamente (ad es. cognome, nome) o indirettamente (ad es. un numero di identificazione o un insieme di informazioni che possono essere raggruppate per identificare una persona).

Pertanto, i dati personali possono essere qualsiasi informazione relativa a un dipendente in un contratto (ad esempio, un contratto di lavoro, compresa la sua posizione, il lavoro, la retribuzione, ecc.)

PRIVACY SHIELD, un meccanismo di autocertificazione

Il Privacy Shield è entrato in vigore il 1° agosto 2016, data in cui l’Unione Europea lo ha riconosciuto come conforme alla Direttiva Europea sulla Protezione dei Dati Personali (Direttiva poi sostituita dal GDPR).

Il Privacy Shield era un meccanismo con cui le aziende con sede negli Stati Uniti potevano autocertificarsi alla Federal Trade Commission (FTC). A tal fine, le aziende statunitensi dovevano impegnarsi ad adottare una serie di misure di protezione dei dati, affinché i dati personali provenienti dall’Europa potessero beneficiare di un livello di protezione sufficiente. Questa certificazione doveva essere rinnovata annualmente e copriva i dati personali HR e/o non HR.

Qualsiasi azienda europea poteva trasferire legalmente i dati personali a uno dei 5.500 firmatari del Privacy Shield. Tra i firmatari, tutte le stelle della Silicon Valley (Google, Hubspot, Dropbox, …) e coloro che desideravano presentare un’autocertificazione ai sensi del Privacy Shield. Tuttavia, non figuravano player come banche, assicurazioni e fornitori di servizi di telecomunicazione, perchè esclusi dal regime (questi non sono infatti soggetti all’autorità della FTC).

Gli Stati Uniti hanno dato alla Commissione numerose garanzie sulla “serietà” del sistema. Si sono impegnati ad un reale controllo delle società firmatarie e all’applicazione di sanzioni in caso di mancato rispetto degli impegni assunti. Inoltre, un cittadino europeo poteva deferire alla propria autorità nazionale di protezione dei dati qualora una società firmataria non avesse rispettato gli impegni assunti. In questo caso, era stato messo in atto un meccanismo di cooperazione tra le autorità locali europee e la FTC. Infine, i dati personali erano accessibili alle amministrazioni federali solo per motivi di “sicurezza nazionale”. Quest’ultimo punto è, come vedremo, importante.

PRIVACY SHIELD, UN MECCANISMO CONTESTATO

Un accordo simile, denominato “Safe Harbor”, era in vigore dal 2000 prima di essere dichiarato non valido dalla Corte di giustizia dell’Unione europea (CGUE) nel 2015 per motivi e in un contesto molto simile alla recente decisione.

Nel 2015, ai sensi della Direttiva sulla protezione dei dati personali del 1995, l’avvocato austriaco Maximilian Schrem aveva chiesto all’Autorità per la protezione dei dati personali irlandese (il “Data Protection Commissioner” irlandese) di condannare Facebook per aver trasferito i suoi dati personali su server situati negli Stati Uniti. A sostegno di questa richiesta, l’attivista aveva invocato l’assenza di una legislazione sulla protezione dei dati e l’esistenza di programmi di sorveglianza di massa più o meno regolamentati. Il Data Protection Commissioner respinse il ricorso adducendo come motivo il fatto che Facebook fosse firmatario del Safe Harbour. Maximilian Schrem si rivolse all’Alta Corte irlandese per impugnare la deliberazione del Data Protection Commissioner. Il tribunale irlandese deferì a sua volta la questione alla Corte di giustizia dell’Unione europea per un parere su questo punto di diritto. Nella sua decisione, la CGUE invalidò il Safe Harbor [2] come garanzia sufficiente perchè il trasferimento di dati personali negli Stati Uniti fosse conforme al diritto comunitario.

Cinque anni dopo, Maximilian Schrem fece la stessa richiesta al DPC che venne di nuovo deferita alla Corte di Giustizia Europea. Nel frattempo, la Direttiva sulla protezione dei dati personali era scomparsa a favore del GDPR. Ma il regolamento è abbastanza allineato con la Direttiva in materia di trasferimento di dati al di fuori dell’Unione Europea. Inoltre, il Safe Harbor era stato sostituito nel 2016 dal Privacy Shield. Infine, Facebook aveva integrato la sua certificazione Privacy Shield con le Clausole Contrattuali Standard, che vedremo più avanti. Nonostante questi cambiamenti nel testo e nelle disposizioni, la CGCE ha invalidato il Privacy Shield richiamando chiaramente le leggi di sorveglianza degli Stati Uniti: “le limitazioni della protezione dei dati personali che risultano dalla normativa interna degli Stati Uniti in materia di accesso e di utilizzo, da parte delle autorità statunitensi, di siffatti dati trasferiti dall’Unione verso tale Paese terzo […], non sono inquadrate in modo da rispondere a requisiti sostanzialmente equivalenti a quelli richiesti, nel diritto dell’Unione, dal principio di proporzionalità, giacché i programmi di sorveglianza fondati sulla suddetta normativa non si limitano a quanto strettamente necessario. (Estratto dal comunicato stampa [3]).

I difensori della privacy sono stati lieti di vedere che la CGUE non ha esitato a firmare questa condanna a morte. Si tratta di un organo giudiziario la cui missione è quella di giudicare a livello giuridico indipendentemente dalle questioni economiche e politiche.  Per la Commissione europea è stato diverso negli ultimi quattro anni. Fin dalla sua nascita, il Privacy Shield è stato oggetto di molte critiche, a partire dall’organismo che riunisce le autorità nazionali per la protezione dei dati: il Comitato europeo per la protezione dei dati (EDPB). Così, nella sua seconda relazione sul Privacy Shield [4], l’EDPB ha condannato il controllo superficiale della FTC degli Stati Uniti e i sistemi di sorveglianza di massa.  Il Parlamento europeo, da parte sua, si è mostrato costantemente ostile. Ciò è stato rafforzato nel 2018 quando gli Stati Uniti hanno promulgato il Cloud Act che estende le opportunità di vigilanza delle autorità pubbliche.

Ciononostante, ogni rapporto annuale della Commissione rivelava la frustrazione per la buona volontà degli Stati Uniti. Tuttavia, sarebbe stato difficile per la Commissione tornare indietro senza rinnegare se stessa, o rischiare misure di ritorsione da parte del governo Trump. Maxime Shrems ha riassunto molto bene la situazione già nel 2016: “Il Privacy Shield è il prodotto delle pressioni degli Stati Uniti e dell’industria tecnologica, non il risultato di un approccio razionale o di considerazioni ragionevoli”.

TRASFERIMENTO DI DATI VERSO GLI USA: LE QUATTRO OPZIONI RIMANENTI

Ora che le aziende europee non possono più fare affidamento sul Privacy Shield, cosa possono fare se vogliono continuare a lavorare con i loro fornitori statunitensi?

Innanzitutto, si ricorda che il trasferimento di dati personali al di fuori dell’UE, necessario per l’esecuzione di un contratto, rimane conforme al GDPR. Immaginate, ad esempio, di organizzare un seminario aziendale negli Stati Uniti. Per farlo, è necessario comunicare l’elenco dei vostri dipendenti agli operatori turistici locali (alberghi, trasporti, ecc.). In questo caso, il trasferimento dei dati personali dei vostri dipendenti è legale perché necessario su base contrattuale. Assicuratevi tuttavia che il contratto preveda la protezione dei dati da parte del vostro subappaltatore. Che sia europeo o meno, è un obbligo generale del GDPR!

La soluzione può essere tecnica. Potete chiedere ai vostri fornitori di servizi di ospitare i vostri dati in Europa. Tutti i maggiori player americani offrono già questa opzione, come Google, Microsoft, AWS… Tuttavia è vero che in alcuni casi questa migrazione può comportare un costo significativo o impattare sulla roadmap. Inoltre, è necessario prestare particolare attenzione su questo punto: è necessario infatti avere la garanzia che nessun dipendente o subappaltatore della propria azienda fornitrice di servizi possa accedere ai dati personali dagli Stati Uniti. Infatti, il semplice fatto di rendere accessibili i dati da un paese al di fuori dell’Unione Europea è considerato come un trasferimento di dati al di fuori dell’UE. Questa situazione è comune ad esempio nel caso di aziende che utilizzano un call center offshore, dove ogni dipendente si collega agli strumenti del cliente ospitati in Europa.

Infine, ma non per questo meno importante, la CGUE ha ricordato che è possibile “contrattualizzare” la protezione dei dati con un partner americano. Nella sua decisione, ha ricordato la validità dell’uso delle “clausole contrattuali tipo” (spesso indicate con l’acronimo “SCC”). Le SSC sono clausole redatte dalla Commissione europea (cfr. decisione 2010/87 della Commissione del 5 febbraio 2010 [5]) e contengono tutta una serie di obblighi in materia di protezione dei dati personali simili a quelli previsti dal GDPR. La prima azione da intraprendere è quindi verificare l’esistenza di questi Clausole Contrattuali Tipo nei vostri contratti. I GAFAM e altri importanti player statunitensi hanno inserito queste SCC nella maggior parte dei loro contratti ben prima della decisione della Corte di giustizia europea. E’ probabile che le aziende americane più piccole tornino dai propri clienti europei con la modifica del contratto. Ciononostante, assicuratevi che le clausole proposte siano quelle corrette. Esistono infatti due categorie di clausole contrattuali tipo: quelle per il trasferimento di dati tra due responsabili del trattamento e quelle per il trasferimento tra un responsabile del trattamento e un incaricato del trattamento. Infine, per essere legittime, queste clausole devono essere inserite nel contratto per intero e senza alcuna modifica (modalità “copia e incolla”).

Tuttavia, gli esperti legali e i DPO rimangono perplessi dalla logica della CGCE di invalidare il Privacy Shield da un lato e di convalidare le clausole contrattuali tipo dall’altro. Nella sua decisione, la CGCE giustifica la validità delle clausole con il fatto che queste obbligano l’esportatore europeo di dati e l’importatore statunitense a verificare in anticipo il livello di protezione dei dati del paese terzo interessato. In assenza di norme di tutela, l’importatore deve informare l’esportatore di dati della sua eventuale impossibilità di rispettare le clausole di tutela standard, con la conseguente sospensione del trasferimento dei dati da parte di quest’ultimo e/o la risoluzione del contratto con il primo. È difficile credere che, dopo aver riconosciuto la legge statunitense come insufficientemente protettiva, la CGCE lasci la materia alla discrezione delle imprese… Si può quindi constatare che l’incertezza del diritto permane anche quando si utilizzano le clausole contrattuali tipo. La soluzione più semplice rimane quella di privilegiare la collaborazione con i player europei. Per questo motivo, DiliTrust ospita i dati dei clienti in Francia in modo da garantire una migliore riservatezza.

Infine, al di là della rilevanza giuridica e delle implicazioni tecniche, questa decisione ci sembra un’opportunità per le imprese europee di considerare il ruolo che intendono svolgere in una sfida tanto importante quanto quella della protezione dei dati: la sovranità digitale europea. Alcune aziende europee e i loro CIO stanno dando priorità al livello tecnologico rispetto alla sovranità. Ci auguriamo che, con questa iniziativa, prendano coscienza dell’importanza dell’hosting locale e seguano le orme di molte aziende del CAC 40 che hanno già optato per soluzioni sovrane.

ESEMPI DI UTILIZZO

La fine del Privacy Shield evidenzia il rischio di trasferire dati, personali o meno, negli Stati Uniti e sostiene l’hosting in Europa. Ciò implica diverse azioni che devono essere attuate al più presto dalle aziende europee. DiliTrust può fornire competenze e soluzioni sicure conformi per aiutarvi in questo processo.

  • Identificare tutti i trasferimenti di dati verso gli Stati Uniti
  • Tra questi trasferimenti, identificare quelli basati sul Privacy Shield
  • Classificare i tipi di trasferimento per determinare la clausola contrattuale standard da applicare
  • Lavorare su clausole contrattuali standard
  • Lavorare sulle Binding Corporate Rules (“BCR”, Regole aziendali vincolanti, art. 47 del GDPR) per i gruppi internazionali
  • Classificare i dati sensibili di governance
  • Proteggere i dati sensibili del consiglio di amministrazione e del comitato
  • Proteggere l’accesso alle decisioni strategiche delle aziende europee, ai processi di M&A, ai brevetti ecc.
  • Facilitare il lavoro per i membri degli organi di governo e dei team legali

 

DiliTrust lavora a fianco di migliaia di Board Member in tutto il mondo per supportarli, con le nostre soluzioni digitali, nell’esercizio delle loro responsabilità e nel miglioramento delle loro prassi di governance: aiutare gli executive a raggiungere le best practices di corporate governance è al centro dei nostri servizi. Proprio perchè ci assicuriamo che i nostri clienti proteggano ogni giorno i loro dati più sensibili, siamo consapevoli più di chiunque altro della necessità di essere rigorosi in materia di sicurezza informatica. Comprendere a fondo la cybersecurity è essenziale non solo a livello di C-suite e di Consiglio di Amministrazione, ma è fondamentale per ogni leader.

Le ricerche di Gartner mostrano come sempre di più i CEO vengano ritenuti responsabili in caso di incidenti informatici – anche più dei Dirigenti IT. I CIO che si occupano dei rischi informatici devono aiutare i CEO a raggiungere una posizione maggiormente difendibile rispetto ai principali stakeholder.

In questa ricerca di Gartner, crediamo che i CEO possano trovare supporto in queste aree chiave:

  • Come comprendere le 8 cause alla base del fallimento della sicurezza informatica?
  • Come colmare il gap culturale che induce i dirigenti a considerare la sicurezza come un problema tecnico gestito da tecnici?
  • Come affrontare il problema della mancanza di responsabilità che si traduce in decisioni di investimento sbagliate e in un rischio sistemico più insidioso?

 

Gartner, 8 Reasons More CEOs Will Be Fired Over Cybersecurity Incidents, 15 March 2019, Paul Proctor.

I vantaggi della digitalizzazione degli uffici legali non sono più un mistero: è ormai imprescindibile che tutte le Direzioni siano in grado di misurare i risultati in termini di reattività, produttività e integrazione delle attività legali con gli altri elementi del processo gestionale e decisionale. In questo senso la messa in sicurezza digitale dei dati e l’accesso 24 ore su 24 disponibile per tutti i soggetti autorizzati sono determinanti.

L’incontournable des directions juridiques digitalisées : la plateforme collaborative en mode SaaS

Sicurezza e accessibilità sono due dei grandi benefici che offre il software in modalità SaaS DiliTrust Governance. Tra gli altri vantaggi, fornisce una soluzione integrata che copre tutte le aree di attività di un ufficio legale operativo e ultra-competitivo.

SaaS sta per “Software as a Service” e indica una modalità di funzionamento tanto semplice da capire e da implementare quanto complessa è la sua tecnologia: si accede all’applicazione senza doverla installare sulla propria postazione di lavoro, o sulla propria rete interna, ma direttamente online, tramite un abbonamento dedicato. Convenienza, massima accessibilità, approccio collaborativo, efficienza, scalabilità… in un periodo storico in cui il lavoro da remoto è in crescita a causa della crisi del Covid-19, sono tutti aspetti chiave da considerare con sempre maggiore attenzione.

Quali sono i vantaggi di una piattaforma legale collaborativa sicura in SaaS?

Nel contesto dell’inevitabile digitalizzazione degli uffici legali, la scelta di un’applicazione globale, pronta all’uso, libera da qualsiasi problema tecnico durante l’implementazione, flessibile, sicura da utilizzare e altamente configurabile, è fondamentale per l’efficientamento del vostro ufficio legale. L’ integrazione di questo software all’interno dell’organizzazione garantisce una spinta decisiva verso il raggiungimento dei goals aziendali. È con questo obiettivo che DiliTrust ha progettato e sviluppato la sua piattaforma collaborativa in modalità SaaS: con DiliTrust Governance, potete liberarvi dai vincoli tecnologici e potete dedicarvi al vostro core business in tutta tranquillità.

Gestione legale ottimizzata per soddisfare al meglio le vostre esigenze, gestione di più entità giuridiche, gestione in tempo reale di contratti e contenziosi: tutte queste funzionalità sono a vostra disposizione in pochi click, attraverso una interfaccia intuitiva e un database costantemente aggiornato. La conservazione, la condivisione e la consultazione di questi dati, secondo i propri parametri di accesso e riservatezza precedentemente stabiliti, permettono di lavorare in rete e in team, con la massima efficienza sia a livello di lavoro individuale che di gruppo, ovunque ci si trovi e qualunque sia il contesto della vostra interoperatività.

Un ulteriore vantaggio – ma non ultimo – del “Software as a Service”: i costi sono chiari e noti in anticipo, senza il rischio di spiacevoli sorprese. Non è richiesto un investimento iniziale e il prezzo dell’abbonamento alla piattaforma include tutti gli aggiornamenti futuri per un’evoluzione continua del vostro ufficio legale.

Software legale in SaaS: quando l’accessibilità va di pari passo con la sicurezza

Accedete al vostro strumento digitale ovunque e in qualsiasi momento, con la garanzia della totale sicurezza dei dati memorizzati e dei flussi ad essi collegati. Qualunque sia il settore di attività, questi due requisiti sono i pilastri di una soluzione digitale ad elevata efficienza. Soprattutto nel settore legale, dove la protezione dei dati, per definizione molto sensibili, è imprescindibile, non si può lasciare spazio a dubbi o incertezze: DiliTrust Governance è certificata ISO 27001, il più elevato standard di sicurezza internazionale.

È quindi soprattutto a questo livello che una soluzione legale sicura in SaaS dimostra la sua validità e la sua preminenza rispetto ad altre opzioni più vulnerabili. Con il SaaS, non ci sono linee di codice software esposte a intrusioni dannose provenienti da postazioni di lavoro fisse o mobili protette in modo casuale, né dati preziosi che circolano senza controllo in balia di concorrenti senza scrupoli. Il tutto è centralizzato in una struttura di hosting con firewall multipli che vengono costantemente rinforzati man mano che le strategie di attacco si evolvono, in modo da prevenire le incursioni prima che diventino un rischio.

Questo approccio alla sicurezza, che si basa su server ultra protetti, non implica che i vostri dati vi vengano “sottratti”. La filosofia di una piattaforma collaborativa efficiente è che questi dati appartengano in ultima analisi a voi e solo a voi. Siete quindi voi a definire liberamente i diritti di accesso, in funzione del profilo dei vostri collaboratori e del livello di riservatezza che concedete. La sicurezza non deve essere sinonimo di complicazione. L’accesso immediato e autorizzato alle funzionalità e ai dati dello strumento è una conditio sine qua non per la sua efficienza.

SaaS e mobilità: una risorsa essenziale nel mondo post Covid-19

L’ormai indispensabile digitalizzazione degli uffici legali, che vede l’emergere di un nuovo profilo di giurista d’impresa, si è ulteriormente rafforzata dopo la crisi sanitaria del Covid-19. Questa crisi ha avuto un impatto forte e duraturo sul modo di operare delle aziende, soprattutto in termini di lavoro a distanza, la cui attuazione, inizialmente forzata, ha in molti casi rivelato molto rapidamente, anche ai più scettici, le qualità e le opportunità di questo approccio, finora rimasto marginale.

In questo contesto emergono ancora di più i vantaggi di una piattaforma legale collaborativa sicura, in particolar modo grazie alla modalità SaaS che permette a tutti i collaboratori di svolgere le proprie mansioni ovunque e nei contesti più diversi, tramite una semplice connessione Internet. Questa flessibilità, insieme ad una sicurezza ottimale, va naturalmente oltre i criteri del lavoro a distanza standard (il più delle volte a casa): si estende a tutte le circostanze in cui non è richiesta la presenza fisica, ponendo le basi e le condizioni per una pratica professionale in completa mobilità. I consueti vincoli di spazio-tempo scompaiono, a vantaggio della massima produttività del vostro ufficio legale.

Milano – 26 Giugno  2020 DiliTrust, leader in Italia nella fornitura di soluzioni dedicate alla Governance delle imprese, è lieta di annunciare che Isagro ha scelto la soluzione DiliTrust Exec per la digitalizzazione delle riunioni societarie.

Isagro è uno dei principali operatori nel mercato dei prodotti per l’agricoltura e offre soluzioni innovative, a basso impatto ambientale, per la protezione e la nutrizione delle colture. Isagro produce in 3 stabilimenti in Italia, con distribuzione diretta in Brasile, Colombia, Italia, Spagna e Stati Uniti. La società è quotata alla Borsa di Milano dal 2003, sul segmento STAR dal 2004.

Isagro ha scelto la soluzione DiliTrust Exec per digitalizzare la gestione delle riunioni di CDA e Comitati, con l’obiettivo di migliorare la governance in termini di efficienza, sicurezza e sostenibilità.

Paperless e altamente sicura, DiliTrust Exec fornisce una risposta innovativa alle attuali sfide che devono affrontare i Board member. “Il tema della cybersecurity è sempre più centrale e come società quotata dobbiamo rispettare degli standard molto alti. Grazie all’adozione di DiliTrust Exec, i flussi informativi da e verso i Consiglieri vengono ora gestiti in modo sicuro e completamente tracciato all’interno della piattaforma: questo significa niente più scambi di dati sensibili tramite email, con evidenti benefici in termini di sicurezza e protezione delle informazioni strategiche di un gruppo quotato” ha dichiarato Filippo de’ Donato, Board Secretary e Head of Corporate & General Affairs del Gruppo Isagro. “L’adozione di DiliTrust Exec ci ha permesso inoltre di eliminare quasi del tutto la carta dalle nostre riunioni societarie, valorizzando ulteriormente la nostra strategia verso la sostenibilità”.

“La digitalizzazione rappresenta una importante opportunità per CdA e Board Members in quanto abilitatore di efficienza, sicurezza e trasparenza della Governance, specialmente considerando la recente crisi sanitaria che ha reso necessario il lavoro da remoto” commenta Fabrizio Gallotti, Country Manager di DiliTrust Italia: “Isagro è un esempio perfetto di questo approccio e siamo entusiasti che un’azienda fondata sui valori della sostenibilità come Isagro abbia scelto DiliTrust per implementare la strategia di trasformazione digitale del proprio CDA.

Il video con la testimonianza è disponibile qui.

Per leggere il comunicato stampa in inglese clicca qui.

Scopri la testimonianza di Filippo DE’ DONATO, Board Secretary e Head of Corporate & General Affairs del GRUPPO ISAGRO.

« Grazie all’adozione di DiliTrust Exec, i flussi informativi da e verso i Consiglieri vengono ora gestiti in modo sicuro e completamente tracciato all’interno della piattaforma: questo significa niente più scambi di dati sensibili tramite email, con evidenti benefici in termini di sicurezza e protezione delle informazioni strategiche di un gruppo quotato. »

– Filippo DE’ DONATO

 

 

 

SI PREGA DI NOTARE CHE QUESTO RAPPORTO NON È PIÙ DISPONIBILE

Secondo Gartner, «I responsabili degli applicativi aziendali hanno una sovrabbondanza di alternative software per la gestione dei contratti e scegliere l’approccio sbagliato può essere dannoso per gli obiettivi di business.»

In questa ricerca di Gartner, crediamo che i leader possano trovare risposta a queste domande:

  • Come assicurarsi che i responsabili degli applicativi aziendali facciano la scelta corretta nel lungo periodo quando selezionano una tecnologia per gestire i contratti?
  • Come confrontare content services platforms (CSP) e contract life cycle management systems (CLM)?
  • Come valutare fattori esterni come la solidità del vendor e i più ampi trend tecnologici quando si seleziona una tecnologia per gestire i contratti?

 

Gartner, Selecting the Optimal Technology for Managing Contracts, 3 April 2020, Marko Sillanpaa, Patrick Connaughton