BIM e sicurezza dei dati: recepita in Italia la norma UNI EN ISO 19650-5:2020

UNI, si è interessata al recente recepimento anche in lingua italiana della UNI EN ISO 19650-5:2020: “Organizzazione e digitalizzazione delle informazioni relative all’edilizia e alle opere di ingegneria civile, incluso il Building Information Modelling (BIM) – Gestione informativa mediante il Building Information Modelling – Parte 5: Approccio orientato alla sicurezza per la gestione informativa“.
Ne parliamo con l’Avv. Chiara Micera, avvocato civilista specializzata negli impatti giuridici del BIM.

La UNI EN ISO 19650-5:2020 è stata recepita anche in Italia, di cosa si tratta?
È una norma internazionale recepita in Europa e poi anche in Italia. Era stata già pubblicata nel 2020, e nel dicembre del 2022 è stata pubblicata in italiano ed è quindi entrata a far parte del nostro ordinamento. Si tratta di una di quelle normative che il Decreto Baratono aggiornato nel 2021 all’articolo 7, comma 5 bis, ha espressamente richiamato quali norme applicabili per creare delle prassi uniformi nell’ambito BIM, affinché gli operatori ne debbano tener conto. Stabilisce un approccio orientato alla sicurezza per la gestione informativa; del resto il BIM è una modalità del processo di scambio di dati e informazioni, e quando si parla di flussi di informazioni mediante l’ausilio dell’informatica e della telematica bisognerebbe sempre porsi il problema della cyber security, dovrebbe essere preliminare a ogni tipo di riflessione.

Quali sono i concetti chiave introdotti da questa norma?
La norma non ha la pretesa di essere esaustiva sull’argomento della cyber security, che è un tema particolarmente complesso e dovrebbe essere affrontato da più angoli visuali. Quello che la norma introduce è la necessità di implementare, sin dalle prime fasi di ogni progetto, un piano di valutazione del rischio e, successivamente, un piano di sicurezza. Dovrebbe essere un piano dinamico che segua tutte le varie fasi dell’opera, dal progetto al cantiere fino al facility management.
La norma affronta i passaggi necessari per creare e coltivare una mentalità e una cultura della sicurezza appropriate e proporzionate tra le organizzazioni con accesso a informazioni sensibili, inclusa la necessità di monitorare e verificare la conformità.
Per delineare una strategia sulla sicurezza bisognerebbe valutare preliminarmente, per esempio, di che natura siano le informazioni in possesso o che saranno generate, quali di queste siano sensibili, in che modo siano regolate dalla Legge sulla Privacy e tener conto dei presidi posti da quella normativa, secondo il principio dell’accountability, che richiede al titolare del trattamento di mettere in atto misure tecniche ed organizzative adeguate per essere compliance alla legge sopracitata. E poi ancora, individuare i soggetti che hanno accesso alle informazioni, definire i rapporti, perimetrare le responsabilità individuali. A tale fine, una misura espressamente prevista da questa norma sono ovviamente i contratti, i quali rappresentano il primo strumento di prevenzione dei rischi in generale, in quanto un programma negoziale ben strutturato, che individui ruoli e responsabilità, è atto a prevenire un contenzioso, e nell’ipotesi del verificarsi dello stesso, a disciplinarlo. Inoltre ritengo che più si creeranno delle prassi in cui ruoli e responsabilità saranno definite, più sarà possibile assicurarsi e di conseguenza tutelarsi, mettendo a punto delle polizze assicurative che prevedano “un rischio tipizzato”.
Dal punto di vista tecnico, un altro aspetto importante riguarda le quattro appendici: a) informazioni sul contesto di sicurezza; b) informazioni sulle tipologie di personale di controlli della sicurezza fisica, tecnica e di gestione della sicurezza delle informazioni; c) valutazioni relative alla fornitura di informazioni a terze parti; d) accordi di condivisione delle informazioni (con un’indicazione precisa dei 12 requisiti che l’accordo dovrebbe avere).

Quali competenze dovrebbe avere chi redige contratti e accordi di questo tipo?
La norma è destinata a qualsiasi organizzazione coinvolta nell’uso della gestione delle informazioni e delle tecnologie durante creazione, progettazione, costruzione, produzione, funzionamento, gestione, modifica, miglioramento, demolizione e/o riciclaggio di cespiti immobili o prodotti, nonché fornitura di servizi, all’interno dell’ambiente costruito. Sarà anche di interesse e rilevanza per quelle organizzazioni che desiderano proteggere le loro informazioni commerciali, informazioni personali e proprietà intellettuale.
Siamo quindi in un ambito distante dal diritto “tradizionale”, la disciplina oggi incontra nuove e diverse competenze giuridiche che si intersecano con la stessa tutela proprietà intellettuale, e con conoscenze trasversali, quali il risk management o il diritto dell’informatica.

Che impatto avrà l’applicazione di questa norma?
Credo che sia necessaria una campagna di sensibilizzazione, di divulgazione presso i diretti interessati, perché maturino delle sensibilità sulle criticità della diffusione della tecnologia, anche in ambito BIM, per prevenire i possibili sinistri o quantomeno limitarne l’impatto. Sebbene gli eventi di violazione della cybersecurity siano ormai molto diffusi, in vari ambiti, credo che a tutt’oggi, prevalga la logica, a mio parere, un po’ miope, di differire gli investimenti iniziali, in una logica di immediato risparmio economico. Lo studio della norma che qui si commenta, e la puntualità della stessa sulla gamma di misure suggerite, dovrebbe far riflettere, considerando che le norme tecniche sono redatte dagli “addetti ai lavori”, che quindi, ne scrivono con piena contezza.

mm

Giornalista professionista della redazione di BIMportale, lavora da molti anni nell’editoria B2B per la stampa tecnica e specializzata. Ha scritto a lungo di tecnologia, business e innovazione. Oggi orienta la sua professione nel campo delle tecnologie applicate alla progettazione architettonica e all’imprenditoria delle costruzioni.


Social media & sharing icons powered by UltimatelySocial