g-docweb-display Portlet

I - Stato di attuazione della legge n. 675/1996 - Sicurezza dei dati e dei sistemi - Relazione 2002 - 20 maggio 2003

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

I - Stato di attuazione della legge n. 675/1996 - Relazione 2002

Sicurezza dei dati e dei sistemi

59. Misure di sicurezza: novità normative e casi applicativi
La sicurezza costituisce una priorità nella normativa concernente la protezione dei dati personali e pertanto specifiche norme si rinvengono sia in atti sopranazionali, sia nella normativa nazionale.

Importanza primaria riveste la direttiva 95/46/CE che, come è noto, è stata recepita in Italia in larga misura con la legge n. 675/1996. In particolare, l´art. 15 si occupa della sicurezza dei dati, prevedendo due livelli di misure di sicurezza: le misure idonee e le misure minime.

Le prime sono rivolte a ridurre al minimo il rischio di distruzione, di perdita accidentale dei dati, di accesso non autorizzato, di trattamento non consentito o non conforme, mentre le seconde sono quelle indicate nel regolamento emanato ai sensi dell´art. 15, comma 2, della legge n. 675/1996 (d.P.R. n. 318/1999). Questo regolamento doveva essere già adeguato in passato, essendo previsto al comma 3 che l´aggiornamento avvenga con cadenza almeno biennale.

La mancata adozione delle misure adeguate espone il destinatario della norma ad una responsabilità di tipo civile ai sensi dell´art. 18 della legge n. 675, mentre all´inosservanza delle prescrizioni indicate nel d.P.R. n. 318/1999 sono collegate le sanzioni penali previste all´art. 36 della medesima legge n. 675/1996, come modificato dal decreto legislativo n. 467/2001.

Le modifiche operate sugli aspetti sanzionatori penali per la mancata osservanza delle misure minime, entrate in vigore il 1° febbraio 2002, operano principalmente su due versanti: da un lato l´esclusione dal penale del trattamento effettuato per fini personali (art. 2, d.lg. n. 467/2001), dall´altro la rivisitazione della fattispecie criminosa (art. 14, d.lg. n. 467/2001).

In merito al primo punto l´esclusione della sanzione penale indicata all´art. 36 della legge n. 675/1996 non esonera le persone fisiche che trattano i dati per fini esclusivamente personali dall´adottare le misure di sicurezza di cui all´art. 15 comma 1, restando pertanto operanti le conseguenze civili previste al successivo articolo 18, e il conseguente obbligo al risarcimento dei danni cagionati ai sensi dell´art. 2050 del codice civile.

Con riguardo invece al secondo profilo il legislatore ha mantenuto, anche nella nuova formulazione dell´art. 36, la figura del reato, seppure diversamente configurato da delitto in contravvenzione e punito, pertanto, con l´arresto o con l´ammenda.

La novità più rilevante è data tuttavia dall´introduzione di una procedura estintiva del reato (cd. ravvedimento operoso) espressamente mutuata dalla normativa in materia di sicurezza e igiene sul lavoro prevista nel decreto legislativo n. 758/1994 (art. 20, d.lg. n. 467/2001).

Il tema della sicurezza ha un carattere poliedrico e si riverbera su numerosi settori di intervento della normativa sulla riservatezza.

È utile ricordare anche in questo paragrafo che nel 2002 è stato adottato il codice di deontologia e di buona condotta per i trattamenti di dati personali a scopi statistici e di ricerca scientifica effettuati nell´ambito del Sistema statistico nazionale (cfr. paragrafo 25), pubblicato nella Gazzetta Ufficiale n. 230 del 1 ottobre 2002. Il codice contiene specifiche indicazioni in ordine all´adozione delle misure di sicurezza. Sono previste numerose misure volte a proteggere i dati. I rilevatori devono garantire la sicurezza delle informazioni e rispettare le norme poste dal codice a tutela dei cittadini. La comunicazione dei dati tra soggetti del Sistema statistico nazionale deve avvenire nel rispetto delle misure di sicurezza previste dall´art. 15 della legge. E´ necessario determinare differenti livelli di accesso ai dati personali con riferimento alla natura dei dati e alle funzioni dei soggetti coinvolti nei trattamenti, nonché adottare le cautele previste dagli articoli 3 e 4 del d. lg. n. 135/1999 in riferimento ai dati sensibili.

Tra gli atti normativi del 2002 che contengono apposite previsioni in ordine alle misure di sicurezza, assume particolare rilievo la direttiva 2002/58/CE sulla tutela della vita privata nelle comunicazioni elettroniche. L´importanza di tale direttiva è evidenziata dal fatto che il legislatore, per consentire il suo recepimento con lo strumento della legge comunitaria (legge 3 febbraio 2003, n.14), ha disposto uno slittamento di sei mesi del termine entro cui adottare il previsto testo unico delle disposizioni in materia di tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali.

La direttiva prevede l´obbligo per il fornitore del servizio di predisporre appropriate misure tecniche e organizzative per salvaguardare la sicurezza dei suoi servizi congiuntamente con il fornitore della rete pubblica di comunicazione.

La nuova direttiva fa gravare in capo al fornitore del servizio l´obbligo di informare gli abbonati quando sussiste un particolare rischio di violazione della sicurezza della rete, indicando i relativi costi e rimedi o situazioni che consentano di apprendere in modo non intenzionale il contenuto delle conversazioni o delle comunicazioni.

Sullo stesso tema è intervenuta anche la risoluzione del 28 gennaio del 2002 del Consiglio dell´Ue, tesa a fornire un approccio comune e azioni specifiche nel settore della sicurezza delle reti (2002/C43/02), la quale precisa che la sicurezza delle reti e dell´informazione presuppone che sia assicurata la disponibilità di dati e servizi. Ciò impedendo interruzioni o intercettazioni abusive delle comunicazioni, confermando che i dati trasmessi, ricevuti o archiviati sono completi e invariati, assicurando la riservatezza dei dati, proteggendo i sistemi da accessi non autorizzati e software maligni e garantendo, infine, l´affidabilità dell´autenticazione.

Anche l´Organizzazione per la cooperazione e lo sviluppo economici (OCSE), nel corso del 2002, si è attivato nel settore delle misure di sicurezza tracciando alcune Linee guida approvate il 25 luglio, che prendono il posto di quelle elaborate nel 1992. Lo sviluppo esponenziale di Internet nei settori pubblico e privato ha imposto la necessità di indicare nuovi principi in materia di sicurezza dei sistemi informativi e delle reti. Esse, come espressamente raccomandato dall´OCSE, andranno riesaminate ogni cinque anni per l´esplicitato fine di promuovere una cooperazione internazionale sulle questioni connesse al sistema di sicurezza delle reti e dei sistemi informativi.

Le Linee guida si propongono di sviluppare una "cultura della sicurezza" fra i governi, le imprese e gli utenti, con l´invito a tutti gli utilizzatori di tecnologie dell´informazione a rispettare ed applicare nove principi base, fra cui la sensibilizzazione e la responsabilità in materia di sicurezza e il rispetto di valori etici e democratici, con particolare riguardo alla tutela dei dati personali.

Anche l´Autorità, nel corso del 2002, si è pronunciata numerose volte in materia di sicurezza, in seguito a ricorsi presentati ai sensi dell´art. 29, a segnalazioni o a procedimenti ispettivi.

Con alcuni ricorsi si è lamentato che il titolare, nell´effettuare il trattamento dei dati, non avesse osservato le specifiche disposizioni previste dalla legge n. 675/1996 anche con riferimento alla mancata adozione delle misure di sicurezza. In tali circostanze il Garante ha però ribadito che il procedimento disciplinato dall´art. 29 ha caratteri peculiari in quanto il ricorso che lo introduce può essere presentato solo per la tutela di precise richieste formulate in riferimento agli specifici diritti tutelati dall´art. 13, comma 1, della medesima legge e non si può rappresentare senza un collegamento a tale articolo qualsiasi violazione della disciplina del trattamento dei dati personali, compresa la mancata adozione delle misure minime di sicurezza (2 maggio 2002 - Bollettino n. 28).

In un altro caso il Garante, dopo aver esaminato il ricorso di un cittadino, ha disposto un´ispezione del sistema informatico di una importante banca on line per verificare i sistemi di sicurezza adottati dall´istituto di credito e il loro grado di affidabilità riguardo alla tutela della riservatezza dei dati personali della clientela. La decisione è stata assunta in quanto il ricorrente, cliente della stessa banca, è riuscito attraverso Internet a consultare non solo i dati del suo conto corrente, ma anche quelli di altri clienti della banca.

Sono da ricordare anche le segnalazioni di consumatori che lamentavano la violazione della normativa sulla privacy da parte di una società che, dopo aver sviluppato fotografie, le pubblicava come ulteriore servizio su un sito web dove, attraverso un codice personale, erano accessibili ai clienti i quali potevano così stamparle, raccoglierle in album virtuali o spedirle via e-mail. Nelle segnalazioni, oltre a sottolineare la mancanza della dovuta informativa preventiva sul tipo di servizio che veniva offerto, si evidenziava la carenza dell´adozione di idonee misure di sicurezza, in quanto il codice personale fornito dalla società era collocato all´esterno della busta che contiene le foto ritirate dal cliente, visibile anche da terzi non autorizzati a visionare il materiale fotografico.

Nella conseguente pronuncia il Garante ha disposto che la società attuasse i necessari accorgimenti volti a prevenire taluni rischi, tra i quali quelli di distruzione o perdita dei dati personali trattati o di accesso non autorizzato. Le misure da adottare assumono rilievo sia nelle diverse fasi del processo di realizzazione del servizio "photosìonline", sia con riguardo ai diversi soggetti in esso coinvolti (i negozianti e gli altri addetti allo sviluppo delle fotografie; il gestore del server nel quale viene conservato il file contenente le fotografie; la società titolare del sito su cui queste ultime vengono pubblicate) (Provv16 maggio 2002, in Bollettino n. 28).