g-docweb-display Portlet

Titolare, resposabile, incaricato - Indicazioni in materia di sicurezza dei sistemi informativi automatizzati e trattamento dei dati in ambito pub...

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 1055556]

Titolare, resposabile, incaricato - Indicazioni in materia di sicurezza dei sistemi informativi automatizzati e trattamento dei dati in ambito pubblico - 17 dicembre 1997

L´Autorità per l´informatica nella pubblica amministrazione ha sottoposto al Garante uno schema di circolare che intendeva inviare ai responsabili dei sistemi automatizzati delle amministrazioni centrali dello Stato e degli enti pubblici non economici, in merito alla disciplina sulla protezione dei dati personali. Il Garante ha auspicato una rivalutazione dello schema, alla luce di alcune considerazioni sulla disciplina della sicurezza, sulla riservatezza e sul ruolo stesso del Garante.


Roma 17 dicembre 1997

Prof. Guido M. Rey
Presidente dell´Autorità per l´informatica
nella pubblica amministrazione

Via Po, 14
Roma


OGGETTO: Schema di circolare in materia di: "Sicurezza dei sistemi informativi automatizzati e trattamento dei dati personali in ambito pubblico"

L´Autorità per l´informatica nella pubblica amministrazione ha sottoposto all´attenzione del Garante uno schema di lettera-circolare con la quale intende fornire ai responsabili dei sistemi automatizzati delle amministrazioni centrali dello Stato e degli enti pubblici non economici alcune indicazioni in ordine ai rapporti tra il d.lg. n. 39/1993 e la disciplina sulla protezione dei dati personali.

Nel valutare positivamente l´attenzione riservata ai riflessi applicativi della legge n. 675/1996, si esprime un doveroso ringraziamento per la scelta di consultare preventivamente questa Autorità in conformità al quadro di cooperazione sottolineato dall´art. 31, comma 5, della medesima legge.

Ciò premesso, il Garante manifesta alcune perplessità in ordine allo schema predisposto, il quale, al di là delle intenzioni, rischierebbe di investire profili che andrebbero oltre la previsione di norme e criteri tecnici che l´AIPA può impartire ai sensi dell´art. 7 del d.lg. n. 39/1993, e che potrebbe porre in secondo piano le scelte e le responsabilità che la legge n. 675/1996 demanda, per un verso, alle autonome attribuzioni delle amministrazioni interessate e, per un altro, ai concorrenti compiti di questa Autorità (art. 31 l. n. 675/1996).

In secondo luogo, lo schema sembra esaminare tali profili da un angolo visuale importante ma non esaustivo (relativamente, cioè, ai soli sistemi automatizzati), e potrebbe porre un problema di coordinamento tra le istruzioni che verrebbero impartite con la lettera-circolare e le modalità di attuazione della legge n. 675/1996 precisate con altri atti (in riferimento, cioè, ai trattamenti non automatizzati o effettuati mediante strumenti automatizzati non inseriti in sistemi).

Una terza perplessità, anch´essa di fondo, attiene alla lettura ipotizzata per la nozione di "sicurezza informatica" da un lato e per quella di "riservatezza" dall´altro.

Si ha infatti l´impressione che "la sicurezza" , che pure riveste un ruolo rilevante ai fini della protezione dei dati, verrebbe considerata come l´obiettivo primario di una disciplina (quella introdotta dalla legge n. 675/1996) la quale, in verità, colloca sullo stesso livello altre scelte organizzative che presuppongono, in particolare, la valutazione delle finalità e delle modalità del trattamento, l´analisi della natura dei dati e della compatibilità degli scopi perseguiti, il rispetto delle altre garanzie riconosciute dalla legge n. 675/1996.

Al tempo stesso, la "riservatezza" verrebbe vista in una chiave riduttiva, che porrebbe l´accento sulla sola sfera, così definita, della "confidenzialità delle informazioni" , e offrirebbe lo spunto per trascurare aspetti di maggiore rilievo che attengono al rispetto dei diritti e delle libertà fondamentali (art. 1 legge n. 675) e che riguardano, in particolare, l´identità personale e la dignità degli interessati, l´ambito di utilizzazione dei dati anche all´interno dell´amministrazione che li detiene o che li riceve legittimamente, la trasparenza degli scopi, l´informativa agli interessati, ecc.

Da ultimo, la stessa figura del Garante verrebbe descritta in termini non esaustivi, circoscritti ai soli aspetti della "tutela amministrativa e giurisdizionale" , senza tener conto della pluralità e della diversità dei compiti ad esso attribuiti anche in materia di sicurezza (artt. 1, comma 1, lett. d), 7, comma 4, lett. f), 8, comma 1, 15, 31, comma 1 e 41, commi 3 e 4 legge n. 675/96).

Passando all´esame di taluni aspetti di dettaglio, si osserva che alcuni paragrafi della lettera-circolare andrebbero precisati in modo da evidenziare che la disciplina sulle misure di sicurezza di cui all´art. 15 della legge n. 675/1996:

a) deve essere attuata a cura, anzitutto, del "titolare" del trattamento, e cioè dell´amministrazione e dell´ente considerati nel loro complesso, attraverso i soggetti che ricoprono incarichi di vertice e che sono legittimati, entro diversi ambiti, ad esprimerne la volontà (v. gli artt. 1, comma 1, lett. d) e 8, comma 1 legge n. 675/1996); soggetti i quali, a loro volta, devono impartire precise istruzioni al "responsabile" del trattamento, se designato, e vigilare sul suo operato (art. 8 cit.);

b) riguarda la sicurezza dei dati e dei sistemi, come è confermato dalla citazione del medesimo art. 15 che figura nella recente legge sulle comunicazioni (art. 1 l. n. 249/1997);

c) è volta a prevenire accessi ed utilizzazioni abusive, non corrette o non conformi alle finalità della raccolta, anche all´interno delle amministrazioni interessate (e non solo al loro esterno); accessi o utilizzazioni che possono riguardare anche le "informazioni di pubblico dominio" o le interconnessioni tra sistemi nell´ambito della stessa Rete unitaria della pubblica amministrazione;

d) riguarda (contrariamente a quanto ipotizzato nel punto 2 della lettera-circolare) anche i trattamenti particolari in ambito pubblico (giustizia, ordine pubblico, ecc.), ai quali si applicano alcune disposizioni della legge n. 675/1996 (art. 4, comma 2, l. n. 675/1996).

La legge n. 675/1996 ha assegnato una precisa base giuridica agli obblighi relativi alle misure di sicurezza, andando oltre la previgente disciplina che era incentrata sul segreto d´ufficio o su una serie disorganica di regole speciali, anche tecniche, dettate in occasione dell´automazione di alcuni sistemi informativi.

In questo senso, appaiono ora chiari i rapporti tra la disciplina sulla sicurezza dei sistemi automatizzati pubblici (art. 7, comma 1, d.lgs. 39/93) e le nuove regole sulle misure di sicurezza (art. 15 legge n. 675/96).

Quest´ultima disposizione ha infatti ridisciplinato la materia della sicurezza dei dati e dei sistemi, in passato demandata, per le amministrazioni pubbliche, alle norme e ai criteri tecnici dettati dall´AIPA ai sensi del citato art. 7.

Tali norme e criteri, pur rivestendo un ruolo importante specie agli effetti della responsabilità contabile o disciplinare, non potevano essere considerate come cogenti dal punto di vista normativo.

Con la legge n. 675/1996, il legislatore ha quindi introdotto precisi obblighi di sicurezza in norme di legge e di regolamento, anche attraverso l´emanando regolamento governativo, che riguarderà il trattamento automatizzato e non automatizzato dei dati.

Pertanto, tenuto conto della clausola di salvezza della disciplina sulla protezione dei dati personali contenuta nell´art. 16, comma 6, del d.lg. n. 39/1993, appare opportuno evidenziare che le regole tecniche che saranno emanate dall´AIPA potranno precisare le predette norme giuridiche su un piano di dettaglio o svilupparle su aspetti particolari.

Riguardo all´ultimo punto della circolare, si richiama l´attenzione sul recente provvedimento già inviato a codesta Autorità, con il quale il Garante ha fornito la corretta interpretazione della legge n. 675/1996 formulando alcune indicazioni rispetto all´individuazione del "titolare" e del "responsabile" del trattamento anche nell´ambito delle amministrazioni pubbliche (nota n. 3067 del 9 u.s.).

Con riferimento ai rapporti tra il responsabile del trattamento e il responsabile dei sistemi informativi, si osserva quindi che non si ravvisano ostacoli di principio alla possibilità di far coincidere le due figure.

Tuttavia, è da tener presente che i requisiti per la loro designazione non coincidono, e che non è praticabile una soluzione che porti a designare automaticamente il responsabile che svolge le funzioni previste dall´art. 10 del d.lgs. n. 39/93 come ulteriore responsabile del trattamento dei dati ai sensi dell´art. 8 della legge n. 675/96.

Quest´ultimo articolo, infatti, impone una specifica valutazione dell´esperienza, della capacità e dell´affidabilità della persona, dell´ente o dell´organismo anche esterno da designare, anche per ciò che concerne i profili non attinenti ai sistemi automatizzati.

Inoltre, mentre l´art. 10 del d.lgs. n. 39/93 prescrive l´attribuzione ad un solo dirigente (generale o equiparato) della responsabilità per i predetti sistemi informativi, la legge n. 675/96 permette di individuare più responsabili del trattamento, a seconda, ad esempio, delle funzioni esercitate o delle aree territoriali di operatività.

Nell´ambito di una stessa amministrazione potrà quindi accadere che, in base al livello di responsabilità attribuito alla persona fisica, all´ente o all´organismo designato ex art. 8 legge n. 675, emerga la necessità di un coordinamento tra le figure soggettive, ovvero l´esigenza che il soggetto o l´organismo che ricopre il ruolo di responsabile del trattamento si possa avvalere anche delle specifiche competenze tecnico-informatiche del dirigente responsabile dei sistemi informativi automatizzati.

In conclusione, si esprime un auspicio affinché si rivaluti l´impostazione generale dello schema e il suo ambito di applicazione.

Il Garante manifesta, inoltre, la piena disponibilità a contribuire ulteriormente alla corretta definizione delle indicazioni relative a tematiche di comune interesse delle due autorità, anche attraverso l´eventuale predisposizione di un diverso atto a rilevanza esterna e a sottoscrizione congiunta.


IL PRESIDENTE