Diritti interna

Doveri interna

Search Form Portlet

ricerca avanzata

g-docweb-display Portlet

2.14 La disciplina della sicurezza nel trattamento dei dati - Relazione 1999 - 3 maggio 2000

SCHEDA
Garante per la protezione dei dati personali
Doc-Web:
1336456
Data:
03/05/00
Tipologia:
Relazione annuale

Indice

2. Stato di attuazione della legge n. 675/1996 e nodi da affrontare - Relazione 1999 - 3 maggio 2000

2.14 La disciplina della sicurezza nel trattamento dei dati
L´attenzione della legge al tema della sicurezza non è episodica, essendo maturata in un contesto di iniziative nazionali ed internazionali che hanno inteso riempire un vuoto legislativo sulla materia evidenziato da tempo e in varie sedi.

A partire dalla fine degli anni ottanta, vari organismi e sedi internazionali quali l´OCSE, il G 7, il G 10, il GAFI, EUROPOL e il Consiglio d´Europa, ognuno per quanto di competenza ed in base alle tematiche in agenda, hanno richiamato l´attenzione sulla sicurezza informatica e telematica. Dal lungo e complesso dibattito internazionale sono derivate indicazioni utili, raccomandazioni, risoluzioni, direttive, convenzioni ed accordi.

Il riflesso di tale attività nell´ordinamento interno è stato, al contempo, intenso e significativo. Dalla legge n. 518/1992 sulla tutela giuridica dei programmi per elaboratore al successivo decreto n. 205 del 15 marzo 1996, nonché alla legge n. 547/1993 sui crimini informatici (che ha esteso,
tra l´altro, l´operatività di determinate disposizioni incriminatrici ai soli sistemi informatici "protetti"). Sono intervenute inoltre alcune discipline particolari che, direttamente o indirettamente, riguardano il tema della sicurezza. Si allude, ad esempio, all´obbligo di misure di sicurezza nei centri
edp tenuti al rispetto del segreto d´ufficio (d.P.C.M. del 15 febbraio 1989), al d.P.R. 5 luglio 1995, n. 417, riguardante le biblioteche pubbliche statali, così come alla legge n. 59/1997 sulla riforma della p.a. (art. 15, comma 2) e al d.lg. n. 115/1995 (che prevede precisi obblighi per produttori, distributori e detentori riguardo all´immissione di prodotti sicuri sul mercato).

Come è noto, anche la legge del 31 dicembre 1996, n. 675, attribuisce al tema della sicurezza dei dati grande importanza e rilievo, facendone scaturire obbligazioni di carattere "trasversale" riferibili ad ogni tipo di trattamento.

Tale esigenza ha trovato attuazione nella Sezione III del Capo III della legge n. 675/1996, significativamente intitolata "Sicurezza nel trattamento dei dati, limiti alla utilizzabilità dei dati e risarcimento del danno".

L´articolo 15 della legge può essere considerato una norma "aperta", che si limita a fissare le finalità e gli "obiettivi di sicurezza" che devono essere perseguiti dal titolare, con modalità e strumenti destinati a essere dettagliati con diversi strumenti.

L´intervenuta emanazione del regolamento con il D.P.R. n. 318/1999, che va ad aggiungersi alle norme sopra richiamate, ha gettato quindi le basi per una disciplina "generale" della sicurezza, la cui importanza emerge anche dalla circostanza che le disposizioni previste al citato articolo 15 interessa anche a trattamenti pubblici in materia di polizia, giustizia, difesa e sicurezza dello Stato ai quali la legge n. 675, com´è noto, si applica solo in parte (v. art. 4 l. n. 675). Inoltre, nel corpo del testo del d. lg. n. 135/1999 recante "Disposizioni integrative della legge 31 dicembre 1996 n. 675, sul trattamento dei dati sensibili da parte dei soggetti pubblici", segnatamente all´articolo 17, comma 4, è contenuto un esplicito richiamo al dettato dell´articolo 15, commi 2 e 3.

Ponendo attenzione al complessivo impianto normativo, emerge con evidenza la finalità di ridurre al minimo i predetti rischi mediante l´utilizzazione di sistemi di sicurezza costantemente adeguati nel tempo.

Ciò, per due diverse necessità: da un lato, l´articolo 18 della legge n. 675/1996, prevede che il titolare ed il responsabile (se designato) debbano risarcire gli eventuali danni ai sensi dell´articolo 2050 del codice civile. Dall´altro, la legge prevede l´individuazione di misure di sicurezza minime, la cui mancata adozione comporta l´irrogazione di una sanzione penale. L´art. 36 della legge stabilisce infatti che la responsabilità sussista qualora non siano rispettati, o lo siano stati solo parzialmente, gli standard "minimi" di sicurezza prescritti dall´apposito regolamento governativo.

L´art. 15 della legge n. 675/1996 disciplina due tipi differenti di misure: da un lato, il comma 1, che prescrive misure di sicurezza tali da ridurre al minimo il rischio, non individuate ma individuabili sulla base di soluzioni tecniche concretamente disponibili (la loro mancata predisposizione comporta responsabilità civile in caso di danno). Dall´altro, e al loro interno, le misure "minime" previste al comma 2, specificatamente individuate all´interno di un ulteriore atto (il regolamento), che contiene i vari precetti della norma contenuta nell´articolo 36, la cui violazione comporta anche una sanzione di carattere penale.

Pertanto, il regolamento non è destinato a contenere tutte le regole tecniche da adottare in ogni caso per la sicurezza dei dati personali, in riferimento alle diverse modalità di trattamento utilizzate, ma individua unicamente quei requisiti volti ad introdurre un livello minimo di protezione, il cui mancato rispetto comporta una maggiore esposizione a rischio del bene giuridico tutelato dalla norma.

La particolarità di tale strumento consiste poi in una impostazione di tipo flessibile, essendo destinato ad un aggiornamento avente cadenza almeno biennale, all´evidente fine di evitare una sua oggettiva "staticità" a fronte di un´evoluzione tecnologica sicuramente "dinamica". Il regolamento non intende quindi individuare le migliori misure evidenziate dalla scienza tecnica in un dato momento, mirando più semplicemente ad enucleare un minimo denominatore comune delle misure di sicurezza disponibili, tale da poter definire le stesse "minime".

In coerenza con la legge da cui promana, il regolamento previsto dalla legge n. 675 si rivolge a tutti i soggetti – pubblici e privati – che nell´ambito delle loro attività pongono in essere un trattamento di dati personali.

Con il regolamento si sono individuate categorie omogenee di modalità di trattamento di dati, al fine di correlare la soglia minima, da un lato, alla tipologia del dato e, dall´altro, allo strumento tecnico utilizzato per il trattamento, tenendo conto della distinzione già operata dalla legge tra dati "comuni" e "sensibili" (dovendosi considerare anche la loro diversa valenza nel quadro di una differente intensità del livello di garanzie per essi previsto).

Nel d.P.R. n. 318 una prima, grande distinzione ha avuto riguardo alle modalità delle operazioni svolte per effettuare il trattamento. Da una parte, quelle effettuate in sostanza con l´esclusivo ausilio di supporti cartacei; dall´altra, quelle poste in essere anche in parte mediante strumenti elettronici o comunque automatizzati.

L´ottica in cui sono state previste le misure di sicurezza è insita non solo nella protezione dei sistemi o delle trasmissioni in quanto tali, ma, più direttamente, nella protezione dei dati personali: il livello di sicurezza si modifica di conseguenza in relazione alla presenza o meno dei dati stessi.
Così pure, nel caso siano contestualmente presenti dati "comuni" e "sensibili", è necessario osservare le misure previste per la categoria più elevata).

Va evidenziato, inoltre, come nel regolamento si sia preferito non individuare per ogni singola misura di sicurezza i soggetti tenuti ad adottarla. Tale individuazione dipenderà dalle attribuzionim del titolare del trattamento e dai ruoli ed incarichi conferiti in concreto all´interno della struttura.

Quanto alle definizioni, il regolamento, oltre ad utilizzare quelle già contenute dalla legge 675, prevede quelle di:

  • "misure minime", intendendo per esse il complesso delle misure tecniche, informatiche,organizzative, logistiche e procedurali di sicurezza che configurano il livello minimo di protezione richiesto, in relazione ai rischi a cui fa riferimento l´articolo 15, comma 1, della legge (misure, che possono ad esempio comportare, nei casi previsti nei successivi articoli: l´identificazione dell´utente, l´autorizzazione all´accesso alle funzioni, ai servizi, ai locali, ai dati, la registrazione degli ingressi e i limiti al riutilizzo di supporti per l´archiviazione elettronica o automatizzata o cartacea);
  • "strumenti", intendendo per essi i mezzi elettronici o comunque automatizzati con cui si effettua il trattamento;
  • "amministratori di sistema", riferendosi ai soggetti cui è conferito il compito di sovraintendere alle risorse del sistema operativo di un elaboratore o di un sistema di base dati e di consentirne la utilizzazione.

Quanto agli effetti che il regolamento spiega sui trattamenti effettuati a fini esclusivamente personali, - eccettuati in generale dall´osservanza dei diversi obblighi nomativi fissati dalla medesima legge (a condizione che i "dati non siano destinati ad una comunicazione sistematica o alla diffusione"), ma comunque sottoposti agli obblighi di sicurezza -, il regolamento ha previsto misure di sicurezza tali da tener conto in modo adeguato del possibile, minore rischio insito in tale attività.

Considerato che anche alcune osservazioni formulate nella fase di predisposizione del regolamento sia dal Consiglio di Stato, sia dal Garante andavano nella direzione di limitare, per quanto possibile, l´ambito di applicazione della norma penale in materia di sicurezza, con l´intuibile intento di evitare un´applicazione irragionevole e diffusa della sanzione, si è prevista la sua applicazione soltanto ai trattamenti dei dati di cui agli artt. 22 e 24 della legge organizzati in archivi ed effettuati mediante elaboratori stabilmente accessibili da altri elaboratori, escludendo in tal modo i computer
"stand alone". Per quelli caratterizzati invece dalla predetta accessibilità, la misura minima di sicurezza è stata individuata nel solo obbligo, per il soggetto titolare, dell´utilizzo di una parola chiave che inibisca l´accesso al sistema o anche solamente ai dati.

L´ultima parte del regolamento è dedicata al trattamento di dati effettuato mediante strumenti diversi da quelli elettronici o comunque automatizzati (artt. 9 e 10). Si tratta di situazioni diffuse, in cui i dati sono tenuti in supporti cartacei. È il caso, ad esempio, di molti archivi (sia di privati che di pubbliche amministrazioni). Per questi ultimi, nell´individuare le misure minime di sicurezza, il d.P.R. fa riferimento a quelle comunemente già in essere.

A partire dal secondo semestre del 1999, il Garante, ha già avuto modo di esprimere, nell´ambito di alcuni provvedimenti, la necessità di prevedere puntuali indicazioni in riferimento alle disposizioni contenute nell´art. 15 della legge.

Con un provvedimento del 29 febbraio 2000 si è richiamata l´attenzione degli operatori sulla scadenza del termine a partire dal quale dette misure diventeranno obbligatorie e cioè sei mesi dopo l´entrata in vigore del citato regolamento, così come previsto dalla legge n. 675/1996. In detto provvedimento è stato anche evidenziato come l´applicazione delle nuove norme sia tesa a favorire una più ampia diffusione della cultura della sicurezza, nel trattamento delle informazioni personali, già peraltro presente in alcuni settori specie nel privato.

Infine, circa i rapporti tra la "nuova" disciplina sulla sicurezza e gli adempimenti previsti dalla legge n. 675/1996, e segnatamente quello concernente l´obbligo di notificazione (v. articolo 7, l. cit.), il Garante ha stabilito che l´adozione delle "misure minime" non comporta l´obbligo di ripresentare la notificazione a suo tempo inviata al fine di segnalare l´avvenuto adeguamento alle disposizioni del D.P.R. n. 318/1999. A tale fine, è stato inserito nel modello di notificazione un apposito riquadro, che figura nel provvedimento riportato in allegato alla presente relazione.