Sulle misure minime di sicurezza da approntare entro il 31 dicembre 2000
(Articolo pubblicato su Diritto & Diritti)
1.- Il quadro normativo
1.1.- La legge 675/96: la sicurezza dei dati (art.15)
1.2.- La legge 675/96: le responsabilità (artt. 18 e 36)
1.3.- Il termine per le misure minime
1.4.- I soggetti
1.5.- L’autorizzazione generale del Garante
2.- Il regolamento sulle misure minime: DPR 28.7.99 n.318
2.1.- La classificazione delle misure minime
2.2.- Le misure per gli elaboratori non accessibili (l’archivio informatico su postazione singola)
2.3.- Le misure per gli elaboratori accessibili ma non disponibili al pubblico (l’archivio informatico in rete)
2.4.- Le misure per gli elaboratori accessibili e disponibili al pubblico (l’archivio on line)
2.5.- Le misure per il trattamento con strumenti diversi (l’archivio cartaceo)
3.- Conclusioni
1.- Il quadro normativo.
1.1.- La legge 675.96: La sicurezza dei dati (art.15).
(https://www.giurdanella.it/mainf.php?id=315&cat=dir_tec)
La legge 31 dicembre 1996 numero 675, nell’introdurre un’articolata disciplina a tutela dei dati personali, ha affrontato anche i problemi relativi alla sicurezza dei dati trattati, nella sezione III del capo III, rubricata “Sicurezza del trattamento dei dati, limiti alla utilizzabilità dei dati e risarcimento del danno”.
L’art.15 sancisce, al primo comma, l’obbligo di “custodia e controllo” dei dati personali oggetto di trattamento “anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l’adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalita’ della raccolta”.
Il secondo comma demanda ad un successivo regolamento l’individuazione delle “misure minime” di sicurezza da adottare.
1.2.- La legge 675/96: le responsabilità (artt. 18 e 36).
La violazione del generale obbligo di “custodia e controllo” posto dal primo comma dà luogo a responsabilità risarcitoria, per esercizio di attività pericolosa, ai sensi dell’art.2050 codice civile (cui rinvia l’art.18 della legge), se non si provi “di avere adottato tutte le misure idonee a evitare il danno”.
La specifica violazione delle “misure minime” previste dal secondo comma, e specificate dal regolamento, comporta invece l’applicazione delle sanzioni penali di cui all’art.36 della legge.
1.3.- Il termine per le misure minime.
L’art.41, terzo comma, della legge 675 aveva imposto l’adozione delle “misure minime” di sicurezza , entro il termine di sei mesi dall’entrata in vigore dell’apposito regolamento. E dunque, poiché il DPR 318 è entrato in vigore il 29.9.99, tali misure andavano adottate entro il 29.3.2000.
Senonchè, con la legge 3.11.2000 n. 325, il termine del 29 marzo è stato prorogato al 31.12.2000. Unica condizione per avvalersi di tale ulteriore termine era la redazione, entro trenta giorni dall’entrata in vigore della legge, e dunque entro l’11.12.2000, di un documento, avente data certa, da cui risultassero:
“a) gli accorgimenti da adottare o gia’ adottati e gli elementi che caratterizzano il programma di adeguamento, nonche’ le singole fasi in cui esso e’ eventualmente ripartito;
b) le linee-guida previste per dare piena attuazione alle misure minime di sicurezza … nonche’ alle piu’ ampie misure di sicurezza previste dal comma 1 dell’articolo 15 della legge n. 675 del 1996″.
Gli adempimenti infine, da adottare entro il 31 dicembre, non dovranno formare oggetto di comunicazione al Garante.
La documentazione, da cui risulti l’avvenuta adozione delle misure minime di sicurezza, dovrà essere esibita all’Autorità solo a seguito di una eventuale e specifica richiesta in sede di ispezione o di controllo.
1.4.- I soggetti.
La legge 675 individua, all’art.1, i soggetti destinatari degli obblighi e delle correlate sanzioni.
– Il titolare è la “persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono le decisioni in ordine alle finalità ed alle modalità del trattamento di dati personali, ivi compreso il profilo della sicurezza” (c. 2 lett.d ).
– Il responsabile è “la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali” c. lett.e ).
“Il responsabile, se designato, deve essere nominato tra soggetti che per esperienza, capacità ed affidabilità forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza (art.8). Il compito del responsabile sarà quello di occuparsi del trattamento secondo le istruzioni impartite dal titolare, che dovranno essere specificate per iscritto. E’ anche possibile designare quale responsabile anche un praticante avvocato (autorizzazione Garante 4/2000 cit.) oppure più di un soggetto.
– l’incaricato compie le operazioni di trattamento affidategli per iscritto dal titolare o dal responsabile ed opera sotto la loro diretta autorità (art.19).
– L’amministratore di sistema – figura introdotta dal successivo regolamento – è il soggetto cui è conferito “il compito di sovrintendere alle risorse del sistema operativo o di un sistema di base dati e di consentirne l’utilizzazione” (DPR 318/99, art.1 lett.c ).
1.5.- L’autorizzazione per il trattamento di dati sensibili.
Il trattamento di dati sensibili (artt.22 e 24 legge 675) comporta la necessità di una preventiva autorizzazione del Garante (art.41 comma 7).
Per quanto riguarda i liberi professionisti, l’autorizzazione del Garante è stata rilasciata in via generale.
Con il provvedimento 4/2000 (G.U. n. 229/2000) il Garante ha autorizzato il “trattamento dei dati sensibili da parte dei liberi professionisti”, dall’1 ottobre 2000 al 31 dicembre 2001.
Restano tuttavia fermi, ai sensi dell’art.4, gli obblighi di:
“a) di informare l’interessato ai sensi dell’art. 10, commi 1 e 3, della legge n. 675/1996, anche quando i dati sono raccolti presso terzi;
b) di acquisire il consenso scritto”.
Tali obblighi sono però esclusi, laddove servano “per far valere o difendere un diritto in sede giudiziaria” (art.10 c. 4 e art.12 lett.h) della legge 675).
(https://www.giurdanella.it/mainf.php?id=312&cat=mat_avv)
2.- Il regolamento sulle misure minime: DPR 28.7.99 n.318.
(https://www.giurdanella.it/mainf.php?id=310&cat=dir_tec)
2.1.- La classificazione delle misure minime.
Il regolamento sulle “misure minime” distingue il trattamento effettuato “con strumenti elettronici o comunque automatizzati” (capo II) da quello effettuato “con strumenti diversi” (capo III).
Il trattamento “elettronico”, di cui al capo II, è poi classificato a seconda che venga effettuato:
– ” mediante elaboratori non accessibili da altri elaboratori o terminali” (sezione I),
– “mediante elaboratori accessibili in rete” (sezione II, che poi distingue ulteriormente se siano o meno “disponibili al pubblico “),
– “per fini esclusivamente personali” (sezione III).
2.2.- Le misure per gli elaboratori non accessibili (l’archivio informatico su postazione singola).
Ai sensi dell’art.2 del regolamento, per il trattamento di dati personali effettuato mediante elaboratori non accessibili da altri elaboratori o terminali, occorrerà prevedere una parola chiave per l’accesso dei dati , che dovrà essere fornita agli incaricati del trattamento, e ove possibile, questa dovrà poter essere sostituita autonomamente rispetto al resto del sistema operativo.
Occorrerà individuare per iscritto (qualora vi sia più di un incaricato del trattamento e siano in uso più parole chiave) i soggetti preposti alla loro custodia o che hanno accesso a tali informazioni.
2.3.- Le misure per gli elaboratori accessibili ma non disponibili al pubblico (l’archivio informatico in rete).
Nel caso di trattamenti effettuati con elaboratori accessibili in rete, oltre all’osservanza degli adempimenti di cui all’articolo 2, occorre conformarsi a quelli previsti dal successivo art. 4.
Occorrerà, anzitutto, attribuire a ciascun utente o incaricato del trattamento un codice identificativo personale per l’utilizzazione dell’elaboratore. Tale codice non potrà essere assegnato a persone diverse neppure in tempi diversi, fatta eccezione per gli amministratori di sistema .
L’assegnazione e la gestione dei codici identificativi personali dovrà avvenire in modo che ne sia prevista la disattivazione in caso di perdita della qualità che consentiva l’accesso all’elaboratore o di mancato utilizzo dei medesimi per un periodo superiore ai sei mesi.
Ancora, gli elaboratori devono essere protetti contro il rischio di intrusione, mediante idonei programmi, da aggiornare e da verificare con cadenza almeno semestrale.
Per il trattamento dei dati sensibili sono previste ulteriori cautele dall’art.5 del regolamento.
2.4.- Le misure per gli elaboratori accessibili e disponibili al pubblico (l’archivio on line).
Ai sensi dell’art.6 del Regolamento, occorre redigere un apposito documento programmatico sulla sicurezza per il trattamento dei dati sensibili, nel caso in cui questo venga effettuato mediante elaboratori accessibili tramite rete di telecomunicazioni disponibili al pubblico.
E dunque, occorre redigere il documento programmatico quando i dati sono memorizzati in un sistema in qualche modo collegato ad Internet o ad altri sistemi di consultazione a distanza.
2.5.- Le misure per il trattamento con strumenti diversi (l’archivio cartaceo).
Il regolamento impone, anche per quanto riguarda gli archivi di tipo cartaceo, o per tutti i trattamenti effettuati con strumenti automatizzati diversi da quelli elettronici, l’adozione di misure minime di sicurezza.
Ed invero l’articolo 9 prevede:
“1. … a) nel designare gli incaricati del trattamento per iscritto e nell’impartire le istruzioni ai sensi degli articoli 8, comma 5, e 19 della legge, il titolare o, se designato, il responsabile devono prescrivere che gli incaricati abbiano accesso ai soli dati personali la cui conoscenza sia strettamente necessaria per adempiere ai compiti loro assegnati;
b) gli atti e i documenti contenenti i dati devono essere conservati in archivi ad accesso selezionato e, se affidati agli incaricati del trattamento, devono essere da questi ultimi conservati e restituiti al termine delle operazioni affidate.
2. Nel caso di trattamento di dati di cui agli articoli 22 e 24 della legge, oltre a quanto previsto nel comma 1, devono essere osservate le seguenti modalità:
a) se affidati agli incaricati del trattamento, gli atti e i documenti contenenti i dati sono conservati, fino alla restituzione, in contenitori muniti di serratura;
b) l’accesso agli archivi deve essere controllato e devono essere identificati e registrati i soggetti che vi vengono ammessi dopo l’orario di chiusura degli archivi stessi”.
3.- Conclusioni.
Le misure minime di sicurezza, da adottare entro il 31 dicembre 2000, possono così sintetizzarsi:
– Va prevista una parola chiave per qualunque trattamento effettuato mediante elaboratori non accessibili in rete.
– Ogni utente incaricato dovrà essere munito di un codice identificativo personale, se i dati vengono trattati con elaboratori accessibili in rete.
– Dovranno essere rilasciate autorizzazioni specifiche agli incaricati, laddove vengano trattati dati sensibili. In tale ipotesi, se gli elaboratori sono disponibili al pubblico, andrà redatto un apposito documento programmatico.
(20 dicembre 2000)
Carmelo Giurdanella
avv@giurdanella.it