privacy la tutela della Premessa Finalità della legge e definizioni principali CAP. ENRICO GRASSO - che si conoscano le norme fondamentali

Transcript

1 la tutela PANORAMA GIURIDICO della privacy CAP. ENRICO GRASSO Premessa La legge 31 dicembre 1996 n. 675, relativa alla Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali, rappresenta il risultato di una evoluzione già da tempo maturata in ambito comunitario per contemperare due diverse esigenze: da un lato, la salvaguardia della libertà e dei diritti fondamentali delle persone fisiche; dall altra, la necessità che la diffusione dei dati personali contribuisca al progresso economico/sociale ed al benessere degli individui. In particolare il legislatore, nel recepire la direttiva comunitaria n. 95/46/CE (1), ha concretizzato la crescente attenzione verso una materia che, gradualmente, sta entrando a far parte del nostro tessuto sociale o, meglio, del nostro modo di essere. Non si tratta, dunque, solo di un adeguamento imposto dal legislatore sovranazionale, ma anche di una esigenza realmente sentita e comprovata dalla copiosa giurisprudenza prodotta nei poco più di tre anni di vita della legge. Per queste ragioni è errato pensare che si tratti di una legge non duratura o destinata ad essere applicata a casi specifici. L attuazione della legge procede però con difficoltà. In effetti, i comprensibili problemi di adattamento a comportamenti in precedenza non vincolati, fanno sì che la privacy non risulti totalmente applicata sia nel settore privato che in quello pubblico. Le difficoltà cui si è fatto cenno sono aggravate, inoltre, dalle ridotte possibilità di intervento del Garante, che dovrebbe promuovere e garantire la tutela della privacy ma che di fatto non è in condizione di gestire gli innumerevoli compiti affidatigli. A ciò va ancora aggiunto che alcuni articoli del testo originario sono stati successivamente modificati ed integrati, mentre altri non sono stati interpretati ed applicati in modo sempre coerente dalla nostra Giurisprudenza. Sebbene il quadro delineato non sia confortante, è opportuno - stante il tenore delle responsabilità e delle sanzioni connesse a comportamenti non conformi - che si conoscano le norme fondamentali ed i principali adempimenti previsti in materia. L analisi del testo legislativo sarà limitato, per ragioni di sintesi, ai soli aspetti afferenti il settore pubblico, con riferimenti all ambito ministeriale in cui operiamo. Finalità della legge e definizioni principali La legge 675/96, pur trattando un argomento noto a molti, è in realtà molto complessa e di non sempre facile interpretazione. La sua impostazione disomogenea denota le modifiche, a volte significative, introdotte al testo originario. Dei suoi 45 corposi articoli, il primo rivela la finalità della legge, che è quella di garantire che il trattamento dei dati personali si svolga nel rispetto dei diritti, delle libertà fondamentali e della dignità delle persone, con particolare riferimento alla riservatezza (2) e all identità personale (3). È opportuno fare due brevi considerazioni, che aiutano a capire la portata ed i limiti della (1) Rispetto alla direttiva comunitaria, che è limitata al trattamento di dati personali effettuato da persone fisiche, la legge 675/96 si presenta notevolmente più estesa, poiché si applica al trattamento da chiunque effettuato nel territorio dello Stato. Dunque, ne rimangono assoggettati anche le persone giuridiche, gli enti e le associazioni. Unico argine a così grande estensione è previsto per il trattamento effettuato da persone fisiche per fini esclusivamente personali. 2 Il diritto alla riservatezza, che rientra nel più vasto concetto di libertà spettante ad ogni individuo, si concretizza con la protezione di quella sfera intima della personalità la cui divulgazione non presenti profili di utilità pubblica secondo quanto ritenuto in un determinato momento storico ed un determinato ambiente. 22

2 PANORAMA GIURIDICO legge. La prima riguarda la scelta del legislatore di richiamare il rispetto di diritti già garantiti dalla nostra Costituzione. In tal modo si è voluto conferire la massima rilevanza al dettato normativo; circostanza importante al fine di risolvere eventuali contrasti applicativi con la legge 241/90, che regolamenta il diritto di accesso ai documenti amministrativi (4). La seconda riguarda l oggetto della tutela, che non è la privacy di per sé, ma il trattamento di dati, del quale la privacy è solo il parametro per valutare la conformità di tale trattamento alle regole legislative. Da ciò consegue una serie di implicazioni sul piano del trattamento, del consenso e della tutela. Ad esempio, quando la legge esclude il consenso dell interessato per dati provenienti da documenti conoscibili da chiunque, non tutela il diritto all identità personale (che, come abbiamo visto, rientra nella definizione di privacy) proprio dove tale diritto è maggiormente esposto a rischio di violazione. Tornando all esame della legge, è opportuno approfondire fin da subito il significato delle nozioni fondamentali utilizzate dal legislatore: per trattamento di dati si intende qualsiasi operazione o complesso di operazioni svolte con o senza l ausilio di mezzi elettronici o comunque automatizzati, concernenti la raccolta, la registrazione, l organizzazione, la conservazione, l elaborazione, la modificazione, la selezione, l estrazione, il raffronto, l utilizzo, l interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione dei dati. Senza addentrarci sul significato dei termini utilizzati dal legislatore, appare chiaro che la definizione di trattamento si presenta onnicomprensiva, poiché tende ad includere qualsiasi operazione (anche la semplice consultazione) avente ad oggetto dati personali raccolti in qualunque forma, cartacea e non; per dato personale si intende qualsiasi informazione (scritta o verbale) relativa a persona fisica/giuridica identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale (ad es. il numero di C.F.). Anche in questo caso è immediatamente percepibile la portata del termine informazione, anche se non sempre è possibile definirne con esattezza il significato. In effetti, è certo che esso possa includere quei documenti compilati allo scopo esclusivo di dare informazioni, come ad es. le rubriche telefoniche, il registro di protocollo, i certificati di residenza, ecc. Meno chiaro è se il termine informazione possa includere anche quei documenti non aventi la funzione specifica di dare informazioni, pur contenendole occasionalmente, come ad es. i contratti, le obbligazioni commerciali, le fatture, ecc.; per dato sensibile si intende qualsiasi dato personale idoneo a rilevare l origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l adesione a partiti, sindacati o associazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rilevare lo stato di salute e la vita sessuale. Tale definizione, apparentemente chiara, ha però originato diversi dubbi interpretativi, che la Presidenza del Consiglio dei Ministri ha recentemente chiarito precisando che non rientrano tra quelli sensibili i dati personali che riguardano la condizione economica, lo status professionale o sociale, i requisiti culturali, l appartenenza ad associazioni diverse da quelle sopraindicate, nonché i dati personali attinenti ai requisiti morali ed alle doti di irreprensibilità o di carattere possedute, o al decoro ed al comportamento tenuto. Per esemplificare i concetti finora espressi a livello teorico, si riporta una serie di attività tipiche del Ministero della Difesa che comportano il trattamento di dati personali. Molte di esse possono includere anche dati 3 La tutela dell identità personale consiste nell evitare che ad una determinata persona vengano attribuiti atti o comportamenti che, quantunque non lesivi della dignità, dell onore o del decoro, non corrispondano a vero. 4 In effetti, la legge di tutela della privacy sembra opporsi all art. 22 della legge 241/90, cioè con la norma che, disciplinando il diritto di accesso agli atti della P.A., mira ad assicurare la piena conoscibilità dei documenti amministrativi. Le possibili situazioni di contrasto (per es. nel caso di gare a licitazione privata, dove l accesso serve a verificare le ragioni della scelta di un contraente piuttosto che un altro) andranno esaminate di volta in volta attraverso la comparazione giuridica degli interessi che sostengono l uno o l altro diritto, tenendo presente che l art. 43 della legge 675/96, che elenca i casi di abrogazione delle norme incompatibili con la disciplina della privacy, ha fatto salvo in toto le norme in materia di accesso ai documenti amministrativi. 23

3 sensibili, nel senso precedentemente chiarito: governo del personale: documentazione personale e valutativa del personale militare; fascicoli del personale civile; documentazione sanitaria; istanze, richieste, ricorsi afferenti il personale; visite fiscali ed accertamenti sanitari; documenti inerenti il controllo delle presenze; procedimenti giudiziari a carico del personale; attività disciplinare di corpo; procedimenti per l irrogazione delle sanzioni; ricorsi gerarchici avverso sanzioni disciplinari; cancellazione delle sanzioni; concessione di licenze ordinarie e straordinarie; documentazione sanitaria: pratiche per l ammissione a cure termali, idropiniche, inalatorie o riguardanti il riconoscimento causa di servizio o equo indennizzo; verbali di visite mediche collegiali; assenze per malattie; infortuni sul lavoro; trattamento economico: stipendi del personale civile e militare; pignoramenti; certi-ficati di viaggio; trattamento economico eventuale ed accessorio; recupero di somme dallo stipendio; attività relativa all assistenza fiscale; pratiche pensionistiche; fascicoli amministrativi; attività amministrativa: acquisizione di beni e servizi; procedure contrattuali; con-venzioni; autocertificazioni; certificazione antimafia; accertamento di responsabilità amministrativa; denunce di danno erariale. PANORAMA GIURIDICO Il trattamento e gli adempimenti previsti Definite ed esemplificate le nozioni di dato personale e dato sensibile, si tratta ora di verificare quali siano le corrette modalità di trattamento. L art. 9 della legge 675/96 ci fornisce minuziose indicazioni al riguardo, stabilendo che i dati personali oggetto di trattamento devono essere: trattati in modo lecito e secondo correttezza; raccolti e registrati per scopi determinati, espliciti e legittimi, ed utilizzati in altre operazioni di trattamento in termini non incompatibili con tali scopi; esatti e, se necessario, aggiornati; pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono raccolti o successivamente trattati; conservati in forma che consenta l identificazione dell interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati. Questo articolo è di importanza centrale giacché riempie di contenuto il concetto di trattamento dei dati e fornisce le regole comportamentali alle quali occorre adeguarsi. Anche in questo caso non è necessario soffermarsi su un analisi approfondita dei termini, essendo sufficiente osservare che la legge ha individuato rigorosi e dettagliati requisiti di qualità dei dati oggetto del trattamento. Strettamente connessi al corretto trattamento dei dati, vi sono una serie di adempimenti funzionali all applicazione della legge stessa ed all esercizio dei diritti dell interessato. Di essi esaminiamo brevemente quelli di maggiore importanza. Notificazione al Garante. È la prima operazione da compiere da parte di chi intenda trattare dati personali e consiste in una sorta di analitica descrizione, redatta sulla base di appositi modelli, dei trattamenti che si intende effettuare. A tal riguardo, per l estrema difficoltà di adeguamento da parte di taluni soggetti e per la particolarità dei dati trattati da altri (come ad es. per i dati coperti da segreto di Stato), il legislatore ha introdotto, con successive integrazioni al testo originario, casi specifici di notificazione in forma semplificata o di esonero dall adempimento. Nell ambito del Ministero della Difesa, tale obbligo è stato assolto da Segredifesa, in qualità di organo coordinatore della materia. Consenso dell interessato. È la severa regola imposta dall art. 11 della legge, che ammette il trattamento dei dati personali solo con il consenso dichiarato dell interessato. Per espressa previsione dello stesso articolo, l obbligo del consenso è limitato alle operazioni di trattamento effettuate da privati e da enti pubblici economici. Pertanto, ed anche in presenza di dati sensibili, la Pubblica Amministrazione è esonerata da tale adempimento. A regolamentare il tratta- 24

4 PANORAMA GIURIDICO mento effettuato dalla P.A. interviene l art. 27, il quale - autorizzando il trattamento dei dati personali per lo svolgimento delle funzioni istituzionali, nei limiti stabiliti dalla legge e dai regolamenti - sposta il campo di ricerca del trattamento consentito nel groviglio di disposizioni che regolano l attività delle singole amministrazioni. Autorizzazione al trattamento dei dati sensibili. In caso di trattamento di dati sensibili, oltre all obbligo di notificazione, è prevista una preventiva autorizzazione del Garante. Per superare tale obbligo, particolarmente gravoso per i soggetti pubblici, il decreto legislativo n. 135/99 ha individuato una serie di attività svolte dalla P.A. che, perseguendo rilevanti finalità di interesse pubblico, consentono il trattamento dei dati sensibili senza l obbligo di richiedere tale autorizzazione. Inoltre è in corso di perfezionamento un ulteriore provvedimento normativo che determinerà, nell ambito di tali attività, la tipologia di dati trattabili e le operazioni eseguibili. Solo al termine dell iter parlamentare potremmo dire con certezza se e quali saranno gli obblighi per la nostra Amministrazione. Informativa all interessato. L art. 10 della legge 675/96 stabilisce che l interessato o la persona presso la quale sono raccolti i dati personali devono essere preventivamente informati, oralmente o per iscritto, circa: le finalità e le modalità del trattamento cui sono destinati i dati; la natura obbligatoria o facoltativa del conferimento dei dati; i soggetti ai quali i dati possono essere comunicati e l ambito di diffusione dei dati stessi; i diritti dell interessato elencati nell art. 13 della legge 675/96; le generalità del titolare del trattamento e del responsabile. Sebbene in tema di informativa non siano state previste agevolazioni, tale obbligo - particolarmente sentito in campo privato - non sempre viene rispettato dalla P.A. nella convinzione di ritenere tali informazioni note ai propri dipendenti, con la conseguenza che i soggetti responsabili del corretto trattamento restano esposti alle sanzioni previste per la violazione di tale disposizione (pagamento di una somma da lire un milione a lire sei milioni). Le figure individuate dalla legge 675/96 Tutte le attività inerenti il trattamento dei dati, l adempimento degli obblighi ed il rispetto dei diritti ruotano intorno ad una serie di figure di riferimento individuate dalla legge. Il Titolare La definizione di titolare ci viene fornita dall art. 1, 2 comma, della legge: E la persona [...] cui competono le decisioni in ordine alle finalità ed alle modalità del trattamento dei dati personali, ivi compreso il profilo della sicurezza. Tale articolo, integrato dal disposto del 2 comma dell art. 8, chiarisce che il titolare è colui che assume le decisioni fondamentali, delle quali ne ha la responsabilità, e vigila sulla puntuale osservanza delle disposizioni in materia. I compiti del Titolare decidere in ordine alle finalità ed alle modalità di trattamento dei dati personali, ivi compreso il profilo della sicurezza; nominare, nel proprio ambito di competenza, il responsabile del trattamento dei dati. Tale atto di nomina deve specificare analiticamente i compiti ad esso affidati; curare, direttamente o per il tramite del responsabile, la formazione degli incaricati in relazione alle disposizioni in materia di privacy; comunicare al Garante, per il tramite dei competenti Uffici interni alla propria Amministrazione, l elenco aggiornato dei responsabili e degli incaricati del trattamento; vigilare, anche tramite verifiche periodiche, sulla puntuale osservanza delle disposizioni in materia e sull andamento delle operazioni di trattamento svolte dai responsabili; comunicare ai competenti Uffici interni alla propria Amministrazione ogni disservizio o anomalia nell area di interesse della legge n. 675/96 e del D.P.R. 318/99. Sebbene il Garante abbia precisato che nella Pubblica Amministrazione il titolare del trattamento è la P.A. stessa, per ovviare alle ottemperanze pratiche cui tale figura deve provvedere, si è individuato come titolare la persona fisica che, in virtù della carica ricoperta, ha la facoltà di impegnare la potestà della P.A.. In particolare, nel nostro ambito, tale figura si identifica con quella del Comandante dell Ente. 25

5 I compiti del Responsabile Va infine aggiunto che il titolare nomina, nel proprio ambito di competenza, il responsabile (o i responsabili, se necessario per esigenze organizzative), affidan-dogli i relativi compiti, che dovranno essere analiticamente specificati per iscritto. Il Responsabile La figura del responsabile è ben definita dall art. 8 della legge, che lo descrive come il soggetto che per esperienza, capacità ed affidabilità, fornisca idonea garanzia del pieno rispetto delle disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza. Due le considerazioni: la prima riguarda le doti richieste al responsabile, che attengono all esperienza ed alla competenza e non al livello funzionale o al titolo di studio posseduto. Ciò che preme è il raggiungimento dell obiettivo, ed è proprio per questo che il legislatore, in aggiunta ai compiti, ne descrive i requisiti. La seconda PANORAMA GIURIDICO svolgere l incarico ed i compiti affidatigli nel rispetto delle disposizioni previste dalla legge n.675/96 e successive modifiche ed integrazioni, nonché dal D.P.R. n. 318/99; curare la formazione degli incaricati in relazione alle disposizioni in materia di privacy o collaborare con il titolare nel caso in cui tale incombenza non gli sia stata devoluta; rispettare e far rispettare le misure adottate per la sicurezza dei dati personali indicate nel D.P.R. n. 318/99; individuare e nominare con apposito atto gli incaricati del trattamento dei dati personali, l amministratore di sistema ed il preposto, fornendo loro le istruzioni di dettaglio; comunicare al titolare ogni e qualsiasi elemento inerente la legge n. 675/96 e il D.P.R. 318/99 che dovesse ravvisare o che dovesse ricevere dagli interessati o dall amministratore di sistema; evadere le domande dirette all esercizio dei diritti di accesso, alla rettifica, all integrazione ed alla eventuale cancellazione dei dati personali. considerazione riguarda il profilo relativo alla sicurezza, già introdotto nella definizione del titolare, a dimostrazione della grande attenzione rivolta al tema della sicurezza dei dati personali. Ricevuto l incarico, il responsabile opera attenendosi alle istruzioni del titolare. L Incaricato La legge tratta solo marginalmente la figura dell incaricato. Pur rivestendo un ruolo fondamentale per l equilibrio applicativo della materia, di esso l art. 8 si limita a dire che deve elaborare i dati personali ai quali ha accesso attenendosi alle istruzioni del titolare o del responsabile. L art. 19 aggiunge infine che la nomina dell incaricato va effettuata per iscritto (5). Appare comunque chiaro che l incaricato è la persona fisica destinata a compiere tutte le operazioni di gestione, elaborazione, custodia, ecc. dei dati personali, alla quale andranno dati compiti ben definiti. L Interessato L interessato è il soggetto cui si riferiscono i dati personali. Ad esso o, meglio, ai suoi diritti nel trattamento dei dati, è dedicata l intera Sezione II della legge. Molto sinteticamente e tralasciando il delicato argomento del consenso che - come abbiamo visto - non riguarda la P.A., si può dire che l interessato vanta i seguenti diritti: di conoscere, mediante il I compiti dell Incaricato osservare il principio generale secondo cui i dati personali devono essere: trattati in modo lecito e secondo correttezza; raccolti e registrati per gli scopi inerenti le attività svolte da ciascuno ed utilizzati in altre operazioni di trattamento in termini non incompatibili con tali scopi; esatti e, se necessario, aggiornati; pertinenti, completi e non eccedenti le finalità per le quali sono stati raccolti o successivamente trattati; trattati e custoditi in osservanza alla massima riservatezza, in considerazione delle misure di sicurezza del D.P.R. n. 318/99; conservati in forma che consenta l identificazione dell interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati; accedere ai soli dati personali la cui conoscenza sia strettamente necessaria per adempiere ai compiti loro assegnati; assicurarsi che gli interessati dei quali devono essere trattati i dati personali abbiano ricevuto l informativa prevista dall art. 10 della legge n. 675/96. In caso contrario, tale informativa dovrà essere resa prima di effettuare il trattamento dei dati; assicurarsi che soggetti non autorizzati non accedano ai locali in cui sono custoditi e trattati i dati personali e che, in caso di allontanamento anche temporaneo dal proprio posto di lavoro, non vi sia alcuna possibilità da parte di terzi di accedere a tali locali; non comunicare ad altri la parola chiave assegnata per l accesso al proprio elaboratore ed il codice identificativo personale per l accesso ai dati contenuti nella rete; sostituire, se ritenuto opportuno/necessario, la parola chiave di cui al precedente alinea, previa comunicazione al soggetto preposto alla loro custodia; informare il responsabile di qualsiasi elemento inerente la legge n. 675/96 ed il D.P.R. n. 318/ (5) Al riguardo, giova precisare che l atto di nomina dell incaricato non è solo una misura richiesta dalla norma, ma anche una tutela nei confronti di chi, di fatto, svolge le funzioni di incaricato esponendosi, comunque, al rigore penale delle sanzioni.

6 PANORAMA GIURIDICO Garante, l esistenza di trattamenti che lo riguardano (ipotesi difficilmente realizzabile, dato che l Ufficio del Garante non ha predisposto un organizzazione idonea a soddisfare tale incombenza); di essere informato dal titolare circa le finalità del trattamento; di ottenere dal titolare la conferma, la cancellazione, la rettifica, ecc. dei dati trattati, nonché l attestazione che tali operazioni sono state portate a conoscenza di coloro ai quali i dati sono stati comunicati o diffusi. di opporsi, in tutto o in parte, per motivi legittimi, al trattamento dei dati che lo riguardano, ancorché pertinenti allo scopo della raccolta. Per il rispetto dei propri diritti, l interessato può, in primo luogo, agire direttamente sul titolare o sul responsabile, chiedendo, anche verbalmente e senza obbligo di motivazione, il ripristino della situazione violata. In caso di rifiuto (ma anche direttamente) può avvalersi dell Autorità giudiziaria o del Garante, con la precisazione che la scelta della giustizia ordinaria preclude il ricorso al Garante. Il D.P.R. 318/99 e le figure da esso introdotte I compiti dell Amministratore di Sistema sovrintendere alle risorse del sistema operativo degli elaboratori o del sistema di base dati e di consentirne l utilizzazione; assegnare ad ogni incaricato un diverso codice identificativo personale per l accesso ai dati sensibili contenuti in rete; disattivare i codici identificativi personali in caso di perdita dell incarico per il quale tale codice era stato assegnato o di mancato utilizzo dell elaboratore per un periodo superiore a sei mesi; custodire l elenco dei codici identificativi personali in contenitori muniti di serratura; promuovere l aggiornamento semestrale dei programmi informatici (cd. antivirus) contro il rischio di intrusione ad opera di altri programmi; assistere il titolare ed il responsabile nelle seguenti attività: autorizzazioni agli incaricati per l accesso ai dati sensibili; gestione corretta dei supporti informatici e delle aree di memoria, curandone la custodia, la riproduzione e la distruzione; compilazione del documento programmatico sulla sicurezza, nel caso di trattamento effettuato mediante elaboratori accessibili al pubblico; informare il responsabile di qualsiasi elemento inerente la legge n. 675/96 ed il D.P.R. n. 318/99. Tra i numerosi provvedimenti adottati nel breve periodo di vita della legge, un cenno a parte merita il D.P.R. 28 luglio 1999, n. 318 Regolamento recante norme per l individuazione delle misure di sicurezza per il trattamento dei dati personali, a norma dell art. 15, comma 2, della legge n. 675/96. Emanato con notevole ritardo (6), il Regolamento rappresenta l intimo corollario della legge base, che viene completata con una serie di prescrizioni finalizzate a ridurre al minimo una serie di accadimenti pregiudizievoli per la sicurezza dei dati. Il D.P.R. 318/99 rappresenta inoltre una svolta nel campo della sicurezza, essendo il primo provvedimento normativo che obbliga i destinatari ad attuare misure di protezione la cui mancata adozione assume rilevanza penale. Procedendo per gradi, il D.P.R. introduce anche due ulteriori figure di riferimento, che ci permettono di completare il quadro dei soggetti individuati dalla privacy. L Amministratore di Sistema È una figura nuova nel campo dei sistemi informatici di trattamento dati, con aree comuni ad altre figure note, quali il responsabile operativo o il responsabile della sicurezza. Il suo compito specifico è quello di sovrintendere alle risorse di un sistema operativo di un elaboratore o di un sistema di base dati e di consentirne l utilizzazione. Dunque, un vero e proprio gestore delle modalità di accesso ed utilizzo, a livello software, del sistema informativo. Tale incarico, da formalizzarsi per iscritto, può rimanere accentrato al titolare o essere affidato al responsabile, ad uno degli incaricati o anche ad un terzo estraneo al trattamento dei dati. Il Preposto Pur non essendo stata formalmente istituita la figura, dall esame del Regolamento si evince che il preposto è il soggetto incaricato della custodia delle parole chiavi per l accesso ai dati contenuti in elaboratori o terminali. È, pertanto, una figura prettamente operativa, cui potrebbero essere affidati anche compiti di controllo sul corretto uti- (6) Il ritardo è dovuto alle numerose (e sostanziali) modifiche effettuate in corso d opera per ridurre il gap tra le misure di sicurezza individuate dagli esperti che avevano curato la stesura del testo e la situazione strutturale ed organizzativa della P.A.. Per questo, le misure indicate dal Regolamento rappresentano davvero il minimo assoluto, soprattutto in tema di sicurezza informatica. 27

7 PANORAMA GIURIDICO lizzo delle password e di informazione sulle modalità di selezione della parola chiave stessa. La sicurezza dei dati personali Come anticipato, il tema della sicurezza dei dati personali è particolarmente sentito dal legislatore, che si è preoccupato non solo di evidenziarlo tra i numerosi compiti affidati al titolare ed al responsabile, ma anche di prevedere aggiornamenti almeno biennali alle disposizioni contenute nel primo regolamento in materia, che è appunto il D.P.R. 318/99 (7). Non solo. Un altro aspetto che rende necessaria un attenta analisi del provvedimento, sta nelle misure repressive previste in caso di comportamenti omissivi al riguardo. Più precisamente, l art. 36 della legge 675/96 stabilisce che chiunque, essendovi tenuto, omette di adottare le misure necessarie a garantire la sicurezza dei dati personali, è punito con la reclusione fino ad un anno. Se dal fatto deriva nocumento, la pena della reclusione è da due mesi a due anni. Passando all analisi del provvedimento, la sicurezza dei dati personali si realizza con l adozione di idonee e preventive misure atte a ridurre al minimo (anche attraverso un attività di controllo e di custodia dei dati) una serie di accadimenti che è opportuno esaminare singolarmente, indicando - per ognuno di essi - le relative misure. Trattamento non consentito o non conforme alle finalità di raccolta Le misure di sicurezza da adottare sono: osservare il principio generale secondo cui i dati devono essere trattati in modo lecito e secondo correttezza (a titolo esemplificativo, non è considerato trattamento corretto la trasmissione in forma non riservata di documenti quali: decreti ingiuntivi, pignoramenti, statini stipendio, ecc.); rispettare il diritto dell interessato all informazione sulle finalità e le modalità del trattamento (è la cd. informativa da rendere all interessato prima di effettuare il trattamento). Accesso non autorizzato Per quanto riguarda le misure minime per evitare tale accadimento, occorre distinguere: Trattamento dei dati personali effettuato con strumenti diversi da quelli elettronici. Sono previste le seguenti misure: gli incaricati devono avere accesso ai soli dati personali la cui conoscenza sia strettamente necessaria per adempiere ai compiti loro assegnati; gli atti ed i documenti contenenti dati personali devono essere conservati in archivi ad accesso selezionato e, se affidati agli incaricati del trattamento, devono essere da I compiti del Preposto assegnare agli incaricati una parola chiave per l accesso ai dati personali contenuti negli elaboratori loro affidati; aggiornare l elenco delle parole chiavi nel caso in cui gli incaricati intendano provvedere ad una autonoma sostituzione di quella in uso; custodire l elenco delle parole chiavi in busta sigillata e custodire tale plico in modo che il titolare ed il responsabile possano accedervi in caso di necessità; fornire agli incaricati le informazioni necessarie ad una appropriata scelta delle parole chiave; collaborare con l amministratore di sistema affinché soggetti non autorizzati non accedano agli archivi informatizzati delle parole chiavi; informare il responsabile di qualsiasi elemento inerente la legge n. 675/96 ed il D.P.R. n. 318/99. questi ultimi conservati e restituiti al termine delle operazioni affidate. Per i dati sensibili è inoltre necessario che: se affidati agli incaricati del trattamento, i documenti contenenti tali dati devono essere conservati, fino alla loro restituzione, in contenitori muniti di serratura; l accesso agli archivi deve essere controllato e, dopo l orario di chiusura degli archivi, devono essere identificati e registrati i soggetti che vi vengono ammessi. Trattamento dei dati personali effettuato con elaboratori non accessibili da altri terminali. In tale situazione, è previsto che ad ogni incaricato sia assegnata una parola chiave per l accesso ai dati. È opportuno che tale password sia costituita da una sequenza alfanumerica casuale e che sia periodicamente sostituita. Se le caratteristiche dell elaboratore lo consentono, l incaricato potrà autonomamente sostituirla, previa comunicazione al soggetto preposto alla custodia delle parole chiavi. Trattamento dei dati personali effettuato con elaboratori accessibili in rete. Oltre a quanto indicato al punto precedente, è previsto: (7) In effetti l aggiornamento biennale rappresenta anche esso una forma (minima) di sicurezza, vista la rapidità con cui si evolve il settore informatico e l abilità con cui i criminali informatici riescono a superare le precauzioni adottate. 28

8 che a ciascun utente sia attribuito un codice identificativo personale per l utilizzazione dell elaboratore. Tale codice: non può essere assegnato a persone diverse; deve essere disattivato in caso di perdita dell incarico che consentiva l accesso all elaboratore o di mancato utilizzo dell elaboratore per un periodo superiore a sei mesi; che gli elaboratori siano protetti dai virus mediante idonei programmi la cui efficacia ed aggiornamento deve essere verificata con cadenza almeno semestrale. Per i dati sensibili, in particolare, è previsto che gli incaricati siano specificatamente autorizzati all accesso. Tale autorizzazione, da limitare ai soli dati la cui conoscenza è necessaria e sufficiente per lo svolgimento delle operazioni di trattamento, va rinnovata almeno una volta all anno, previa verifica della sussistenza delle condizioni per il rinnovo. Distruzione o perdita, anche accidentale, dei dati In questo caso non sono previste misure specifiche. In effetti, si tratta di adottare le normali precauzioni del caso, quali, ad esempio: custodia dei documenti in armadi blindati e ignifughi; dispositivi antincendio; continuità dell alimentazione elettrica; controlli aggiornati antivirus; distruzione controllata dei documenti cartacei e su supporti magnetici, ecc.. Le responsabilità Le responsabilità in caso di PANORAMA GIURIDICO danni arrecati per effetto del trattamento dei dati sono particolarmente gravose. In particolare: l art. 18 della legge 675/96 prevede che chiunque cagioni danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell art del codice civile (8). Con tale disposizione si realizza l inversione dell onere della prova: il titolare ed il responsabile, in caso di danno, sono obbligati al risarcimento se non provano di avere adottato tutte le misure idonee ad evitarlo; l art comma della legge 675/96 estende ancor di più l ambito del pregiudizio indennizzabile stabilendo la risarcibilità del danno morale, consistente nel ristoro delle sofferenze morali e psichiche patite dall interessato in seguito al trattamento illecito. Conclusioni Ad oltre tre anni di distanza dal suo varo, la legge sulla privacy si muove su un terreno reso difficile dalla necessità di conciliare due esigenze contrastanti: quella di dare sincera attuazione alle direttive del legislatore sovranazionale e quella di non esporre la Pubblica Amministrazione, più che il privato, al rigore delle sanzioni amministrative e penali. La prima esigenza avrebbe imposto fin da subito norme definitive ed indifferenziate tra settore pubblico e privato; la seconda, originata da problemi organizzativi e di contenimento della spesa, ha invece motivato orientamenti attuativi diversificati. In tale contesto il legislatore ha operato in modo non sempre chiaro e coerente, evidenziando il clima di incertezza giuridica in cui si è mosso. Ne è testimonianza la legge delega 31 dicembre 1996 n. 676, con la quale si è conferita al Governo (che è, attraverso il suo apparato, uno dei destinatari della legge) la possibilità di integrare e correggere la legislazione in materia. Ed il Governo non si è fatto attendere, emanando una serie di decreti legislativi che a volte hanno sensibilmente attenuato la vis del provvedimento originario. A ciò va aggiunto che spesso la legge opera generici rinvii alle disposizioni che regolamentano l attività delle singole Amministrazioni e, pertanto, in troppi casi la verifica del corretto trattamento dei dati personali è subordinata all analisi di norme secondarie. Alla difficile ma necessaria attività di individuazione di specifici contesti regolamentari che a volte evidenziano adempimenti applicativi non in linea con il corpus iuris originario, si contrappongono, come descritto in precedenza, precise e gravose disposizioni sanzionatorie. È partendo da queste considerazioni che nasce l esigenza dei titolari e responsabili del trattamento di educare e sensibilizzare il proprio personale ad una gestione dei dati personali efficiente ed al tempo stesso corretta. Va da sé che gli incaricati del trattamento dovranno agire in un contesto strutturalmente adeguato alle mutate esigenze di riservatezza, nel quale sia reso possibile il rispetto delle misure di sicurezza previste dal D.P.R. 318/99 e dei principi ispiratori della legge. (8) L art del c.c. (responsabilità per l esercizio di attività pericolose) dispone: chiunque cagiona danno ad altri nello svolgimento di una attività pericolosa [...] è tenuto al risarcimento, se non prova di avere adottato tutte le misure idonee ad evitare il danno 29