Brevi considerazioni
in merito ad alcune misure minime di sicurezza in vista della scadenza del 30
giugnoIl Garante per la protezione dei dati personali ha recentemente chiesto
ad alcuni esperti di sicurezza informatica, in vista della scadenza del 30 giugno,
termine ultimo per l'adozione delle cd. "nuove" misure minime di sicurezza
previste dal Codice in materia di trattamento di dati personali (il "Codice"),
di elaborare una traccia di Documento programmatico sulla sicurezza ("DPS")
che possa essere d'ausilio a tutti i soggetti che dovranno provvedervi. Il risultato,
denominato "Prime riflessioni sui criteri di redazione del Documento programmatico
sulla sicurezza" è stato pubblicato sul sito del Garante [http://www.garanteprivacy.it/garante/doc.jsp?ID=1002143]
con l'invito ad esprimere osservazioni al riguardo. Unitamente a tale documento
è stato richiamato il parere 22 marzo 2004 reso a Confindustria sull'oggetto:
"prima applicazione del Codice in materia di protezione dei dati personali
in materia di "misure minime" di sicurezza (art. 31-36 e Allegato B)
al d.lg. n. 196/2003", già oggetto di un mio precedente commento su
questa rivista. Decisamente si tratta di un'iniziativa molto positiva, da accogliere
con il massimo del favore e non rimane che attendere di conoscere i risultati
dei contributi che verranno espressi.
Al di là degli aspetti
tecnico-operativi sottesi alla predisposizione e compilazione del documento, mi
sembra vi sia un quesito di più generale portata giuridica che merita approfondimento,
vale a dire se il DPS debba essere redatto con riferimento a tutti i trattamenti
di dati personali effettuati tramite strumenti elettronici, ovvero limitatamente
ai soli trattamenti riguardanti dati sensibili e dati giudiziari.
Il
quesito non è di poco conto, giacché una conclusione favorevole
alla prima ipotesi interpretativa comportarebbe un carico di lavoro notevolmente
superiore rispetto alla seconda ipotesi.
Il modello di DPS predisposto
dagli esperti incaricati dal Garante sembrerebbe dare per scontata l'interpretazione
estensiva, in base alla quale esso debba riguardare tutti i trattamenti di dati
effettuati con strumenti elettronici. Esaminiamo ora con attenzione i vari elementi
normativi che potrebbero condurci ad una conclusione piuttosto che ad un'altra.
L'art. 34 del Codice dispone il generale obbligo di adozione delle
misure minime di sicurezza per i trattamenti di dati personali effettuati con
strumenti elettronici. In particolare, alla lettera g), stabilisce l'obbligo di
"tenuta di un aggiornato documento programmatico sulla sicurezza".
In effetti, a prima vista, tale disposizione non prevede una distinzione tra tipologie
di dati personali e sembrerebbe stabilire addirittura tale obbligo per tutti i
titolari di trattamenti di dati personali, senza distinzione. Una tale interpretazione
sarebbe, evidentemente, eccessiva. Al riguardo occorre infatti subito osservare
come la disposizione generale contenuta nel comma 1 dell'art. 34 del Codice faccia
esplicito rinvio, per quanto riguarda l'adozione delle misure minine, ai "modi
previsti dal disciplinare tecnico contenuto dell'allegato B)".
Ebbene,
la regola 19 contenuta nell'allegato stabilisce testualmente che "il titolare
di un trattamento di dati sensibili o di dati giudiziari redige … un DPS
contenente …". Viene quindi da domandarsi quale sia il rilievo di
tale precisa specificazione in relazione al più generale obbligo disposto
dall'art. 34 del Codice.
A mio giudizio sono possibili due interpretazioni:
la prima tenderebbe a ritenere la specificazione come meramente diretta ad individuare
i soggetti tenuti alla formazione del DPS, senza implicare ulteriori conseguenze
con riferimento al contenuto del DPS; la seconda, viceversa, tenderebbe a ritenere
che la specificazione non riguardi solo i soggetti, bensì anche l'ambito
oggettivo di predisposizione del DPS.
Accedendo alla prima interpretazione,
sostenibile nella misura in cui si osservi che nel sottopunto 19.1 si menzionano
semplicemente i "dati personali", si approderebbe tuttavia ad una palese
incongruenza, dato che solamente determinati soggetti, vale a dire i titolari
che trattano dati sensibili o giudiziari, risulterebbero obbligati ad adottare
una misura la cui portata riguarderebbe, tuttavia, il contenimento del rischio
derivante da tutti i trattamenti di dati personali. Ed allora non si capirebbe
la ragione di tale differenziazione, che sarebbe anche iniqua, giacché,
a parità di rischio (quello indotto dal trattamento di dati personali comuni,
vale a dire diversi da quelli sensibili e giudiziari), solo alcuni titolari risulterebbero
onerati dell'obbligo di una misura di sicurezza per il contenimento del medesimo
rischio che colpirebbe anche altri titolari, non altrettanto obbligati.
Salvo
considerare che per un titolare di trattamento di dati sensibili e giudiziari
l'onere di protezione dei dati personali comuni sia maggiore rispetto ad altri
titolari. Pur tuttavia tale ragione andrebbe dimostrata e non mi sembra tale allo
stato dei fatti. Posto, dunque, che non si intravedono ragioni concrete per giustificare
una simile ipotesi, sull'argomento occorrerebbe anche considerare l'ipotesi, alquanto
frequente, in cui il titolare procede "internamente" al trattamento
dei dati sensibili e giudiziari senza ricorrere all'ausilio di strumenti elettronici,
salvo affidare all'esterno il trattamento dei medesimi (normalmente un fornitore
di servizi di elaborazione di paghe e contributi nominato responsabile del trattamento),
da effettuare con l'ausilio di strumenti elettronici. É intuitivo che in questo
particolare caso vi sarebbe la possibilità di limitare la redazione del
DPS al solo responsabile "esterno" del trattamento, il quale potrebbe
garantire anche maggiore protezione in virtù della specializzazione che
lo contraddistingue, possibilità che sarebbe tuttavia impedita sempre applicando
prima ipotesi interpretativa.
Accedendo alla seconda interpretazione,
vale a dire che la redazione del DPS sia dovuta dai soli titolari che trattano
dati sensibili e giudiziari e con riferimento solamente ai trattamenti che riguardano
tali specifici dati, si approda ad una soluzione certamente più logica
e per questo anche più equa.
Ulteriore elemento che milita a favore
della seconda interpretazione si trova analizzando i titoli che sono contenuti
nell'Allegato B) al fine di raggruppare le varie regole presenti. Ebbene, dopo
la sezione "Documento programmatico sulla sicurezza" troviamo "Ulteriori
misure in caso di trattamento di dati sensibili o giudiziari". Analizzando
con attenzione il contenuto delle regole da 20 a 24 nessuno può dubitare
che tali disposizioni siano riferite, e si applichino, esclusivamente al trattamento
di dati sensibili e giudiziari e non può sorgere dubbio che tali regole
non riguardino i trattamenti di altri dati personali. Proprio l'aggettivo "ulteriori"
sembrerebbe indicarci che le disposizioni riguardanti il DPS sono esclusivamente
rivolte ai trattamenti di dati sensibili e giudiziari e non altrimenti. Diversamente
non avrebbe significato l'uso di tale aggettivo.
Per le ragioni sopra
esposte, ritengo preferibile adottare l'interpretazione in base alla quale il
DPS debba essere formato, ed aggiornato periodicamente, con riferimento esclusivamente
al trattamento di dati personali sensibili o giudiziari. Naturalmente, ciò
non toglie che sarebbe ottima pratica imprenditoriale decidere di estendere la
predisposizione del DPS a tutti i dati personali oggetto di trattamento presso
un titolare, in considerazione non solo del generale obbligo di protezione dei
dati contenuto nell'art. 31 del Codice, bensì anche in ragione della necessità
di tutelare il patrimonio informativo dell'impresa, asset determinante
per la sopravvivenza sul mercato e per assicurare la continuità di business.
*
* *
Vorrei ora effettuare qualche riflessione in merito alla misura di sicurezza
prevista dalla regola n. 10 contenuta nell'Allegato B) al Codice.
La
regola disciplina le modalità d'accesso ai dati o agli strumenti elettronici,
da parte del titolare, quando siano protetti dalla componente riservata della
credenziale per l'autenticazione di un incaricato. La domanda che ci si pone è
se debba essere considerato obbligatorio per un titolare il ricorso alla procedura
delineata nella parte finale della regola, che si basa su un sistema di custodia
delle copie delle credenziali segrete attraverso l'individuazione di soggetti
incaricati della custodia, ovvero se sia possibile realizzare analogo livello
di protezione dei dati personali e degli strumenti elettronici anche mediante
altra idonea procedura. Il quesito assume rilievo in ragione dell'onere indotto
dalla procedura individuata dal legislatore, che risulta particolarmente macchinosa,
soprattutto in considerazione dei periodici rinnovi delle credenziali stabiliti
per legge.
Analizzando in dettaglio la regola n. 10 essa appare logicamente
ripartita in due parti. Nella prima si ricava il principio che legittima l'accesso
ai dati ed agli strumenti elettronici da parte del titolare quando siano protetti
mediante impiego della componente riservata di una credenziale per l'autenticazione.
In tal caso, sono complessivamente e contemporaneamente necessarie: i) idonee
e preventive disposizioni scritte volte ad individuare le modalità di accesso
da parte del titolare; ii) la prolungata assenza o impedimento dell'incaricato;
iii) la circostanza, indotta dalle condizioni di cui sub ii) precedente, che l'accesso
si renda indispensabile e indifferibile; iv) la circostanza che l'accesso avvenga
per esclusive necessità di operatività e di sicurezza del sistema.
Ebbene, in presenza di tutte queste condizioni l'accesso sostitutivo del titolare,
rispetto all'incaricato, ai dati personali o agli strumenti elettronici è
da ritenere legittimo nonché consentito.
Venendo alla parte terminale
della regola n. 10, a me sembra che la procedura descritta sia da considerare
quale esemplificativa delle "idonee e preventive disposizioni", nel
senso che qualora un titolare opti per un sistema di custodia delle copie delle
credenziali, in tal caso sarà obbligato a seguire le prescrizioni fornite.
Non mi sembra, viceversa, che dalla norma si possa ricavare il principio
di obbligatorietà del ricorso ad una simile procedura. E ciò in
quanto tale procedura sarebbe di fatto applicabile solamente con una tipologia
delle credenziali per l'autenticazione previste dalla regola n. 2 dell'Allegato
B). É evidente, ad esempio, che una simile procedura non sarebbe minimamente
applicabile qualora il titolare disponesse l'adozione di credenziali per l'autenticazione
basate su di una caratteristica biometria dell'incaricato. In tal caso sarebbe
veramente comico, se non da film dell'orrore, pensare al deposito ed alla custodia
delle copie delle credenziali. Stesso discorso varrebbe per credenziali basate
su certificati di autenticazione contenuti in smart cards (seconda possibilità
prevista dalla regola n. 2). Ergo, la procedura descritta è esemplificativa
per il caso in cui il titolare opti per un meccanismo di custodia delle copie
delle credenziali. Diversamente, il titolare potrà, sempre mediante descrizione
delle "idonee e preventive disposizioni scritte volte ad individuare le modalità
di accesso", disporre un sistema alternativo in base al quale: 1) l'accesso
ai dati o agli strumenti elettronici avvenga solo e soltanto in presenza delle
condizioni sopra delineate; 2) venga data notizia all'incaricato che è
stato effettuato un accesso in sua sostituzione; 3) sia evitata la possibilità
di accesso da parte di terzi alle credenziali per l'autenticazione di un incaricato.
Da questo punto di vista ritengo che il cd. "azzeramento"
della credenziale per l'autenticazione di un incaricato assente, operata dal titolare
al fine di consentire al titolare l'accesso a dati personali o strumenti elettronici,
sia da considerare legittima nella misura in cui venga successivamente data notizia
all'incaricato dell'avvenuto accesso e venga inoltre prevista, post accesso
del titolare, la configurazione di una nuova componente riservata della credenziale
dell'incaricato. Tale procedura potrebbe apparire, per certi versi, ancora più
sicura rispetto a quella delineata nella regola n. 10, dal momento che eviterebbe
di predisporre copie delle credenziali e quindi eviterebbe la necessità
di protezione delle copie medesime, sempre mantenendo consapevole l'incaricato
dell'avvenuto accesso e sempre limitando il diritto di accesso del titolare a
ben determinate circostanze.
Milano, 21 maggio 2004
Luigi Neirotti
Avvocato
in Milano
Partner Studio Legale Tributario - EYLaw
Responsabile del dipartimento
di diritto dell'informatica
