Brevi considerazioni
in merito all'intervento del Garante sulle scadenze di legge relative alle misure
minime di sicurezza.
Il Garante per la protezione dei dati personali
è intervenuto recentemente con un comunicato stampa [http://www.garanteprivacy.it/garante/navig/jsp/index.jsp]
in merito agli obblighi di sicurezza e documento programmatico. Come noto, il
comunicato stampa reca allegato il parere 22 marzo 2004 reso a Confindustria sull'oggetto:
"prima applicazione del Codice in materia di protezione dei dati personali
in materia di "misure minime" di sicurezza (art. 31-36 e Allegato B)
al d.lg. n. 196/2003" il quale fornisce spiegazione delle considerazioni
svolte dall'ufficio del Garante.
In particolare, nel parere in questione il
Garante ha fornito una propria interpretazione del combinato disposto dalla data
contenuta nella regola 19 dell'Allegato B al nuovo Codice in materia di protezione
dei dati personali (nel seguito anche: il "Codice"), per quanto riguarda
la data di formazione ed aggiornamento del "Documento programmatico sulla
sicurezza" (Entro il 31 marzo di ogni anno …), e quella riportata
nelle disposizioni transitorie del Codice all'art. 180 (Le misure minime di
sicurezza di cui agli articoli da 33 a 35 e all'allegato B) che non erano previste
del decreto del Presidente della Repubblica 28 luglio 1999, n. 318 sono adottate
entro il 30 giugno 2004).
L'intervento del Garante solleva alcune perplessità
e spunti critici che ho ritenuto di sviluppare nel seguito.
1. Data di
prima formazione del Documento programmatico sulla sicurezza per i soggetti non
tenuti in precedenza
Il Garante ha precisato che la data è quella
del 30 giugno. Tale chiarimento appare condivisibile, ed anche rassicurante data
l'autorevole provenienza, anche se non risultava del tutto necessario.
In
effetti, l'art. 180 del Codice appare chiaro nello stabilire che le misure minime
non previste dal DPR 318/99 devono essere adottate entro il 30 giugno. Qualunque
interpretazione differente sarebbe andata contro il testo normativo dell'art.
180 del Codice ed anzi avrebbe vanificato, svuotato di significato, la norma transitoria
in esso contenuta. Del resto il riferimento temporale contenuto nella Regola 19
dell'Allegato B è riferito, anche se in modo non impeccabile, alla cadenza
di aggiornamento del Documento programmatico sulla sicurezza (nel seguito: "DPS").
Di ciò si ha riscontro, infatti, confrontando la nuova disposizione con
l'omologa contenuta nel DPR 318/99, che infatti recitava "annualmente",
con maggiore chiarezza in merito alle modalità temporali di aggiornamento.
2.
Data di aggiornamento del Documento programmatico sulla sicurezza per i soggetti
già tenuti in precedenza
In questo caso l'interpretazione del Garante
appare meno condivisibile, soprattutto da un punto di vista del diritto costituzionale.
In effetti, la disposizione transitoria di cui all'art. 180 del Codice, che
consente l'adozione delle nuove misure minime di sicurezza entro il 30 giugno
2004, non si applica, chiaramente, a tutti quei soggetti che erano già
tenuti alla redazione ed all'aggiornamento del DPS in forza del DPR 318/99. Per
questi soggetti la regola 19 dell'Allegato B del Codice dovrebbe applicarsi dal
1 gennaio 2004, data di entrata in vigore del Codice ai sensi di quanto disposto
dall'art. 186 del medesimo Codice.
Pur se apprezzabile la "proroga"
(gentilmente) concessa da Garante, molto probabilmente in considerazione del ristretto
lasso di tempo intercorrente tra la data del 31 marzo e quella del 30 giugno e
delle (ridotte )conseguenza sostanziali di un tale rinvio, viene da domandarsi:
1) in base a quale potere il Garante possa stabilire un rinvio del termine di
aggiornamento di una misura di sicurezza obbligatoria per legge, la cui mancata
adozione è sanzionata penalmente?; 2) quale potrebbero essere le valutazioni
di un organo inquirente nel caso di rilievo della mancata adozione degli aggiornamenti
entro la data prevista dalla legge (31 marzo)?.
3. Indicazione nella
relazione accompagnatoria al Bilancio della redazione o aggiornamento del DPR
Il
Garante ha interpretato come dovuta tale indicazione sin dal bilancio sull'esercizio
2003. Diverse sono le difficoltà che vengono in rilievo in questo caso.
Innanzitutto
la regola 26 dell'Allegato B al Codice reca una prima difficoltà nello
stabilire concretamente in quale parte del bilancio sia dovuta tale indicazione:
se nella "relazione sulla gestione" ovvero nella "nota integrativa".
Inoltre, appare difficile comprendere il riferimento del Garante al "bilancio
2003": evidentemente si è considerato solo il caso dell'esercizio
sociale coincidente con l'anno solare, senza tenere conto che sono possibili anche
altre situazioni (diversi sono i soggetti che, in ragione della natura della loro
attività d'impresa, hanno esercizio sociale non coincidente con l'anno
solare).
Più ancora, l'intepretazione del Garante non appare pienamente
convincente. Se è vero che tale indicazione è una misura minima
di sicurezza (regola n. 26 dell'Allegato B al Codice), ed in particolare se è
vero che essa deve qualificatsi come "nuova", dato che non era contemplata
dal precedente DPR 318/99, come affermato dallo stesso Garante nel parere alla
Confindustria ("In questo quadro, il Codice ha introdotto una nuova regola
…"), allora si dovrebbe concludere che ad essa si debba applicare il
regime transitorio previsto dall'art. 180 del Codice, il quale permette l'adozione
entro il 30 giugno. In altre parole, l'indicazione in questione sarebbe dovuta
solo per quelle relazioni accompagnatorie approvate dopo il 30 giugno 2004.
Si
potrebbe obiettare che ai fini pratici la cosa ha poco rilievo, dato che chi non
era tenuto alla formazione del DPS nel 2003 non farà menzione di tale circostanza
nella relazione accompagnatoria al bilancio 2004; chi invece già era tenuto
alla formazione o aggiornamento del DPS nel 2003 non verrà gravato di un
particolare onere (dovendo semplicemente confermare un adempimento già
svolto).
Una simile considerazione sarebbe accettabile e condivisibile solamente
se vi fosse assoluta chiarezza in merito ai soggetti che, prima dell'entrata in
vigore del nuovo Codice, erano onerati o meno della formazione del DPS.
4.
Soggetti precedentemente assoggettati dall'obbligo di formazione ed aggiornamento
del Documento programmatico sulla sicurezza
Come noto l'art. 3 del DPR
318/99 conteneva una delle disposizioni più insidiose da interpretare,
sulla quale si sono misurati numerosi e valenti giuristi ed esperti di sicurezza
informatica.
In estrema sintesi, il combinato disposto dell'art. 3 e dell'art.
6 del DPR 318/99 determinava l'obbligo del Documento programmatico sulla sicurezza
(solamente) per i soggetti che trattavano dati di cui all'art. 22 (sensibili)
e 24 (giudiziari) della legge 675/96 mediante "elaboratori accessibili mediante
reti di telecomunicazioni disponibili al pubblico". E proprio su quest'ultima
espressione sono sorti (profondi) dubbi interpretativi.
Per quanto mi consta
(è sempre possibile, tuttavia, una svista), non mi risulta che sia mai
stata fornita interpretazione ufficiale da parte del Garante in merito a tale
disposizione.
Unico riferimento disponibile parrebbe quello contenuto in un
documento del valente ing. Berghella, in tema di misure minime di sicurezza dei
dati personali [http://www.studigiuridici.unile.it/Master0002/Documenti/Berghella.pdf],
nel quale vengono riferite alcune interpretazioni che sarebbero emerse in merito
all'espressione in questione.
Ebbene, viene citato, in particolare, che nel
corso di un seminario organizzato dalla Confindustria il 29 novembre 1999, nella
sintesi riportata sul quotidiano Italia Oggi del 1 dicembre 1999, il segretario
del Garante avrebbe espresso la seguente interpretazione "Tutti gli elaboratori
che utilizzano reti di telecomunicazioni accessibili al pubblico, anche se con
un sistema di protezione o per un tratto soltanto, sono soggetti al documento
programmatico". Cita ancora Berghella, nel medesimo documento, un ulteriore
chiarimento apparso sul quotidiano Il Sole 24 Ore del 2 dicembre 1999, nel quale
viene riferita una dichiarazione sempre attribuita al segretario del Garante,
secondo la quale "… per rete accessibile si deve intendere anche quella
dedicata che però viaggia con modalità pubbliche. Per esempio, una
rete aziendale, accessibile solo ai dipendenti, ma che per i collegamenti utilizza
le normali reti telefoniche, è potenzialmente accessibile al pubblico e
dunque deve approntare il documento programmatico".
Come evidente, riuscire
a stabilire esattamente il significato dell'espressione in questione ci conduce
a determinare con esattezza i soggetti che erano tenuti, nel regime del DPR 318/99,
a formare ed aggiornare il DPS. E sulla base di tali conclusioni, ci conduce ulteriormente
a determinare a quali soggetti si applichi sin da subito l'obbligo di indicare
nella relazione accompagnatoria al bilancio 2003 l'avvenuto aggiornamento del
DPS, giusta interpretazione del Garante che "anticipando" tale adempimento,
perpetra il dubbio che il nuovo Codice avrebbe di per sé consentito di
superare.
Dato che l'obbligo di formare il DPS si estende, a partire dal 30
giugno 2004 a tutti i soggetti che trattano dati sensibili o giudiziari, indipendentemente
dal tipo di connessioni utilizzate, l'obbligo di indicazione nella relazione accompagnatoria
al bilancio 2004 (per seguire la terminologia utilizzata dal Garante nel parere
reso a Confindustria) non avrebbe creato nessun problema di sorta dato che la
distinzione circa le tipologie di connessione tra elaboratori sarebbe stata del
tutto ininfluente. Viceversa, anticipando l'indicazione nella relazione al bilancio
2003, tale distinzione assume rilievo fondamentale. Lo sforzo del nuovo Codice
di superare la difficile distinzione che appariva "sepolta" definitivamente,
viene così vanificato con sgradita opera di "reviviscenza" giuridica.
A
mio sommesso avviso, l'interpretazione da fornire all'espressione "elaboratori
accessibili mediante reti di telecomunicazioni disponibili al pubblico" dovrebbe
essere tuttavia restrittiva, similmente a quanto sostenuto nell'articolo "Sicurezza
e reti "disponibili al pubblico"" di Daniela Redolfi e Fabrizio
Veutro, in Interlex del 13.01.2000. Osservato - e sottolineato - che sono le reti,
e non gli elaboratori, a dover essere "disponibili al pubblico", l'espressione
dovrebbe includere solamente tutte quelle situazioni in cui sono presenti elaboratori
direttamente accessibili mediante una rete pubblica nella nozione sopra chiarita
ad opera del segretario del Garante (pur se con qualche vistoso errore, probabilmente
attribuibile alla trascrizione giornalistica, dato che la norma, come osservato,
non parlava di "reti accessibili al pubblico", bensì di "elaboratori
accessibili mediante una rete disponibile …".
In altre parole, dovrebbe
colpire solamente quei soggetti che disponevano di elaboratori connessi tra di
loro tramite reti geografiche (wide area network - WAN) costituite, in tutto o
in parte da reti di telecomunicazione realizzate da operatori di telecomunicazioni
e messe a disposizione del pubblico (pur se protetti da sistemi di accesso di
tipo firewall e/o da sistemi di protezione del traffico, es VPN).
Non dovrebbe,
viceversa, colpire tutti quei soggetti che disponevano di una rete locale (local
area network - LAN), pur se collegata in qualche modo verso reti esterne pubbliche,
sia tramite modem punto a punto, sia anche con accesso a internet mediante connessione
ad un Internet service provider (ISP).
Se si accedesse all'interpretazione
che qualunque soggetto che disponeva di una LAN, comunque connessa al "mondo"
esterno, utilizzava per forza di cose "elaboratori accessibili mediante reti
di telecomunicazioni disponibili al pubblico", allora si dovrebbe ritenere
obbligatoria per tutti questi soggetti la redazione del DPS già nel regime
dell'abrogato DPR 318/99 (naturalmente per il solo caso di trattamento di dati
sensibili o giudiziari).
Si giungerebbe, tuttavia, in tal modo, all'assurda
conclusione che in pratica la proroga al 30 giugno 2004 per la prima redazione
del DPS sarebbe applicabile solo per quei soggetti che i) non avevano elaboratori
connessi in rete prima di tale data (?) oppure disponevano di una LAN totalmente
isolata, senza assolutamente alcun collegamento con l'esterno (?); ovvero, ii)
non avevano mai trattato dati sensibili o giudiziari prima del 1 gennaio 2004.
E di questo passo si giungerebbe a stabilire che tutti i soggetti che trattavano
dati sensibili o giudiziari prima del 1 gennaio 2004, con esclusione solo delle
eccezionali situazioni di totale "segregazione" informatica (nessun
collegamento con il mondo esterno), sarebbero tenuti all'inclusione dell'indicazione
dell'aggiornamento del DPS nella relazione accompagnatoria al bilancio 2003. Se
così fosse, tuttavia, le distinzioni operate dal Codice, ed anche nel parere
nel Garante reso alla Confindustria, parrebbero superflue e prive di significato.
Per questo motivo preferisco concludere che i) l'obbligo del DPS nel precedente
regime dettato dal DPR 318/99 colpiva solo ben determinati soggetti, vale a dire
quelli che disponevano effettivamente elaboratori ai quali si poteva accedere
legittimamente, vale a dire senza disattivare illecitamente sistemi o strumenti
di protezione, mediante reti di telecomunicazioni liberamente messe a disposizione
del pubblico; ed altrettanto che, ii) solo i medesimi soggetti sono onerati ora
dell'obbligo dell'indicazione dell'avvenuto aggiornamento nella relazione accompagnatoria
al bilancio 2003.
Milano, 28 marzo 2004
Luigi Neirotti
Avvocato
in Milano
Partner Studio Legale Tributario - EYLaw
Responsabile del
dipartimento di diritto dell'informatica
