La
legge sulla privacy origine e natura.
In
Europa, come in principio in America, piuttosto che difendersi dai regimi
totalitari la legge sulla privacy oggi
tende soprattutto a controllare le interferenze delle grandi aziende nel
trattamento dei nostri dati personali.
Il diritto di accesso ai dati personali è tutelato dall'art 7 del Codice della Privacy (d. lgs. 30 giugno 2003
n. 196) ed è distinto dal diritto di accesso alla documentazione bancaria di
cui all'art. 119 del Testo Unico Bancario (D.lg. n. 385/1993).
La legge sulla privacy affronta il problema dei
possibili abusi e delle violazioni del diritto alla riservatezza degli
individui sotto un duplice profilo:
1. impedire che un archivio informatizzato venga utilizzato per scopi diversi da quelli per cui è stato creato;
1. impedire che un archivio informatizzato venga utilizzato per scopi diversi da quelli per cui è stato creato;
2. sanzionare severamente in sede penale il furto e la
diffusione indebita di informazioni custodite in archivi informatizzati.
Si tratta, a ben vedere, di un profondo mutamento di
prospettiva rispetto alla tradizionale tutela approntata dall'ordinamento
giuridico per questi beni.
Questa "rivoluzione" - che prevede il trattamento dei dati intimamente connesso al consenso espresso dell'interessato - si collega, per la parte che qui interessa, al concetto tradizionale di sicurezza informatica.
Questa "rivoluzione" - che prevede il trattamento dei dati intimamente connesso al consenso espresso dell'interessato - si collega, per la parte che qui interessa, al concetto tradizionale di sicurezza informatica.
Sino ad oggi, infatti, il compito del cosiddetto
"titolare" del trattamento dei dati poteva limitarsi, nella maggior
parte dei casi, alla valutazione della "affidabilità" tecnica del
sistema; oggi, invece, il concetto di sicurezza si estende sino a comprendere
la integrità dei dati e la correttezza del loro utilizzo.
È necessario - infatti - garantire la genuinità dei dati impedendo alterazioni che ne possono mutare il significato originale, impedire la "esportazione" non autorizzata d'informazioni riservate; impedire, in genere, l'utilizzo delle risorse del sistema per scopi diversi (comunemente illeciti) da quelli per i quali esso è stato progettato.
Il profondo mutamento di prospettiva segue, peraltro, l'evoluzione del fenomeno della cosiddetta criminalità informatica, che è pur sempre riconducibile alle esigenze di tutela della privacy.
È necessario - infatti - garantire la genuinità dei dati impedendo alterazioni che ne possono mutare il significato originale, impedire la "esportazione" non autorizzata d'informazioni riservate; impedire, in genere, l'utilizzo delle risorse del sistema per scopi diversi (comunemente illeciti) da quelli per i quali esso è stato progettato.
Il profondo mutamento di prospettiva segue, peraltro, l'evoluzione del fenomeno della cosiddetta criminalità informatica, che è pur sempre riconducibile alle esigenze di tutela della privacy.
La legge introduce, per la prima volta nel nostro
ordinamento, una ipotesi di reato per la omessa adozione delle misure
necessarie a garantire la sicurezza dei dati (art.36).
Poiché tale norma si applica "al trattamento dei dati personali da chiunque effettuato nell'ambito del territorio dello Stato" e considerato che per "dato personale" si intende "qualunque informazione relativa a persona fisica, persona giuridica o ente, identificati o identificabili anche indirettamente", si tratta, evidentemente, di una disciplina destinata a trovare pratica applicazione nell'ambito di tutti (o quasi) i sistemi informativi automatizzati che contengano un elenco di nominativi.
Chiunque, essendovi tenuto, omette di adottare le misure necessarie ad assicurare la sicurezza dei dati è punibile, secondo il testo della legge, con la reclusione sino ad un anno (se dal fatto non è derivato alcun danno) o con la reclusione da due mesi a due anni se si è verificato un "nocumento".
Poiché tale norma si applica "al trattamento dei dati personali da chiunque effettuato nell'ambito del territorio dello Stato" e considerato che per "dato personale" si intende "qualunque informazione relativa a persona fisica, persona giuridica o ente, identificati o identificabili anche indirettamente", si tratta, evidentemente, di una disciplina destinata a trovare pratica applicazione nell'ambito di tutti (o quasi) i sistemi informativi automatizzati che contengano un elenco di nominativi.
Chiunque, essendovi tenuto, omette di adottare le misure necessarie ad assicurare la sicurezza dei dati è punibile, secondo il testo della legge, con la reclusione sino ad un anno (se dal fatto non è derivato alcun danno) o con la reclusione da due mesi a due anni se si è verificato un "nocumento".
Le pene, diminuite, si applicano anche al caso di
condotta semplicemente colposa (cioè in caso di omissione dovuta a negligenza,
imperizia o imprudenza del responsabile - art. 36 comma secondo).
È interessante notare come le "misure di
sicurezza" siano state qui descritte come misure di protezione idonee
a prevenire il rischio di una perdita o distruzione dei dati anche solo
accidentale, "di un accesso non autorizzato o di un trattamento non
consentito o non conforme alle finalità della raccolta", confermando
la definizione di "sicurezza" verso la quale sembrano orientate le
legislazioni di tutti i Paesi che si sono già occupati del problema.
La legge 675 ha scelto, a questo proposito, la più
grave delle sanzioni, quella penale e una disciplina sanzionatoria che, nel complesso,
si presta a non poche critiche.
Innanzitutto, l'articolo 18 della legge prevede che "chiunque cagiona un danno ad altri per effetto del trattamento dei dati personali è tenuto al risarcimento ai sensi dell'articolo 2050 del codice civile".
Innanzitutto, l'articolo 18 della legge prevede che "chiunque cagiona un danno ad altri per effetto del trattamento dei dati personali è tenuto al risarcimento ai sensi dell'articolo 2050 del codice civile".
Ciò significa che la legge presume
la colpa del gestore della banca di dati e - invertendo l'onere della prova -
pone a suo carico ogni possibile conseguenza dei danni cagionati a terzi, se
egli non prova di avere adottato tutte le misure idonee ad evitare il danno.
***
Il quadro normativo
Il quadro normativo delineato è il seguente:
1. il gestore
del sistema informativo ha il dovere di "ridurre al minimo" i rischi
di distruzione o perdita accidentale dei dati;
2. il gestore
deve prevenire accessi non autorizzati al sistema informativo;
3. per far ciò il gestore deve adottare "misure di sicurezza" adeguate all'importanza dei dati custoditi negli archivi e in linea con le conoscenze acquisite in base al progresso tecnologico.
Tra i casi di condotta colposa debbono farsi rientrare
tutti i fatti contrari alla legge in cui il danno sia riconducibile
direttamente alla omissione di cure e cautele che chiunque sarebbe tenuto ad
adottare nelle medesime circostanze, come la omissione di una attività che il
responsabile aveva il dovere di compiere.3. per far ciò il gestore deve adottare "misure di sicurezza" adeguate all'importanza dei dati custoditi negli archivi e in linea con le conoscenze acquisite in base al progresso tecnologico.
Anche l'inosservanza di regole tecniche o norme di condotta costituisce una colposa negligenza, sicchè anche quando venga a mancare una specifica norma di legge che faccia obbligo di osservare una particolare linea di condotta, l'imprudenza, la negligenza o l'imperizia possono costituire elementi della colpa.
A ben riflettere, comunque, norme di condotta esistono e si possono ricostruire dal quadro normativo sopra delineato.
Per ciascuno dei fatti illeciti previsti dalla
legislazione penale è necessario, infatti, che vengano adottate e accuratamente
praticate delle contromisure proporzionate.
Nel mondo informatico, peraltro, la
"introduzione" all'interno degli archivi di un sistema automatizzato
può avvenire per mezzo dei collegamenti telefonici, anche da distanze
intercontinentali.
Le reti telematiche pubbliche o
"aperte"(come Internet) contengono una pluralità di gateways che immettono in siti di libero
accesso (gli archivi pubblici delle università, i luoghi di dibattito) e in
siti privati (come le caselle della posta elettronica) o a pagamento.
A ben vedere, tutti i sistemi contengono aree riservate (le aree di sistema, quelle riservate al gestore ed ai suoi collaboratori) ove l'accesso è consentito soltanto alle persone autorizzate e non anche agli abbonati.
A ben vedere, tutti i sistemi contengono aree riservate (le aree di sistema, quelle riservate al gestore ed ai suoi collaboratori) ove l'accesso è consentito soltanto alle persone autorizzate e non anche agli abbonati.
È ben evidente, allora, che le "misure di
sicurezza" di cui parla l'art. 615-ter del codice penale possono
consistere in qualunque accorgimento (logico o meccanico) idoneo allo scopo di
interdire l'introduzione nel sistema informativo da parte di chi non è
autorizzato.
Anche una semplice password, sotto questo profilo,
costituisce una (seppure minima) misura di sicurezza informatica. Al medesimo
concetto di sicurezza fa riferimento il successivo art. 615-quater del codice
penale (anch'esso introdotto dalla L.547/93) per sanzionare con la reclusione
sino a due anni e con la multa sino a 20 milioni di lire (nei casi aggravati)di
detenzione e diffusione abusiva dei "codici di accesso" ad un sistema
informativo automatizzato.
Commette questo delitto chiunque , a scopo di profitto
o per recare danno, si procura, o fornisce ad altri, "codici, parole
chiave o altri mezzi idonei all'accesso" ad un sistema informativo
"protetto da misure di sicurezza".
La prevedibilità di eventi dannosi è
- come detto - di importanza decisiva per delimitare i profili della
responsabilità del responsabile della sicurezza.
A livello comunitario, come è noto, sin dal 1990 Gran
Bretagna, Francia , Olanda e Germania hanno dato vita ad un accordo per
armonizzare i rispettivi criteri di valutazione della sicurezza dei prodotti e
sistemi informatici e telematici (IT - Information Technology).
La Comunità Europea, nell'intento di favorire la
libera circolazione delle tecnologie dell'informazione e di assicurare nel contempo
la sicurezza dei sistemi e dei prodotti informatici e telematici, ha fatto
propria tale esperienza, raccomandando agli Stati membri l'adozione di questi
criteri comuni per la valutazione della sicurezza dei prodotti (ITSEC -
Information Technology Security Evaluation Criteria).
Il sistema si fonda sul riconoscimento reciproco tra Stati delle certificazioni sulla sicurezza dei prodotti effettuate in laboratori autorizzati mediante l'adozione dei predetti criteri e della corrispondente metodologia di applicazione raccolta nel manuale ITSEM (IT Security Evaluation Manual).
Il sistema si fonda sul riconoscimento reciproco tra Stati delle certificazioni sulla sicurezza dei prodotti effettuate in laboratori autorizzati mediante l'adozione dei predetti criteri e della corrispondente metodologia di applicazione raccolta nel manuale ITSEM (IT Security Evaluation Manual).
In conclusione ogni sistema informativo sottoposto a
certificazione deve essere accompagnato da un documento contenente le
specifiche di sicurezza (Security Target) nel quale vengono indicati i pericoli
che si intendono prevenire, gli accorgimenti adottati e il livello di
certificazione richiesto.
Avv. Maria Giovanna Villari
Avv. Maria Giovanna Villari
Nessun commento:
Posta un commento