MISURE DI SICUREZZA:
RESPONSABILITA’ CIVILI E PENALI

di
Francesco Iperti e Mariapaola Berlingieri

 

Misure minime di sicurezza

In materia di privacy (tutela dei dati personali), dal 29 marzo 2000, i titolari del trattamento di dati personali avrebbero dovuto adottare le misure minime di sicurezza. In tale data, infatti, è entrato in vigore il d.P.R. 28 luglio 1999 n. 318, il quale ha descritto dette misure minime di sicurezza, distinguendo l'ipotesi del trattamento dei dati personali effettuato con elaboratori in rete dall'ipotesi in cui è assente una rete e prevedendo ulteriori accorgimenti nel caso di trattamento di dati sensibili.

Utilizzo di elaboratori non in rete

In caso di utilizzo di elaboratori non accessibili da altri elaboratori o terminali, devono essere adottate, anteriormente all'inizio del trattamento, le seguenti misure:

    a) prevedere una parola chiave per l'accesso ai dati, fornirla agli incaricati del trattamento e, ove tecnicamente possibile in relazione alle caratteristiche dell'elaboratore, consentirne l'autonoma sostituzione, previa comunicazione ai soggetti preposti ai sensi della successiva lettera b);
    b) individuare per iscritto, quando vi è più di un incaricato del trattamento e sono in uso più parole chiave, i soggetti preposti alla loro custodia o che hanno accesso ad informazioni che concernono le medesime.

Utilizzo di elaboratori in rete

Nell’ipotesi di trattamenti effettuati con elaboratori in rete, oltre a quanto previsto nel caso di assenza di rete precedentemente illustrato, dovevano essere adottate le seguenti misure:

    a) attribuire a ciascun utente o incaricato del trattamento un codice identificativo personale per l'utilizzazione dell'elaboratore; uno stesso codice, fatta eccezione per gli amministratori di sistema relativamente ai sistemi operativi che prevedono un unico livello di accesso per tale funzione, non può, neppure in tempi diversi, essere assegnato a persone diverse;
    b) assegnare e gestire i codici identificativi personali in modo che ne sia prevista la disattivazione in caso di perdita della qualità che consentiva l'accesso all'elaboratore o di mancato utilizzo dei medesimi per un periodo superiore ai sei mesi;
    c) proteggere gli elaboratori contro il rischio di intrusione ad opera di programmi virus, mediante idonei software antivirus, la cui efficacia ed aggiornamento deve essere verificata con cadenza almeno semestrale.

Trattamento dati sensibili con elaboratori in rete

Nel caso di trattamento di dati sensibili, ossia di dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché lo stato di salute e la vita sessuale, bisognava adottare ulteriori misure di sicurezza in relazione al tipo di rete ove opera l’elaboratore.

In sintesi, il legislatore ha previsto due ipotesi.

Nel caso di trattamento effettuato con elaboratori accessibili da altri elaboratori solo attraverso reti non disponibili al pubblico, sarà necessario:

  1. espressamente autorizzare, singolarmente o per gruppi di lavoro, gli incaricati del trattamento o della manutenzione; la sussistenza delle condizioni per la conservazione delle autorizzazioni va verificata almeno una volta l’anno.

  2. limitare l'autorizzazione all'accesso ai soli dati la cui conoscenza è necessaria e sufficiente per lo svolgimento delle operazioni di trattamento o di manutenzione.

  3. fare in modo che non sia possibile l’utilizzazione di un medesimo codice identificativo personale per accedere contemporaneamente alla stessa applicazione da diverse stazioni di lavoro.

Nell’ipotesi di trattamento di dati sensibili effettuato mediante elaboratori accessibili da altri elaboratori mediante una rete disponibile al pubblico, sarà necessario disporre, oltre alle misure obbligatorie per il trattamento effettuato da elaboratori accessibile da una rete privata:

  1. l’autorizzazione anche degli strumenti che possono essere utilizzati per l’interconnessione: essa deve individuare i singoli elaboratori attraverso cui è possibile accedere per effettuare operazioni di trattamento;

  2. la distruzione dei supporti precedentemente utilizzati per il trattamento, qualora non sia possibile rendere le informazioni ivi contenute tecnicamente irrecuperabili;

  3. la predisposizione di un documento programmatico sulla sicurezza dei dati, da aggiornare almeno annualmente, per definire, sulla base dell'analisi dei rischi, della distribuzione dei compiti e delle responsabilità nell'ambito delle strutture preposte al trattamento dei dati stessi:

  • i criteri tecnici e organizzativi per la protezione delle aree e dei locali interessati dalle misure di sicurezza nonché le procedure per controllare l'accesso delle persone autorizzate ai locali medesimi;

  • i criteri e le procedure per assicurare l'integrità dei dati;

  • i criteri e le procedure per la sicurezza delle trasmissioni dei dati, ivi compresi quelli per le restrizioni di accesso per via telematica;

  • l'elaborazione di un piano di formazione per rendere edotti gli incaricati del trattamento dei rischi individuati e dei modi per prevenire danni.

Il decreto n° 318/1999 sulle misure minime di sicurezza prevede inoltre il controllo periodico (cadenza almeno annuale) dell’efficacia delle misure di sicurezza.

Trattamento di dati personali effettuato in forma cartacea

Nell’ipotesi di trattamento dei dati personali effettuato in forma cartacea, ai sensi del d.P.R. n° 318/1999 bisogna adottare le seguenti misure di sicurezza:

  1. limitare l’accesso degli incaricati ai soli dati personali la cui conoscenza sia strettamente necessaria per adempiere ai compiti loro assegnati;

  2. conservare gli atti e i documenti contenenti i dati in archivi ad accesso selezionato.

Nel caso di trattamento di dati sensibili oltre a quanto previsto nelle suindicate lettere, devono essere osservate le seguenti modalità:

  1. conservare in contenitori muniti di serratura, gli atti e i documenti contenenti i dati affidati agli incaricati del trattamento fino alla restituzione;

  2. controllare l’accesso all’archivio ed identificare i soggetti che vi vengono ammessi dopo l'orario di chiusura degli archivi stessi.

 

Proroga

In seguito alla pubblicazione della legge 3 novembre 2000, n.325, le aziende che, a causa di particolari esigenze tecnico-organizzative, ancora non siano in regola con l'adozione delle suindicate misure di sicurezza hanno tempo fino al 31 dicembre 2000 per adottare le misure minime di sicurezza suindicate.

La proroga è ammessa a condizione che venga redatto il c.d. Documento di adeguamento entro 30 giorni dall’entrata in vigore della legge (la pubblicazione è avvenuta il 9.11.2000 -G.U. n° 262- la legge è entrata in vigore il 10.11.2000), ossia entro il 10 dicembre 2000.

La redazione del documento è necessaria per attestare, ai sensi di legge, i motivi per cui non è stato possibile adottare tempestivamente le misure obbligatorie previste dal D.P.R. n° 318/1999 , descrivendo specificamente le misure che, comunque, sono state già predisposte e quelle ancora mancanti o in corso di adozione. E’ poi necessario aggiungere le fasi previste ed i tempi necessari per permettere il perfetto adeguamento alla normativa, nonché descrivere le linee-guida per la sicurezza seguite dall’azienda.

Il documento, che deve essere dotato di data certa (è stato esplicitamente chiarito che non serve necessariamente l’autenticazione di un notaio ma è sufficiente l’apposizione del timbro datario postale su ogni pagina), non deve essere spedito o notificato al Garante, ma conservato presso l’ufficio della sede della società che verrà espressamente indicato all’interno del documento stesso.

Potrebbero essere incluse nel novero delle particolari "esigenze tecnico-organizzative" richieste dalla legge, a titolo di esempio, la particolare complessità organizzativa dell’azienda, l’elevato numero di banche dati, i gravosi ed imprevisti oneri imposti al bilancio aziendale dall’adozione delle misure.

Nonostante sia stato concesso un po’ di respiro alle aziende, quanto osservato finora implica però che dal 1° gennaio del prossimo anno, tutto l’impianto di adeguamento alla normativa dovrà essere perfettamente in ordine.

 

Responsabilità a carattere penale.

La l. 675/1996 contiene una serie di disposizioni aventi ad oggetto una responsabilità di tipo penale. Si va dall’omessa o erronea notificazione, al trattamento illecito dei dati, all’inosservanza dei provvedimenti del Garante.

Ma la norma che più ci interessa, alla luce delle imminenti scadenze cui abbiamo accennato, è senza dubbio quella riguardante l'omessa adozione delle "misure necessarie a garantire la sicurezza dei dati", ossia delle misure minime di sicurezza descritte in precedenza.

L’art. 36 della l. 675/1996, al primo comma, dispone che "chiunque, essendovi tenuto, omette di adottare le misure necessarie a garantire la sicurezza dei dati personali, in violazione delle disposizioni dei regolamenti di cui ai commi 2 e 3 dell’articolo 15 (ossia del DPR 318/1999 descritto in precedenza), è punito con la reclusione sino ad un anno. Se dal fatto deriva nocumento, la pena è della reclusione da due mesi a due anni".

E’ evidente la natura di reato omissivo proprio della fattispecie, che si perfeziona a prescindere dal verificarsi di un eventuale danno.

Responsabili sono i soggetti tenuti ad attivarsi per adottare le misure di sicurezza.

Il reato è punito anche a titolo di colpa e la pena stabilita è la stessa prevista per l’ipotesi dolosa.

La questione giuridicamente più interessante è quella relativa all’individuazione dei soggetti tenuti all’adozione delle misure di sicurezza, e dunque responsabili penalmente. Gli interpreti sono concordi nell’attribuire al titolare del trattamento questo tipo di responsabilità, in quanto formalmente obbligato a adoperarsi per predisporre le misure di sicurezza e comunque tenuto ad operare sulla base di una responsabilità in vigilando, oltre che in eligendo.

Il titolare, infatti, deve scegliere i responsabili tra persone dotate di esperienza, capacità ed affidabilità, che diano idonea garanzia del pieno rispetto delle disposizioni vigenti in materia di trattamento, ivi compreso il profilo relativo alla sicurezza. In secondo luogo, il titolare è tenuto a vigilare sulla puntuale osservanza delle norme di legge e delle proprie istruzioni.

Pacificamente, dunque, egli rimane (almeno in parte) responsabile, anche quando demanda i propri compiti ad altri, se omette di vigilare ed effettuare verifiche periodiche.

Gli orientamenti interpretativi non sono così uniformi quando si passa invece ad analizzare il ruolo delle figure di secondo piano, vale a dire responsabile ed incaricato. Per quanto riguarda il primo, si ritiene comunemente (anche se non mancano le opinioni contrarie) che possa incorrere in sanzioni penali qualora ometta di adempiere alle istruzioni dategli dal titolare; dunque, nei limiti delle proprie competenze e del proprio raggio d’azione, che possa essere chiamato a rispondere del proprio comportamento omissivo.

Lo stesso discorso dovrebbe valere per l’incaricato, qualora egli sia lo specifico destinatario di istruzioni precise, specifiche e dettagliate cui non abbia ottemperato; sempre che le istruzioni siano state impartite dal titolare per iscritto. Alcuni interpreti ritengono però che questo soggetto debba essere chiamato a rispondere solo dal punto di vista disciplinare.


Misure di sicurezza "minime" e "idonee".

Finora abbiamo trattato delle misure minime di sicurezza le quali garantiscono un livello particolarmente basso, minimo per l’appunto, di protezione: sono tutte quelle misure che il legislatore ha ritenuto necessarie e sufficienti ad escludere rischi particolarmente gravi per i dati sottoposti a trattamento. Si ricorda che la mancata adozione di tali misure comporta l’irrogazione delle sanzioni penali descritte in precedenza.

La legge sulla privacy prende tuttavia in considerazione una altra tipologia di misure di sicurezza, le c.d. misure idonee, rivolte a ridurre al minimo i rischi di distruzione o perdita anche accidentale dei dati, di accesso non autorizzato, trattamento non consentito o non conforme alle finalità della raccolta. Tali misure di sicurezza, non sono indicate dalla legge ma, al contrario, verranno scelte da ogni azienda sulla base di quattro elementi specificatamente indicati dalla l. 675/1996:

  • Progresso tecnico;

  • Natura dei dati;

  • Caratteristiche del trattamento;

  • Specifici rischi.

Come è facile constatare il concetto stesso di misura di sicurezza idonea è dinamico e non statico: il legislatore, di fatto, impone di scegliere costantemente il meglio sul mercato.

 

Responsabilità civile.

L’art. 18 della l.675/1996 contempla le ipotesi di responsabilità civile nell’attività di trattamento di dati personali. E’ questa una delle norme che impone a chi effettua trattamento di dati personali le cautele maggiori, in quanto rinvia, richiamando l’art. 2050 del codice civile, alla disciplina in materia di responsabilità civile applicabile alle attività pericolose.

Il richiamo a questa norma del codice fa sì che la regola generale dell’art. 2043 cod. civ. non sia applicabile nell’ipotesi specifica. Di solito, infatti, per ottenere un risarcimento dei danni bisogna provare che il danneggiante ha svolto una attività ingiusta o non ha utilizzato l’ordinaria diligenza. L’onere della prova incombe tutto sul soggetto che agisce in giudizio per il risarcimento del danno.

Per quanto riguarda le attività pericolose (e dunque, anche per il trattamento di dati personali, a prescindere dal mezzo, cartaceo o elettronico, utilizzato per svolgere il trattamento stesso) il discorso è parzialmente differente.

Incombe, infatti, sul gestore di un’attività pericolosa, una presunzione di responsabilità per i danni cagionati nello svolgimento della medesima: per la sua applicabilità è comunque necessario un nesso causale tra l’esercizio dell’attività stessa e l’evento dannoso, ma l’onere di dimostrare di aver adottato tutte le misure idonee ad evitare il danno grava sul titolare dell’attività.

Per questi motivi la dottrina maggioritaria sostiene che si tratterebbe di responsabilità oggettiva, in quanto il gestore dell’attività dovrebbe dimostrare di aver adottato tutte quelle misure che, secondo il criterio della normale diligenza, apparivano consigliabili: dunque, di fatto, l’unica prova liberatoria ammessa sarebbe quella del caso fortuito, non prevedibile con la normale diligenza.

La Cassazione sostiene che la presunzione posta dall’art. 2050 cod. civ. può essere vinta solo con una prova particolarmente rigorosa e che non basta la prova negativa di non aver commesso alcuna violazione delle norme di legge o di comune prudenza, ma occorre quella positiva di aver impiegato ogni cura o misura atta ad impedire l’evento dannoso, di guisa che anche il fatto del danneggiato o del terzo può produrre effetti liberatori solo se per la sua incidenza e rilevanza sia tale da escludere, in modo certo, il nesso causale tra attività pericolosa e evento e non già quando costituisce elemento concorrente alla produzione del danno, inserendosi in una situazione di pericolo che ne abbia reso possibile l’insorgenza a causa dell’inidoneità delle misure preventive adottate (Cass., 4710/1991; 5484/1998; 5960/84).

A ciò si aggiunga che la norma richiamata impone una responsabilità ancora più gravosa di quella richiesta dalla l.675/1996, che parla di misure idonee a ridurre al minimo i rischi di cui abbiamo parlato, mentre l’art. 2050 cod. civ. impone all’esercente l’attività pericolosa di fornire la prova di aver adottato tutte le misure idonee ad evitare il danno.

Tutto questo discorso mostra, ancora una volta, l’importanza di aver ben chiaro il quadro delle misure adottate, oltre a tutto lo stato della situazione organizzativa dell’impresa, la collocazione dei dati trattati e simili. Sarà molto più semplice, in questo modo, premunirsi dell’eventuale, diabolica prova di aver adottato tutte le misure idonee. E’ in questa ottica che l’adozione delle misure di sicurezza deve essere valutata come un investimento dell’azienda.

Per quanto riguarda l’individuazione del soggetto tenuto al risarcimento del danno, si rinvia all’art. 2049 del codice civile (Responsabilità dei padroni e committenti), che pone in capo ai datori di lavoro la responsabilità per i fatti commessi dai dipendenti. Si ritiene perciò che la responsabilità civile debba ricadere sempre sul titolare del trattamento dei dati personali, salve le ipotesi in cui responsabili e incaricati siano da individuare all’esterno dell’organizzazione dell’azienda: nel caso in cui non ci siano rapporti di subordinazione, perciò, questi soggetti potrebbero essere civilmente responsabili.

 

Il danno morale.

Ad aggravare la responsabilità civile di chi svolge attività di trattamento di dati personali, si aggiunge l’espressa previsione, fatta dal legislatore nella L. 675/1996, della risarcibilità del danno non patrimoniale ossia del dolore fisico o psichico patito a seguito del comportamento di un terzo.

E’ necessario osservare, preliminarmente, che l’art. 2059 cod. civ. precisa che il danno non patrimoniale deve essere risarcito solo nei casi determinati dalla legge. L’unica ipotesi rilevante di risarcibilità del danno non patrimoniale riguarda i danni derivanti da fatti penalmente rilevanti (art. 185 cod. pen.).

Finora, dunque, la regola era quella della risarcibilità del danno morale solo nei casi in cui questo derivasse da un reato, non già da illecito civile.

L’espressa estensione al trattamento di dati personali della risarcibilità del danno morale è sintomatica della particolare attenzione che il legislatore ha voluto rivolgere ai danneggiati: è evidente che il danno che ricorre più frequentemente è, nel caso specifico, proprio quello relativo alla sfera morale dell’individuo, di cui sarebbe stata altrimenti esclusa la risarcibilità.

Oltretutto, il danno verrà risarcito anche nel caso di violazione dei principi contenuti dall’art. 9 della l. 675/1996, ossia di quei principi apparentemente teorici di liceità e correttezza del trattamento, chiarezza e determinatezza degli scopi, pertinenza, completezza, non eccedenza, esattezza dei dati, i quali, tutt’a un tratto, assumono una ben precisa e rilevante concretezza.

Conclusioni.

Sulla base delle osservazioni fatte finora, sembra importante ricordare quale rilievo possa assumere, ai fini di una corretta politica aziendale sulla sicurezza dei dati, la pianificazione delle risorse possedute (dati, archivi, ma anche elaboratori, persone incaricate del trattamento, responsabili, compiti assegnati, formazione del personale), per essere pronti, oltre che a soddisfare eventuali richieste dell’Autorità Giudiziaria, anche a rispondere agli interessati (titolari di diritti di informativa, di opposizione al trattamento, di aggiornamento, rettifica, integrazione dei dati), i quali sono i soggetti capaci di far scattare, di fatto, in qualsiasi momento le verifiche da parte del Garante e dell’Autorità Giudiziaria. Si ricorda che le richieste degli interessati devono essere soddisfatte tempestivamente, comunque non oltre i cinque giorni dalla richiesta.

Trascorsi i cinque giorni, l’interessato avrà diritto di rivolgersi al Garante od all'Autorità Giudiziaria Ordinaria per vedere soddisfatte le proprie richieste.

Precisiamo infine che il Garante emette soltanto provvedimenti di indirizzo, inibitori e cautelari, mentre per tutti i provvedimenti di condanna (compreso il risarcimento dei danni) è competente l’autorità ordinaria.

Il ricorso al Garante esclude la possibilità di ricorrere al Tribunale e viceversa.

Roma, novembre 2000




Note:                    
1) Si veda: Pret. Palermo, decreto 19 aprile 1999.

    E’ responsabile del delitto di cui all’art.34 della legge 31 dicembre 1996 n.675 il promotore finanziario che, al fine di inviare materiale promozionale, procede al trattamento dei dati personali relativi a clienti dell’istituto di credito di cui era dipendente, senza previamente notificarlo al Garante per la protezione dei dati personali.
    E’ responsabile del delitto di cui all’art.35 della legge 31 dicembre 1996 n. 675 il promotore finanziario che, al fine di inviare materiale promozionale, procede al trattamento dei dati personali dei clienti dell’istituto di credito di cui era dipendente senza il consenso espresso dei medesimi.
2) Art. 15, comma L. 675/1996: "I dati personali oggetto di trattamento devono essere custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta".
3) Per quanto attiene all’individuazione del danno patrimoniale, si vedano:
    Trib. Roma, 29 marzo 1993: Il risarcimento del danno patrimoniale in caso di responsabilità per violazione del diritto alla riservatezza può comprendere la perdita di occasioni lavorative conseguenti alla diffusione e il danno della vita di relazione.
    App. Trieste, 13 gennaio 1993: Costituisce danno biologico il turbamento della vita di relazione derivante dalla lesione della riservatezza e dell’immagine.
4) Art. 29, comma 9, L. 675/1996 " Il danno non patrimoniale è risarcibile anche nei casi di violazione dell'articolo 9".
5) Torrente — Schlesinger "Manuale di diritto privato" pag. 710.