L'Autorità per l'informatica nella pubblicaamministrazione ha sottoposto al Garante uno schema di circolareche intendeva inviare ai responsabili dei sistemi automatizzatidelle amministrazioni centrali dello Stato e degli enti pubblicinon economici, in merito alla disciplina sulla protezione deidati personali. Il Garante ha auspicato una rivalutazione delloschema, alla luce di alcune considerazioni sulla disciplina dellasicurezza, sulla riservatezza e sul ruolo stesso del Garante.

Roma 17 dicembre 1997                

Prof. Guido M. Rey                
Presidente dell'Autorità per l'informatica                
nella pubblica amministrazione                
Via Po,l4                
Roma                  

OGGETTO: Schema di circolare in materia di: «Sicurezzadei sistemi informativi automatizzati e trattamento dei dati personaliin ambito pubblico».

L'Autorità per l'informatica nella pubblicaamministrazione ha sottoposto all'attenzione del Garante uno schemadi lettera-circolare con la quale intende fornire ai responsabilidei sistemi automatizzati delle amministrazioni centrali delloStato e degli enti pubblici non economici alcune indicazioni inordine ai rapporti tra il d.lg. n. 39/1993 e la disciplina sullaprotezione dei dati personali.

Nel valutare positivamente l'attenzione riservataai riflessi applicativi della legge n. 675/1996, si esprime undoveroso ringraziamento per la scelta di consultare preventivamentequesta Autorità in conformità al quadro di cooperazionesottolineato dall'art. 31, comma 5, della medesima legge.

Ciò premesso, il Garante manifesta alcuneperplessità in ordine allo schema predisposto, il quale,al di là delle intenzioni, rischierebbe di investire profiliche andrebbero oltre la previsione di norme e criteri tecniciche l'AIPA può impartire ai sensi dell'art. 7 del d.lg.n. 39/1993, e che potrebbe porre in secondo piano le scelte ele responsabilità che la legge n. 675/1996 demanda, perun verso, alle autonome attribuzioni delle amministrazioni interessatee, per un altro, ai concorrenti compiti di questa Autorità(art. 31 L. n. 675/1996).

In secondo luogo, lo schema sembra esaminare taliprofili da un angolo visuale importante ma non esaustivo (relativamente,cioè, ai soli sistemi automatizzati), e potrebbe porreun problema di coordinamento tra le istruzioni che verrebberoimpartite con la lettera-circolare e le modalità di attuazionedella legge n. 675/1996 precisate con altri atti (in riferimento,cioè, ai trattamenti non automatizzati o effettuati mediantestrumenti automatizzati non inseriti in sistemi).

Una terza perplessità, anch'essa di fondo,attiene alla lettura ipotizzata per la nozione di «sicurezzainformatica» da un lato e per quella di «riservatezza»dall'altro.

Si ha infatti l'impressione che «la sicurezza»,che pure riveste un ruolo rilevante ai fini della protezione deidati, verrebbe considerata come l'obiettivo primario di una disciplina(quella introdotta dalla legge n. 675/1996) la quale, in verità,colloca sullo stesso livello altre scelte organizzative che presuppongono,in particolare, la valutazione delle finalità e delle modalitàdel trattamento, l'analisi della natura dei dati e della compatibilitàdegli scopi perseguiti, il rispetto delle altre garanzie riconosciutedalla legge n. 675/1996.

Al tempo stesso, la «riservatezza» verrebbevista in una chiave riduttiva, che porrebbe l'accento sulla solasfera, così definita, della «confidenzialitàdelle informazioni», e offrirebbe lo spunto per trascurareaspetti di maggiore rilievo che attengono al rispetto dei dirittie delle libertà fondamentali (art. 1 legge n. 675/1996) e cheriguardano, in particolare, l'identità personale e la dignitàdegli interessati, l'ambito di utilizzazione dei dati anche all'internodell'amministrazione che li detiene o che li riceve legittimamente,la trasparenza degli scopi, l'informativa agli interessati, ecc.

Da ultimo, la stessa figura del Garante verrebbedescritta in termini non esaustivi, circoscritti ai soli aspettidella «tutela amministrativa e giurisdizionale», senzatener conto della pluralità e della diversità deicompiti ad esso attribuiti anche in materia di sicurezza (artt.1, comma 1, lett. d), 7, comma 4, lett. f), 8, comma 1, 15, 31,comma 1 e 41, commi 3 e 4 legge n. 675/1996).

Passando all'esame di taluni aspetti di dettaglio,si osserva che alcuni paragrafi della lettera-circolare andrebberoprecisati in modo da evidenziare che la disciplina sulle misuredi sicurezza di cui all'art. 15 della legge n. 675/1996:

a) deve essere attuataa cura, anzitutto, del «titolare» del trattamento, ecioè dell'amministrazione e dell'ente considerati nel lorocomplesso, attraverso i soggetti che ricoprono incarichi di verticee che sono legittimati, entro diversi ambiti, ad esprimerne lavolontà (v. gli artt. 1, comma 1, lett. d) e 8, comma 1legge n. 675/1996); soggetti i quali, a loro volta, devono impartireprecise istruzioni al «responsabile» del trattamento,se designato, e vigilare sul suo operato (art. 8 cit.);

b) riguarda la sicurezzadei dati e dei sistemi, come è confermato dalla citazionedel medesimo art. 15 che figura nella recente legge sulle comunicazioni(art. 11. n. 249/1997);

c) è volta a prevenireaccessi ed utilizzazioni abusive, non corrette o non conformialle finalità della raccolta, anche all'interno delle amministrazioniinteressate (e non solo al loro esterno); accessi o utilizzazioniche possono riguardare anche le «informazioni di pubblicodominio» o le interconnessioni tra sistemi nell'ambitodella stessa Rete unitaria della pubblica amministrazione;

d) riguarda (contrariamentea quanto ipotizzato nel punto 2 della lettera-circolare) anchei trattamenti particolari in ambito pubblico (giustizia, ordinepubblico, ecc.), ai quali si applicano alcune disposizioni dellalegge n. 675/1996 (art. 4, comma 2, l. n. 675/1996).

La legge n. 675/1996 ha assegnato una precisa basegiuridica agli obblighi relativi alle misure di sicurezza, andandooltre la previgente disciplina che era incentrata sul segretod'ufficio o su una serie disorganica di regole speciali, anchetecniche, dettate in occasione dell'automazione di alcuni sistemiinformativi.

In questo senso, appaiono ora chiari i rapporti trala disciplina sulla sicurezza dei sistemi automatizzati pubblici(art. 7, comma 1, d.lgs. 39/1993) e le nuove regole sulle misuredi sicurezza (art. 15 legge n. 675/1996).

Quest'ultima disposizione ha infatti ridisciplinatola materia della sicurezza dei dati e dei sistemi, in passatodemandata, per le amministrazioni pubbliche, alle norme e ai criteritecnici dettati dall'AIPA ai sensi del citato art. 7.

Tali norme e criteri, pur rivestendo un ruolo importantespecie agli effetti della responsabilità contabile o discip1inare,non potevano essere considerate come cogenti dal punto di vistanormativo.

Con la legge n. 675/1996, il legislatore ha quindiintrodotto precisi obblighi di sicurezza in norme di legge e diregolamento, anche attraverso l'emanando regolamento governativo,che riguarderà il trattamento automatizzato e non automatizzatodei dati.

Pertanto, tenuto conto della clausola di salvezzadella disciplina sulla protezione dei dati personali contenutanell'art. 16, comma 6, del d.lg. n. 39/1993, appare opportunoevidenziare che le regole tecniche che saranno emanate dall'AIPApotranno precisare le predette norme giuridiche su un piano didettaglio o svilupparle su aspetti particolari.

Riguardo all'ultimo punto della circolare, si richiamal'attenzione sul recente provvedimento già inviato a codestaAutorità, con il quale il Garante ha fornito la correttainterpretazione della legge n. 675/1996 formulando alcune indicazionirispetto all'individuazione del «titolare» e del «responsabile»del trattamento anche nell'ambito delle amministrazioni pubbliche(nota n. 3067 del 9 u.s.).

Con riferimento ai rapporti tra il responsabile deltrattamento e il responsabile dei sistemi informativi, si osservaquindi che non si ravvisano ostacoli di principio alla possibilitàdi far coincidere le due figure.

Tuttavia, è da tener presente che i requisitiper la loro designazione non coincidono, e che non è praticabileuna soluzione che porti a designare automaticamente il responsabileche svolge le funzioni previste dall'art. 10 del d.lgs. n. 39/1993come ulteriore responsabile del trattamento dei dati ai sensidell'art. 8 della legge n. 675/1996.

Quest'ultimo articolo, infatti, impone una specificavalutazione dell'esperienza, della capacità e dell'affidabilitàdella persona, dell'ente o dell'organismo anche esterno da designare,anche per ciò che concerne i profili non attinenti ai sistemiautomatizzati.

Inoltre, mentre l'art. 10 del d.lgs. n. 39/1993 prescrivel'attribuzione ad un solo dirigente (generale o equiparato) dellaresponsabilità per i predetti sistemi informativi, la leggen. 675/1996 permette di individuare più responsabili deltrattamento, a seconda, ad esempio, delle funzioni esercitateo delle aree territoriali di operatività.

Nell'ambito di una stessa amministrazione potràquindi accadere che, in base al livello di responsabilitàattribuito alla persona fisica, all'ente o all'organismo designatoex art. 8 legge n. 675/1996, emerga la necessità di un coordinamentotra le figure soggettive, ovvero l'esigenza che il soggetto ol'organismo che ricopre il ruolo di responsabile del trattamentosi possa avvalere anche delle specifiche competenze tecnico-informatichedel dirigente responsabile dei sistemi informativi automatizzati.

In conclusione, si esprime un auspicio affinchési rivaluti l'impostazione generale dello schema e il suo ambitodi applicazione.

Il Garante manifesta, inoltre, la piena disponibilitàa contribuire ulteriormente alla corretta definizione delle indicazionirelative a tematiche di comune interesse delle due autorità,anche attraverso l'eventuale predisposizione di un diverso attoa rilevanza esterna e a sottoscrizione congiunta.

IL PRESIDENTE