di
Silvia Melchionna

Il 10 ottobre scorso è stata approvata alla Camera la proposta di legge n.6885-B concernente "disposizioni inerenti all’adozione delle misure di sicurezza nel trattamento dei dati personali previste dall’articolo 15 della legge 31 dicembre 1996".

Tale legge si propone di rinviare l’applicazione delle sanzioni penali previste dall’articolo 36 della legge n.675/1996, in caso di omessa adozione delle misure minime di sicurezza sancite nel D.P.R. n. 318/1999.

Tale decreto, nell’individuare le singole misure di sicurezza che soggetti privati e pubblici devono adottare per assicurare un minimo grado di protezione ai dati in loro possesso, fissava nel 29 marzo scorso la data entro la quale tale processo di adeguamento avrebbe dovuto concludersi.

La brevità dei termini concessi dal legislatore per adottare tali misure minime di sicurezza, aveva indotto alcuni parlamentari a proporre una legge proroga, al fine di scongiurare il pericolo che molti amministratori delegati o presidenti di grandi società potessero incorrere in sanzioni penali a causa di trattamenti di dati non sicuri.

La legge proroga era stata presentata, infatti, alle camere già prima dell’entrata in vigore del decreto presidenziale, ma le numerose modifiche apportate e la pausa estiva dei lavori parlamentari hanno permesso di approvare la legge solo dopo 6 mesi dalla data dell’applicazione delle norme sulla sicurezza.

La nascita di una proposta di legge a così breve distanza temporale dall’emanazione del D.P.R. n. 318/1999 prende le mosse, quindi, dalle notevoli difficoltà tecniche ed organizzative che le aziende private e le pubbliche amministrazioni hanno riscontrato nell’applicare tali regole. Le misure minime di sicurezza individuate nel decreto presidenziale si caratterizzano, infatti, per la natura del dato raccolto, per le modalità del trattamento (cartaceo, automatizzato, con l’ausilio di reti disponibili o non disponibili al pubblico), nonché per lo scopo perseguito.

Tale differenziazione rende necessario effettuare un censimento delle banche dati, delle tipologie di dati trattati, nonché l’individuazione di nuove figure professionali (custode delle password, amministratore di sistema, incaricati autorizzati al trattamento di dati sensibili in rete) o di rileggere alcuni profili professionali alla luce della sicurezza dei dati.

Lo schema scelto dal legislatore nel D.P.R. n. 318/1999 permette di individuare alcune misure meno onerose applicabili per tutti i trattamenti e altre, in aggiunta, più incisive per quelle tipologie di trattamenti che presumibilmente si ritengono potenzialmente più rischiosi per la sicurezza dei dati (il massimo grado di protezione è assicurato per i trattamenti di dati sensibili con elaboratori elettronici accessibili in rete).

Per avvalersi di tale proroga, i titolari devono redigere (entro mese un mese dalla data di pubblicazione della legge sulla Gazzetta Ufficiale) un documento, avente data certa, da cui risultino le misure adottate e da adottare, le politiche di sicurezza, nonché le ragioni per le quali l’azienda intende ricorrere a tempi più lunghi.

In particolare è necessario che il documento contenga l’indicazione delle misure descritte nel D.P.R. n. 318/1999 già adottate, e da adottare, in riferimento alla specifica attività di trattamento dei dati del titolare.

Il legislatore richiede, inoltre, che in merito agli accorgimenti ancora da adottare, vengano descritti nel documento gli "elementi che caratterizzano il programma di adeguamento", l’indicazione, cioè, delle politiche sulla sicurezza scelte dalla struttura che tratta i dati personali (es.: misure previste per assicurare l’integrità dei dati, la sicurezza nelle trasmissioni, fasi di realizzazione di una completa analisi dei rischi…), in coerenza con le richieste linee-guida individuate dal titolare per dare piena attuazione al D.P.R. n. 318/1999.

Tale processo di adeguamento deve essere, inoltre, descritto nelle fasi di cui si compone, indicando per ognuna di esse gli accorgimenti adottati.

Ulteriore requisito del documento è la necessità che venga redatto con un atto avente data certa. Tale caratteristica potrebbe essere rispettata attraverso la procedura della registrazione dell’atto (previo pagamento di una tassa fissata in £ 250.000), mediante la vidimazione presso un notaio (autentica notarile) o altro ufficio pubblico, nonché, per i documenti informatici, con l’apposizione della marca temporale.

La prova della data certa può essere fornita, in particolare, anche attraverso l’apposizione di un timbro postale con datario su ciascuna pagina del documento (in sintonia a tale orientamento si vedano le sentenze della Corte di Cassazione n. 8692/1990 e n. 186/1983).

Alcuni dubbi sorgono, altresì, per la possibilità di far autenticare il documento da un notaio, sia perché la legge richiede semplicemente la data certa e non anche l’autentica, sia perché è vietata al notaio qualunque forma di istruzione preventiva (art. 28 legge notarile).

Il mancato rispetto dei requisiti descritti nella legge proroga, comporta l’impossibilità per il titolare del trattamento di avvalersi del termine più lungo del 31 dicembre per adottare le misure indicate nel D.P.R. n. 318/1999.

Il documento deve essere conservato presso il titolare, non dovendosi effettuare alcuna comunicazione ufficiale all’Ufficio del Garante per la protezione dei dati personali, ne variazioni di notifica.

Le prime versioni della legge proroga prevedevano una disciplina differenziata per chi avesse già avviato, alla data dell’entrata in vigore della legge, un processo di adeguamento alle misure di sicurezza indicate nel D.P.R. n. 318/1999, rispetto agli altri titolari del tutto inadempienti. Nei confronti dei primi si prevedeva un termine più ampio (sino al 29/3/2001) per la completa adozione delle misure minime di sicurezza, purché venisse redatto un documento avente data certa similare a quello previsto nella attuale legge proroga, mentre si rinviava al 31 dicembre 2000 l’applicazione delle misure minime di sicurezza per chi non avesse dimostrato di aver avviato un programma di adeguamento al decreto presidenziale (si veda la proposta di legge n. 4531 del Senato della Repubblica).

Nel prorogare l’applicazione delle sanzioni penali per omessa adozione delle misure minime di sicurezza, il legislatore ha richiamato l’obbligo per il titolare del trattamento di dotarsi delle più ampie misure previste dal primo comma dell’articolo 15 della legge n. 675/1996. Tale norma fissa il concetto di misure di sicurezza idonee, che va a distinguersi da quello di misure minime, indicato nel secondo comma dello stesso articolo. Queste ultime, infatti, sono state già individuate dal legislatore nel D.P.R. n. 318/1999 e dovranno essere applicate obbligatoriamente da chiunque tratti dati personali, senza possibilità per questi di scegliere le singole misure per la loro specifica realtà di trattamento.

Il concetto di misure idonee, invece, è fortemente condizionato dalla tipologia di trattamento realizzato. Sarà compito, quindi, del titolare individuare, in relazione al tipo di dato, operazione, finalità del trattamento, nonché in merito all’evoluzione del progresso tecnico, le misure più opportune per proteggere i dati trattati ed in particolare per ridurre al minimo i rischi di distruzione, perdita anche accidentale delle informazioni, di accesso non autorizzato o trattamento non consentito o non conforme alle finalità della raccolta.

Il principale elemento di distinzione tra le misure minime ed idonee di sicurezza è, dunque, da ravvisarsi nel diverso margine di discrezionalità che il titolare del trattamento ha nella scelta delle stesse, assente per le prime e primario nell’adozione delle seconde.

E’ opportuno ricordare che l’applicazione di sanzioni penali nel caso di omessa adozione delle misure di sicurezza è stata sancita solo per le misure minime, mentre, sia per le misure minime che per quelle idonee, può ritenersi applicabile la disposizione di cui all’articolo 18 della legge n. 675/1996, relativa al risarcimento dei danni cagionati per effetto del trattamento. Tale norma, richiamando l’articolo 2050 c.c., concernente la responsabilità per l’esercizio di attività pericolose, dispone il risarcimento del danno cagionato per effetto del trattamento di dati personali.

Si tratta di una forma peculiare di responsabilità civile, in quanto la prova liberatoria spetta al danneggiante, che deve dimostrare di aver adottato ogni cautela e di essersi avvalso delle misure di prevenzione più moderne ed efficaci.

Le aziende private e le pubbliche amministrazioni hanno tempo, quindi, sino al 31 dicembre per predisporre l’adozione delle misure minime di sicurezza individuate nel D.P.R. n. 318/1999, ed, in particolar modo, per redigere, ove necessario (è richiesto per il trattamento dei dati sensibili attraverso l’uso di elaboratori elettronici accessibili in rete), il documento programmatico sulla sicurezza, previsto dall’articolo 6 del D.P.R. Tale adempimento risulta particolarmente oneroso in quanto presuppone una analisi dei rischi da parte dell’azienda e la distribuzione dei compiti e delle responsabilità nell’ambito delle strutture preposte al trattamento dei dati.

L’adozione delle misure minime di sicurezza entro i tempi indicati dal legislatore, tuttavia, non deve determinare l’esaurirsi della attenzione alla delicata problematica della sicurezza dei dati, sia per l’obbligo di vigilanza e revisione delle misure minime di sicurezza (es. aggiornamento annuale del documento programmatico sulla sicurezza), sia per la necessità di monitorare costantemente l’evoluzione dei rischi presenti sui dati e delle idonee misure di sicurezza, in funzione dell’evoluzione tecnologica.

A partire dal 1° gennaio 2001, l’omessa adozione delle misure minime di sicurezza, anche per i soggetti che hanno redatto il documento sopra descritto, sarà punibile con la reclusione sino ad un anno e, se dal fatto deriva nocumento, da due mesi a due anni (ex art. 36, L. n. 675/1996).

L’articolo 36, infatti, prevede tale pena per "chiunque, essendovi tenuto, omette di adottare le misure necessarie a garantire la sicurezza dei dati personali in violazione" delle disposizioni di cui al D.P.R. n. 318/1999.

L’imputazione di tale responsabilità penale è stata oggetto di un vivace dibattito dottrinale. Alcuni autori sostengono che tale fattispecie debba riferirsi esclusivamente al titolare del trattamento, in quanto ad esso spettano le decisioni di vertice sulla sicurezza dei dati (ex art. 1, comma 2, lett.d)).

La tesi più seguita sembra preferire l’ipotesi di responsabilità penale da parte di diversi soggetti, quali il titolare e i responsabili del trattamento, ove nominati.

La teoria si fonda sull’analisi dell’articolo 8, comma 1, della legge. Tale norma, nel definire i requisiti che un soggetto deve possedere per essere nominato responsabile, include, infatti, l’esperienza, la capacità e l’affidabilità anche in merito al profilo della sicurezza dei dati.

Il responsabile, quindi, potrebbe essere ritenuto imputabile nel caso in cui, nonostante abbia ricevuto delle idonee istruzioni da parte del titolare del trattamento circa la sicurezza dei dati, non abbia adottato in concreto le misure minime di sicurezza.

Analogo ragionamento è stato seguito da parte di alcuni studiosi circa la responsabilità penale degli incaricati.

Tali soggetti, ai sensi degli articoli 8, comma 5, e 19 delle legge n. 675/1996, nell’operare sui dati personali devono attenersi alle istruzioni del titolare. Il mancato rispetto delle regole fornite dal titolare atte a garantire la sicurezza delle informazioni trattate potrebbe far configurare una responsabilità penale anche nei confronti di questi soggetti.

La mancanza di interpretazioni giurisprudenziali e di pareri ufficiali dell’Autorità Garante rendono peraltro non ancora concluso tale dibattito.

Roma, ottobre 2000