WWW.PRIVACY.IT: privacy & sicurezza

Non c'è privacy senza sicurezza

di
Guido M. Rey

(Nota della redazione)
Pubblichiamo questo intervento del Presidente dell'AIPO, l'Autorità per l'Informatica nella Pubblica Amministrazione, fatto nel maggio 1995, quale esempio delle complessità contenute nella legge 675/96; alcuni aspetti del disegno di legge, cui si riferisce l'intervento del Prof. Rey, hanno trovato una diversa soluzione nel testo della legge, ma la complessità di fondo permane ed il Parlamento, conscio di ciò, con la legge 676/96 ha dato una delega al Governo perchè, entro 18 mesi, oltre a recepire alcune recenti Raccomandazioni della Commissione UE, provveda a correggerne, modificarne, integrarne le norme, sulla base dei riscontri pratici del primo anno di applicazione.

1. Come è noto il disegno di legge n. 1901/bis, attualmente all'esame della commissione di Giustizia della Camera, disciplina la materia della tutela della riservatezza rispetto al trattamento dei dati personali.

Ma se per tutela della riservatezza rispetto ai dati informatici intendiamo -secondo l'accezione corrente- l'adozione di quelle misure dirette ad impedire che i fatti della vita privata di un soggetto, contenuti in supporti informatici, siano pubblicamente divulgati, dobbiamo immediatamente constatare -già sotto un profilo logico- che tale tutela passanecessariamente attraverso la definizione dei criteri di sicurezza dei dati informatici stessi, nel senso che questi ultimi devono essere inalterabili ed immutabili, cioe' corrispondere alla realta' che intendono rappresentare.

Si vuol dire, in altri termini, che non ha senso porsi un problema di tutela della privacy dell'individuo se non è sicuro il dato informatico. Ad esempio, intanto ci potrà essere un problema di divulgabilità dei propri dati sanitari, in quanto gli stessi siano sicuri, cioè protetti da misure che impediscano l'accesso non autorizzato da parte di terzi e garantiscano la loro integrita' ed inalterabilita'.

D'altro canto, in numerosi casi, non sussiste neanche scissione logica tra violazione delle regole di sicurezza e quelle di riservatezza, poiche' dalla violazione delle prime consegue automaticamente la violazione delle seconde.

Sotto tale profilo si può, perciò, dire che il carattere della sicurezza non è qualcosa che si aggiunge ab extra al dato informatico ma lo caratterizza intimamente, fino a connotare la sua stessa essenza.

2. Questi concetti possono tradursi, sotto un profilo giuridico, nel senso che intanto può discutersi di tutela delle situazioni soggettive ricomprese nel diritto alla riservatezza, in quanto l'oggetto stesso cui riferiscono tali situazioni esista e corrisponda sicuramente alla realta' da rappresentare.

In altri termini, il dato deve prima esistere (e quindi non deve poter essere soppresso), deve corrispondere alla realtà (e quindi non deve poter essere alterato) e, poi, dello stesso può predicarsi la divulgabilita' o meno, e, quindi, puo' porsi un problema di riservatezza.

Tale stretta connessione tra tutela della riservatezza e protezione del dato privato risulta del resto confermata dalla piu' recente legislazione in in materia di reati informatici, ed in particolare dall'art. 615-ter (introdotto dalla legge 547/1993), secondo cui commette il delitto di accesso abusivo ad un sistema informatico o telematico colui il quale, abusivamente, si introduce in un sistema protetto da misure di sicurezza. Con tale norma il legislatore prefiggendosi di tutelare la riservatezza dell'individuo ha ritenuto che questo bene giuridico puo' ritenersi leso quando il sistema informativo in cui il soggetto attivo si introduce sia protetto da misure di sicurezza. In tal modo ha senza dubbio sancito la pregiudizialita', anche giuridica, della sicurezza sulla riservatezza (1).

3. Il che spiega, sotto un profilo tecnico, come la definizione di sicurezza comunemente adottata nelle piu' alte sedi internazionali ricomprenda sempre la salvaguardia della riservatezza.

Basti qui richiamare, ad esempio, la decisione del Consiglio d'Europa adottata il 31 marzo 1992; la raccomandazione dell'OCSE sulle "linee direttrici relative alla sicurezza dei sistemi d'informazione", approvata dai 24 Paesi aderenti il 26 novembre 1992; il Libro verde sulla sicurezza dei sistemi informativi elaborato dalla Commissione Europea (versione del 14 luglio 1994), il documento ITSEC (Information Tecnology Security Evaluation Criteria) (2), nonche' la definizione correntemente adottata in sede ISO.

Da tali atti risulta che, a livello internazionale, si e' concordi nel ritenere che le misure di sicurezza, per essere efficaci, devono garantire il raggiungimento dei seguenti obiettivi:

* riservatezza, ossia la prevenzione dell'utilizzo indebito di informazioni riservate. Salvaguardare la riservatezza significa eliminare, o quanto meno ridurre a livelli accettabili, il rischio che un soggetto possa utilizzare un'informazione altrui senza essere a ciò autorizzato.

Ovviamente, tale prevenzione presuppone che l'accesso alle informazioni venga controllato attraverso adeguate misure di protezione.

* integrità, ovvero la prevenzione della alterazione o manipolazione indebita delle informazioni. Garantire l'integrità significa quindi eliminare o ridurre a livelli accettabili il rischio di cancellazioni o modifiche dei dati a seguito di guasti, problemi di distribuzione di energia elettrica, incendi, allagamenti, etc. o di interventi da parte di soggetti non autorizzati.

Poichè ogni alterazione del dato nella sua consistenza logico-fisica si traduce inevitabilmente nella modifica dell'informazione, salvaguardare l'integrita' significa assicurare la correttezza del contenuto informativo;

* disponibilità, come garanzia dell'accesso controllato alle informazioni.

Cio' equivale a prevenire i pericoli di occultamento o di impossibilità di accesso a dati o risorse necessarie alla conduzione di un'attivita' lecita.

A ciò si devono aggiungere due caratteristiche strutturali del sistema, in necessario rapporto di strumentalità rispettoal raggiungimento degli obiettivi di sicurezza;

* la verificabilità e controllabilità dei dati e delle operazioni svolte, al fine di poter identificare con certezza (soprattutto attraverso i cd tracciati, file di log, gli audit file, ecc.) chi ha utilizzato il sistema, quali operazioni ha compiuto: in altre parole non sembra possibile richiedere ai responsabili dei trattamenti garanzie sulla sicurezza se non si possono accertare i termini esatti della responsabilità

* definizione del dominio: occorre cioè fare riferimento anche all'orizzonte di disponibilità dei dati da parte responsabile del sistema, alla sua capacita' di visibilità delle informazioni, che deve essere completa, aggiornata, esatta.

Il riferimento alla sicurezza riassume quindi tutti gli aspetti sopraindicati, e rappresenta una caratteristica essenziale del sistema, l'in se' del dato, come unita' elementare di informazione elettronica. In quanto tale, e come fatto complesso, comprende aspetti relativi alla sicurezza fisica (locali, strutture, materiali, ecc.), informatica (chiavi logiche, sistemi crittografici, ecc.), e del personale addetto al centro (identificazione, obblighi di servizio, ecc.). Il raggiungimento di un livello accettabile di sicurezza informatica passa, dunque, attraverso l'adozione di appropriate misure tecniche, organizzative e giuridiche da valutare e tenere presente, tra l'altro, sin dal momento della progettazione del sistema informativo, dovendone connotare l'architettura stessa.

E' infatti estremamente problematico (anche in termini di tempi necessari per le modifiche), nonche' costoso aggiungere sicurezza ad un sistema progettato senza tale requisito.

La sicurezza è, più precisamente, una proprietà del progetto di un sistema informativo: esso può quindi essere concepito sia in modo che sia sicuro (o che possa diventarlo successivamente), oppure in modo che sia difficile (o costoso, e al limite impossibile) farlo diventare poi sicuro.

Occorre quindi distinguere le misure (e le regole tecniche) che riguardano la sicurezza di sistemi da progettare ex novo da quelle che riguardano sistemi già progettati, per i quali si possono solo prendere provvedimenti per la difesa dagli attacchi piu' semplici.

In conclusione, la riservatezza dei dati contenuti in archivi elettronici non costituisce altro che uno dei livelli della sicurezza dei sistemi informativi.

4. Si può quindi concludere che le necessarie garanzie giuridiche di tutela della privacy, che il titolare del sistema informativo deve offrire per poter legittimamente procedere al trattamento dei dati personali, sono indissolubilmente collegati ai profili tecnici relativi alla sicurezza informatica e, dunque, alla inaccessibilita' logica e fisica, da parte di soggetti non autorizzati, ai dati personali contenuti in archivi elettronici.

L'Autorità per l'Informatica nella pubblica amministrazione, per epresso disposto legislativo, è la sola competente in materia di sicurezza informatica, dovendo, tra l'altro, definire le regole e i criteri tecnici (standard) in materia di sistemi informativi automatizzati, regole che, come è già accaduto per quelle relative ai supporti ottici, ed in ragione della autorevolezza e competenza della sede da cui promanano, vengono poi recepite ed adottate anche dal settore privato.

Senonchè, il disegno di legge n. 1901-bis non solo istituisce il Garante per la protezione dei dati (art. 19-21) al di fuori del disegno organizzativo della Autorità per l'Informatica, ma, addirittura, non prevede, a regime, alcuna disposizione di coordinamento funzionale tra un organismo che già si occupa della sicurezza informatica ed un organismo che si occupera' della materia della riservatezza dei dati personali, la quale, invece, per quanto si e' detto, e' logicamente, giuridicamente e tecnicamente connessa alla prima.

Ove tale disegno di legge venisse approvato nel suo testo attuale, dunque, sembra profilarsi una evidente conflittualità nei rapporti tra i due organismi, oltre ad insormontabili difficolta' e disarmonie nella delicatissima azione di tutela della persona rispetto al trattamento dei dati personali.

Nè, sotto tale profilo, sembra sufficiente il rinvio al legislatore delegato per eventuali forme di raccordo.

A causa della ricordata connessione tecnico-funzionale sussistente tra la sicurezza informatica e la riservatezza dei dati contenuti in archivi elettronici, appare necessario, quanto meno, prevedere un raccordo funzionale e strutturale tra i due organismi.

Appare incomprensibile, d'altro canto, che, secondo l'articolo 7 del disegno di legge, le misure minime di protezione (cioe' le misure di sicurezza dei dati) debbano addiritturaessere emanate all'esito di un procedimento in cui intervengono numerose amministrazioni pubbliche e sul proposta del Ministero di Grazia e Giustizia che, fino ad oggi non risulta attributario di specifiche competenze in materia.

La disposizione, pertanto, deve essere modificata nel senso di prevedere che l'Autorita' per l'Informatica debba proporre le regole in materia di sicurezza, anche per il settore privato, cosi' come oggi avviene per il settore pubblico.

5. Appare indispensabile dunque, un raccordo profondo ed una stretta sinergia tra le attività e le funzioni del Garante per la protezione dei dati e quelle dell'Autorità per l'Informatica.

Tale soluzione, del resto, non solo assicurerebbe una maggiore efficienza funzionale, conseguente alla imputazione ad un centro di riferimento sostanzialmente unitario della materia della sicurezza e della riservatezza, ma è dettata da evidenti esigenze di economie di gestione, derivanti dalla possibilità di utilizzare un organismo pubblico già esistente e già operante nel settore, che consentirebbe una risposta più rapida in termini di organizzazione strutturale e di efficienza funzionale, evitando una irrazionale ed inspiegabile duplicazione soggettiva.

Tale raccordo dovrebbe avvenire su tre livelli di assoluta e speculare reciprocità:

a) a livello decisionale collegiale;
b) a livello strutturale;
c) a livello funzionale.

Quanto al primo profilo, si propone che il Presidente del Garante sia membro di diritto dell'Autorità, e viceversa; inoltre, quanto al secondo punto, ciascun organo dovrebbe potersi avvalere degli uffici e servizi del'altro, nel pieno rispetto della autonomia ed indipendenza di giudizio e di valutazione;

infine, i due organi devono collaborare e cooperare nello svolgimento dei rispettivi compiti istituzionali.

NOTE.
(1) D'altra parte le legislazioni di moltissimi Paesi, tra i quali la Francia, la Germania, il Lussemburgo, l'Austria, la Norvegia, la Gran Bretagna, l'Olanda, il Giappone, l'Australia e la Spagna, nel dettare le norme in materia di protezione della riservatezza dei cittadini nei confronti delle banche dati personali, hanno espressamente stabilito l'obbligatorieta' dell'adozione di misure di sicurezza, traducendo così a livello normativo una relazione tra i due aspetti, che prima di essere giuridica e' logica, sistematica e tecnica.
(2) Nel 1992 Gran Bretagna, Germania, Francia ed Olanda elaborarono congiuntamente i riferimenti europei per i criteri della sicurezza informatica (ITSEC), unitamente al manuale per la loro applicazione nelle valutazioni (ITSEM-Information Tecnology Security Evaluation Manual).