Dopo sette anni di onorato servizio, la famosa "legge sulla privacy" va dunque in pensione, sostituita da un testo unico assai più ampio (anche troppo!) ed organico, che raccoglie in sé i frutti delle esperienze maturate in questo lungo periodo. Prima di entrare nel merito delle "misure minime", vale quindi la pena di fare qualche riflessione sul nuovo testo, che entrerà in vigore, anche se con qualche eccezione, all'alba del prossimo anno.

Vorrei comunque iniziare col dire che sicuramente la vecchia 675/96 è stata una legge innovativa, ancorché dirompente per il nostro Paese; e pur fra le molte critiche iniziali ha in effetti svolto il suo compito, che era quello, soprattutto, di educare i cittadini e le istituzioni al rispetto di tutto ciò che attiene alla sfera più intima e personale di ciascun essere umano, partendo dai dati e dalle informazioni che lo riguardano. I popoli anglosassoni, si sa, hanno impresso nel DNA il gene del rispetto della riservatezza altrui, ed è per loro naturale considerare la privacy come un inalienabile e supremo diritto civile. Le popolazioni mediterranee invece, e noi italiani in particolare, non sono mai state particolarmente avvezze a pensare che farsi gli affari propri in santa pace fosse un vero e proprio diritto, o che la conoscenza o la divulgazione di informazioni personali altrui potessero essere considerate un delitto.

Eppure il rispetto della dignità umana passa anche attraverso la tutela di tutto ciò che riguarda la persona, comprese notizie ed informazioni di carattere più o meno privato; e dunque è giusto tenere presente che anche con comportamenti "leggeri" si può recare danno al nostro prossimo. Certo, la 675 è stata da molti utilizzata, grazie ad interpretazioni faziose e distorte, come alibi per rifiutarsi di svolgere un servizio od una prestazione: ma contro tali eccessi si sono opposte le interpretazioni del Garante che, hanno cercato di chiarire gli aspetti di buon senso contenuti nelle norme, invitando ad un uso responsabile e consapevole di quel bene di tutti che sono, appunto, le informazioni riguardanti la nostra sfera privata.

Molte critiche aveva invece raccolto negli anni il famigerato DPR 318 del 1999, ovvero il "testo guida" collegato alla 675 e contenente le indicazioni tecniche sulle misure minime di sicurezza da adottare nella tenuta dei dati soggetti alla tutela di legge. Tale testo, lungamente atteso da tutti coloro che avevano la responsabilità di gestione dei sistemi di trattamento delle informazioni, avrebbe dovuto essere pubblicato entro sei mesi dall'entrata in vigore della 675 ed essere in seguito aggiornato ogni sei mesi; ed invece comparve solo tre anni dopo, per poi non essere mai più aggiornato
.
A parte ciò, esso fu comunque una totale delusione: vecchio già nell'impostazione concettuale (ad esempio nel 1996 Internet non era una realtà consolidata in Italia, ma nel 1999 sì), barocco in alcune sue definizioni e trascurato in altre, minuziosamente dettagliato su alcuni aspetti tecnici insignificanti e straordinariamente superficiale su quelli realmente importanti. Il 318 lungi dal risolvere i dubbi ed i problemi degli implementatori, ne creò sostanzialmente di nuovi e più intriganti, grazie anche alle interpretazioni surreali che di alcuni suoi articoli dettero alcuni giudici particolarmente fantasiosi. Era ora, dunque, che il 318 lasciasse il passo ad un regolamento più aggiornato e maggiormente vicino alla realtà delle questioni operative e tecniche dei nostri giorni.

Con queste premesse mi sembra di poter dire che il nuovo "Codice", con l'allegato B, abbia davvero preso il meglio dei due mondi: infatti, pur se ampio e complesso nella sua articolazione, da un lato chiarisce ancor meglio rispetto al passato le finalità "astratte" e di principio delle norme a tutela della privacy, e dall'altro fornisce una serie di indicazioni precise e puntuali per la corretta attuazione delle norme in tutta una serie di situazioni particolari degne di speciale attenzione. Certo, chi sperava in una normativa meno severa della precedente rimarrà deluso: rimane sempre in vigore, ad esempio, il richiamo al diabolico articolo 2050 del codice civile, che prevede, in caso di danni a terzi causati per effetto del trattamento di dati personali, la a volte impossibile prova di "aver preso tutte le precauzioni necessarie a evitare il danno"; e la semplice mancata adozione delle misure minime di sicurezza può implicare, ex articolo 169, una pena detentiva fino a due anni o l'ammenda fino a cinquantamila euro.
Credo tuttavia che queste pene, pur se molto dure, rappresentino essenzialmente uno spauracchio con cui il legislatore vuole in realtà inculcare nella testa della gente il fatto che i dati personali sono un bene di straordinaria importanza e come tale vanno tutelati.

Entrando più nello specifico, soprattutto per quanto riguarda quei punti della legge che maggiormente riguardano gli aspetti tecnici o gestionali connessi all'attività di tenuta dei dati personali, mi sembra significativo innanzitutto l'articolo 31, il quale correttamente sancisce che le attività di trattamento debbano adeguarsi "alle conoscenze acquisite in base al progresso tecnico […] in modo da ridurre al minimo […] i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.". In pratica si ricorda ai tecnici, i quali non possono far finta di non saperlo, che le contromisure tecniche di protezione dei sistemi di elaborazione hanno sempre una validità limitata nel tempo e vanno costantemente adeguate in funzione dell'evoluzione delle possibili fonti di minaccia, anche a prescindere dagli specifici obblighi costituiti dalle cosiddette "misure minime".

Queste ultime vengono richiamate nell'articolo 33 mentre i successivi articoli 34 e 35, riferiti rispettivamente ai trattamenti effettuati con e senza "l'ausilio di strumenti elettronici", sanciscono comunque che i trattamenti in questione non sono consentiti se non sono adottate, nelle modalità previste dal disciplinare tecnico di cui all'allegato B, alcune misure di protezione, dalla natura essenzialmente organizzativa, quali l'attenta individuazione ed autorizzazione degli incaricati e degli addetti al trattamento dei dati, nonché delle specifiche modalità di trattamento, la tenuta degli elenchi (periodicamente aggiornati), delle autorizzazioni, le procedure di conservazione dei dati e delle modalità di accesso e così via.

Nel caso di trattamenti elettronici si richiede anche l'adozione di procedure per la gestione delle credenziali di autenticazione (ovvero per l'assegnazione, la conservazione, l'utilizzo e la cessazione delle password), l'adozione di procedure non solo per il backup dei dati ma anche per la corretta conservazione degli stessi e per il loro ripristino in seguito ad incidente o disastro, l'adozione di sistemi di protezione degli strumenti di elaborazione nei confronti di accessi illeciti o tentativi di intrusione.

Tutte cose assolutamente sacrosante, e correttamente richiamate in questa sede solo per quanto riguarda le loro caratteristiche funzionali generali, lasciando invece all'allegato B (che verrà aggiornato nel tempo in funzione dell'evoluzione tecnologica) il compito di dettagliarle sul piano tecnico.
Degno di nota ancora l'articolo 130, relativo alle comunicazioni indesiderate, il quale conferma le basi giuridiche per perseguire legalmente il fenomeno dello "spam" che negli ultimi mesi ha raggiunto proporzioni preoccupanti e costituisce motivo di fastidio, nonché di perdita di tempo e denaro, per tutti gli utenti dei servizi di posta elettronica.

Per quanto riguarda le tempistiche di attuazione va notato come, benché la legge abbia effetto dal 1. gennaio 2004, chi effettua il trattamento dei dati abbia tempo almeno altri sei mesi per adeguarsi sul piano tecnico, e addirittura un anno nel caso in cui i sistemi attualmente in esercizio non consentano l'adozione semplice ed immediata delle contromisure indicate. In poche parole, chi ha sistemi vecchi o inadeguati ha tempo fino a fine 2004 per cambiare il suo parco macchine, senza dover correre a sostituire tutto assieme; di questo deve semplicemente dare ragione tramite un documento, con data certa, da conservare presso di sé, e comunque nel frattempo deve predisporre tutte le misure tecniche, organizzative e logistiche affinché il rischio di illeciti utilizzi dei dati trattati o dei sistemi che li trattano non aumenti rispetto al passato. In definitiva si tratta di richieste più che ragionevoli.

Per inciso, è il caso di notare che oggi per avere un documento "in data certa" non serve più recarsi dal notaio o autospedirsi una raccomandata: con firma digitale e marca temporale l’adempimento richiede pochi secondi.

Passando infine al più volte citato disciplinare tecnico, mi sembra che anche qui le cose siano migliorate rispetto al suo infelice predecessore. Innanzitutto il legislatore distingue correttamente, e mi pare sia la prima volta in un testo di legge, fra sistemi di autenticazione e sistemi di autorizzazione informatica. Benché infatti questi due termini possano apparire sinonimi ai non addetti ai lavori, essi descrivono due cose ben diverse e non intercambiabili sul piano concettuale, prima ancora che su quello tecnico.
Un utente che si presenta ad un sistema automatico viene dapprima "autenticato", una volta per tutte; poi, quando richiede determinati servizi, quali ad esempio l'accesso ad un database o ad una risorsa, viene di volta in volta "autorizzato". L'autenticazione quindi è la fase in cui il sistema provvede ad una identificazione certa dell'utente mediante un apposito sistema di riconoscimento (password, smart card, impronta digitale…) che lo identifica univocamente come utente noto al sistema stesso. L'autorizzazione, invece, è la fase in cui il sistema concede o meno, ad un utente già precedentemente autenticato, l'accesso a determinati dati o programmi in funzione del suo "profilo" stabilito dai responsabili.

Queste due fasi sono diverse non solo tecnicamente ma, soprattutto, organizzativamente e operativamente: è quindi corretto che, nel disciplinare, vengano tenute distinte e si specifichino le caratteristiche operative minime di ciascuna delle due. In particolare la norma richiede che l'autenticazione venga fatta con sistemi di riconoscimento relativamente robusti, e nel caso delle password, detta addirittura una lunghezza minima ed una vita operativa massima, nonché le istruzioni per la loro corretta conservazione ed il loro ripristino in caso di perdita o indisponibilità dell'originale; mentre per quanto riguarda l'autorizzazione si concede, sensatamente, che essa possa avvenire anche per classi omogenee di utenti.

Mi sembra opportuno chiarire, a questo punto, un aspetto tecnico che ho notato essere fonte di dubbio e confusione presso tecnici e non tecnici in egual misura. Da nessuna parte, nella legge, viene detto dove e in che modo debbano essere espletate da parte dei sistemi automatici le procedure di autenticazione e di autorizzazione: e questo è giusto, perché altrimenti la legge perderebbe di generalità ed obbligherebbe di fatto gli utenti ad utilizzare sistemi di elaborazione fatti tutti allo stesso modo. Ciò dunque significa che non è affatto stabilito per legge che sia necessariamente il sistema operativo del computer a doversi occupare di queste fasi: può farlo ma può anche non farlo, oppure può occuparsi della sola autenticazione lasciando ad altri sistemi o ai programmi applicativi l'onere della successiva autorizzazione (il contrario di solito non è possibile).

L'importante è che si ottenga il risultato, non come lo si ottiene. Sono dunque errate, in quanto prive di fondamento, quelle interpretazioni affrettate che balzano a conclusioni paradossali del tipo "la nuova legge proibisce di usare Windows 95 perché tale sistema operativo non consente profili di autorizzazione degli utenti"; il fatto che il sistema operativo non sia in grado di discriminare utenti o classi di utenti diversi, associando a ciascuno un suo profilo, non è infatti rilevante: basta infatti che lo faccia il software applicativo, ossia il programma utilizzato per accedere ai dati. (D'accordo, chi ha ancora in esercizio Windows 95 dovrebbe comunque pensare ad una sua sostituzione: ma certamente non perché lo imponga il nuovo testo unico sulla privacy!).

Per quanto riguarda il documento programmatico sulla sicurezza, storico spauracchio delle aziende italiane, il nuovo testo ne conferma la validità e continua a prescriverne la redazione e l'aggiornamento annuale, ma qualifica meglio contenuti e finalità del documento stesso; prescrive inoltre, come ulteriore misura di garanzia, che le aziende debbano esplicitamente riferire della sua stesura o aggiornamento nella relazione che accompagna il bilancio d'esercizio.

Un ultimo aspetto che mi sembra interessante del "disciplinare", ed in generale di tutta la nuova legge, riguarda l'accento posto in più parti sugli aspetti organizzativi della sicurezza (redazione di procedure formali per l'adempimento dei compiti di routine) e sulla necessità di una adeguata formazione del personale. Si tratta di una visione corretta: affinché un sistema complesso quale la sicurezza possa funzionare regolarmente, infatti, è opportuno che i suoi meccanismi siano formalizzati e verificabili, e che tutto il personale sia consapevole ed motivato. Ciò tuttavia viene spesso ignorato da molte aziende ed organizzazioni, sia nel privato che nel pubblico, le quali pensano che la sicurezza sia solo un fatto tecnico e che basti installare un firewall o un antivirus per stare a posto con la legge e la coscienza.

Purtroppo non è così, come ben sa chi malauguratamente si è trovato a dover gestire un incidente di sicurezza. Certo, l'organizzazione e la formazione sono gli asset più costosi in termini economici e quelli col minor ritorno d'immagine all'interno dell'azienda, e dunque sono solitamente i primi ad essere tagliati dai budget di spesa. Ora tuttavia non ci sono più scuse: finalmente anche la legge impone alle aziende, o almeno a quelle che trattano dati personali, di predisporre, adeguare e documentare le proprie procedure operative, nonché di procedere ad opportuni momenti di sensibilizzazione e formazione del personale sui temi della responsabilità e della sicurezza.

Mi sembra un gran passo avanti, una disposizione sensata e ragionevole che fa il bene stesso dei destinatari cui è rivolta. C'è da sperare che le aziende la recepiscano non solo come un mero obbligo di legge, ma soprattutto come un valido consiglio, e colgano l'occasione dell'entrata in vigore del nuovo testo unico per procedere, possibilmente sotto l'assistenza di una struttura specializzata, ad un'utile riorganizzazione delle proprie procedure operative.
Perché da tutto questo emerge ancora una volta che la sicurezza non è un aspetto marginale del progetto e della gestione dei sistemi informatici, ma una questione delicata e complessa che è necessario affidare ai veri esperti della materia.