Il documento programmatico non è "la sicurezza"

di Manlio Cammarata - 03.06.04

Tutto questo era prevedibile. D'accordo che le nuove norme sulle "misure minime" sono più sensate delle precedenti, d'accordo che l'insieme delle disposizioni sulla tutela dei dati personali è meno confuso della congerie di testi che aveva seguito la legge 675/96 (vedi La semplificazione delle regole nel codice della privacy di Giuseppe Santaniello). Ma al momento di mettere in pratica il punto 19 del disciplinare tecnico delle misure minime di sicurezza le difficoltà appaiono in tutta la loro evidenza.
Tanto per incominciare: chi è tenuto a predisporre il DPS? La prima lettura delle norme genera il dubbio che ci sia almeno un'incongruenza tra l'art. 34 del 196/03 e il punto 19 dell'allegato. Affrontando il testo con attenzione si giunge facilmente alla conclusione che la misura riguarda solo i titolari di trattamenti di dati sensibili e giudiziari (vedi Il DPS e le copie delle "credenziali": leggiamo bene le norme  di Luigi Neirotti).

In realtà il problema è, come si suol dire, "a monte". E' nelle scelte definitorie del legislatore, che ha chiamato "documento programmatico" quello che per i tecnici è semplicemente il "piano della sicurezza". Un documento programmatico è di per sé un progetto volto a futuri sviluppi, non una descrizione dello stato attuale (eventualmente con le previste evoluzioni), come richiedono le norme.
Ed è questo il primo punto critico. Il buon senso vorrebbe una sequenza logica: 1. il documento programmatico; 2. l'adozione delle misure previste dal documento programmatico; 3. la descrizione del risultato finale in un documento di sintesi. Quest'ultimo, nello spirito delle legge, dovrebbe costituire l'adempimento finale.

Ma se leggiamo l'espressione "documento programmatico" come "documento di sintesi" emerge un secondo punto critico, l' equivoco di fondo che sta determinando tanti problemi nell'approssimarsi della data della scadenza. Infatti l'accento è stato posto sul documento (che è soltanto una delle numerose misure obbligatorie), invece che sulla sicurezza come presupposto per la liceità dei trattamenti. In sostanza, con la scadenza del 30 giugno, più che il documento dovrebbero essere pronti e operativi tutti gli accorgimenti necessari per assicurare la reale sicurezza dei dati. E non è una differenza di poco conto.

In sostanza, quello che ogni titolare di trattamenti avrebbe dovuto fare fin dalla pubblicazione del decreto legislativo 196/03, è convocare i tecnici interni o i consulenti esterni per "mettere a norma" le condizioni di sicurezza dei sistemi informatici. Chi ha provveduto per tempo a questa fondamentale necessità, oggi non ha problemi per la redazione del cosiddetto "documento programmatico".
Ma chi pensa di mettersi al sicuro da ogni rischio (civile e penale) con l'adempimento di una formalità, rischia grosso. E il rischio è ancora più forte se ci si affida a improbabili "kit" o a consulenti che si sono scoperti tali solo all'ultimo momento.

La protezione dei dati personali è senza dubbio una "qualità" di tutti i processi informativi, in ambito pubblico come in ambito privato. L'importanza di questa qualità, a sette anni dalla prima legge in materia, fa parte ormai della cultura diffusa. E questo è un bene di enorme valore.
Ma quello che ancora non funziona è il modo in cui si passa dai principi alla loro applicazione pratica. L'approccio formalistico-burocratico della legge 675 non è cambiato con il codice del 2003. Anche se i principi sono formulati in maniera più chiara e convincente, la loro applicazione resta affidata a un monumentale complesso di regole minuziose, pedanti pandette che vorrebbero regolare ogni dettaglio, dimenticando il principio fondamentale dell'astrattezza e della genericità delle norme giuridiche (che costituisce la vera differenza con le norme tecniche).

La sostanza dell'interpretazione della norma è nel confronto tra la fattispecie concreta e la norma stessa. Se la norma è abbastanza astratta e generica, il lavoro dell'interprete può essere faticoso, ma prima o poi assicura un risultato convincente. Se la normativa è molto dettagliata, è necessario trovare una corrispondenza specifica tra la fattispecie concreta e la previsione del legislatore. E siccome il legislatore non può prevedere tutto, capita inevitabilmente che non si riesca a identificare la disposizione che si adatta al caso in esame. Con le conseguenti incertezze sul da farsi e le soluzioni più fantasiose.

Prendiamo, per esempio, il recente provvedimento sulla videosorveglianza. Un problema serio, perché si devono conciliare opposte esigenze della protezione della riservatezza e della sicurezza dei cittadini. E' davvero necessario elencare una per una tutte (tutte?) le possibili situazioni in cui viene usato un sistema di controllo visivo a distanza? Non sarebbe meglio enunciare con chiarezza le norme generali alle quali deve attenersi il titolare del trattamento e lasciare poi al giudice il compito di valutare, di fronte a una contestazione, se le norme sono state rispettate?

Spostando l'attenzione dalle questioni sostanziali al formale rispetto di regole specifiche si rischiano risultati stravaganti: come quello, spesso citato, che si è verificato in un caso in cui sono state esaminate le riprese fatte in una banca nel corso di una rapina: si vedevano solo i piedi dei malviventi, perché la telecamera era stata puntata verso il basso "per rispettare la privacy dei clienti".

Così, ponendo al centro dell'attenzione il documento programmatico sulla sicurezza, invece che puntare sulla sicurezza reale, si rischia una sicurezza "fatta coi piedi". Ovvero, come scriveva Andrea Monti in un articolo dell'anno scorso, una "sicurezza di carta".