Ritorna in primo piano la protezione dei dati personali. Il 31 luglio scorso scadeva l'ennesima proroga per l'emanazione dei decreti integrativi e correttivi della legge 675/96, previsti dalla 676/96, ed era legittimo - anche se un po' troppo ottimistico, visti i precedenti - aspettarsi il completamento della normativa.
Così, a oltre due anni dall'entrata in vigore della legge, mancano ancora molti provvedimenti (quindi ci sarà un'ulteriore proroga), mentre le poche novità da registrare non si prestano a commenti positivi, in primo luogo per quanto riguarda le relazioni tra diritto alla riservatezza e tecnologie dell'informazione. Vediamo di che si tratta.

Internet al prezzo dei dati personali

Il 7 agosto la Repubblica ospitava con grande evidenza un articolo di Stefano Rodotà intitolato "Se la nostra privacy diventa una merce", in cui si elencavano, con la consueta lucidità e con grande chiarezza, i tanti motivi di allarme per l'invadenza della pubblicità nella vita privata, in particolare nel settore delle telecomunicazioni.
"Si fa sempre più massiccia l'offerta di accesso gratuito ad Internet - si leggeva nell'articolo - o addirittura di ricevere gratis un personal computer, in cambio della presenza continua della pubblicità sullo schermo del proprio computer, dell'accettazione di un invio regolare di messaggi pubblicitari di posta elettronica, della comunicazione di una gran massa di proprie informazioni personali che diventano «proprietà» di chi fornisce il servizio, che potrà poi utilizzarle nel modo che preferisce (vendendole, tracciando profili riguardanti la situazione personale patrimoniale, le preferenze, gli stili di vita)".

Si dà il caso che l'autore dell'articolo sia lo stesso Stefano Rodotà che presiede il Garante per la protezione dei dati personali, al quale queste situazioni sono state ripetutamente segnalate, anche in via formale: si veda, per esempio, la segnalazione di ALCEI. Ma il Garante dovrebbe fare ben altro che scrivere un articolo! Dovrebbe intervenire con i mezzi - non pochi - che la legge gli mette a disposizione, per limitare sul nascere un fenomeno destinato a estendersi in breve tempo in progressione geometrica.
Questo tipo di uso delle informazioni personali non è proibito, se fatto nel rispetto della legge. Se mai c'è un problema di ordine sociale nello scambio tra vantaggi economici e informazioni personali, ma questo scambio deve essere chiaramente indicato nell'informativa resa obbligatoria dall'articolo 10 della 675/96. Se alcuni operatori tradiscono lo spirito e la lettera della legge, occorre un intervento pubblico del Garante, fosse anche per informare i cittadini che, invece, è tutto in regola. Non si tratterebbe tanto di sanzionare l'assenza delle informazioni puntigliosamente elencate dal testo legislativo, quanto di esigere il rispetto del principio che fonda sul "consenso informato" dell'interessato tutto il meccanismo della tutela della vita privata.

Il sito del Garante?

Tre mesi fa avevamo segnalato (vedi InBox) uno strano equivoco. Sia su Yahoo!, sia su Tiscalinet, erano indicate come "sito del Garante" le pagine di una società che si occupa di tutela dei dati personali. Ora in tutte e due le pagine il sito in questione continua a figurare tra i web istituzionali, ma su Tiscalinet con la contraddittoria indicazione che non si tratta del sito ufficiale della "Authority".
Non basta. Il 12 agosto l'Agenzia Italia ha diffuso questa notizia:

(AGI) - Roma, 12 ago. - Dal 13 settembre prossimo il Garante per la privacy avviera' un servizio di risposte a pagamento per ogni tipo di quesito sulla tutela della persona e sul trattamento dei dati personali (legge 675/96). Tutte le risposte - si legge nel sito Internet del garante - verranno inviate per raccomandata agli interessati, con pagamento contrassegno al postino.
Scopo dell'iniziativa e' quello di "garantire ai propri utenti la costante assistenza dei suoi esperti alla soluzione dei problemi che nascono dall'applicazione quotidiana della legge sulla privacy". Non manca un tariffario: una risposta 60.000 lire; due risposte 100.000 lire e tre risposte 120.000 lire; piu' una formula di abbonamento a 10 risposte per 300.000 lire. Tutte le cifre sono comprensive di Iva e saranno
regolarmente fatturate. (AGI)
L'UC
121453 AGO 99

Il contenuto della notizia, a prima vista, è abbastanza strano, ma la vera "stranezza" è nel fatto che si tratta del solito sito privato che, per qualche incomprensibile motivo, continua a essere indicato da varie fonti come se fosse il web ufficiale del Garante.
Il problema è che il Garante, a oltre due anni dalla sua entrata in funzione, non è ancora riuscito a mettere in piedi il suo sito internet.

Il regolamento sulla sicurezza

Il 30 luglio, al limite della scadenza della proroga, sono stati emanati due provvedimenti previsti dalla 676/96, uno sul trattamento dei dati per finalità storiche, statistiche e di ricerca scientifica (DLgs 281/99) e uno per i dati trattati in ambito sanitario (DLgs 282/99). In sostanza altri due elenchi di limitazioni e obblighi, che riproducono pedissequamente i difetti della legge "madre", sulla falsariga dei decreti precedenti. Con un'aggiunta non da poco: ora, oltre che alla 675, ci sono anche modifiche ai precedenti decreti legislativi. La normativa si complica sempre più, anche perché il legislatore si guarda bene da pubblicare i testi vigenti (che trovate, invece, su questa rivista alla pagina Tutte le norme sulla protezione dei dati personali).
Pochi giorni prima il Consiglio dei Ministri aveva varato il regolamento sulle misure di minime sicurezza (un decreto del Presidente della Repubblica, previsto dall'articolo 15 della 675/96), che fino a oggi non risulta pubblicato sulla Gazzetta ufficiale. C'è da augurarsi che non venga mai pubblicato, come è accaduto per il decreto del 22 luglio dell'anno scorso, poi sostituito da un altro testo.

Si tratta infatti di un repertorio di misure inutili, inadeguate o inapplicabili, che dimostra una preoccupante mancanza di conoscenze aggiornate sulle moderne procedure di sicurezza dei sistemi informativi.
Il testo era già noto da tempo, perché alcune bozze erano state fatte circolare nell'autunno del '97, al tempo della prima scadenza della delega. Tutti gli esperti avevano fortemente criticato il documento, che ora ricompare con insignificanti modifiche.
L'aspetto forse più paradossale di questo provvedimento è che esso viene emanato a due anni dalla sua formulazione, proprio quando, secondo il dettato del terzo comma dello stesso articolo 15, dovrebbe essere rivisto. In questi due anni si è verificata un'innovazione fondamentale nel quadro legislativo che riguarda le tecnologie dell'informazione: la firma digitale, con tutto il suo contorno di garanzie e di procedure di sicurezza allo stato dell'arte, fondate in particolare sull'impiego obbligatorio del "dispositivo di firma". Ma tutto questo è semplicemente ignorato nel regolamento sulla sicurezza dei dati, scritto molto tempo prima delle norme sulla firma digitale.

Ne consegue che la puntuale applicazione delle disposizioni sulla sicurezza dei dati personali può portare a un risultato assurdo: le norme sul documento informatico obbligano i certificatori a rispettare anche le prescrizioni sulla protezione dei dati personali, ma il rispetto delle misure di sicurezza previste dal regolamento in questione comporta una diminuzione dell'efficacia delle precauzioni relative alla gestione dei certificati delle chiavi pubbliche. Infatti il regolamento sulla sicurezza dei dati personali prevede che le password vengano assegnate da un responsabile e stabilisce anche le precauzioni che devono essere adottate dal "custode" delle password stesse. Invece le moderne procedure di sicurezza (che non possono non essere adottate dai certificatori, si vedano le regole tecniche e la circolare sull'iscrizione nell'elenco pubblico) prescrivono che le password vengano generate dagli stessi titolari e archiviate in cifra con un algoritmo "a senso unico" che impedisce la ricostruzione della password originale a partire dal codice cifrato. Dunque non esiste alcuna procedura di "assegnazione" delle password, né può esserci un "custode" del relativo elenco. Solo il titolare è a conoscenza della password (si veda, a questo proposito, l'articolo di Andrea Monti Misure veramente "minime").
Nel meccanismo previsto dal regolamento sulla sicurezza dei dati c'è almeno un'altra persona a conoscenza della password e questo costituisce una vera e propria "misura di insicurezza", come sa chiunque si sia anche superficialmente interessato al problema della protezione dei sistemi informatici.

Concludendo...

A questo punto, a quasi tre anni dal debutto delle legge 675/96, non solo la normativa sulla protezione dei dati personali non è ancora completa, ma soprattutto è carente proprio nel settore che lo stesso Garante indica come il più critico: quello delle tecnologie dell'informazione. Mancano molte delle norme relative alla protezione dei dati nei servizi telematici, prevista dalla legge-delega 676/96 e quelle che ci sono appaiono inadeguate (vedi appunto il neonato regolamento sulle misure minime di sicurezza o il decreto legislativo 171/98 sulla protezione dei dati nei servizi di telecomunicazioni).

Tutto questo è molto strano: il Garante tuona pubblicamente contro le violazioni della riservatezza nel mondo delle tecnologie, ma non interviene nemmeno nei casi più clamorosi; non riesce a far emanare le norme che potrebbero almeno fare chiarezza sui compiti e le responsabilità di chi eroga i servizi; non attiva un sito internet, né si oppone a chi approfitta della situazione, lasciando che un sito privato sia insistentemente presentato come ufficiale.
Eppure si tratta proprio del settore nel quale, per affermazione dello stesso Garante, si possono riscontrare i comportamenti più pericolosi per la vita privata di ognuno di noi.