Ancora una volta ha ragione Cammarata. In una recensione di una raccolta di saggi giuridici che mi vede tra gli autori, afferma che per trattare il diritto delle tecnologie occorre, tra l'altro, "conoscere le tecnologie stesse, almeno nei loro aspetti più elementari" (e sia ben chiaro che preferisco non sapere mai se sono tra gli autori "buoni" o quelli "cattivi").
Però non è il solo, perché su questo problema, avevo relazionato anch'io nel novembre 2000, nel corso di un interessantissimo e piacevolissimo convegno tenutosi presso l'Ateneo pisano (gli atti sono pubblicati in AA.VV., Informatica giuridica, a cura di G. Rognetta, Napoli, Simone, 2001).
Anche prima di quell'occasione ripetevo, in modo provocatorio, che, secondo me, un buon giurista informatico dovrebbe sapere smontare e rimontare il proprio computer. In diverse occasioni mi è stato simpaticamente risposto che si può sempre chiamare un tecnico. Risposta simpatica, data da una persona che ha un sufficiente livello di conoscenze tecniche, ma che sicuramente mi aspetterei da altri meno preparati in materia.

E' chiaro che non mi voglio mettere in competizione con Cammarata. Voglio soltanto dire che se siamo almeno in due a sostenere certe cose, potrebbe essere ciò che emerge di una corrente di pensiero.
Anche con questo mio scritto ho voluto fare una provocazione, ma non soltanto formalmente, perché il problema, oltre ad essere assai concreto, è certamente grave.
L'omessa adozione delle misure di sicurezza minime è reato ai sensi dell'art. 36 della legge 675/96, disposizione che prevede anche una fattispecie colposa. Vediamo più da vicino la relativa disciplina con particolare riferimento ai programmi antivirus e simili.

Come accennato, l'art. 15 impone l'adozione delle misure specificate nel Regolamento. Due sono gli interrogativi fondamentali: a) quali sono le misure da adottare e con quali modalità? b) Chi sono i soggetti tenuti ad adottarle?
Per rispondere al primo quesito è necessario guardare alla lettera c) dell'art. 4 DPR 318/99 chiarendo, però, che il legislatore, malgrado il richiamo all'art. 615-quinquies c.p., non ha utilizzato il termine antivirus o altro dal medesimo significato.
Più semplicemente, si fa menzione di una generica protezione "contro il rischio di intrusione ad opera di programmi di cui all'articolo 615-quinquies del codice penale, mediante idonei programmi, la cui efficacia ed aggiornamento sono verificati con cadenza almeno semestrale"; e se l'art. 615-quinquies c.p. non si riferisce ai soli virus intesi in senso stretto, è evidente che, al di là della terminologia tecnica e/o di mercato potrebbero necessitare anche dispositivi come i firewall, software o hardware, dal momento che il legislatore non distingue (chiarendo che il firewall non è necessario per evitare un accesso abusivo da parte di un operatore remoto, ma per impedire l'"entrata" di programmi).

In più è dovuta la verifica, con cadenza almeno semestrale (termine assai criticabile, vista la proliferazione di virus e programmi analoghi), dell'efficacia e dell'aggiornamento.
Il riferimento all'efficacia è, per la verità, di non agevole interpretazione. Al più, in una tesi ragionevole, viene da pensare al corretto funzionamento informatico (installazione, attivazione, ecc.).
Il riferimento all'aggiornamento è, invece, sicuramente più chiaro. E, infatti, non ha alcun senso utilizzare un antivirus senza tenerlo aggiornato magari - per scrupolo - anche in termini più contratti rispetto a quelli indicati dal legislatore (d'altro canto, non pochi antivirus consentono aggiornamenti, spesso a fronte di un abbonamento, assolutamente agevoli come quelli, cosiddetti live, attivabili mediante connessione Internet).

Conseguenza di ciò è che se, ad esempio, un certo virus viene ufficialmente scoperto ad una certa data (dal produttore del proprio antivirus?) e non si è installato il relativo aggiornamento entro sei mesi da quella stessa data, la sanzione penale risulterebbe inevitabile.
Quanto ai soggetti, l'art. 36 parla soltanto di coloro che sono "tenuti". Malgrado la vaghezza del dato letterale (in particolare, l'uso del termine "chiunque"), l'art. 36 prevede un reato proprio che, guardando alla disciplina generale dei dati personali, può, in sostanza, essere commesso soltanto da tre soggetti: il titolare, il responsabile e l'amministratore di sistema (C. Parodi, A. Calice, Responsabilità penali e Internet, Milano, 2001, pag. 305).

Altre persone, al limite, risponderanno, eventualmente, a titolo di concorso con l'intraneus.
Da una differente prospettiva, l'art. 3 della legge stabilisce che "Il trattamento di dati personali effettuato da persone fisiche per fini esclusivamente personali non è soggetto all'applicazione della presente legge, sempreché i dati non siano destinati ad una comunicazione sistematica o alla diffusione", ma anche in tali ipotesi "si applicano in ogni caso le disposizioni in tema di sicurezza dei dati di cui all'articolo 15, nonché le disposizioni di cui agli articoli 18 e 36".

A parte quanto statuito dall'art. 18 in tema di responsabilità civile (con espresso richiamo al severo regime delle attività pericolose ex art. 2050 c.c.), quanto al penale si ritorna sempre all'art. 36. Il richiamo merita, però una precisazione di valenza non certo trascurabile. E infatti, secondo l'art. 9 del Regolamento, in caso di trattamento a fini esclusivamente personali è necessaria soltanto la predisposizione di una parola chiave (e non di altre misure di sicurezza) e sempre che ci si trovi in presenza di dati sensibili o di rilevanza penale iscritti nel casellario giudiziale. Stranamente, la misura di sicurezza è richiesta soltanto qualora l'elaboratore sia "stabilmente" accessibile da altri elaboratori.

Sta di fatto che, il più delle volte, l'attività di un operatore del diritto non è a fini "personali", tanto meno quella di un avvocato.
Chi mi conosce sa che non amo parlare di questioni deontologiche semplicemente perché non ne ho l'autorità. In questa sede, quanto alla professione forense, osservo soltanto che l'omessa adozione di misure di sicurezza può cozzare contro alcuni principi del codice deontologico:art. 7 - Dovere di fedeltà; art. 8 -Dovere di diligenza; art. 9 - Dovere di segretezza e riservatezza; art. 13 - Dovere di aggiornamento professionale. E si ricordi, infine, l'art. 5 che prevede il procedimento disciplinare a fronte di violazione, non colposa, di una norma penale (per l'appunto, l'art. 36 della legge 657/96).

Ma c'è una seconda morale. Sappiamo tutti che l'ignoranza delle legge, in particolare di quella penale, non scusa. E scusa sicuramente meno - se così si può dire - se il "colpevole" è un operatore del diritto. Altrimenti detto, pur essendo consapevole del mio atteggiamento intransigente, non ritengo concepibile che una persona che, per professione, si occupa di leggi, non le conosca, a maggior ragione se se ne parla anche dal barbiere. Così, però, è accaduto nei tre pezzi facili.
La "privacy" (uso questo termine... per farmi capire...) è una cosa seria. Non soltanto perché vi sono disposizioni penali che non possono certo dirsi morbide (e considerato anche che, come già ricordato, l'art. 36 della 657/96 prevede addirittura un'ipotesi meramente colposa), ma perché, dopo anni di discussioni, giustamente il legislatore (sebbene, a tratti, con scelte discutibili) si è deciso a dettare regole a tutela di un bene calpestato da troppi.