Chi se n'è accorto? Due settimane fa è entrato il vigore il decreto legislativo 185/99, sulla protezione dei consumatori nei contratti a distanza, ma a spulciare qua e là sul web non sembra che siano molti quelli che cercano di rispettarlo. Ancora una volta si dovrà aspettare che qualcuno venga "bastonato" da un giudice, per vedere applicata la legge?
Certo, rispettare le norme non è facile. Un semplice contratto di abbonamento, anche gratuito, per l'accesso all'internet è soggetto a una congerie di disposizioni nelle quali non è facile districarsi. Vediamo solo quelle più importanti:

• La normativa del codice civile, e in particolare gli articoli 1469-bis e seguenti sui contratti del consumatore.
• Il DLgs 50/92 sui contratti negoziati al di fuori dei locali commerciali.
• Gli articoli 18 e 19 del decreto legislativo 31 marzo 1998, n. 114, sulla riforma della disciplina del commercio.
• Le disposizioni più recenti, quelle appunto del decreto legislativo 22 maggio 1999, n. 185 "Attuazione della direttiva 97/7/CE relativa alla protezione dei consumatori in materia di contratti a distanza".
• Si deve poi aggiungere la normativa sulla protezione dei dati personali. E qui sono applicabili tutti gli aspetti generali della legge 675/96 (dall'informativa al consenso, alla notificazione al Garante, al rispetto delle modalità e delle finalità del trattamento).
• C'è poi il decreto legislativo 13 maggio 1998, n. 171 "Disposizioni di tutela della vita privata nel settore delle telecomunicazioni...".
• Ultimo, ma solo in ordine di tempo, il decreto del Presidente della Repubblica 28 luglio 1999, n. 318, sulle misure minime di sicurezza nel trattamento dei dati personali.

Ci fermiamo qui, in attesa delle disposizioni che dovranno essere emanate dall'Autorità per le garanzie nelle comunicazioni in applicazione del DPR 318/97 (in particolare per quanto riguarda le autorizzazioni generali) e della legge 249/97, con tutta la parte relativa ai registri degli operatori.
E se a qualcuno non bastasse ancora, ricordiamo che è in dirittura d'arrivo la direttiva europea sul commercio elettronico nel mercato interno, che darà luogo ad altre norme nazionali che riguarderanno sia gli operatori commerciali, sia i fornitori di servizi di telecomunicazioni. Mentre si attende - pazientemente - il decreto legislativo previsto dalla legge-delega 676/96, che deve "stabilire le modalità applicative della legislazione in materia di protezione dei dati personali ai servizi di comunicazione e di informazione offerti per via telematica, individuando i titolari del trattamento di dati inerenti i servizi accessibili al pubblico e la corrispondenza privata, nonché i compiti del gestore anche in rapporto alle connessioni con reti sviluppate su base internazionale".

Tutto questo mentre da ogni parte si levano severi moniti contro ogni over-regulation e si afferma che il mercato deve essere lasciato libero di svilupparsi e autoregolamentarsi.
La conclusione è che ogni operatore, anche di piccole dimensioni, dovrà assicurarsi la collaborazione di un legale esperto della materia, come già da tempo si serve del commercialista e del consulente del lavoro per essere guidato nella giungla fiscale e contributiva. Il "fai da te" in questo campo è pericoloso, perché le sanzioni possono essere molto salate, in particolare per le violazioni alla normativa sui dati personali.

Al di sotto del minimo

Vediamo dunque questo aspetto, per quanto riguarda le misure di sicurezza, rimandando ai prossimi numeri sia i problemi del decreto legislativo 13 maggio 1998, n. 171 (con particolare riferimento al mail spamming), sia l'esame della normativa sulla tutela dei consumatori.

Del DPR 318/99 ci siamo già occupati (si vedano gli articoli Misure veramente "minime", Tecnologia e protezione dei dati: qualcosa non funziona e Cosa deve intendersi per "elaboratore accessibile in rete"?), ma ora è necessario cercare di capire che cosa deve fare in concreto chiunque tratti dati personali, in particolare un fornitore o un operatore di servizi di telecomunicazioni.

La chiave iniziale di lettura del regolamento è negli articoli 2, 3, e 9, che delineano le situazioni fisiche in cui si svolge il trattamento. L'articolo 2 si riferisce solo a sistemi stand alone, praticamente inesistenti nel settore che ci interessa, mentre l'articolo 3 distingue (con strani giri di parole e poco rispetto della grammatica) gli elaboratori accessibili solo da una rete interna da quelli connessi alle reti di telecomunicazioni.
Qui sorge il primo problema, perché (come sanno tutti, tranne il legislatore) se un elaboratore di una rete interna è provvisto di modem, tutta la rete è a rischio di intrusione e, di fatto, ricade nella seconda ipotesi dell'articolo 3 (si veda La legge 675/96 e i requisiti di sicurezza: aspetti organizzativi e tecnici).

Niente modem, dice l'esperto della sicurezza, ci metto un bel firewall che separa la rete interna dall'esterno. E' la prima misura di sicurezza, una misura veramente "minima", ma il legislatore non la conosce. Egli ritiene che tutto si possa risolvere attraverso l'assegnazione di "codici identificativi", che per i tecnici sono gli user name, ma dal contesto del regolamento si evince che sono le password.
Dunque ogni operatore che accede ai dati personali custoditi nel sistema deve avere una password, e fin qui tutto bene (con l'avvertenza la che la password va assegnata sia a chi semplicemente "accede" ai dati, sia agli incaricati del trattamento). Ma l'estensore del regolamento va più in là, perché impone di "individuare per iscritto, quando vi è più di un incaricato del trattamento e sono in uso più parole chiave, i soggetti preposti alla loro custodia o che hanno accesso ad informazioni che concernono le medesime".

E con questo la sicurezza si abbassa ancora, perché i sistemi più efficaci di gestione delle password escludono che qualcuno le possa "custodire" o "avere accesso ad informazioni che concernono le medesime": esse sono generate (o cambiate subito dopo la loro prima assegnazione) direttamente dai rispettivi titolari e archiviate in forma cifrata con algoritmi non reversibili. In caso di necessità (per esempio, se il titolare della password è assente ed è indispensabile accedere a certe informazioni o a certe funzioni, o se l'ha semplicemente dimenticata), l'amministratore di sistema disattiva la password e ne genera un'altra. E non c'è regolamento che possa impedire all'amministratore di sistema di compiere questa operazione (se mai sarebbe necessario imporre che essa sia documentata).

Prima di andare avanti, è bene dare un'occhiata all'articolo 9, che è dedicato ai trattamenti cartacei (ma per definirli il legislatore si abbandona a una delirante perifrasi: "trattamento di dati personali per fini diversi da quelli dell'articolo 3 della legge, effettuato con strumenti diversi da quelli previsti dal capo II..."). Bene, l'unico consiglio che si può dare è di buttar via tutte le schede e limitarsi ai trattamenti informatizzati, per non sottostare alla regola degli "archivi ad accesso selezionato", al balletto della consegna e restituzione (a chi?) degli "atti e documenti" e all'identificazione e registrazione sistematica degli andirivieni degli addetti alle pulizie, nel caso di trattamenti di dati sensibili.

Torniamo ai trattamenti informatizzati. Se gli elaboratori sono in qualche modo in rete, occorre munirli di un antivirus, "la cui efficacia ed aggiornamento sono verificati con cadenza almeno semestrale". Cautela, come sappiamo, del tutto inutile, perché le sole misure utili a proteggere i dati da virus e altri accidenti sono le copie di riserva e i piani di disaster recovery. Ma anche questi accorgimenti non sono noti al legislatore, sicché ancora una volta le "misure minime" prescritte sono ancora "più minime" di quelle suggerite dalla tecnica, tanto che possiamo ben definirle come "il massimo del minimo".

In ultima analisi, dopo un'estenuante esegesi del testo, si evince che:

• Se il sistema è isolato, bastano le password.
• Se il sistema è in rete, le password devono essere gestite con particolari accorgimenti e bisogna installare l'antivirus.
• Se nel sistema in rete sono trattati dati sensibili, occorre un'autorizzazione scritta per gli incaricati e, se esso è accessibile dalla rete pubblica, devono essere autorizzati "anche gli strumenti che possono essere utilizzati per l'interconnessione mediante reti disponibili al pubblico". Cioè bisogna "autorizzare" modem e router.
• Non basta: nel caso appena visto, si deve predisporre un "documento programmatico sulla sicurezza" (sic!), con una serie di indicazioni puntigliosamente elencate dall'articolo 6.

E questo è il punto più forse più criticabile dell'intero regolamento, perché un piano di sicurezza (questa è la definizione tecnicamente corretta), sia pure ridotto al minimo, dovrebbe essere adottato per qualsiasi sistema informativo, anche se non vi si trattano dati personali.
Di fatto, l'unico sistema per venire a capo delle misure di sicurezza è partire da una descrizione del sistema informativo e da un'analisi dei rischi, e quindi definire quali soluzioni si possono adottare, cercando di conciliare le previsioni normative con gli accorgimenti tecnicamente più efficaci per una reale protezione dei dati.
Il risultato di questa operazione preliminare è utile anche per facilitare un'altra incombenza prevista dalla legge, la redazione delle istruzioni scritte agli incaricati, ma soprattutto per documentare, in caso di controversie, le precauzioni adottate per assicurare la riservatezza e l'integrità dei dati.

Questo è, alla fine, il punto più critico. Dal giorno dell'entrata in vigore del regolamento (14 aprile 2000) saranno applicabili le sanzioni penali previste dall'articolo 36 della legge, ma l'adozione delle misure minime prescritte, cioè "il massimo del minimo" sarà sufficiente per schivare una condanna. Invece la previsione della responsabilità sulla base dell'articolo 2050 del codice civile è già operante e non è evitabile neanche con il "minimo del massimo", cioè con la predisposizione di misure di sicurezza, ben più efficaci di quelle obbligatorie, ragionevolmente idonee a garantire la riservatezza e l'integrità dei dati.
E questo vale per qualsiasi trattamento, perché è vero che il regolamento all'articolo 8 prescrive solo una password per i trattamenti di dati a fini esclusivamente personali, se esso riguarda dati sensibili ed è effettuato con "elaboratori accessibili da altri elaboratori", ma la questo riguarda solo l'aspetto penale. Resta la responsabilità ai sensi del 2050 del codice civile, come spiega Gianni Buonomo nel suo articolo L'approccio penale alla sicurezza informatica in questo stesso numero.

Così, partendo dal "massimo del minimo", si scopre non solo che non basta "il mimo del massimo", ma che neanche "il massimo del massimo" può metterci al sicuro da possibili grattacapi.