Perplessità sulle scadenze delle misure minime di sicurezza

di Luigi Neirotti* - 05.04.04

In particolare, nel parere in questione il Garante ha fornito una propria interpretazione del combinato disposto dalla data contenuta nella regola 19 dell'allegato B al nuovo codice in materia di protezione dei dati personali (nel seguito anche: il "codice"), per quanto riguarda la data di formazione ed aggiornamento del "documento programmatico sulla sicurezza" (Entro il 31 marzo di ogni anno .), e quella riportata nelle disposizioni transitorie del codice all'art. 180 (Le misure minime di sicurezza di cui agli articoli da 33 a 35 e all'allegato B) che non erano previste del decreto del Presidente della Repubblica 28 luglio 1999, n. 318 sono adottate entro il 30 giugno 2004).
L'intervento del Garante solleva alcune perplessità e spunti critici che ho ritenuto di sviluppare nel seguito.

1. Data di prima formazione del documento programmatico sulla sicurezza per i soggetti non tenuti in precedenza
Il Garante ha precisato che la data è quella del 30 giugno. Tale chiarimento appare condivisibile, ed anche rassicurante data l'autorevole provenienza, anche se non risultava del tutto necessario.
In effetti, l'art. 180 del codice appare chiaro nello stabilire che le misure minime non previste dal DPR 318/99 devono essere adottate entro il 30 giugno. Qualunque interpretazione differente sarebbe andata contro il testo normativo dell'art. 180 del codice ed anzi avrebbe vanificato, svuotato di significato, la norma transitoria in esso contenuta. Del resto il riferimento temporale contenuto nella Regola 19 dell'allegato B è riferito, anche se in modo non impeccabile, alla cadenza di aggiornamento del documento programmatico sulla sicurezza (DPS). Di ciò si ha riscontro, infatti, confrontando la nuova disposizione con l'omologa contenuta nel DPR 318/99, che infatti recitava "annualmente", con maggiore chiarezza in merito alle modalità temporali di aggiornamento.

2. Data di aggiornamento del documento programmatico sulla sicurezza per i soggetti già tenuti in precedenza
In questo caso l'interpretazione del Garante appare meno condivisibile, soprattutto da un punto di vista del diritto costituzionale.
In effetti, la disposizione transitoria di cui all'art. 180 del codice, che consente l'adozione delle nuove misure minime di sicurezza entro il 30 giugno 2004, non si applica, chiaramente, a tutti quei soggetti che erano già tenuti alla redazione ed all'aggiornamento del DPS in forza del DPR 318/99. Per questi soggetti la regola 19 dell'allegato B del codice dovrebbe applicarsi dal 1 gennaio 2004, data di entrata in vigore del codice ai sensi di quanto disposto dall'art. 186 del medesimo codice.
Pur se apprezzabile la "proroga" (gentilmente) concessa da Garante, molto probabilmente in considerazione del ristretto lasso di tempo intercorrente tra la data del 31 marzo e quella del 30 giugno e delle (ridotte ) conseguenze sostanziali di un tale rinvio, viene da domandarsi: 1) in base a quale potere il Garante possa stabilire un rinvio del termine di aggiornamento di una misura di sicurezza obbligatoria per legge, la cui mancata adozione è sanzionata penalmente? e 2) quale potrebbero essere le valutazioni di un organo inquirente nel caso di rilievo della mancata adozione degli aggiornamenti entro la data prevista dalla legge (31 marzo)?.

3. Indicazione nella relazione accompagnatoria al bilancio della redazione o aggiornamento del DPR
Il Garante ha interpretato come dovuta tale indicazione sin dal bilancio sull'esercizio 2003. Diverse sono le difficoltà che vengono in rilievo in questo caso.
Innanzitutto la regola 26 dell'allegato B al codice reca una prima difficoltà nello stabilire concretamente in quale parte del bilancio sia dovuta tale indicazione: se nella "relazione sulla gestione" ovvero nella "nota integrativa". Inoltre, appare difficile comprendere il riferimento del Garante al "bilancio 2003": evidentemente si è considerato solo il caso dell'esercizio sociale coincidente con l'anno solare, senza tenere conto che sono possibili anche altre situazioni (diversi sono i soggetti che, in ragione della natura della loro attività d'impresa, hanno esercizio sociale non coincidente con l'anno solare).

Più ancora, l'intepretazione del Garante non appare pienamente convincente. Se è vero che tale indicazione è una misura minima di sicurezza (regola n. 26 dell'allegato B al codice), ed in particolare se è vero che essa deve qualificatsi come "nuova", dato che non era contemplata dal precedente DPR 318/99, come affermato dallo stesso Garante nel parere alla Confindustria ("In questo quadro, il codice ha introdotto una nuova regola ."), allora si dovrebbe concludere che ad essa si debba applicare il regime transitorio previsto dall'art. 180 del codice, il quale permette l'adozione entro il 30 giugno. In altre parole, l'indicazione in questione sarebbe dovuta solo per quelle relazioni accompagnatorie approvate dopo il 30 giugno 2004.

Si potrebbe obiettare che ai fini pratici la cosa ha poco rilievo, dato che chi non era tenuto alla formazione del DPS nel 2003 non farà menzione di tale circostanza nella relazione accompagnatoria al bilancio 2004; chi invece già era tenuto alla formazione o aggiornamento del DPS nel 2003 non verrà gravato di un particolare onere (dovendo semplicemente confermare un adempimento già svolto).
Una simile considerazione sarebbe accettabile e condivisibile solamente se vi fosse assoluta chiarezza in merito ai soggetti che, prima dell'entrata in vigore del nuovo codice, erano onerati o meno della formazione del DPS.

4. Soggetti precedentemente assoggettati dall'obbligo di formazione ed aggiornamento del documento programmatico sulla sicurezza
Come noto l'art. 3 del DPR 318/99 conteneva una delle disposizioni più insidiose da interpretare, sulla quale si sono misurati numerosi e valenti giuristi ed esperti di sicurezza informatica.
In estrema sintesi, il combinato disposto dell'art. 3 e dell'art. 6 del DPR 318/99 determinava l'obbligo del documento programmatico sulla sicurezza (solamente) per i soggetti che trattavano dati di cui all'art. 22 (sensibili) e 24 (giudiziari) della legge 675/96 mediante "elaboratori accessibili mediante reti di telecomunicazioni disponibili al pubblico". E proprio su quest'ultima espressione sono sorti (profondi) dubbi interpretativi.
Per quanto mi consta (è sempre possibile, tuttavia, una svista), non mi risulta che sia mai stata fornita interpretazione ufficiale da parte del Garante in merito a tale disposizione.

Unico riferimento disponibile parrebbe quello contenuto in un documento del valente dott. Berghella, in tema di misure minime di sicurezza dei dati personali [http://www.studigiuridici.unile.it/Master0002/Documenti/Berghella.pdf], nel quale vengono riferite alcune interpretazioni che sarebbero emerse in merito all'espressione in questione.
Ebbene, viene citato, in particolare, che nel corso di un seminario organizzato dalla Confindustria il 29 novembre 1999, nella sintesi riportata sul quotidiano Italia Oggi del 1. dicembre 1999, il segretario del Garante avrebbe espresso la seguente interpretazione "Tutti gli elaboratori che utilizzano reti di telecomunicazioni accessibili al pubblico, anche se con un sistema di protezione o per un tratto soltanto, sono soggetti al documento programmatico". Cita ancora Berghella, nel medesimo documento, un ulteriore chiarimento apparso sul quotidiano Il Sole 24 Ore del 2 dicembre 1999, nel quale viene riferita una dichiarazione sempre attribuita al segretario del Garante, secondo la quale ". per rete accessibile si deve intendere anche quella dedicata che però viaggia con modalità pubbliche. Per esempio, una rete aziendale, accessibile solo ai dipendenti, ma che per i collegamenti utilizza le normali reti telefoniche, è potenzialmente accessibile al pubblico e dunque deve approntare il documento programmatico".

Come evidente, riuscire a stabilire esattamente il significato dell'espressione in questione ci conduce a determinare con esattezza i soggetti che erano tenuti, nel regime del DPR 318/99, a formare ed aggiornare il DPS. E sulla base di tali conclusioni, ci conduce ulteriormente a determinare a quali soggetti si applichi sin da subito l'obbligo di indicare nella relazione accompagnatoria al bilancio 2003 l'avvenuto aggiornamento del DPS, giusta interpretazione del Garante che "anticipando" tale adempimento, perpetra il dubbio che il nuovo codice avrebbe di per sé consentito di superare.

Dato che l'obbligo di formare il DPS si estende, a partire dal 30 giugno 2004 a tutti i soggetti che trattano dati sensibili o giudiziari, indipendentemente dal tipo di connessioni utilizzate, l'obbligo di indicazione nella relazione accompagnatoria al bilancio 2004 (per seguire la terminologia utilizzata dal Garante nel parere reso a Confindustria) non avrebbe creato nessun problema di sorta dato che la distinzione circa le tipologie di connessione tra elaboratori sarebbe stata del tutto ininfluente. Viceversa, anticipando l'indicazione nella relazione al bilancio 2003, tale distinzione assume rilievo fondamentale. Lo sforzo del nuovo codice di superare la difficile distinzione che appariva "sepolta" definitivamente, viene così vanificato con sgradita opera di "reviviscenza" giuridica.

A mio sommesso avviso, l'interpretazione da fornire all'espressione "elaboratori accessibili mediante reti di telecomunicazioni disponibili al pubblico" dovrebbe essere tuttavia restrittiva, similmente a quanto sostenuto nell'articolo "Sicurezza e reti "disponibili al pubblico"" di Daniela Redolfi e Fabrizio Veutro, in Interlex del 13.01.2000. Osservato - e sottolineato - che sono le reti, e non gli elaboratori, a dover essere "disponibili al pubblico", l'espressione dovrebbe includere solamente tutte quelle situazioni in cui sono presenti elaboratori direttamente accessibili mediante una rete pubblica nella nozione sopra chiarita ad opera del segretario del Garante (pur se con qualche vistoso errore, probabilmente attribuibile alla trascrizione giornalistica, dato che la norma, come osservato, non parlava di "reti accessibili al pubblico", bensì di "elaboratori accessibili mediante una rete disponibile.".

In altre parole, dovrebbe colpire solamente quei soggetti che disponevano di elaboratori connessi tra di loro tramite reti geografiche (wide area network - WAN) costituite, in tutto o in parte da reti di telecomunicazione realizzate da operatori di telecomunicazioni e messe a disposizione del pubblico (pur se protetti da sistemi di accesso di tipo firewall e/o da sistemi di protezione del traffico, es VPN).
Non dovrebbe, viceversa, colpire tutti quei soggetti che disponevano di una rete locale (local area network - LAN), pur se collegata in qualche modo verso reti esterne pubbliche, sia tramite modem punto a punto, sia anche con accesso a internet mediante connessione ad un Internet service provider (ISP).
Se si accedesse all'interpretazione che qualunque soggetto che disponeva di una LAN, comunque connessa al "mondo" esterno, utilizzava per forza di cose "elaboratori accessibili mediante reti di telecomunicazioni disponibili al pubblico", allora si dovrebbe ritenere obbligatoria per tutti questi soggetti la redazione del DPS già nel regime dell'abrogato DPR 318/99 (naturalmente per il solo caso di trattamento di dati sensibili o giudiziari).

Si giungerebbe, tuttavia, in tal modo, all'assurda conclusione che in pratica la proroga al 30 giugno 2004 per la prima redazione del DPS sarebbe applicabile solo per quei soggetti che 1) non avevano elaboratori connessi in rete prima di tale data (?) oppure disponevano di una LAN totalmente isolata, senza assolutamente alcun collegamento con l'esterno (?); ovvero, 2) non avevano mai trattato dati sensibili o giudiziari prima del 1 gennaio 2004.
E di questo passo si giungerebbe a stabilire che tutti i soggetti che trattavano dati sensibili o giudiziari prima del 1 gennaio 2004, con esclusione solo delle eccezionali situazioni di totale "segregazione" informatica (nessun collegamento con il mondo esterno), sarebbero tenuti all'inclusione dell'indicazione dell'aggiornamento del DPS nella relazione accompagnatoria al bilancio 2003. Se così fosse, tuttavia, le distinzioni operate dal codice, ed anche nel parere nel Garante reso alla Confindustria, parrebbero superflue e prive di significato.

Per questo motivo preferisco concludere che 1) l'obbligo del DPS nel precedente regime dettato dal DPR 318/99 colpiva solo ben determinati soggetti, vale a dire quelli che disponevano effettivamente elaboratori ai quali si poteva accedere legittimamente, vale a dire senza disattivare illecitamente sistemi o strumenti di protezione, mediante reti di telecomunicazioni liberamente messe a disposizione del pubblico; ed altrettanto che, 2) solo i medesimi soggetti sono onerati ora dell'obbligo dell'indicazione dell'avvenuto aggiornamento nella relazione accompagnatoria al bilancio 2003.
 

* Avvocato in Milano, partner Studio Legale Tributario - EYLaw - Responsabile del dipartimento di diritto dell'informatica