La legge 675/96 impone all'articolo 15 l'obbligo di adottare misure di sicurezza atte a proteggere i dati dal rischio che soggetti terzi non autorizzati accedano ai dati stessi manomettendoli, o che di essi venga fatto un uso non conforme alle finalità del trattamento. L'idoneità delle misure di sicurezza deve essere valutata in relazione alle finalità del trattamento, alla natura e alla qualità dei dati. Da un lato, quindi, la sicurezza è in funzione delle caratteristiche proprie del patrimonio informativo da proteggere, dall'altra la qualità pone le regole del controllo dei dati in funzione di sicurezza. Il rapporto tra qualità e sicurezza si rivela irriducibile a distinzione nette.

Della qualità non si rinvengono che indici, scale, fattori, e quant'altro serva a misurarla, a controllarla, a stabilire il rispetto della soglia oltre la quale essa esiste, non si dà viceversa alcuna definizione utile a comprendere cosa essa sia.
Nella legge n. 675/96 il concetto di qualità attiene ai requisiti (esattezza, pertinenza, non eccedenza, etc.) che i dati devono possedere in rapporto alle finalità del trattamento effettivamente perseguite, cioè essa si risolve nel rispetto di una regola convenzionale. Tuttavia per garantire che i dati abbiano determinati requisiti è necessario che il titolare adotti anche idonee misure di sicurezza.
Senza voler negare che la qualità abbia una propria autonomia concettuale, v'è infatti da rilevare che esiste, per così dire, una zona grigia di derivazione e di implicazione reciproca. E ciò accade ad esempio quando si parla di affidabilità del dato. Un dato si ritiene affidabile quando di esso si può dire che è come si rappresenta. Ma quando il dato è affidabile? Quando è rappresentato come esatto, integro e pertinente ovvero quando è protetto da misure di sicurezza che riducono il rischio che venga alterato?

La legge 675/96 enuncia all'articolo 9 le modalità di raccolta e i requisiti dei dati personali. Al titolare è fatto obbligo innanzitutto di raccogliere i dati per scopi "determinati, espliciti e legittimi, ed utilizzati in altre operazioni del trattamento in termini non incompatibili con tali scopi" (art. 9, lett. b).
L'aderenza allo scopo costituisce sia il presupposto di legittimità della raccolta di dati, sia il limite al trattamento degli stessi. Solo con riferimento alle finalità del trattamento è quindi possibile verificare la qualità dei dati, nel senso che i dati oggetto del trattamento sono solo quelli "pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono raccolti o successivamente trattati" (art. 9, lett. d). In nessun caso il titolare può utilizzare i dati oltre quel confine che è impresso dallo scopo e che costituisce, pertanto, un vincolo di destinazione sui dati.

A confermare una relazione sì stringente tra finalità del trattamento e qualità dei dati sono le norme che impongono al titolare gli obblighi di notificazione (articolo 7) e di informativa (articolo 10), rispettivamente al Garante e all'interessato. La notificazione consente in via preventiva di controllare la legittimità del trattamento; l'informativa oltre ad assolvere ad una autonoma funzione di trasparenza, permette all'interessato di verificare che i dati richiesti siano pertinenti rispetto agli scopi dichiarati. Si ricordi, del resto, che il diritto di accesso riconosciuto all'interessato e gli altri diritti ad esso connessi rappresentano, a chiusura del cerchio, il riflesso sul piano procedimentale delle norme sostanziali dettate a presidio del principio di finalità.

Premesso, dunque, che il principio di finalità legittima e vincola tutto il trattamento dei dati, la legge ha previsto una serie di norme per evitare che la normativa venga di fatto aggirata nelle varie operazioni del trattamento. A far salvo il principio di finalità, la legge impone al titolare di procedere ad una nuova notificazione qualora vi sia un mutamento delle finalità e delle modalità del trattamento (art. 7, co. 2); di utilizzare i dati in altre operazioni del trattamento "in termini non incompatibili" con gli scopi previamente dichiarati (art. 9, co. 1, lett. b); di cedere i dati ad altro titolare, "purché destinati ad un trattamento per finalità analoghe agli scopi per i quali i dati sono stati raccolti" (art. 16, co. 2, lett. b).

Premesso che non tutti i dati possono essere raccolti, ma tutti e solo quelli strumentali al raggiungimento dello scopo, il criterio in base al quale i dati vengono raccolti risulta essere la pertinenza, ovvero l'essere del dato inerente alla finalità del trattamento.
Con la pertinenza si usa indicare, in termini generali, la qualità di ciò che è destinato al servizio della cosa principale. I dati sono pertinenti in quanto sono destinati a servire quel determinato scopo. La pertinenza del dato rispetto allo scopo non può risultare, per così dire, a posteriori, una volta raccolti tutti i dati potenzialmente utili allo scopo, ma deve ritenersi il criterio in base al quale si procede alla selezione dei dati nella fase di raccolta. Né del resto tutti i dati potenzialmente destinati a servire lo scopo potrebbero risultare in concreto utili, dunque ciò comporta che nella fase di progettazione dei data base particolare attenzione dovrà essere rivolta proprio alla cosiddetta analisi dei dati.
In particolare nella fase di raccolta, ove si assuma che l'obbligo del titolare di trattare dati non eccedenti sia da intendere nel senso che il trattamento debba riguardare solo i dati che offrano un'utilità massima, potranno essere raccolti solo quelli che siano al contempo necessari e sufficienti, e ciò perché solo quelli strettamente necessari offrono una tale utilità. Sono necessari e sufficienti, infatti, quei dati la cui rinuncia risulta essere di ostacolo al raggiungimento dello scopo perseguito. Stando alle regole generali dell'economia, per ogni dato che viene successivamente raccolto, cresce anche l'utilità che si ricava dalla lettura complessiva dei dati, tuttavia detta utilità cresce in misura meno che proporzionale rispetto ad ogni dato addizionale. In altri termini i dati successivamente raccolti, che si riferiscano allo stesso oggetto, soddisfano un interesse alla conoscenza sempre meno importante, cioè aggiungono sempre meno utilità, sì da far ritenere inutile e ingiustificato il sacrificio della riservatezza dell'individuo con un'aggiunta di dati superflui rispetto a quella sufficiente per raggiungere lo scopo.

La "necessità" del dato diventa in questo senso una clausola di chiusura con la quale misurare, con riferimento alla finalità, ciò che è strettamente indispensabile e non può non essere tale. Ne deriva che tutto ciò che eccede non è, ontologicamente, necessario e sufficiente, e se non lo è, nemmeno deve essere oggetto di trattamento.
La definizione dello scopo segna anche un limite temporale. I dati non possono essere trattati per un tempo indefinito, ma solo "per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati" (art. 9, lett. e). Con il che s'intende che una volta esaurito quel rapporto strumentale di cui si è detto, perché i dati non sono più utili al raggiungimento dello scopo, ovvero questo è da considerarsi irraggiungibile, deve procedersi alla immediata cancellazione dei dati o alla loro trasformazione in forma anonima, venendo meno la ragione che giustifica una compressione del diritto alla riservatezza. Senza considerare, peraltro, che la conservazione dei dati oltre il tempo necessario, quando i dati non siano anche eccedenti e non pertinenti, risulta fortemente diseconomica in termini di gestione patrimoniale del trattamento.

La sicurezza dei dati

Resta da affrontare l'altro termine del rapporto, quello relativo alla sicurezza.
Come anche per il principio di finalità e qualità dei dati, il legislatore ha dettato in materia di sicurezza una disciplina generale che il soggetto titolare del trattamento, deve rispettare in ogni caso. L'obbligo di adottare misure di sicurezza, al pari di quello che impone di trattare solo dati pertinenti rispetto allo scopo perseguito, è infatti generale e inderogabile: generale in quanto si applica ai dati indipendentemente dal mezzo con cui essi vengono trattati (articolo 5); inderogabile in quanto grava anche sui soggetti titolari di trattamenti cd. particolari, cioè di quei trattamenti che, per altri aspetti, sono sottratti dall'ambito di applicazione della legge (articolo 4, co. 2).

L'articolo 15 sulla "sicurezza dei dati" impone al titolare di adottate misure idonee a ridurre il rischio, sia pure involontario, di distruzione o perdita dei dati, e ciò in ragione del fatto che ogni alterazione del dato nella sua consistenza logico - fisica è essa stessa una modifica del suo contenuto informativo. A ben vedere del contenuto informativo si è già detto con riferimento ai requisiti dei dati cioè alla loro qualità (esatti, aggiornati, pertinenti, etc.). In tema di sicurezza, infatti, il dato è sicuro in quanto sia anche integro, esista per ciò che è, abbia una propria identità.

Quid iuris nel caso in cui quel dato venga perso? E se quel dato non fosse altrimenti disponibile? Se è vero che l'adozione delle misure di sicurezza non può andare disgiunta dalla considerazione della natura del dato, è altresì vero che la perdita del dato risulta commisurata piuttosto alla sua disponibilità. Posto che minore è la disponibilità del dato, maggiore è il suo valore, deve ritenersi che la gravità del danno che derivi dalla sua perdita sia inversamente proporzionale alla sua disponibilità. Ove invece vi fosse sì perdita del dato, e non anche danno di terzi perché il dato è altrimenti disponibile, il fatto dovrà comunque imputarsi al titolare?

È significativo che l'Autorità per l'informatica nella pubblica amministrazione abbia detto della sicurezza che essa non si aggiunge ab extra al dato, ma ne costituisce un elemento inscindibile, sia "l'in sé del dato" (G. M. Rey, Non c'è privacy senza sicurezza). Tuttavia si ritiene che la sicurezza dei dati non esaurisca completamente l'ambito e la portata delle norme di legge e, quindi, senza dare della legge una lettura che riduca la tutela dei dati personali ad un problema tecnico di sicurezza dei dati, viene da chiedersi se la qualità non sia anch'essa ciò che il dato è in sé. Ben si potrebbe sostenere invece che la sicurezza dei dati, intesa come idoneità delle misure predisposte a proteggere fisicamente i dati personali, rappresenterebbe quella proprietà del sistema o anche quella condizione tecnica che, garantendo la qualità dei dati, tutela nello stesso tempo anche la riservatezza e l'identità della persona nei dati che la rappresentano.

La norma dell'articolo 15 fa obbligo al titolare di adottare misure idonee anche al fine di ridurre il rischio "di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta". Non v'è dubbio che questa sia anche la ratio della norma dell'articolo 9: evitare che il titolare del trattamento possa raccogliere e utilizzare dati oltre la finalità per la quale il trattamento è ammesso.
Né può sostenersi che le norme in tema di sicurezza siano poste solo a difesa di soggetti terzi, estranei all'attività di trattamento, i quali riescano ad introdursi abusivamente in un sistema informativo e a manomettere i dati. L'accesso non autorizzato ai dati è di fatto un problema che riguarda sia la sicurezza esterna che quella interna ai sistemi di dati e quest'ultima è tanto più insidiosa quanto risulta sottovalutata. Può accadere, del resto, che il trattamento di dati eccedenti rispetto alle finalità del trattamento verifichi il rischio che un soggetto formalmente incaricato di trattare alcuni dati acceda suo malgrado a dati per i quali invece non sarebbe stato autorizzato, con ciò violando la riservatezza di terzi senza che ne sia personalmente responsabile.
Ad ogni modo, la sicurezza va intesa non nel senso che il titolare debba garantire comunque che i dati non siano distrutti, o che soggetti non autorizzati accedano a quei dati, ma più realisticamente consiste nell'adozione di misure idonee a ridurre il rischio che l'evento dannoso si verifichi.

L'intervento del Garante

Della rilevanza del ruolo della sicurezza ha dato conto anche il Garante per la tutela dei dati personali in occasione di un parere offerto all'AIPA su tematiche di comune interesse. Tuttavia in quell'occasione il Garante ha precisato che la sicurezza, che pure considera importante, non sarebbe da ritenere l'obiettivo primario della normativa introdotta dalla legge del '96, la quale a ben vedere avrebbe collocato sullo stesso livello di questa anche altre scelte organizzative, riferendosi in particolare alla valutazione delle finalità e delle modalità del trattamento, alla natura dei dati e alla compatibilità dei dati con gli scopi effettivamente perseguiti (GARANTE, in Cittadini e Società dell'Informazione, Bollettino, 1997, 2, pp. 51-53).