I recenti casi di intrusione in alcuni siti della pubblica amministrazione richiamano l'attenzione sui rischi che possono derivare dalla mancata adozione di efficaci misure di sicurezza.
Il rischio non è solo quello generico dell'attacco "frontale" al sistema di protezione dei dati, che dovrebbe essere al primo posto nelle preoccupazioni di ogni titolare del trattamento e amministratore di sistema, anche quello indiretto e casuale non è meno insidioso. Si pensi in particolare all'eventualità che estranei accedano alle informazioni in situazioni apparentemente non critiche.

E' un dato dell'esperienza quotidiana di ciascuno di noi che nella maggior parte degli uffici pubblici vi sia una assoluta mancanza di sicurezza, di quella veramente minima come la distanza di cortesia. Il cittadino che voglia accedere ai propri dati può farlo, ma solo a condizione di esibire un documento di identità, naturalmente in nome della privacy. Curioso che nessuno si accorga che di fatto quella stessa privacy non venga garantita, o meglio che a nulla valga investire nell'impiego di tecnologie altamente sofisticate se di fatto chiunque, avvicinandosi ad una postazione di servizio, venga messo nelle condizioni di accedere a dati riservati.
Basterebbe rivolgere i monitor verso il muro, o mettere dietro la postazione di accesso ai dati un pannello, pure con un messaggio pubblicitario, o segnalare con un cordolo o con una banale striscia gialla la distanza di cortesia. Basterebbe forse solo un po' di buon senso.

Accade così che a distanza di tre anni dalla sua entrata in vigore, la legge n. 675/96, almeno per la parte relativa alle misure di sicurezza, non venga pienamente rispettata. E non si tratta certo di una violazione di poco conto. La mancata adozione delle misure di sicurezza, anche di quelle minime, non configura soltanto una responsabilità penale in capo al titolare che ancora non vi abbia provveduto ma, ciò che è più grave, svuota di significato l'impianto stesso della legge. Come considerare altrimenti una legge che mira a garantire la riservatezza, l'identità personale, e la dignità della persona rispetto al trattamento di dati ma non offre anche adeguate garanzie sui soggetti che vi accedono e sulle finalità per le quali essi vengono utilizzati?

C'è da chiedersi innanzitutto se quelle misure siano davvero così minime anche considerando che allo stato attuale non vengono garantite nemmeno quelle più banali.
La distanza di cortesia, per tornare all'esempio, non è ancora prassi consolidata. Né può negarsi che delimitare con una striscia gialla o con un cordolo uno spazio vuoto sia tanto di più del minimo richiesto. Eppure la distanza di cortesia è da ritenersi misura di sicurezza idonea ai sensi dell'articolo 15, comma 1: delimitando lo spazio fisico necessario per svolgere un'operazione di sportello in modo riservato, la distanza di cortesia impedisce infatti che terzi si avvicinino a quella postazione di servizio e da quella accedano ai dati. Il che, come si è detto, potrebbe accadere in barba alle più sofisticate misure tecniche che fossero state per ipotesi predisposte. La tutela della riservatezza può essere, paradossalmente, qualcosa di meno che sensibilizzare il proprio dipendente a non lasciare la password bene in vista. Certo, una misura non esclude l'altra, anzi il contrario: la "sicurezza" del sistema è l'insieme delle misure adottate. Verrebbe da dire con una saggezza tutta orientale che "un lungo viaggio comincia da sotto i piedi" (Lao Tze), e dare allora a questa legge sì tanto spirituale un po' di fisicità...

La mancata adozione delle misure di sicurezza, intesa questa come sicurezza dei dati e non solo dei sistemi, implica una serie di ricadute che esulano dall'ambito di applicazione della legge e ciò anche quando l'accesso ai dati da parte di soggetti non autorizzati avvenga al di fuori di ipotesi fraudolente.
Ben s'intende il caso in cui i dati vengano utilizzati per finalità non consentite o non conformi alle finalità del trattamento da parte di soggetti che abusivamente abbiano avuto accesso ai dati. Nel caso di dati che rivelano le convinzioni religiose, l'orientamento politico o lo stato di salute, l'accesso e l'utilizzo di questi dati può essere veicolo di abuso al momento della stipula di un contratto di lavoro, di assicurazione, di assistenza sanitaria, e tale da attivare un meccanismo di esclusione sociale nei confronti dei soggetti più deboli, non solo contrattualmente.

Inoltre anche la perdita accidentale di dati può comportare una lesione dei diritti della persona. Quid iuris nel caso in cui si verifichi una perdita di dati relativi alla posizione previdenziale di un determinato soggetto? E nel caso di un trasferimento di fondi? Sono ben note, per esempio, le conseguenze che derivano dall'accesso alle informazioni relative alla propria posizione bancaria.

Si è ripetuto che la perdita di dati può essere accidentale (ma esiste una perdita "non accidentale")? Sul punto le misure imposte dal DPR 318/99 sono, queste sì, veramente minime. L'aggiornamento semestrale degli antivirus è del tutto inefficace rispetto al tasso di diffusione dei virus. Lo stesso decreto non dice nulla su un altro obbligo fondamentale, quello di aggiornare il software con le patch (letteralmente "pezze") rilasciate dai produttori per coprire i buchi di sicurezza a mano a mano che vengono scoperti e segnalati. Esistono patch che devono essere assolutamente installate per garantire la sicurezza del sistema e rispetto alle quali il produttore che le abbia rilasciate si libera di ogni responsabilità per i danni che dovessero verificarsi a causa della loro mancata installazione