ISP: dal 29 marzo sanzioni
penali se mancano le "misure minime"
17.02.2000
Internet provider, attenzione: il terzo comma
dell'articolo 41 della legge 675/96
prescrive che le misure minime di sicurezza per il trattamento dei dati
personali devono essere adottate entro sei mesi dall'entrata in vigore del
relativo regolamento, previsto dall'articolo
15 della stessa legge. Il regolamento (DPR
318/99) è stato pubblicato sulla Gazzetta ufficiale il 14 settembre '99 ed
è entrato in vigore quindici giorni dopo, quindi il 29 marzo va a regime
(finalmente?) anche questo aspetto della legge.
Le norme riguardano tutti i soggetti che trattano
dati personali e sono graduate a seconda dei dati e della natura dei sistemi
informativi usati per il trattamento stesso (PC isolati, PC accessibili solo da
reti interne, sistemi accessibili anche dalla rete telefonica pubblica, secondo
un'interpretazione fondata più sul buon senso che sulle confuse definizioni del
testo - vedi Sicurezza e reti "disponibili al
pubblico").
Gli internet provider, per la natura del servizio prestato, trattano dati
personali su elaboratori accessibili dalla rete pubblica, in particolare per
quanto riguarda la posta elettronica e le procedure di autenticazione degli
abbonati, oltre ai LOG degli accessi. Quindi sono tenuti ad adottare il livello
più alto di protezione, compresi gli adempimenti previsti dagli articoli
5 e 6, perché è possibile che nei LOG siano presenti dati
"sensibili" (accesso a siti con contenuti che possono rivelare stato
di salute, abitudini sessuali ecc.).
Dunque è necessario approntare il piano di
sicurezza (anzi, secondo la stravagante definizione del regolamento, il
"documento programmatico sulla sicurezza"), nel quale devono essere
scrupolosamente indicate tutte le misure adottate per la protezione logica e
fisica, a cominciare dai "criteri tecnici e organizzativi per la protezione
delle aree e dei locali interessati dalle misure di sicurezza nonché le
procedure per controllare l'accesso delle persone autorizzate ai locali
medesimi".
Tutto questo potrebbe comportare, in molti casi, una completa riorganizzazione
delle struttura, con conseguenze pesanti sull'operatività.
In linea di principio è corretto impostare la struttura di un sistema
informativo sulla base di stringenti requisiti di protezione. Ma dovrebbero
essere misure efficaci, non mere formalità (come quella dell'antivirus
aggiornato ogni sei mesi), il cui rispetto assicura la sicurezza legale, non
quella reale.
Il vero problema è che ci troviamo di fronte a
norme di rilevanza penale: secondo l'articolo
36 della legge, chi "omette di adottare le misure necessarie a
garantire la sicurezza dei dati personali, in violazione delle disposizioni dei
regolamenti di cui ai commi 2 e 3 dell'articolo 15, è punito con la reclusione
sino ad un anno. Se dal fatto deriva nocumento, la pena è della reclusione da
due mesi a due anni".
Non vale adottare misure più efficaci di quelle previste dal regolamento: chi
non rispetta le norme può finire davanti a un magistrato, anche se ha adottato
precauzioni "allo stato dell'arte". Si dovrà vedere, naturalmente,
che cosa ne penserà il giudice. Ma è facile immaginare che nessuno abbia
voglia di essere il primo a saperlo...
(M. C.) |
Pagina stampabile
