Pagina pubblicata tra il 1995 e il 2013
Le informazioni potrebbero non essere più valide
Documenti e testi normativi non sono aggiornati

 

 Tutela dei dati personali - Legge 675/96

Misure minime di sicurezza: promemoria per i titolari
07.12.2000

Vedi anche:
Le disposizioni sulla sicurezza e le note del Garante

Sono molte le e-mail che arrivano in questi giorni con richieste di aiuto per l'applicazione delle disposizioni sulle misure minime di sicurezza. Purtroppo non possiamo dare risposte individuali, e soprattutto per questo problema, che richiede di volta in volta un'analisi molto accurata della situazione specifica. Cerchiamo comunque di rispondere in questa pagina ai quesiti di carattere generale, considerando che fra tre giorni scade il termine per il "documento di proroga" per l'adozione delle misure minime di sicurezza nei trattamenti dei dati personali, previsto dalla legge 325/00, e il 30 dicembre è l'ultimo giorno utile per l'adozione effettiva di tutti gli accorgimenti previsti dal DPR 318/99. Infatti il 31 è domenica e, considerando le festività e i "ponti" in arrivo, restano meno di quindici giorni per mettersi in regola.

La situazione è obiettivamente difficile per chi non ha ancora messo mano agli adempimenti prescritti, anche perché dalle autorità competenti non è arrivata nessuna spiegazione utile per risolvere i dubbi sollevati dalla normativa, che tante volte abbiamo segnalato in queste pagine. Si tratta di applicare a situazioni tecnicamente definite una serie di norme tecnicamente inattendibili, o che appaiono tecnicamente inefficaci. E' necessario partire dallo schema del sistema di elaborazione dei dati, analizzare le caratteristiche della rete e i possibili punti di accesso dall'esterno, individuare le stazioni di lavoro abilitate, compiere un'analisi dei rischi, identificare gli incaricati del  trattamento e quindi, anche in relazione alle classi di dati, ridisegnare tutto lo schema con la corretta policy delle abilitazioni all'accesso agli archivi (distribuzione dei compiti e delle responsabilità). Dunque è impossibile dettare regole generali.

Tuttavia, considerando che molte domande riguardano gli aspetti generali del problema, ecco cinque punti, utili almeno per inquadrare correttamente la situazione.

1. Misure minime, sanzioni penali e responsabilità civile

La sanzione penale (fino a un anno di reclusione, art. 41 della legge 675/96) si applica per la semplice mancata adozione, entro il 31 dicembre 2000, delle misure previste dal DPR 318/99. Se poi qualcuno subisce un danno a causa del mancato adempimento, la pena arriva a due anni.
Ma l'applicazione delle misure minime non mette al riparo dalla responsabilità civile, perché l'art. 18 della legge 675/96 stabilisce che "chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell'articolo 2050 del codice civile". Significa che il titolare del trattamento deve risarcire il danno "se non prova di avere adottato tutte le misure idonee a evitare il danno". Quindi non bastano le misure "minime".

2. La legge sul documento di proroga rinvia solo l'applicazione delle sanzioni penali

Il termine per l'adozione delle misure minime previste dal DPR 318/99 scadeva il 29 marzo scorso. La legge 325/00 ha effetto retroattivo, perché è stata emanata dopo la scadenza, e ha subordinato il rinvio alla redazione di un documento "con data certa" in cui siano descritte le misure da adottare o che sono in corso di adozione. Il termine scade il 10 dicembre prossimo, domenica, e quindi l'ultimo giorno utile per l'apposizione della "data certa" al documento è lunedì 11 (vedi il provvedimento del Garante del 5 dicembre).
Tutto questo non influisce sulla responsabilità civile: se, prima del 31 dicembre, un interessato ha subito un danno da un trattamento, si applica comunque l'articolo 18 della 675.

3. Il documento di proroga non è il "documento programmatico"

Tutti i titolari che non hanno provveduto all'adozione delle misure minime entro il 29 marzo sono tenuti alla redazione del documento di proroga, per evitare sanzioni penali fino al 31 dicembre. Questo documento non costituisce e non sostituisce il "documento programmatico sulla sicurezza" previsto dall'art. 6 del DPR 318/99, che deve essere preparato e rivisto con cadenza annuale solo per determinati trattamenti.

4. Chi è tenuto alla predisposizione del "documento programmatico sulla sicurezza"

Secondo l'articolo 6 del DPR 318/99, il "documento programmatico" deve essere predisposto solo nel caso di trattamento dei dati sensibili e (artt. 22 e 24 della legge 675)  effettuato mediante elaboratori "accessibili mediante una rete di telecomunicazioni disponibili al pubblico", secondo la definizione dell'articolo 3, comma 1, lettera b). Cioè, secondo un'interpretazione basata più sul buon senso che sulla lettera confusa e imprecisa nella norma, quando i dati sono memorizzati in un sistema in qualche modo collegato all'internet o ad altri sistemi di consultazione a distanza. Quindi non nel caso di una intranet e tanto meno nel caso di sistemi isolati.
Tuttavia un "piano di sicurezza" può essere comunque utile, soprattutto in vista di possibili azioni civili, come elemento di prova dell'adozione di "tutte le misure idonee".

5. Che cosa c'è oltre le misure "minime"

In ultima analisi le misure minime elencate dal DPR 318/99 costituiscono una formalità che serve solo ad allontanare il rischio di sanzioni penali, ma non risolvono i veri problemi della sicurezza dei dati personali. Il titolare che voglia realmente mettersi al riparo, nei limiti del possibile, da "furti", perdite o alterazioni di dati, deve necessariamente prendere in considerazione altre misure. Fra queste, sono particolarmente importanti:
a) le copie di sicurezza, custodite in sistemi non accessibili dall'esterno e possibilmente in postazioni remote;
b) l'aggiornamento degli antivirus a cadenze ravvicinate (massimo trenta giorni);
c) i sistemi di controllo degli accessi dall'esterno (analisi della rete, installazione di firewall o simili accorgimenti), perché le password per gli incaricati non danno nessuna protezione contro gli accessi esterni tramite backdoor  o tramite modem presenti su qualsiasi elaboratore della rete (vedi La legge 675/96 e i requisiti di sicurezza: aspetti organizzativi e tecnici) ;
d) i piani di disaster recovery, necessari non tanto per assicurare l'integrità dei dati (per questo bastano le copie di sicurezza), quanto per garantire la continuità dei trattamenti. Infatti anche dall'interruzione dei trattamenti possono derivare danni per gli interessati, con le conseguenze già viste sul piano civile.

 
Altre pagine sull'argomento:
La legge 675/96 e i requisiti di sicurezza: aspetti organizzativi e tecnici di Paolo Nuti - 16.07.97
Misure veramente "minime" di Andrea Monti - 02.09.99
Tecnologia e protezione dei dati: qualcosa non funziona di Manlio Cammarata - 02.09.99
Cosa deve intendersi per "elaboratore accessibile in rete"? di Fabrizio Veutro e Daniela Redolfi - 21.10.99
L'approccio penale alla sicurezza informatica di Gianni Buonomo - 04.11.99
Tra il massimo del minimo e il minimo del massimo di Manlio Cammarata - 04.11.99
Sicurezza e reti "disponibili al pubblico" di Daniela Redolfi e Fabrizio Veutro - 13.01.2000
ISP: dal 29 marzo sanzioni penali se mancano le "misure minime" - 17.02.2000
Misure minime di sicurezza: in galera tra un anno? di Andrea Monti - 23.03.2000
Misure minime di sicurezza: per adesso non cambia nulla - 13.04.2000
Il titolare del trattamento tra Scilla e Cariddi di Manlio Cammarata - 26.10.2000
Misure minime, il Tempo del legislatore di Daniele Coliva - 16.11.2000