Il regolamento sulle misure minime di sicurezza per il trattamento dei dati personali è una vera miniera di dubbi, come già diversi interventi in questa rivista hanno messo ben in evidenza (vedi Tecnologia e protezione di dati: qualcosa non funziona e Misure veramente "minime" ).
Quelle che seguono sono alcune considerazioni che, volendo contribuire al dibattito, cercano di inquadrare al meglio uno dei problemi interpretativi di rilievo del DPR in questione, cioè quello relativo a cosa debba intendersi per "elaboratore accessibile in rete".

Chi legga queste note potrebbe ritenere che si tratti di un "ardito esercizio", più o meno riuscito, di perditempo alle prese con casi di scuola. Al contrario, le difficoltà interpretative del regolamento sono tali che il suddetto esercizio è stato indotto da un quesito assolutamente realistico (oltre che reale): a quali misure di sicurezza è sottoposto il computer di un responsabile del personale di un'azienda che tratti alcuni dati sensibili del personale e utilizzi talvolta (piuttosto raramente) lo stesso per inviare messaggi di posta elettronica via Internet?
Quelle che seguono sono alcune osservazioni relative al primo aspetto da dipanare, quello cioè dell'accessibilità in rete del computer, a cui devono seguire (ma per questo si rimanda ad un altro intervento) le considerazioni in merito al concetto di rete disponibile al pubblico.

Come è noto, il DPR subordina alla verifica dell'accessibilità o meno in rete dell'elaboratore l'obbligo di adottare determinate misure di sicurezza. La vaghezza e l'indeterminatezza tecnica della definizione solleva diverse problematiche interpretative. In primo luogo occorrerebbe chiarire se l'accessibilità cui fa riferimento il testo normativo riguardi l'accessibilità all'elaboratore, cioè ad una qualunque parte dell'insieme hardware e software che lo compone, oppure ai dati registrati nei supporti di memoria dell'elaboratore stesso.

Oltre al dato testuale dei titoli delle Sez. I e II del Capo II, anche la lettera dell'art. 8 sembra condurre alla prima ipotesi, ove stabilisce che il trattamento per fini esclusivamente personali di dati sensibili è soggetto solo all'obbligo di proteggere l'accesso ai dati o al sistema mediante l'utilizzo di una parola chiave. Con questa norma, infatti, il legislatore sembra distinguere l'accesso "ai dati o al sistema" dall'accesso "all'elaboratore", ammettendo la possibilità che un elaboratore di per sé accessibile contenga dati non accessibili.
Pare quindi preferibile riferire l'accessibilità all'elaboratore come macchina hardware e software. Tuttavia, poiché questa conclusione conduce alle grandi complicazioni che si diranno di seguito, sarebbe opportuno che la questione fosse chiarita al di là di ogni dubbio.
Riguardo all'accessibilità in rete, la classificazione posta dai titoli delle sezioni I e II del regolamento contempla due possibilità:
- gli elaboratori non accessibili da altri elaboratori o terminali;
- gli elaboratori accessibili in rete.

L'identificazione dell'ambito di applicazione dei due titoli ricordati dipende a nostro avviso grandemente dalla definizione del termine "rete" e delle condizioni minime richieste per la sua esistenza ai fini dell'applicazione delle norme in questione. Il silenzio dell'art. 1, dedicato alle definizioni, riguardo al termine predetto appare una lacuna molto grave.
Com'è noto, secondo la definizione minima di rete essa consiste in due apparecchiature connesse attraverso un qualche medium e dotate di un hardware e di un software che permettono la comunicazione fra le due apparecchiature. La rete più semplice è composta da un elaboratore (server) e da un meccanismo di input/output (client), quello che presumibilmente il regolamento identifica come "terminale" (al minimo, una tastiera per l'input e un monitor per l'output).
Teoricamente, una definizione più complessa del termine "rete" potrebbe richiedere anche l'esistenza di altri elementi, come ad esempio un protocollo di rete. Le considerazioni che seguono, tuttavia, prendono a presupposto la predetta definizione minima, adottando la quale l'accessibilità "in rete" viene ad identificarsi con l'accessibilità "da altri elaboratori o terminali", perché un qualsiasi collegamento, comunque in essere, può essere definito una rete.

Infatti, il regolamento non contempla il caso dell'elaboratore accessibile da altri elaboratori o terminali in modo diverso dalla "rete". Pertanto, possiamo presumere che il testo di legge abbia considerato la definizione minima di rete suddetta e che preveda solo due casi antitetici, per cui da una parte avremo gli elaboratori "accessibili in rete", e dall'altra quelli "non accessibili in rete". La diversa formulazione del Titolo della sez. I, "elaboratori non accessibili da altri elaboratori o terminali" potrebbe avere lo scopo di chiarire quanto sopra detto e cioè che anche il collegamento fra un elaboratore e uno o più terminali è assimilabile al concetto di rete.

A questo punto, si pone il dubbio se "l'accessibilità" in rete sia contemplata come mera potenzialità dell'elaboratore o come concreto stato di fatto. Praticamente tutti gli elaboratori oggi sul mercato permettono di instaurare un qualche collegamento con altri elaboratori o dispositivi terminali. Questo collegamento, comunque fosse effettuato, potrebbe corrispondere alla nozione minima di rete sopra ricordata. Quindi, se considerassimo l'accessibilità come mera potenzialità dell'elaboratore, l'ambito di applicazione della sez. I risulterebbe estremamente esiguo, se non addirittura inesistente.
Per questo, sembra preferibile ritenere che la differenza fra il presupposto di applicazione della Sez. I e quello della Sez. II del Capo II consista nell'esistenza o meno di un effettivo ed attivo collegamento di rete, che conseguentemente permetta l'accesso all'elaboratore ove i dati sono trattati.

Tuttavia l'accessibilità in rete di un elaboratore, allo stato attuale della tecnica, non è una realtà statica. Le forme più moderne di trasmissione dati permettono infatti collegamenti in rete saltuari o eventuali che, quand'anche di breve durata, consentono finché esistono l'effettivo accesso all'elaboratore. Esempio tipico è la connessione alla rete Internet attraverso la linea telefonica. Altro esempio può rinvenirsi nei collegamenti ad infrarossi fra computer laptop e telefoni cellulari, che consentono di instaurare un collegamento in tempi brevissimi (e che peraltro spesso sono utilizzati proprio per il trasferimento di rubriche di dati personali).
Sembra doveroso chiedersi quindi se l'accessibilità in rete eventuale e/o temporanea ricada nella previsione dell'art. 2 o invece in quella dell'art.3.

Una prima tesi potrebbe muovere dall'art. 8, che sembra contemplare il problema, nel momento in cui prevede le misure per la sicurezza dei dati sensibili nel caso di elaboratori "stabilmente" accessibili da altri elaboratori. Alla luce di tale norma, dovrebbe concludersi che la condizione ulteriore della "stabilità" dell'accesso è stata presa in considerazione dal legislatore, ma non è stata volutamente inserita fra quelle previste dalle sezioni II e III. In quest'ottica, l'art. 3 prenderebbe in considerazione gli elaboratori accessibili in rete, anche non stabilmente e quindi anche per brevi periodi di tempo; l'art. 2 prenderebbe invece in considerazione gli elaboratori non accessibili, neanche per brevi periodi di tempo.
Se così fosse, la non accessibilità, neppure saltuaria, dovrebbe poter dipendere da una scelta del titolare del trattamento (l'alternativa sarebbe optare per la definizione più rigorosa, non dipendente dall'arbitrio di alcuno, per cui risulterebbe non accessibile l'elaboratore che sia radicalmente sprovvisto dei componenti hardware e/ software necessari a realizzare una qualunque connessione. Elaboratori, di questo genere, come si è detto prima, non esistono sul mercato, per cui dovrebbero essere creati appositamente, "mutilando" quelli in commercio).

In alternativa, si potrebbe ritenere che la condizione di cui all'art. 8 sia la precisazione di un elemento tralasciato nel testo degli artt. 2 e 3, perché dato per implicito (la generale approssimazione del testo legislativo sembra purtroppo consentire questa ed altre ipotesi!). In questa prospettiva, si potrebbe concludere che l'art. 3 considera gli elaboratori stabilmente accessibili in rete e che l'art. 2 gli elaboratori non stabilmente accessibili in rete, seppure accessibili saltuariamente o potenzialmente.
A conferma di ciò, potrebbe aver rilievo la considerazione che l'accesso in rete saltuario avviene normalmente dietro richiesta e con l'attiva partecipazione dell'utente dell'elaboratore, quindi in mancanza di tale richiesta l'accesso da parte degli altri elaboratori in rete non è di regola possibile.
In altre parole, l'elaboratore non è costantemente esposto agli attacchi di chi può accedervi. Ciò potrebbe in effetti legittimare l'adozione di misure di sicurezza più blande.

Questa tesi poggia su fondamenta invero deboli, ma permetterebbe di ottenere una ragionevole ripartizione dei doveri di protezione dei dati fra le diverse realtà informatiche e di assegnare all'art. 2 un certo ambito applicativo.

* Avvocati in Milano