Il dibattito sull’interpretazione del decreto legislativo 318/99 in materia di misure minime di sicurezza si arricchisce di un contributo che è importante riportare, se non altro per l’autorevolezza della fonte. Il Sole 24 Ore del 2 dicembre scorso, in un articolo a firma di Antonello Cherchi riferendo di un convegno organizzato da Confindustria per mettere a fuoco il problema dell’adozione delle misure di sicurezza, riporta quanto affermato dal Segretario Generale del Garante per la protezione dei dati personali, dott. Giovanni Buttarelli, con riferimento alla distinzione tra reti disponibili e non disponibili al pubblico.
Si ricorda che tale distinzione costituisce uno degli aspetti di maggior rilievo nell’interpretazione della norma, perché da essa dipende l’adozione, nel caso del trattamento di dati sensibili, del prescritto documento programmatico, la cui redazione ed aggiornamento dipendono da una completa e puntuale analisi dei rischi.

A tale proposito, l’articolo citato riferisce che il Segretario generale avrebbe chiarito che "per rete accessibile al pubblico si deve intendere anche quella dedicata, che però viaggia, con modalità "pubbliche". Per esempio, una rete aziendale, accessibile ai dipendenti, ma che per i collegamenti utilizza le normali reti telefoniche, è potenzialmente accessibile al pubblico e dunque deve approntare il documento programmatico."
Se è assolutamente apprezzabile la volontà di chiarezza che è insita nella dichiarazione del rappresentante del Garante, essa solleva non poche perplessità.
Anzitutto, vi è da chiedersi se l’interpretazione sopra citata possa ritenersi conforme alla ratio del testo normativo. Come è noto, il decreto 318/99 prescrive l’adozione di misure di sicurezza diverse a seconda della tipologia di trattamento effettuato sui dati personali realizzando una scala di differente intensità a seconda del tipo di dati trattati (sensibili o comuni), dell’accessibilità o meno in rete di tali dati ed infine dell’utilizzo o meno di una rete disponibile al pubblico.
Tale scala culmina con le misure prescritte nell’ipotesi di maggiore rischio che è quella costituita dal trattamento di dati sensibili mediante reti disponibili al pubblico.

L’interpretazione proposta dal Garante rischia però di svilire la suddetta scala minando alle basi la ratio della norma. Infatti, partendo dal presupposto che anche una linea dedicata acquisita da un qualunque fornitore di telecomunicazione è da intendersi rete disponibile al pubblico ed escludendo il caso ormai raro del computer non accessibile in rete, si prospettano solo due ipotesi di applicazione realistica della norma: quella del trattamento mediante rete disponibile al pubblico di dati personali e quella del trattamento mediante rete disponibile al pubblico di dati sensibili.
Non volendo accettare questa conclusione, abbiamo seguito un ragionamento piuttosto complesso, che tentiamo qui di esporre, per definire il concetto di "disponibilità della rete".

In primo luogo, notiamo che l’affermazione del Segretario del Garante (ammesso che sia stata correttamente riportata) solleva un dubbio interessante: dire che una rete è "accessibile" equivale a dire che è "disponibile"? E’ vero che nel Regolamento per l’attuazione di direttive comunitarie nel settore delle telecomunicazioni (DPR 318/97) il "servizio pubblico di telecomunicazioni" è definito come un servizio di telecomunicazioni "accessibile" al pubblico. Ma è anche vero che nel DPR 318/99, qui commentato, i termini "accessibile", in riferimento all’elaboratore, e "disponibile", in riferimento alla rete, compaiono nello stesso contesto, anzi nella stessa frase. Da ciò dovrebbe discendere, in sede interpretativa, che essi non sono considerati sinonimi. (Questo, a meno che non si voglia pensare che gli estensori del regolamento, per scrupolo stilistico, abbiano voluto evitare la fastidiosa ripetizione "elaboratori accessibili mediante reti accessibili", sostituendo "disponibili" al termine ripetuto. Del resto, in queste recenti normative in tema d’informatica, tanto carenti di tecnica legislativa, tutto può essere.)

Pertanto, se "l’accessibilità" dell’elaboratore può dirsi, in soldoni, la materiale potenzialità di usare un elaboratore, la "disponibilità" della rete dovrebbe corrispondere ad un concetto diverso e non identificarsi quindi semplicemente con la materiale potenzialità di utilizzare la rete.
In secondo luogo, osserviamo che se la rete può definirsi il collegamento instaurato fra due o più elaboratori o terminali, disporre della rete dovrebbe significare accedere ad uno di questi elaboratori o terminali. Non sembra infatti ipotizzabile, in questo contesto, l’accesso o l’uso del collegamento in sé e per sé, come bene materiale (vale a dire un diritto reale o di godimento sul canale di trasmissione, ad es. il cavo). Disporre della rete significherebbe quindi disporre di un elaboratore o di un terminale che vi abbia accesso e, conseguentemente, poter ricevere o trasmettere da o verso gli altri elaboratori o terminali che vi sono connessi.

In terzo luogo, la disponibilità della rete dovrebbe forse intendersi come "legittima disponibilità della rete". (Questo è un punto che appare fondamentale, almeno all’operatore del diritto deformato dalla sua professione.) Infatti, se la disponibilità potesse anche essere illegittima, per sapere se una determinata rete è o non è disponibile occorrerebbe stabilire se il "pubblico" ha la materiale possibilità teorica, comunque raggiunta, lecitamente o illecitamente, di introdursi nella rete stessa. Tuttavia, ciò risulterebbe incredibilmente difficile. Infatti, è noto che nel mondo dell’informatica e della telematica, quasi tutto quel che esiste può essere in qualche modo violato o spiato o come si suol dire "hackerato". Inoltre, anche ciò che l’hacker non può fare oggi, sarà probabilmente in grado di farlo domani.

Pertanto, se il concetto di "disponibilità" comprendesse anche la disponibilità illegittima, ovvero la mera "potenzialità di accesso", allora tutte le reti sarebbero disponibili, o almeno tutti i titolari di trattamento coscienziosi, a fronte delle pene previste per l’omessa adozione, anche colposa, delle misure di sicurezza, dovrebbero giungere, nel dubbio, a questa conclusione. Come può infatti il titolare del trattamento escludere con certezza che perfino la sua rete locale possa essere potenzialmente violata, magari mediante qualche nuovo sistema di intercettazione a lui sconosciuto?
Questa non può essere dunque l’interpretazione della norma, che d’altra parte contrasta con l’uso comune del termine "disponibile": nessuno per esempio pensa alla propria abitazione come un luogo "disponibile al pubblico", anche se naturalmente non può escludere che un delinquente membro del pubblico possa introdurvisi con la frode o lo scasso.

Se quanto sopra detto fosse vero, allora la disponibilità della rete dovrebbe consistere nella legittima possibilità di scambiare dati con gli elaboratori connessi alla rete stessa. Così, esemplificando: dovrebbe essere accessibile mediante rete disponibile al pubblico un elaboratore dotato di modem che risponde ad un numero della linea telefonica nazionale, perché il pubblico ha la possibilità legittima di raggiungere il predetto elaboratore attraverso questa rete. Per lo stesso motivo, dovrebbe essere accessibile mediante rete disponibile al pubblico un elaboratore collegato all’Internet che risponde ad un indirizzo IP, statico o dinamico.
Viceversa, dovrebbe essere non disponibile la rete locale, che il pubblico non può legittimamente utilizzare per raggiungere gli elaboratori ad essa collegati. Allo stesso modo, ed è questo il punto che più ci interessa, dovrebbe essere non disponibile la linea dedicata, che il privato acquista da un fornitore di connettività e che collega fra loro solo elaboratori del titolare del trattamento. Questo, pur se la trasmissione di rete avvenisse anche mediante le stesse linee che il fornitore utilizza per fornire servizi al pubblico, perché il pubblico che dispone di detto servizio non può raggiungere gli elaboratori predetti o riceverne i dati, se non fraudolentemente (ad es. intercettando la trasmissione attraverso un nodo della rete del fornitore).

Concludendo, mentre il concetto di accessibilità in rete dell’elaboratore potrebbe fare riferimento alla mera possibilità materiale dell’accesso stesso, la disponibilità della rete dovrebbe intendersi come accessibilità legittimamente possibile, altrimenti, poiché tutte le reti sono potenzialmente accessibili o comunque non è possibile stabilire con certezza se lo siano o meno, la distinzione fatta dall’art. 3 del DPR 318/99 rimarrebbe priva di effetti o comunque praticamente inapplicabile.
Per la problematicità della questione, sarebbe opportuno che sul tema intervenisse un definitivo chiarimento.

* Avvocati in Milano