Pagina pubblicata tra il 1995 e il 2013
Le informazioni potrebbero non essere più valide
Documenti e testi normativi non sono aggiornati

 

 Tutela dei dati personali - Legge 675/96

Non c'è privacy senza sicurezza
 di Guido M. Rey(*) - 06.06.95

1. Come è noto il disegno di legge n. 1901/bis, attualmente all'esame della commissione di Giustizia della Camera, disciplina la materia della tutela della riservatezza rispetto al trattamento dei dati personali.
Ma se per tutela della riservatezza rispetto ai dati informatici intendiamo - secondo l'accezione corrente - l'adozione di quelle misure dirette ad impedire che i fatti della vita privata di un soggetto, contenuti in supporti informatici, siano pubblicamente divulgati, dobbiamo immediatamente constatare - già sotto un profilo logico - che tale tutela passa necessariamente attraverso la definizione dei criteri di sicurezza dei dati informatici stessi, nel senso che questi ultimi devono essere inalterabili ed immutabili, cioè corrispondere alla realtà che intendono rappresentare.
Si vuol dire, in altri termini, che non ha senso porsi un problema di tutela della privacy dell'individuo se non è sicuro il dato informatico.
Ad esempio, intanto ci potrà essere un problema di divulgabilità dei propri dati sanitari, in quanto gli stessi siano sicuri, cioè protetti da misure che impediscano l'accesso non autorizzato da parte di terzi e garantiscano la loro integrità ed inalterabilità.
D'altro canto, in numerosi casi, non sussiste neanche scissione logica tra violazione delle regole di sicurezza e quelle di riservatezza, poichè dalla violazione delle prime consegue automaticamente la violazione delle seconde.
Sotto tal profilo si può, perciò, dire che il carattere della sicurezza non è qualcosa che si aggiunge ab extra al dato informatico ma lo caratterizza intimamente, fino a connotare la sua stessa essenza.

2. Questi concetti possono tradursi, sotto un profilo giuridico, nel senso che intanto può discutersi di tutela delle situazioni soggettive ricomprese nel diritto alla riservatezza, in quanto l'oggetto stesso cui riferiscono tali situazioni esista e corrisponda sicuramente alla realtà da rappresentare.
In altri termini, il dato deve prima esistere (e quindi non deve poter essere soppresso), deve corrispondere alla realtà (e quindi non deve poter essere alterato) e, poi, dello stesso può predicarsi la divulgabilità o meno, e, quindi, può porsi un problema di riservatezza.
Tale stretta connessione tra tutela della riservatezza e protezione del dato privato risulta del resto confermata dalla più recente legislazione in in materia di reati informatici, ed in particolare dall'art. 615-ter (introdotto dalla legge 547/1993), secondo cui commette il delitto di accesso abusivo ad un sistema informatico o telematico colui il quale, abusivamente, si introduce in un sistema protetto da misure di sicurezza.
Con tale norma il legislatore prefiggendosi di tutelare la riservatezza dell'individuo ha ritenuto che questo bene giuridico può ritenersi leso quando il sistema informativo in cui il soggetto attivo si introduce sia protetto da misure di sicurezza. In tal modo ha senza dubbio sancito la pregiudizialità, anche giuridica, della sicurezza sulla riservatezza (1).

3. Il che spiega, sotto un profilo tecnico, come la definizione di sicurezza comunemente adottata nelle più alte sedi internazionali ricomprenda sempre la salvaguardia della riservatezza.
Basti qui richiamare, ad esempio, la decisione del Consiglio d'Europa adottata il 31 marzo 1992; la raccomandazione dell'OCSE sulle "linee direttrici relative alla sicurezza dei sistemi d'informazione", approvata dai 24 Paesi aderenti il 26 novembre 1992; il Libro verde sulla sicurezza dei sistemi informativi elaborato dalla Commissione Europea (versione del 14 luglio 1994), il documento ITSEC (Information Tecnology Security Evaluation Criteria) (2), nonché la definizione correntemente adottata in sede ISO.
Da tali atti risulta che, a livello internazionale, si è concordi nel ritenere che le misure di sicurezza, per essere efficaci, devono garantire il raggiungimento dei seguenti obiettivi:

riservatezza, ossia la prevenzione dell'utilizzo indebito di informazioni riservate. Salvaguardare la riservatezza significa eliminare, o quanto meno ridurre a livelli accettabili, il rischio che un soggetto possa utilizzare un'informazione altrui senza essre a ciò autorizzato.
Ovviamente, tale prevenzione presuppone che l'accesso alle informazioni venga controllato attraverso adeguate misure di protezione.

integrità, ovvero la prevenzione della alterazione o manipolazione indebita delle informazioni. Garantire l'integrità significa quindi eliminare o ridurre a livelli accettabili il rischio di cancellazioni o modifiche dei dati a seguito di guasti, problemi di distribuzione di energia elettrica, incendi, allagamenti, etc. o di interventi da parte di soggetti non autorizzati.
Poichè ogni alterazione del dato nella sua consistenza logico-fisica si traduce inevitabilmente nella modifica dell'informazione, salvaguardare l'integrità significa assicurare la correttezza del contenuto informativo.

disponibilità, come garanzia dell'accesso controllato alle informazioni.
Ciò equivale a prevenire i pericoli di occultamento o di impossibilità di accesso a dati o risorse necessarie alla conduzione di un'attività lecita.

A ciò si devono aggiungere due caratteristiche strutturali del sistema, in necessario rapporto di strumentalità rispetto al raggiungimento degli obiettivi di sicurezza:

la verificabilità e controllabilità dei dati e delle operazioni svolte, al fine di poter identificare con certezza (soprattutto attraverso i cd tracciati, file di log, gli audit file, ecc.) chi ha utilizzato il sistema, quali operazioni ha compiuto: in altre parole non sembra possibile richiedere ai responsabili dei trattamenti garanzie sulla sicurezza se non si possono accertare i termini esatti della responsabilità.

definizione del dominio: occorre cioè fare riferimento anche all'orizzonte di disponibilità dei dati da parte responsabile del sistema, alla sua capacità di visibilità delle informazioni, che deve essere completa, aggiornata, esatta.

Il riferimento alla sicurezza riassume quindi tutti gli aspetti sopraindicati, e rappresenta una caratteristica essenziale del sistema, l'in sè del dato, come unità elementare di informazione elettronica. In quanto tale, e come fatto complesso, comprende aspetti relativi alla sicurezza fisica (locali, strutture, materiali, ecc.), informatica (chiavi logiche, sistemi crittografici, ecc.), e del personale addetto al centro (identificazione, obblighi di servizio, ecc.). Il raggiungimento di un livello accettabile di sicurezza informatica passa, dunque, attraverso l'adozione di appropriate misure tecniche, organizzative e giuridiche da valutare e tenere presente, tra l'altro, sin dal momento della progettazione del sistema informativo, dovendone connotare l'architettura stessa. E' infatti estremamente problematico (anche in termini di tempi necessari per le modifiche), nonchè costoso aggiungere sicurezza ad un sistema progettato senza tale requisito.
La sicurezza è, più precisamente, una proprietà del progetto di un sistema informativo: esso può quindi essere concepito sia in modo che sia sicuro (o che possa diventarlo successivamente), oppure in modo che sia difficile (o costoso, e al limite impossibile) farlo diventare poi sicuro.
Occorre quindi distinguere le misure (e le regole tecniche) che riguardano la sicurezza di sistemi da progettare ex novo da quelle che riguardano sistemi già progettati, per i quali si possono solo prendere provvedimenti per la difesa dagli attacchi più semplici.
In conclusione, la riservatezza dei dati contenuti in archivi elettronici non costituisce altro che uno dei livelli della sicurezza dei sistemi informativi.

4. Si può quindi concludere che le necessarie garanzie giuridiche di tutela della privacy, che il titolare del sistema informativo deve offrire per poter legittimamente procedere al trattamento dei dati personali, sono indissolubilmente collegati ai profili tecnici relativi alla sicurezza informatica e, dunque, alla inaccessibilità logica e fisica, da parte di soggetti non autorizzati, ai dati personali contenuti in archivi elettronici.
L'Autorità per l'Informatica nella pubblica amministrazione, per espresso disposto legislativo, è la sola competente in materia di sicurezza informatica, dovendo, tra l'altro, definire le regole e i criteri tecnici (standard) in materia di sistemi informativi automatizzati, regole che, come è già accaduto per quelle relative ai supporti ottici, ed in ragione della autorevolezza e competenza della sede da cui promanano, vengono poi recepite ed adottate anche dal settore privato.
Senonché, il disegno di legge n. 1901-bis non solo istituisce il Garante per la protezione dei dati (art. 19-21) al di fuori del disegno organizzativo della Autorità per l'Informatica, ma, addirittura, non prevede, a regime, alcuna disposizione di coordinamento funzionale tra un organismo che già si occupa della sicurezza informatica ed un organismo che si occuperà della materia della riservatezza dei dati personali, la quale, invece, per quanto si è detto, è logicamente, giuridicamente e tecnicamente connessa alla prima.
Ove tale disegno di legge venisse approvato nel suo testo attuale, dunque, sembra profilarsi una evidente conflittualità nei rapporti tra i due organismi, oltre ad insormontabili difficoltà e disarmonie nella delicatissima azione di tutela della persona rispetto al trattamento dei dati personali.
Né, sotto tale profilo, sembra sufficiente il rinvio al legislatore delegato per eventuali forme di raccordo.
A causa della ricordata connessione tecnico-funzionale sussistente tra la sicurezza informatica e la riservatezza dei dati contenuti in archivi elettronici, appare necessario, quanto meno, prevedere un raccordo funzionale e strutturale tra i due organismi.
Appare incomprensibile, d'altro canto, che, secondo l'articolo 7 del disegno di legge, le misure minime di protezione (cioè le misure di sicurezza dei dati) debbano addirittura essere emanate all'esito di un procedimento in cui intervengono numerose amministrazioni pubbliche e sul proposta del Ministero di Grazia e Giustizia che, fino ad oggi non risulta attributario di specifiche competenze in materia .
La disposizione, pertanto, deve essere modificata nel senso di prevedere che l'Autorità per l'Informatica debba proporre le regole in materia di sicurezza, anche per il settore privato, così come oggi avviene per il settore pubblico.

5. Appare indispensabile dunque, un raccordo profondo ed una stretta sinergia tra le attività e le funzioni del Garante per la protezione dei dati e quelle dell'Autorità per l'Informatica.
Tale soluzione, del resto, non solo assicurerebbe una maggiore efficienza funzionale, conseguente alla imputazione ad un centro di riferimento sostanzialmente unitario della materia della sicurezza e della riservatezza, ma è dettata da evidenti esigenze di economie di gestione, derivanti dalla possibilità di utilizzare un organismo pubblico già esistente e già operante nel settore, che consentirebbe una risposta più rapida in termini di organizzazione strutturale e di efficienza funzionale, evitando una irrazionale ed inspiegabile duplicazione soggettiva.
Tale raccordo dovrebbe avvenire su tre livelli di assoluta e speculare reciprocità:
a) a livello decisionale collegiale;
b) a livello strutturale;
c) a livello funzionale.
Quanto al primo profilo, si propone che il Presidente del Garante sia membro di diritto dell'Autorità, e viceversa; inoltre, quanto al secondo punto, ciascun organo dovrebbe potersi avvalere degli uffici e servizi dell'altro, nel pieno rispetto della autonomia ed indipendenza di giudizio e di valutazione; infine, i due organi devono collaborare e cooperare nello svolgimento dei rispettivi compiti istituzionali.

(*) Presidente dell'Autorità per l'informatica nella pubblica amministrazione

NOTE

(1) D'altra parte le legislazioni di moltissimi Paesi, tra i quali la Francia, la Germania, il Lussemburgo, l'Austria, la Norvegia, la Gran Bretagna, l'Olanda, il Giappone, l'Australia e la Spagna, nel dettare le norme in materia di protezione della riservatezza dei cittadini nei confronti delle banche dati personali, hanno espressamente stabilito l'obbligatorietà dell'adozione di misure di sicurezza, traducendo così a livello normativo una relazione tra i due aspetti, che prima di essere giuridica è logica, sistematica e tecnica.

(2) Nel 1992 Gran Bretagna, Germania, Francia ed Olanda elaborarono congiuntamente i riferimenti europei per i criteri della sicurezza informatica (ITSEC), unitamente al manuale per la loro applicazione nelle valutazioni (ITSEM - Information Tecnology Security Evaluation Manual).