Il 10 ottobre scorso la Camera dei Deputati ha approvato in via definitiva il progetto di legge 6558/b, che rinvia l'applicazione delle sanzioni penali per la mancata adozione delle misure minime di sicurezza per il trattamento dei dati personali.
Come molti certamente ricordano, si tratta del famigerato DPR 28 luglio 1999, n. 318, previsto dall'articolo 15, secondo comma della legge 675/96. Un testo praticamente inapplicabile, come abbiamo più volte dimostrato (vedi gli articoli citati alla fine di questa pagina) e che non cambia con la sospensione per nove mesi delle sanzioni penali.

Il provvedimento rimanda il termine per l'adeguamento dei sistemi di trattamento dei dati personali alle misure previste dal DPR 318/98: dall'originario del 29 marzo al 31 dicembre di quest'anno, a condizione che sia redatto e custodito un documento in cui si descrivano le misure da adottare e lo stato dei lavori di adeguamento, sia alle misure minime stabilite dallo stesso DPR, sia a quelle più generali prescritte dal primo comma dell'articolo 15 della 675/96.
Il testo deve essere redatto "in data certa" (vedi l'articolo di E. Maccarone) entro 30 giorni dalla pubblicazione della legge sulla Gazzetta ufficiale.

Va sottolineato che il documento deve riguardare non solo le misure "minime" previste dal secondo comma dell'articolo 15, per il mancato rispetto delle quali scatta la sanzione penale, ma anche quelle per così dire "generali" indicate al primo comma, che di conseguenza sono "ulteriori" e più restrittive. La mancata adozione di queste ultime, come è noto, comporta il risarcimento ai sensi dell'articolo 2050 del codice civile: non è il danneggiato che deve provare la responsabilità del titolare del trattamento, ma tocca a quest'ultimo la prova (che potrebbe essere molto difficile) di aver fatto tutto il possibile per evitare il danno.

Una certa confusione si può generare tra le misure generali previste dal primo comma dell'articolo 15 della 675/96, e quelle "minime" oggetto del decreto previsto dal secondo comma. Per esempio, per rispettare le misure minime il titolare deve individuare il soggetti "preposti alla custodia" delle password  "o che hanno accesso ad informazioni che concernono le medesime", come prescrive il DPR 318/99, art. 2, comma 1, lett. b). In questo modo si mette al riparo da sanzioni penali.
Ma deve preoccuparsi anche della responsabilità civile, e quindi adottare "tutte le misure idonee a evitare il danno", come recita appunto l'articolo 2050 c.c. E la prima di queste misure, come sa chiunque abbia qualche vaga nozione delle tecniche di sicurezza informatica, è di evitare che ci sia qualcuno a conoscenza delle password degli altri. Ciascun addetto deve generarla, e cambiarla periodicamente, nel più totale segreto. L'archivio delle password deve essere cifrato con un algoritmo non reversibile, sicché nessuno possa decifrarle, nemmeno l'amministratore del sistema (al quale, comunque, basta la qualifica per accedere a qualsiasi informazione).

L'unico sistema per salvarsi dallo scoglio di Scilla della responsabilità civile e dal gorgo di Cariddi della sanzione penale è in un paradosso: dopo aver nominato il custode delle password come misura minima, il titolare deve immediatamente rimuoverlo, come misura ulteriore "per evitare il danno". Assurdo.

Il terzo comma dello stesso articolo 15 della 675/96 prescrive che le misure minime vadano "adeguate con cadenza almeno biennale... in relazione all'evoluzione tecnica del settore e all'esperienza maturata". Non sarebbe il caso di interpretare rigorosamente l'avverbio "almeno" ed emanare nel più breve tempo possibile un regolamento tecnicamente corretto?