Legge 675/96 "Le misure minime di sicurezza: premessa e principi"
L'esigenza di garantire la sicurezza dei dati personali oggetto di trattamento trova la sua attuazione nella Sezione III del Capo III della legge 31 dicembre 1996, n. 675. Tale sezione ha, infatti, come titolo: SICUREZZA NEL TRATTAMENTO DEI DATI, LIMITI ALLA UTILIZZABILITA’ DEI DATI E RISARCIMENTO DEL DANNO.
All’articolo 15, comma 1, viene affermato che i dati personali oggetto di trattamento devono essere custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.
Al comma 2, dello stesso articolo 15 viene stabilito che le misure minime di sicurezza da adottare in via preventiva sono individuate con regolamento emanato con decreto del Presidente della Repubblica e che, tali misure minime, saranno adeguate, successivamente, con cadenza almeno biennale, in relazione all'evoluzione tecnica del settore e all'esperienza maturata. Il DPR 318/99 completa le predette previsioni legislative.
E’ importante ricordare, come precedentemente esposto, che l’art.18 della legge 675/96, disciplina i danni cagionati per effetto del trattamento di dati personali, ed afferma che, "chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell'articolo 2050 del codice civile".
La mancata adozione delle misure di sicurezza minime comporta sanzioni penali previste all’art.36 della legge 675/96.
Art. 36 (Omessa adozione di misure necessarie alla sicurezza dei dati)
1. Chiunque, essendovi tenuto, omette di adottare le misure necessarie a garantire la sicurezza dei dati personali, in violazione delle disposizioni dei regolamenti di cui ai commi 2 e 3 dell'articolo 15, è punito con la reclusione sino ad un anno. Se dal fatto deriva nocumento, la pena è della reclusione da due mesi a due anni. Se il fatto di cui al comma 1 è commesso per colpa si applica la reclusione fino a un anno.
2. (...)
Dalla lettura del combinato disposto degli articoli di legge, ne deriva, che il tipo di tutela che viene assicurato risponde a due diverse necessità e responsabilità:
1. da un lato l'articolo 18 prevede che, in tutti i casi di danno cagionato ad altri per effetto del trattamento di dati personali, il titolare ed il responsabile, se designato, siano tenuti al risarcimento ai sensi dell'articolo 2050 del codice civile;
2. dall'altro si prevede l'individuazione di misure minime di sicurezza la cui mancata adozione comporta le sanzioni penali previste dall'articolo 36 della legge stessa.
Per quanto attiene la responsabilità civile dovranno essere considerati gli obblighi organizzativi che gravano sull’azienda titolare dei dati personali, ed i particolare al fatto che i dati personali oggetto di trattamento debbono essere custoditi e controllati, da parte dei titolari e dei responsabili del trattamento stesso, in maniera di ridurre al minimo i rischi della loro distruzione o perdita accidentale o del verificarsi di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.
Di conseguenza la norma impone al titolare e al responsabile, se designato, l’obbligo di custodire e controllare i dati personali oggetto di trattamento mediante l'adozione di idonee e preventive misure di sicurezza, individuate alla luce delle conoscenze acquisite in base al progresso tecnico in relazione alla natura dei dati ed alle specifiche caratteristiche del trattamento, in grado di ridurre al minimo i rischi.
Si tratta in sostanza dell'obbligo di operare in concreto al fine di ridurre al minimo i rischi mediante la utilizzazione di sistemi di sicurezza costantemente adeguati nel tempo.
La norma sanzionatoria appare strutturata in maniera di assicurare la necessaria dissuasività al mancato rispetto delle misure di sicurezza minime. Viene, infatti, utilizzato il termine "chiunque" per individuare i soggetti che possono porre in essere la condotta penalmente sanzionata che ricorre ogni qualvolta non siano stati rispettati, o lo siano stati solo parzialmente, gli standards "minimi" di sicurezza prescritti nel regolamento in argomento.
Si è, quindi, in presenza di un complesso e dinamico apparato concettuale che definisce il concetto di misure di sicurezza che appaiono orientate ad operare una costante riduzione del rischio e la cui mancata predisposizione comporta anche la responsabilità per i danni eventualmente cagionati.
Il recente DPR - previsto dall'articolo 15, comma 2, della legge 675/1996 - non contiene tutte le regole tecniche per la sicurezza dei dati personali, ma stabilisce quei requisiti minimi di sicurezza la cui violazione costituisce la sicura esposizione a rischio dei dati personali da proteggere. Occorre perciò individuare, con l’analisi dei rischi, quelle situazioni alla presenza delle quali, per la loro assoluta contraddizione con i requisiti minimi, si deve ritenere che si verifichi un livello critico e non tollerabile di rischio di lesione del diritto alla tutela dei dati personali.
Il livello di rischio e di tutela è mutabile nel tempo (concetto di dinamicità) per questo il regolamento (DPR 318/99), sarà aggiornato con cadenza almeno biennale, al fine di adeguarlo all'evoluzione della tecnologia e del costume in materia di protezione dei dati personali.
Si dovrà comunque tener conto che l'efficacia delle misure di sicurezza previste ai sensi dell'articolo 6, comma 1, del DPR in questione, deve essere oggetto di controlli periodici da eseguirsi con cadenza almeno annuale; tale ricognizione costituirà una componernte del cosiddetto documento programmatico sulla sicurezza.
Per quanto attiene alla tipologia di dati personali e delle relative misure di sicurezza, il provvedimento per stabilire i diversi livelli e modalità di tutela, segue la distinzione già operata nella legge 675/1996 tra dati personali di tipo generico e dati personali più particolari (cosiddetti "sensibili") vale a dire i dati di cui agli articoli 22, 23 e 24. La distinzione è dovuta dalla considerazione che le misure di sicurezza devono tenere conto della diversa valenza di tali dati nel quadro dei diritti e dei doveri assicurati dalla legge.
Per quanto attiene, invece, ai mezzi tecnici utilizzati per il trattamento, valutati in relazione alla loro capacità di esporre a pericolo i dati personali, il DPR opera una prima distinzione tra le operazioni di trattamento poste in essere con l'ausilio di supporti cartacei e quelle poste in essere mediante strumenti elettronici o comunque informatizzati.
Tale ultima categoria è stata poi scissa in tre ulteriori categorie al fine di tenere conto delle specifiche modalità di esposizione a rischio.
In tale ottica è stato distinto:
1. il trattamento dei dati personali effettuato mediante elaboratori non accessibili da altri elaboratori o terminali;
2. il trattamento dei dati personali effettuato mediante elaboratori accessibili in rete, categoria a sua volta distinta in:
1. elaboratori accessibili da altri elaboratori solo attraverso reti non disponibili al pubblico;
2. elaboratori accessibili mediante una rete di telecomunicazioni disponibili al pubblico;
3. il trattamento dei dati personali effettuato mediante elaboratori non stabilmente accessibili da altri elaboratori per fini esclusivamente personali ai sensi della legge 675/1996.
Poiché l'ottica in cui sono state previste le misure di sicurezza non è la protezione dei sistemi o delle trasmissioni in quanto tali, ma solo la protezione dei dati personali esistenti, è evidente che il livello di sicurezza si modifica in relazione alla presenza o meno di dati personali. Ciò comporta che, se su di un sistema che utilizza una rete di telecomunicazioni disponibili per il pubblico transitano sempre dati non personali (si pensi ad una banca dati che metta a disposizione una serie di informazioni di tipo statistico) non sarà necessario il rispetto di alcuna disposizione del regolamento in questione, mentre se su tale sistema si trovano ad essere presenti dati di natura personale, sarà necessario l'integrale rispetto delle misure di sicurezza articolate in funzione del tipo di dati e di trattamento.
Il concetto di rete disponibile al pubblico può suscitare diverse interpretazioni. Allo scopo risulta utile fare riferimento ai contenuti nel DPR 19 settembre 1997, n.318, relativo al "Regolamento per l’attuazione di direttive comunitarie nel settore delle telecomunicazioni" che, all’articolo 1, riporta le seguenti definizioni:
* rete di telecomunicazioni, un sistema di trasmissione e, se del caso, le apparecchiature di commutazione o le altre risorse che permettono la trasmissione di segnali tra punti terminali di rete definiti con mezzi a filo, radio, ottici o altri mezzi elettromagnetici;
* rete pubblica di telecomunicazioni, una rete di telecomunicazioni utilizzata, in tutto o in parte, per fornire servizi di telecomunicazioni accessibili al pubblico;
* rete privata di telecomunicazioni, una rete di telecomunicazioni che non è utilizzata per fornire servizi di telecomunicazioni accessibili al pubblico;
* rete telefonica pubblica fissa, una rete pubblica di telecomunicazioni commutata che è impiegata, tra l'altro, per la fornitura del servizio di telefonia vocale tra i punti terminali della rete in postazioni fisse;
Nel caso che tra i dati personali trattati siano presenti sia dati personali generici insieme a quelli di tipo "sensibile" (di cui agli articoli 22 e 24 della legge n. 675/1996), sarà necessario osservare le misure previste per la categoria più elevata.
Si rileva, inoltre, che il regolamento non individua, per ogni singola misura di sicurezza, i soggetti tenuti ad adottarla, in quanto tale individuazione dipenderà dalle attribuzioni conferite in concreto all'interno della struttura presso la quale soggetti stessi operano.
