Tanto tuonò che piovve, ovvero la legge sui dati personali

Computer Programming n.ro 56 del 01-03-96
di Andrea Monti

Con un insospettabile impeto di attivismo prenatalizio il 18 dicembre scorso la Camera ha approvato una legge.

Bella novità, e a noi…? potrebbe dire qualcuno.

Il punto è che non si tratta di una cosa qualsiasi, una delle tante, ma di un evento destinato a modificare drasticamente la vita ed il lavoro di chi utilizza un computer.

“Legge sulla privacy informatica”, “Legge sui dati personali”… la neonata normativa sulla “Tutela della persone e di altri soggetti rispetto al trattamento dei dati personali” (questo il nome corretto) ha già meritato quantomeno il premio “Proteo ‘97” per la moltitudine imprecisa di nick (spirito di Nanni Moretti se ci sei batti un colpo) che le sono stati affibbiati contribuendo ad aumentarne sensibilmente l’entropia.

Raramente si è parlato così tanto di una legge prima ancora che venisse quantomeno esaminata in Parlamento, eppure – anche se solo nella ristretta cerchia degli addetti ai lavori – sono anni (almeno dal 1975) che una normativa sui dati personali costituisce argomento di discussione e di scontro popolando i sogni (o i deliri?) di giuristi di tutte le età. A collassare tante energie intellettuali in massa giuridica ci è però voluta, sempre lei, l’Unione Europea che con l’accordo di Schengen ha provocato questo big bang.

Tuttavia nemmeno l’Europa è riuscita nella titanica impresa di creare il nuovo universo in tempi misurabili su scala umana e non italica.

Un po’ di storia

Tutto comincia nel 1993 quando viene ratificato in Italia l’accordo di Schengen, una delle cui indicazioni fondamentali era necessità di regolamentare il trattamento dei dati personali.

Il 19 gennaio 1995 viene presentato alla Camera il disegno di legge che la sonnolenta attività parlamentare aveva prontamente condannato per l’ennesima volta all’oblio. La situazione venne bruscamente scossa qualche mese dopo quando da più parti si cominciò ad invocare una rapida approvazione. La Commissione Giustizia della Camera non sembrava tuttavia di questo parere, almeno a sentire il relatore Gianfranco Anedda (AN) che in due sedute (20 e 30 marzo 1995) sottolineava la necessità di affrontare più dettagliatamente alcune questioni basilari come l’ambito di applicabilità della legge o le definizioni terminologiche.

Nonostante l’urgenza oggettiva, ribadita quasi in ogni occasione di dibattito avente ad oggetto appunto i dati personali, il 1995 finisce con il disegno di legge ancora arenato non si sa bene dove.

Il 1996 non sembra riservare destino migliore a questo sfortunato provvedimento, fortemente avversato da lobby molto potenti per le ragioni che fra poco sarà facile comprendere, sennonché proprio sul finire dell’anno, il 18 dicembre come ho detto, con un vero e proprio coup de théatre giunge la notizia dell’approvazione della legge (il cui testo è reperibile su http://giuriweb.unich.it).

Una legge per regolare cosa?

Per capire il significato e il contenuto di questa nuova legge è necessario partire da due definizioni e da un principio.

Prima definizione, dati personali (art.2 lett. c): qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale.

Seconda definizione, trattamento (art.2 lett. b): qualunque operazione o complesso di operazioni, svolti con o senza l’ausilio di mezzi elettronici o comunque automatizzati, concernenti la raccolta, la registrazione, l’organizzazione, la conservazione, l’elaborazione, la modificazione, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati (il trattamento, secondo l’art.1 deve svolgersi …nel rispetto dei diritti, delle libertà fondamentali, nonché della dignità delle persone fisiche, con particolare riferimento alla riservatezza e all’identità personale; garantendo …i diritti delle persone giuridiche e di ogni altro ente o associazione.)

Principio: esiste un autonomo diritto sui dati personali (specificato negli artt. 11, 12 13 e 14) che spetta al soggetto cui si riferiscono gli stessi.

Considerazioni in ordine sparso.

I ragionamenti che seguono sono disordinati.

Volutamente.

Ho infatti cercato di riportare su carta le impressioni suscitate dalla lettura del testo così come si sono presentate alla mia mente in un crescendo di serendipity.

Innanzi tutto, vediamo quali sono le parti sulla scena e che ruoli interpretano.

In ordine, la legge (art. 2 c.I lett.d) identifica il titolare, cioè la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono le decisioni in ordine alle finalità ed alle modalità del trattamento di dati personali, ivi compreso il profilo della sicurezza.

La lett. e dello stesso articolo definisce responsabile, la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al

trattamento di dati personali.

Infine la lett.f considera interessato, la persona fisica, la persona giuridica, l’ente o l’associazione cui si riferiscono i dati personali.

Il master di questo particolarissimo RPG è il Garante per la protezione dei dati al quale prima di cominciare il trattamento dei dati personali va inviata una certa notificazione.

Notifica o autorizzazione?

Fra l’altro (art.7 c.4 lett. f) questo atto deve contenere una descrizione generale che consenta la valutazione dell’adeguatezza delle misure di sicurezza adottate.

L’art.31 attribuisce al Garante il compito di verificare se il trattamento avviene – tra l’altro – rispettando la legge e in conformità a quanto dichiarato nella notifica (c.I lett. b).

La lettera g) dello stesso articolo impone al Garante di denunciare i fatti che configurano reati perseguibili d’ufficio.

La lettera i) attribuisce al Garante il compito di curare fra il pubblico la diffusione della cultura della sicurezza.

La lettera l) gli attribuisce un potere generale di inibizione del trattamento.

Ora, mettiamo il caso che un soggetto notifichi l’inizio del trattamento, indicando misure di sicurezza non immediatamente classificabili sotto il profilo dell’idoneità (per i motivi più disparati, non foss’altro per la novità di un sistema, ad esempio).

Il Garante, non essendo tenuto a pronunciarsi sulla semplice notifica, potrebbe dopo un lasso di tempo anche apprezzabile, ricordarsi di quella notifica dal contenuto “atipico” e adottare i provvedimenti più diversi con grave pregiudizio delle attività del notificante che, nel migliore dei casi, potrebbe rischiare di vedersi indagato per il reato di omessa o infedele notificazione (art.34).

Sembrerebbe quasi di trovarsi di fronte ad un atto polimorfo a metà fra la notifica e l’autorizzazione.

In realtà l’indicazione nella notifica delle misure di sicurezza adottate sembrerebbe superflua, perché la legge infatti prevede autonomamente sia l’obbligo di adozione delle stesse (art.15), sia il di omessa adozione di misure necessarie alla sicurezza dei dati (art.36) e quindi la punizione in caso di inosservanza.

Un altro aspetto problematico: il doppio grado di giurisdizione.

Avere la possibilità di ricorrere in appello è un diritto fondamentale che non può (o non dovrebbe subire) limitazioni specie se si tratta di diritti così importanti da essere protetti con delle sanzioni penali.

La legge che stiamo esaminando, invece, non individua espressamente il giudice competente a decidere in primo grado (alternativamente al Garante) sul medesimo oggetto ma parla solo di Autorità Giudiziaria, mentre attribuisce al Tribunale la funzione di giudice dell’opposizione.

Che fare?

Apro una parentesi. Sarebbe stato preferibile, io credo, che la competenza di giudice di primo grado fosse almeno del Pretore, non foss’altro perchè applicando i principi generali della procedura civile, si potrebbe andare a finire anche davanti al Giudice di pace, cosa da non augurare veramente a nessuno.

Tornando al punto potrebbe rispondersi che in realtà il meccanismo previsto dalla legge non è quello del doppio grado, ma di una procedura mista, per metà amministrativa (ricorso al Garante) e per metà giurisdizionale ma non mi sembra una soluzione efficiente, soprattutto per una considerazione di ordine generale.

Rivolgersi ad un magistrato per avere giustizia implica una serie di garanzie di imparzialità e indipendenza imposte dalla Costituzione che il Garante (il quale magistrato non è) difficilmente potrebbe offrire e comunque difficilmente in modo comparabile a quanto stabilito dalla legge per i giudici.

In effetti sembra che durante i lavori parlamentari ci siano state molte resistenze prima di scarificare il doppio grado di giurisdizione in favore dell’altra procedura. A far pendere l’ago della bilancia dalla parte della procedura mista hanno prevalso esigenze di celerità e speditezza che già negli altri settori, civile e penale, hanno già dimostrato quanti danni sono capaci di produrre.

Fatta la legge trovato l’inganno …o no?

Gli adempimenti imposti dalla legge sono veramente parecchi (vedi gli schemi e le tabelle) e uno dei più onerosi è quello della preventiva richiesta all’interessato del consenso al trattamento dei dati.

A qualcuno potrebbe venire in mente di “alleggerire” la situazione predisponendo una clausola contrattuale di rinuncia al consenso (art.11) o più in generale ai diritti previsti dall’art.13.

Se fosse possibile – ma nutro qualche dubbio – almeno andrebbe considerata vessatoria e quindi approvata separatamente, del resto lo stesso articolo prevede necessariamente la forma scritta.

A questo proposito, visto il dibattito in corso sul documento elettronico, non sarebbe stato meglio parlare per esempio di “consenso prestato in modo da dimostrarne inequivocamente l’esistenza” lasciando così lo spazio anche a forme di certificazione digitale, invece di sperare che nella futura legge sulla firma elettronica venga inserito un comma che equipara tutte le forme di sottoscrizione siano esse manuali o digitali?

Per tornare alla domanda, ritengo che alcune clausole relative a diritti diversi da quello dell’art.11 (consenso) siano nulle.

Il ragionamento è abbastanza complesso ma può essere sintetizzato in questo modo: il principio base in materia di contratti è l’assoluta libertà delle parti che possono regolare i loro rapporti nel modo ritenuto più opportuno. A questa regola vengono affiancate delle eccezioni perché certi interessi in gioco sono talmente importanti da richiedere una limitazione di questa libertà contrattuale.

I limiti estremi della libertà contrattuale sono individuati in tre principi: l’ordine pubblico, il buon costume, le norme imperative. La riservatezza dei dati personali è sicuramente parte dei diritti fondamentali della persona e quindi sono nulle le clausole (o i contratti) che dispongono di questi diritti quando vengono superati i limiti di disponibilità di tali diritti; ma quali sono questi limiti?

Alcune risposte sono nella legge. Siccome l’art.12 elenca i casi di esclusione del consenso se ne deve dedurre che qualsiasi altri ipotesi non possa formare oggetto di disposizione; analogamente ai diritti di cui all’art.13 c.I lett. c) e d) si applica l’art.14, ma per gli altri?

Una possibile soluzione sarebbe che se da qualche parte la legge stabilisce un’eccezione allora in quel caso il diritto è gestibile tramite un contratto, diversamente no, ma non è affatto certo che le cose devano andare in questo modo. La caccia è aperta.

Il triangolo maledetto

Art.15 – sicurezza dei dati –

1. I dati personali oggetto di trattamento devono essere custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l’adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.

Art.18 – Danni cagionati per effetto del trattamento di dati personali –

1. Chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell’articolo 2050 del codice civile.

Art. 36 – Omessa adozione di misure necessarie alla sicurezza dei dati –

1. Chiunque, essendovi tenuto, omette di adottare le misure necessarie a garantire la sicurezza dei dati personali, in violazione delle disposizioni dei regolamenti di cui ai commi 2 e 3 dell’articolo 15, è punito con la reclusione sino ad un anno. Se dal fatto deriva nocumento, la pena è della reclusione da due mesi a due anni.

2. Se il fatto di cui al comma 1 è commesso per colpa si applica la reclusione fino a un anno.

L’applicazione contestuale di questi tre articoli, unita ai tempi necessari per istituire il Garante, è veramente qualcosa di molto simile alla navigazione attraverso il Triangolo delle Bermuda, vediamo perché.

Esiste un obbligo sanzionato penalmente di adottare tutte le misure di sicurezza necessarie alla tutela dei datite.

Se dal trattamento illecito deriva un danno, questo è risarcibile ai sensi dell’art.2050 del Codice civile (si applica per esempio nel caso di danno nucleare) che inverte il c.d. onere della prova: si è responsabili se, nell’esercizio di attività intrinsecamente pericolose, non si prova di are fatto tutto il possibile (adottare le misure idonee, dice l’articolo) per evitare il danno.

E’ evidente che tutto questo ruota attorno alle misure di sicurezza, ma chi stabilisce quali siano quelle adeguate?

La risposta della legge è che tutto viene rinviato ad una serie di provvedimenti del Garante e ad una serie di decreti che indicheranno il da farsi …e nel frattempo? Nel frattempo nulla, nel senso che l’obbligo di adozione delle misure di sicurezza (e le relative sanzioni civili) già persistono, mentre i criteri per conformarsi alla legge praticamente sono rimandati a data da destinarsi e comunque nel 1998.

Le norme transitorie (vedi tabella) impongono nel frattempo di custodire i dati in modo da non aumentare i rischi di cui all’art.15.

Il problema è più generale: chiunque ha un minimo di esperienza nel campo della sicurezza informatica sa quanto numerose siano le variabili da considerare quando si parla di un argomento del genere. Se poi si aggiunge che la legge impone un obbligo di aggiornamento di queste misure praticamente continuo (stabilendo però solo biennalmente le norme da adottare) non è difficile intuire che da giugno in poi (da quando cioè la legge entrerà in vigore) si vivrà tutti sotto una enorme spada di Damocle.

Una postilla. Misura di sicurezza non vuol dire solo crittografia, password, firewall ecc. ecc., significa anche locali isolati, sistemi di allarme, hardware a prova di rottura… e non esistono al momento polizze assicurative che coprono un rischio del genere.

A voi le conclusioni.

Cosa cambia per la rete: Internet fuori legge?

Gli effetti paradossali di questa legge non potevano non colpire anche la rete. La situazione è ancor più paradossale perché questi effetti sono del tutto (almeno voglio sperarlo) inconsapevoli.

Uno per tutti.

Ancora una volta partiamo dalla legge, che definisce diffusione il dare conoscenza di dati personali a soggetti indeterminati anche mediante la mesa a disposizione.

L’art.28 che regola il trasferimento di dati personali all’estero fra le varie cose dice che il trattamento non è consentito se il paese di destinazione o di transito dei dati non offrono adeguate garanzie di sicurezza. Sarà molto interessante vedere come faranno ad applicare questo concetto al routing del TCP/IP… purtroppo però le conseguenze pratiche di quanto sopra significano una cosa ben precisa.

Un sito web equivale, lo dice la legge, a diffondere i dati e siccome Internet non può garantire i requisiti previsti dal suddetto articolo, non può essere utilizzata per il trattamento di dati personali, cioè per la quasi totalità (link, indirizzi, riferimenti vari) di ciò che compare su una pagina.

In conclusione, quindi, se proprio si vuole avere una home-page questa dovrà contenere solo ed esclusivamente i dati dell’intestatario della pagine (interessato e titolare coincidono); per mettere in linea informazioni relative a terzi sarebbe almeno necessario chiedere loro il consenso scritto.

E’ appena il caso di ricordare che incombe sempre e comunque lo spettro delle sanzioni civili e penali

Che fare?

La situazione può sembrare drammatica, ed in realtà forse è anche peggiore di come si profila ma c’è ancora qualche speranza.

Le modalità di applicazione della legge sono rinviate ad una serie di decreti e circolari che – si spera – dovrebbero risolvere un po’ di problemi; la regolamentazione della telematica è oggetto di una specifica legge che dovrebbe essere approvata in tempi rapidi ed è prevista la possibilità di modificare almeno in parte la legge in questione. In ogni caso fino all’entrata in vigore della legge, fissata per l’otto maggio, c’è tempo per vedere cosa succede.

Calma e gesso.

__

I diritti dell’interessato.

·      Conoscere l’esistenza di trattamenti di dati che possono riguardarlo;

·      Essere informato sull’identità del titolare del trattamento e del responsabile, nonchè sulle modalità e finalità del trattamento

·      Ottenere, a cura del titolare o del responsabile, senza ritardo:

1) La conferma dell’esistenza o meno di dati personali che lo riguardano.

2) La cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge.

3) L’aggiornamento, la rettificazione o, se c’è l’interesse, l’integrazione dei dati.

4) L’attestazione che le operazioni di cui ai numeri 2) e 3) sono state portate a conoscenza, anche per quanto riguarda il loro contenuto, di coloro ai quali i dati sono stati comunicati o diffusi.

·      Opporsi al trattamento dei dati personali che lo riguardano.

·      Opporsi al trattamento di dati personali che lo riguardano, previsto a fini di informazione commerciale o di invio di materiale pubblicitario o di vendita diretta ovvero per il compimento di ricerche di mercato o di comunicazione commerciale interattiva e di essere informato dal titolare, della possibilità di esercitare gratuitamente tale diritto.

Reati e sanzioni amministrative.

Possibly Related Posts: