Misure minime di sicurezza: mai dire scadenza!

di Luigi Neirotti* - 17.03.05

E' evidente che ci troviamo di fronte ad una situazione che sembra governata dal caso e nella quale è difficile intravedere una linea logica di sviluppo. Ad una materia complicata di per sé si stanno aggiungendo via via ulteriori difficoltà che per nulla giovano agli operatori chiamati a dare concretezza alla protezione dei dati personali ed a rispettare le disposizioni.

Dalla previsione originariamente contenuta nell'art. 17 della direttiva 95/46/CE relativa all'obbligo per il titolare di attuare misure tecniche ed organizzative appropriate al fine di garantire la protezione dei dati personali dalla distruzione accidentale o illecita, dalla perdita accidentale o dall'alterazione, dalla diffusione o dall'accesso non autorizzati, segnatamente quando il trattamento comporta trasmissioni di dati all'interno di una rete, o da qualsiasi altra forma illecita di trattamento di dati personali ove si precisava espressamente che Tali misure devono garantire, tenuto conto delle attuali conoscenze in materia e dei costi dell'applicazione, un livello di sicurezza appropriato rispetto ai rischi presentati dal trattamento e alla natura dei dati da proteggere, siamo giunti alla situazione attuale decisamente più articolata ed a questo punto alquanto complicata.

Forse non sarebbe male, accanto ai dubbi di costituzionalità sulle modalità dell'approvazione del rinvio, ricordare anche che dalla disposizione di tre righe testé ricordata, la quale menziona anche i costi come limite da considerare per stabilire le misure da adottare, siamo giunti a sei articoli del codice in tema di misure di sicurezza oltre ad un intero disciplinare tecnico, diverse tipologie di misure di sicurezza con conseguenti diverse sanzioni penali, civili o amministrative in caso d'inosservanza, inversione dell'onere della prova e risarcimento del danno non patrimoniale.

L'attuazione della direttiva nel nostro ordinamento è stata, diciamo, piuttosto "diligente" e sarebbe interessante indagare anche questo aspetto.
Operando in ambito internazionale è sempre difficile illustrare ai colleghi ed ai clienti stranieri la situazione italiana in materia di misure di sicurezza e le ragioni di tanta diversità rispetto alla direttiva ed alle legislazioni degli altri Paesi dell'Unione.
In effetti, quale conseguenza della sovrapposizione normativa che si è sedimentata nel tempo, ci troviamo attualmente (e nostro malgrado) di fronte a ben tre tipi di misure di sicurezza:

a) le "misure minime di sicurezza di cui al DPR 318/1999" in attuazione della legge 675/96, le quali erano entrate in vigore al più tardi il 1. gennaio 2001 e che da quella data risultano obbligatorie per tutti i titolari di trattamento. Non ci sono proroghe applicabili per queste misure in quanto sono rimaste pienamente valide con l'entrata in vigore del nuovo codice il 1 gennaio 2004;

b) le "più ampie misure di sicurezza" previste dall'art. 31 del codice, le quali prevedono l'adozione di adeguati sistemi di protezione contro i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta, già obbligatorie sotto il regime della legge 675/96, e comunque rimaste pienamente in vigore dal 1 gennaio 2004, sotto l'egida del nuovo codice;

c) le "misure minime di sicurezza prorogate", vale a dire tutte quelle misure minime previste negli articoli da 33 a 36 e nel disciplinae tecnico (allegato B al codice), identificabili come aggiuntive rispetto alle misure minime del DPR 318/1999, attualmente oggetto di reiterata proroga, a questo punto da adottare entro il 31 dicembre 2005, salvo l'applicazione della speciale dilazione (al 31 marzo 2006) per il caso si disponga di strumenti elettronici che per obiettive ragioni tecniche non consentono l'immediata applicazione.

Ora, è evidente che questo sistema inutilmente articolato e complicato costituisce una trappola micidiale per tutti i titolari di trattamento, complice anche una certa enfasi giornalistica data al provvedimento di proroga, quasi si trattasse di un rinvio tout court dell'applicazione della disciplina in materia di protezione dei dati personali.
Cerchiamo tuttavia di ragionare sui fatti e sugli elementi concreti per stabilire cosa risulti necessario fare dal punto di vista di un titolare del trattamento.

Punto primo: la maggior parte delle misure minime, il nucleo previsto dal DPR 318/99, risulta obbligatoria da oltre quattro anni. Quindi vanno adottate e mantenute operative, senza indugio, da tutti i titolari di trattamento. Tra queste, a scopo meramente esemplificativo, i sistemi d'autenticazione informatica mediante userid e password, i sistemi di autorizzazione, i sistemi antivirus, ed in certi casi il documento programmatico sulla sicurezza.

Punto secondo: le misure di sicurezza effettivamente richieste dal codice non sono quelle minime, bensì quelle più ampie di cui all'art. 31.
Per andare esenti da conseguenze risarcitorie, in caso di distruzione o perdita dei dati, o di accesso non autorizzato o di trattamento non consentito, occorre dimostrare di aver adottato misure di sicurezza adeguate.

In questo caso, il codice stabilisce che l'adeguatezza deve essere valutata anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento. In altre parole, occorre adottare tutte le protezioni che risultano disponibili al momento, secondo il progresso tecnico e le soluzioni teoricamente disponibili (il richiamo all'art. 2050 codice civile determina questo stato di cose, alquanto impegnativo per un titolare di trattamento, che determina una specie di responsabilità oggettiva).

A questo riguardo non bisogna dimenticare che il Codice stabilisce ulteriormente l'inversione dell'onere della prova - spetta al titolare dimostrare di aver adottato tutte le misure idonee, all'interessato spetta solo di provare il danno sofferto - e che il risarcimento comprende non solo il danno patrimoniale bensì anche quello non patrimoniale (danno morale).

Punto terzo: ciò che è stato prorogato, di fatto, è solamente la rilevanza penale derivante dalla mancata adozione delle misure incrementali. Da notare che la mancata adozione delle misure minime di cui al DPR 318/1999, quindi già obbligatorie, costituirebbe in ogni modo fattispecie punita penalmente (salvo gli effetti del ravvedimento operoso previsto dal secondo comma dell'art. 169 del Codice).

Se si guardano le cose dal punto di vista della protezione dell'impresa e del suo patrimonio intangibile, del rischio di essere chiamati a risarcimento del danno, allora si deve ritenere che l'adozione delle misure di sicurezza, di quelle più ampie e non solo di quelle minime, è indispensabile, indipendentemente dalle proroghe.
Adagiarsi sulla "proroga della proroga della proroga" è quindi pericoloso.

Punto quarto: sulla base dei tre punti che precedono, da un punto di vista aziendalistico, vi è da domandarsi se abbia senso rinviare l'adozione delle misure minime quando la legge richiede di adottare misure che sono molto, molto più ampie e complesse e lo richiede da parecchio tempo e con le conseguenze sopra illustrate.

Prescindendo da ogni altra valutazione, volendo considerare la questione da un punto di vista prettamente del rischio economico e del possibile impatto sull'impresa, la conseguenza della mancata adozione delle misure minime, applicando il ravvedimento operoso, dovrebbe essere quantificata, sulla base dell'art. 169 del codice, in 12.500 euro (un quarto della pena massima, non si applica la pena detentiva), cui sommare le conseguenze della perdita d'immagine e reputazione sul mercato e presso la propria clientela, oltre alla spesa per l'adozione delle misure minime (da sostenere comunque).

La conseguenza della mancata adozione delle più ampie misure di sicurezza deve essere quantificata nella sommatoria del danno subito direttamente dalla propria impresa e del mancato profitto, dell'eventuale perdita di occasioni commerciali, di contratti o di commesse, oltre alla possibile perdita di reputazione sul mercato e nei confronti dei consumatori, cui andrebbero aggiunti il danno patrimoniale e non patrimoniale da risarcire all'interessato. A questo punto seguirebbe la spesa per l'adozione di adeguate misure di sicurezza (e probabilmente la necessità di giustificare con il proprietario o l'azionista dell'impresa le ragioni della decisione della mancata adozione delle adeguate misure di sicurezza che hanno condotto ad una simile situazione).

Ognuno può stimare la probabilità di accadimento alla propria realtà di quanto sopra delineato, considerando anche l'attività di addestramento che il Garante sta conducendo nei confronti della Guardia di finanza a fini di ispezioni circa il rispetto della privacy, la sicurezza dei propri sistemi di trattamento dei dati personali, le procedure interne, e valutare opportunamente le decisioni da adottare.
Tuttavia mi sembra risulti evidente la necessità di considerare adeguatamente l'importanza dell'adozione delle più ampie misure di sicurezza alla luce del possibile impatto sull'operatività aziendale.

Morale della storia: le sanzioni penali sono quelle che a prima vista impressionano di più ed a fronte della proroga è normale pensare ad un differimento dello sforzo di adeguamento; tuttavia, un buon amministratore o dirigente dovrebbe prudentemente preoccuparsi di assicurare adeguata protezione alla propria impresa mediante l'adozione delle misure più ampie, indipendentemente dalle proroghe delle misure minime che allontanano il rischio di sanzioni penali, tenuto inoltre anche conto che la proroga riguarda solo una parte delle misure minime, mentre per molte di queste, compreso il documento programmatico sulla sicurezza in determinate ipotesi, l'obbligo è in vigore da tempo.
 

* Avvocato in Milano - Partner Studio Legale Tributario in association with Ernst & Young - Responsabile del dipartimento di diritto dell'informatica