La sicurezza dei dati personali è tanto importante che omettere di adottare tutte le misure necessarie per tutelarla, è sanzionata dall’rt. 169 del D.lgs 196 del 2003. Infatti, si punisce chi: «essendovi tenuto, omette di adottare le misure minime previste dall’art. 33», è punito con l’arresto sino a due anni o con l’ammenda da diecimila a cinquantamila euro. Il Capo II del T,U, riporta le misure minime già contenute nel DPR n. 318/1999 con una suddivisione per quanto riguarda trattamenti effettuati con strumenti elettronici e trattamenti con strumenti elettronici non automatizzati. Nel primo caso è l’art. 34 a prevederne la disciplina:
«1. Il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell’allegato B), le seguenti misure minime:
a) autenticazione informatica;
b) adozione di procedure di gestione delle credenziali di autenticazione;
c) utilizzazione di un sistema di autorizzazione;
d) aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici;
e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici;
f) adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi;
g) tenuta di un aggiornato documento programmatico sulla sicurezza;
h) adozione di tecniche di cifratura o di codici identificativi per determinato trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari».
Nel secondo caso si fa riferimentoo all’art. 35, Trattamenti senza l’ausilio di strumenti elettronici:
«1. Il trattamento di dati personali effettuato senza l’ausilio di strumenti elettronici, è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell’allegato B9, le seguenti misure minime:
a) aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati o alle unità organizzative;
b) previsione di procedure per un’idonea custodia di atti e documenti affidati agli incaricati per lo svolgimento dei relativi compiti;
c) previsione di procedure per la conservazione di determinati atti in archivi ad accesso selezionato e disciplina delle modalità di accesso finalizzata all’identificazione degli incaricati».
I soggetti attivi del reato sono quanti hanno obblighi di responsabilità inerenti alla sicurezza dei dati che si trovano in una posizione di primaria importanza nella loro salvaguardia.
Si tratta, in termini giuridici, di una condotta contravvenzionale omissiva della previsione delle misure minime da adottare previste sia dall’art. 15 della legge 675 del 1996 eg oggi dall’art. 31 del D.lgs 196/03 dando attuazione all’art. 17 della Direttiva 95/46/CE: «I dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati ed alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l’adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta».
Il dettato dell’art. 31 è chiaro. Prevede un dovere che configuri una condotta ben precisa ma al tempo stesso, si intuisce come non possa essere previsto una tutela a “tutto tondo” perfetta che garantisca, in maniera ermetica l’invulnerabilità. Le misure devono essere «idonee» cioè capaci di assicurare una certa qualità o un certo risultato che viene posto come obiettivo. Per esempio, la violazione di un dato “sensibile”, rivela informazioni personali che ledono diritti fondamentali: «dati idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione ai partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale (art. 4, comma 1 lett. D)»; dati giudiziari «…in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e del relativi carichi pendenti o la qualità di indagato ai sensi degli articoli 60 e 61 c.p.p.».
L’adeguatezza delle misure di sicurezza, deve essere rispettosa di alcuni principi base, deve cioè essere pertinente ed efficace. Compilare una relazione di disposizioni minime sulla sicurezza, significa tenere in considerazione il metodo di analisi più opportuno in modo da renderne difficile o difficilissima la violazione. Per lo più, il livello di sicurezza si riterrà adeguato soprattutto se sarà giudicato capace di percepire i rischi e le minacce ad esso intentato tenendo conto di una serie di riferimenti di fatto quali il grado di sensibilità dei dati personali trattati; la quantità; i criteri di distribuzione interni al titolare; i flussi esterni con i terzi; le modalità dei flussi trasmessivi; le procedure di divulgazione; il metodo di archiviazione.
Il legislatore, quindi, ha preteso che questi dati vengano «custoditi e controllati» da parte di chi ne è il responsabile in una opera di vigilanza senza soluzione di continuità adoperandosi nella ispezione, verifica ed una serie ulteriore di premure che ottengano una riduzione sensibile dei rischi.
Riassumendo, il responsabile della sicurezza dei dati personali deve guardarsi da una serie di rischi che incombono sulla riservatezza: distruzione o perdita dei dati; accesso non autorizzato; accesso abusivo; trattamento non consentito. Si pensi ai “data-logs” ai “cookies”, ai “software spia”, ai “bachi invisibili” ecc., esempi di raccolta occulta di dati pesonali.
Il titolare di un dato personale violato a causa di una di questi eventi ed in ragione di questo fatto, patisca un danno, potrà ricorrere all’art. 2050 del codice civile Responsabilità per l’esercizio di attività pericolose: «Chiunque cagiona danno ad altri nello svolgimento di un’attività pericolosa, per sua natura o per la natura dei mezzi adoprati, è tenuto al risarcimento, se non prova di avere adottato tutte le misure idonee ad evitare il danno».
Una volta che, il responsabile dei dati abbia ottemperato al dettato dell’art. 169 del D.lgs 196/03, salvo quindi da conseguenze penali, potrebbe, però, vedersi citare per responsabilità di natura patrimoniale ai sensi dell’art. 15. Solo nel 1999 con il Decreto n. 318, furono elencate dettagliatamente misure “minime” di sicurezza cui fare riferimento ed in relazione al tipo di strumento utilizzato per il trattamento dei dati attualmente inclusi nell’allegato tecnico del D.lgs 196/03; per esempio, a seconda che si tratti di computer accessibile o accessibile da reti disponibili al pubblico non accessibile da altri elaboratori.
Chi è responsabile della sicurezza dei dati personali, deve farsi carico di continui aggiornamenti tecnici dal momento che le novità tecnologiche si susseguono nel tempo a ritmo vertiginoso.
