L’avvento di nuove tecnologie telematiche, aumenta la possibilità di essere lesi con sofisticate tecniche di intrusione, nel proprio diritto alla privacy. C’è, quindi, la necessità di porre un freno ad ogni abuso a difesa del singolo individuo come delle aziende.-
Nel 2005 aumenteranno ulteriormente gli investimenti sulla sicurezza informatica delle imprese soprattutto nel campo della tutela digitale. In realtà, si denuncia un aumento dei crimini elettronici, i cosiddetti e-crimes che, nel 2003, sono costati 666 milioni di dollari.
Questi sono dati forniti dalla rivista Cso in collaborazione ai servizi segreti americani ed al Centro di Ricerca sulla Sicurezza Informatica della Carnegie Mellon University (CERT).
Questo studio afferma che il 70% delle aziende non si occupano della sicurezza informatica messa a rischio, non solo da attacchi esterni ma anche da sabotaggi e spionaggio interno e di non provvedere ad un piano di sicurezza complesso. Praticamente le aziende non si aggiornano. I sistemi operativi non solo sono vecchi ed obsoleti ma non si predispongono rimedi per prevenire danni all’hardwaresenza con adeguati gruppi di gruppi di continuità. Pur vero è che, la spesa di investimento in questi settori è onerosa, ma sembra mancare una vera a propria cultura circa gli strumenti informatici a servizio dell’attività d’impresa.
Ciò che è necessario prevenire sono i danni digitali a seguito dell’e-commerce, small business, no profit, hi tech, financial services, business services, telecomunicazioni, media & entertainment, educazione e salute. Occorre una autodisciplina maggiore in questo senso che sia orientata ad associare l’adeguamento tecnico con l’informazione periodica per la sicurezza aziendale.
L’introduzione nel nostro Paese di una disciplina apposita è stato lunghissimo e sofferto. L’Italia è stato, di fatto, l’ultimo Paese a dotarsi di regolamenti specifici in merito. Si è partiti dalla Convenzione europea sulla protezione delle persone rispetto al trattamento automatizzato di dati di carattere automatizzato con l. 21 febbraio 1989, n. 98, in seguito si è attuata la direttiva comunitaria in materia con la l. n. 46 del 1995, da ultima la l. 31 dicembre 1996, n. 675.
La disciplina delle banche personali è disciplinata da diverse fonti normative che tutelano i diritti della persona connessi con la privacy (oltre alle disposizioni nei più svariati settori che vanno dal casellario giudiziale alla riforma di polizia, allo statuto dei lavoratori) :
a) la legge 31 dicembre 1996, n. 675, entrata in vigore l’8 maggio 1997;
b) la legge 31 dicembre 1996, n. 676, di delega al governo per l’emanazione di disposizioni integrative della legislazione in materia;
c) il D.lgs. 9 maggio 1997, n. 123 con cui si sono apportate alcune modifiche alla legge 1996, n. 675;
d) il regolamento di attuazione della legge 1996, n. 676, in corso di elaborazione;
e) i provvedimenti del Garante per la protezione dei dati personali, cioè le deliberazioni dell’autorità amministrativa indipendente istituita dalla legge 1996, n. 675.
L’intera materia ora è stata accorpata e sistemata in un unico testo con D.lgs 30 giugno 2003, n. 196 c.d. codice in materia di protezione dei dati personali.
Vuole essere un Codice che comprende in sé un insieme di regole corrette nella loro formulazione in base alla giurisprudenza ed agli assunti dell’Autorità Garante a partire dalla sua istituzione ad oggi.
Il Presidente dell’Autorità Garante ha tenuto a precisare che il diritto alla protezione dei dati personali deve essere inteso come uno dei diritti fondamentali della persona: «si configura come una precondizione per il pieno godimento di altri diritti fondamentali, impone una ricostruzione dei singoli diritti fondamentali nel nuovo contesto sociale disegnato dalle tecnologie dell’informazione e della comunicazione (Rodotà, 2004, 4)».
L’assunto viene confermato dal “Codice” che riproduce il c. 1 dell’art. 8 della Carta di Nizza a sua volta incorporata nella Costituzione europea.
Svariate sono le implicazioni, per esempio:
1. con il diritto comunitario, si pensi alle direttive comunitarie nn. 95/46 e 2202/58, nonché le pronunce della Corte di Giustizia. Il Codice comprende nuove regole sui servizi di comunicazione elettronica, internet e reti telematiche dove, il modello italiano, «appare più progressivo e completo della disciplina frammentaria che deriva dalla matrice comunitaria, perché è destinato anche a persone giuridiche e richiede in via preventiva il consenso dell’interessato per coloro che spediscono con ogni mezzo messaggi commerciali (Cirillo, in AA.VV., 2005, 6 ss.)»;
2. la necessità di una griglia di precetti-guida tale da ottenere una omogenea ed adeguata interpretazione dei principi generali e delle nozioni tra i quali il: «”principio di necessità”» che opera direttamente in riferimento ai contesti telematici ed informatici (Butterelli, in AA.VV., 2005, 78)» con l’obiettivo di costringere, chiunque effettui il trattamento dei dati personali, ad attenersi ai precetti secondo diligenza e correttezza, nonché secondo principi di finalità, pertinenza e proporzionalità nella raccolta e nel trattamento dei dati;
3. un elenco particolareggiato dei diritti di ciascuno appartenenti ad una sfera considerata autonoma che specificano ed individuano una nuova caratteristica della personalità e vanno ad aggiungersi alla tutela della riservatezza. L’art. 7 del Codice troverà una “norma chiave”, a detta del Cirillo, che assicurerà il soggetto e della sua tutela per i dati raccolti da terzi. E’ stato, oltretutto, inserito il diritto ad opporsi al trattamento dei dati personali ai fini di marketing;
4. rimedi in favore dell’interessato di natura giurisdizionale, amministrativa e penale (Cirillo, in AA.VV., 2005, 696 ss., 784 ss.) compreso il risarcimento del danno previsto dall’art. 15 con un richiamo esplicito all’art. 2043 del codice civile;
5. disposizioni di settore: pubblica amministrazione, dati sanitari, dati scientifici storici e statistici, mondo del lavoro, sistema bancario, finanziario ed assicurativo, comunicazione elettronica, settore giornalistico;
6. dinamiche processuali del trattamento.
Il “Codice”, all’art. 12, precisa finalità e modalità di codifica delle regole di autodisciplina, auspica imponendole, redazioni di nuovi codici per le discipline on line, rapporti di lavoro, rapporto previdenziale, video sorveglianza e centrali rischi. L’art. 12 non vuole essere un elenco chiuso ma: «rappresenta una porta sempre aperta verso il futuro, poiché la protezione dei dati personali assume importanza crescente in relazione all’impetuoso emergere di nuovi settori, di nuove esigenze di intervento da parte delle istituzioni di garanzia (Santaniello e Rasi, in AA.VV., 2005, 308)
Le aziende dovranno dunque adeguarsi. Il nuovo Codice in materia di protezione dei dati personali, le obbligherà ad aggiornarsi sulla protezione e sicurezza. A cominciare dalla gestione delle credenziali di identificazione; password, token, dispositivi biometrici; protezione delle sessioni di lavoro; prevenzione ai difetti del software; protezione dei supporti rinnovabili; integrità, disponibilità, salvataggio e ripristini dati; difesa degli accessi abusivi; analisi dei rischi informatici; formazione specifica degli addetti.
La legge varrà per tutte le aziende affinché predispongano i rimedi necessari per la loro sicurezza e, non solo, ma saranno obbligate, entro il 31 marzo di ogni anno in un Documento Programmatico annuale sulla Sicurezza (DPS), a rubricare tutti i provvedimenti presi e le cautele adottate con una dichiarazione accompagnatoria al bilancio aziendale. Questo documento deve essere completo delle analisi dei rischi, completo di tutte le precauzioni che si sono intese prendere per la sicurezza dei dati, l’elenco dei corsi di aggiornamento per il personale e le misure minime in caso di outsourcing dei trattamenti.
In presenza di violazioni, la legge prevede misure penalmente rilevanti e la richiesta di risarcimento danni da parte del soggetto danneggiato cui sono riferiti determinati dati.
L’azienda è tenuta a custodire, inoltre, i dati personali per prevenire violazioni o intrusioni indebite da parte di virus con la predisposizione di sistemi protettivi quali firewall e/o antivirus. La legge dispone anche che le aziende, ogni settimana, si premurino di salvare i dati in apposite copie. Si tratterà, in definitiva, di pianificare l’attività delle aziende attraverso un più oculato uso delle tecnologie informatiche nel massimo della sicurezza possibile con indicazioni espresse ed inderogabili di una legge.
La difesa dei dati personali sarà: « una precondizione per l’esercizio pieno delle libertà e dei diritti (Rodotà, Relazione 2003, 22).
