|
LA
CIFRATURA DEI DATI SENSIBILI O GIUDIZIARI E’
OBBLIGATORIA PER GLI ENTI PUBBLICI
L’ente pubblico può trattare informaticamente
dati sensibili o giudiziari solo se li cifra o utilizza
codici di accesso che rendono il dato temporaneamente
inintelleggibile anche al soggetto autorizzato ad
accedervi
La
proroga della scadenza relativa all’adozione
delle “nuove” misure minime di sicurezza
al 31 dicembre 2005, sembrerebbe aver posto in secondo
piano alcuni obblighi di adozione di misure sicurezza
imposti dalla normativa nei confronti degli enti pubblici.
Ci riferiamo all’obbligo di cifratura (o similia)
dei dati sensibili o giudiziari che, a giudizio di
chi scrive, è scattato fin dal primo gennaio
2004.
La
cifratura dei dati personali nell’ambito dell’outsourcing
Peraltro, alcuni commentatori ritengono che l’obbligo
di cifratura non sia previsto solo nei confronti degli
enti pubblici ma sia già operante per tutti
in virtù del principio di necessità,
ossia del principio previsto dall’articolo 3
del Codice privacy il quale impone che “i sistemi
informativi e i programmi informatici debbano essere
configurati riducendo al minimo l’utilizzazione
di dati personali e identificativi, in modo da escluderne
il trattamento quando le finalità perseguite
nei singoli casi possano essere realizzate mediante
dati anonimi ovvero opportune modalità che
permettano di identificare l’interessato solo
in caso di necessità”. Detto principio,
se applicato alle imprese che hanno l’incarico
di manutenere, aggiornare o gestire sistemi informativi
in outsourcing, si concretizzerebbe in un obbligo
di cifratura dei dati personali. In altra parole,
alcuni sostengono che, (ad esempio) le attività
di back-up dei dati in fase di aggiornamento o manutenzione
dei programmi gestionali, possano essere lecitamente
effettuate solo se i dati sono cifrati, in quanto
l’impresa che fornisce l’attività
in outsourcing non ha alcuna necessità di trattare
i dati (ossia di effettuare il back-up) in “chiaro”,
attesa la circostanza che la finalità perseguita
è solo quella di gestire o aggiornare il sistema.
La
cifratura dei dati sensibili o giudiziari da parte
degli enti pubblici
Il Codice sulla privacy (all’articolo 22, comma
6) obbliga gli enti pubblici a trattare i dati sensibili
o giudiziari con modalità cifrate, ovvero mediante
codici identificativi o mediante qualsiasi altro sistema
che possa rendere inintellegibili i dati anche a chi
è autorizzato ad accedervi, e che permettano
di identificare gli interessati solo in caso di necessità.
E’ rilevante sottolineare come l’obbligo
citato sia inserito nell’ambito del Codice sulla
privacy e non nell’Allegato B al Codice (relativo
alle “misure minime di sicurezza”). Da
ciò discende che per esso non valgono le proroghe
stabilite dal Governo che hanno procrastinato al 31/12/2005
l’entrata in vigore delle nuove misure minime
di sicurezza.
In relazione ai dati idonei a rilevare lo stato di
salute e la vita sessuale, il Codice stabilisce, oltre
a quanto detto in precedenza che la conservazione
debba avvenire separatamente rispetto agli altri dati
personali trattati per finalità ulteriori o
diverse. La corretta modalità di conservazione
per questi dati si basa quindi sulla combinazione
tra cifratura e separazione.
Quali le conseguenze della mancata adozione della
cifratura dei dati sensibili o giudiziari?
Dal punto di vista penale l’art. 167 del Codice
prevede la reclusione da uno a tre anni. Si tratta
comunque di un reato configurabile in condizioni particolari;
affinché si applichi la pena, infatti, il soggetto
deve agire al fine di trarre un profitto proprio o
di danneggiare un terzo e, con il suo comportamento
deve effettivamente generare un danno.
Interessante è anche l’esame delle conseguenze
civilistiche in riferimento alla mancata adozione
della cifratura. Si ricorda che il Codice definisce
l’attività di trattamento dei dati personali
come attività pericolosa, secondo i parametri
posti dall’art. 2050 del Codice Civile.
In base a detto articolo, chi determina un danno attraverso
lo svolgimento dell’attività pericolosa,
è tenuto al risarcimento se non prova di aver
adottato tutte le misure idonee ad impedirlo. Nel
caso in esame, la cifratura dei dati deve essere considerata
misura idonea ad impedire il danno.
L’altro profilo rilevante legato allo svolgimento
di attività pericolose è che, nel giudizio
sulla diligenza dell’esercente l’attività,
non si considera il criterio ordinario, ma si valuta
in relazione alla natura dell’attività
e allo stato della tecnica e dell’arte in quel
determinato settore. Da ciò consegue che non
è considerata una scusante valida l’eccessiva
diseconomicità dei mezzi adottabili per evitare
il danno.
In conclusione, in ipotesi di richiesta di risarcimento
danni per il trattamento dei dati, il titolare del
trattamento, per evitare di pagare il risarcimento
del danno, dovrà dimostrare di avere adottato
tutte le misure idonee ad evitarlo, secondo lo stato
della tecnica e dell’arte di quel settore, cioè
di avere utilizzato strumenti di protezione sufficientemente
validi e attuali. Strumenti che in questo caso vengono
identificati dal legislatore stesso nella cifratura.
Cifratura
dei dati sulla salute da parte di organismi sanitari
Mentre per tutti gli enti pubblici il trattamento
dei dati sulla salute è contenuto ed esaurito
nelle considerazioni precedenti, diversa è
la situazione degli organismi sanitari pubblici e
privati.
Anche per questi ultimi l’obbligo stabilito
è quello della inintelleggibilità dei
dati ottenuto attraverso cifratura o codici identificativi
specifici, a cui si aggiunge l’onere di separare
i dati sulla salute dagli altri dati personali.
Le misure di sicurezza previste sono quindi identiche
a quelle previste per i dati sanitari trattati da
tutti gli enti pubblici. Per gli organismi sanitari
pubblici e privati però, questo sistema di
protezione è inserito dal legislatore nell’ambito
del disciplinare tecnico relativo alle misure minime
di sicurezza (allegato B al D.Lgs.196/03), che entrerà
in vigore solo dal 30 giugno 2005. Si ricorda, peraltro,
che la mancata adozione di detta misura minima di
sicurezza è punita con l’arresto sino
a due anni o con l’ammenda da diecimila a cinquantamila
euro. La stessa sanzione è prevista anche nel
caso in cui gli organismi sanitari non diano attestazione
nel Documento Programmatico sulla Sicurezza, dei criteri
utilizzati per la cifratura e la separazione dei dati
sanitari.
|
|