Articoli e dottrina
 
   
 

LA CIFRATURA DEI DATI SENSIBILI O GIUDIZIARI E’ OBBLIGATORIA PER GLI ENTI PUBBLICI

L’ente pubblico può trattare informaticamente dati sensibili o giudiziari solo se li cifra o utilizza codici di accesso che rendono il dato temporaneamente inintelleggibile anche al soggetto autorizzato ad accedervi

La proroga della scadenza relativa all’adozione delle “nuove” misure minime di sicurezza al 31 dicembre 2005, sembrerebbe aver posto in secondo piano alcuni obblighi di adozione di misure sicurezza imposti dalla normativa nei confronti degli enti pubblici. Ci riferiamo all’obbligo di cifratura (o similia) dei dati sensibili o giudiziari che, a giudizio di chi scrive, è scattato fin dal primo gennaio 2004.

La cifratura dei dati personali nell’ambito dell’outsourcing
Peraltro, alcuni commentatori ritengono che l’obbligo di cifratura non sia previsto solo nei confronti degli enti pubblici ma sia già operante per tutti in virtù del principio di necessità, ossia del principio previsto dall’articolo 3 del Codice privacy il quale impone che “i sistemi informativi e i programmi informatici debbano essere configurati riducendo al minimo l’utilizzazione di dati personali e identificativi, in modo da escluderne il trattamento quando le finalità perseguite nei singoli casi possano essere realizzate mediante dati anonimi ovvero opportune modalità che permettano di identificare l’interessato solo in caso di necessità”. Detto principio, se applicato alle imprese che hanno l’incarico di manutenere, aggiornare o gestire sistemi informativi in outsourcing, si concretizzerebbe in un obbligo di cifratura dei dati personali. In altra parole, alcuni sostengono che, (ad esempio) le attività di back-up dei dati in fase di aggiornamento o manutenzione dei programmi gestionali, possano essere lecitamente effettuate solo se i dati sono cifrati, in quanto l’impresa che fornisce l’attività in outsourcing non ha alcuna necessità di trattare i dati (ossia di effettuare il back-up) in “chiaro”, attesa la circostanza che la finalità perseguita è solo quella di gestire o aggiornare il sistema.

La cifratura dei dati sensibili o giudiziari da parte degli enti pubblici
Il Codice sulla privacy (all’articolo 22, comma 6) obbliga gli enti pubblici a trattare i dati sensibili o giudiziari con modalità cifrate, ovvero mediante codici identificativi o mediante qualsiasi altro sistema che possa rendere inintellegibili i dati anche a chi è autorizzato ad accedervi, e che permettano di identificare gli interessati solo in caso di necessità. E’ rilevante sottolineare come l’obbligo citato sia inserito nell’ambito del Codice sulla privacy e non nell’Allegato B al Codice (relativo alle “misure minime di sicurezza”). Da ciò discende che per esso non valgono le proroghe stabilite dal Governo che hanno procrastinato al 31/12/2005 l’entrata in vigore delle nuove misure minime di sicurezza.
In relazione ai dati idonei a rilevare lo stato di salute e la vita sessuale, il Codice stabilisce, oltre a quanto detto in precedenza che la conservazione debba avvenire separatamente rispetto agli altri dati personali trattati per finalità ulteriori o diverse. La corretta modalità di conservazione per questi dati si basa quindi sulla combinazione tra cifratura e separazione.
Quali le conseguenze della mancata adozione della cifratura dei dati sensibili o giudiziari?
Dal punto di vista penale l’art. 167 del Codice prevede la reclusione da uno a tre anni. Si tratta comunque di un reato configurabile in condizioni particolari; affinché si applichi la pena, infatti, il soggetto deve agire al fine di trarre un profitto proprio o di danneggiare un terzo e, con il suo comportamento deve effettivamente generare un danno.
Interessante è anche l’esame delle conseguenze civilistiche in riferimento alla mancata adozione della cifratura. Si ricorda che il Codice definisce l’attività di trattamento dei dati personali come attività pericolosa, secondo i parametri posti dall’art. 2050 del Codice Civile.
In base a detto articolo, chi determina un danno attraverso lo svolgimento dell’attività pericolosa, è tenuto al risarcimento se non prova di aver adottato tutte le misure idonee ad impedirlo. Nel caso in esame, la cifratura dei dati deve essere considerata misura idonea ad impedire il danno.
L’altro profilo rilevante legato allo svolgimento di attività pericolose è che, nel giudizio sulla diligenza dell’esercente l’attività, non si considera il criterio ordinario, ma si valuta in relazione alla natura dell’attività e allo stato della tecnica e dell’arte in quel determinato settore. Da ciò consegue che non è considerata una scusante valida l’eccessiva diseconomicità dei mezzi adottabili per evitare il danno.
In conclusione, in ipotesi di richiesta di risarcimento danni per il trattamento dei dati, il titolare del trattamento, per evitare di pagare il risarcimento del danno, dovrà dimostrare di avere adottato tutte le misure idonee ad evitarlo, secondo lo stato della tecnica e dell’arte di quel settore, cioè di avere utilizzato strumenti di protezione sufficientemente validi e attuali. Strumenti che in questo caso vengono identificati dal legislatore stesso nella cifratura.

Cifratura dei dati sulla salute da parte di organismi sanitari
Mentre per tutti gli enti pubblici il trattamento dei dati sulla salute è contenuto ed esaurito nelle considerazioni precedenti, diversa è la situazione degli organismi sanitari pubblici e privati.
Anche per questi ultimi l’obbligo stabilito è quello della inintelleggibilità dei dati ottenuto attraverso cifratura o codici identificativi specifici, a cui si aggiunge l’onere di separare i dati sulla salute dagli altri dati personali.
Le misure di sicurezza previste sono quindi identiche a quelle previste per i dati sanitari trattati da tutti gli enti pubblici. Per gli organismi sanitari pubblici e privati però, questo sistema di protezione è inserito dal legislatore nell’ambito del disciplinare tecnico relativo alle misure minime di sicurezza (allegato B al D.Lgs.196/03), che entrerà in vigore solo dal 30 giugno 2005. Si ricorda, peraltro, che la mancata adozione di detta misura minima di sicurezza è punita con l’arresto sino a due anni o con l’ammenda da diecimila a cinquantamila euro. La stessa sanzione è prevista anche nel caso in cui gli organismi sanitari non diano attestazione nel Documento Programmatico sulla Sicurezza, dei criteri utilizzati per la cifratura e la separazione dei dati sanitari.