Misure
di sicurezza. responsabilità civili e penali
a
cura di Francesco Iperti e Mariapaola Berlingieri
Misure
minime di sicurezza
In
materia di privacy (tutela dei dati personali), dal
29 marzo 2000, i titolari del trattamento di dati
personali avrebbero dovuto adottare le misure minime
di sicurezza. In tale data, infatti, è entrato in
vigore il d.P.R. 28 luglio 1999 n. 318, il quale ha
descritto dette misure minime di sicurezza, distinguendo
l'ipotesi del trattamento dei dati personali effettuato
con elaboratori in rete dall'ipotesi in cui è assente
una rete e prevedendo ulteriori accorgimenti nel caso
di trattamento di dati sensibili.
Utilizzo
di elaboratori non in rete
In
caso di utilizzo di elaboratori non accessibili da
altri elaboratori o terminali, devono essere adottate,
anteriormente all'inizio del trattamento, le seguenti
misure:
a)
prevedere una parola chiave per l'accesso ai dati,
fornirla agli incaricati del trattamento e, ove tecnicamente
possibile in relazione alle caratteristiche dell'elaboratore,
consentirne l'autonoma sostituzione, previa comunicazione
ai soggetti preposti ai sensi della successiva lettera
b);
b)
individuare per iscritto, quando vi è più di un incaricato
del trattamento e sono in uso più parole chiave, i
soggetti preposti alla loro custodia o che hanno accesso
ad informazioni che concernono le medesime.
Utilizzo
di elaboratori in rete
Nell'ipotesi
di trattamenti effettuati con elaboratori in rete,
oltre a quanto previsto nel caso di assenza di rete
precedentemente illustrato, dovevano essere adottate
le seguenti misure:
a)
attribuire a ciascun utente o incaricato del trattamento
un codice identificativo personale per l'utilizzazione
dell'elaboratore; uno stesso codice, fatta eccezione
per gli amministratori di sistema relativamente ai
sistemi operativi che prevedono un unico livello di
accesso per tale funzione, non può, neppure in tempi
diversi, essere assegnato a persone diverse;
b)
assegnare e gestire i codici identificativi personali
in modo che ne sia prevista la disattivazione in caso
di perdita della qualità che consentiva l'accesso
all'elaboratore o di mancato utilizzo dei medesimi
per un periodo superiore ai sei mesi;
c)
proteggere gli elaboratori contro il rischio di intrusione
ad opera di programmi virus, mediante idonei software
antivirus, la cui efficacia ed aggiornamento deve
essere verificata con cadenza almeno semestrale.
Trattamento
dati sensibili con elaboratori in rete
Nel
caso di trattamento di dati sensibili, ossia di dati
personali idonei a rivelare l'origine razziale ed
etnica, le convinzioni religiose, filosofiche o di
altro genere, le opinioni politiche, l'adesione a
partiti, sindacati, associazioni od organizzazioni
a carattere religioso, filosofico, politico o sindacale,
nonché lo stato di salute e la vita sessuale, bisognava
adottare ulteriori misure di sicurezza in relazione
al tipo di rete ove opera l'elaboratore.
In
sintesi, il legislatore ha previsto due ipotesi.
Nel
caso di trattamento effettuato con elaboratori accessibili
da altri elaboratori solo attraverso reti non disponibili
al pubblico, sarà necessario:
espressamente
autorizzare, singolarmente o per gruppi di lavoro,
gli incaricati del trattamento o della manutenzione;
la sussistenza delle condizioni per la conservazione
delle autorizzazioni va verificata almeno una volta
l'anno.
limitare
l'autorizzazione all'accesso ai soli dati la cui conoscenza
è necessaria e sufficiente per lo svolgimento delle
operazioni di trattamento o di manutenzione.
fare
in modo che non sia possibile l'utilizzazione di un
medesimo codice identificativo personale per accedere
contemporaneamente alla stessa applicazione da diverse
stazioni di lavoro.
Nell'ipotesi
di trattamento di dati sensibili effettuato mediante
elaboratori accessibili da altri elaboratori mediante
una rete disponibile al pubblico, sarà necessario
disporre, oltre alle misure obbligatorie per il trattamento
effettuato da elaboratori accessibile da una rete
privata:
l'autorizzazione
anche degli strumenti che possono essere utilizzati
per l'interconnessione: essa deve individuare i singoli
elaboratori attraverso cui è possibile accedere per
effettuare operazioni di trattamento;
la
distruzione dei supporti precedentemente utilizzati
per il trattamento, qualora non sia possibile rendere
le informazioni ivi contenute tecnicamente irrecuperabili;
la
predisposizione di un documento programmatico sulla
sicurezza dei dati, da aggiornare almeno annualmente,
per definire, sulla base dell'analisi dei rischi,
della distribuzione dei compiti e delle responsabilità
nell'ambito delle strutture preposte al trattamento
dei dati stessi:
i
criteri tecnici e organizzativi per la protezione
delle aree e dei locali interessati dalle misure di
sicurezza nonché le procedure per controllare l'accesso
delle persone autorizzate ai locali medesimi;
i
criteri e le procedure per assicurare l'integrità
dei dati;
i
criteri e le procedure per la sicurezza delle trasmissioni
dei dati, ivi compresi quelli per le restrizioni di
accesso per via telematica;
l'elaborazione
di un piano di formazione per rendere edotti gli incaricati
del trattamento dei rischi individuati e dei modi
per prevenire danni.
Il
decreto n° 318/1999 sulle misure minime di sicurezza
prevede inoltre il controllo periodico (cadenza almeno
annuale) dell'efficacia delle misure di sicurezza.
Trattamento
di dati personali effettuato in forma cartacea
Nell'ipotesi
di trattamento dei dati personali effettuato in forma
cartacea, ai sensi del d.P.R. n° 318/1999 bisogna
adottare le seguenti misure di sicurezza:
limitare
l'accesso degli incaricati ai soli dati personali
la cui conoscenza sia strettamente necessaria per
adempiere ai compiti loro assegnati;
conservare
gli atti e i documenti contenenti i dati in archivi
ad accesso selezionato.
Nel
caso di trattamento di dati sensibili oltre a quanto
previsto nelle suindicate lettere, devono essere osservate
le seguenti modalità:
conservare
in contenitori muniti di serratura, gli atti e i documenti
contenenti i dati affidati agli incaricati del trattamento
fino alla restituzione;
controllare
l'accesso all'archivio ed identificare i soggetti
che vi vengono ammessi dopo l'orario di chiusura degli
archivi stessi.
Responsabilità
a carattere penale.
La
l. 675/1996 contiene una serie di disposizioni aventi
ad oggetto una responsabilità di tipo penale. Si va
dall'omessa o erronea notificazione, al trattamento
illecito dei dati, all'inosservanza dei provvedimenti
del Garante.
Ma
la norma che più ci interessa, alla luce delle imminenti
scadenze cui abbiamo accennato, è senza dubbio quella
riguardante l'omessa adozione delle "misure necessarie
a garantire la sicurezza dei dati", ossia delle
misure minime di sicurezza descritte in precedenza.
L'art.
36 della l. 675/1996, al primo comma, dispone che
"chiunque, essendovi tenuto, omette di adottare
le misure necessarie a garantire la sicurezza dei
dati personali, in violazione delle disposizioni dei
regolamenti di cui ai commi 2 e 3 dell'articolo 15
(ossia del DPR 318/1999 descritto in precedenza),
è punito con la reclusione sino ad un anno. Se dal
fatto deriva nocumento, la pena è della reclusione
da due mesi a due anni".
E'
evidente la natura di reato omissivo proprio della
fattispecie, che si perfeziona a prescindere dal verificarsi
di un eventuale danno.
Responsabili
sono i soggetti tenuti ad attivarsi per adottare le
misure di sicurezza.
Il
reato è punito anche a titolo di colpa e la pena stabilita
è la stessa prevista per l'ipotesi dolosa.
La
questione giuridicamente più interessante è quella
relativa all'individuazione dei soggetti tenuti all'adozione
delle misure di sicurezza, e dunque responsabili penalmente.
Gli interpreti sono concordi nell'attribuire al titolare
del trattamento questo tipo di responsabilità, in
quanto formalmente obbligato a adoperarsi per predisporre
le misure di sicurezza e comunque tenuto ad operare
sulla base di una responsabilità in vigilando, oltre
che in eligendo.
Il
titolare, infatti, deve scegliere i responsabili tra
persone dotate di esperienza, capacità ed affidabilità,
che diano idonea garanzia del pieno rispetto delle
disposizioni vigenti in materia di trattamento, ivi
compreso il profilo relativo alla sicurezza. In secondo
luogo, il titolare è tenuto a vigilare sulla puntuale
osservanza delle norme di legge e delle proprie istruzioni.
Pacificamente,
dunque, egli rimane (almeno in parte) responsabile,
anche quando demanda i propri compiti ad altri, se
omette di vigilare ed effettuare verifiche periodiche.
Gli
orientamenti interpretativi non sono così uniformi
quando si passa invece ad analizzare il ruolo delle
figure di secondo piano, vale a dire responsabile
ed incaricato. Per quanto riguarda il primo, si ritiene
comunemente (anche se non mancano le opinioni contrarie)
che possa incorrere in sanzioni penali qualora ometta
di adempiere alle istruzioni dategli dal titolare;
dunque, nei limiti delle proprie competenze e del
proprio raggio d'azione, che possa essere chiamato
a rispondere del proprio comportamento omissivo.
Lo
stesso discorso dovrebbe valere per l'incaricato,
qualora egli sia lo specifico destinatario di istruzioni
precise, specifiche e dettagliate cui non abbia ottemperato;
sempre che le istruzioni siano state impartite dal
titolare per iscritto. Alcuni interpreti ritengono
però che questo soggetto debba essere chiamato a rispondere
solo dal punto di vista disciplinare.
Misure
di sicurezza "minime" e "idonee".
Finora
abbiamo trattato delle misure minime di sicurezza
le quali garantiscono un livello particolarmente basso,
minimo per l'appunto, di protezione: sono tutte quelle
misure che il legislatore ha ritenuto necessarie e
sufficienti ad escludere rischi particolarmente gravi
per i dati sottoposti a trattamento. Si ricorda che
la mancata adozione di tali misure comporta l'irrogazione
delle sanzioni penali descritte in precedenza.
La
legge sulla privacy prende tuttavia in considerazione
una altra tipologia di misure di sicurezza, le c.d.
misure idonee, rivolte a ridurre al minimo i rischi
di distruzione o perdita anche accidentale dei dati,
di accesso non autorizzato, trattamento non consentito
o non conforme alle finalità della raccolta. Tali
misure di sicurezza, non sono indicate dalla legge
ma, al contrario, verranno scelte da ogni azienda
sulla base di quattro elementi specificatamente indicati
dalla l. 675/1996:
Progresso
tecnico;
Natura
dei dati;
Caratteristiche
del trattamento;
Specifici
rischi.
Come
è facile constatare il concetto stesso di misura di
sicurezza idonea è dinamico e non statico: il legislatore,
di fatto, impone di scegliere costantemente il meglio
sul mercato.
Responsabilità
civile.
L'art.
18 della l.675/1996 contempla le ipotesi di responsabilità
civile nell'attività di trattamento di dati personali.
E' questa una delle norme che impone a chi effettua
trattamento di dati personali le cautele maggiori,
in quanto rinvia, richiamando l'art. 2050 del codice
civile, alla disciplina in materia di responsabilità
civile applicabile alle attività pericolose.
Il
richiamo a questa norma del codice fa sì che la regola
generale dell'art. 2043 cod. civ. non sia applicabile
nell'ipotesi specifica. Di solito, infatti, per ottenere
un risarcimento dei danni bisogna provare che il danneggiante
ha svolto una attività ingiusta o non ha utilizzato
l'ordinaria diligenza. L'onere della prova incombe
tutto sul soggetto che agisce in giudizio per il risarcimento
del danno.
Per
quanto riguarda le attività pericolose (e dunque,
anche per il trattamento di dati personali, a prescindere
dal mezzo, cartaceo o elettronico, utilizzato per
svolgere il trattamento stesso) il discorso è parzialmente
differente.
Incombe,
infatti, sul gestore di un'attività pericolosa, una
presunzione di responsabilità per i danni cagionati
nello svolgimento della medesima: per la sua applicabilità
è comunque necessario un nesso causale tra l'esercizio
dell'attività stessa e l'evento dannoso, ma l'onere
di dimostrare di aver adottato tutte le misure idonee
ad evitare il danno grava sul titolare dell'attività.
Per
questi motivi la dottrina maggioritaria sostiene che
si tratterebbe di responsabilità oggettiva, in quanto
il gestore dell'attività dovrebbe dimostrare di aver
adottato tutte quelle misure che, secondo il criterio
della normale diligenza, apparivano consigliabili:
dunque, di fatto, l'unica prova liberatoria ammessa
sarebbe quella del caso fortuito, non prevedibile
con la normale diligenza.
La
Cassazione sostiene che la presunzione posta dall'art.
2050 cod. civ. può essere vinta solo con una prova
particolarmente rigorosa e che non basta la prova
negativa di non aver commesso alcuna violazione delle
norme di legge o di comune prudenza, ma occorre quella
positiva di aver impiegato ogni cura o misura atta
ad impedire l'evento dannoso, di guisa che anche il
fatto del danneggiato o del terzo può produrre effetti
liberatori solo se per la sua incidenza e rilevanza
sia tale da escludere, in modo certo, il nesso causale
tra attività pericolosa e evento e non già quando
costituisce elemento concorrente alla produzione del
danno, inserendosi in una situazione di pericolo che
ne abbia reso possibile l'insorgenza a causa dell'inidoneità
delle misure preventive adottate (Cass., 4710/1991;
5484/1998; 5960/84).
A
ciò si aggiunga che la norma richiamata impone una
responsabilità ancora più gravosa di quella richiesta
dalla l.675/1996, che parla di misure idonee a ridurre
al minimo i rischi di cui abbiamo parlato, mentre
l'art. 2050 cod. civ. impone all'esercente l'attività
pericolosa di fornire la prova di aver adottato tutte
le misure idonee ad evitare il danno.
Tutto
questo discorso mostra, ancora una volta, l'importanza
di aver ben chiaro il quadro delle misure adottate,
oltre a tutto lo stato della situazione organizzativa
dell'impresa, la collocazione dei dati trattati e
simili. Sarà molto più semplice, in questo modo, premunirsi
dell'eventuale, diabolica prova di aver adottato tutte
le misure idonee. E' in questa ottica che l'adozione
delle misure di sicurezza deve essere valutata come
un investimento dell'azienda.
Per
quanto riguarda l'individuazione del soggetto tenuto
al risarcimento del danno, si rinvia all'art. 2049
del codice civile (Responsabilità dei padroni e committenti),
che pone in capo ai datori di lavoro la responsabilità
per i fatti commessi dai dipendenti. Si ritiene perciò
che la responsabilità civile debba ricadere sempre
sul titolare del trattamento dei dati personali, salve
le ipotesi in cui responsabili e incaricati siano
da individuare all'esterno dell'organizzazione dell'azienda:
nel caso in cui non ci siano rapporti di subordinazione,
perciò, questi soggetti potrebbero essere civilmente
responsabili.
Il
danno morale.
Ad
aggravare la responsabilità civile di chi svolge attività
di trattamento di dati personali, si aggiunge l'espressa
previsione, fatta dal legislatore nella L. 675/1996,
della risarcibilità del danno non patrimoniale ossia
del dolore fisico o psichico patito a seguito del
comportamento di un terzo.
E'
necessario osservare, preliminarmente, che l'art.
2059 cod. civ. precisa che il danno non patrimoniale
deve essere risarcito solo nei casi determinati dalla
legge. L'unica ipotesi rilevante di risarcibilità
del danno non patrimoniale riguarda i danni derivanti
da fatti penalmente rilevanti (art. 185 cod. pen.).
Finora,
dunque, la regola era quella della risarcibilità del
danno morale solo nei casi in cui questo derivasse
da un reato, non già da illecito civile.
L'espressa
estensione al trattamento di dati personali della
risarcibilità del danno morale è sintomatica della
particolare attenzione che il legislatore ha voluto
rivolgere ai danneggiati: è evidente che il danno
che ricorre più frequentemente è, nel caso specifico,
proprio quello relativo alla sfera morale dell'individuo,
di cui sarebbe stata altrimenti esclusa la risarcibilità.
Oltretutto,
il danno verrà risarcito anche nel caso di violazione
dei principi contenuti dall'art. 9 della l. 675/1996,
ossia di quei principi apparentemente teorici di liceità
e correttezza del trattamento, chiarezza e determinatezza
degli scopi, pertinenza, completezza, non eccedenza,
esattezza dei dati, i quali, tutt'a un tratto, assumono
una ben precisa e rilevante concretezza.
Conclusioni.
Sulla
base delle osservazioni fatte finora, sembra importante
ricordare quale rilievo possa assumere, ai fini di
una corretta politica aziendale sulla sicurezza dei
dati, la pianificazione delle risorse possedute (dati,
archivi, ma anche elaboratori, persone incaricate
del trattamento, responsabili, compiti assegnati,
formazione del personale), per essere pronti, oltre
che a soddisfare eventuali richieste dell'Autorità
Giudiziaria, anche a rispondere agli interessati (titolari
di diritti di informativa, di opposizione al trattamento,
di aggiornamento, rettifica, integrazione dei dati),
i quali sono i soggetti capaci di far scattare, di
fatto, in qualsiasi momento le verifiche da parte
del Garante e dell'Autorità Giudiziaria. Si ricorda
che le richieste degli interessati devono essere soddisfatte
tempestivamente, comunque non oltre i cinque giorni
dalla richiesta.
Trascorsi
i cinque giorni, l'interessato avrà diritto di rivolgersi
al Garante od all'Autorità Giudiziaria Ordinaria per
vedere soddisfatte le proprie richieste.
Precisiamo
infine che il Garante emette soltanto provvedimenti
di indirizzo, inibitori e cautelari, mentre per tutti
i provvedimenti di condanna (compreso il risarcimento
dei danni) è competente l'autorità ordinaria.
Il
ricorso al Garante esclude la possibilità di ricorrere
al Tribunale e viceversa.
Note:
1)
Si veda: Pret. Palermo, decreto 19 aprile 1999.
E'
responsabile del delitto di cui all'art.34 della legge
31 dicembre 1996 n.675 il promotore finanziario che,
al fine di inviare materiale promozionale, procede
al trattamento dei dati personali relativi a clienti
dell'istituto di credito di cui era dipendente, senza
previamente notificarlo al Garante per la protezione
dei dati personali.
E'
responsabile del delitto di cui all'art.35 della legge
31 dicembre 1996 n. 675 il promotore finanziario che,
al fine di inviare materiale promozionale, procede
al trattamento dei dati personali dei clienti dell'istituto
di credito di cui era dipendente senza il consenso
espresso dei medesimi.
2)
Art. 15, comma L. 675/1996: "I dati personali
oggetto di trattamento devono essere custoditi e controllati,
anche in relazione alle conoscenze acquisite in base
al progresso tecnico, alla natura dei dati e alle
specifiche caratteristiche del trattamento, in modo
da ridurre al minimo, mediante l'adozione di idonee
e preventive misure di sicurezza, i rischi di distruzione
o perdita, anche accidentale, dei dati stessi, di
accesso non autorizzato o di trattamento non consentito
o non conforme alle finalità della raccolta".
3)
Per quanto attiene all'individuazione del danno patrimoniale,
si vedano:
Trib.
Roma, 29 marzo 1993: Il risarcimento del danno patrimoniale
in caso di responsabilità per violazione del diritto
alla riservatezza può comprendere la perdita di occasioni
lavorative conseguenti alla diffusione e il danno
della vita di relazione.
App.
Trieste, 13 gennaio 1993: Costituisce danno biologico
il turbamento della vita di relazione derivante dalla
lesione della riservatezza e dell'immagine.
4)
Art. 29, comma 9, L. 675/1996 " Il danno non
patrimoniale è risarcibile anche nei casi di violazione
dell'articolo 9".
5)
Torrente - Schlesinger "Manuale di diritto privato"
pag. 710.
|