Il “DB” dello Studio Legale
Roberto Morra
Il continuo sviluppo tecnologico ha radicalmente cambiato lo stile di vita di ognuno, con “l’era dell’ informatica”, tutte le attività umane si avvalgono di strumenti informatici.
Il momento storico in cui viviamo permette di guardare indietro nel tempo e di valutare gli strepitosi cambiamenti che ci sono stati, ma allo stesso tempo non ci permette di stabilire quando “l’era informatica” volgerà al termine, e neanche di ipotizzare come cambieranno nel giro di pochi anni le nostre attività con l’incessante sviluppo tecnologico in atto.
Obiettivo comune è la giusta disciplina dello strumento informatico, ciò consiste nel trovare il punto medio fra massimo sfruttamento del ritrovato tecnologico e il limite di tangibilità del diritto dove, oltrepassato questo limite, il diritto è leso e scatta la misura di tutela dello stesso consistente nel ripristino della legalità e sacrificio dello strumento informatico.
Il mondo in cui viviamo non potrebbe essere lo stesso se, diffusione, elaborazione e conservazione di dati non venissero “trattate” in modo informatizzato.
Molte professioni sono cambiate radicalmente al volgere di pochi decenni.
Pensiamo alla professione dell’avvocato. In tutti gli studi legali esistono, anche se in forma ridotta, delle banche dati elettroniche, costituite dalle memorie centrali dei singoli personal computer in uso.
In essi sono conservate una serie di preziose informazioni, (atti, comunicazioni, indirizzi ecc.), inoltre attraverso il p.c. avviene un collegamento ad altre banche dati attraverso le reti informatiche. Sempre attraverso il p.c., si consultano banche dati contenute nei cd-rom.
La professione dell’avvocato è solo un esempio di come l’informatica abbia cambiato le abitudini e le modalità di lavoro delle persone, tutto cambia se varia il modo in cui le informazioni vengono gestite!
L’avvento dell’informatica ha rivoluzionato l’approccio tradizionale alla conservazione e alla diffusione delle informazioni sotto una pluralità di profili.
È radicalmente mutato il rapporto tra conservazione dell’informazione e spazio fisico. Gli elaboratori trattano e restituiscono i dati in forma elettronica. Il dato elettronico è conservato su supporti, diversi da quello cartaceo, che posseggono il pregio di immagazzinare in pochissimo spazio un numero incredibilmente grande di informazioni.
L’esempio più significativo è quello del Cd-rom tradizionale, dischetto di diametro inferiore ai 15 cm, capace di contenere un numero di pagine superiore a quello di 30 repertori di giurisprudenza. Se si pone attenzione allo spazio occupato in una libreria da 30 repertori e quello occupato da un Cd-rom si percepisce immediatamente la dimensione del cambiamento.
Sono tanti i pregi legati all’introduzione dell’informatica nei vari ambiti della vita quotidiana, sono ancora tante le applicazioni alla vita reale che aspettano di essere attuate.
In questo mondo non c’è la possibilità che un individuo possa vivere senza entrare a contatto con l’informatica, non è più possibile farne a meno e questo è motivo sufficiente per apprendere le conoscenze informatiche e utilizzare le sue innumerevole applicazioni.
L’acronimo inglese “DB” (database) tradotto letteralmente dall’inglese, indica “banca dati” e “base di dati”, nel linguaggio corrente indica un sistema di dati memorizzati in un elaboratore elettronico e resi disponibili per svariate operazioni, dal semplice reperimento e stampa, fino ai calcoli più complessi.
Di norma una banca dati è un sistema che comprende tre distinti elementi legati tra loro da un punto di vista tecnico-logico.
• I dati
• Il software
• La rete di comunicazione
I dati hanno un ruolo fondamentale nel database, sono un insieme di informazioni strutturate, il loro contenuto corrisponde ai bisogni informativi di un insieme di utenti.
La loro struttura è organizzata in modo tale che le singole informazioni siano tra loro legate in modo logico (c.d. proprietà di integrazione), che non ci siano fra loro contraddizioni, e che le singole informazioni non diano luogo alla c.d. ridondanza, cioè a ripetizioni di dati identici.
Nel nostro caso, occorre tenere bene in considerazione che le informazioni contenute nel p.c. di uno studio legale, corrispondono ad informazioni riguardanti persone, e per questo motivo, sia i dati, sia tutto il database e la sua fruizione da parte degli addetti, è disciplinato in modo rigoroso da leggi.
Il software è l’insieme dei programmi che permettono la creazione, la gestione e l’utilizzazione del database, inoltre esso permette di tenere aggiornato un database.
Per quanto riguarda il software si potrebbero riempire interi scaffali di biblioteche partendo dalla nascita dei primi software detti di “prima generazione”, dove l’utilizzatore doveva prima imparare a comunicare col p.c., per poter poi ricavare una qualche utilità. Per arrivare ai recenti software che interagiscono attraverso l’uso della lingua scelta dall’utilizzatore.
Affinché una banca dati possa esprimere al massimo le proprie potenzialità, occorre che esso venga messo in comunicazione con altre banche dati o che la sua fruibilità sia possibile a quei soggetti che si trovano in un luogo più o meno lontano da quello dove la banca dati fisicamente si trovi. In tal modo si parla di “condivisione” che può essere attuata collegando i p.c. fra loro con un semplice cavo, rete Lan (Local Area Network), sfruttando il sistema Wi-Fi ossia una infrastruttura relativamente economicha e di veloce attivazione che permette di realizzare sistemi flessibili per la trasmissione di dati usando frequenze radio, o infine sfruttando le reti telematiche come Internet o Intranet.
L’ “era informatica” inevitabilmente, ha portato con se una serie di problemi in ordine all’utilizzo di alcune informazioni che, se utilizzate in modo non opportuno, ledono una serie di diritti tutelati dalla Costituzione.
Il dibattito sulla esistenza nel nostro ordinamento di un diritto alla riservatezza è rimasto sopito per tutto l’inizio del secolo scorso, per poi affiorare con vigore nel corso degli anni cinquanta, anche se decisamente in ritardo rispetto alle esperienze statunitensi e francesi, le quali sin dai primi anni del secolo hanno affrontato in sede dottrinale la questione.
Si trattava di affermare o meno l’esistenza di un generico diritto della persona di essere tutelata contro indiscrezioni altrui e contro la divulgazione al pubblico di fatti attinenti alla propria sfera privata.
In Italia, la prima sentenza che affrontava la questione è stata emessa dal Tribunale di Roma il 14/9/1953. In detta sentenza i giudici dichiararono l’esistenza nel nostro ordinamento di un “diritto alla riservatezza che si concreta nel divieto di qualsiasi ingerenza e indiscrezione da parte di terzi nella sfera della vita privata della persona.”
In assenza di una specifica normativa, i giudici per dare un fondamento a questo diritto, applicarono in via analogica gli artt. 10 c.c. e 93 e 97 della legge sul diritto d’autore.
Dopo alcuni anni la stessa questione approdò dinanzi alla Corte di Cassazione che questa volta negò l’esistenza in capo ad un soggetto di un diritto che tutelasse l’ambito della vita privata e della propria intimità.
Dopo questa sentenza della Cassazione non troviamo ancora nel nostro ordinamento un qualsiasi fondamento normativo né giudiziario del diritto alla riservatezza.
Occorre aspettare il 1973 dove con una sentenza della Corte Costituzionale (12/04/1973 n.38) viene finalmente dichiarata l’esistenza, nel nostro ordinamento, di un diritto alla riservatezza, garantito dalla Costituzione. Nel fare ciò la Corte Costituzionale si avvale dell’art. 12 della “Dichiarazione Universale dei diritti dell’uomo” e dell’art. 8 della “Convenzione Europea dei diritti dell’uomo”.
Conseguentemente, nel 1975, la Corte di Cassazione si allinea all’orientamento della Corte Costituzionale con la sentenza n. 2129 del 1975, dichiarando l’esistenza di un autonomo diritto alla riservatezza.
In questo breve excursus occorre sottolineare un aspetto: il diritto alla riservatezza viene per così dire cercato e ricercato dai giudici sia della Corte Costituzionale, che della Cassazione, il primo input avviene attraverso un impulso dalla giurisprudenza.
Altro dato di non meno importanza è che per diritto alla riservatezza, deve intendersi, diritto a difendersi dalla ingerenza altrui nella propria vita personale cioè, come comunemente viene detto dalla dottrina più accreditata, il diritto a essere lasciati soli.
La legge del 31 dicembre 1996, n. 675 ha il merito di aver fornito per la prima volta una espressa tutela normativa al rispetto dei diritti e delle libertà fondamentali, con particolare riferimento al diritto alla riservatezza e all’identità personale. Infatti questa volontà è sancita dalla previsione di un sistema di garanzie a favore della riservatezza che ha portato da un lato alla codificazione di questo diritto e dall’altro al riconoscimento normativo nella sua accezione più moderna.
Inoltre il diritto a controllare il flusso di informazioni riguardanti i propri dati personali ha avuto un riconoscimento all’interno della Carta dei diritti fondamentali dell’Unione Europea.
Dopo alcuni anni, la legge 31 dicembre 1996, n. 675 – e con essa dieci decreti legislativi integrativi e modificativi nonché diverse norme di rango regolamentare – è stata abrogata, lasciando il posto al d.lgs. 30 giugno 2003, n. 196 denominato “Codice sulla protezione dei dati personali”.
Il Codice, conformemente alla legge delega non si limita ad una semplice opera di sistemazione delle norme vigenti, ma da luogo anche ad interventi di armonizzazione e di adeguamento della disciplina in tema di protezione dei dati personali.
Il primo articolo del Codice sulla protezione dei dati personali riporta in buona sostanza ciò che è stato stabilito nella Carta dei diritti fondamentali dell’Unione Europea all’art. 8. Questo è un momento fondamentale in quanto conferisce ad ognuno di il diritto alla protezione dei dati personali che lo riguardano. Questo diritto a differenza della vecchia normativa, rappresenta un autonomo diritto e non più la specificazione più evoluta del diritto alla riservatezza.
Il passo che si è compiuto è di notevole importanza.
I giudici “scopritori” di un vuoto normativo inerente la tutela del diritto alla riservatezza abbozzarono il problema, ma non si spinsero oltre, infatti tutelare un soggetto dalla ingerenza di terzi nella sfera privata è per così dire vedere un problema solo a metà.
Affinché un sistema di tutela possa dirsi effettiva, occorre che sia il più possibile aderente alla realtà, e la realtà dice che tutti i soggetti esplicano le proprie attività umane interagendo con l’esterno.
Esterno nel nostro caso vuol dire tutelare il soggetto non solo dalle ingerenze dei terzi nella propria sfera privata, ma dal momento in cui esso cede le proprie informazioni personali all’esterno, in pratica tutelare il soggetto dall’uso improprio che un terzo può fare con i dati degli utenti.
Si è dunque passati dal diritto a essere lasciati soli al diritto ad avere un effettivo controllo e relativa tutela delle proprie informazioni.
La corretta applicazione delle misure di sicurezza previste dal Codice della privacy, non solo tendono ad impedire l’uso improprio di informazioni, (peraltro anche la precedente legge 31/12/96, n 675 mirava allo stesso scopo) ma utilizzando le prescrizioni previste, si migliora significativamente l’organizzazione e la gestione dei dati, creando un sistema informatico economicamente sicuro ed efficiente.
Entrando nello specifico, occorre individuare i soggetti che, secondo la recente normativa, hanno l’obbligo di garantire la tutela della privacy “ivi compreso il profilo della sicurezza”.
Essi sono il Titolare come viene anche precisato all’art. 28 sull’esercizio del potere decisionale, ed il Responsabile il cui compito è descritto all’art. 29.
Sono loro quindi che devono adottare tutte le misure idonee affinché i dati presenti nella banca dati, ma più in generale nel sistema informatico complessivo, siano inaccessibili ai soggetti non autorizzati, e lo devono fare tenendo in considerazione l’art. 15 del Codice stesso che prevede, nel caso in cui un soggetto venisse danneggiato dal trattamento dei dati, che essi dimostrino di aver adottato tutte le misure idonee ad impedire il danno.
Il codice della privacy, inoltre, impone l’obbligo ad alcuni soggetti, preventivamente individuati, di adottare delle misure di sicurezza affinché il sistema informatico complessivo e quindi del database possa essere il più sicuro possibile rispetto ad eventuali minacce che provengono sia dall’esterno che dall’interno.
Questi soggetti sono: il titolare dei dati personali, il responsabile e ove designato l’incaricato.
In particolare le misure minime di sicurezza, cui dovranno attenersi i soggetti poc’anzi menzionati, sono dettate dal corpo stesso del codice (titolo V “Sicurezza dei dati e dei sistemi”), mentre l’elencazione nel dettaglio dei modi attraverso cui concretamente alcune di esse dovranno essere attuate è contenuta nell’Allegato “Disciplinare Tecnico in Materia di Misure di Sicurezza”.
Vista la rapidità dell’evoluzione tecnica della materia trattata, il legislatore ha previsto all’art. 36 la possibilità da parte del Ministro della Giustizia, di concerto con il Ministro per le innovazioni e le tecnologie, di modificare e aggiornare l’allegato tecnico in modo tale da renderlo quanto più efficace senza dover intervenire direttamente sul codice.
Per stabilire quali siano le misure minime di sicurezza da adottare è necessario integrare le prescrizioni del codice (artt. 33-36) con quelle del disciplinare tecnico.
Per quello che ci interessa, la norma a cui riferirsi è l’art. 34 del codice, in quanto pone degli obblighi al trattamento dei dati personali attraverso strumenti elettronici.
Tali obblighi sono:
- a) Autenticazione informatica
- b) Adozione di procedure di gestione delle credenziali di autenticazione
- c) Utilizzazione di un sistema di autorizzazione
- d) Aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici
- e) Protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici
- f) Adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi.
- g) Tenuta di un aggiornato documento programmatico sulla sicurezza
- h) Adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari.
Tenendo presente il tipo di dati che comunemente vengono trattati nei database, alcune prescrizioni risultano superflue (art. 34 punto h).
Il trattamento dei dati personali con strumenti elettronici è consentito agli incaricati (preventivamente autorizzati), dotati di credenziali di autenticazione. L’incaricato, in sostanza, si presenterà di fronte al sistema elettronico fornendo i dati o i dispositivi ( generalmente si tratta di una password segreta o di una smart card) di cui è in possesso, se questi verranno riconosciuti ed associati dall’elaboratore al profilo di un soggetto autorizzato, si avrà l’autenticazione informatica e all’incaricato sarà consentito l’accesso alla banca dati ed eventualmente avrà la facoltà di trattamento.
Gli incaricati dovranno curare la segretezza delle proprie credenziali e assicurarne l’uso esclusivo, ove si tratti di parola chiave essa deve essere composta da almeno 8 caratteri, non deve contenere riferimenti riconducibili all’incaricato e deve essere modificata da questi al primo utilizzo e successivamente almeno ogni 6 mesi. Le credenziali inutilizzate da almeno 6 mesi o in caso di perdita della qualità di titolare dell’accesso da parte dell’incaricato, dovranno essere disattivate.
Viene prescritto l’uso di un sistema di autorizzazione quando più incaricati siano autorizzati al trattamento dei dati ma con profili di autorizzazione diversi. Ciò avviene quando ad alcuni incaricati sia consentito un acceso solo parziale ai dati disponibili, o in sola visione, o con la facoltà di operare solo determinati tipi di trattamento, a seconda delle mansioni che sono tenuti a svolgere.
In questo caso si possono individuare classi omogenee di incaricati che siano autorizzati all’accesso dei medesimi dati e per la medesima tipologia di trattamento, a cui andrà fornito lo stesso profilo di autorizzazione. Questo è un modo per semplificare l’attività di autorizzazione quando si abbia a che fare con una organizzazione notevolmente articolata o di grandi dimensioni, attraverso la suddivisione in settori, unità o aree di lavoro che possano avere accesso ai soli dati necessari per effettuare le proprie operazioni di trattamento.
Periodicamente, poi – almeno una volta l’anno – andrà verificata la sussistenza delle condizioni per il mantenimento dei profili di autorizzazione in capo ai vari incaricati. In caso di cambiamento delle mansioni o delle singole operazioni di trattamento a cui un incaricato è autorizzato, dovrà essere modificato il corrispondente profilo di autorizzazione, in modo da operare un costante aggiornamento dell’individuazione dell’ambito di dati del trattamento consentito ad ogni singolo incaricato.
È opportuno, specie in caso di organizzazioni complesse o di grandi dimensioni, creare una lista degli incaricati suddivisi per classi omogenee di incarico e dei relativi profili di autorizzazione, da rivedere periodicamente con cadenza annuale.
Un altro elenco dovrà essere tenuto per gli “addetti alla gestione” o alla “manutenzione degli strumenti elettronici”, nel quale si individuino chiaramente i trattamenti loro consentiti, anche nello svolgimento di attività che potrebbero sembrare lontane dalle finalità del trattamento di cui si occupi l’ente o l’organizzazione. Non è raro infatti che la mera attività anche solo di manutenzione dei sistemi operativi utilizzati per la gestione di database, implichi l’accesso ai dati contenuti. Le misure di sicurezza di cui trattiamo devono essere applicate anche in questo caso.
Va precisato, inoltre, che al di là della normale gestione o manutenzione degli strumenti elettronici posta in essere dall’ente o dall’organizzazione, il legislatore stesso impone la protezione dei dati personali contro il rischio di intrusione con l’attivazione di appositi strumenti elettronici da aggiornare con cadenza almeno semestrale. L’accesso al sistema informatico e ai dati in esso contenuti va considerato abusivo e costituisce intrusione quando ciò avvenga da parte di persone non autorizzate. Può trattarsi di persone estranee al sistema (ne sono un esempio le intrusioni degli hacker informatici o l’attacco dei cosiddetti virus) o di personale interno che non possieda il profilo di autorizzazione per quel trattamento. Nel primo caso è prescritta la protezione dei dati attraverso l’installazione di programmi antivirus ed il loro periodico aggiornamento, e attraverso l’ aggiornamento costante dei software utilizzati. I titolari che richiedano l’intervento di tecnici esterni per tali adempimenti, devono ricevere dall’installatore una dichiarazione scritta della conformità dell’intervento alle norme di legge.
Nel secondo caso, invece, risulta determinante il controllo periodico della riservatezza delle credenziali di autenticazione e la corretta applicazione delle procedure di gestione delle credenziali di cui abbiamo già trattato.
I dati trattati vanno anche tutelati dalla possibilità che vengano distrutti, parzialmente o completamente. A questo scopo essi vanno periodicamente (almeno settimanalmente) copiati su un supporto di sicurezza, da utilizzare per un eventuale ripristino in caso di emergenza. Le copie di sicurezza dovranno essere opportunamente custodite per garantire la sicurezza e la protezione dei dati. Le modalità di produzione delle copie stesse, nonché della loro gestione e conservazione sono lasciate alla discrezionalità del titolare responsabile, che dovrà valutarle in base alla tipologia e all’importanza dei dati.
Il codice impone poi, entro il 31 marzo di ogni anno, la compilazione a cura del titolare responsabile del trattamento, di un documento programmatico sulla sicurezza, che contenga:
- una puntuale elencazione dei trattamenti dei dati personali (compresa la distribuzione di compiti e responsabilità);
- una attenta analisi dei rischi che incombono sui dati e delle misure adottate per garantirne l’integrità o il ripristino in caso di distruzione o danneggiamento;
- la previsione degli interventi di formazione degli incaricati sui rischi e sulle misure di protezione adottate (da notare che la formazione va programmata sia al momento dell’ingresso in servizio dell’incaricato o in caso di cambiamento di mansioni a lui affidate, sia in caso di aggiornamento dei sistemi di sicurezza adottati dal titolare);
- l’osservanza dei criteri sicurezza nel caso di trattamenti dei dati personali affidati all’esterno della struttura del titolare (ad esempio per manutenzione dei sistemi informatici o per aggiornamento sei sistemi di sicurezza informatica).
La previsione da parte del legislatore dell’obbligo annuale di redigere il documento programmatico sulla sicurezza è indice dell’attenzione che il legislatore richiede al titolare responsabile. Un documento programmatico, infatti, richiede una effettiva valutazione preventiva dei rischi a cui possono essere sottoposti i dati e una pianificazione anticipata degli interventi da svolgere durante l’anno successivo, con particolare riguardo alla formazione continua del personale interno ( di tutti gli incaricati al trattamento, secondo le mansioni e i profili di competenza e di autorizzazione), e alla puntuale previsione delle contromisure da adottare per il ripristino in sicurezza dei sistemi.
L’aggiornamento annuale di tale documento programmatico, infine, obbliga il titolare a rivedere costantemente le scelte effettuate per il mantenimento dei propri sistemi in sicurezza e a mantenerli al passo con l’evoluzione tecnologica, per garantirne l’efficacia.
Infine, la parte III del codice – Tuleta dell’interessato e sanzioni – disciplina le modalità di tutela del diritto alla privacy da parte dell’interessato.
Lo schema che il legislatore prevede, si concretizza nella scelta fra rimedio amministrativo e giurisdizionale: il primo si attua mediante il reclamo all’ Autorità del Garante, il secondo attraverso la classica azione di ricorso. Giova evidenziare il II comma dell’art. 142, il quale dispone che “2. Il reclamo è sottoscritto dagli interessati, o da associazioni che li rappresentano” in omaggio alle c.d. class action” mutuate dall’esperienza americana.
La sanzioni amministrative per violazione del trattamento di dati giudiziari (art. 13) varia da un minimo di € 5.000 ad un massimo di € 30.000 aumentabile fino al triplo, con eventuale (art. 165) “ sanzione amministrativa accessoria della pubblicazione dell’ordinanza-ingiunzione, per intero o per estratto, in uno o più giornali indicati nel provvedimento che la applica”.
Gli illeciti penali, sono disciplinati dagli art. 167 e ss. del codice della privacy e prevedono la pena della reclusione nei casi di trattamento illecito dei dati, “da sei a diciotto mesi o, se il fatto consiste nella comunicazione o diffusione, con la reclusione da sei a ventiquattro mesi”.
Per omissione delle misure di sicurezza previste, la penna è dell’arresto sino a due anni o con ammenda che varia da € 10.000 a € 50.000.
La pena per inosservanza di provvedimenti del Garante è punita con la reclusione da tre mesi a due anni.
Dott. Roberto Morra