Todas las entradas de Luigi Neirotti

Acerca de Luigi Neirotti

Avvocato in Milano Partner Studio Legale Tributario - EYLaw Responsabile del dipartimento di diritto dell'informatica

10Sep/15

Brevi considerazioni in merito all 39 intervento del garante sulle scadenze di legge relative alle misure minime di sicurezza

Il Garante per la protezione dei dati personali è intervenuto recentemente con un comunicato stampa in merito agli obblighi di sicurezza e documento programmatico. Come noto, il comunicato stampa reca allegato il parere 22 marzo 2004 reso a Confindustria sull’oggetto: «prima applicazione del Codice in materia di protezione dei dati personali in materia di «misure minime» di sicurezza (art. 31-36 e Allegato B) al d.lg. n. 196/2003″ il quale fornisce spiegazione delle considerazioni svolte dall’ufficio del Garante.

In particolare, nel parere in questione il Garante ha fornito una propria interpretazione del combinato disposto dalla data contenuta nella regola 19 dell’Allegato B al nuovo Codice in materia di protezione dei dati personali (nel seguito anche: il «Codice»), per quanto riguarda la data di formazione ed aggiornamento del «Documento programmatico sulla sicurezza» (Entro il 31 marzo di ogni anno …), e quella riportata nelle disposizioni transitorie del Codice all’art. 180 (Le misure minime di sicurezza di cui agli articoli da 33 a 35 e all’allegato B) che non erano previste del decreto del Presidente della Repubblica 28 luglio 1999, n. 318 sono adottate entro il 30 giugno 2004).

L’intervento del Garante solleva alcune perplessità e spunti critici che ho ritenuto di sviluppare nel seguito.

1. Data di prima formazione del Documento programmatico sulla sicurezza per i soggetti non tenuti in precedenza

Il Garante ha precisato che la data è quella del 30 giugno. Tale chiarimento appare condivisibile, ed anche rassicurante data l’autorevole provenienza, anche se non risultava del tutto necessario.

In effetti, l’art. 180 del Codice appare chiaro nello stabilire che le misure minime non previste dal DPR 318/99 devono essere adottate entro il 30 giugno. Qualunque interpretazione differente sarebbe andata contro il testo normativo dell’art. 180 del Codice ed anzi avrebbe vanificato, svuotato di significato, la norma transitoria in esso contenuta. Del resto il riferimento temporale contenuto nella Regola 19 dell’Allegato B è riferito, anche se in modo non impeccabile, alla cadenza di aggiornamento del Documento programmatico sulla sicurezza (nel seguito: «DPS»). Di ciò si ha riscontro, infatti, confrontando la nuova disposizione con l’omologa contenuta nel DPR 318/99, che infatti recitava «annualmente», con maggiore chiarezza in merito alle modalità temporali di aggiornamento.

2. Data di aggiornamento del Documento programmatico sulla sicurezza per i soggetti già tenuti in precedenza

In questo caso l’interpretazione del Garante appare meno condivisibile, soprattutto da un punto di vista del diritto costituzionale.

In effetti, la disposizione transitoria di cui all’art. 180 del Codice, che consente l’adozione delle nuove misure minime di sicurezza entro il 30 giugno 2004, non si applica, chiaramente, a tutti quei soggetti che erano già tenuti alla redazione ed all’aggiornamento del DPS in forza del DPR 318/99. Per questi soggetti la regola 19 dell’Allegato B del Codice dovrebbe applicarsi dal 1 gennaio 2004, data di entrata in vigore del Codice ai sensi di quanto disposto dall’art. 186 del medesimo Codice.
Pur se apprezzabile la «proroga» (gentilmente) concessa da Garante, molto probabilmente in considerazione del ristretto lasso di tempo intercorrente tra la data del 31 marzo e quella del 30 giugno e delle (ridotte )conseguenza sostanziali di un tale rinvio, viene da domandarsi: 1) in base a quale potere il Garante possa stabilire un rinvio del termine di aggiornamento di una misura di sicurezza obbligatoria per legge, la cui mancata adozione è sanzionata penalmente?; 2) quale potrebbero essere le valutazioni di un organo inquirente nel caso di rilievo della mancata adozione degli aggiornamenti entro la data prevista dalla legge (31 marzo)?.

3. Indicazione nella relazione accompagnatoria al Bilancio della redazione o aggiornamento del DPR

Il Garante ha interpretato come dovuta tale indicazione sin dal bilancio sull’esercizio 2003. Diverse sono le difficoltà che vengono in rilievo in questo caso.
Innanzitutto la regola 26 dell’Allegato B al Codice reca una prima difficoltà nello stabilire concretamente in quale parte del bilancio sia dovuta tale indicazione: se nella «relazione sulla gestione» ovvero nella «nota integrativa». Inoltre, appare difficile comprendere il riferimento del Garante al «bilancio 2003»: evidentemente si è considerato solo il caso dell’esercizio sociale coincidente con l’anno solare, senza tenere conto che sono possibili anche altre situazioni (diversi sono i soggetti che, in ragione della natura della loro attività d’impresa, hanno esercizio sociale non coincidente con l’anno solare).

Più ancora, l’intepretazione del Garante non appare pienamente convincente. Se è vero che tale indicazione è una misura minima di sicurezza (regola n. 26 dell’Allegato B al Codice), ed in particolare se è vero che essa deve qualificatsi come «nuova», dato che non era contemplata dal precedente DPR 318/99, come affermato dallo stesso Garante nel parere alla Confindustria («In questo quadro, il Codice ha introdotto una nuova regola …»), allora si dovrebbe concludere che ad essa si debba applicare il regime transitorio previsto dall’art. 180 del Codice, il quale permette l’adozione entro il 30 giugno. In altre parole, l’indicazione in questione sarebbe dovuta solo per quelle relazioni accompagnatorie approvate dopo il 30 giugno 2004.
Si potrebbe obiettare che ai fini pratici la cosa ha poco rilievo, dato che chi non era tenuto alla formazione del DPS nel 2003 non farà menzione di tale circostanza nella relazione accompagnatoria al bilancio 2004; chi invece già era tenuto alla formazione o aggiornamento del DPS nel 2003 non verrà gravato di un particolare onere (dovendo semplicemente confermare un adempimento già svolto).

Una simile considerazione sarebbe accettabile e condivisibile solamente se vi fosse assoluta chiarezza in merito ai soggetti che, prima dell’entrata in vigore del nuovo Codice, erano onerati o meno della formazione del DPS.

4. Soggetti precedentemente assoggettati dall’obbligo di formazione ed aggiornamento del Documento programmatico sulla sicurezza

Come noto l’art. 3 del DPR 318/99 conteneva una delle disposizioni più insidiose da interpretare, sulla quale si sono misurati numerosi e valenti giuristi ed esperti di sicurezza informatica.

In estrema sintesi, il combinato disposto dell’art. 3 e dell’art. 6 del DPR 318/99 determinava l’obbligo del Documento programmatico sulla sicurezza (solamente) per i soggetti che trattavano dati di cui all’art. 22 (sensibili) e 24 (giudiziari) della legge 675/96 mediante «elaboratori accessibili mediante reti di telecomunicazioni disponibili al pubblico». E proprio su quest’ultima espressione sono sorti (profondi) dubbi interpretativi.

Per quanto mi consta (è sempre possibile, tuttavia, una svista), non mi risulta che sia mai stata fornita interpretazione ufficiale da parte del Garante in merito a tale disposizione.

Unico riferimento disponibile parrebbe quello contenuto in un documento del valente ing. Berghella, in tema di misure minime di sicurezza dei dati personali [http://www.studigiuridici.unile.it/Master0002/Documenti/Berghella.pdf], nel quale vengono riferite alcune interpretazioni che sarebbero emerse in merito all’espressione in questione.

Ebbene, viene citato, in particolare, che nel corso di un seminario organizzato dalla Confindustria il 29 novembre 1999, nella sintesi riportata sul quotidiano Italia Oggi del 1 dicembre 1999, il segretario del Garante avrebbe espresso la seguente interpretazione «Tutti gli elaboratori che utilizzano reti di telecomunicazioni accessibili al pubblico, anche se con un sistema di protezione o per un tratto soltanto, sono soggetti al documento programmatico». Cita ancora Berghella, nel medesimo documento, un ulteriore chiarimento apparso sul quotidiano Il Sole 24 Ore del 2 dicembre 1999, nel quale viene riferita una dichiarazione sempre attribuita al segretario del Garante, secondo la quale «… per rete accessibile si deve intendere anche quella dedicata che però viaggia con modalità pubbliche. Per esempio, una rete aziendale, accessibile solo ai dipendenti, ma che per i collegamenti utilizza le normali reti telefoniche, è potenzialmente accessibile al pubblico e dunque deve approntare il documento programmatico».

Come evidente, riuscire a stabilire esattamente il significato dell’espressione in questione ci conduce a determinare con esattezza i soggetti che erano tenuti, nel regime del DPR 318/99, a formare ed aggiornare il DPS. E sulla base di tali conclusioni, ci conduce ulteriormente a determinare a quali soggetti si applichi sin da subito l’obbligo di indicare nella relazione accompagnatoria al bilancio 2003 l’avvenuto aggiornamento del DPS, giusta interpretazione del Garante che «anticipando» tale adempimento, perpetra il dubbio che il nuovo Codice avrebbe di per sé consentito di superare.

Dato che l’obbligo di formare il DPS si estende, a partire dal 30 giugno 2004 a tutti i soggetti che trattano dati sensibili o giudiziari, indipendentemente dal tipo di connessioni utilizzate, l’obbligo di indicazione nella relazione accompagnatoria al bilancio 2004 (per seguire la terminologia utilizzata dal Garante nel parere reso a Confindustria) non avrebbe creato nessun problema di sorta dato che la distinzione circa le tipologie di connessione tra elaboratori sarebbe stata del tutto ininfluente. Viceversa, anticipando l’indicazione nella relazione al bilancio 2003, tale distinzione assume rilievo fondamentale. Lo sforzo del nuovo Codice di superare la difficile distinzione che appariva «sepolta» definitivamente, viene così vanificato con sgradita opera di «reviviscenza» giuridica.

A mio sommesso avviso, l’interpretazione da fornire all’espressione «elaboratori accessibili mediante reti di telecomunicazioni disponibili al pubblico» dovrebbe essere tuttavia restrittiva, similmente a quanto sostenuto nell’articolo «Sicurezza e reti «disponibili al pubblico»» di Daniela Redolfi e Fabrizio Veutro, in Interlex del 13.01.2000. Osservato – e sottolineato – che sono le reti, e non gli elaboratori, a dover essere «disponibili al pubblico», l’espressione dovrebbe includere solamente tutte quelle situazioni in cui sono presenti elaboratori direttamente accessibili mediante una rete pubblica nella nozione sopra chiarita ad opera del segretario del Garante (pur se con qualche vistoso errore, probabilmente attribuibile alla trascrizione giornalistica, dato che la norma, come osservato, non parlava di «reti accessibili al pubblico», bensì di «elaboratori accessibili mediante una rete disponibile …».

In altre parole, dovrebbe colpire solamente quei soggetti che disponevano di elaboratori connessi tra di loro tramite reti geografiche (wide area network – WAN) costituite, in tutto o in parte da reti di telecomunicazione realizzate da operatori di telecomunicazioni e messe a disposizione del pubblico (pur se protetti da sistemi di accesso di tipo firewall e/o da sistemi di protezione del traffico, es VPN).
Non dovrebbe, viceversa, colpire tutti quei soggetti che disponevano di una rete locale (local area network – LAN), pur se collegata in qualche modo verso reti esterne pubbliche, sia tramite modem punto a punto, sia anche con accesso a internet mediante connessione ad un Internet service provider (ISP).
Se si accedesse all’interpretazione che qualunque soggetto che disponeva di una LAN, comunque connessa al «mondo» esterno, utilizzava per forza di cose «elaboratori accessibili mediante reti di telecomunicazioni disponibili al pubblico», allora si dovrebbe ritenere obbligatoria per tutti questi soggetti la redazione del DPS già nel regime dell’abrogato DPR 318/99 (naturalmente per il solo caso di trattamento di dati sensibili o giudiziari).

Si giungerebbe, tuttavia, in tal modo, all’assurda conclusione che in pratica la proroga al 30 giugno 2004 per la prima redazione del DPS sarebbe applicabile solo per quei soggetti che i) non avevano elaboratori connessi in rete prima di tale data (?) oppure disponevano di una LAN totalmente isolata, senza assolutamente alcun collegamento con l’esterno (?); ovvero, ii) non avevano mai trattato dati sensibili o giudiziari prima del 1 gennaio 2004.

E di questo passo si giungerebbe a stabilire che tutti i soggetti che trattavano dati sensibili o giudiziari prima del 1 gennaio 2004, con esclusione solo delle eccezionali situazioni di totale «segregazione» informatica (nessun collegamento con il mondo esterno), sarebbero tenuti all’inclusione dell’indicazione dell’aggiornamento del DPS nella relazione accompagnatoria al bilancio 2003. Se così fosse, tuttavia, le distinzioni operate dal Codice, ed anche nel parere nel Garante reso alla Confindustria, parrebbero superflue e prive di significato.

Per questo motivo preferisco concludere che i) l’obbligo del DPS nel precedente regime dettato dal DPR 318/99 colpiva solo ben determinati soggetti, vale a dire quelli che disponevano effettivamente elaboratori ai quali si poteva accedere legittimamente, vale a dire senza disattivare illecitamente sistemi o strumenti di protezione, mediante reti di telecomunicazioni liberamente messe a disposizione del pubblico; ed altrettanto che, ii) solo i medesimi soggetti sono onerati ora dell’obbligo dell’indicazione dell’avvenuto aggiornamento nella relazione accompagnatoria al bilancio 2003.

Milano, 28 marzo 2004

15Mar/05

Brevi considerazioni in merito ad alcune misure minime di sicurezza in vista della scadenza del 30 giugno

Brevi considerazioni in merito ad alcune misure minime di sicurezza in vista della scadenza del 30 giugno

Il Garante per la protezione dei dati personali ha recentemente chiesto ad alcuni esperti di sicurezza informatica, in vista della scadenza del 30 giugno, termine ultimo per l’adozione delle cd. «nuove» misure minime di sicurezza previste dal Codice in materia di trattamento di dati personali (il «Codice»), di elaborare una traccia di Documento programmatico sulla sicurezza («DPS») che possa essere d’ausilio a tutti i soggetti che dovranno provvedervi. Il risultato, denominato «Prime riflessioni sui criteri di redazione del Documento programmatico sulla sicurezza» è stato pubblicato sul sito del Garante [http://www.garanteprivacy.it/garante/doc.jsp?ID=1002143] con l’invito ad esprimere osservazioni al riguardo. Unitamente a tale documento è stato richiamato il parere 22 marzo 2004 reso a Confindustria sull’oggetto: «prima applicazione del Codice in materia di protezione dei dati personali in materia di «misure minime» di sicurezza (art. 31-36 e Allegato B) al d.lg. n. 196/2003″, già oggetto di un mio precedente commento su questa rivista. Decisamente si tratta di un’iniziativa molto positiva, da accogliere con il massimo del favore e non rimane che attendere di conoscere i risultati dei contributi che verranno espressi.

Al di là degli aspetti tecnico-operativi sottesi alla predisposizione e compilazione del documento, mi sembra vi sia un quesito di più generale portata giuridica che merita approfondimento, vale a dire se il DPS debba essere redatto con riferimento a tutti i trattamenti di dati personali effettuati tramite strumenti elettronici, ovvero limitatamente ai soli trattamenti riguardanti dati sensibili e dati giudiziari.

Il quesito non è di poco conto, giacché una conclusione favorevole alla prima ipotesi interpretativa comportarebbe un carico di lavoro notevolmente superiore rispetto alla seconda ipotesi.

Il modello di DPS predisposto dagli esperti incaricati dal Garante sembrerebbe dare per scontata l’interpretazione estensiva, in base alla quale esso debba riguardare tutti i trattamenti di dati effettuati con strumenti elettronici. Esaminiamo ora con attenzione i vari elementi normativi che potrebbero condurci ad una conclusione piuttosto che ad un’altra.

L’art. 34 del Codice dispone il generale obbligo di adozione delle misure minime di sicurezza per i trattamenti di dati personali effettuati con strumenti elettronici. In particolare, alla lettera g), stabilisce l’obbligo di «tenuta di un aggiornato documento programmatico sulla sicurezza». In effetti, a prima vista, tale disposizione non prevede una distinzione tra tipologie di dati personali e sembrerebbe stabilire addirittura tale obbligo per tutti i titolari di trattamenti di dati personali, senza distinzione. Una tale interpretazione sarebbe, evidentemente, eccessiva. Al riguardo occorre infatti subito osservare come la disposizione generale contenuta nel comma 1 dell’art. 34 del Codice faccia esplicito rinvio, per quanto riguarda l’adozione delle misure minine, ai «modi previsti dal disciplinare tecnico contenuto dell’allegato B)».

Ebbene, la regola 19 contenuta nell’allegato stabilisce testualmente che «il titolare di un trattamento di dati sensibili o di dati giudiziari redige … un DPS contenente …». Viene quindi da domandarsi quale sia il rilievo di tale precisa specificazione in relazione al più generale obbligo disposto dall’art. 34 del Codice.

A mio giudizio sono possibili due interpretazioni: la prima tenderebbe a ritenere la specificazione come meramente diretta ad individuare i soggetti tenuti alla formazione del DPS, senza implicare ulteriori conseguenze con riferimento al contenuto del DPS; la seconda, viceversa, tenderebbe a ritenere che la specificazione non riguardi solo i soggetti, bensì anche l’ambito oggettivo di predisposizione del DPS.

Accedendo alla prima interpretazione, sostenibile nella misura in cui si osservi che nel sottopunto 19.1 si menzionano semplicemente i «dati personali», si approderebbe tuttavia ad una palese incongruenza, dato che solamente determinati soggetti, vale a dire i titolari che trattano dati sensibili o giudiziari, risulterebbero obbligati ad adottare una misura la cui portata riguarderebbe, tuttavia, il contenimento del rischio derivante da tutti i trattamenti di dati personali. Ed allora non si capirebbe la ragione di tale differenziazione, che sarebbe anche iniqua, giacché, a parità di rischio (quello indotto dal trattamento di dati personali comuni, vale a dire diversi da quelli sensibili e giudiziari), solo alcuni titolari risulterebbero onerati dell’obbligo di una misura di sicurezza per il contenimento del medesimo rischio che colpirebbe anche altri titolari, non altrettanto obbligati.

Salvo considerare che per un titolare di trattamento di dati sensibili e giudiziari l’onere di protezione dei dati personali comuni sia maggiore rispetto ad altri titolari. Pur tuttavia tale ragione andrebbe dimostrata e non mi sembra tale allo stato dei fatti. Posto, dunque, che non si intravedono ragioni concrete per giustificare una simile ipotesi, sull’argomento occorrerebbe anche considerare l’ipotesi, alquanto frequente, in cui il titolare procede «internamente» al trattamento dei dati sensibili e giudiziari senza ricorrere all’ausilio di strumenti elettronici, salvo affidare all’esterno il trattamento dei medesimi (normalmente un fornitore di servizi di elaborazione di paghe e contributi nominato responsabile del trattamento), da effettuare con l’ausilio di strumenti elettronici. É intuitivo che in questo particolare caso vi sarebbe la possibilità di limitare la redazione del DPS al solo responsabile «esterno» del trattamento, il quale potrebbe garantire anche maggiore protezione in virtù della specializzazione che lo contraddistingue, possibilità che sarebbe tuttavia impedita sempre applicando prima ipotesi interpretativa.

Accedendo alla seconda interpretazione, vale a dire che la redazione del DPS sia dovuta dai soli titolari che trattano dati sensibili e giudiziari e con riferimento solamente ai trattamenti che riguardano tali specifici dati, si approda ad una soluzione certamente più logica e per questo anche più equa.
Ulteriore elemento che milita a favore della seconda interpretazione si trova analizzando i titoli che sono contenuti nell’Allegato B) al fine di raggruppare le varie regole presenti. Ebbene, dopo la sezione «Documento programmatico sulla sicurezza» troviamo «Ulteriori misure in caso di trattamento di dati sensibili o giudiziari». Analizzando con attenzione il contenuto delle regole da 20 a 24 nessuno può dubitare che tali disposizioni siano riferite, e si applichino, esclusivamente al trattamento di dati sensibili e giudiziari e non può sorgere dubbio che tali regole non riguardino i trattamenti di altri dati personali. Proprio l’aggettivo «ulteriori» sembrerebbe indicarci che le disposizioni riguardanti il DPS sono esclusivamente rivolte ai trattamenti di dati sensibili e giudiziari e non altrimenti. Diversamente non avrebbe significato l’uso di tale aggettivo.

Per le ragioni sopra esposte, ritengo preferibile adottare l’interpretazione in base alla quale il DPS debba essere formato, ed aggiornato periodicamente, con riferimento esclusivamente al trattamento di dati personali sensibili o giudiziari. Naturalmente, ciò non toglie che sarebbe ottima pratica imprenditoriale decidere di estendere la predisposizione del DPS a tutti i dati personali oggetto di trattamento presso un titolare, in considerazione non solo del generale obbligo di protezione dei dati contenuto nell’art. 31 del Codice, bensì anche in ragione della necessità di tutelare il patrimonio informativo dell’impresa, asset determinante per la sopravvivenza sul mercato e per assicurare la continuità di business.


Vorrei ora effettuare qualche riflessione in merito alla misura di sicurezza prevista dalla regola n. 10 contenuta nell’Allegato B) al Codice.

La regola disciplina le modalità d’accesso ai dati o agli strumenti elettronici, da parte del titolare, quando siano protetti dalla componente riservata della credenziale per l’autenticazione di un incaricato. La domanda che ci si pone è se debba essere considerato obbligatorio per un titolare il ricorso alla procedura delineata nella parte finale della regola, che si basa su un sistema di custodia delle copie delle credenziali segrete attraverso l’individuazione di soggetti incaricati della custodia, ovvero se sia possibile realizzare analogo livello di protezione dei dati personali e degli strumenti elettronici anche mediante altra idonea procedura. Il quesito assume rilievo in ragione dell’onere indotto dalla procedura individuata dal legislatore, che risulta particolarmente macchinosa, soprattutto in considerazione dei periodici rinnovi delle credenziali stabiliti per legge.

Analizzando in dettaglio la regola n. 10 essa appare logicamente ripartita in due parti. Nella prima si ricava il principio che legittima l’accesso ai dati ed agli strumenti elettronici da parte del titolare quando siano protetti mediante impiego della componente riservata di una credenziale per l’autenticazione. In tal caso, sono complessivamente e contemporaneamente necessarie: i) idonee e preventive disposizioni scritte volte ad individuare le modalità di accesso da parte del titolare; ii) la prolungata assenza o impedimento dell’incaricato; iii) la circostanza, indotta dalle condizioni di cui sub ii) precedente, che l’accesso si renda indispensabile e indifferibile; iv) la circostanza che l’accesso avvenga per esclusive necessità di operatività e di sicurezza del sistema. Ebbene, in presenza di tutte queste condizioni l’accesso sostitutivo del titolare, rispetto all’incaricato, ai dati personali o agli strumenti elettronici è da ritenere legittimo nonché consentito.

Venendo alla parte terminale della regola n. 10, a me sembra che la procedura descritta sia da considerare quale esemplificativa delle «idonee e preventive disposizioni», nel senso che qualora un titolare opti per un sistema di custodia delle copie delle credenziali, in tal caso sarà obbligato a seguire le prescrizioni fornite.

Non mi sembra, viceversa, che dalla norma si possa ricavare il principio di obbligatorietà del ricorso ad una simile procedura. E ciò in quanto tale procedura sarebbe di fatto applicabile solamente con una tipologia delle credenziali per l’autenticazione previste dalla regola n. 2 dell’Allegato B). É evidente, ad esempio, che una simile procedura non sarebbe minimamente applicabile qualora il titolare disponesse l’adozione di credenziali per l’autenticazione basate su di una caratteristica biometria dell’incaricato. In tal caso sarebbe veramente comico, se non da film dell’orrore, pensare al deposito ed alla custodia delle copie delle credenziali. Stesso discorso varrebbe per credenziali basate su certificati di autenticazione contenuti in smart cards (seconda possibilità prevista dalla regola n. 2). Ergo, la procedura descritta è esemplificativa per il caso in cui il titolare opti per un meccanismo di custodia delle copie delle credenziali. Diversamente, il titolare potrà, sempre mediante descrizione delle «idonee e preventive disposizioni scritte volte ad individuare le modalità di accesso», disporre un sistema alternativo in base al quale: 1) l’accesso ai dati o agli strumenti elettronici avvenga solo e soltanto in presenza delle condizioni sopra delineate; 2) venga data notizia all’incaricato che è stato effettuato un accesso in sua sostituzione; 3) sia evitata la possibilità di accesso da parte di terzi alle credenziali per l’autenticazione di un incaricato.

Da questo punto di vista ritengo che il cd. «azzeramento» della credenziale per l’autenticazione di un incaricato assente, operata dal titolare al fine di consentire al titolare l’accesso a dati personali o strumenti elettronici, sia da considerare legittima nella misura in cui venga successivamente data notizia all’incaricato dell’avvenuto accesso e venga inoltre prevista, post accesso del titolare, la configurazione di una nuova componente riservata della credenziale dell’incaricato. Tale procedura potrebbe apparire, per certi versi, ancora più sicura rispetto a quella delineata nella regola n. 10, dal momento che eviterebbe di predisporre copie delle credenziali e quindi eviterebbe la necessità di protezione delle copie medesime, sempre mantenendo consapevole l’incaricato dell’avvenuto accesso e sempre limitando il diritto di accesso del titolare a ben determinate circostanze.

 

29Nov/04

Efficacia del documento sottoscritto con firma elettronica qualificata o con firma digitale: ritorno al futuro

Efficacia del documento sottoscritto con firma elettronica qualificata o con firma digitale: ritorno al futuro

Il nuovo progetto di Codice dell’amministrazione digitale, recentemente approvato dal Governo ed ora all’esame del Consiglio di Stato e delle varie Commissioni parlamentari, reca alcune rilevanti novità in tema di forma ed efficacia del documento informatico (preferisco utilizzare questa classificazione, a mio avviso più corretta secondo la tradizione giuridica italiana, piuttosto che parlare di efficacia della firma digitale). Ciò discende direttamente dalla delega legislativa che era stata attribuita al Governo con la Legge di semplificazione 2003, la quale prevedeva espressamente la facoltà introdurre modifiche di riordino della normativa in tema di documento informatico e firma elettronica, con lo scopo di graduare gli effetti giuridici riconosciuti alle varie tipologie di firme elettroniche e digitali in funzione del loro grado di sicurezza.

Prima di commentare l’articolo 18, che contiene una nuova disciplina dell’efficacia del documento sottoscritto con firma elettronica avanzata o digitale, occorre fare un breve excursus storico e rivisitare le norme che si sono succedute nel tempo, indagando le ragioni che sottendevano a tali scelte legislative.

Come a tutti noto, il DPR 513/93 stabiliva all’art 5 (Efficacia probatoria del documento informatico) che: «1. Il documento informatico, sottoscritto con firma digitale ai sensi dell’articolo 10, ha efficacia di scrittura privata ai sensi dell’articolo 2702 del codice civile.»

Tale impostazione, scelta dei primi studiosi che si erano occupati di questo delicato aspetto delle firme elettroniche (principalmente D. Limone e F. Cocco), era, per certi versi, obbligata. Da un lato, vi era stata la scelta di politica legislativa operata con la cd. «Bassanini 1» (legge 59/1997), in base alla quale si era stabilito di replicare le categorie giuridiche esistenti nel diritto tradizionale anche per il «cyberspazio», anziché crearne di nuove. Dall’altro lato, vi era il Codice civile italiano che offriva una ripartizione, per così dire, su quattro livelli, ad efficacia probatoria crescente, all’interno dei quali si era ritenuto inevitabile, per una sorta di «parallelismo assoluto», ricomprendere i «nuovi fenomeni digitali»:

  • «documento informatico non sottoscritto» quale «riproduzione meccanica» (art. 2712 cod. civ.);
  • «documento informatico sottoscritto con firma digitale» quale «scrittura privata» (art. 2702 cod. civ.);
  • «documento informatico sottoscritto con firma digitale davanti al notaio o pubblico ufficiale» quale «scrittura privata autenticata» (art. 2703 cod. civ.);
  • «atto pubblico» (art. 2700 cod. civ.) per il quale non veniva previsto (forse perché non ritenuto possibile) un equivalente basato su documento informatico.

Tale scelta iniziale appariva senza dubbio molto logica, molto suggestiva. Inoltre, semplificazione non da poco, vi era un solo tipo di firma digitale da disciplinare.

Il Testo Unico in materia di documentazione amministrativa (DPR 445/2000), a parte uno «svarione» sulle cd. «riproduzioni meccaniche» contenuto nel comma 1, non aveva inizialmente introdotto novità in tema di forma ed efficacia del documento informatico. Stabiliva, infatti, all’art. 10 (originario) che «3. Il documento informatico, sottoscritto con firma digitale ai sensi dell’art. 23, ha l’efficacia di scrittura privata ai sensi dell’art. 2702 cod. civ.».

Solo successivamente, in sede di attuazione della direttiva 1999/93/CE, con la modifica dell’art. 10 del DPR 445/2000 introdotta dal Decreto Legislativo 10 gennaio 2002, n. 10, si è avuta una rilevantissima differenza laddove il comma 3 è stato modificato nel modo seguente: «3. Il documento informatico, quando è sottoscritto con firma digitale o con un altro tipo di firma elettronica avanzata, e la firma è basata su di un certificato qualificato ed è generata mediante un dispositivo per la creazione di una firma sicura, fa inoltre piena prova, fino a querela di falso, della provenienza delle dichiarazioni da chi l’ha sottoscritto».

Questa differenza ha naturalmente determinato un dibattito accesissimo tra gli studiosi delle infrastrutture di sicurezza a chiave pubblica.

L’argomento principe che suffragava la scelta del legislatore in sede d’attuazione della direttiva, come si evince chiaramente dalla relazione d’accompagnamento al Decreto legislativo 10/2002, è di natura eminentemente pratica.

In estrema sintesi, il ragionamento era questo. Poiché, in base all’art. 2702 cod. civ., una scrittura privata (cartacea) «fa piena prova, fino a querela di falso, della provenienza delle dichiarazioni da chi l’ha sottoscritta», se questa è considerata legalmente riconosciuta; e poiché la scrittura (cartacea) è legalmente considerata come riconosciuta, tra le varie ipotesi, se al termine del processo di verificazione di cui all’art. 214 e segg. cod. proc. civ., la grafia contenuta nel documento, sulla base dell’analisi delle scritture di comparazione di provenienza certa, risulta attribuibile all’autore (l’art. 220 cod. proc. civ. recita esattamente «scrittura o sottoscrizione di mano della parte che l’ha negata»); assumendo che la validazione della firma digitale, passaggio indispensabile per appurare l’esistenza e la validità di una firma digitale apposta ad un documento informatico, fosse l’equivalente del culmine della verificazione giudiziale di un documento cartaceo, il legislatore del DPR 445/2000 aveva concluso che la firma digitale doveva considerarsi sempre come verificata quanto a provenienza. Pertanto, concludendo questo sillogismo normativo, il legislatore aveva stabilito che se la firma digitale era certa quanto a provenienza (in quanto diversamente non sarebbe nemmeno esistita), rendendosi la verificazione inutile, in quanto implicita nella procedura di validazione della firma digitale, ricorrendo de facto uno dei presupposti in base ai quali il documento (informatico) poteva essere ritenuto come legalmente riconosciuto, allora non poteva che discenderne l’efficacia fino a querela di falso.

Si noti come la considerazione della sostanziale inutilità della verificazione (intesa come il procedimento previsto dalle norme processuali civilistiche) applicata alla firma digitale era stata sostenuta in dottrina da alcuni valenti studiosi, tra cui R. Zagami, il quale aveva ipotizzato, già in sede di commento del DPR 513/97, un’efficacia di fatto più simile alla scrittura privata autenticata ex art. 2703 cod. civ..

Da molti si è gridato allo «scandalo», sostenendo che l’attribuzione di un’efficacia fino querela di falso fosse un assurdo giuridico, anche perché vi era difetto d’intervento del soggetto che può attribuire la fede pubblica, vale a dire il notaio o il pubblico ufficiale. Tra i sostenitori di questa tesi vi sono, con varie argomentazioni, E. Santangelo e M. Nastri, U. Bechini, M. Cammarata e E. Maccarone ed in misura più attenuata G. Finocchiaro.

L’attuazione della direttiva europea 1999/93/CE rendeva vieppiù complicato il quadro giuridico in tema di forma ed efficacia del documento informatico anche per altri motivi. Come noto, la direttiva europea risultava il frutto di un vistoso compromesso tra Paesi che propugnavano l’utilizzo di firme cd «forti» (Italia, Spagna, Germania e Francia) e Paesi che propugnavano il ricorso a firme cd. «deboli» (soprattutto i Paesi Scandinavi), peggiorato dalla scelta (obbligatoria per un atto normativo comunitario) dell’approccio «tecnologicamente neutro», che non solo vanificava illuminate scelte normative italiane, ma riscriveva financo le definizioni che il legislatore italiano aveva già adottato. Da qui nasceva la previsione di due categorie di firme: le elettroniche e le elettroniche avanzate, con le firme digitali del DPR 513/97 che rientravano in qualche modo nella categoria delle firme elettroniche avanzate.

A questo punto, dunque, il recepimento della direttiva, in un certo modo, «sparigliava» il «parallelismo assoluto» su cui si era basato il legislatore del DPR 513/97, dato che nella tripartizione classificatoria sopra accennata: riproduzione meccanica (documento informatico non sottoscritto), scrittura privata (documento informatico con firma digitale) e scrittura privata autenticata (documento informatico con firma digitale apposta davanti al notaio o pubblico ufficiale), introduceva un quarto elemento, documento informatico sottoscritto con firma elettronica (non avanzata), per il quale si trattava letteralmente di «inventarsi» una soluzione, come quando si hanno quattro invitati ma solo tre posti a sedere a tavola.

Come noto, per le firme elettroniche, la soluzione è stata quella di riconoscere, con vistosa e reiterata contraddittorietà nell’ambito di un solo comma, il secondo, dell’art. 10 del DPR 445/2000: efficacia di forma scritta; nel contempo, assenza di efficacia sul piano probatorio salvo rinviare la determinazione degli effetti giuridici alla decisione del giudice sulla base delle caratteristiche oggettive di qualità e sicurezza; ed infine ancora, efficacia ai fini dell’assolvimento dell’obbligo di tenuta delle scritture contabili obbligatorie (ex art. 2214 e seguenti del codice civile e da ogni altra analoga disposizione legislativa o regolamentare).

Sarebbe interessante capire per quale motivo un documento non ritenuto adeguato in linea di principio a costituire mezzo di prova, salvo valutazione favorevole del giudice quanto all’adeguatezza delle caratteristiche oggettive di qualità e sicurezza, veniva invece considerato dal legislatore dell’attuazione della direttiva come sufficiente ed adeguato ai fini della tenuta delle scritture contabili.
Detto questo, il riconoscimento dell’efficacia fino a querela di falso di un documento informatico sottoscritto con firma digitale o firma elettronica qualificata potrebbe apparire per certi versi un male minore rispetto alla soluzione del DPR 513/97. Vediamo perché, e subito dopo vediamo perché la soluzione prevista dal nuovo Codice dell’amministrazione digitale mi sembra preferibile alle altre due soluzioni «contendenti in campo». Tesi, antitesi e sintesi.

Sul piano logico, e terminologico, occorre osservare che l’efficacia dell’art. 10 del DPR 445/2000 (mi riferirò qui solo a documenti informatici sottoscritti con firma digitale o con firma elettronica qualificata) non sia mai stata classificata dal legislatore come integrante una scrittura privata autenticata (di cui all’art. 2703 cod. civ.). Questo anche in funzione del difetto di soggettività ad attribuire la fede pubblica. Meglio sarebbe dire che un documento sottoscritto digitalmente viene considerato come legalmente riconosciuto in base all’art. 2702 cod. civ. (a tutti e nota la curiosa formulazione del codice civile a proposito della scrittura privata a concetto invertito, si parla di riconoscimento per attribuire la possibilità del disconoscimento).

Tuttavia, tale constatazione potrebbe risultare debole ed inconferente, giacché gli effetti pratici sono gli stessi di quelli previsti dall’art. 2703 cod. civ. che disciplina invece la scrittura privata autenticata.
Piuttosto, mi sembra che valga la pena di notare come, tra l’efficacia di scrittura privata e l’efficacia fino a querela di falso, quest’ultima, fino ad approvazione del nuovo Codice dell’amministrazione digitale, meglio abbia tutelato lo sviluppo della giovane e purtroppo debole e minacciata vita della firma digitale.

Mi spiego meglio. A mio parere, l’efficacia di scrittura privata ex art. 2702 cod. civ. appare insufficiente e qualora fosse ripristinata tucur rischierebbe di determinare la morte (mediante processo civile: un «ossimoro» in questo senso) della firma digitale.

La ragione è semplice: come accennato, nel nostro ordinamento non sono state create norme specifiche per disciplinare i fenomeni dell’informatica e del cyberspazio, preferendo ricorrere alle categorie giuridiche preesistenti. Soprattutto, da un punto di vista processuale, non è stato introdotta alcuna norma specifica per disciplinare le modalità di disconoscimento e di verificazione di un documento informatico sottoscritto digitalmente.

Se ciò è vero, e se consideriamo che uno dei principi base del nostro processo civile è l’onere della prova a carico dell’attore stabilito dall’art. 99 cod. proc. civ. (onus probandi incumbit ei qui dicit), allora risulta chiaro che in caso di disconoscimento della provenienza di un documento sottoscritto digitalmente (si noti, più propriamente che non disconoscimento della firma digitale) da parte del titolare, allora chi ha prodotto il documento (l’attore) dovrà dare dimostrazione della provenienza, sopportando l’onere della prova per intero. Solo successivamente alla vittoriosa dimostrazione di provenienza il documento potrà essere considerato riconosciuto e valido fino a querela di falso.

Ora, il fatto è che, a differenza di un documento cartaceo con sottoscrizione olografa, dove la grafia è la diretta espressione psicosomatica del firmatario (abbiamo ricordato la felice espressione del codice di rito «di mano della parte che l’ha negata»), e dove l’accertamento del perito serve a stabilire l’abbinamento grafia-autore, nel caso di sottoscrizione digitale l’operazione di apposizione di una firma digitale può avvenire solo tramite l’utilizzo di un mezzo materiale, il dispositivo sicuro per la creazione di firma. In altri termini, la firma digitale o elettronica qualificata non fluisce direttamente dalla mano del firmatario, bensì risulta dall’utilizzo di un corpus mechanicus, indipendentemente dalla «mano» che l’ha utilizzata.

Orbene, se si applica per intero il principio dell’onere della prova a carico all’attore, quale stabilito dall’art. 99 cod. proc. civ., allora ne consegue che l’attore dovrebbe dare dimostrazione, a fini della provenienza del documento, non solo della validità del certificato, o meglio della validità della chiave pubblica al momento della sottoscrizione, bensì anche dell’imputabilità al titolare medesimo dell’utilizzo del dispositivo di firma. Prova a dir poco impossibile per l’attore, qualora la sottoscrizione digitale non sia avvenuta alla presenza di un terzo (pubblico ufficiale o notaio?).

Temo, dunque, che un ripristino dell’efficacia di scrittura privata rischierebbe di rendere facilmente, troppo facilmente, disconoscibile un documento sottoscritto con firma digitale, che così degraderebbe – nei fatti – al ragno di riproduzione meccanica. Ed a questo punto il cd. «non ripudio», tanto caro agli informatici che si occupano di questa materia, sarebbe una chimera irraggiungibile ed il valore di una firma digitale equivarrebbe a nulla. E se così dovesse accadere, temo che della firma digitale non interesserebbe più a nessuno dei potenziali utilizzatori e tanto meno alle loro controparti.

Se, dunque, l’efficacia di scrittura privata potrebbe essere considerata troppo debole (in assenza di correttivi della legge processuale, precisamente sul procedimento di verificazione), è altrettanto vero che anche l’efficacia fino a querela di falso potrebbe essere considerata eccessiva. Anche in questo caso mi spiego meglio.

Se è vero che, nel caso di efficacia di scrittura privata, il titolare potrebbe semplicemente disconoscere la provenienza del documento e lasciare alla controparte l’onere di provarla, nel caso di efficacia fino a querela di falso è chiaro che spetterebbe al titolare della firma digitale o elettronica qualificata l’onere di disconosce con ogni mezzo la provenienza del documento informatico prodotto in giudizio.

Ebbene, come ha acutamente notato su queste colonne il Capo dell’ufficio legislativo del Dipartimento per l’innovazione e le tecnologie, avvocato Enrico De Giovanni nell’intervista del 4 aprile 2003 (http://www.interlex.it/docdigit/degiovanni2.htm), liberarsi degli effetti di una firma digitale o elettronica qualificata apposta illecitamente potrebbe risultare eccessivamente oneroso per il titolare. Egli dovrebbe, infatti, promuovere, tramite querela di falso, un apposito procedimento da celebrarsi davanti al Tribunale in composizione collegiale, con l’intervento del pubblico ministero ai sensi dell’art. 221 e segg. cod. proc. civ.. Insomma, con un procedimento soggetto ad una certa durata, comunque dotato di rilevanza, giacché si dibatterebbe di fede pubblica, durante il quale rischierebbe in ogni modo di subire – medio tempore – gli effetti dell’utilizzo illecito prodottisi comunque prima del procedimento incidentale che risulterebbe necessario sollevare (pagamenti, trascrizioni, pignoramenti, ecc.).

Considerando appieno tutti gli aspetti di questa situazione, dove l’efficacia di scrittura privata appare troppo «debole» e l’efficacia fino a querela di falso troppo «forte» appare dunque inevitabile approdare ad una nuova soluzione.

In effetti, a ben vedere, il punto critico di tutta la questione dell’efficacia della firma digitale e del suo disconoscimento risiede proprio in questo: da un lato nel rischio di rendere eccessivamente facile (per il titolare di un certificato) il disconoscimento della sottoscrizione digitale e, dall’altro lato, nel rischio di rendere quasi impossibile (per l’attore che producesse un documento sottoscritto digitalmente) fornire la prova dell’utilizzo del dispositivo di sottoscrizione recante la chiave privata abbinata alla chiave pubblica contenuta nel relativo certificato.

Logico quindi pensare che un ritorno alla «efficacia di scrittura privata», in modo da correggere le tante anomalie della «efficacia fino a querela di falso», deve essere accompagnato da un «correttivo», tale da impedire al titolare un disconoscimento di comodo ed al contempo in grado di alleviare la controparte dell’onere di una prova quasi impossibile, in modo tale da evitare di svuotare di significato la firma digitale.

A mio modo di vedere, si tratta dunque di temperare il regime probatorio a carico dell’attore, inserendo una presunzione d’attribuibilità dell’utilizzo del dispositivo sicuro di firma in capo al titolare, salvo che questi provi il contrario.

In questo modo si ritorna nell’ortodossia della classificazione giuridica del codice civile italiano, si evita di scomodare la querela di falso e le conseguenti implicazioni processual civilistiche e si ottiene, inoltre, un «bilanciamento» degli interessi delle parti.

In aggiunta, oltre a sgravare l’attore che produce un documento sottoscritto digitalmente dell’onere della prova impossibile, si ottengono anche due ulteriori vantaggi. Si consente al titolare, se necessario, di disconoscere la provenienza del documento, o meglio dell’utilizzo del dispositivo di firma, in modo anticipato, direttamente durante il processo ordinario di cognizione, con indubbia economia di tempo ed attività giudiziale e difensiva; inoltre, si fornisce al giudice di merito una chiave interpretativa chiara in materia di disconoscimento della firma digitale ed elettronica qualificata, evitando di coinvolgerlo in una valutazione che in qualche caso potrebbe avvenire anche non considerando appieno tutti gli aspetti connessi al funzionamento tecnico e di sicurezza ovvero che potrebbe portare a vistose disparità di valutazione da parte di giudici diversi a parità di situazione.

In questo senso va letta favorevolmente la nuova disposizione contenuta nell’art. 18 (Valore probatorio del documento informatico sottoscritto) del nuovo Codice dell’amministrazione digitale, che sostituisce il comma 3 dell’art. 10 nel modo seguente: «2. Il documento informatico, sottoscritto con firma digitale o con un altro tipo di firma elettronica qualificata, ha l’efficacia prevista dall’articolo 2702 del codice civile. L’utilizzo del dipositivo di firma si presume riconducibile al titolare, salvo che sia data prova contraria.»

La nuova formulazione mi sembra colga bene le esigenze che sopra ho espresso, attui un buon bilanciamento tra gli interessi delle parti ed inoltre renda equilibrato, in termini di oneri probatori, un eventuale fase di disconoscimento del documento informatico sottoscritto con firma digitale o con firma elettronica qualificata.

La parola ora passa alla giurisprudenza. Questa ci dovrà dare finalmente un riscontro dell’applicazione concreta di questa costruzione giuridica nella vita giudiziaria di tutti i giorni. Certo, tre cambi d’indirizzo in pochi anni sono tanti; tuttavia sarebbe stato peggio non evolvere il pensiero giuridico e non adattare le norme alla nuova realtà tecnica, anche alla luce della conoscenza via via acquisita ed affinata in un campo senza dubbio nuovo.

11Abr/04

Brevi considerazioni in merito al provvedimento del Garante per la protezione dei dati personali

Brevi considerazioni in merito al provvedimento del Garante per la protezione dei dati personali relativo ai casi da sottrarre all’obbligo di notificazione

Il Garante per la protezione dei dati personali è intervenuto con propria deliberazione n. 1 del 31 marzo 2004 [http://www.garanteprivacy.it/garante/doc.jsp?ID=852561] al fine di sottrarre all’obbligo di notificazione alcuni specifici trattamenti di dati personali.

Come noto, nel nuovo Codice per la protezione dei dati personali (nel seguito: il «Codice») il sistema della notificazione è radicalmente cambiato rispetto al regime introdotto dalla legge 31 dicembre 1996, n. 675. Mentre in precedenza la notificazione era obbligatoria per tutti i titolari di trattamento, salvo alcune ridotte eccezioni di esonero (art. 7, comma 5-ter), essa risulta ora obbligatoria sono in specifiche ipotesi di trattamento di dati personali.

In particolare, l’art. 37, comma 1, del Codice individua alcuni trattamenti a fronte dei quali sorge l’obbligo di notificazione secondo le nuove modalità telematiche messe a punto dall’Ufficio del Garante. Il comma 2 dello stesso articolo, tuttavia, attribuisce al Garante (i) il potere di individuare ulteriori trattamenti da assoggettare all’obbligo di notificazione, in ragione del rischio di pregiudizio che potrebbero arrecare agli interessanti; così come, (ii) il potere di sottrarre dall’obbligo di notificazione trattamenti indicati nel comma 1 qualora ritenuti «non suscettibili di recare pregiudizio» agli interessati.

Con il provvedimento in commento il Garante ha, quindi, deciso di avvalersi del potere concessogli dal legislatore, per il momento unicamente nel senso di ridurre le fattispecie in cui la notificazione è obbligatoria. In via incidentale sembra interessante notare, da un punto di vista costituzionale, come l’art. 37, comma 2, contenga una specie di delega «in bianco» ad un organo non costituzionale, un’autorità indipendente, al fine di intervenire nell’ordinamento positivo, ampliando e riducendo di fatto, nemmeno temporaneamente, la portata di disposizioni normative di rango primario. Su quest’aspetto sarebbe interessante condurre un approfondimento: tuttavia, ragioni di brevità e la pressione degli adempimenti in scadenza impongono di rinviare al futuro ulteriori considerazioni.

Nonostante il provvedimento del Garante, che salutiamo naturalmente con favore, alcuni dubbi interpretativi rimangono in merito a talune fattispecie di trattamento per le quali molti titolari si domandano, in vista della prossima scadenza del 30 aprile, se la notificazione sia dovuta o meno.

Avvantaggiandomi dell’esperienza degli interventi che mi è capitato di effettuare in questi mesi, esaminerò nel seguito i principali casi per i quali qualche dubbio rimane.

A fine dello sviluppo delle argomentazioni, particolare attenzione verrà rivolta anche al contenuto delle tabelle (nel seguito: le «Tabelle») che il Garante ha predisposto al fine della compilazione della notificazione [cfr. https://web.garanteprivacy.it/rgt/Tabelle_della_procedura_di_notificazione.pdf]. È opinione di chi scrive che esse contengano indicazioni di cui non si possa non tenere conto al fine di determinare il contenuto dei precetti stabiliti dall’art. 37, comma 1, del Codice.

Trattamento di dati che indicano la posizione geografica di persone od oggetti mediante una rete di comunicazione elettronica

Tra i trattamenti individuati nella lettera a), preso atto delle esclusioni operate, uno in particolare desta notevoli dubbi interpretativi e riguarda, potenzialmente, un numero molto elevato di soggetti.

Sin dalla pubblicazione del Codice ci si è domandato se, nel trattamento in questione, rientrassero i cd. «sistemi di controllo accessi e/o rilevazione presenze» dei dipendenti, molto spesso basati sull’utilizzo di tessere magnetiche (badge) e se, pertanto, l’impiego di tali sistemi determinasse l’obbligo di notificazione quanto ai trattamenti indotti.

L’interesse appare giustificato tenuto conto della vastità dei soggetti che coinvolge in rapporto all’obiettivo dichiarato di drastica riduzione dei soggetti onerati dall’obbligo di notificazione.
Analizzando il contenuto delle Tabelle, in particolare tenuto conto che

  • quanto alle «categorie di dati», esse individuano i «dati idonei a rilevare la posizione di persone»;
  • quanto alle «categorie di interessati cui si riferiscono i dati», esse individuano «lavoratori e collaboratori»;
  • quanto alle «finalità», esse individuano la «gestione del personale»;
  • quanto alle «modalità», esse individuano la «rilevazione sistematica di dati senza particolari elaborazioni» così come la «cancellazione di dati immediata o nel breve periodo (massimo alcuni giorni)»;

prudenza imporrebbe di considerare come rientrante nella fattispecie in oggetto, e quindi soggetto a notificazione, un trattamento di dati correlato all’utilizzo di un «sistema di controllo accessi e/o rilevazione presenze» dei dipendenti, a condizione tuttavia che il sistema tratti i dati mediante una rete di comunicazioni elettronica.

Proprio in relazione a tale espressione sorge il dubbio maggiore. Se, cioè, vada considerata come rilevante anche una semplice rete interna, che metta in collegamento i vari dispositivi posti in corrispondenza delle entrate (o anche di una sola entrata) con il sistema che elabora/memorizza i dati delle presenze e degli accessi. Ovvero, se a fini dell’obbligo della notificazione sia richiesto un quid in più.

A mio giudizio dovrebbe risultare necessario un qualcosa in più. Vale a dire un vero e proprio «sistema di interconnessione» tra i sistemi di rilevazione del passaggio o della presenza dell’interessato (lavoratore e collaboratore) ed il sistema di elaborazione/memorizzazione dei dati, i quali dovrebbero inoltre insistere su luoghi fisicamente diversi tra loro. Ulteriore aspetto rilevante, mi sembra, dovrebbe essere la presenza di più sedi di lavoro ubicate su più siti, geograficamente distinti tra loro.

Ancorché indicativo della posizione fisica di una persona, la rilevazione presenza di un lavoratore presso un titolare che operi attraverso un sito unitario geograficamente non mi sembrerebbe rilevante ai fini della tutela delle libertà individuali dell’interessato. E’ evidente che un lavoratore deve recarsi (giornalmente) presso il luogo di lavoro, ed anzi solo in determinate e giustificate ipotesi è consentito che non si trovi in quel luogo.

Ben diverso appare, a giudizio di chi scrive, il caso di imprese ubicate su più siti operativi, distinti geograficamente. In questo caso mi sembra che la notificazione sia dovuta, sempre che venga impiegato un sistema di «rilevazione accessi» o «controllo presenze» collegato ad un sistema centrale attraverso una rete di comunicazione elettronica. Un dubbio potrebbe forse venire per il caso in cui tutti i siti operativi di un titolare siano ubicati nello stesso comune. In tal caso, tuttavia, ragioni di prudenza, consiglierebbero di procedere comunque alla notifica.

Trattamento di dati idonei a rivelare lo stato di salute e la vita sessuale, trattati a fini di procreazione assistita, prestazione di servizi sanitari per via telematica relativi a banche di dati o alla fornitura di beni, indagini epidemiologiche, rilevazione di malattie mentali, infettive e diffusive, sieropositività, trapianto di organi e tessuti e monitoraggio della spesa sanitaria

L’intervento del Garante ha sottratto all’obbligo di notificazione alcuni trattamenti eseguiti da esercenti le professioni sanitarie. Tuttavia, anche il provvedimento del Garante «insiste» nell’uso di espressioni confuse, con predicati verbali e complementi di argomento impliciti.

Senza peccare d’esterofilia, dove l’uso della «tabulazione» nei documenti a carattere legale è «imposto» a fini di chiarezza, nell’ipotesi in commento una maggiore chiarezza sarebbe auspicabile.

Se dal un lato appare indubbio che l’ipotesi in commento riguardi il «trattamento di dati idonei a rivelare lo stato di salute e la vita sessuale, trattati a fini di procreazione assistita», i problemi intepretativi nascono a mano a mano che ci si addentra nell’espressione utilizzata.

Ci si domanda, infatti, se «trattamento di dati idonei a rivelare lo stato di salute e la vita sessuale, trattati a fini di» non debba essere considerata espressione comune, che regge tutte le altre che seguono.

In tal caso, sembrerebbe forse sensato individuare l’espressione «trattamento di dati idonei a rivelare lo stato di salute e la vita sessuale, trattati a fini di prestazione di servizi sanitari per via telematica relativi a banche di dati o alla fornitura di beni», ipotesi più circoscritta rispetto alla mera «prestazione di servizi sanitari per via telematica relativi a banche di dati o alla fornitura di beni», in entrambi i casi comunque oscura e di difficile decifrazione, anche se il riferimento ai dati idonei a rivelare la «vita sessuale» appare strampalato.

Stesse considerazioni valgono per le espressioni che seguono. Vale a dire se debbano essere considerate isolatamente le espressioni «indagini epidemiologiche», «rilevazione di malattie mentali, infettive e diffusive, sieropositività», «trapianto di organi e tessuti» e «monitoraggio della spesa sanitaria», ovvero se anch’esse debbano essere raccordate alla radice comune.
Dato che non viene usata una formula disgiuntiva, bensì cumulativa, «dati idonei a rivelare lo stato di salute e la vita sessuale», verrebbe da pensare che:

  • avrebbe, forse, qualche senso compiuto il risultato combinato «trattamento di dati idonei a rivelare lo stato di salute e la vita sessuale, trattati a fini di indagini epidemiologiche»;
  • poco senso avrebbe l’espressione «trattamento di dati idonei a rivelare lo stato di salute e la vita sessuale, trattati a fini di rilevazione di malattie mentali, infettive e diffusive, sieropositività» ;
  • ancor meno senso avrebbe l’espressione «trattamento di dati idonei a rivelare lo stato di salute e la vita sessuale, trattati a fini di trapianto di organi e tessuti», per non parlare del «trattamento di dati idonei a rivelare lo stato di salute e la vita sessuale, trattati a fini di monitoraggio della spesa sanitaria»

Tutto sommato risulta preferibile concludere, anche se con dubbi circa la possibile arbitrarietà di una simile operazione, che si tratti di ipotesi distinte tra loro, non accomunate dall’ipotizzata radice comune e che la notificazione risulta dovuta qualora il trattamento riguardi:

  • dati idonei a rivelare lo stato di salute e la vita sessuale, trattati a fini di procreazione assistita;
  • prestazione di servizi sanitari per via telematica relativi a banche di dati o alla fornitura di beni;
  • indagini epidemiologiche;
  • rilevazione di malattie mentali, infettive e diffusive, sieropositività;
  • trapianto di organi e tessuti; e,
  • monitoraggio della spesa sanitaria.

Tutto questo anche se nel provvedimento del Garante tale radice comune viene in qualche modo indirettamente suggerita sub lettera A, punto 2).

Da notare che l’espressione utilizzata nella lettera b) appare particolarmente infelice, laddove si consideri che in talune ipotesi vengono in rilievo dati sensibili, sanitari o relativi alla vita sessuale in relazione a determinate finalità o anche modalità di trattamento, mentre in altre ipotesi, non vengono in rilievo particolari finalità e/o modalità, dal che si intuisce che la «pericolosità» del trattamento è insita nella natura dei dati.

Trattamento effettuato con l’ausilio di strumenti elettronici volti a definire il profilo o la personalità dell’interessato, o ad analizzare abitudini o scelte di consumo, ovvero a monitorare l’utilizzo di servizi di comunicazione elettronica con l’esclusione dei trattamenti tecnicamente indispensabili per fornire i servizi medesimi agli utenti

Il provvedimento del Garante ha sottotratto all’obbligo di notificazione due trattamenti molto diffusi, che avrebbero interessato moltissimi soggetti: (i) definizione di profili professionali per finalità di occupazione e (ii) definizione di profili di investitori da parte di intermediari finanziari in esecuzione di specifici regolamenti (Consob). Ciò non di meno, potrebbe risultare ancora ampio il novero delle ipotesi che rientrano nella lettera d), tanto che un numero rilevante d’imprese si domanda se dovrà procedere o meno alla notificazione, giusto l’obiettivo (dichiarato dal legislatore) di ridurre al minimo tale onere.

Osservato preliminarmente che il Codice non fornisce una definizione di «profilo dell’interessato» né di «analisi delle abitudini o scelte di consumo», e che quindi risulta più difficoltoso interpretare la disposizione, anche in questo caso conviene valutare il contenuto delle Tabelle per ottenere qualche elemento di chiarimento.

Ebbene, considerato che:

  • quanto alle «categorie di dati», esse individuano un insieme ampio, tra cui «dati relativi allo svolgimento di attività economiche e informazioni commerciali (es. fatturato, bilanci, aspetti economici, finanziari, organizzativi, produttivi, industriali, commerciali, imprenditoriali)»;
  • quanto alle «categorie di interessati cui si riferiscono i dati», esse individuano un novero molto ampio di soggetti interessati che comprende, tra l’altro, «persone giuridiche, fisiche», «consumatori», «clienti o utenti;
  • quanto alle «finalità», esse individuano con ipotesi molto ampia «attività commerciale», «creazione di profili professionali relativi a clienti o consumatori», «analisi delle abitudini o scelte di consumo», «fornitura di beni e servizi»;
  • quanto alle «modalità», esse individuano la «definizione di profili dell’interessato» solo come aggiuntiva ed ulteriore rispetto a «raccolta» e soprattutto «organizzazione in banche dati in forma prevalentemente automatizzata» o addirittura «organizzazione in banche dati in forma prevalentemente non automatizzata».

A prima vista sembrerebbe che anche la mera attività di raccolta ed organizzazione di informazioni commerciali relative a propri clienti e fornitori rientrerebbe nella fattispecie in oggetto, e quindi sarebbe soggetta a notificazione, a patto che sia effettuata mediante «l’ausilio di strumenti elettronici». Tale conclusione appare tuttavia eccessiva.

Potrebbe forse sorgere il dubbio che l’espressione della lettera d), dell’art. 37 del Codice, «dati trattati con l’ausilio di strumenti elettronici volti a definire il profilo o la personalità dell’interessato, o ad analizzare abitudini o scelte di consumo» implichi la presenza di un quid in più del mero trattamento elettronico, della mera memorizzazione delle informazioni commerciali in archivi elettronici (files), anche tra loro non coordinati (di fatto slegati tra loro), e che sia, invece, richiesta una vera e propria «applicazione» informatica che fornisca come output il «profilo dell’interessato» o l’analisi delle «abitudini e scelte di consumo». Tale quid aggiuntivo richiesto potrebbe essere ravvisato qualora si ritenesse che l’espressione » volti a definire il profilo o la personalità dell’interessato, o ad analizzare abitudini o scelte di consumo» sia riferita non ai «dati», bensì agli «strumenti elettronici».

Accedendo a tale interpretazione, è evidente, si eviterebbe la notificazione per un numero molto ampio di soggetti (imprese) i quali trattano sì dati di soggetti (clienti, fornitori), tuttavia semplicemente raccogliendo e memorizzando informazioni, senza l’ausilio di un vero e proprio sistema automatizzato in grado di produrre profili degli interessati.

Ed in effetti, tale interpretazione potrebbe trovare conferma se si considerano attentamente le espressioni utilizzate nel provvedimento del Garante ai fini d’individuazione dei trattamenti sottratti all’obbligo di notificazione. Il Garante, infatti, alle lettere a) e b) del punto 4) stabilisce l’esonero dalla notificazione per i «trattamenti di dati personali che non siano fondati unicamente su un trattamento automatizzato volto a definire profili professionali, effettuati per esclusive finalità di occupazione o di gestione del rapporto di lavoro …» ovvero per i «trattamenti di dati personali che non siano fondati unicamente su un trattamento automatizzato volto a definire il profilo di un investitore …».

Da un lato, sembrerebbe subito da escludere che il Garante abbia inteso riferirsi, al fine dell’esonero, anche alla contemporanea presenza di trattamenti «senza l’ausilio di strumenti elettronici», dato che la lettera d), dell’art 37 del Codice, è riferita esclusivamente a trattamenti effettuati con l’ausilio di strumenti elettronici, e quindi non avrebbe molto senso una simile ipotesi.

D’altro lato, è indubbio che il Garante ha utilizzato l’espressione «trattamenti automatizzati» mentre la lettera d), dell’art. 37 del Codice, utilizza l’espressione «dati trattati con l’ausilio di strumenti elettronici». Dato che vi è una differenza, e considerato che l’esonero non sarebbe applicabile nel caso in cui il trattamento riguardasse o «categorie di interessati» o «finalità» differenti, o eccedenti, rispetto a quelle elencate, a questo punto sembrerebbe corretto interpretare l’espressione «che non siano fondati unicamente su un trattamento automatizzato» nel senso di prevedere l’obbligo di notificazione per i soli casi in cui sia operante un vero e proprio sistema automatizzato che produce profili di individui. Diversamente, sarebbe difficile trovare un senso compiuto all’espressione utilizzata a fini d’esonero.

Ed in effetti, ad ulteriore conferma, occorre notare come anche l’art. 14 del Codice, che disciplina la «definizione di profili e della personalità dell’interessato» parla di «trattamento automatizzato di dati personali volto a definire il profilo o la personalità dell’interessato».

Ora, se è vero che l’esonero è previsto solo per specifiche «categorie di interessati» e «finalità di trattamento» (quelle indicate alle lettere a) e b) del punto 4) del provvedimento del Garante), nonostante la presenza di un «trattamento automatizzato», allora si può concludere, per logica conseguenza, che (i) per il caso di trattamenti che dovessero riguardare, o comprendere anche, altre «categorie di interessati» e/o «finalità di trattamento» (ovviamente) l’esonero non vale; ma anche, argomentando a contrariis, che (ii) in assenza di un vero e proprio «trattamento automatizzato» (vale a dire di un quid elaborativo in più rispetto al mero trattamento con l’ausilio di strumenti elettronici), l’obbligo di notificazione non è dovuto, dato che, in via interpretativa, non si rientrerebbe nella fattispecie prevista dalla lettera d) dell’art. 37 del Codice.

Se queste considerazioni sono valide, ne consegue che in tutti i casi in cui vengono raccolti e trattati dati commerciali, ad esempio di clienti e fornitori, e ciò mediante l’ausilio di strumenti elettronici, senza tuttavia la presenza di un vero e proprio trattamento automatizzato per mezzo di apposito sistema di generazione profili, allora non sarà dovuta la notificazione ai sensi della lettera d).

Naturalmente, l’obbligo di notificazione sarà dovuto, viceversa, per il caso in cui il titolare si avvalga di un sistema automatizzato (quid pluris) per la generazione dei profili (non essendo operante, al di fuori delle ipotesi descritte l’esonero concesso dal Garante).

Trattamento di dati registrati in apposite banche di dati gestite con strumenti elettronici e relative al rischio sulla solvibilità economica, alla situazione patrimoniale, al corretto adempimento di obbligazioni, a comportamenti illeciti o fraudolenti

Fortunatamente il provvedimento del Garante ha sottratto all’obbligo della notificazione ben sei fattispecie di trattamento di dati personali rientranti nelle ipotesi in commento e, tra queste, anche quella che maggiormente preoccupava le imprese e gli imprenditori. In effetti, analizzando il contenuto delle Tabelle sembrava ineluttabile concludere per l’obbligo di notificazione per qualunque soggetto che avesse anche solo strumenti minimi di controllo delle fatture emesse e dei crediti di fornitura non ancora estinti.

La formulazione adottata da Garante appare ampia e rassicurante, anche se il testo letterale appare non del tutto logico. Dispone, infatti, che non rilevano, e quindi non sono soggetti a notificazione, «i trattamenti di dati personali registrati in banche di dati utilizzate in rapporti con l’interessato di fornitura di beni, prestazioni o servizi, o per adempimenti contabili o fiscali, anche in caso di inadempimenti contrattuali, azioni di recupero del credito e contenzioso con l’interessato».

La definizione non specifica la natura del rapporto, tuttavia concordo che appare superfluo dato che non potrebbe altro trattarsi che di rapporti di natura contrattuale o derivanti da atto unilaterale. Piuttosto, rilevo che viene effettuata una distinzione tra rapporti di fornitura e adempimenti contabili o fiscali. Ciò legittima l’interpretazione che il beneficio si estenda anche a chi effettua trattamenti per fini contabili o fiscali senza avere rapporto con l’interessano. Anche ciò appare logico e sensato.
Qualche dubbio desta la parte finale «anche in caso di inadempimenti contrattuali, azioni di recupero del credito e contenzioso con l’interessato».

Dato che è stata individuata l’ipotesi principale del rapporto con l’interessato per la fornitura di beni, prestazioni o servizi (tripartizione singolare, giacché di solito cisi riferisce a «fornitura di beni» o «prestazione di servizi» ed è difficile immaginare la «fornitura di prestazioni»), ipotesi che include ogni possibile ulteriore attività conseguente o derivata, non si comprende il senso della specificazione estensiva. L’uso della parola «anche» esclude categoricamente che le ipotesi in questione possano essere considerate autonomamente. Anche perché, in tale ipotesi, sarebbe, ad esempio, esonerata l’attività (eventuale e susseguente) di vero e proprio recupero del credito, o contenziosa, mentre «scatterebbe» paradossalmente l’obbligo di notifica alla preventiva e naturale attività di mero controllo delle poste in scadenza, secondo la normale prassi commerciale. Preferisco concludere che si tratta d’espressione pleonastica ed irrilevante, ed osservo che sarebbe preferibile, in testi che modificano la portata di norme primarie, maggiore chiarezza.