Brevi considerazioni in merito ad alcune misure minime di sicurezza in vista della scadenza del 30 giugno
Il Garante per la protezione dei dati personali ha recentemente chiesto ad alcuni esperti di sicurezza informatica, in vista della scadenza del 30 giugno, termine ultimo per l’adozione delle cd. «nuove» misure minime di sicurezza previste dal Codice in materia di trattamento di dati personali (il «Codice»), di elaborare una traccia di Documento programmatico sulla sicurezza («DPS») che possa essere d’ausilio a tutti i soggetti che dovranno provvedervi. Il risultato, denominato «Prime riflessioni sui criteri di redazione del Documento programmatico sulla sicurezza» è stato pubblicato sul sito del Garante [http://www.garanteprivacy.it/garante/doc.jsp?ID=1002143] con l’invito ad esprimere osservazioni al riguardo. Unitamente a tale documento è stato richiamato il parere 22 marzo 2004 reso a Confindustria sull’oggetto: «prima applicazione del Codice in materia di protezione dei dati personali in materia di «misure minime» di sicurezza (art. 31-36 e Allegato B) al d.lg. n. 196/2003″, già oggetto di un mio precedente commento su questa rivista. Decisamente si tratta di un’iniziativa molto positiva, da accogliere con il massimo del favore e non rimane che attendere di conoscere i risultati dei contributi che verranno espressi.
Al di là degli aspetti tecnico-operativi sottesi alla predisposizione e compilazione del documento, mi sembra vi sia un quesito di più generale portata giuridica che merita approfondimento, vale a dire se il DPS debba essere redatto con riferimento a tutti i trattamenti di dati personali effettuati tramite strumenti elettronici, ovvero limitatamente ai soli trattamenti riguardanti dati sensibili e dati giudiziari.
Il quesito non è di poco conto, giacché una conclusione favorevole alla prima ipotesi interpretativa comportarebbe un carico di lavoro notevolmente superiore rispetto alla seconda ipotesi.
Il modello di DPS predisposto dagli esperti incaricati dal Garante sembrerebbe dare per scontata l’interpretazione estensiva, in base alla quale esso debba riguardare tutti i trattamenti di dati effettuati con strumenti elettronici. Esaminiamo ora con attenzione i vari elementi normativi che potrebbero condurci ad una conclusione piuttosto che ad un’altra.
L’art. 34 del Codice dispone il generale obbligo di adozione delle misure minime di sicurezza per i trattamenti di dati personali effettuati con strumenti elettronici. In particolare, alla lettera g), stabilisce l’obbligo di «tenuta di un aggiornato documento programmatico sulla sicurezza». In effetti, a prima vista, tale disposizione non prevede una distinzione tra tipologie di dati personali e sembrerebbe stabilire addirittura tale obbligo per tutti i titolari di trattamenti di dati personali, senza distinzione. Una tale interpretazione sarebbe, evidentemente, eccessiva. Al riguardo occorre infatti subito osservare come la disposizione generale contenuta nel comma 1 dell’art. 34 del Codice faccia esplicito rinvio, per quanto riguarda l’adozione delle misure minine, ai «modi previsti dal disciplinare tecnico contenuto dell’allegato B)».
Ebbene, la regola 19 contenuta nell’allegato stabilisce testualmente che «il titolare di un trattamento di dati sensibili o di dati giudiziari redige … un DPS contenente …». Viene quindi da domandarsi quale sia il rilievo di tale precisa specificazione in relazione al più generale obbligo disposto dall’art. 34 del Codice.
A mio giudizio sono possibili due interpretazioni: la prima tenderebbe a ritenere la specificazione come meramente diretta ad individuare i soggetti tenuti alla formazione del DPS, senza implicare ulteriori conseguenze con riferimento al contenuto del DPS; la seconda, viceversa, tenderebbe a ritenere che la specificazione non riguardi solo i soggetti, bensì anche l’ambito oggettivo di predisposizione del DPS.
Accedendo alla prima interpretazione, sostenibile nella misura in cui si osservi che nel sottopunto 19.1 si menzionano semplicemente i «dati personali», si approderebbe tuttavia ad una palese incongruenza, dato che solamente determinati soggetti, vale a dire i titolari che trattano dati sensibili o giudiziari, risulterebbero obbligati ad adottare una misura la cui portata riguarderebbe, tuttavia, il contenimento del rischio derivante da tutti i trattamenti di dati personali. Ed allora non si capirebbe la ragione di tale differenziazione, che sarebbe anche iniqua, giacché, a parità di rischio (quello indotto dal trattamento di dati personali comuni, vale a dire diversi da quelli sensibili e giudiziari), solo alcuni titolari risulterebbero onerati dell’obbligo di una misura di sicurezza per il contenimento del medesimo rischio che colpirebbe anche altri titolari, non altrettanto obbligati.
Salvo considerare che per un titolare di trattamento di dati sensibili e giudiziari l’onere di protezione dei dati personali comuni sia maggiore rispetto ad altri titolari. Pur tuttavia tale ragione andrebbe dimostrata e non mi sembra tale allo stato dei fatti. Posto, dunque, che non si intravedono ragioni concrete per giustificare una simile ipotesi, sull’argomento occorrerebbe anche considerare l’ipotesi, alquanto frequente, in cui il titolare procede «internamente» al trattamento dei dati sensibili e giudiziari senza ricorrere all’ausilio di strumenti elettronici, salvo affidare all’esterno il trattamento dei medesimi (normalmente un fornitore di servizi di elaborazione di paghe e contributi nominato responsabile del trattamento), da effettuare con l’ausilio di strumenti elettronici. É intuitivo che in questo particolare caso vi sarebbe la possibilità di limitare la redazione del DPS al solo responsabile «esterno» del trattamento, il quale potrebbe garantire anche maggiore protezione in virtù della specializzazione che lo contraddistingue, possibilità che sarebbe tuttavia impedita sempre applicando prima ipotesi interpretativa.
Accedendo alla seconda interpretazione, vale a dire che la redazione del DPS sia dovuta dai soli titolari che trattano dati sensibili e giudiziari e con riferimento solamente ai trattamenti che riguardano tali specifici dati, si approda ad una soluzione certamente più logica e per questo anche più equa.
Ulteriore elemento che milita a favore della seconda interpretazione si trova analizzando i titoli che sono contenuti nell’Allegato B) al fine di raggruppare le varie regole presenti. Ebbene, dopo la sezione «Documento programmatico sulla sicurezza» troviamo «Ulteriori misure in caso di trattamento di dati sensibili o giudiziari». Analizzando con attenzione il contenuto delle regole da 20 a 24 nessuno può dubitare che tali disposizioni siano riferite, e si applichino, esclusivamente al trattamento di dati sensibili e giudiziari e non può sorgere dubbio che tali regole non riguardino i trattamenti di altri dati personali. Proprio l’aggettivo «ulteriori» sembrerebbe indicarci che le disposizioni riguardanti il DPS sono esclusivamente rivolte ai trattamenti di dati sensibili e giudiziari e non altrimenti. Diversamente non avrebbe significato l’uso di tale aggettivo.
Per le ragioni sopra esposte, ritengo preferibile adottare l’interpretazione in base alla quale il DPS debba essere formato, ed aggiornato periodicamente, con riferimento esclusivamente al trattamento di dati personali sensibili o giudiziari. Naturalmente, ciò non toglie che sarebbe ottima pratica imprenditoriale decidere di estendere la predisposizione del DPS a tutti i dati personali oggetto di trattamento presso un titolare, in considerazione non solo del generale obbligo di protezione dei dati contenuto nell’art. 31 del Codice, bensì anche in ragione della necessità di tutelare il patrimonio informativo dell’impresa, asset determinante per la sopravvivenza sul mercato e per assicurare la continuità di business.
Vorrei ora effettuare qualche riflessione in merito alla misura di sicurezza prevista dalla regola n. 10 contenuta nell’Allegato B) al Codice.
La regola disciplina le modalità d’accesso ai dati o agli strumenti elettronici, da parte del titolare, quando siano protetti dalla componente riservata della credenziale per l’autenticazione di un incaricato. La domanda che ci si pone è se debba essere considerato obbligatorio per un titolare il ricorso alla procedura delineata nella parte finale della regola, che si basa su un sistema di custodia delle copie delle credenziali segrete attraverso l’individuazione di soggetti incaricati della custodia, ovvero se sia possibile realizzare analogo livello di protezione dei dati personali e degli strumenti elettronici anche mediante altra idonea procedura. Il quesito assume rilievo in ragione dell’onere indotto dalla procedura individuata dal legislatore, che risulta particolarmente macchinosa, soprattutto in considerazione dei periodici rinnovi delle credenziali stabiliti per legge.
Analizzando in dettaglio la regola n. 10 essa appare logicamente ripartita in due parti. Nella prima si ricava il principio che legittima l’accesso ai dati ed agli strumenti elettronici da parte del titolare quando siano protetti mediante impiego della componente riservata di una credenziale per l’autenticazione. In tal caso, sono complessivamente e contemporaneamente necessarie: i) idonee e preventive disposizioni scritte volte ad individuare le modalità di accesso da parte del titolare; ii) la prolungata assenza o impedimento dell’incaricato; iii) la circostanza, indotta dalle condizioni di cui sub ii) precedente, che l’accesso si renda indispensabile e indifferibile; iv) la circostanza che l’accesso avvenga per esclusive necessità di operatività e di sicurezza del sistema. Ebbene, in presenza di tutte queste condizioni l’accesso sostitutivo del titolare, rispetto all’incaricato, ai dati personali o agli strumenti elettronici è da ritenere legittimo nonché consentito.
Venendo alla parte terminale della regola n. 10, a me sembra che la procedura descritta sia da considerare quale esemplificativa delle «idonee e preventive disposizioni», nel senso che qualora un titolare opti per un sistema di custodia delle copie delle credenziali, in tal caso sarà obbligato a seguire le prescrizioni fornite.
Non mi sembra, viceversa, che dalla norma si possa ricavare il principio di obbligatorietà del ricorso ad una simile procedura. E ciò in quanto tale procedura sarebbe di fatto applicabile solamente con una tipologia delle credenziali per l’autenticazione previste dalla regola n. 2 dell’Allegato B). É evidente, ad esempio, che una simile procedura non sarebbe minimamente applicabile qualora il titolare disponesse l’adozione di credenziali per l’autenticazione basate su di una caratteristica biometria dell’incaricato. In tal caso sarebbe veramente comico, se non da film dell’orrore, pensare al deposito ed alla custodia delle copie delle credenziali. Stesso discorso varrebbe per credenziali basate su certificati di autenticazione contenuti in smart cards (seconda possibilità prevista dalla regola n. 2). Ergo, la procedura descritta è esemplificativa per il caso in cui il titolare opti per un meccanismo di custodia delle copie delle credenziali. Diversamente, il titolare potrà, sempre mediante descrizione delle «idonee e preventive disposizioni scritte volte ad individuare le modalità di accesso», disporre un sistema alternativo in base al quale: 1) l’accesso ai dati o agli strumenti elettronici avvenga solo e soltanto in presenza delle condizioni sopra delineate; 2) venga data notizia all’incaricato che è stato effettuato un accesso in sua sostituzione; 3) sia evitata la possibilità di accesso da parte di terzi alle credenziali per l’autenticazione di un incaricato.
Da questo punto di vista ritengo che il cd. «azzeramento» della credenziale per l’autenticazione di un incaricato assente, operata dal titolare al fine di consentire al titolare l’accesso a dati personali o strumenti elettronici, sia da considerare legittima nella misura in cui venga successivamente data notizia all’incaricato dell’avvenuto accesso e venga inoltre prevista, post accesso del titolare, la configurazione di una nuova componente riservata della credenziale dell’incaricato. Tale procedura potrebbe apparire, per certi versi, ancora più sicura rispetto a quella delineata nella regola n. 10, dal momento che eviterebbe di predisporre copie delle credenziali e quindi eviterebbe la necessità di protezione delle copie medesime, sempre mantenendo consapevole l’incaricato dell’avvenuto accesso e sempre limitando il diritto di accesso del titolare a ben determinate circostanze.