Responsabilità del provider, misure minime di sicurezza e documento programmatico di sicurezza

Questi argomenti pongono anche la questione della responsabilità dei providers. Se l’intermediario tecnico, infatti, diventa anche l’intermediario giuridico, in quanto responsabile delle azioni compiute da terzi-anonimi, immessi da loro nella rete, il provider, per ovvie ragioni di autotutela, selezionerà in modo molto rigoroso chi potrà accedere alla rete e chi no, con il rischio di avviare di processi di censura e di fare dei providers una sorta di censori istituzionali490

La materia della responsabilità del provider è disciplinata dal D.lgs. 9 aprile 2003 n. 70, emanato in applicazione della direttiva 2000/31/CE.

In particolare, la questione della responsabilità degli ISP (Internet Service

Provider) è affrontata negli articoli da 14 a 17, laddove sono distinte e

tipizzate le attività caratteristiche del prestatore di servizi in esame, distinguendo le attività di “mere conduit”, di “caching”, di “hosting” e prevedendo per ciascuna di esse un regime differenziato di responsabilità491_.

Così, nell’attività di semplice trasporto delle informazioni generate da un utente del servizio (mere conduit), cioè per il semplice fatto di fornire il semplice accesso alla rete, il provider non può essere considerato responsabile dei dati trasmessi a meno che non dia origine egli stesso alla trasmissione, oppure non provveda alla selezione del destinatario della comunicazione, oppure non svolga un’attività volta alla selezione o all’alterazione delle informazioni trasmesse492_.

Nelle attività di memorizzazione (chaching) automatica, intermedia e temporanea delle informazioni originate dal fruitore, invece, si deve ritenere esente da ogni responsabilità il prestatore che non modifichi quei dati e che provveda, inoltre, a conformarsi alle condizioni di accesso, alle

490_{S. RODOTÀ, Internet tra sicurezza e normalizzazione, La Repubblica 15-1-2009, op. cit.}

491_{Per una ricostruzione della responsabilità del provider e per l’applicazione della nuova disciplina si} veda Sentenza 29 giugno 2004 n.2286/2004, Tribunale di Catania - Sezione Quarta Civile,

www.altalex.com/index.php?idstr=30&idnot=7548; S. MELE, Privacy e user generated content (UGC), in L BOLOGNINI, D. FULCO, P. PAGANINI ( a cura di), Next Privacy, op cit, pag 55 e ss; M. GAMBULI, La responsabilità penale dei provider per i reati commessi in internet,

www.altalex.com/index.php?idstr=0&idnot=9965. 492_{Art. n. 14 D.lgs. n.70/2003 cit.}

informazioni e alle loro norme di aggiornamento convenute con le imprese di settore.

Allo stesso modo, deve essere ritenuto non responsabile tutte le volte che in cui agisca prontamente per rimuovere le informazioni memorizzate o disabilitarne l’accesso, non appena venga effettivamente a conoscenza del fatto che le informazioni sono state rimosse dal luogo dove si trovavano inizialmente in rete o che l’accesso sia stato disabilitato, oppure ne sia stata disposta da un’autorità amministrativa o giurisdizionale la rimozione o la disabilitazione493_.

Infine, quando la prestazione del servizio consiste nella memorizzazione non automatica, intermedia e temporanea di informazioni fornite dall’utente del sistema (hosting), il prestatore non è responsabile a condizione non sia concretamente consapevole del fatto che l’attività o l’informazione è illecita e, per quanto riguarda le azioni risarcitorie, non sia al corrente di fatti o circostanze che rendano manifesta l’illiceità dell’attività o dell’informazione494_.

In ogni caso, pur non essendo ravvisabile in capo al provider un obbligo generico di sorveglianza sulle informazioni che trasmette e memorizza, né un obbligo di ricerca attiva di fatti illeciti sui propri sistemi, non appena venga a conoscenza di tali fatti, il prestatore deve agire prontamente per rimuovere le informazioni o per disabilitare l’accesso ai suoi servizi, avvertire le autorità competenti e mettere a disposizione delle stesse le informazioni richieste, pena il coinvolgimento nella responsabilità civile495_.

La sicurezza dei dati in rete, quindi, riveste notevole importanza. Come evidenziato nel paragrafo relativo al quadro giuridico di riferimento, il legislatore ha fatto obbligo di predisporre misure finalizzate a garantire, appunto, la sicurezza del trattamento dei dai personali nelle comunicazioni elettroniche, internet incluso.

493_{Art. n. 15 D.lgs. n. 70/2003 cit.} 494_{Art. n. 16 D.lgs. n. 70/2003 cit.}

495_{Art. 17 D.lgs. n. 70/2003 cit. Vedi però la famosa sentenza n. 1972 del 24 febbraio 2010 emessa dal} Tribunale di Milano, con cui il giudice Osca Magi ha condannato tre dirigenti di Google per aver violato la normativa sulla privacy in relazione alla diffusione in rete da pare di alcuni ragazzi di un video in cui un disabile subiva atti di bullismo "L'informativa sulla privacy", scrive il giudice Magi, "era del tutto carente o comunque talmente nascosta nelle condizioni generali del contratto da risultare assolutamente inefficace per i fini previsti dalla legge". La condanna dei dirigenti di Google, infatti, secondo il magistrato, "non viene qui costruita sulla base di un obbligo preventivo di controllo sui dati immessi", ma per "un insufficiente (e colpevole) comunicazione degli obblighi di legge", riguardo l'informativa sulla privacy. La sentenza è consultabile su http://speciali.espresso.repubblica.it//pdf/Motivazioni_sentenza_Google.pdf.

Il Codice ha mantenuto la precedente distinzione tra misure di sicurezza minime ed idonee496_{. Le prime sono intese come il complesso delle misure} tecniche, informatiche, organizzative, logistiche e procedurali di sicurezza che configurano il livello minimo di protezione richiesto, riguardo ai rischi di distruzione o perdita anche accidentale dei dati, di accesso non autorizzato o di trattamento non consentito e non conforme alle finalità della raccolta.

Le seconde sono realizzate tenendo conto delle conoscenze acquisite in base al progresso tecnico, alla natura delle informazioni e alle specifiche caratteristiche del trattamento.

La natura dinamica della disciplina della sicurezza si evidenzia anche nell’art 36 del Codice, in cui è stato previsto un aggiornamento periodico del disciplinare tecnico (allegato B del Codice), contenente le misure minime di sicurezza, “con decreto del Ministro della giustizia di concerto con il Ministro per le innovazioni e le tecnologie e il Ministro per la semplificazione normativa, in relazione all'evoluzione tecnica e all'esperienza maturata nel settore”.

Due distinti regimi di responsabilità sono stati adottati dal Codice nel caso di violazione delle misure minime o delle misure idonee, assegnando alla prime una rilevanza penale497 _{ed alle seconde una rilevanza} essenzialmente civilista, con valutazioni da compiere in concreto e tenuto conto dello stadio di progresso tecnologico raggiunto e delle soluzioni disponibili.

Riguardo alle misure minime poi si è assistito, coerentemente alle caratteristiche già evidenziate del Codice, ad un processo di semplificazione rispetto alla normativa precedente nonché alla ricezione di regole tecniche altamente specialistiche, quali la disciplina ISO/IEC 17799 , le Linee Guida dell’OCSE498_{e la Direttiva n. 2002/58/CE.}

496_{Cfr Titolo V – Sicurezza dei dati e dei sistemi- capo I Misure di sicurezza e capo II Misure minime} di sicurezza del D.lgs. n. 196/2003, cit. Per quanto riguarda, in particolare, i servizi di comunicazione elettronica e i trattamenti con strumenti elettronici, si veda artt. 32 e 34 ed il disciplinare tecnico, allegato B del codice.. Cfr A. PARISI, Sicurezza informatica e tutela della privacy, Istituto Poligrafico Zecca dello Stato S.p.a., 2006 pag. 113 e ss; P. PERRI, Privacy, diritto e sicurezza informatica, Giuffrè, Milano 2007, pag. 195 e ss.

497_{Art. n. 169 D.lgs. n.196/2003.}

498 _{Disciplina ISO/IEC 17799, consultabile su http://www.iso.org/iso/catalogue_detail?}

csnumber=33441 e Raccomandazione del Consiglio OCSE/OECD relativa alla Linee guida per la sicurezza dei sistemi informativi e delle reti: verso una cultura della sicurezza, cit.

Inoltre la sicurezza è stata individuata dal Codice soprattutto in termini di progettualità. Si tende, così, a puntare sulla formazione dei responsabili ed incaricati del trattamento e sulla predisposizione di apposite politiche di comportamento, da revisionare con cadenza periodica.

Ancora, in tema di trattamenti elettronici, è stato introdotto il sistema di autenticazione informatica che ha precisato in modo analitico quanto già stabilito dalla precedente normativa, relativamente all'assegnazione di una password personale agli incaricati al trattamento per l'accesso al proprio pc.

La nuova disciplina ha stabilito che i suddetti incaricati devono essere dotati di credenziali di autenticazione (un codice associato ad una parola chiave) di carattere riservato, composte da almeno 8 caratteri.

Il titolare o il responsabile devono impartire adeguate istruzioni agli incaricati per non lasciare incustodito e accessibile l'elaboratore elettronico, durante una sessione di trattamento.

Tra le misure di sicurezza va segnalata, poi, l'utilizzazione di un sistema di autorizzazione per gli incaricati, in modo da limitare l'accesso ai soli dati necessari per effettuare le operazioni di trattamento.

Il nuovo Codice, inoltre, ha dedicato ampio spazio all'obbligo di predisporre il Documento Programmatico sulla Sicurezza (DPS)499_{, che} dove essere adottato entro il 31 marzo di ogni anno.

Tale dichiarazione deve contenere l'elenco dei trattamenti dei dati personali, la distribuzione dei compiti e delle responsabilità nella struttura, l'analisi dei rischi, le misure da adottare per garantire l'integrazione, l'integrità e la disponibilità dei dati, la protezione delle aree e dei locali.

499_{Il Documento Programmatico sulla Sicurezza è stato introdotto nel nostro ordinamento dall’art. 6} del D.P.R. 318/99 e ribadito, come visto, dall’art. 34 lett. g del D.lgs. n. 196/2003, anche se consiste in uno strumento utilizzato da diverso tempo dal management aziendale in generale. Con l’adozione del Codice della privacy ne è stato ampliato l’ambito di operatività, prevedendone l’adozione da parte di tutti coloro che fanno uso di strumenti elettronici per il trattamento dei dati personali sensibili e/o giudiziari, a prescindere dal fatto che siano accessibili mediate reti telematiche, come previsto in precedenza. Ha sollevato problemi interpretativi la formulazione dell’art. 34, la quale fa riferimento, per la predisposizione del D.P.S, al trattamento di dati personali effettuato con strumenti elettronici tout court. Il punto 19 dell’allegato B (disciplinare tecnico) indica, invece, il solo trattamento dei dati sensibili o giudiziari. E’ stato necessario, quindi, l’intervento interpretativo del Garante, il quale ha specificato che l’art 34, adoperando l’espressione “nei modi previsti dal disciplinare tecnico”, rinvia espressamente al contenuto dell’Allegato B), il quale, pertanto, può anche restringere l’ambito di applicazione della norma generale. Cfr. P. TROIANO, Le misure di sicurezza, in G. SANTANIELLO (a cura di ), op. cit. pag. 209 e ss.; Il Parere del Garante del 22 marzo 2004, “Obblighi di sicurezza e documento programmatico: al 30 giugno la redazione del "dps"”, consultabile su http://www.garanteprivacy.it/garante/ doc.jsp?ID=771307 e la Guida operativa per redigere il Documento programmatico sulla sicurezza (Dps), consultabile su http://www.garanteprivacy.it/garante/document?ID=1007740; A. PARISI, Sicurezza informatica e tutela della privacy, op. cit., pag. 121 e ss; P. PERRI, Privacy, diritto e sicurezza informatica, op. cit., pag. 249 e ss

Elemento particolarmente importante è la previsione espressa, in tale documento, di interventi formativi a favore degli incaricati al trattamento; tali interventi devono essere programmati già al momento dell'entrata in servizio del soggetto e ripetuti in caso di cambio di mansione.

Il legislatore ha attribuito grande valore alla realizzazione di questo adempimento, prevedendo che della sua adozione così come del suo aggiornamento il titolare debba riferire nella relazione accompagnatoria del bilancio d'esercizio, se dovuta.

Il titolare, inoltre, oltre ad essere tenuto ad adottare idonei programmi antivirus, ha il compito di impartire istruzioni organizzative e tecniche che prevedano il salvataggio dei dati con frequenza almeno settimanale. In tema di disaster recovery,500 _{il titolare e il responsabile devono adottare idonee} misure per garantire il ripristino dell'accesso ai dati in caso di danneggiamento degli stessi o degli strumenti elettronici, in tempi compatibili con i diritti degli interessati e non superiori a sette giorni.

Il titolare che si avvale di soggetti esterni per le misure minime di sicurezza (c.d. outsourcing) deve farsi rilasciare dall'installatore una descrizione scritta, c.d. attestato di conformità, dell'intervento effettuato, che ne attesta la corrispondenza alle disposizioni del suddetto disciplinare tecnico.