La sicurezza dei dati personali dal D. Lgs. 196/2003 al Regolamento UE 679/2016.

La sicurezza dei dati personali dal D.Lgs. 196/2003 al

Regolamento UE 679/2016.

Indice

Introduzione

Capitolo 1

1.2-Le leggi di “nuova” generazione e l'attuale Codice...10

1.3-I “soggetti” del trattamento e l'Autorità di controllo...14

1.4-Le misure di sicurezza nel Decreto Legislativo 196/2003...17

1.5-Il regime sanzionatorio: la tutela penale e l'Autorità Garante per la protezione dei dati personali...30

1.6-Il regime sanzionatorio: la tutela amministrativa...35

1.7-Il regime sanzionatorio:l'omissione delle misure di sicurezza nel Decreto Legislativo 196/2003...40

Capitolo 2

La sicurezza dei dati personali nel nuovo Regolamento Europeo 679/2016 in materia di protezione dei dati personali.

2.1- Dalla Direttiva al Regolamento...47

2.2- La procedura del Privacy Impact Assessment...52

2.3- La data protection by design e la data protection by default...62

2.4- La “nuova” figura del Data Protection Officer...72

2.5- Il regime sanzionatorio...82 2.6- I Big Data...88

Conclusioni

Ringraziamenti

Bibliografia

Articoli

Sitografia

Introduzione.

Il tema della sicurezza dei dati personali ha assunto un ruolo sempre più centrale all'interno della società contemporanea.

Il presente lavoro ha lo scopo di fornire un quadro completo delle molteplici misure adottate negli anni dalla giurisprudenza al fine di garantire un'effettiva protezione dei dati personali agli interessati.

Dopo un rapido excursus riguardante l'evoluzione storica delle leggi relative alla data protection, l'analisi si concentra in primis sul tema della sicurezza all'interno del nostro Paese. Essa viene disciplinata dal D. Lgs. 196/2003, anche chiamato Codice della Privacy. Tale Codice cerca di creare una struttura volta a prevenire l'illecito trattamento dei dati personali attraverso un sistema di misure di sicurezza, minime e idonee, che dovranno essere scrupolosamente applicate da chiunque si appresti ad effettuare un trattamento dei dati personali. Il Codice prevede anche un rigido sistema sanzionatorio in caso di omessa adozione di tali misure, il quale stabilisce responsabilità civili, penali e amministrative in capo al detentore dell'illecito.

Tale Decreto, tuttavia, sarà sostituito, a partire dal 25 maggio 2018, dal nuovo Regolamento europeo 679/2016 in materia di dati personali.

La seconda parte del presente lavoro si concentra, dunque, sull'analisi dell'insieme delle nuove misure di sicurezza da esso introdotte. In particolare vengono esaminati la procedura della Privacy Impact Assessment (PIA), i concetti di data protection by design e by default e la nuova figura del Data Protection Officer (DPO). Inoltre viene descritto il nuovo e più rigido quadro sanzionatorio previsto in caso di mancata adozione di tali misure.

L'attenzione viene anche posta sulla volontà del legislatore europeo di uniformare la legge in materia di data protection all'interno di tutti i Paesi membri dell'Unione europea proprio in virtù dell'importanza da essa acquisita. Inoltre si evidenzia la necessità sentita dal legislatore di creare un sistema che

cerchi ancor più di impedire un eventuale danno all'interessato, in quanto, nell'ambito della data protection, risulta essere molto difficile il ripristino della situazione antecedente all'illecito.

Tuttavia, nonostante dal presente lavoro emerga un generale giudizio positivo in merito a tale Regolamento, non vengono tralasciati i punti di criticità che esso presenta al suo interno, con particolare riferimento alla tematica dei Big Data.

Si sottolineano, inoltre, le maggiori difficoltà che si presenteranno all'Italia nel momento in cui si troverò a dover applicare le nuove norme sopra citate. Infatti, rispetto ad altri Paesi dell'Unione Europea che già avevano introdotto negli anni passati, all'interno delle proprie legislazioni, alcuni dei principi stabiliti dal Regolamento, l'Italia si mostra completamente digiuna al riguardo.

Capitolo 1

La sicurezza dei dati personali nel Decreto Legislativo 196/2003.

1.1

Data protection: genesi e sviluppi.

La nascita del concetto di privacy viene attribuita al saggio “The Right

To Privacy”, scritto dai giuristi Samuel D. Warren e Louis D. Brandeis negli

Stati Uniti nel 18901_{. L'accezione di privacy che viene sostenuta in tale testo,}

però, è diversa rispetto a quella che ne sarà data, nel secolo successivo, in Europa.

Infatti, mentre negli Stati Uniti la privacy veniva intesa come il diritto ad esser lasciati soli, (“right to be let alone2_{), dunque come una sorta di diritto}

alla riservatezza, in Europa essa sarà accolta nella sua accezione di data

protection, ovvero come diritto ad avere il controllo sui propri dati personali.

Dunque non tanto una protezione della sfera privata dell'individuo quanto più un diritto alla protezione dei dati che lo riguardano.

Le prime normative in materia di data protection in Europa verranno approvate soltanto negli anni '60-'70 del '900.

La prima norma alla quale dobbiamo fare riferimento è l'art. 8 della Carta Dei Diritti Dell'Unione Europea (CEDU) firmata a Roma nel 1950 da Belgio, Danimarca, Francia, Grecia, Irlanda, Islanda, Italia, Lussemburgo, Norvegia, Paesi Bassi, Regno Unito, Svezia e Turchia. Tale articolo recitava:

“1: Ogni persona ha diritto al rispetto della propria vita privata e familiare, del proprio domicilio e della propria corrispondenza.

2: Non può esserci ingerenza di un'autorità pubblica nell'esercizio di tale diritto a meno che tale ingerenza sia prevista dalla legge e costituisca una

1 Bernardi N., Perego M., Polaccini M., Soffietini M. a cura di, Privacy Officer. La figura chiave

della data protection europea, Wolters Kluwer Italia S.r.l., Milanofiori Assago, 2013.

misura che, in una società democratica è necessaria alla sicurezza nazionale, alla pubblica sicurezza, al benessere economico del paese, alla difesa dell'ordine e alla prevenzione dei reati, alla protezione della salute o della morale, o alla protezione dei diritti e delle libertà altrui”3_.

In tale norma, tuttavia, non vi è alcun esplicita menzione al diritto alla protezione dei dati personali.

La prima legislazione regionale in materia di data protection va attribuita alla Germania, la quale è stata la prima al mondo a emanare, nel 1970, una legge in materia nella regione dell'Assia. Tale legge è stata poi seguita, nel 1977, da un Decreto Federale sulla Protezione dei Dati (Bundesdatenshutzgesetz o più semplicemente BDSG)4_{, sostituito nel 1990}

dalla “Legge per lo sviluppo dell'elaborazione e della protezione dei dati

personali”5_.

La prima a emanare una legge statale riguardante la data protection, è stata invece la Svezia nel 1973 attraverso il Data Act6_{, seguita poi da Francia}

(la quale ha istituito l'autorità di controllo chiamata CNIL7_{), Austria,}

Lussemburgo, Danimarca, Islanda e Norvegia8_{. Troviamo poi riferimenti al}

tema della protezione dei dati personali anche nella Costituzione del Portogallo del 1976 e in quella spagnola del 19789_.

E' dunque necessario chiedersi perchè in tutti questi Paesi, sia europei che extraeuropei (ad esclusione dei paesi cosiddetti del terzo mondo e

3 Pizzetti F., Privacy e il diritto europeo alla protezione dei dati personali. Dalla direttiva 95/46 al

nuovo regolamento europeo. G. Giappichelli Editore, Torino, 2016, p.58.

4 Polo S., Repubblica Federale Tedesca, in

http://www.poloconsulting.net/LEGISLAZIONE/Normativa_Paesi_europei/GERMANIA/tabid/81/De fault.aspx

5 Pizzetti F., Privacy e il diritto europeo alla protezione dei dati personali, cit., p. 60.

6 Hovferberg E., Online privacy law, in https://www.loc.gov/law/help/online-privacy law/sweden.php

7 La Commission Nationale dell'informatique et des libertes, o CNIL è un'autorità amministrativa indipendente francese incaricata di assicurare l'applicazione della legge sulla tutela dei dati personali nei casi in cui si effettuino raccolte, archiviazioni ed elaborazioni di dati personali. 8 Pagano R.,Tutela dei dati personali: evoluzione della legislazione europea e stato del dibattito, in http://www.ittig.cnr.it/EditoriaServizi/AttivitaEditoriale/InformaticaEDiritto/1986_03_6794_Pagano.p

df, p.71.

9 Pizzetti F., Il percorso del consiglio d'Europa che porta al riconoscimento del diritto alla

protezione dei dati personali, in

dell'Europa dell'est)10_{, si comincia in questi anni a sentire il bisogno così forte}

di regolamentare questa materia.

La motivazione è da rinvenirsi in un primo momento nell'evoluzione tecnologica di strumenti che permettevano forme di diffusione delle informazioni fino ad allora sconosciute, come ad esempio la stampa e la fotografia11_{. Ciò che maggiormente ha inciso però, è stato l'avvento di}

strumenti tecnologici come la TV, la Radio, ma soprattutto i personal

computer i quali hanno dato l'avvio all'epoca della società digitale. Tali

strumenti, infatti, hanno permesso la memorizzazione di un numero sempre maggiore di informazioni e il conseguente timore per l'individuo di non essere più in grado di controllare i propri dati. Hanno suscitato, inoltre, in esso, la preoccupazione ben più grande che questi dati potessero essere utilizzati dallo Stato per esercitare su di lui una rigida forma di controllo12_.

Tale preoccupazione era dovuta a evidenti ragioni storiche. In Europa, infatti, il controllo esercitato sui cittadini prima dal monarca o dal sovrano e successivamente dallo Stato, nelle sue declinazioni di Partito, Stato-Etico o Stato-Autoritario, è sempre stato molto forte. Questo tipo di controllo, sostenevano i vari Stati, era finalizzato a proteggere gli individui da nemici interni oppure esterni allo Stato. In realtà, tale controllo è sempre stato esercitato, al fine di tenere costantemente sotto controllo la lealtà dei cittadini nei confronti dei vari governi13_{. A seguito poi delle derive autoritarie del '900,}

in cui venne annullata senza alcuno scrupolo ogni tipo di riservatezza, l'avvento delle nuove tecnologie venne interpretato come un ritorno, per i cittadini, alla condizione di sudditi di uno stato totalitario14_.

La privacy inizia ad essere vista, così, come una sorta di “rubinetto” in grado di far fuoriuscire e quindi rendere pubbliche soltanto alcune

10 Pagano R., Tutela dei dati personali: evoluzione della legislazione europea e stato del dibattito,

cit., p.72.

11 Pizzetti F., Privacy e il diritto europeo alla protezione dei dati personali., cit., p.47. 12 Pizzetti F., ivi, p.49.

13 Pizzetti F., ivi, p.52. 14 Pizzetti F., ivi, p. 53.

informazioni e mantenerne riservate altre che il soggetto non desideri divulgare15_.

I personal computer, infatti, diventano strumenti in grado di riunire un ampio volume di dati, fino ad allora sparsi in numerosi e differenti fascicoli, in un'unica banca dati. Ma c'è dell'altro. I computer diventano strumenti in grado di selezionare e collegare queste informazioni tra di loro, fornendo un quadro preciso riguardante una specifica persona anche a sua insaputa16_.

La privacy sembra dunque diventare l'unico rimedio possibile per limitare quel controllo al quale l'individuo della società contemporanea si sente costantemente sottoposto a causa dell'utilizzo esasperato di strumenti tecnologici17_.

In Europa non fu dunque la stampa ad azionare la macchina della

privacy, ma lo sviluppo dei trattamenti automatizzati resi possibili inizialmente

attraverso l'utilizzo di schede perforate e sistemi di elaborazione messi a punto dall'IBM per prima18_.

In sostanza, in Europa il diritto alla privacy viene inteso come il diritto di ogni individuo a non essere sottoposto a controlli e raccolte di informazioni riguardanti la propria vita senza che esso ne abbia dato il consenso oppure senza che vi siano delle chiare motivazioni per farlo previste dalla legge19_.

I governi rispondono all'esigenza di tutela dei dati in primis nominando delle Commissioni con il compito di studiare il nuovo scenario in quel momento ancora in evoluzione. Queste Commissioni riconobbero che, senza ombra di dubbio, vi fosse una minaccia incombente per la sicurezza dei dati personali dei cittadini. Tuttavia, a causa di un' ancora scarsa informatizzazione

15 Bocchiola M., Libertà senza privacy, in http://www.centroeinaudi.it, cit., p.23

16 Pagano R.,Tutela dei dati personali: evoluzione della legislazione europea e stato del

dibattito, cit., p.70

17 Bocchiola M., Libertà senza privacy, cit., p.2.

18 Non a caso proprio l' IBM oggi fa della protezione dei dati personali dei suoi clienti un fattore di vantaggio competitivo per l'azienda. Questa estrema attenzione la rende uno dei principali fornitori di sicurezza e una delle poche azienda ad offrire un insieme di modelli e servizi per aiutare le altre aziende ad implementare un sistema accurato e integrato di sicurezza. Fagnani M., La sicurezza nel terzo millennio, in F. di Resta, a cura di, La tutela dei dati personali nella società

dell'informazione, G. Giappichelli Editore, Torino, 2009, p. 57. 19 Pizzetti F., Privacy e il diritto europeo alla protezione dei dati personali, cit., p.54.

della società e in particolar modo della pubblica amministrazione, non ritennero necessario prendere dei provvedimenti in merito a ciò. Le Commissioni, dunque, ebbero il mero scopo di fornire semplici indicazioni riguardanti eventuali misure che coloro che si accingevano ad effettuare dei trattamenti di dati avrebbero dovuto adottare20_.

Nel primi anni '70 nascono dunque quelle che vengono chiamate le leggi

di prima generazione21_{, le quali avevano un orientamento sostanzialmente} garantista ed il cui strumento principale per assicurare il corretto trattamento dei dati era quello dell'autorizzazione. Si trattava di leggi a carattere procedimentale, ovvero leggi che disciplinavano il modo in cui il trattamento dei dati doveva avvenire senza però porre la debita attenzione al fondamento giuridico di tali norme. Questo approccio era legato alla non ancora elevata diffusione dei personal computer che permetteva un regime di controllo preventivo dei dati in essi inseriti e a posteriori sui dati in essi contenuti.

Dovremo aspettare la metà degli anni'70 per assistere all'avvento delle

leggi di seconda generazione22_{, le quali non solo saranno collegate al tema} fondamentale dei diritti dell'uomo, ma introdurranno anche importanti principi. Tra questi principi ricordiamo quello della qualità dei dati, ovvero il principio secondo il quale i dati devono essere pertinenti, completi ed aggiornati; il principio di specificazione delle finalità, ovvero l'obbligo di dichiarare la finalità per la quale i dati sono stati raccolti; il principio della limitazione dell'uso, il quale costringe l'utilizzo dei dati alle finalità per le quali sono stati raccolti; il principio della garanzia della sicurezza e quello della partecipazione individuale, che si esprime nel diritto da parte dell'interessato di accedere ai propri dati, di poterne verificare la correttezza e di poterne chiedere la rettifica.

Di particolare importanza risulta poi essere l'attenuazione del principio

20 Pagano R., Tutela dei dati personali: evoluzione della legislazione europea e stato del dibattito,

cit., p.71.

21 Pagano R., ivi, p.74. 22 Pagano R., ivi, p.75.

dell'autorizzazione, che viene sostituito da quello della notifica oppure da quello della registrazione23_.

1.2

Le leggi di “nuova” generazione e l'attuale Codice.

All'inizio degli anni '80 si giunge, così, alle leggi di terza (o nuova)

generazione24_{, le quali porteranno ad un'evoluzione del diritto in materia di}

data protection in Europa e conseguentemente in tutti i suoi Stati membri. Ciò

accade perchè leggi di natura procedimentale non risultavano più essere adatte a gestire una realtà così eterogenea di interessi. Inoltre anche il diritto di accesso in capo a ciascun individuo, il quale avrebbe dovuto garantire il controllo da parte dello stesso sui propri dati iniziava a rivelarsi illusorio in mancanza di un'accurata conoscenza da parte di ognuno del contenuto e del tipo di dati presenti negli archivi.

Nonostante tuttavia, nei singoli Stati europei iniziassero a diffondersi leggi in materia di data protection, a livello di regolamentazione sovranazionale tutto questo mancava.

Come abbiamo già accennato25_{, infatti, nella Carta dei diritti dell'Unione}

Europea del 1950 mancava un effettivo richiamo al diritto alla tutela dei dati personali.

Di tale diritto si parlerà esplicitamente nella Convenzione n. 108 di Strasburgo26 _{approvata il 28 Gennaio 1981 dal Consiglio d'Europa. Essa}

riguarderà specificatamente “la protezione delle persone rispetto al

trattamento automatizzato di dati di carattere personale”27_{. A seguito di tale}

23 Pagano R., ivi, p.76.

24 Pagano R., Tutela dei dati personali: evoluzione della legislazione europea e stato del dibattito,

cit., p.78.

25 Par. 1.1.

26 Consultabile in http://www.meltingpot.org/Legge-21-febbraio-1989-n-98-Convenzione-di

Strasburgo- n-108.html#.WMv0pSriXgY

Convenzione, il diritto della data protection verrà ribadito in numerosi altri provvedimenti comunitari, sino ad arrivare alla stesura della Direttiva 95/46/Ce relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati28 _{(la quale rimarrà}

valida fino all'entrata in vigore del nuovo Regolamento Europeo). Tale Direttiva portava ad un primo abbattimento delle frontiere immateriali riguardanti il tema della data protection29_{. Tali frontiere erano dovute alla}

presenza di un diritto molto frammentario in merito al tema della protezione dei dati all'interno dei vari stati europei. Tutto questo fu la diretta conseguenza dell'entrata in vigore del trattato di Maastricht (7 Febbraio 1992, entrato in vigore il 1 novembre 1993), il quale sancì la nascita dell'Unione Europea e decretò ufficialmente l'impegno per i paesi che vi aderivano ( ovvero Italia, Spagna, Francia, Paesi Bassi, Lussemburgo, Portogallo, Belgio, Germania, Danimarca, Grecia) a costituire un mercato unico europeo30_.

I lavori da subito risultarono molto complessi e il maggiore obiettivo che la Direttiva riuscì a raggiungere fu, oltre a quello di fornire una prima armonizzazione delle varie legislazioni vigenti, quello di sancire il principio del mutuo riconoscimento. Tale principio stabiliva che in qualsiasi Stato membro dell'Unione Europea, si applicasse la legge di protezione dati del Paese in cui era stabilito il titolare del trattamento31_.

Un altro obiettivo sicuramente molto importante raggiunto attraverso l'elaborazione di tale Direttiva, fu quello dell'istituzione del gruppo di lavoro chiamato art.29 Working Party32_{. Questo gruppo, il quale opera tutt'ora come}

consulente completamente indipendente dalle istituzioni europee, aveva lo scopo di analizzare le diverse modalità attraverso le quali l'Europa sarebbe

28 Iaselli M., I principi informatori del Codice della Privacy, tra teoria e pratica, in

http://www.micheleiaselli.it/e-bookprivacy.pdf , p.54.

29 Pizzetti F., Privacy e diritto europeo alla protezione dei dati personali, cit., p. 64. 30 Pizzetti F., ivi, p. 64.

31 Pizzetti F., ivi, p. 66.

32 Per maggiori informazioni al riguardo:

stata in grado di garantire una libertà di movimento dei dati tra i paesi membri33_.

In questo modo si è sicuramente voluto raggiungere un avvicinamento delle legislazioni dei vari stati tale da garantire un eguale livello di tutela per i cittadini in tutto il territorio europeo, ma allo stesso tempo si sono ritenute ammissibili alcune divergenze tra le legislazioni dei vari paesi34_.

Un ulteriore passo avanti a livello europeo venne raggiunto attraverso la promulgazione di un Regolamento CE 45/2001 ( il quale costituisce una sorta di anteprima del Regolamento UE 2016/679 di cui parleremo nel prosieguo), che aveva lo scopo di unificare le modalità con le quali le varie istituzioni europee dovevano gestire i dati personali35_{. A tale scopo vennero istituite la}

figura del Garante Europeo e quella del Responsabile della protezione dei dati personali. Al Garante Europeo venne attribuito il compito di vigilare sul corretto svolgimento del processo di trattamento dati da parte delle istituzioni e degli organi dell'UE, nonché di fornire loro consulenza riguardo a tutti gli argomenti inerenti alla materia in questione36_{. Per quanto riguardava invece il}

Responsabile della protezione dei dati personali, esso veniva visto come una figura specializzata sulla normativa e sulla prassi in materia di dati personali37_.

Per quanto riguarda l'esperienza italiana è necessario precisare che la dottrina38 _{si interessa al tema della protezione dei dati personali con un po' di}

ritardo rispetto agli altri paesi europei.

L'atto di nascita della protezione dei dati personali in Italia viene attribuito all'art. 8 dello Statuto dei Lavoratori del 1970, il quale poneva il divieto in capo al datore di lavoro di raccogliere opinioni politiche, sindacali e

33 Biasiotti A., Il nuovo Regolamento europeo sulla protezione dei dati , EPC Editore, Roma, 2016,

p. 31.

34 Iaselli M., I principi informatori del Codice della Privacy, tra teoria e pratica, cit., p. 55. 35 Biasiotti A., Il nuovo Regolamento europeo slla protezione dei dati , cit., p. 36.

36 Art. 24 Regolamento CE 45/2001, in :http://www.jus.unitn.it/users/caso/dpi01-0 2 / t o p i c s / p r i v a c y / m a t e r i a l i / r e g _ 4 5 _ 2 :http://www.jus.unitn.it/users/caso/dpi01-0 :http://www.jus.unitn.it/users/caso/dpi01-0 1 . p d f 37 DPO-Data Protection Officer,: il responsabile della protezione dei dati personali, in http://www.diritto24.ilsole24ore.com/art/dirittoCivile/2016-09-26/dpo-data-protection-officer r e s p o n s a b i l e - p r o t e z i o n e - d a t i - p e r s o n a l i - 1 7 4 2 1 6 . p h p ? r e f r e s h _ c e = 1 38 Iaselli M., I principi informatori del Codice della Privacy, tra teoria e pratica, cit., p. 51.

religiose dei propri dipendenti39_{. Inoltre, l'art. 4 dello Statuto dei lavoratori}

stabiliva il divieto per il datore di lavoro, di istallare impianti audiovisivi per il controllo a distanza del lavoratore. Tali impianti avrebbero potuto essere installati solamente previo accordo con le rappresentanze sindacali aziendali.

Tuttavia, in merito all'orientamento giurisprudenziale40_{, per avere dei}

cambiamenti dovremo aspettare il 1975, anno in cui viene affermata dal Supremo Collegio l'esistenza del diritto alla riservatezza.

La stessa Direttiva 95/46 CEE venne attuata nel nostro Paese con un significativo ritardo e solamente nel momento in cui fu chiaro che, se l'Italia voleva far parte della Convenzione di Shengen41 _{doveva prima dotarsi di una}

legislazione coerente a quella stabilita nella suddetta Direttiva42_{. Fu così che}

l'Italia promulgò la legge n. 675 del 31 Dicembre 1996 la quale assicurava per la prima volta una tutela civile, penale e amministrativa all'attività di ricerca, raccolta e trattamento dei dati riguardanti la persona43_.

L'adozione di tale legge venne dunque sentita soprattutto come un obbligo imposto dalla Comunità Europea, e non come un mezzo per tutelare i propri cittadini. Nonostante ciò, il nostro legislatore non si limitò ad approvare la legge comunitaria, ma stabilì anche che il trattamento dei dati personali non solo dovesse avvenire nel pieno rispetto dei diritti e delle libertà fondamentali delle persone, ma che fosse necessario anche garantire il rispetto della loro dignità e aggiunse che la tutela si dovesse estendere anche all'identità personale oltre che alla riservatezza44_{. Tuttavia, la rapidità con cui si era}

arrivati ad emanare questa legge portò al susseguirsi, negli anni successivi, di

39 Brugiotti, La privacy attraverso le “generazioni dei diritti”. Dalla tutela della riservatezza alla

protezione dei dati personali fino alla tutela del corpo elettronico, in

http://dirittifondamentali.besmart.it/media/1180/brugiotti_la-privacy-attraverso-le-generazioni-dei-d i r i t t i . p d f

40 Iaselli M., I principi informatori del Codice della Privacy, tra teoria e pratica, cit., p.53.

41 La Convenzione di Shengen è un trattato internazionale che regola l'apertura delle frontiere tra i paesi firmatari. Viene firmata il 19 giugno 1990 da Benelux, Germania Ovest e Francia. In seguito aderiscono a tale Convenzione anche Italia (1990), Spagna e Portogallo (1991), Grecia (1992),

Austria (1995), Danimarca, Finlandia, Svezia (1996).

42 Pizzetti F., Privacy e il diritto europeo alla protezione dei dati personali, cit., p. 67.

43 Troncone P., Il delitto di trattamento illecito dei dati personali, G. Giappichelli Editore, Torino,

2011, p.5.

numerose modifiche45_{. Non solo, ma tale frettolosità aveva imposto al}

parlamento di concedere una delega legislativa al governo per rendere la legge 675/96 più snella e completa. Nonostante il governo abbia sfruttato più volte questa possibilità, la materia risultò talmente complessa che il Parlamento non solo estese il periodo di validità di tale delega, ma impose anche al Governo, attraverso l'emanazione di un'apposita legge al riguardo, di riunire l'intera materia all'interno di un unico documento riassuntivo.

Il sopra citato Codice in materia di protezione dei dati personali, Decreto Legislativo 196 del 30 Giugno 200346 _{(legge delega n. 127/2001) nasce così}

come compendio e aggiornamento di tutti i testi precedentemente emanati. Tale Codice, tuttavia, non si limita ad una mera riorganizzazione del materiale legislativo esistente, al contrario cerca di rafforzare la tutela dell'individuo. Rispetto alla precedente legge, infatti, gli articoli contenuti nel Codice sono molto più numerosi e vi sono inoltre alcuni allegati tra i quali il Disciplinare Tecnico in materia di Misure Minime di Sicurezza che a breve analizzeremo47_.

Viene dunque a configurarsi il primo modello nell'area europea, di codificazione organica in materia di data protection48_.

1.3

I “soggetti” del trattamento e l'Autorità di controllo.

Come già nella precedente legge n. 675/1996, anche nel del Codice della privacy il legislatore definisce con chiarezza le categorie di soggetti rilevanti per quanto concerne l'attività di trattamento dei dati. Tali figure sono tre: il titolare del trattamento, il responsabile, e l' incaricato.

La definizione di titolare del trattamento è fornita all'interno dell'art. 4 del

45 Biasiotti A., Il nuovo Regolamento europeo sulla protezione dei dati, EPC editore, Roma, 2016, p.

2 9 .

46 Finocchiaro G., Privacy e protezione dei dati personali. Disciplina e strumenti operativi,

Zanichelli editore, Bologna, 2012, p. 25.

47 Biasiotti A., Il nuovo Regolamento europeo sulla protezione dei dati, cit., p. 38. 48 Brugiotti E., La privacy attraverso le “generazioni dei diritti”.cit., p. 14.

Codice della Privacy, il quale lo indica come “la persona fisica, giuridica, la

pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento dei dati personali ed agli strumenti utilizzati, ivi compreso il profilo della sicurezza”.

Il titolare è dunque colui che da vita al trattamento ed il Codice gli attribuisce la potestà autonoma ed esclusiva di determinazione degli scopi del trattamento. Al titolare, inoltre, viene attribuito il compito di individuare gli strumenti da utilizzare nel trattamento e le modalità da seguire per la raccolta, la gestione, la custodia e la prevenzione dei rischi di perdita e distruzione dei dati. E' il titolare, inoltre, che deve nominare uno o più responsabili.

Il responsabile è definito come “la persona fisica, giuridica, la pubblica

amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento dei dati personali"49_{. Esso, dunque, ha il compito di} mettere in atto le disposizioni impartitegli dal titolare, il quale ha il dovere di verificare che esse siano eseguite correttamente.

Infine, per quanto riguarda la figura dell'incaricato si fa riferimento a “la

persona fisica autorizzata a compiere le operazioni di trattamento dal titolare o dal responsabile"50_{. L'incaricato è dunque colui che mette in atto}

materialmente le singole operazioni del trattamento senza avere nessuna autonomia e attenendosi alle istruzioni impartite dal titolare e dal responsabile. Preme soffermarci, inoltre, sulla figura dell'Autorità Garante per la protezione dei dati personali.

L'Autorità Garante per la protezione dei dati personali è un organo indipendente che si compone di quattro membri, due eletti dalla Camera dei Deputati e due eletti dal Senato della Repubblica tra persone che abbiano riconosciute competenze in materia di diritto o di informatica. Tali membri eleggono al loro interno un presidente il quale starà in carica per sette anni

49 Articolo 4, comma 1, lettera g, Decreto legislativo 196, 30 giugno 2003. 50 Articolo 4, comma 1, lettera h, Decreto legislativo 30 giugno 2003 n. 196.

senza poter essere in seguito rieletto51_{. Le molteplici funzioni del Garante sono}

stabilite all'interno dell'art. 154 del Codice52_.

L'Autorità Garante per la protezione dei dati personali riveste soprattutto un ruolo di garanzia piuttosto che di regolazione, il quale si traduce in una vigilanza in merito alla correttezza dell'attività di trattamento dei dati personali53_{. L'Autorità ha infatti dei compiti piuttosto che dei poteri.}

Ciò su cui preme soffermarsi è che al Garante spetta la tutela del diritto alla protezione dei dati in sede amministrativa, così come stabilito dall'art. 16654_{. In alternativa, tale funzione può essere svolta dall'Autorità Giudiziaria}

51 Finocchiaro G., Privacy e protezione dei dati personali, cit., p. 318.

52 Art. 154 D.Lgs. n. 196/2003: 1. Oltre a quanto previsto da specifiche disposizioni, il Garante,

anche avvalendosi dell'Ufficio e in conformità al presente codice, ha il compito di:a) controllare se i trattamenti sono effettuati nel rispetto della disciplina applicabile e in conformità alla notificazione, anche in caso di loro cessazione e con riferimento alla conservazione dei dati di traffico;b) esaminare i reclami e le segnalazioni e provvedere sui ricorsi presentati dagli interessati o dalle associazioni che li rappresentano;c) prescrivere anche d'ufficio ai titolari del trattamento le misure necessarie o opportune al fine di rendere il trattamento conforme alle disposizioni vigenti, ai sensi dell'articolo 143;d) vietare anche d'ufficio, in tutto o in parte, il trattamento illecito o non corretto dei dati o disporne il blocco ai sensi dell'articolo 143, e di adottare gli altri provvedimenti previsti dalla disciplina applicabile al trattamento dei dati personali;e) promuovere la sottoscrizione di codici ai sensi dell'articolo 12 e dell'articolo 139;f) segnalare al Parlamento e al Governo l'opportunità di interventi normativi richiesti dalla necessità di tutelare i diritti di cui all'articolo 2 anche a seguito dell'evoluzione del settore;g) esprimere pareri nei casi previsti;h) curare la conoscenza tra il pubblico della disciplina rilevante in materia di trattamento dei dati personali e delle relative finalità, nonché delle misure di sicurezza dei dati;I) denunciare i fatti configurabili come reati perseguibili d'ufficio, dei quali viene a conoscenza nell'esercizio o a causa delle funzioni;L) tenere il registro dei trattamenti formato sulla base delle notificazioni di cui all'articolo 37;m) predisporre annualmente una relazione sull'attività svolta e sullo stato di attuazione del presente codice, che è trasmessa al Parlamento e al Governo entro il 30 aprile dell'anno successivo a quello cui si riferisce.2. Il Garante svolge altresì, ai sensi del comma 1, la funzione di controllo o assistenza in materia di trattamento dei dati personali prevista da leggi di ratifica di accordi o convenzioni internazionali o da regolamenti comunitari [...].3. Il Garante coopera con altre autorità amministrative indipendenti nello svolgimento dei rispettivi compiti. A tale fine, il Garante può anche invitare rappresentanti di un'altra autorità a partecipare alle proprie riunioni, o essere invitato alle riunioni di altra autorità, prendendo parte alla discussione di argomenti di comune interesse; può richiedere, altresì, la collaborazione di personale specializzato addetto ad altra autorità.4. Il Presidente del Consiglio dei ministri e ciascun ministro consultano il Garante all'atto della predisposizione delle norme regolamentari e degli atti amministrativi suscettibili di incidere sulle materie disciplinate dal presente codice.5. Fatti salvi i termini più brevi previsti per legge, il parere del Garante è reso nei casi previsti nel termine di quarantacinque giorni dal ricevimento della richiesta. Decorso il termine, l'amministrazione può procedere indipendentemente dall'acquisizione del parere. Quando, per esigenze istruttorie, non può essere rispettato il termine di cui al presente comma, tale termine può essere interrotto per una sola volta e il parere deve essere reso definitivamente entro venti giorni dal ricevimento degli elementi istruttori da parte delle amministrazioni interessate. [...]

53 Troncone P., Il delitto di trattamento illecito di dati personali, Giappichelli Editore, Torino, 2011,

p. 77.

Ordinaria, la quale è anche preposta a decidere le controversie che hanno ad oggetto i provvedimenti del Garante. A quest'ultimo l'interessato può rivolgersi attraverso un reclamo, nel caso in cui egli ritenga di trovarsi di fronte a una violazione della disciplina rilevante in materia di trattamento dei dati personali. In questo caso può inviare una segnalazione al fine di sollecitare un controllo da parte del Garante sulla disciplina medesima, oppure può fare un ricorso qualora intenda far valere i diritti esposti all'interno dell'art. 755 _del

Codice. A seguito di un reclamo, di una segnalazione o di un ricorso, l'Autorità Garante per la protezione dei dati può emanare dei provvedimenti, i quali, se del caso, potranno addirittura prevedere la sospensione immediata di alcune operazioni di trattamento oppure il blocco in tutto o in parte di alcuni dati56_.

Qualora infatti il Garante ritenga fondato il ricorso, il reclamo oppure la segnalazione, esso ordina al titolare, a seguito di una decisione motivata, di far cessare il comportamento illecito, indicando anche quali sono le misure da adottare a tutela dell'interessato e assegnando un termine entro il quale esse dovranno essere adottate. Il provvedimento viene comunicato alle parti entro dieci giorni. Il titolare o l'interessato, tuttavia, possono proporre un'opposizione al provvedimento, la quale però, non sospende la sua esecuzione.

55 Art. 7 D.Lgs. 196/2003: 1. L'interessato ha diritto di ottenere la conferma dell'esistenza o meno di dati personali che lo riguardano, anche se non ancora registrati, e la loro comunicazione in forma intelligibile.2. L'interessato ha diritto di ottenere l'indicazione:a) dell'origine dei dati personali;b) delle finalità e modalità del trattamento;c) della logica applicata in caso di trattamento effettuato con l'ausilio di strumenti elettronici;d) degli estremi identificativi del titolare, dei responsabili e del rappresentante designato ai sensi dell'articolo 5, comma 2;e) dei soggetti o delle categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di rappresentante designato nel territorio dello Stato, di responsabili o incaricati.3. L'interessato ha diritto di ottenere:a) l'aggiornamento, la rettificazione ovvero, quando vi ha interesse, l'integrazione dei dati;b) la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge, compresi quelli di cui non è necessaria la conservazione in relazione agli scopi per i quali i dati sono stati raccolti o successivamente trattati;c) l'attestazione che le operazioni di cui alle lettere a) e b) sono state portate a conoscenza, anche per quanto riguarda il loro contenuto, di coloro ai quali i dati sono stati comunicati o diffusi, eccettuato il caso in cui tale adempimento si rivela impossibile o comporta un impiego di mezzi manifestamente sproporzionato rispetto al diritto tutelato.4. L'interessato ha diritto di opporsi, in tutto o in parte:a) per motivi legittimi al trattamento dei dati personali che lo riguardano, ancorché pertinenti allo scopo della raccolta;b) al trattamento di dati personali che lo riguardano a fini di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale.

1.4

Le misure di sicurezza nel Decreto Legislativo 196/2003.

L'attuale Presidente del Garante della Privacy Antonello Soro57 _ha

affermato che “nella società digitale noi siamo i nostri dati e la vulnerabilità

dei dati è vulnerabilità delle nostre persone”58_{. Con il termine vulnerabile si}

indica tutto ciò che può essere attaccato oppure danneggiato, manipolato o utilizzato senza averne diritto, ed è il caso, molte volte, dei dati che si trovano in rete. Attraverso un elevatissimo numero di sistemi informatici tra loro interconnessi, infatti, i dati possono essere scambiati in tempo reale e ciò rende la loro sicurezza e riservatezza soggetta a minacce di svariato genere59_{. Più un}

sistema risulterà essere vulnerabile, più attirerà attacchi, e più attacchi verranno indirizzati ad uno stesso sistema più essi lo danneggeranno, rendendolo così ancora più vulnerabile. E' proprio questo il motivo per il quale la sicurezza dei dati personali è al centro dell'intero Codice della Privacy60_.

Rispetto alla precedente legge 675 infatti, nel Codice non si fa più riferimento ad un generico diritto alla riservatezza, ma si parla esplicitamente del diritto alla protezione dei dati personali61_{. L'intento del legislatore risulta}

essere chiaramente quello di dare una connotazione più forte e autonoma a tale diritto62_{. Inoltre, data l'enorme evoluzione dei sistemi digitalizzati, sono state}

inserite nel Codice nuove misure di sicurezza e nuove norme atte a tutelare i dati di fronte a nuove ed emergenti criticità. Tuttavia, come vedremo, molte sono le analogie tra il Codice e la precedente Legge.

57 Antonello Soro ricopre la carica di presidente dell'autorità garante per la protezione dei dati

personali dal 19 giugno 2012.

58 Bergamini S., Garante privacy: vulnerabilità dei dati e vulnerabilità delle persone, in http://www.helpconsumatori.it/primo-piano/garante-privacy-vulnerabilita-dei-dati-e-vulnerabilita

d e l l e - p e r s o n e / 9 5 8 7 8

59 Acciai R., Il diritto alla protezione dei dati personali. La disciplina sulla privacy alla luce del

nuovo Codice., Maggioli Editore, Santarcangelo in Romagna, 2004., p.230. 60 Finocchiaro G., Privacy e protezione dei dati personali. Disciplina e strumenti operativi., cit.,

p . 2 4 9 .

61 Art. 1 Codice in materia di protezione dei dati personali: “Chiunque ha diritto alla protezione dei

dati personali che lo riguardano”.

Delle misure di sicurezza si parla all'interno del Titolo V, Capo I, intitolato proprio Misure di Sicurezza, ed il quale comprende gli articoli dal 31 al 36.

L'art. 31 del Codice della privacy ricalca perfettamente il comma 1 art. 15 della legge 675/1996 e recita: “1. I dati personali oggetto di trattamento

sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta”.

La cosa che appare immediatamente evidente dalla lettura di questo articolo è la visione dinamica e non statica, da parte del legislatore, della sicurezza. I dati personali, infatti, devono essere custoditi e controllati alla luce del progresso tecnologico. L'art. 31 non fornisce quindi un elenco tassativo di misure da adottare, ma lascia in capo al titolare del trattamento l'onere di analizzare e implementare le misure che ritiene più opportune in base anche alle caratteristiche del trattamento stesso.

Si parla qui di misure idonee. Il nostro Codice fa infatti una distinzione tra misure idonee di sicurezza e misure minime di sicurezza. Tale distinzione è fondamentale per quanto riguarda la valutazione delle responsabilità derivanti dalla mancata osservazione degli obblighi prescritti. L'omissione di misure idonee da parte di “chiunque cagioni un danno ad altri”, così come recita il comma 1 dell'art. 15 del Codice, fa scaturire una responsabilità civile di tipo risarcitorio63_{. Al contrario, come vedremo, la mancata adozione di}

misure minime di sicurezza comporterà in capo a “chiunque vi sia tenuto” delle responsabilità sia di tipo penale, di cui all'art. 169 del Codice, sia di tipo amministrativo di cui all'art. 162 comma 2 bis del medesimo.

Il Garante per la protezione dei dati personali ci fornisce alcuni esempi di

63 Rapicavoli R., Sicurezza dei dati: quali sono le misure minime da adottare? In http://robertarapicavoli.it/sicurezza-dei-dati-quali-sono-le-misure-minime-da-adottare/

misure idonee di sicurezza. Uno di questi è rappresentato dalla così detta distanza di cortesia nelle banche. Il Garante, infatti, in un provvedimento del 30 marzo 1998 recita: “la c.d. distanza di cortesia appare in ogni caso una

misura opportuna per prevenire l'accesso non autorizzato da parte di terzi, che può avvenire anche in modo "passivo" (ad es., da parte di uno dei componenti la "fila" , il quale si limiti ad ascoltare, da una posizione molto vicina all'operatore di sportello e al cliente, il dialogo tra questi ultimi, eventualmente concernente dati personali)”64_.

Un altro esempio è quello riguardante i cedolini dello stipendio di cui il Garante tratta all'interno di un Provvedimento del 31 dicembre 1998. All'interno di tale Provvedimento, infatti, si legge: “Per i dati la cui inclusione

nel cedolino appaia necessaria nell'interesse del dipendente, andrebbero invece adottate opportune cautele che possono consistere, ad esempio, nel piegare e spillare il cedolino, nell'imbustarlo o nell'apporvi una copertura delle parti più significative che non riguardino dati di comune conoscenza (generalità, ufficio di appartenenza, ecc.), ovvero nell'introdurre una c.d “distanza di cortesia” agli sportelli”65_.

L'art. 31 impone dunque l'obbligo di aggiornare costantemente le misure idonee di sicurezza anche alla luce dello sviluppo tecnologico e della tipologia di trattamento alla quale i dati saranno sottoposti e richiede anche una preventiva analisi dei rischi possibili derivanti dal trattamento. Su questo tema torneremo successivamente66_.

Distinte dalle misure idonee di sicurezza sono invece le misure minime di sicurezza disciplinate dall'art. 33 del Codice, il quale recita: “nel quadro dei

più generali obblighi di sicurezza di cui all'articolo 31, o previsti da speciali disposizioni, i titolari del trattamento sono comunque tenuti ad adottare le misure minime individuate nel presente capo o ai sensi dell'articolo 58,

64 Provvedimento 30 marzo 1998, in Boll., n.4, p.58. Consultabile in http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/39464 65 Provvedimento 31 dicembre 1998, in Boll., n.6, p.100, in: http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/export/39324 66 Cap. 1, par. 4.

comma 3, volte ad assicurare un livello minimo di protezione dei dati personali.”.

Il codice opera una distinzione tra le misure da adottare nel caso in cui il trattamento venga svolto attraverso l'utilizzo di un elaboratore elettronico o meno. Le prime sono elencate all'interno dell'art. 34, le seconde all'interno dell'art. 35.

Per quanto riguarda le misure minime di sicurezza elencate nell'art. 34, esse devono essere integrate con le precisazioni contenute all'interno del Disciplinare Tecnico allegato al Codice67_.

Al comma 1 dell'art. 34 del Codice della Privacy vengono elencati tutti gli obblighi da osservare al fine di esercitare un corretto trattamento dei dati. Questi obblighi sono: l'autenticazione informatica, l'adozione di procedure di gestione delle credenziali di autenticazione, l'utilizzazione di un sistema di autorizzazione, l'aggiornamento periodico dell'individuazione nell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici, la protezione degli strumenti elettronici e dei dati rispetto ai trattamenti illeciti, ad accessi non consentiti e a determinati programmi informatici, l'adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi e infine l'adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari.

Per ciò che attiene all'autenticazione informatica, questa ha lo scopo di verificare l'identità dell'utente che si accinge ad effettuare il trattamento68_.

All'interno dell'Allegato B al Codice della Privacy vengono poi fatti alcuni esempi di credenziali di autenticazione le quali possono consistere in un codice posseduto esclusivamente dal soggetto autorizzato al trattamento dei dati, oppure in certificati elettronici, smart card oppure ancora caratteristiche biometriche come ad esempio le impronte digitali. Tali credenziali dovranno

67 Iaselli M., I principi informatori del Codice della Privacy, tra teoria e pratica, cit., p. 50 68 Finocchiaro G., Privacy e protezione dei dati personali, cit.,p. 256.

essere aggiornate e segrete. Colui che le riceve, infatti, è tenuto ad osservare diverse cautele per evitare che esse vengano acquisite da terzi non autorizzati69_{. In particolar modo per quanto riguarda la parola chiave, il}

disciplinare precisa, al punto 5, che essa deve essere “composta da almeno

otto caratteri oppure, nel caso in cui lo strumento elettronico non lo permetta, da un numero di caratteri pari al massimo consentito; essa non contiene riferimenti agevolmente riconducibili all'incaricato ed è modificata da quest'ultimo al primo utilizzo e, successivamente, almeno ogni sei mesi. In caso di trattamento di dati sensibili e di dati giudiziari la parola chiave è modificata almeno ogni tre mesi”.

A seguito della fase di autenticazione informatica solitamente viene attivata quella dell'autorizzazione. Con profilo di autorizzazione si intendono tutte quelle informazioni associate univocamente a una persona le quali consentono di individuare a quali dati essa ha diritto ad accedere70_{. Il punto 12}

del Disciplinare Tecnico precisa in quale momento tale sistema deve essere utilizzato, ovvero “quando per gli incaricati sono individuati profili di

autorizzazione di ambito diverso”. Infatti la procedura di autorizzazione

risulterebbe assolutamente inutile qualora uno o più soggetti fossero stati incaricati di svolgere le medesime operazioni sui medesimi dati, in quanto a ciascuno sarebbero date le medesime autorizzazioni71_{. Viene poi prescritta una}

revisione da effettuarsi almeno una volta all'anno al fine di verificare che i soggetti che accedono ai dati abbiano conservato le medesime qualità.

Per quanto attiene alla misura prescritta alla lettera d) dell'art. 34, essa impone al titolare del trattamento di adottare, in aggiunta alle precedenti, anche ulteriori misure di sicurezza le quali vengono specificate nei punti 15-18 del Disciplinare Tecnico. Queste contemplano l'obbligo di aggiornare periodicamente (almeno una volta all'anno), l'ambito di trattamento consentito per i singoli addetti, l'obbligo di adottare misure destinate alla protezione non

69 Finocchiaro G., Privacy e protezione dei dati personali, cit., p. 257. 70 Finocchiaro G., ivi, p. 261.

soltanto dei dati ma anche degli elaboratori, dei programmi informatici, delle apparecchiature che potrebbero essere danneggiate ad esempio da virus. Infine, come vedremo meglio in seguito, viene prescritto anche l'obbligo di salvare con cadenza almeno settimanale i dati, copiandoli e conservandoli in luoghi separati e distanti da quello in cui sono stati creati.

Il tema della sicurezza, dunque, non coinvolge esclusivamente i dati, ma l'intero sistema informativo, il centro dello stesso elaboratore elettronico, gli archivi, i programmi72_{. Ogni accesso nel sistema che non sia stato autorizzato,}

infatti, è da considerarsi un accesso abusivo e può essere effettuato sia da persone dipendenti i quali accedono a trattamenti che non competono loro, oppure da persone estranee alla struttura come ad esempio gli hacker. Quest'ultimo genere di attacchi viene favorito da un sistema di sicurezza molto fragile e vulnerabile. Dunque ogni tipo di organizzazione la quale abbia a che fare con dati di qualsiasi tipo, cerca di proteggerne il valore adottando misure di sicurezza volte ad impedirne la distruzione o il danneggiamento.

La diffusione di Internet ha portato ad un aumento del rischio di furto o danneggiamento dei dati e alla nascita di nuove tipologie di virus, sempre più sofisticate, come ad esempio i worm, virus che si diffondono attraverso le reti di computer, oppure gli hoax, messaggi di posta elettronica che danno all'utente informazioni false su presunti virus, invitandolo ad inviare il messaggio a quanti più utenti possibile e molti altri ancora.

Sarà dunque necessario mettere a punto un sistema di prevenzione attraverso l'istallazione e l'aggiornamento di antivirus, l'istallazione periodica degli ultimi aggiornamenti, la dotazione di procedure organizzative interne idonee a gestire eventuali malfunzionamenti del sistema, la formazione degli incaricati del trattamento73_.

Dunque qualsiasi organizzazione, prima di dare un'autorizzazione all'accesso a qualsiasi tipo di dato, dovrà valutare quale eventuale danno

72 Iaselli M., Codice Privacy, cit., p. 54.

potrebbe derivare dalla negazione o dall'autorizzazione della medesima74_.

All'interno del punto 17 del Disciplinare tecnico, inoltre, si stabilisce che

“gli aggiornamenti periodici dei programmi per elaboratore volti a prevenire la vulnerabilità di strumenti elettronici e a correggerne difetti sono effettuati almeno annualmente. In caso di trattamento di dati sensibili o giudiziari l'aggiornamento è almeno semestrale”.

La prevenzione dalle vulnerabilità del sistema è infatti fondamentale e talvolta sottovalutata. Essa può esercitarsi in maniera attiva oppure passiva. Si parla di prevenzione attiva quando gli eventi vengono monitorati costantemente attraverso quella che gli esperti di sicurezza definiscono “vulnerability assessment”, si parla di prevenzione passiva, al contrario, quando si attende che sia il fornitore delle proprie a comunicare eventuali vulnerabilità del sistema.

Dopo l'individuazione delle suddette vulnerabilità, anche chiamate bug, i produttori del software rilasciano dunque dei programmi dedicati alla soluzione di tali problemi oppure aggiornano semplicemente il programma con una nuova versione priva di tali difetti.

I punti che vanno dal 21 al 24 del disciplinare tecnico sono relativi al trattamento dei dati giudiziari e sensibili. Con dati giudiziari si intendono tutti quei dati idonei a rivelare provvedimenti “in materia di casellario giudiziale,

di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualità di imputato o di indagato75_{”, mentre per quanto} riguarda i dati sensibili questi sono definiti come “i dati personali idonei a

rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale76_{” e} pertanto necessitano di maggiori accorgimenti. Si specifica infatti che tali dati

74 Iaselli M., Codice Privacy, cit.,p. 55.

75 Art. 4, lettera e, Decreto Legislativo 169, 2003. 76 Art. 4, lettera d, Decreto Legislativo 169, 2003.

devono essere protetti attraverso specifici strumenti elettronici tra i quali quelli utilizzati più frequentemente sono chiamati firewall. Per quanto riguarda questa tipologia di dati, inoltre, se memorizzati su supporti rimovibili, essi dovranno essere distrutti qualora non utilizzati e soltanto se le informazioni risulteranno essere non intelligibili e non ricostruibili tali supporti potranno essere riutilizzati.

La lettera f dell'art. 34 del Codice della Privacy, integrata dai punti 18 e 23 del Disciplinare Tecnico richiede inoltre che i dati vengano copiati periodicamente su supporti di riserva al fine di essere ripristinati qualora necessario77_{. A decidere le modalità con le quali queste copie dovranno essere}

create, il loro contenuto, la frequenza con la quale esse dovranno essere predisposte, è il titolare del trattamento. Sarà dunque necessario effettuare preliminarmente un'analisi dei rischi della quale a breve approfondiremo.

L'attività di salvataggio dei dati è dunque ritenuta dalle grandi imprese fondamentale, mentre tende ad essere sottovalutata all'interno di realtà di più piccole dimensioni. E' proprio per questo motivo che il legislatore si è preoccupato di salvaguardare l'integrità dei dati e la loro disponibilità attraverso tale prescrizione. Per quanto riguarda i suddetti dati giudiziari e sensibili il Disciplinare Tecnico specifica anche che il ripristino dei dati debba avvenire entro un massimo di sette giorni compatibilmente con i diritti dell'interessato.

Appare dunque chiaro a seguito di questa panoramica relativa alle misure di sicurezza , che gli adempimenti di tipo burocratico come ad esempio verifiche o autorizzazioni vengono ridotti al minimo per dare maggior rilievo alla creazione di veri e propri sistemi di sicurezza78_.

Poichè il tema della sicurezza risulta molto sottovalutato all'interno del panorama delle imprese, soprattutto di quelle medio piccole, le quali rappresentano la maggior parte delle imprese che si trovano sul territorio italiano, preme soffermare l'attenzione sul Documento Programmatico sulla

77 Acciai R., Il diritto alla protezione dei dati personali, cit., p. 257.

sicurezza, sebbene esso non sia più in vigore79_.

Il Documento Programmatico sulla sicurezza previsto, è stato, infatti, soppresso dal decreto legge 9 Febbraio 2012, n. 5 (Legge semplificazioni), convertito con modificazioni dalla legge 4 Aprile 2012 n.35, dalla lettera g dell'art. 34. Esso rappresentava l'unico strumento di analisi del rischio, sebbene effettuata ex post, all'interno del Codice della Privacy80_.

Tale Documento doveva essere redatto da tutti i titolari del trattamento di dati sensibili e giudiziari operato con mezzi informatici.

In tale documento, il quale aveva una natura descrittiva, doveva essere redatto una sorta di bilancio non soltanto consuntivo, ma anche preventivo, delle misure di sicurezza che erano state implementate nel trattare tali tipi di dati81_.

All'interno del punto numero 19 del Disciplinare Tecnico si indicava l'elenco delle informazioni che dovevano essere contenute nel DPS. L'articolo stabiliva infatti che “entro il 31 marzo di ogni anno, il titolare di un

trattamento di dati sensibili o di dati giudiziari redige anche attraverso il responsabile, se designato, un documento programmatico sulla sicurezza contenente idonee informazioni” le quali riguardavano l'elenco dei trattamenti

dei dati personali effettuati; la distribuzione dei compiti e delle responsabilità nell'ambito delle strutture preposte al trattamento dei dati; l'analisi dei rischi che incombono su tali dati, le misure da adottare per garantire l'integrità e la disponibilità dei dati, nonché la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità; la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento, nonché l'indicazione delle regole da adottare per garantire l'adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati all'esterno82_.

79 Mantelero A., lezione del 06.12.2016 nell'ambito del corso di Diritto dell'informatica. 80 Mantelero A., ivi.

81 Finocchiaro G., Privacy e protezione dei dati personali, cit., p.263.

Ciò su cui dovremmo soffermare l'attenzione è il punto relativo all'analisi dei rischi, la quale poteva essere sia quantitativa che qualitativa. Poteva infatti essere effettuata attraverso classificazioni di tipo numerico oppure attraverso dei giudizi relativi ad una determinata situazione83_{. Indipendentemente dalla}

metodologia utilizzata, infatti, l'analisi dei rischi aveva l'obiettivo di rispondere a quella che è stata denominata la “catena della 4 P”84_{: possibile;}

probabile; prevedibile; prevenibile. Per ogni tipologia di eventi indesiderati, i quali potrebbero arrecare un danno ai dati, è necessario dunque valutare il loro grado di possibilità, probabilità, prevedibilità e prevenzione.

Si prescriveva dunque un'analisi esaustiva e ampia, finalizzata ad individuare tutti quei rischi che avrebbero potuto portare alla distruzione, alla perdita oppure ad accessi non autorizzati ai dati, a trattamenti non consentiti oppure ancora a trattamenti non conformi alle finalità per le quali tali dati erano stati raccolti, o altri rischi relativi alla struttura. Ogni tipo diverso di dato doveva avere una sua specifica modalità di analisi, distinguendo dunque tra dati sensibili, comuni, giudiziari e atti a rivelare lo stato di salute di una persona e i suoi dati genetici85_{. Al termine di questa analisi sarebbe stato}

possibile classificare i rischi in: rischi specifici; rischi sull'integrità dei dati; rischi sulla riservatezza dei dati; trattamenti non consentiti o non conformi alle finalità della raccolta; rischi sulla disponibilità dei dati86_{. In base a tale}

classificazione si sarebbe dunque stati in grado di prendere le adeguate contromisure volte a contrastare sia errori umani che attacchi, virus, e quant'altro. Il DPS prescriveva dunque misure tecniche, organizzative e procedurali volte a impedire l'avverarsi del danno.

L'analisi che imponeva era un'analisi di tipo ex post e cumulativa, ovvero a fine anno si andavano a valutare i vari rischi legati al trattamento dei dati e si prendevano eventuali contromisure. Venivano presi in considerazione tuttavia

83 Finocchiaro G. Privacy e protezione dei dati personali, cit., p. 264.

84 Berghella F., Guida pratica alle nuove misure di sicurezza per la privacy, Maggioli Editore, Roma 2003, p.136.

85 Acciai R., Il diritto alla protezione dei dati personali, cit., p. 261.

solamente i rischi gravanti sull'intero sistema, non sulla singola operazione. Ad ogni modo questo era comunque un grande passo avanti per un paese come il nostro, perchè prevedeva comunque una certa valutazione del rischio.

Come abbiamo detto sopra, il Decreto sulle semplificazioni abolisce l'obbligo di redigere tale documento.

I precedenti Governi avevano già cercato di semplificare la normativa relativa alle misure di sicurezza nel nostro Paese a partire da un provvedimento del Garante del 27 Gennaio 2008. Nel Provvedimento del 27 Novembre 2008, il Garante aveva già stabilito che i soggetti pubblici e privati i quali trattavano i dati solamente con finalità di tipo amministrativo o contabile, potessero redigere un DPS semplificato, in particolar modo se i soggetti fossero stati liberi professionisti, artigiani, e piccole e medie imprese.

L'analisi del rischio e la stesura conseguente del Documento stesso comportavano infatti dei costi per le aziende. Tale analisi, infatti, doveva essere fatta da specialisti, interni oppure esterni all'azienda in grado di utilizzare metodologie di classificazione e prodotti di supporto alla diagnosi87_.

L'abolizione è dunque stata chiesta a gran voce dalle imprese e soprattutto dalle associazioni di categoria, le quali, come afferma taluno, lo vedevano come “un inutile aggravio di spesa”88_.

Tutto questo conferma una chiara miopia da parte in particolar modo dei piccoli e medi imprenditori, nei confronti di questo tema. Soprattutto nelle realtà più piccole, infatti, si tende a non capire la reale importanza dei dati, i quali rappresentano il vero valore aggiunto delle imprese contemporanee. Basti pensare che alcune aziende vengono acquistate esclusivamente per i dati che esse comprendono, il caso più famoso può essere certamente quello di Whatsapp.

La sicurezza dei dati nella nostra epoca non dovrebbe essere infatti intesa come un ostacolo o un inutile costo, ma come un possibile vantaggio competitivo per l'azienda.

87 Berghella F., Guida pratica alle nuove misure di sicurezza per la privacy, cit., p. 137.

88 Sarzana F., Abolizione del DPS: le cose da sapere, in

https://www.digital4.biz/professional/approfondimenti/abolizione-del-dps-le-cose-da

Il nuovo Regolamento Europeo in materia di protezione dei dati si muove in forte controtendenza rispetto a quanto appena detto. Sostiene infatti Luca Bolognini, presidente dell'istituto legale per la privacy :“In Italia fa sorridere che

abbiano appena abolito il DPS, visto che presto avremo le aziende sommerse di adempimenti da fronteggiare, voluti dall’Europa”89_{. Su tale argomento torneremo}

a parlare nel capitolo successivo.

Per ciò che attiene, infine alle misure di sicurezza che riguardano i trattamenti senza l'ausilio di strumenti elettronici, esse vengono stabilite dall'art. 35.

Tale articolo recita: “il trattamento dei dati personali effettuato senza

l'ausilio di strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell'allegato B, le seguenti misure minime: a) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati o alle unità organizzative; b) previsione di procedure per un'idonea custodia di atti e documenti affidati agli incaricati per lo svolgimento dei relativi compiti; c) previsione di procedure per la conservazione di determinati atti in archivi ad accesso selezionato e disciplina delle modalità di accesso finalizzata all'identificazione degli incaricati.”

Tale articolo viene integrato dai punti 27, 28 e 29 del Disciplinare Tecnico. Proprio come nel caso di trattamenti svolti con strumenti elettronici, anche in questo caso le persone che accedono ai dati dovranno essere preventivamente identificate. L'articolo espone delle istruzioni finalizzate a custodire e a controllare i dati90_.

Gli incaricati avranno accesso solamente ai dati personali la cui conoscenza sia strettamente necessaria per eseguire i compiti che sono stati loro assegnati. Inoltre, nel periodo in cui i dati sono sottoposti a trattamento, non dovranno mai essere lasciati incustoditi e dovranno dunque essere protetti, soprattutto se si tratta di dati sensibili o giudiziari. Sarà necessario dunque svolgere un'attenta analisi anche degli ambienti all'interno dei quali tali dati sono trattati, soprattutto nel caso

89 Sarzana F., ivi.

in cui i dati siano raccolti in luoghi aperti al pubblico91_.

1.5

Il regime sanzionatorio: la tutela penale e l'Autorità Garante per la protezione dei dati personali.

Prima di soffermarci specificatamente sul reato di omessa adozione delle misure di sicurezza sopra analizzate, è necessaria una panoramica generale riguardante l'apparato sanzionatorio previsto all'interno del nostro Codice.

Innanzitutto possiamo affermare che il legislatore riserva la sanzione penale alle violazioni ritenute più gravi, come quelle relative al principio del consenso, agli obblighi di informativa e alla falsità nelle dichiarazioni e notificazioni al Garante. Allo stesso tempo inasprisce l'apparato sanzionatorio amministrativo, pur mantenendosi in linea con l'impostazione della precedente legge 675/199692_.

I reati contemplati all'interno del Codice, racchiusi nel Capo II, Titolo II, Parte Terza, agli articoli che vanno dal 167 al 172, sono costituiti da tre delitti, ovvero il trattamento illecito dei dati personali, la falsità nelle dichiarazioni e notificazioni al garante e l'inosservanza dei provvedimenti da esso emanati, e da due contravvenzioni, ovvero l'omessa adozione di misure di sicurezza (alla quale dedicheremo il paragrafo successivo), e la violazione dei divieti stabiliti dagli articoli 113 e 114 del Codice a tutela del lavoratore dipendente93_.

Per quanto concerne il reato di illecito trattamento dei dati personali, esso è disciplinato dall'art. 167, il quale recita: “1. Salvo che il fatto costituisca più

grave reato, chiunque, al fine di trarne per sè o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli articoli 18, 19, 23, 123, 126 e 130, ovvero in

91 Acciai R., Il diritto alla protezione dei dati personali, cit., p. 268.

92 Manna A., Il quadro sanzionatorio penale e amministrativo del Codice sul trattamento dei dati

personali, cit.