I - Stato di attuazione della legge n. 675/1996 - Relazione 2001

Sicurezza dei dati e dei sistemi

55. Le misure di sicurezza: casi applicativi
Il titolare e, se designato, il responsabile del trattamento dei dati personali, hanno l´obbligo di custodire e controllare i dati trattati mediante l´adozione di idonee e preventive misure di sicurezza – individuate alla luce delle conoscenze acquisite in base al progresso tecnico, in relazione alla natura dei dati e alle specifiche caratteristiche del trattamento – tali da ridurre al minimo i rischi di distruzione, perdita accidentale, accesso non autorizzato, trattamento non consentito o, comunque, non conforme alle finalità della raccolta (art. 15, comma 1, l. n. 675/1996).

Le "misure minime di sicurezza" – definite con il d.P.R. 28 luglio 1999 n. 318 e la cui mancata osservanza comporta sanzioni di carattere penale (art. 36 l. n. 675/1996) e civile (art. 18 l. n. 675/1996) – in virtù dell´art. 15, comma 3, sono soggette ad adeguamento, con cadenza almeno biennale, in relazione all´evoluzione tecnica e all´esperienza maturata. Il Garante fornirà un contributo per il loro aggiornamento rendendo noti i risultati di un gruppo di lavoro, la cui attività potrebbe risultare utile nel quadro di un´autonoma revisione del d.P.R. o della sua integrazione all´interno dell´atteso testo unico.

Dal punto di vista applicativo, la questione delle misure di sicurezza ha formato oggetto di vari provvedimenti: in data 23 febbraio 2001, è stata ad esempio valutata la conformità al d.P.R. n. 318/1999 della richiesta, avanzata da un´azienda ai propri dipendenti – che utilizzano strumenti informatici – di servirsi di password loro singolarmente assegnate, con il contestuale divieto di autonoma modifica della stessa (v. nota prot. 2074/01, in Bollettino n. 17, p. 32); in merito, l´Autorità ha ricordato che gli incaricati, ove tecnicamente possibile, devono poter procedere autonomamente alla sostituzione della password, previa comunicazione, però, ai soggetti preposti alla loro custodia (es. comunicazione effettuata tramite busta chiusa) per consentire al titolare del trattamento eventuali interventi nel caso di assenza o di impedimento dell´incaricato; inoltre, in caso di "elaboratori accessibili in rete", oltre la parola chiave, è necessario utilizzare i codici identificativi.

Anche nel fornire, poi, il cd. "decalogo" per l´utilizzazione di dati da parte di partiti e movimenti politici durante il periodo di propaganda elettorale ovvero per la presentazione di liste e candidature o per la sottoscrizione di referendum (per il quale v. par. 29), è stata ribadita la necessità di rispettare alcuni principi sulla raccolta dei dati, sottolineando altresì l´obbligo di adottare le misure di sicurezza, ed in particolare quelle minime di cui al d.P.R. n. 318/1999, con riferimento ai trattamenti di dati cartacei e automatizzati. Analoga indicazione è stata fornita in un parere relativo ad uno schema di regolamento volto ad istituire un sistema di comunicazione tra regioni ed enti locali per pianificare e gestire la relativa autonomia tributaria e per consentire il decentramento catastale, evidenziando che la complessa articolazione dei flussi di dati che saranno trattati in base alle citate disposizioni presuppone la doverosa adozione di idonee misure di sicurezza "a prescindere da eventuali regole tecniche indicate per i sistemi utilizzati" (Provv. 27 giugno 2001, in Bollettino n. 21, p. 15).

In alcuni casi, l´Autorità ha esaminato segnalazioni riguardanti l´utilizzazione di dati estratti dall´anagrafe della popolazione per l´invio di lettere ai cittadini da parte del Sindaco e ha avviato accertamenti presso i comuni interessati su alcuni aspetti, tra cui le misure di sicurezza adottate, anche sotto il profilo inerente all´eventuale collaborazione di terzi all´inoltro delle lettere.

Non diversamente è accaduto in relazione alle questioni dei trattamenti di dati in sede di svolgimento del censimento nella provincia di Bolzano (Provv. 6 febbraio 2001, in Bollettino 17, p. 11) e dell´installazione all´entrata degli istituti bancari di sistemi di rilevazione delle impronte digitali degli utenti – eventualmente associate ad immagini – per i quali occorre adottare parimenti misure di sicurezza che osservino i parametri fissati dalla l. 675/1996 e dal d.P.R. 318/1999, in particolare per quanto riguarda la custodia delle chiavi di accesso. Inoltre, si è stabilito che detti sistemi di rilevazione devono offrire una "rigorosa garanzia di affidabilità ed integrità dei dati", anche sulla base di eventuali certificazioni od omologazioni dei dispositivi, e che le informazioni relative a immagini e impronte devono essere rigorosamente protette da sistemi di cifratura automatica sin dal momento della loro rilevazione (Provv. 28 settembre 2001, in Bollettino n. 22, p. 82).