Stupore, e sconcerto. Questi i sentimenti che in chi scrive ha suscitato la Manovra Monti per ciò che attiene alla privacy, la cui disciplina è stata oggetto di una vera e propria rivoluzione.

Stupore, perché, dopo le recenti modifiche apportate al Codice della privacy per effetto del Decreto Sviluppo, detti interventi sono giunti inaspettati.

Sconcerto, in quanto, sotto un profilo strettamente giuridico, desta non poche perplessità il fatto che il nuovo assetto sia stato disegnato da uno strumento, quale il “decreto-legge”, che il Governo (cui non appartiene la funzione legislativa, la quale, come noto, è esercitata dalle Camere) può utilizzare solo in casi straordinari di necessità ed urgenza, non presenti nel caso di specie in relazione alla privacy.

La modifica è conseguita ad una sola previsione, ma di portata dirompente.

Facciamo chiarezza, ripercorrendone, anzitutto, il dato normativo.

La Manovra Monti, all’art. 40, comma 2, così recita:
“2. Per la riduzione degli oneri in materia di privacy, sono apportate le seguenti modifiche al decreto legislativo 30 giugno 2003, n. 196:

a) all’articolo 4, comma 1, alla lettera b), le parole “persona giuridica, ente od associazione” sono soppresse e le parole “identificati o identificabili” sono sostituite dalle parole “identificata o identificabile”.

b) All’articolo 4, comma 1, alla lettera i), le parole “la persona giuridica, l’ente o l’associazione” sono soppresse.

c) Il comma 3-bis dell’articolo 5 è abrogato.

d) Al comma 4, dell’articolo 9, l’ultimo periodo è soppresso.

e) La lettera h) del comma i dell’articolo 43 è soppressa.”

Già ad una prima lettura, si percepisce quella che è la novità di maggior impatto: la nozione di “dato personale”, perno della disciplina di cui al Codice della Privacy, si depotenzia, essendo detta relativa alle sole persone fisiche (e non, come in passato, anche alle persone giuridiche, enti o associazioni).

Va da sé che la modifica si riverbera anche sulla definizione di “interessato”, che ora può essere solamente una persona fisica.

Da quanto precede consegue che la persona giuridica (sia essa una società, un ente o un’associazione) fuoriesce del tutto dalla disciplina-privacy in quanto soggetto da tutelare, e ciò a prescindere dal fatto che il trattamento dei dati personali avvenga per finalità amministrativo-contabili, o meno (in relazione a quest’ultimo aspetto si noti che, coerentemente, il comma 3-bis dell’art.5 è stato abrogato).

Come rilevato in precedenza, trattasi di una rivoluzione.

Ciò, tuttavia, non significa che le imprese possano disattendere le indicazioni del Codice della privacy e del Garante per la protezione dei dati personali, poiché esse trattano, e continueranno a trattare, anche dati di persone fisiche.

Come non significa che la persona giuridica scompaia dal Codice della privacy.

Il riferimento alle persone giuridiche, enti od associazioni, infatti, continua ad essere incluso nella definizione, tra le altre, di “abbonato”.

Ciò comporta che, in forza del combinato disposto degli articoli 129 e 130 del Codice, il telemarketing su elenchi continua a ricevere protezione ai sensi della disciplina privacy.

Non vengono meno, peraltro, anche altre tutele per gli abbonati, tra cui quelle dettate dall’art. 122 e seguenti del Codice.

Sul fatto che quanto appena riferito discenda da una scelta consapevole, e non sia, piuttosto, frutto di una svista nella redazione del provvedimento, pare lecito nutrire dubbi.

Sfugge, infatti, la ragione per la quale la persona giuridica, la cui tutela in punto privacy esce non poco affievolita dalla Manovra Monti, conserva intatte le proprie prerogative relative allo status di abbonato e, in particolare, in tema di telemarketing.

A maggior ragione se si considera che, ai sensi dell’art. 130 del Codice, che disciplina le “comunicazioni indesiderate”, ora le persone giuridiche, gli enti e le associazioni possono, per esempio, essere destinatari di campagne di e-mail marketing e di fax marketing ancorchè non vi abbiano prestato consenso.

Pare opportuno, infine, intervenire sull’art.141 del Codice, in tema di tutele dinnanzi al Garante, che la norma riserva all’interessato, al fine di consentire che anche le persone giuridiche possano avervi accesso (si pensi all’ipotesi in cui una società, nominata responsabile del trattamento, abbia interesse a rappresentare all’Authority la relativa designazione come non conforme a legge).

Avv. Luca Giacopuzzi
STUDIO LEGALE GIACOPUZZI – Diritto d’Impresa
www.studiogiacopuzzi.it – numero verde 800-148791

Con il Decreto Legge n. 70 del 13.05.11 – c.d. “Decreto sviluppo” – il Governo ha introdotto alcune misure finalizzate allo sviluppo ed al rilancio dell’economia, tra le quali la riduzione di “oneri burocratici” (tali sono stati definiti nel comunicato stampa del Governo) anche concernenti la normativa sulla privacy.

Non può sfuggire, anzitutto, la qualificazione nettamente dispregiativa degli adempimenti in materia privacy, che traspare dalle parole del Governo, e che, ad onor del vero, mal si concilia con l’attività delle autorità preposte al rispetto della normativa privacy, finalizzata a sensibilizzare anche le imprese sull’importanza di conformarsi alle regole in materia.

Ciò detto, l’art. 6 del decreto legge interviene sul “Codice della Privacy”, con integrazioni e/o modifiche, di portata potenzialmente dirompente; in particolare, senza pretesa di esaustività, e riservata in prosieguo ogni valutazione a riguardo:

- Viene esclusa l’applicazione del Codice nel caso di trattamenti di dati personali di persone giuridiche, imprese, enti o associazioni effettuato nell’ambito di rapporti intercorrenti esclusivamente tra i medesimi soggetti per finalità amministrativo contabili, da intendersi (art. 34 comma 1 ter) come finalità connesse allo svolgimento delle attività di natura organizzativa, amministrativa, finanziaria e contabile, a prescindere dalla natura dei dati trattati (e, dunque, anche se sensibili! Ndr) – In tal senso viene modificato l’ art. 5 del Codice.

- Si esclude l’obbligo di rendere preventivamente l’informativa e di acquisire il consenso al trattamento, anche per i dati sensibili, nel caso di curricula vitae ricevuti spontaneamente da potenziali dipendenti, salvo l’obbligo di fornire all’interessato un informativa breve, anche in forma orale, al primo contatto successivo all’invio del curriculum (Ndr: possono ritenersi inviati “spontaneamente” i curricula la cui trasmissione è sollecitata non individualmente, ad esempio attraverso form presenti sul sito web aziendale? Al fine di non circoscrivere eccessivamente l’ambito applicativo della previsione in esame propendiamo per la risposta positiva, anche se, da un punto di vista strettamente letterale, vi sarebbe spazio per un’interpretazione differente).

- Vengono introdotte ulteriori ipotesi di esenzione dall’acquisizione del consenso a quelle già previste dall’art. 24 (ad esempio, per ciò che attiene alla comunicazione dei dati “inter-company”).

- Viene meglio circoscritto l’ambito nel quale è possibile sostituire il DPS con l’autocertificazione di cui all’art. 34 comma 1 bis, estendendo detto a tutte le ipotesi in cui il trattamento di dati sensibili e giudiziari in azienda sia limitato a quelli di dipendenti/collaboratori e loro familiari, a prescindere dal tipo di dato sensibile trattato. (Ndr: la precedente formulazione limitava la facoltà di rendere l’autocertificazione alla sola ipotesi in cui gli unici dati sensibili trattati fossero quelli dei soli dipendenti e/o collaboratori (senza, dunque, menzionare i familiari), e relativi a stato di salute e adesione ad organizzazioni sindacali, restando, quindi, esclusi, ad esempio, i dati relativi al credo religioso).

- Il regime di cui all’art. 130 comma 3 bis del Codice della Privacy relativo al c.d. Registro delle opposizioni viene esteso anche al trattamento di dati relativi agli abbonati negli elenchi pubblici per finalità di invio di materiale pubblicitario o di vendita diretta o di compimento di ricerche di mercato o di comunicazione commerciale “mediante l’impiego della posta cartacea”.

In sostanza, la cassetta delle lettere, quindi, dovrà accogliere anche plichi e brochures pubblicitari inviati ad uno specifico destinatario, e non solamente depliants e volantini.

Avv. FRANCESCA PAGLIARO
STUDIO LEGALE GIACOPUZZI
d i r i t t o  d’ i m p r e s a
http://www.studiogiacopuzzi.it/

Come ogni sistema di autenticazione informatica, anche un dispositivo basato su credenziali biometriche dovrà, comunque, essere conforme alle Regole 1-11 del Disciplinare tecnico, ove compatibili. In particolare:
- nelle istruzioni impartite ad ogni incaricato dovrà essere prescritta l’adozione delle cautele necessarie ad assicurare la diligente custodia dei dispositivi in possesso ed uso esclusivi (Regola 4);
- le credenziali di autenticazione dovranno essere disattivate se non utilizzate da almeno sei mesi (Regola 7) ovvero nel caso di perdita della qualità che consente all’incaricato l’accesso ai dati personali (Regola 8).

In via prudenziale, inoltre, sempre in quanto compatibili, andranno osservate anche le prescrizioni di cui al Decalogo del Garante del 09.05.2006 che, seppure più propriamente dettate con riferimento a sistemi di “identificazione” per l’accesso a determinati locali o aree aziendali, sono precetti ispirati a criteri generali in materia di trattamento di dati personali, il cui rispetto, pertanto, si impone ogni qualvolta vi sia un’operazione qualificabile come tale.

Alla luce di quanto precede, pare potersi affermare che, ferma l’ammissibilità dell’autenticazione biometrica per fini di sicurezza, l’identificazione biometrica è giustificata solo in casi particolari, tenuto conto delle finalità e del contesto in cui i dati biometrici sono trattati; in relazione ai luoghi di lavoro per presidiare accessi ad “aree sensibili”, considerata la natura delle attività ivi svolte: si pensi, per esempio, a processi produttivi pericolosi (cfr. Provv. 15.06.2006) o sottoposti a segreti di varia natura (cfr. Provv. 23.11.2005) o al fatto che particolari locali siano destinati alla custodia di beni, documenti segreti o riservati o oggetti di valore (cfr. Provv. 15.06.2006), oppure per tutelare la sicurezza di terzi (cfr. Provv. 26.07.2006).
In ogni caso, a prescindere dal sistema adottato e dal processo cui detto è preordinato (autenticazione ovvero identificazione) va tenuto conto che la raccolta e la registrazione dei dati biometrici per l’autenticazione o per l’identificazione degli interessati sono, a tutti gli effetti, operazioni di trattamento di dati personali, rispetto alle quali trovano applicazione la normativa di cui al Codice e le indicazioni dell’Autorità Garante (specie se rese ai sensi dell’art. 154, 1 comma, lett.c) del Codice).

E, dunque, oltre a quanto sin qui esposto:
- l’art. 2, il quale garantisce che il trattamento si svolga nel rispetto della dignità dell’interessato (detto principio, in particolare, fa emergere la necessità di rispettare l’autonomia delle persone di fronte a particolari raccolte di dati);
- l’art. 3, che introduce, e disciplina, il principio di necessità; principio che impone di accertare se la finalità perseguita non possa essere raggiunta con l’impiego di dati che non coinvolgano il corpo;
- l’art. 11, secondo cui i dati devono essere trattati secondo liceità e correttezza; raccolti e registrati per scopi determinati, espliciti e legittimi; esatti e, se necessario, aggiornati; pertinenti e non eccedenti rispetto alle finalità della raccolta e del successivo trattamento; conservati in una forma che consenta l’identificazione dell’interessato per un tempo non superiore a quello necessario agli scopi del trattamento;
- l’art. 13, che prevede l’obbligo di informativa, da rendere, chiaramente e senza formule ambigue, a tutti gli interessati; precisa, a tal fine, l’Autorità Garante che nella predetta il Titolare del trattamento dovrà aver cura di indicare, altresì, l’esistenza di pratiche alternative di autenticazione ovvero di identificazione “in relazione all’eventualità che taluno non possa o non intenda aderire alla rilevazione biometrica ”;
- l’art. 17, che, per fattispecie particolari o non considerate dal Garante, introduce l’onere di sottoporre il sistema biometrico a verifica preliminare dell’Autorità. Giova precisare, a riguardo, che non può desumersi alcuna approvazione implicita dal semplice inoltro al Garante di note relative a progetti cui non segua un esplicito riscontro dell’Autorità, in quanto il principio del silenzio-assenso non trova applicazione;
- l’art. 23, che prescrive al Titolare di acquisire, precedentemente all’inizio delle operazioni di trattamento, il consenso degli interessati; con la conseguenza che, qualora un soggetto non possa o non voglia sottoporsi alla rilevazione biometrica, deve essere predisposto un sistema alternativo di autenticazione ovvero di identificazione;
- artt. 29 e 30, che disciplinano l’obbligo di designazione per iscritto del personale preposto alla raccolta dei dati biometrici, cui impartire idonee istruzioni operative cui attenersi in veste di incaricato o di responsabile del trattamento;
- gli artt. 31 e 33, unitamente al Disciplinare tecnico di cui all’Allegato B; trattasi di precetti che impongono l’adozione di misure minime ed idonee a presidio della sicurezza del sistema . Tra le predette si segnala come idonea la predisposizione di un programma di formazione degli incaricati, cui segua la consegna agli stessi di apposite istruzioni scritte alle quali attenersi, con particolare riguardo all’ipotesi di smarrimento o sottrazione del dispositivo loro affidato;
- l’art. 37, che onera il Titolare della notificazione preventiva del trattamento biometrico che intende porre in essere;
- le prescrizioni dell’Autorità Garante di cui al Provvedimento del 27.11.2008 , atteso che, secondo la nozione di amministratore di sistema ivi fornita, anche coloro che presidiano un sistema di rilevazione biometrica rientrano nella predetta categoria.

Resta ferma, peraltro, la necessità che, ove il caso concreto lo richieda, l’installazione di un sistema di riconoscimento biometrico avvenga nel rispetto delle garanzie procedurali previste dall’art.4, 2 comma, della L.20.05.1970 n.300 (Statuto dei lavoratori), richiamata dall’art. 114 del Codice.
Atteso quanto si è detto, appare di tutta evidenza che, a monte di ogni progetto di rilevazione di dati biometrici, la regola tecnica deve essere posta al vaglio del precetto giuridico. Ed invero molti processi sottoposti a verifica preliminare, ancorché aderenti alle prescrizioni tecniche indicate dall’Autorità Garante, non hanno ottenuto il placet della medesima, in quanto non conformi alle indicazioni di legge in tema di privacy, per contrasto, anzitutto, con i principi di necessità e di proporzionalità tra lo strumento impiegato e le finalità prospettate.

Avv. Luca Giacopuzzi
STUDIO LEGALE GIACOPUZZI
D I R I T T O d’ I M P R E S A
http://www.studiogiacopuzzi.it/

I sistemi di rilevazione biometrica hanno ad oggetto dati ricavati dalle caratteristiche fisiche o comportamentali di un individuo, risultanti in un modello di riferimento preordinato al riconoscimento della persona.

Se a tutti è noto che il dato biometrico è un dato personale , ai più, tuttavia, sfugge che esso è un dato assolutamente sui generis, e ciò tanto per la natura dello stesso quanto per le implicazioni giuridiche del relativo trattamento. Basti considerare, in relazione a quest’ultimo profilo, che i dati biometrici – pur rappresentati in via normativa tra i dati cd. semi-sensibili – possono, in alcuni casi, rientrare nella categoria dei dati sensibili , con le conseguenze che ne derivano.
Il trattamento dei predetti dati richiede, quindi, elevate cautele per prevenire possibili pregiudizi a danno degli interessati (i quali, peraltro, avrebbero non poche difficoltà a dimostrare l’eventuale falsificazione della propria identità biometrica).

Proprio per le criticità che connotano il dato biometrico, il trattamento delle caratteristiche fisiche e comportamentali di una persona, ai fini del riconoscimento della stessa, costituisce oggetto di un vivace dibattito dottrinale, nell’ambito del quale, secondo molti, ad oggi non è possibile individuare soluzioni condivise, definitive ed appaganti.
Non si ritiene di condividere questa opinione, poiché, sebbene la materia sia complessa e di non immediata decifrazione, riteniamo raggiunte alcune certezze, di cui si dirà.

L’Autorità Garante per la protezione dei dati personali ha avuto modo di occuparsi della tematica in esame in diverse occasioni.
Con Comunicato del 09.05.2006, il Garante ha individuato una sorta di “decalogo” per il corretto utilizzo dei dati biometrici, nel quale spiccano anche prescrizioni di carattere tecnico, in parte riprese dalla successiva Deliberazione n.53 del 26.11.2006.
E’ stato precisato, in particolare, che nei casi in cui sia possibile far ricorso a dati biometrici la centralizzazione delle informazioni in una banca dati non risulta consentita, in quanto, alla luce del principio di cui all’art. 3 del D.Lgs.196/03 (principio di necessità), i sistemi informativi devono essere configurati in modo da ridurre al minimo l’utilizzo di dati personali.

In luogo, quindi, di modalità centralizzate di trattamento dei dati biometrici devono adottarsi soluzioni di riconoscimento biometrico basate su modelli, protetti con chiave crittografica, residenti in supporti posti nell’esclusiva disponibilità dell’interessato e privi dell’immagine o di indicazioni nominative riferibili a quest’ultimo, sì che siano remote le possibilità di abuso dei dispositivi in caso di smarrimento degli stessi.
Per disposto dell’Autorità Garante, inoltre, i dati raccolti non possono di regola essere conservati per oltre sette giorni e, anche quando detto arco temporale possa essere protratto, vanno assicurati idonei meccanismi di cancellazione automatica dei dati.

In via di estrema sintesi, si rileva che l’Autorità, con particolare riguardo all’ambito lavorativo, ha ritenuto illecito l’utilizzo generalizzato e incontrollato dei dati biometrici, in quanto detto può essere giustificato solo in casi specifici, in relazione alle finalità perseguite e al contesto in cui essi sono trattati (per esempio, accesso ad aree dell’azienda per le quali debbano essere adottati livelli di sicurezza particolarmente elevati in ragione di specifiche circostanze o delle attività ivi svolte).
Nella maggioranza delle occasioni in cui tratta del tema, peraltro, il Garante sembra non distinguere il concetto di autenticazione e quello di identificazione; concetti che, come insegnano (anche) i Garanti europei nel “Documento di lavoro del 01.08.2003”, devono essere tenuti, invece, ben differenziati.

Per autenticazione si intende quel processo finalizzato a verificare che l’incaricato che chiede di accedere ad un determinato sistema sia effettivamente colui che dichiara di essere, attraverso la verifica della sua identità basata sull’elaborazione di dati che si riferiscono all’incaricato medesimo. L’autenticazione, dunque, risponde alla domanda: “Tizio è la persona che dichiara di essere?”, e il sistema prende una decisione 1:1 (sì/no). L’identificazione, invece, consiste in quel processo in forza del quale un sistema riconosce un individuo, e ne accerta l’identità, confrontando i dati del medesimo con quelli di una molteplicità di soggetti, i cui dati sono a loro volta registrati, dando, quindi, risposta alla domanda: “Chi è Tizio?”; il sistema, in tal caso, prende una decisione 1:n.

Ciò premesso, va osservato che l’utilizzo di elementi biometrici come credenziali di autenticazione al fine di trattare i dati con strumenti elettronici è espressamente contemplato dalla Regola 2 del Disciplinare tecnico in materia di sicurezza , Allegato B al Codice.
A mente di detta Regola, infatti, “le credenziali di autenticazione consistono”, tra l’altro, “in una caratteristica biometrica dell’incaricato, eventualmente associata a un codice identificativo o a una parola chiave”.
Tenuto conto del chiaro dettato normativo che precede, l’autenticazione informatica è misura di sicurezza che pare legittimare “in re ipsa” l’utilizzo di dati biometrici, a prescindere dalla sussistenza di ulteriori particolari finalità.
A tale conclusione sembra pervenire, del resto, lo stesso Garante, il quale, nel Provvedimento 21.07.2005, individua la finalità di sicurezza del trattamento dei dati personali quale autonoma causa di giustificazione per il trattamento dei dati biometrici, accanto a quella, più generica, che rimanda alle finalità perseguite e al contesto in cui essi sono trattati, da valutarsi caso per caso.

Non tragga in inganno la vicenda oggetto del Provv. 17.11.2010; detto riguarda una fattispecie che l’Autorità Garante qualifica come sistema di autenticazione su base biometrica volto a verificare la presenza in servizio del personale (finalità, quindi, che presuppone la previa identificazione dell’interessato). In verità, all’esito di un’attenta lettura del Provvedimento, si evince che il fine ivi descritto viene raggiunto non già mediante l’impiego del dato biometrico, bensì attraverso la (mera) lettura di un codice identificativo. Riportiamo, al proposito, un passo del Provvedimento (nostra la sottolineatura, n.d.a.): “I dipendenti sottoposti al rilevamento biometrico inserirebbero la card in un’apposita fessura, poggiando l’indice in un alloggio predisposto dell’apparecchio. Il dispositivo rileverebbe la corrispondenza dei dati contenuti nella card con quelli dell’indice e conseguentemente, poiché ad essa sarebbe associato un numero di identificazione del dipendente, ne rileverebbe la presenza al lavoro”. Va da sé che il dato biometrico risulta impiegato a fini di sicurezza (id est autenticazione informatica), restando detto estraneo al processo di identificazione cui il sistema è altresì preordinato.

Ciò precisato, a parere di chi scrive l’adozione di un sistema di autenticazione biometrica, quale misura di sicurezza espressamente contemplata dalla Regola 2 del Disciplinare tecnico, non richiede l’adempimento dell’onere di verifica preliminare da parte dell’Autorità Garante, prevista dall’art. 17 del Codice. E ciò sebbene ci sia noto che la prassi è improntata a maggior cautela: cfr., ad esempio, il Provv. 28.02.2008, le cui indicazioni sono dettate in relazione ad un dispositivo di rilevamento delle impronte vocali quale misura di autenticazione, sottoposto al vaglio del Garante da Michelin Italiana Spa.

continua nel post successivo…

2.1) La valutazione delle caratteristiche soggettive

In ragione della criticità del ruolo di amministratore di sistema, la relativa designazione deve avvenire previa valutazione dell’esperienza, dalla capacità e dell’affidabilità dell’incaricato.

La regola, che impone all’azienda di attenersi a criteri di selezione equipollenti a quelli richiesti per la nomina dei responsabili del trattamento, non ammette deroghe: il titolare dovrà, quindi, vagliare attentamente le qualità (tecniche, professionali o di condotta) del soggetto individuato, anche in considerazione delle responsabilità, specie di ordine civile e penale , che possono conseguire ad una designazione inidonea o incauta.

La natura fiduciaria delle mansioni affidate non viene meno allorchè le funzioni proprie dell’amministratore di sistema (o parte di esse) vengano esternalizzate, secondo una prassi assai diffusa in ambito aziendale.

Non è, dunque, inopportuno sottolineare che la selezione dell’outsourcer deve essere compiuta con particolare rigore e che la scelta dovrà necessariamente ricadere su soggetti alle cui dipendenze operino, quali amministratori di sistema, persone aventi le caratteristiche richieste .

2.2) Le designazioni individuali

E’obbligo designare individualmente i singoli amministratori di sistema, a mezzo di un atto che deve elencare partitamente gli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato.

Ciò che il Garante intende evitare è, dunque, l’attribuzione di ambiti non sufficientemente definiti, analogamente a quanto richiesto dal comma 4 dell’art. 29 del Codice in relazione ai responsabili del trattamento.

2.3) L’elenco degli amministratori di sistema

I titolari sono tenuti a riportare in un documento interno gli estremi identificativi delle persone fisiche amministratori di sistema, con l’elenco delle funzioni ad esse attribuite.
Qualora gli amministratori, nell’espletamento delle proprie mansioni, trattino (o, semplicemente, possano trattare, anche in via fortuita) dati personali dei lavoratori, questi ultimi hanno diritto di conoscere l’identità dei predetti.

In tal caso, è fatto onere all’azienda di rendere noto ai lavoratori dipendenti detto loro diritto.

Sono possibili diverse modalità: a mezzo dell’informativa resa agli interessati ai sensi dell’art. 13 del Codice o tramite il disciplinare interno relativo all’utilizzo del sistema informatico o mediante altri strumenti di comunicazione interna (per esempio, l’intranet aziendale) o, ancora, avvalendosi di procedure formalizzate, attuabili ad istanza del lavoratore.

2.4) I servizi di amministrazione affidati in outsourcing

Il Provvedimento richiede che, nel caso in cui i servizi di amministrazione di sistema siano esternalizzati, l’elenco di cui al punto che precede sia conservato, indifferentemente, dal titolare o dal responsabile esterno del trattamento (id est, dall’outsourcer).

L’opzione (invero non prevista dal Garante prima della modifica del Provvedimento del 25 giugno 2008) risponde a criteri di buon senso, atteso che per l’azienda può essere molto disagevole recuperare il predetto elenco.

Giova, comunque, rilevare una “distonia” tra la prescrizione in esame (lett. d) del Provvedimento) e l’indicazione di cui si è detto al paragrafo 2.3 (lett. c) del Provvedimento).

Ed invero, mentre la lettera c) prescrive che l’elenco degli amministratori di sistema sia conservato presso il titolare (siano essi amministratori interni o meno, poiché nulla è previsto in relazione ai servizi in outsourcing), la lettera d) consente che l’elenco sia tenuto anche dal solo responsabile esterno, come già osservato.

Riteniamo che l’antinomia tra i due precetti sia frutto di una mera svista del Garante, che, dopo aver modificato la lettera d), non si è curato di intervenire parimenti sulla lettera c), introducendo un’opportuna “clausola di riserva ”.

2.5) La verifica delle attività degli amministratori di sistema

Allo scopo di contrastare la diffusa sottovalutazione, da parte dell’azienda, dei rischi derivanti da eventuali azioni “incontrollate” degli amministratori di sistema, il Provvedimento introduce verifiche ispettive a carico del titolare o del responsabile esterno.

L’operato degli amministratori di sistema, infatti, deve essere oggetto di verifica, con cadenza almeno annuale, per acclarare che le attività svolte dall’amministratore siano in effetti conformi alle mansioni attribuite.

2.6) La registrazione degli accessi logici

Accanto agli oneri di cui ai paragrafi che precedono (di ordine prettamente “organizzativo”), all’azienda è richiesta anche l’adozione di un’importante misura di carattere tecnico: la registrazione degli accessi logici degli amministratori di sistema.

Il Provvedimento, in particolare, prescrive l’impiego di sistemi idonei alla registrazione
degli accessi logici da parte degli amministratori ai sistemi di elaborazione e agli archivi elettronici.

Ciascun amministratore, quindi, deve poter essere identificato.
Va da sé che la cattiva prassi di utilizzare un unico “user-name” (di norma “admin”, o simili) condiviso tra tutti gli amministratori non è in linea con le disposizioni del Provvedimento.

In verità, l’anzidetto comportamento costituisce violazione, ad un tempo, del Provvedimento e delle regole dell’Allegato B al Codice (il quale richiede che ciascun incaricato sia dotato di credenziali di autenticazioni univoche).

“Le registrazioni” – si precisa – “devono comprendere i riferimenti temporali e la descrizione dell’evento che le ha generate”.

L’indicazione appare tutt’altro che esaustiva e, al cospetto di detta previsione, molte imprese sono disorientate.

Che fare, dunque, in concreto?

Chiariamo, da subito, che, nel contesto che ci occupa, per “access log” si intende la registrazione degli eventi generati dal sistema di autenticazione informatica a sistemi di elaborazione o di reti o a sistemi gestionali di basi di dati (c.d. “DBMS”) o ad archivi elettronici.

Trattasi di evidenze informatiche generate all’atto dell’accesso (o del tentativo di accesso) ad un sistema o all’atto della disconnessione da esso.

Per espressa indicazione del Garante, dette devono contenere, oltre che i riferimenti allo “user-name” impiegato, anche informazioni relative alla data e all’ora dell’evento (timestamp), unitamente ad una sintetica descrizione dell’evento medesimo (sistema di elaborazione o software utilizzato, qualificazione dell’evento come “log-in”, “log-out” o “condizione di errore”).

Ferme le criticità che precedono, il periodo del Provvedimento che dà luogo alle maggiori perplessità operative è, tuttavia, il seguente: “Le registrazioni devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo per cui sono richieste”.

Quale completezza e, soprattutto, quale inalterabilità e quale integrità il log deve, quindi, possedere?

Il quesito è di centrale rilevanza: se, per esempio, a garanzia dell’inalterabilità e dell’integrità si individuassero dei livelli di robustezza rigorosi, le aziende sarebbero sicuramente onerate di aggravi economici significativi (conseguenti all’impiego della firma digitale e della marca temporale in fase di conservazione dei log).

Il Garante è opportunamente intervenuto sul punto, precisando che non vi è alcuna pretesa di instaurare in modo generalizzato un rigoroso regime di registrazione degli “usage data” dei sistemi informativi.

E’stato, anzi, specificato che il requisito dell’inalterabilità dei log può essere ragionevolmente soddisfatto con la strumentazione software già in dotazione alle aziende, e con l’eventuale esportazione periodica dei dati dei log su supporti di memorizzazione non riscrivibili.

Solo in casi più complessi (da valutare in rapporto alle condizioni, organizzative e operative, della struttura) i titolari potranno ritenere di adottare sistemi più sofisticati, quali i log server centralizzati e “certificati”.

Ci sentiamo di condividere tale impostazione, che, peraltro, riteniamo aderente al dato letterale del Provvedimento.

Detto, infatti, non richiede che il log sia inalterabile “di per sé”, ma, piuttosto, esso deve possedere caratteristiche di inalterabilità e possibilità di verifica della loro integrità “adeguate al raggiungimento dello scopo per cui sono richieste”. Scopo che, nel caso di specie, è (unicamente) quello, minimale, di verificare “anomalie nella frequenza degli accessi e nelle loro modalità (orari, durata, ecc.)” (così, testualmente, il Garante).

Giova sottolinearlo: il Provvedimento non prescrive “misure di polizia” nei confronti dell’attività compiuta dagli amministratori di sistema.

L’operato di questi ultimi, infatti, deve essere oggetto di analisi nel rispetto del principio di proporzionalità (art. 11 del Codice), oltre che, in relazione agli amministratori di sistema “interni” all’azienda, anche della regola di condotta di cui all’art.4 L.300/70.

Nessun margine di errore, peraltro, è ammesso in relazione alla tempistica di conservazione dei log, imposta per un “congruo periodo”, comunque “non inferiore a sei mesi”.

Avv. Luca Giacopuzzi
STUDIO LEGALE GIACOPUZZI
D I R I T T O d’ I M P R E S A
http://www.studiogiacopuzzi.it/

La rilevanza dell’amministratore di sistema nell’ambito delle operazioni di trattamento dei dati è stata considerata anche dal Garante per la protezione dei dati personali, il quale, con proprio provvedimento, ha ridefinito ruolo e funzioni di detta figura. Gli adempimenti che ne conseguono costituiscono l’oggetto del presente contributo, che, in particolare, intende dar evidenza delle criticità di maggior impatto.

1) Considerazioni preliminari

1.1) La portata giuridico-formale del Provvedimento

Che rilevanza giuridica ha il Provvedimento? L’azienda è tenuta, o meno, a rispettarne le indicazioni? I quesiti che precedono non possono essere lasciati cadere.

Prima di procedere oltre, giova, pertanto, soffermarci sulle sanzioni che possono essere comminate a coloro che, essendovi tenuti, non si conformano alle prescrizioni del Garante.

La questione richiama, all’evidenza, il più generale tema della vincolatività dei provvedimenti dell’Authority.

Al proposito si deve rilevare che il Garante ha facoltà sia di fornire suggerimenti di carattere meramente divulgativo sia di prescrivere l’adozione di misure che i titolari di trattamento sono tenuti ad adottare.

Nella prima ipotesi le indicazioni sono rese ai sensi della lettera h) dell’art. 154, comma 1, D.Lgs. 196/03 , nella seconda ai sensi della lettera c) (del medesimo comma).

Nel caso di specie le prescrizioni maggiormente significative sono emanate ai sensi della sopracitata lettera c), di talchè il mancato rispetto delle stesse, ad un tempo, dà luogo ad una violazione amministrativa nonché è fonte di responsabilità civile (per inosservanza delle misure di sicurezza “idonee”, a tale categoria dovendo essere ascritte, a nostro avviso, le prescrizioni impartite).

1.2) Il campo di applicazione del Provvedimento

Il Garante si rivolge, in linea di principio, a tutti i titolari di trattamenti di dati personali soggetti all’ambito applicativo del Codice.

Precisa, tuttavia, il Provvedimento che al rispetto dello stesso non sono tenuti coloro che trattano i dati a fini amministrativo-contabili (ci si riferisce, in particolare, a quei trattamenti già oggetto di misure di semplificazione: art. 29 D.L. 25 giugno 2008 n.112, convertito con L. 6 agosto 2008 n.133; art. 34 del Codice; Provvedimento Garante 6 novembre 2008).

L’individuazione dei trattamenti effettuati a meri fini amministrativo-contabili non è, tuttavia, agevole, attese, da una parte, l’assenza di una definizione normativa e, dall’altra, la polisemia di detta locuzione .

Per fare chiarezza, ricorreremo, perciò, ad esempi concreti.

Non risponde a finalità amministrativo-contabili il trattamento di dati sensibili , di dati giudiziari o di dati biometrici, né il trattamento a mezzo di sistemi di videosorveglianza, né, ovviamente, l’assai diffuso trattamento a fini di marketing, di profilazione o di fidelizzazione della clientela.

Come si evince dall’elenco che precede (tutt’altro che esaustivo),
le aziende che possono disattendere, a ragion veduta, le indicazioni del Garante sono ben poche.

Una precisazione ancora.

Come è stato, peraltro, chiarito dall’Authority, gli oneri di cui al Provvedimento riguardano solo quei soggetti che, nel trattare i dati con strumenti informatici, abbiano fatto ricorso alla figura professionale dell’amministratore di sistema, nei termini di cui si dirà.

Va da sé, pertanto, che tutte le imprese che non si avvalgono di una figura professionale per l’amministrazione del sistema informatico, della rete o delle basi di dati non sono tenute all’adozione delle misure individuate dal Provvedimento.

1.3) Chi è l’amministratore di sistema?

Il Codice non ha incluso l’amministratore di sistema tra le proprie definizioni normative (sebbene detta figura fosse già disciplinata dal D.P.R. 318/99, successivamente abrogato).

In assenza, dunque, di una “nozione giuridica” di amministratore di sistema, cosa deve intendersi con tale locuzione?

Il Garante sul punto è inequivoco, e propone una definizione che si discosta da quella tecnica.

Ed invero, mentre in ambito informatico l’amministratore di sistema è quel soggetto incaricato della gestione e della manutenzione di un impianto di elaborazione (o di sue componenti), ai fini “legali” sono considerati tali anche altri soggetti, equiparabili al primo dal punto di vista della sicurezza dei dati personali.

Ci si riferisce, in particolare, agli amministratori di basi di dati, agli amministratori di reti e di apparati di sicurezza, nonché degli amministratori di applicativi complessi , che, in quanto tali, presentano profili di criticità rispetto alla protezione dei dati personali.

Non rientrano, invece, nella nozione di amministratore di sistema coloro che intervengono sugli elaboratori solo occasionalmente (per esempio, a scopo di manutenzione).

L’indicazione (fornitaci dall’Authority) viene spesso “ripresa” dagli outsourcers, che, in forza della sporadicità dei loro interventi (specie nelle aziende di piccola e media dimensione), affermano di non poter essere identificabili come amministratori di sistema.

Non ci sentiamo, in verità, di condividere detta “chiave di lettura”. Se agli outsourcers l’impresa ha affidato la gestione del proprio sistema (o di parte di esso), l’identificazione dei loro tecnici come “amministratori di sistema” non può essere fondatamente negata.

Continua nel post successivo…