Fantino Mauro risponde a quesiti di interesse generale l'email va inviata a: Fantino@tin.it
(non si devono superare i 30 righi di formato A4)

Fantino Mauro
Sin dai tempi più antichi, l'uomo ha avuto l’esigenza di proteggere la propria persona e i propri beni; beni che, con l'evoluzione della specie umana, hanno assunto le forme più diverse: dai territori di caccia, alle prede, dai corsi d’acqua, alle prime dimore, alle armi, agli schiavi, ecc., via via divenuti necessari per la propria vita.
Più tardi, nel lento risalire dei secoli, è sorta una nuova forma di bene materiale: il denaro, dapprima di metallo pesante e più o meno pregiato, poi di carta.
Oggi è comparso un nuovo bene, il cui valore sta sopravanzando quelli tradizionali:
l’informazione.

A ben guardare, il tempo presente, e ancor di più quello futuro, vedono affermarsi l’impiego dei beni immateriali sui beni materiali. A titolo d’esempio, si pensi alle transazioni economiche delle azioni: si spostano valori da un ente ad un altro, si controllano Aziende, con transazioni eseguite da sistemi informatici, la cui unica materialità è rappresentata da  una serie di caratteri sul video di un sistema informatico.

Nel passato la minaccia principale è stata la perdita di proprietà della cosa e questo concetto è facilmente intuibile dal lettore, ma oggi, in cui non è più, o almeno non solo, il possesso dei beni materiali l’interesse principale degli individui e delle collettività, sono comparse minacce nuove e non sempre prontamente comprensibili.

Immaginiamo, in una Società di grandi dimensioni, in quanti e quali posti possa essere rintracciata una informazione importante:

  • su un tabulato,
  • su un floppy,
  • su un CD,
  • sul disco di un portatile, ecc.

fino ad arrivare ad un sito internet posto all’altro capo del mondo.

Alla minaccia di perdita del possesso (disponibilità) si sono aggiunte, quindi, altrettante importanti minacce:

  • la minaccia alla integrità dell’informazione (interna alla stessa)
  • la minaccia alla riservatezza dell’informazione (esterna alla stessa).

Al riguardo, ha assunto grande importanza la considerazione della cosiddetta “Privacy”, ovvero l’informazione relativa alla sfera della vita privata degli individui, importanza tale da renderla oggetto d’attenzione del Legislatore, sin dai tempi remoti in relazione a pochi soggetti detentori dei poteri (sovrani, nobili, industriali, ecc.), oggi (con l’estendersi dei diritti soggettivi e sociali) nei confronti di tutti i cittadini.

Un attacco alla privacy può essere portato con l’analisi delle “tracce” che noi lasciamo in tantissime nostre attività giornaliere.
Ciascuno di noi, infatti, nella sua giornata attiva lascia una grossa quantità di informazioni elettroniche. Basti pensare a:

 

  • telefonate dal cellulare,
  • pagamento con le carte di credito,
  • riprese televisive in banche,
  • supermercati,
  • parcheggi,
  • richieste di documenti,
  • payperview,
  • telepass,
  • bancomat,
  • pos,
  • ecc..

E se da un lato non è possibile impedire questa raccolta, dall’altro, occorre che queste informazioni, dalle quali si può estrapolare lo “stile” di vita della persona, non vengano utilizzate per scopi non richiesti.

L'attenzione che gli Stati europei hanno dedicato e dedicano alla sicurezza delle informazioni non è episodica ma è elevata e sistematica in un contesto d’iniziative nazionali ed internazionali che hanno colmato un vuoto legislativo sulla materia che in più sedi era stato evidenziato dagli esperti.

Per questi principali motivi alla fine del 1996 in Italia è stata varata una legge per la tutela delle informazioni: la legge 675/96, a cui si aggiungono i decreti legge ad essa collegati.

L’essenza della legge 675 è proprio nella tutela dell’individuo con particolare riferimento alla sua vita “informatica”, allo scopo di non consentire il verificarsi di quell’effetto “Grande Fratello”, consistente appunto nella raccolta indiscriminata di dati personali, potenzialmente gestibili ad altri ed antigiuridici fini.

La legge ha avuto una lunga “gestione”. Infatti,

a partire dalla fine degli anni ottanta, vari organismi internazionali quali, l'OCSE, il G7, il G10, il GAFI, Europol e, naturalmente, il Consiglio d'Europa, ciascuno per le proprie competenze e sulla base delle tematiche in discussione, hanno richiamato l'attenzione sulla sicurezza informatica e telematica. In particolare l'OEDEC, l'Organizzazione per la Cooperazione e lo Sviluppo Economico, sin dai primi anni '80, si è fortemente occupato di protezione dei dati, contribuendo a redigere la Convenzione 108 che pone i riferimenti per tutte le leggi europee. Dal lungo, complesso e competente dibattito internazionale sono derivate direttive, convenzioni ed accordi, tra cui il più noto è quello comunitario di Schengen.
Il riflesso in campo nazionale è stato intenso e rilevante: dalla legge 547/1993 sui crimini informatici che, tra l'altro, ha esteso l'operatività di certe norme solo ai sistemi informatici protetti, alla legge 518/92 sulla tutela giuridica dei programmi per elaboratore ed il successivo decreto n. 205 del 15 marzo 1996 che la perfeziona fino ad arrivare al 1996, anno di emanazione della legge 675.

Il 27 giugno 2003, il Legislatore, in virtù dell’esperienza maturata sul campo dalla 675, ha cercato di “armonizzare” la legge individuando alcuni “comportamenti” atti a semplificarne l’applicazione senza perderne l’essenza. Si è anche orientato all’ introduzione di nuove garanzie per i cittadini,  alla razionalizzazione delle norme esistenti, oltre che alla semplificazione. 

Il provvedimento, definitivamente approvato dal Consiglio dei Ministri e denominato “Codice” della privacy, riunisce in unico contesto la legge 675/1996 e gli altri decreti legislativi, regolamenti e codici deontologici che si sono succeduti in questi anni, e contiene anche importanti innovazioni tenendo conto della “giurisprudenza” del Garante e della direttiva Ue 2000/58 sulla riservatezza nelle comunicazioni elettroniche.

Il Codice è diviso in tre parti:

  • la prima dedicata alle disposizioni generali, riordinate in modo tale da trattare tutti gli adempimenti e le regole del trattamento con riferimento ai settori pubblico e privato;
  • la seconda è la parte speciale dedicata a specifici settori: questa sezione, oltre a disciplinare aspetti in parte inediti (informazione giuridica, notificazioni di atti giudiziari, dati sui comportamenti dei debitori),  completa anche la disciplina attesa da tempo per il settore degli organismi sanitari e quella dei controlli sui lavoratori;
  • la terza affronta la materia delle tutele amministrative e giurisdizionali con il consolidamento delle sanzioni amministrative e penali e con le disposizioni relative all’Ufficio del Garante.


Il  Codice, che  rappresenta lodevolmente il primo tentativo al mondo di conformare le innumerevoli disposizioni relative anche in via  indiretta alla privacy, è entrato in vigore il 1 gennaio 2004.

Uno dei princìpi ispiratori del Codice Privacy (DL 30 giugno 2003 n°196) consiste nell’assunto per cui le misure di sicurezza devono assicurare la protezione dei dati, poiché appunto la sfera privata può essere trasgredita non solo con l'inosservanza dei doveri che regolamentano la specifica materia, ma anche con comportamenti volontari o involontari, finalizzati a manipolare, distruggere o acquisire, i dati stessi senza averne il diritto. 

Questo principio, che è alla base della materia, ha trovato ampio rilievo sin dall'origine della Convenzione Europea.

Il legislatore ha così voluto tutelare gli interessi e i diritti di chi pone fiducia in una determinata banca dati altrui, sensibilizzandone il titolare del trattamento.
Ha quindi cercato un bilanciamento tra riservatezza e diritto d'informazione e, riconoscendo l’importanza attuale di quest’ultima, ha tuttavia preteso che le informazioni fossero salvaguardate in maniera sicura.

L’art. 29 comma 2 del Codice impone al Titolare (azienda) l’obbligo di vigilare, (anche da parte del “Responsabile del trattamento”, eventualmente individuato), sulla puntuale osservanza delle disposizioni normative vigenti e delle istruzioni impartite in merito ai trattamenti.
Tale obbligo appare di particolare rilevanza e delicatezza quando, a seguito di esternalizzazioni del processo produttivo vengono nominate entità non sotto il diretto controllo del Titolare (es: outsourcing)

Per gli inadempienti sono previste sanzioni penali e amministrative.

Ma chi è il TITOLARE?

Il "Titolare", è la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono le decisioni in ordine alle finalità ed alle modalità del trattamento di dati personali, ivi compreso il profilo della sicurezza.

Il Garante per la protezione dei dati personali, in data 11 dicembre 1997, in un comunicato stampa di chiarimento, ha precisato che … " Quando la raccolta, l'elaborazione, l'utilizzazione, la conservazione e in genere tutte le operazioni relative al trattamento dei dati vengono effettuate nell'ambito di un'amministrazione pubblica, di una società o di un ente, il Titolare del trattamento è la struttura nel suo complesso e cioè il soggetto al quale competono le scelte di fondo sulla raccolta e sull'utilizzazione dei dati”.

Questa soluzione è diversa da quella prevista da altre leggi, come quella in materia di igiene e sicurezza sul posto di lavoro, che permette ad un'azienda di scegliere una persona fisica.

Il Garante ha precisato che, se i "titolari" sono le imprese e le amministrazioni pubbliche, per esse opereranno, nelle diverse scelte che sia necessario assumere, i rispettivi amministratori, secondo le regole che disciplinano ciascuna struttura: di volta in volta, il ministro, l'amministratore delegato, il consiglio di amministrazione, i direttori generali e gli altri dirigenti. Ad esempio, la notificazione al Garante, se dovuta, dovrà essere sottoscritta dalla persona fisica che ha il potere di rappresentarla.

Il Garante ha, infine, precisato che il Titolare può nominare anche più responsabili del trattamento, scegliendoli in base alle funzioni amministrative esercitate o alle aree territoriali in cui operano, oppure in base al ruolo svolto nel campo informatico.

Sulla base delle predette precisazioni, indipendentemente dalle deleghe di responsabilità conferibili in azienda, si ricordi che, per "Titolare" deve intendersi l’entità (l’azienda) nel suo complesso.

La delega del Titolare verso il responsabile non libera il Titolare da una serie di adempimenti, controlli e verifiche periodiche.

Il motivo principale della legge non è stato modificato: la Sicurezza deve essere una costante, deve essere adottata al livello massimo della tecnologia applicabile e deve garantire l’interessato,  e si sanzionano anche a livello penale le eventuali omissioni
 
Ma, oggi, cos’è la Sicurezza?

La sicurezza resta pur sempre l’attività che poniamo in essere a fronte di pericoli, ovvero le nostre contromisure.

Nel recente passato la contromisura classica era evidente e materiale, infatti si trattava della classica cassaforte o del perimetro protetto dei grossi sistemi informatici; comunque il bene da proteggere era localizzato e localizzabile e la contromisura era evidente e tangibile e quindi la spesa della sicurezza era visibile e percepibile da tutti.

Oggi invece, come sopra accennato, le contromisure sono un insieme di attività che si sono adeguate al nuovo bene da proteggere: l’informazione, ed essendo i dati un bene aleatorio la cui  concretezza fisica è un’entità non più esattamente individuabile anche la contromisura è diventata intangibile e quindi più difficilmente può essere percepita dagli utenti.

La sicurezza è dunque divenuta diffusa e minore ne è la consapevolezza delle persone che ne sono coinvolte, sia perché le minacce, di per se stesse, non sono facilmente intuibili, sia perché i rischi sono sempre sottovalutati, anche perché le contromisure sono recepite non come un’attività a “garanzia” ma come una “difficoltà” operativa. A tal proposito, si pensi alla password che spesso viene sottovalutata nella sua importanza e delicatezza.

E’ da considerare comunque che, nel contesto economico-sociale in cui opera un’Azienda, il capitolo Sicurezza, oltre a mirare di proteggere i beni e le risorse umane aziendali, può essere considerato un vero e proprio servizio “vendibile”, quale valore aggiunto di mercato.

Di contro, i valori economici in gioco e le tecnologie applicate hanno aperto un ventaglio di offerte di "sicurezza", a fronte del quale si rischia di incorrere in un rapporto tra costi e benefici fuorviato o fuorviante se l'analisi dell'INSIEME DELL'ANELLO DI PROTEZIONE DEL BENE è sottovalutato o sopravalutato, ovvero se si minimizzano od enfatizzano maldestramente i rischi reali della propria organizzazione ed i relativi fabbisogni di sicurezza.

In ogni settore, quindi, si dovrebbero analizzare, in termini di costi/benefici, gli interventi, proposti da ciascuna Azienda fornitrice, atti a garantire il meglio in termini di filosofia di sicurezza, di aggiornamento tecnologico, nonché la fattibilità d’applicazione globale.

Ogni Azienda deve quindi acquisire risorse, interne o esterne, in grado di poter monitorare e valutare le minacce, e le rispettive conseguenze ipotizzabili, adottando quelle contromisure che, oltre ad assolvere un obbligo sancito dalla legge, tutelino finalmente la sua stessa esistenza.

 
Servizio offerto GRATUITAMENTE agli utenti di www.sicilnews.com che consente di contattare un professionista, che darà una risposta alle vostre domande
Home page
Sono le ore:  
Copyright 2006 V1.0 www.sicilnews.com Tutti i diritti riservati e segni distintivi sono di proprietari dei rispettivi titolari. L'uso di questo sito web implica l'accettazione dell'Accordo per gli utenti di www.sicilnews.com delle Regole sulla privacy (Web master e-mail (webmaster@sicilnews.com) Ottimizzato pe Mozilla Firefox Ris.1024x768