Con decreto legge “milleproroghe”, il 273/2005, entrato in vigore il 31 dicembre 2005, pubblicato sulla Gazzetta ufficiale del 30 dicembre 2005 n. 303, è previsto lo slittamento dei termini di:
Attenzione, però! Come avvenuto per le precedenti proroghe, lo slittamento dei termini riguarda:
Allo stesso modo, non sono oggetto di proroga gli adempimenti diversi da quelli sopra indicati, come tutti gli atti formali (nomina dei responsabili e degli incaricati, adozione delle “vecchie” misure minime etc...)
Questi gli effetti immediati del decreto.
Certamente, l'ennesimo slittamento dei termini porta con se una sempre maggiore insofferenza verso le normative che prevedono adempimenti in merito alla sicurezza aziendale: da un lato, coloro che hanno adeguato il loro sistema informativo nel rispetto dei termini originari della norma (o di una delle proroghe precedenti!) possono sentire come non giustificabili gli sforzi e gli investimenti effettuati; dall'altro, coloro che non hanno voluto provvedere fino ad oggi per una qualunque motivazione, trovano ulteriori buoni motivi per attendere ulteriormente.
Rimangono coloro che effettivamente non hanno potuto, per un qualche motivo, conformarsi alla normativa: questi ricadranno in una delle due categorie precedenti, ma quale?
Certamente, l'imminente fine legislatura renderà estremamente difficile la conversione in legge del decreto, e probabilmente non vi saranno le condizioni e le priorità perchè il governo uscente o quello neo-insediato possano far slittare ulteriormente i termini.
In questo caso, se non per l'italianissimo rigore, condizioni di necessità faranno (finalmente?) chiarezza sui termini e porranno fine all'agonia che ogni semestre ci ha accompagnati negli ultimi due anni.
Quello che ho scoperto essere però troppo spesso ignorato è il livello di “rischio legale” al quale i Titolari di banche dati sono esposti, indipendentemente dalla categoria, tra le due precedentemente indicate, di appartenenza!
Parlo della responsabilità civile derivante dal trattamento dei dati ex art.15 del Codice per la tutela dei dati personali:
L'articolo 2050 del codice civile sancisce l'inversione dell'onere della prova. Da profano della materia, cerco di spiegare: il nostro ordinamento prevede che in caso di reato o violazione un soggetto sia ritenuto innocente fino a prova del contrario, di colpevolezza. Questo fatto è noto ai più, tuttavia vi sono dei casi ove questo principio non si applica. In particolare, per le “attività pericolose”, trattate per l'appunto dall'articolo 2050 del codice civile, vale il concetto opposto.
Le “attività pericolose”, per propria natura, si configurano come ambiti lavorativi nei quali è estremanente difficile prevedere tutti i casi nei quali una azione si concretizza in una violazione contro terzi. Se pensiamo ad un cantiere edile, per esempio, la semplice osservanza di tutte le norme non si traduce nella certezza che non possa accadere un quale evento che possa causare danni a cose o a persone.
Per questo motivo, le norme non riescono a trattare tutti gli eventi possibili e quindi a disciplinare in quali condizioni un certo evento è considerabile come violazione o meno, ed è atresì estremamente difficile comprendere la misura della violazione, e quindi la sanzione o il risarcimento, da applicare.
A questo punto è necessaria una divagazione: la legislazione italiana si basa sul principio romano “sine lege, sine poena”. Significa che in assenza di una legge che specifichi che una certa azione viola la legge, non può essere contestata a colui che ha compiuto volontariamente o meno tale azione una pena, una sanzione o un risarcimento.
Se ritorniamo alla descrizione dell'attività pericolosa ex art.2050 del codice civile, a fronte del principio “sine lege, sine poena”, avere a disposizione uno strumento che consenta di trattare a livello legale eventi non prevedibili è tanto più importante, poiché altrimenti il legislatore dovrebbe considerare “tutti gli eventi possibili” per garantire ai cittadini di avere giustizia in casi del tutto particolari.
Le attività pericolose prevedono quindi che sia tenuta, da chi le svolge, una condotta detta “del buon padre di famiglia”.
Alla rigidità delle definizioni di legge si sostituisce quindi il criterio di ragionevolezza, nel quale viene valutata, in caso di dispute, la condotta di un imputato.
Come si rapporta il “buon padre di famiglia” alla normativa sulla tutela dei dati personali?
Il Titolare del trattamento, ovvero l'azienda che detiene i dati, deve provvedere per quanto possibile a garantire che siano rispettati il principio di necessità, il diritto alla protezione dei dati ed i diritti dell'interessato (colui al quale i dati fanno riferimento).
Non solo: il Titolare deve adempiere ai propri obblighi sempre nel rispetto del principio del buon padre di famiglia.
In caso di danno arrecato a terzi, il Titolare sarà infatti chiamato in giudizio non per valutare se ia responsabile dell'evento, ma se ha adottato tutte le misure in proprio potere per evitare il verificarsi stesso dell'evento!
Rimane il fatto che “cagionare un danno ad altri per effetto del trattamento” sintetizza un insieme molto vasto di potenziali casistiche, che l'alterazione di un dato, la diffusione o comunicazione accidentale o volontaria, così come la perdita o distruzione dei dati potrebbero causare e la cui stima del potenziale danno arrecato dipende non solo dal tipo di informazione personale, ma anche dal soggetto alla quale appartiene!
Questo significa che il danno per effetto del trattamento può essere valutato diversamente da chi tratta il dato, dall'interessato e dal giudice chiamato a gestire una causa.
In questa logica, è evidente che per coloro che sono chiamati ad adeguare le misure di sicurezza si aprono diversi scenari:
Questi scenari, sono di per sé ottime motivazioni perchè una qualunque azienda intraprenda seriamente un percorso tecnologico/organizzativo e procedurale per adeguare il proprio sistema informativo.
Allo stesso modo, mi riesce difficile comprendere in quale posizione possa essere una azienda che ha certificato l'impossibilità di adeguare i propri sistemi informatici entro la data del 31 Marzo, chiamata a rispondere per negligenza in sede giudiziale: come è possibile dire che dal 1 Gennaio 2004 sono ancora oggi presenti criteri oggettivi che impediscono l'adozione delle misure minime?
Certamente potrebbe trattarsi di un fattore di costi.
Certamente l'assenza di rigore nel rispetto dei termini della norma, di per se un motivo per rimandare il problema e pensare a cose più urgenti.
A presto!
- adozione delle misure minime di sicurezza, prevista per il 31 Marzo 2006, ivi compresa la redazione del Documento Programmatico sulla Sicurezza
- l'adeguamento dei sistemi informatici alle misure di sicurezza, previsto per il 30 Giugno 2006
- l'adozione di regolamenti per il trattamento di dati sensibili e giudiziari, da parte dei soggetti pubblici, prevista per il 28 Febbraio 2006.
Attenzione, però! Come avvenuto per le precedenti proroghe, lo slittamento dei termini riguarda:
- relativamente alle misure di sicurezza, solo quelle introdotte dal D.Lgs.196/03 in più o diverse rispetto al precedente DPR318/99, ivi compresa la stesura del Documento Programmatico sulla Sicurezza! Chi era precedentemente tenuto a produrre tale documento, non potrà beneficiare dei nuovi termini;
- relativamente all'adeguamento dei sistemi informatici, la proroga al 30 Giugno ha valore solo per coloro che possono certificare l'impossibilità di adottare le misure di sicurezza entro la data del 31 Marzo per motivi oggettivi, come ad esempio l'utilizzo di sistemi informatici la cui obsolescenza non consente di apportare tali adeguamenti.
Allo stesso modo, non sono oggetto di proroga gli adempimenti diversi da quelli sopra indicati, come tutti gli atti formali (nomina dei responsabili e degli incaricati, adozione delle “vecchie” misure minime etc...)
Questi gli effetti immediati del decreto.
Certamente, l'ennesimo slittamento dei termini porta con se una sempre maggiore insofferenza verso le normative che prevedono adempimenti in merito alla sicurezza aziendale: da un lato, coloro che hanno adeguato il loro sistema informativo nel rispetto dei termini originari della norma (o di una delle proroghe precedenti!) possono sentire come non giustificabili gli sforzi e gli investimenti effettuati; dall'altro, coloro che non hanno voluto provvedere fino ad oggi per una qualunque motivazione, trovano ulteriori buoni motivi per attendere ulteriormente.
Rimangono coloro che effettivamente non hanno potuto, per un qualche motivo, conformarsi alla normativa: questi ricadranno in una delle due categorie precedenti, ma quale?
Certamente, l'imminente fine legislatura renderà estremamente difficile la conversione in legge del decreto, e probabilmente non vi saranno le condizioni e le priorità perchè il governo uscente o quello neo-insediato possano far slittare ulteriormente i termini.
In questo caso, se non per l'italianissimo rigore, condizioni di necessità faranno (finalmente?) chiarezza sui termini e porranno fine all'agonia che ogni semestre ci ha accompagnati negli ultimi due anni.
Quello che ho scoperto essere però troppo spesso ignorato è il livello di “rischio legale” al quale i Titolari di banche dati sono esposti, indipendentemente dalla categoria, tra le due precedentemente indicate, di appartenenza!
Parlo della responsabilità civile derivante dal trattamento dei dati ex art.15 del Codice per la tutela dei dati personali:
Art. 15 (Danni cagionati per effetto del trattamento)
1.Chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell'articolo 2050 del codice civile. (...)
1.Chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell'articolo 2050 del codice civile. (...)
L'articolo 2050 del codice civile sancisce l'inversione dell'onere della prova. Da profano della materia, cerco di spiegare: il nostro ordinamento prevede che in caso di reato o violazione un soggetto sia ritenuto innocente fino a prova del contrario, di colpevolezza. Questo fatto è noto ai più, tuttavia vi sono dei casi ove questo principio non si applica. In particolare, per le “attività pericolose”, trattate per l'appunto dall'articolo 2050 del codice civile, vale il concetto opposto.
Le “attività pericolose”, per propria natura, si configurano come ambiti lavorativi nei quali è estremanente difficile prevedere tutti i casi nei quali una azione si concretizza in una violazione contro terzi. Se pensiamo ad un cantiere edile, per esempio, la semplice osservanza di tutte le norme non si traduce nella certezza che non possa accadere un quale evento che possa causare danni a cose o a persone.
Per questo motivo, le norme non riescono a trattare tutti gli eventi possibili e quindi a disciplinare in quali condizioni un certo evento è considerabile come violazione o meno, ed è atresì estremamente difficile comprendere la misura della violazione, e quindi la sanzione o il risarcimento, da applicare.
A questo punto è necessaria una divagazione: la legislazione italiana si basa sul principio romano “sine lege, sine poena”. Significa che in assenza di una legge che specifichi che una certa azione viola la legge, non può essere contestata a colui che ha compiuto volontariamente o meno tale azione una pena, una sanzione o un risarcimento.
Se ritorniamo alla descrizione dell'attività pericolosa ex art.2050 del codice civile, a fronte del principio “sine lege, sine poena”, avere a disposizione uno strumento che consenta di trattare a livello legale eventi non prevedibili è tanto più importante, poiché altrimenti il legislatore dovrebbe considerare “tutti gli eventi possibili” per garantire ai cittadini di avere giustizia in casi del tutto particolari.
Le attività pericolose prevedono quindi che sia tenuta, da chi le svolge, una condotta detta “del buon padre di famiglia”.
Alla rigidità delle definizioni di legge si sostituisce quindi il criterio di ragionevolezza, nel quale viene valutata, in caso di dispute, la condotta di un imputato.
Come si rapporta il “buon padre di famiglia” alla normativa sulla tutela dei dati personali?
Il Titolare del trattamento, ovvero l'azienda che detiene i dati, deve provvedere per quanto possibile a garantire che siano rispettati il principio di necessità, il diritto alla protezione dei dati ed i diritti dell'interessato (colui al quale i dati fanno riferimento).
Non solo: il Titolare deve adempiere ai propri obblighi sempre nel rispetto del principio del buon padre di famiglia.
In caso di danno arrecato a terzi, il Titolare sarà infatti chiamato in giudizio non per valutare se ia responsabile dell'evento, ma se ha adottato tutte le misure in proprio potere per evitare il verificarsi stesso dell'evento!
Rimane il fatto che “cagionare un danno ad altri per effetto del trattamento” sintetizza un insieme molto vasto di potenziali casistiche, che l'alterazione di un dato, la diffusione o comunicazione accidentale o volontaria, così come la perdita o distruzione dei dati potrebbero causare e la cui stima del potenziale danno arrecato dipende non solo dal tipo di informazione personale, ma anche dal soggetto alla quale appartiene!
Questo significa che il danno per effetto del trattamento può essere valutato diversamente da chi tratta il dato, dall'interessato e dal giudice chiamato a gestire una causa.
In questa logica, è evidente che per coloro che sono chiamati ad adeguare le misure di sicurezza si aprono diversi scenari:
- eventuali danni arrecati nonostante la proroga dei termini a terzi, non imputabili direttamente dall'assenza di una delle “misure minime”
- eventuali danni arrecati nonostante l'adozione delle misure minime,tuttavia implementate in modo palesemente insufficiente per le tipolgie di dati trattati o senza mantenere un controllo accurato sugli eventi in atto sul sistema informativo che hanno causato l'aggravarsi di problemi inizialmente poco significativi.
- eventuali danni che non si sono verificati a causa delle modalità di applicazione delle misure minime, fatto che per scarsa pianificazione/progettazione o per assenza di controllo non è possibile dimostrare.
Questi scenari, sono di per sé ottime motivazioni perchè una qualunque azienda intraprenda seriamente un percorso tecnologico/organizzativo e procedurale per adeguare il proprio sistema informativo.
Allo stesso modo, mi riesce difficile comprendere in quale posizione possa essere una azienda che ha certificato l'impossibilità di adeguare i propri sistemi informatici entro la data del 31 Marzo, chiamata a rispondere per negligenza in sede giudiziale: come è possibile dire che dal 1 Gennaio 2004 sono ancora oggi presenti criteri oggettivi che impediscono l'adozione delle misure minime?
Certamente potrebbe trattarsi di un fattore di costi.
Certamente l'assenza di rigore nel rispetto dei termini della norma, di per se un motivo per rimandare il problema e pensare a cose più urgenti.
A presto!
View Luca Bechelli's profile
|