Sapevo già che c’era il rischio che venisse approvata una norma di questo genere: a Infosecurity a Roma il Presidente dell’Autorità Garante, Francesco Pizzetti, aveva lasciato in anticipo una tavola rotonda per andare a discutere di questa proposta di legge. Giusto per dire che non è una paturnia di chi si occupa di sicurezza. Prima di discutere le conseguenze vediamo nel dettaglio di cosa si tratta. Secondo quanto approvato, vedi art. 28, “1. Le disposizioni di cui agli articoli 33, 34, 35 e all’allegato B) del codice in materia di protezione dei dati personali, di cui al decreto legislativo 30 giugno 2003, n. 196, non si applicano alle micro imprese ed alle piccole imprese sino a quindici addetti che effettuano esclusivamente trattamenti di dati personali per le finalità elencate all’articolo 24 del medesimo codice, purché tali trattamenti siano effettuati nell’ambito della ordinaria gestione amministrativa e contabile dell’azienda. ” Vediamo cosa vuole dire.
L’art. 24 del Codice tratta i “Casi in cui può essere effettuato il trattamento senza consenso”. I casi più rilevanti (semplifico, per il dettaglio basta leggersi l’articolo) sono quelli in cui il trattamento è richiesto da un obbligo di legge (es. scritture contabili), quelli in cui il trattamento è necessario per eseguire obblighi derivanti da un contratto, quelli in cui riguarda dati provenienti da pubblici registri ed elenchi, o è effettuato da associazioni riguardo ai propri aderenti per il raggiungimento di scopi individuati nell’atto costitutivo. L’articolo approvato il 5 giugno si riferisce poi specificamente ai trattamenti effettuati “nell’ambito della ordinaria gestione amministrativa e contabile dell’azienda.”. In pratica (semplifico di nuovo), un’azienda con meno di 15 addetti che tratti i dati solo per gestire l’anagrafica clienti e fornitori, i contratti e le scritture contabili, non è tenuta ad alcuni adempimenti. Quali? Gli articoli 33, 34 e 35 sono quelli che riguardano le misure minime, l’individuazione degli incaricati, il documento programmatico ecc. Tutti adempimenti che, insieme all’allegato B, costituivano un onere forse eccessivo per le piccole imprese. Cosa rimane? Rimane prima di tutto l’art. 31, “Obblighi di sicurezza”: “I dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l’adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.” Quindi, rimangono le misure adeguate ma spariscono le misure minime. Che senso può avere? Possiamo vederla da diversi punti di vista. Preso per assunto che le misure minime siano effettivamente tali, ovvero “il minimo indispensabile”, una prima risposta può essere: le misure adeguate sono almeno valide quanto quelle minime, ma possono essere diverse. Mi sembra abbastanza chiaro che per questa via si va poco lontano: le misure minime coprono nella pratica cose come l’antivirus, il firewall, l’autenticazione… dare alle piccole imprese la prospettiva di misure “diverse” può solo complicare loro la vita, non semplificargliela.
Una interpretazione diversa è quella in cui si cercano di limitare gli oneri burocratici (es. documento programmatico) mantenendo l’obbligo di misure di sicurezza sostanziali adeguate. Ma allora, non sarebbe stato meglio indicare più esplicitamente gli obblighi burocratici da cui le piccole imprese sono esentate? Non bastava dire: non devono fare il documento programmatico, o individuare gli incaricati… o utilizzare delle password? Perché la strada scelta ha tre problemi fondamentali: il primo è che l’interpretazione comune del provvedimento sarà che le piccole imprese non hanno più nessun obbligo. Dopo dieci anni che sono serviti per convincerle che serve fare qualcosa, si ricomincia daccapo. Il secondo è che, essendo rimasti con le sole “misure idonee”, l’adeguatezza delle misure sarà continuo oggetto di discussione, sia in fase di realizzazione, con aziende che per risparmiare “si convinceranno” che l’autenticazione non serve, sia eventualmente in fase di contestazione. Il terzo problema è proprio la contestazione: l’adeguatezza delle misure in pratica verrà messa in discussione solo quando ci sarà qualcuno che potrà provare di aver subito un danno in conseguenza dell’accesso abusivo da parte di terzi ai dati dell’azienda. Sappiamo che provare questo sarà un evento quasi impossibile, se non in casi plateali. È nella natura dei sistemi informatici, che sembra una volta di più sfuggire al legislatore.
Ma ovviamente, il mio sospetto, come quello di tanti, è che in realtà l’intenzione fosse proprio non imporre alcun obbligo a queste piccole imprese, per semplificare loro la vita. Ebbene, non si può essere d’accordo con questa logica: la normativa ha lo scopo di tutelare i dati dei cittadini, non la sicurezza delle imprese. Perché i dati di me cittadino non devono essere tutelati proprio nel contesto che ben sappiamo essere quello più comune e meno curato? Possible che debba essere accettabile che a un’azienda che tratta i miei dati non possa essere imposto neppure un antivirus
E tutto questo, in un contesto che, come ben dicono Gigi e Danilo, si muove in tutt’altra direzione. Proprio in questo periodo, in cui si discute di botnet e della necessità di sicurezza diffusa. E proprio in questo periodo, non possono non dirlo, in cui invece nel contesto della ratifica della convenzione di Budapest, “in sostanza viene estesa la responsabilità delle società per la mancata predisposizione preventiva di misure idonee ad evitare che gli organi interni delle società commettano reati informatici, con sanzioni che determinano una responsabilità patrimoniale anche di rilevante entità”. E a proposito della Convenzione di Budapest, non si può non notare che anche qui, insieme ai crimini gravi, viene elencato il “copyright infringement”. Quindi in pratica, la piccola impresa non è tenuta ad adottare misure minime per tutelare i miei dati personali, ma deve adottare misure preventive per evitare che i dipendenti possano violare dei diritti di copyright (vedi art. 12, comma 2). Credo non serva aggiungere altro.