Si discute molto della petizione contro gli emendamenti alla “lenzuolata” Bersani (che poi io non ho ancora capito da cosa salta fuori questo nome strampalato) che mirano ad eliminare completamente gli obblighi di misure minime di sicurezza nella tutela dei dati personali. Come sempre una precisazione: eliminare le misure minime obbligatorie non vuole dire l’eliminazione delle misure “adeguate”, né soprattutto tutti gli altri obblighi imposti dalla normativa. Non sparirà quindi ad esempio l’obbligo di firmare “assurde liberatorie” come suggerisce Punto Informatico. Tralascio la dietrologia sul come e perché i nostri parlamentari sono arrivati a questa proposta, già approvata al Senato per quanto riguarda le aziende con meno di 15 persone (un piedino nella porta?) e già abbondantemente criticata. Mi limito a riproporre le critiche, molto più forti e motivate per questa nuova proposta.
La prima domanda che ci dobbiamo porre è: i dati personali devono essere tutelati? Se la risposta è no, potete smettere di leggere qui 🙂 Altrimenti, ci si può cominciare a chiedere cosa debba o non debba essere obbligatorio, cosa non va nella normativa attuale e come migliorarla. So che è un’impostazione pallosa e poco giornalistica, ma d’altra parte io non sono un giornalista 😉 E per inciso, non sono neanche un giurista…
La prima questione riguarda le misure “minime” vs. “adeguate”. Va da sè che le misure devono essere “adeguate”, ma come si decide cosa vuole dire nel concreto? La norma (anche dopo le modifiche) dice in sostanza che se scopre che i dati sono stati trattati illecitamente, e le misure non erano “allo stato dell’arte”, allora non erano adeguate. Si parla spesso del ribaltamento dell’onere della prova ai sensi dell’art. 2050 c.c. ma questo ribaltamento entra in gioco solo una volta che è stato accertato un trattamento illecito e il trattamento è stato collegato ad un’azienda specifica. Nel caso dei dati che quotidianamente raccolgono i nostri fornitori di servizi, questo collegamento è generalmente impossibile da realizzare. Anzi, spesso è impossibile sapere se il trattamento illecito c’è stato. Supponiamo ad esempio che una persona abbia la sensazione di essere discriminata (sul lavoro, o ad un’assunzione) per un qualsiasi motivo ideologico, medico, etico o altro, di cui peraltro non aveva assolutamente fatto menzione se non nei contesti in cui era necessario, ad es. ad un laboratorio analisi o ad un ente pubblico. Cosa se ne può fare di questa sua sensazione, o anche di un suo convincimento? Difficilmente arriverà a poter collegare la cosa alla fonte della fuga di informazioni, e quindi a potersi avvalere dell’art. 2050. Questa è la natura dei dati: quando sono copiati o trasmessi, di questa operazione non resta traccia a meno che non siano in atto delle misure di sicurezza specifiche. Ecco, questo è il senso delle misure minime: le misure che servono quantomeno per evitare le fughe casuali (es. per virus) e per rendere un po’ più tracciabili quelle volontarie. Senza le misure minime, quelle “adeguate” non vogliono dire niente.
Ma ecco, la critica in buona parte condivisibile è che le misure minime indicate nel concreto dalla normativa attuale sono terribili. Da una parte impongono obblighi burocratici di dubbia utilità ed efficacia, dall’altra le misure tecniche sono spesso ridicole; ne è un esempio il famoso “aggiornamento ogni sei mesi” dell’antivirus.
Quindi cosa si fa: si eliminano? Qualcuno dice di sì, perché così il Parlamento sarà “forzato” a farne di migliori, e perché quelle attuali sono un onere per le aziende. Prima di tutto: qualsiasi misura di questo tipo non potrà che essere un onere per le aziende, perché serve per tutelare dei dati di terzi anche dall’azienda stessa e non nell’interesse dell’azienda. E non ci sarà un movimento spontaneo degli utenti verso le aziende che tutelano maggiormente il loro dati (ancora wishful thinking di Punto Informatico) perché gli utenti non solo non hanno la cultura per farlo, ma non avranno neppure i mezzi per riconoscere, al di là delle chiacchiere, chi i dati li tutela davvero. Infine, non credo che il parlamento attuale (né il prossimo) avranno intenzione di mettersi a discutere con le organizzazioni imprenditoriali per riproporre in modo più efficace una normativa che ha impiegato dieci anni per essere presa abbastanza sul serio da essere poi subito abrogata.
Quello che ci aspetta quindi, se gli emendamenti passano, è l’assenza di misure di sicurezza a tutela dei dati personali, salvo quando la tutela è diretto interesse dell’azienda, e salvo ovviamente le misure “adeguate” sulle quali non perdo tempo oltre. Un esempio? Il vostro fornitore di telefonia o di connettività non sarà tenuto a “tutelare” i dati sul vostro traffico. Sono certo che basta poco per trovare altri esempi interessanti. Non serve sforzarsi molto.
La soluzione naturalmente non è lasciare la norma così com’è. La soluzione è migliorarla, dato che da anni ormai se ne discutono i limiti ed i difetti che quindi sono arcinoti. Un primo recepimento delle critiche è stato fatto con il passaggio dalla 675/96 al Codice attuale, ma certo è auspicabile un processo più aperto e trasparente per arrivare a delle regole che siano effettivamente a tutela dei dati, efficaci tecnicamente e di peso accettabile per le aziende.
A quanto pare, la proposta è stata ritirata, vedi http://www.repubblica.it/2007/09/sezioni/cronaca/privacy-ufficio/ritirato-piano/ritirato-piano.html
Meno male. Le considerazioni sull’esigenza di migliorare in modo trasparente le misure minime rimangono però valide.