Il D.Lgs. 196/2003 si propone di integrare tutte le fonti di diritto in materia di pri­vacy accorpandole in un unico testo (è infatti noto anche come "Codice Unico"), e nel contempo di aumentare la tutela del diritto alla privacy con misu­re di sicurezza più efficaci. Una continua serie di proroghe (tre) e una buona dose di disinformazione hanno però contribuito a creare nelle imprese una situazione di "stallo" (non so che fare, come fare e se sia poi il caso di fare!). È bene fare subito chia­rezza: II Decreto Legislativo è già piena­mente applicabile e applicato, ad essere state prorogate sono solo quelle misure contenute nel Disciplinare Tecnico, che non erano previste dalla precedente nor­mativa (L. 675/1996; DPR 318/99 ecc.).

Che sia il caso di fare qualcosa è eviden­te, basta dare un'occhiata alle sanzioni previste per rendersene conto. Bisogna inoltre tenere presente che le ultime pronunce del Garante sembrano non lasciare spazio ad ulteriori proroghe. Per non vivere anche questo adempimento solo come un'incombenza onerosa proviamo ad analizzarne brevemente i contenuti e i principi dì base.

Il Disciplinare Tecnico, contenente le misure minime, richiede in effetti solo due cose: un corredo (limitato) di strumenti tecnici e una buona dose di "buonsenso" nei comportamenti da tenere. C'era infatti bisogno di una legge per adottare un sistema antivirus, per dotarsi di un firewall? La statistica ci dice che in media, tra il collegamento ad Internet e il primo attacco passano venti (!) minuti appena. E c'era bisogno di una legge per effettuare i salvataggi dei dati della nostra impresa, almeno una volta alla settimana? Eppure, nella mia esperienza di consulente, spesso nemmeno queste basilari norme di comportamento, che peraltro potrebbero non essere sufficienti, sono rispettate. Non c'è' infatti sufficiente consapevolezza delle conseguenze negative che possono derivare dal trattamento non corretto di dati perso­nali, sensibili o giudiziari. A questo proposito, vale la pena ricordare che per il Codice i dati personali sono tutti i dati che, direttamente o indirettamente, consentono di identificare una persona fisica o giuridica, indipendentemente dalla natura del dato stesso. Sono quindi da considerarsi dati personali Immagini, riprese video, codici di identificazione (PIN, codici fiscali, ecc.), oltre ovviamente al nome, all'indirizzo, e agli altri dati anagrafici. Dati sensibili e giudiziari sono invece rispettivamente i dati riguardanti stato di salute, opinioni politiche, religiose, filosofiche, origine razziale o etnica vita sessuale i primi, e le iscrizioni nel casellario giudiziario delle condanne penali, delle pene inflitte, delle pene convertite e quant'altro venga iscritto nel casellario giudiziario, ad eccezione delle sentenze dichiarative di fallimento e dei provvedimenti di interdizione, inabilitazione e revoca; le sanzioni amministrative dipendenti da reato; i carichi pendenti; la qualità di imputato o indagato i secondi. Se a queste definizioni, che già lasciano intravedere quale sia la mole di dati di questo tipo trattati quotidianamente da ogni tipo di impresa, si aggiunge che il Codice considera "trattamento", e quindi disciplina, anche la mera consultazione di informazioni, si comprende che se da un lato, come detto poc'anzi, l'allarmismo non è giustificato, dall'altro è bene non sottovalutare il problema semplicemente pensando che non ci riguardi, o ci riguardi solo marginalmente. Ecco perché riteniamo che l'adeguamento al Codice possa essere un'occasione per creare quella "cultura della sicurezza" che può far risparmiare all'imprenditore tempo e denaro. Nonostante nell'ultimo anno si sia assistito ad un proliferare di soggetti che propongono l'adeguamento alla privacy attraverso l'acquisto di nuove apparecchiature, un intervento di questo tipo, sulla base della nostra esperienza, non è necessariamente costoso e impegnativo. Non è sempre vero infatti che per ottemperare alle misure previste dal Codice si debba necessariamente sostituire il proprio parco macchine. Una corretta analisi delle "consuetudini aziendali", svolta con metodologie adeguate, che metta in rilievo le criticità nel trattamento dei dati, spesso permette di modificare i comportamenti aumentando notevolmente il livello di sicurezza nella gestione delle informazioni. Un intervento condotto con il corretto mix dì conoscenza delle problematiche e di competenze in materia di sistemi di gestione della sicurezza delle informazioni permette di ottenere il duplice obiettivo di rispettare quanto previsto dalla legge e di evitare i costi derivanti da incidenti quali perdite di dati, infezioni da virus, e diffusione non autorizzata di informazioni.

Luca Guernni

(Security Manager I.T.C. S.r.l.)