Il D.lgs 196/2003 nella P.A. e nell'azienda

di Sergio Contessa

Resoconto del Convegno “Il Codice in materia di protezione dei dati personali nella P.A. e nell’ azienda: adempimenti tecnico-pratici per un corretto adeguamento”, organizzato dal Centro Studi Informatica Giuridica (www.csig.it) e tenutosi a Roma, il 23 settembre 2005.


Il 23 settembre 2005 si è tenuta a Roma presso la Sala Quaroni dell’EUR S.p.A. una giornata di studio dedicata al “Codice in materia di protezione dei dati personali nella P.A. e nell’azienda: adempimenti tecnico-pratici per un corretto adeguamento”, nell’ambito della riunione annuale del CSIG (Centro Studi di Informatica Giuridica). All’incontro sono intervenuti illustri relatori oltre ad alcuni direttori degli Osservatori del CSIG stesso.
Dopo i saluti del dott. Fabio Grisanti, Direttore comunicazione e rapporti istituzionali dell’EUR S.p.A., e l’introduzione dell’Avv. Barbara Gualtieri, Direttore Osservatorio CSIG di Firenze, i lavori sono stati aperti dal dott. Michele Iaselli del Ministero della Difesa che ha affrontato il "trattamento dei dati personali nel rapporto di lavoro". Iaselli, pur riconoscendo la complessità della materia, non giustifica il ritardo che le Pubbliche amministrazioni hanno accumulato nell’espletamento delle attività sia di ricognizione dei dati, soprattutto di quelli sensibili, che di verifica degli stessi nel rispetto delle disposizioni previste dal Codice dei dati personali in materia di trattamento. Questa situazione è stata anche denunciata dal Garante dei dati personali nel parere del 30 giugno di quest’anno sul “trattamento dei dati sensibili nella pubblica amministrazione” (pubblicato nella G.U. n. 170 del 23 luglio 2005).
Dopo queste premesse Iaselli ha quindi affrontato il tema dell’applicazione delle disposizioni del Codice privacy nel rapporto di lavoro (dall'artt.111 a 115 Codice). In relazione all’art.111, ha sottolineato l’importanza dell’adozione di codici di deontologia professionale e di buona condotta (di matrice anglosassone), ma con il noto problema della loro obbligatorietà e vincolatività. Partendo dall’assunto che la PA può trattare i dati sensibili solo se ciò è previsto da una norma, Iaselli ha sinteticamente esposto le problematiche legate all’attuazione degli articoli da 112 a 115 del Codice. L’art.112, con la definizione di finalità di rilevante interesse pubblico, è tale da produrre ripercussioni su tutte le fasi del rapporto di lavoro. Come casi particolari possono citarsi le pubblicazioni di graduatorie di concorsi pubblici, le trattenute sindacali e quelle tributarie. La PA, come d’altronde qualsiasi soggetto che tratta dati, deve sempre impostare la propria attività osservando il principio generale della necessità, previsto dal Codice stesso, al fine di evitare il più possibile riferimenti a dati sensibili. Proseguendo l’analisi dei singoli articoli, Iaselli ha analizzato le disposizioni previste dall’art. 113 in materia di annunci di lavoro e dati riguardanti prestatori di lavoro, con la conferma del disposto dell’art.8 della legge n.300/70 e dei relativi divieti. Analogamente in materia di divieti di controllo a distanza e telelavoro, l’art.114 non modifica le previsioni ed i divieti dell’art.4 della stessa legge n.300/70.
Inoltre, l’art.115 in materia di lavoro domestico ed in particolare il telelavoro, prevede che per garantire il rispetto del lavoratore della sua personalità e della sua libertà morale, il datore di lavoro deve evitare richieste inutili di consenso per il trattamento dei dati che spesso non risultano neanche sensibili. Per le richieste da parte del lavoratore, il datore di lavoro deve dare riscontro completo alla richiesta di accesso.
Per le modalità di conservazione e di custodia dei dati dei dipendenti, le aziende devono gestire le banche dati secondo il principio di necessità. Ad esempio nei fascicoli personali e nei casi di malattia deve essere indicata solo la prognosi e non anche la diagnosi a meno che non si tratti di trattamenti previsti da norme (es.casi di invalidità per causa di servizio).
Infine Iaselli ha accennato alla problematica ancora aperta relativa ad Internet ed alle comunicazioni elettroniche negli uffici, chiedendosi se ne sia lecito l’utilizzo in ufficio da parte del dipendente. E’ necessario trovare il giusto equilibrio, un uso accorto e responsabile per ragioni di sicurezza (Sent.C.Conti n.1856/03). Analogo discorso per l’uso della posta elettronica aziendale (V. Scardino P. “E-mail aziendale e Privacy"), ricercando quindi un’equilibrio tra la tutela prevista ai sensi dell’art.15 della Cost. ed il possibile controllo del datore di lavoro.
Il dott. Corrado Giustozzi del Security Evangelist presso Innovia S.p.A. ha focalizzato il suo intervento sulla figura del responsabile alla sicurezza informatica. Rispetto alla vecchia legge n.675/96 il Codice privacy è oggi più preciso e circostanziato, più tecnico-operativo e più aggiornato tecnicamente. Basti pensare all’allegato B ed alle misure di sicurezza minime (art.33). Dopo un breve escursus sul Codice privacy, l’esperto di sicurezza informatica ha affermato che le disposizioni previste sono in effetti tutte regole di buon senso che in un’azienda seria, a prescindere dal Codice, dovrebbero essere sempre seguite. Ma la sicurezza è purtroppo vista come un ostacolo al lavoro. Ecco perché è importante la crescita della “cultura della sicurezza dei dati”. L’informazione è il bene supremo della società ed è soprattutto la smaterializzazione dell’informazione “moderna”, a differenza di quella tradizionale, a comportare dei rischi.
Giustozzi si è soffermato su tre principi espressi nel Codice: riservatezza, integrità e disponibilità delle informazioni. La sicurezza delle informazioni deve essere garantita e pensata a livello fisico, logico e organizzativo. La sicurezza assoluta non esiste e non si deve essere colti dalla c.d. “Sindrome di Fort Apache” per la quale non è detto che quello che c’è fuori è il male e quello che è interno è bene (non a caso l’80% degli attacchi ai sistemi informatici avviene dall’interno!). Per Giustozzi non bisogna dimenticare che quando si parla di sicurezza delle informazioni risulta compresa anche la sicurezza informatica. L’attività di protezione e di prevenzione contro il falso, le truffe, gli incidenti (il disaster ricovery), presuppone, per il relatore, la necessaria presenza nelle aziende della figura dell’information security manager. Oggi però la presenza nelle aziende di questo tipo di manager, che deve essere un po’ tecnologo, psicologo, avvocato, poliziotto, auditor e soprattutto manager con strutture proprie (C2 ossia comando e controllo), non è ancora prevista e reputata necessaria.
La seconda parte del Convegno è stata introdotta dall’Avv. Giuseppe Sidella, Direttore Osservatorio CSIG di Taranto che ha sottolineato l’importanza delle collaborazioni e la commistione tra ingegneri e giuristi. Il penultimo intervento ha visto l’ing. Andrea Gelpi, quale esperto in sicurezza informatica, affrontare le problematiche relative all’applicazione della normativa privacy in azienda. La sicurezza può essere raggiunta attraverso la formazione degli utenti, la riorganizzazione dei dati e delle strutture e la revisione delle autorizzazioni date. Inoltre, la separazione dei dati sensibili dai dati sanitari, da parte delle aziende e di enti sanitari, ed un efficiente piano per il disaster ricovery .
Ha concluso il Convegno l’Avv. Gianluca Pomante, Direttore Osservatorio CSIG di Teramo, con un tema molto attuale ed interessante: la videosorveglianza è libertà o sicurezza? Prima di affrontare l’argomento tecnicamente, Pomante ha ritenuto necessario ricordare i criteri di liceità, necessità, proporzionalità e finalità che devono essere sempre presenti in materia di trattamento dei dati. Questi criteri sono stati evidenziati dal Garante dei dati personali nel parere del 29.4.04 proprio sulla videosorveglianza. Non bisogna, inoltre, dimenticare che la sicurezza è un servizio e non un prodotto e sono necessarie la professionalità e non l’improvvisazione, la forma mentis e non un dover fare, misure fisiche, logiche ed organizzative, la formazione del personale ed infine la presenza di un security management. Soggetti coinvolti sono sia gli enti pubblici nello svolgimento funzioni istituzionali, che le aziende ed i privati, ed il nodo rimane la tutela degli interessi rilevanti, il bilanciamento degli stessi e le modalità del trattamento dei dati.
L’Avv.Pomante, entrando nel merito dell’argomento, si è soffermato sulla differenza tra il rilevamento e la memorizzazione, memorizzazione che deve avvenire solo per gli eventi di allarme attraverso tecniche quali la variazione dei pixel o confronti biometrici facciali, perché solo in questo modo non viene violata la riservatezza di chi passa per caso. Sono obbligatorie sia la segnalazione dell’area soggetta a videosorveglianza, che l’inserimento di tutte queste informazioni nel DPS (è trattamento dei dati). Una disposizione normativa controversa è quella relativa al limite temporale della conservazione dei dati delle registrazioni che è prevista di 24 ore o 7 gg., e che paradossalmente appresta una fin troppo intensa ed inaspettata tutela al delinquente. Il problema rimane comunque il modo di utilizzo delle tecnologie.
La riunione annuale del CSIG, oltre ad aver fornito molti interessanti spunti agli addetti ai lavori, nella giornata del 24 settembre ha regalato a tutti noi l’intervento del Prof. Renato Borruso, uno dei padri dell’Informatica giuridica e del diritto dell’informatica.
In conclusione possiamo far nostre alcune delle considerazioni espresse nella due giorni del CSIG: tecnologia-sicurezza-riservatezza possono andare d’accordo. L’importante è il bilanciamento di interessi, l’alfabetizzazione degli “utenti”, la crescita della cultura della sicurezza soprattutto a livello aziendale e delle istituzioni pubbliche. Le tecnologie non devono essere penalizzate ma devono essere repressi gli abusi.

Inserito il 03/10/2005 | E-Privacy