Ministero dell'Istruzione, dell'Università e della Ricerca
Formazione degli insegnanti sulle Tecnologie dell'Informazione e della Comunicazione
For TIC
Percorso C
Modulo 1
Infrastrutture informatiche all'interno di un istituto scolastico
Approfondimento: La tutela della privacy
La sicurezza

11.1. Le misure di sicurezza

La legge sulla Tutela delle persone rispetto al trattamento dei dati personali, presenta un profilo di particolare interesse: quello della sicurezza informatica [ Approfondimento sulla sicurezza ].
I rischi individuati dalla legge sono costituiti dai rischi:
  • di distruzione o perdita, anche accidentale, dei dati;
  • di accesso non autorizzato;
  • di trattamento non consentito o non conforme alle finalità della raccolta.
L'articolo 15 [Articolo 15] dispone che i dati personali oggetto di trattamento devono essere custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi sopra elencati.
La legge 675/96 non detta misure di carattere tecnico, rinviando la definizione in concreto delle misure minime di sicurezza da adottare in via preventiva ad un regolamento, attualmente costituito dal d.p.r. 28 luglio 1999, numero 318 [D.P.R. 28 luglio 1999, numero 318].
La mancata adozione delle misure minime di sicurezza configura il reato di omessa adozione di misure necessarie alla sicurezza dei dati, introdotto dall'articolo 36 della legge 675/96 [Articolo 36].
La norma ha come potenziali destinatari non solo il titolare del trattamento, ma anche il responsabile , nel caso in cui questi fosse responsabili per la sicurezza.

11.2. Le misure minime di sicurezza

Le misure minime sono dettate dal d.p.r. 318/99 [D.P.R. 28 luglio 1999, numero 318].
Esse sono distinte in trattamento informatizzato dei dati mediante il trattamento non automatizzato dei dati personali.
Nel caso di trattamento informatizzato dei dati personali si distinguono inoltre a seconda che:
  • gli elaboratori non siano accessibili da altri elaboratori o terminali;
  • gli elaboratori siano accessibili attraverso reti non disponibili al pubblico;
  • gli elaboratori siano accessibili attraverso reti disponibili al pubblico;
  • gli elaboratori siano accessibili in rete per fini esclusivamente personali.
In estrema sintesi, le misure minime di sicurezza sono costituite da: Se il trattamento è effettuato mediante elaboratori accessibili attraverso reti, a queste misure si aggiungono: Si precisa inoltre che lo stesso codice non può essere assegnato a persone diverse e che deve essere prevista la disattivazione del codice in caso di perdita della qualità del soggetto o di mancato utilizzo.
Se il trattamento ha ad oggetto dati sensibili o dati giudiziari ed è effettuato mediante elaboratori accessibili attraverso reti disponibili al pubblico, occorre anche predisporre annualmente un documento programmatico sulla sicurezza per definire:
  • la protezione dei locali e procedure per l'accesso
  • i criteri per assicurare l'integrità dei dati
  • i criteri per assicurare la sicurezza delle trasmissioni
  • l'elaborazione di un piano di formazione

11.3. Responsabilità civile

L'adozione delle misure minime di sicurezza consente di evitare la responsabilità penale, ma non è sufficiente per evitare la responsabilità civile
L'articolo 18 prevede una particolare ipotesi di responsabilità civile, attribuendo estremo rilievo alle conoscenze tecniche del settore. La legge dispone, infatti che chiunque cagiona danno ad altri per effetto del trattamento dei dati personali, è tenuto al risarcimento ai sensi dell'articolo 2050 del Codice civile.
L'articolo 18 della legge introduce il regime di responsabilità oggettiva per il danno cagionato per effetto del trattamento dei dati personali. Ciò comporta che il titolare del trattamento dei dati, a cui sia richiesto il risarcimento del danno, per liberarsi debba fornire l'assai difficile prova di avere adottato tutte le misure idonee ad evitare il danno, quale che sia il costo delle misure di sicurezza.
Ai fini penalistici, perché non si configuri il reato di omessa adozione di misure necessarie alla sicurezza dei dati, il titolare del trattamento dei dati deve adottare le misure minime di sicurezza di cui all'articolo 15, commi 2 e 3, cui fa espresso riferimento l'articolo 36 della legge, che introduce il reato citato [Articolo 15].
Ai fini civilistici, per liberarsi da responsabilità, non sarebbe sufficiente neanche l'adozione delle misure di sicurezza tali da ridurre al minimo i rischi. Infatti, ai sensi dell'articolo 18, per liberarsi da responsabilità civile, il titolare del trattamento dei dati deve fornire la prova di avere adottato tutte le misure idonee ad evitare il danno. Di conseguenza, il criterio di valutazione dell'idoneità delle misure adottate sarebbe costituito dallo stato dell'arte.

Indice