inserito in Diritto&Diritti nel settembre 2003

Il rispetto della privacy per l’impresa in rete

di Luca Giacopuzzi – avvocato in Verona
www.lucagiacopuzzi.it

***

SOMMARIO: 1) Considerazioni introduttive – 2) Gli “adempimenti-privacy” – 3) La posta elettronica in azienda – 3.1) La tutela dell’e-mail aziendale – 3.2) Lo spamming “aziendale” – 4) Le misure di sicurezza – 5) Il sistema sanzionatorio

 

1) CONSIDERAZIONI INTRODUTTIVE

 

Al di là di ogni possibile definizione, la Rete Internet consiste innanzitutto in uno strumento di comunicazione sul quale transitano informazioni di vario tipo, in elevata quantità e su larga scala.

 

Tale flusso di dati – potendo riguardare anche dati personali – pone necessariamente problemi in relazione alla tutela della privacy. Ciò deve essere ben compreso dall’azienda che si affaccia in Rete, rappresentando anzi questa considerazione il “dato di partenza” per l’impresa che voglia implementare la propria attività on line.

 

Il termine “privacy” è ormai divenuto parte del linguaggio corrente, stante la larga applicazione che ne viene fatta quotidianamente. La parola “privacy”, dunque, è certo nota a tutti (ed anzi ai più essa suona “familiare”), eppure non sempre viene correttamente intesa nel suo significato, specie se utilizzata in contesti giuridici. Sgombriamo pertanto subito il campo da errate convinzioni che si sono affermate sul punto.

 

Un pregiudizio molto diffuso, ad esempio, sostiene che la legge sulla privacy introduca il “diritto all’anonimato”. In realtà, la legge (cfr. art.1 del T.U. di recente emanazione) sancisce – cosa ben diversa - il “diritto alla protezione dei dati personali”, diritto peraltro già elevato a livello comunitario a diritto fondamentale della persona (vedi art. 8 della Carta dei diritti del cittadino europeo).

 

Altrettanto falso è che il rispetto della normativa sulla privacy sia d’ostacolo allo sviluppo di attività commerciali o comunque economiche. Nulla di più errato.

Ed infatti è stato dimostrato che l’adottare politiche di riservatezza crea una relazione di fiducia con i consumatori, ragione per la quale le imprese devono prendere coscienza della necessità di gestire al meglio il flusso dei dati personali dei propri clienti.

 

Il rispetto della normativa in tema di “data protection”, insomma, è per l’azienda davvero “una necessità”, ormai non più procrastinabile. Soprattutto ora, dal momento che esiste un testo normativo di ampio respiro, che elenca dettagliatamente – con lodevole pignoleria – gli adempimenti cui è tenuto il soggetto che effettua trattamenti di dati personali altrui.

  

Alludo, evidentemente, al recente T.U. sulla privacy (c.d.”Codice sulla protezione dei dati personali”), attuato col D.Lgs. 30 giugno 2003 n. 196. Appare doveroso, a questo punto, effettuare alcune considerazioni – necessariamente generiche - su detto T.U. (che entrerà in vigore il 1°gennaio 2004, abrogando – tra l’altro – la L.675/96 e il d.P.R. 318/99), poiché esso introduce alcune modifiche che incideranno in modo rilevante sull’impianto normativo attuale della materia.

 

Va detto, anzitutto, che è stata quanto mai opportuna la scelta di adottare un Testo Unico, creato ad hoc, per la disciplina di questa materia. Basti ricordare a tal proposito che dal 1997 in poi il processo di completamento del quadro normativo delineato dalla L.675/96 si è sviluppato attraverso 9 decreti legislativi e 2 dd.P.R, nonché attraverso molte altre specifiche disposizioni, legislative e regolamentari, inserite in numerosi provvedimenti speciali.

 

Il “mosaico” che ne deriva è desolante: disomogeneo, di difficile decifrazione e, quel che più conta, in parte anche contradditorio. Ciò a dire che il settore della privacy – così duramente colpito dalla italica “schizofrenia normativa” – aveva bisogno di una modifica, e radicale. Una modifica vera, insomma, non un “restyling”.

 

La modifica, come detto, c’è stata, e sono vari i motivi per i quali rallegrarsi: l’adozione di un solo T.U., per esempio, permette di semplificare notevolmente l’impianto e la “leggibilità” delle norme in materia, con conseguenti ovvi benefici sul piano sistematico ed ermeneutico. Ma l’intero “Codice della privacy”, in una parola,  può ritenersi il frutto di istanze più volte avanzate dagli operatori professionali e dalla stessa Autorità Garante, in termini di semplificazione degli adempimenti e di adozione di garanzie sostanziali e non meramente formali. Forse anche per questo, il Testo Unico non è meramente riepilogativo della disciplina attualmente vigente.

 

Esso è strutturato in 3 parti, così suddivise: a) una “parte generale”, contenente disposizioni riguardanti le regole sostanziali della disciplina del trattamento dei dati personali, applicabili per lo più a tutti i trattamenti; b) una parte “speciale”, dettata per casi specifici; c) una terza ed ultima parte, che disciplina la tutela giurisdizionale ed amministrativa concessa all’interessato, nonché il sistema sanzionatorio.

 

**** **** ****

 

 

2) GLI “ADEMPIMENTI –PRIVACY”

 

Esaurita questa premessa, poniamoci ora nell’ottica dell’imprenditore che si propone di utilizzare il mezzo telematico quale strumento di comunicazione con la propria clientela.

Andiamo quindi ad esaminare più da vicino i singoli adempimenti che deve effettuare, per conformarsi al dettato normativo, l’azienda che voglia portare in Rete il proprio business.

 

Diciamo subito che, in linea generale, tre sono gli adempimenti fondamentali che un’impresa è tenuta a porre in essere per poter correttamente procedere al trattamento dei dati personali;  essi sono: la notificazione al Garante, la comunicazione dell’informativa all’interessato, l’acquisizione del consenso. Li vedremo in dettaglio tra poco.

 

ATTIVITA’ PRELIMINARI

 

Osserviamo invece, fin da ora, che nell’implementare un’attività on line è necessario, preliminarmente, procedere all’individuazione dei soggetti che a vario titolo hanno accesso ai dati trattati. Ciò essenzialmente per due (buoni) motivi.

 

Innanzitutto, per essere in grado di rispondere adeguatamente ad un’istanza avanzata in tal senso dall’interessato, al quale l’art.7 comma 1, lett.e) T.U. attribuisce il diritto di conoscere i soggetti ai quali i dati possono essere comunicati o che ne possono comunque venire a conoscenza (e questa è una novità rispetto alla disciplina previgente).

 

L’impresa dovrà quindi regolare “ai fini privacy” i rapporti con le altre società del proprio gruppo, o i rapporti con i propri partners commerciali (es. l’host provider che cura la gestione del server su cui è allocato il sito aziendale, l’asp in outsourcing, gli istituti bancari che gestiscono il pagamento on line da siti di e-commerce, ecc.).

 

In secondo luogo,  per poter pianificare eventuali nomine, ai sensi degli artt. 29-30 T.U.

 

Il titolare del trattamento, infatti, deve rivolgere particolare attenzione sulla necessità od opportunità di nominare i soggetti coinvolti nella gestione dei dati quali “responsabili” o “incaricati” del trattamento.

 

Sotto questo profilo va notato che i dipendenti dell’azienda, se non nominati “responsabili” del trattamento (ruolo – questo - riservato alle figure apicali, per effetto di nomina peraltro facoltativa) e se, beninteso, trattano dati, assumono la qualifica di “incaricati” del trattamento. Il T.U. dedica un articolo apposito (art. 30) a quest’ultima figura, disponendo che essi debbano sempre operare sotto la diretta autorità del titolare o del responsabile, attenendosi alle istruzioni impartite. Precisa, poi, il 2°comma che la designazione va effettuata per iscritto e deve specificare puntualmente l’ambito del trattamento consentito.   

 

Chiarito, dunque, che l’impresa deve in via preliminare analizzare attentamente i flussi di dati “coinvolti” dal proprio business e procedere al meccanismo delle “nomine”, andiamo ora ad esaminare – come anticipato in precedenza – “gli incombenti Privacy” cui è tenuta l’azienda rispettosa del dato normativo.

 

LA NOTIFICAZIONE

 

Cominciamo a parlare della notificazione (art. 37-38 T.U.), primo adempimento da porre in essere.

E’un adempimento di particolare importanza e da effettuarsi con la dovuta cura (il T.U., infatti, all’art. 163 prevede una sanzione amministrativa per l’omessa o incompleta notificazione e punisce come reato – cfr. l’art. 168 – la falsità nella notificazione).

 

La notificazione, in concreto, è un atto (una sorta di “auto-dichiarazione”) con il quale il soggetto-impresa “si presenta” al Garante, portandogli a conoscenza che nell’espletamento della propria attività (che andrà ad iniziare) tratterà dati personali di terzi.

 

Il Testo Unico ha innovato sensibilmente sul punto, individuando un sistema opposto rispetto a quello previgente.

 

Ed infatti, mentre con la L.675/96 dovevano notificare tutti i soggetti non esplicitamente esentati, col Testo Unico si rovescia l’impostazione e si indicano solo i (pochi) casi nei quali la notifica va effettuata: casi che riguardano trattamenti relativi ad ambiti di particolare delicatezza. Alcuni di essi, tuttavia, sono frequenti in ambito aziendale: così, ad esempio, deve notificare chi fa videosorveglianza, o chi utilizza dati sensibili per ricerche di marketing, o chi ancora si avvale di strumenti elettronici per la profilazione del consumatore (si pensi al sito aziendale che rilasci “cookies”).

 

Va detto, ancora, che per effetto della modifica non solo diminuiscono le ipotesi di notifica obbligatoria, ma vengono snellite anche le modalità della notifica stessa, che sarà effettuata solo per via telematica, utilizzando la firma digitale (art. 38, co.2 T.U.).

 

 

L’INFORMATIVA

 

Esaminiamo ora come si struttura l’informativa che l’impresa deve dare all’interessato, le cui linee-guida sono contenute nell’art. 13 T.U.

 

Essa è un atto molto importante, il primo “obbligo-privacy” nei confronti dell’utenza (la notificazione, come visto, ha per interlocutore il Garante!).

L’informativa è anzitutto un atto con il quale chi tratta dati personali altrui “si  identifica” nei confronti dell’interessato, rendendogli note le caratteristiche del trattamento ed illustrando i diritti riconosciuti a quest’ultimo dalla legge.

 

Procedendo ad un’analisi comparativa tra le nuove disposizioni in tema di informativa e le precedenti, va osservato che il Codice della privacy incide sì sui “modelli” coi quali le aziende avevano ormai familiarizzato (prevedendo alcune integrazioni contenutistiche), ma gli elementi di novità non appaiono eclatanti. Ciò a dire che, in buona sostanza, il T.U. conferma l’impianto della L.675/96.

 

L’informativa, perciò, deve contenere:

a) le finalità e le modalità del trattamento dei dati; b) la natura obbligatoria o facoltativa del conferimento dei dati; c) le conseguenze di un eventuale rifiuto di rispondere; d) i soggetti ai quali i dati personali possono essere comunicati  o che possono venirne a conoscenza, e l’ambito di diffusione dei dati medesimi (questa indicazione è un obbligo di legge “nuovo”, non previsto dalla L.675/96); e) i diritti dell’interessato, come previsti dall’art.7 T.U.; f) gli estremi identificativi del titolare.

 

Va osservato, infine, che l’informativa è un atto che deve necessariamente precedere il trattamento dei dati ed è atto privo di particolari formalità, che va redatto in maniera chiara e sintetica (a maggior ragione se essa va inserita su siti web, dato che la stringatezza dei contenuti risponde altresì alle esigenze comunicative di Internet).   

 

IL CONSENSO

 

Per trattare i dati personali le imprese e, più in generale, i soggetti privati sono obbligati, salvo eccezioni espressamente previste, ad acquisire il preventivo consenso dell’interessato.

Dispone, infatti, l’art. 23 T.U., al primo comma, che “il trattamento di dati personali da parte di privati o di enti pubblici economici è ammesso solo con il consenso espresso dell’interessato”.

 

Già dalla lettura del disposto testè citato si può ricavare una preziosa indicazione, che riguarda la modalità di espressione del consenso: il consenso deve essere espresso “positivamente”.

 

Non è dunque efficace un consenso reso in forma implicita, o in forma negativa (cioè inteso come mera possibilità di esprimere un dissenso, barrando ad esempio una casella), forma – quest’ultima – per la verità piuttosto diffusa.

L’azienda che lo voglia richiedere on line, pertanto, dovrà avere l’accortezza di inserire sul sito web un “bottone di consenso”, sul quale occorre cliccare per attestare l’avvenuta autorizzazione al trattamento dei propri dati personali.

 

Il consenso – che deve essere “preventivo” rispetto all’utilizzo dei dati (“opt-in”) – perché sia validamente prestato deve essere espresso “liberamente” e “in relazione ad un trattamento chiaramente individuato”(il consenso omnibus, dunque, viene visto come una sostanziale elusione del principio stesso del consenso), nonchè deve essere “informato” (ossia preceduto da una corretta informativa).

 

Si precisa, ancora, che qualora abbia ad oggetto dati sensibili, il consenso deve essere “rilasciato” per iscritto, mentre, in caso contrario, è sufficiente che sia “documentato” per iscritto (in quest’ultima ipotesi – verrebbe da dire - la forma scritta è richiesta “ad probationem”).

 

Pare superfluo evidenziare che, una volta prestato, il consenso deve poter essere revocato, in ogni momento, senza che l’interessato abbia la necessità di addurre una particolare ragione giustificativa.

 

Ovviamente, la revoca non inficia la liceità dei trattamenti già effettuati, ma ne comporta pur sempre la cessazione, in termini che non implicano solo l’interruzione delle operazioni, ma che interessano anche la sorte dei dati, i quali andranno dismessi, qualora non possano essere detenuti in virtù di altro titolo.  

 

Solo un accenno alla sanzione, particolarmente incisiva, per chi effettui trattamenti senza consenso.

L’art. 167 T.U. ricollega anche quest’ipotesi al reato di “trattamento illecito di dati”, ove detto trattamento sia compiuto al fine di trarne profitto o di recare un danno, e semprechè – beninteso – dal fatto derivi nocumento. Detto reato è punito con la reclusione da 6 a 18 mesi.

 

**** **** ****

 

 

3) LA POSTA ELETTRONICA IN AZIENDA

 

Andiamo ora ad analizzare alcuni aspetti per così dire “complementari”alla tematica di cui ci stiamo occupando (il rispetto della privacy per l’impresa in Rete).

 

L’indagine ha ad oggetto la posta elettronica o, meglio, l’utilizzo “aziendale” della posta elettronica.

Si tratta, in buona sostanza, di esaminare due facce della stessa medaglia (l’e-mail appunto): l’una per così dire ”interna”, l’altra “esterna”. Il compito consiste, perciò, nel rispondere ai seguenti due interrogativi: a) se il datore di lavoro abbia il potere di leggere la posta elettronica del dipendente; b) se l’azienda possa inviare e-mails non sollecitate a terzi senza dar luogo a “spamming”. Procediamo dunque con ordine.

 

 

3.1) LA TUTELA DELL’E-MAIL AZIENDALE

 

Partiamo da un dato normativo: l’art. 5 L.547/93. Che recita testualmente: “Per corrispondenza si intende quella epistolare, telegrafica o telefonica, informatica o telematica ovvero effettuata con ogni altra forma di comunicazione a distanza”.

 

La giurisprudenza amministrativa (cfr. T.A.R. Lazio, Sez. I, 15.11.01 n. 9425), del resto, ribadisce che la posta elettronica deve essere tutelata alla stregua della corrispondenza epistolare ed è quindi caratterizzata dalla “segretezza”. Sulla stessa lunghezza d’onda è il Garante per la privacy, che in più occasioni ha avuto modo di precisare che le caselle di posta elettronica, le mailing list, i newsgroup chiusi (quelli, cioè, a cui si accede solo tramite ID & password) sono equiparati ai  recapiti postali tradizionali (si veda sul punto la Newsletter 12-18.07.99).

 

Ne consegue che è vietato leggere i messaggi se non si è i destinatari, pena l’applicazione dell’art.616 c.p., secondo il quale “chiunque prende cognizione del contenuto di una corrispondenza chiusa, a lui non diretta…è punito, se il fatto non è preveduto come reato da altra disposizione di legge, con la reclusione fino a un anno”. Vi è di più. Si punisce anche chi, oltre che prendere cognizione, sottrae, distrae la corrispondenza, la sopprime o la distrugge.

 

Se quanto precede è un quadro – pur se sintetico – della tutela che il nostro ordinamento accorda alla corrispondenza (e dunque, come abbiamo visto, anche a quella inviata o ricevuta tramite posta elettronica), quando si parla di “e-mail aziendale” bisogna fare attenzione. E molta, perché in azienda lo scenario è parzialmente diverso.

 

Prendiamo le mosse da un caso concreto, un caso che potrebbe definirsi “ordinario”. Questi, in estrema sintesi, i fatti.

 

Ad un’impiegata viene assegnata, come a tutti gli altri dipendenti, una casella di posta elettronica aziendale (nome.cognome@azienda.it). Durante l’assenza per ferie dell’impiegata, la sua responsabile ne controlla la posta e si imbatte in comunicazioni inerenti progetti di lavoro “personali”, estranei cioè a quelli gestiti dalla dipendente per conto dell’azienda.

Ravvisando in tale condotta una violazione dei doveri relativi al rapporto di lavoro, il responsabile della società licenzia l’impiegata. Essa, a sua volta, impugna il licenziamento e sporge contestuale querela nei confronti della propria responsabile, per il reato di cui all’art. 616 c.p. (violazione di corrispondenza).

Il P.M. però avanza richiesta di archiviazione. La dipendente propone allora opposizione, che viene tuttavia respinta dal GIP, con un’ordinanza particolarmente significativa, divenuta presto “celebre”  perché la prima a prendere posizione sulla legittimità (o meno) dell’accesso del datore di lavoro alla mailbox del dipendente.

 

Sostiene il GIP (cfr. ordinanza GIP Tribunale di Milano del 10 maggio 2002) che quanto affermato nell’art. 616 c.p. non può trovare applicazione con riferimento all’ipotesi di e-mail aziendale.

 

La casella di posta elettronica, in altre parole, è sì tutelata, ma quando a metterla a disposizione è il datore di lavoro perde tutta la sua “riservatezza”, in quanto strumento che l’azienda mette a disposizione del lavoratore al solo fine di consentirgli di svolgere la propria attività: come tale rimane nella completa e totale disponibilità del datore di lavoro, senza alcuna limitazione.

 

La mailbox aziendale  - pur se “personale” (perché assegnata al singolo dipendente che ha un proprio “username” ed una propria “password” per accedervi) – deve quindi essere intesa come semplice “strumento di lavoro”, e nulla più. “Personalità” non significa necessariamente “privatezza” dal momento che l’e-mail aziendale, proprio perché tale, rimane bene aziendale, accessibile a tutti gli altri dipendenti autorizzati, ed al datore di lavoro in primis.

 

3.2) LO SPAMMING “AZIENDALE”

 

Un rapido esame sulle “cautele” che l’azienda che invii a terzi posta elettronica a carattere commerciale deve osservare, per non essere accusata di “spamming”.

 

E’noto che con tale termine si intende l’invio per posta elettronica di un messaggio indesiderato - spesso inviato a grandi liste di utenti - contenente materiale promozionale non richiesto. La tentazione per l’impresa di comportarsi in tal modo è spesso forte, essendo palesi i vantaggi: a costi irrisori si possono raggiungere in tempo reale tantissimi potenziali consumatori, variamente distribuiti nel mondo.

 

Prassi pertanto diffusissima in Rete, lo spamming è però un fenomeno invasivo e oneroso per il destinatario, il quale il più delle volte è inerme di fronte a tale “flooding” di messaggi.

Va rilevato, in particolare, che in tutti questi casi, l’utilizzo spesso massivo della posta elettronica comporta una lesione ingiustificata dei diritti dei destinatari, costretti ad impiegare diverso tempo per esaminare e selezionare, tra i diversi messaggi ricevuti, quelli attesi o ricevibili, nonché a sostenere i correlativi costi per il collegamento telefonico, oppure ad adottare “filtri”, a verificare più attentamente la presenza di virus, o a cancellare rapidamente materiali inadatti a minori.

Detto fenomeno ha recentemente trovato anche da noi una puntuale regolamentazione normativa, che ha così potenziato la tutela per l’utente della Rete.

 

Stabilisce anzitutto l’art. 130 del Codice della privacy, al 1°comma, che l’uso di “sistemi automatizzati di chiamata” (e quindi: posta elettronica, fax, SMS, ecc.) per l’invio di materiale pubblicitario o di altre comunicazioni commerciali è consentito solo nei confronti di coloro che abbiano espresso preliminarmente il loro consenso (c.d. “opt-in”).

 

Una prima indicazione, dunque, per l’impresa che voglia inviare e-mails promozionali: essa deve prima aver acquisito il consenso, informato, del destinatario.

 

Tale disciplina non può essere elusa inviando una prima e-mail che, nel chiedere un consenso abbia comunque un contenuto promozionale oppure pubblicitario, oppure riconoscendo solo un diritto di tipo c.d. “opt-out” al fine di non ricevere più messaggi dello tesso tenore.

 

Al contrario, è opportuna e va incoraggiata la prassi di alcuni fornitori i quali, dopo aver ottenuto realmente un valido consenso dei destinatari, danno semplice conferma della sua manifestazione, attraverso un messaggio volto unicamente ad annunciare il successivo inoltro di materiale pubblicitario.

 

L’art. 9 D.Lgs. 70/03, poi, aggiunge che le comunicazioni commerciali non sollecitate trasmesse per posta elettronica devono, in modo chiaro ed inequivocabile, essere identificate come tali fin dal momento in cui il destinatario le riceve e contenere l’indicazione che il destinatario del messaggio può opporsi al ricevimento in futuro di tali comunicazioni.

 

Il rispetto degli obblighi di legge, quindi, impone all’impresa che voglia effettuare via e-mail comunicazioni commerciali di: a) acquisire il previo consenso del destinatario, adeguatamente informato; b) esplicitare in modo chiaro che la comunicazione è a carattere commerciale; c) informare il destinatario sulla possibilità di non ricevere più dette comunicazioni; d) fornire un idoneo recapito presso il quale l’interessato possa esercitare i propri diritti in tema di privacy.

 

Le sanzioni per i trasgressori sono assolutamente di prim’ordine, e – come ricordato anche dal Garante con suo comunicato del 3 settembre 2003 -  vanno dalla “multa”, in particolare per omessa informativa all’utente (fino a 90mila euro), alla sanzione penale, ex art. 167 T.U. (reclusione da 6 mesi a 3 anni).

 

E l’impresa – lo ha precisato il Garante – non può giustificarsi invocando l’articolo di legge (ora l’art. 24, 1°comma, lett.c) T.U.), che esonera il titolare del trattamento dal richiedere il consenso dell’interessato ove i dati di quest’ultimo provengano da elenchi pubblici.

 

Gli indirizzi e-mail, infatti, non sono “pubblici”, non provenendo né da pubblici registri, né da elenchi, atti o documenti formati o tenuti da un soggetto pubblico.

 

Essi, quindi, non sono liberamente utilizzabili da chiunque per il solo fatto di trovarsi in Rete (cfr. Newsletter 10-16.02.03 Parere 29.05.03, consultabile su www.garanteprivacy.it/garante/doc.jsp?ID=29840). Pertanto, non è lecito inviare messaggi non sollecitati ad indirizzi reperiti da newsgroups, da siti web o dalle “pagine Whois” (le quali indicano gli assegnatari di nomi a dominio).

 

**** **** ****

 

4) LE MISURE DI SICUREZZA

 

“Riservatezza” fa rima con “sicurezza”. Non solo – o, meglio, non tanto – per l’evidente assonanza lessicale, ma perché si tutela la privacy dei soggetti anche adeguando i propri archivi a misure di sicurezza, che impediscano la perdita accidentale dei dati nonché l’accesso abusivo agli stessi.

 

Diciamo subito, senza falsi pudori, che tale esigenza in Rete è avvertita in maniera ancor più concreta che nel mondo reale, dato che Internet è una “rete aperta”: una rete, cioè, in cui i messaggi transitano liberamente da un computer all’altro, in modo tale che è tecnicamente agevole intercettarli. Le aziende che connettano il proprio sistema informatico alla rete Internet, quindi, devono proteggersi (in una rete ben protetta, infatti, solo le aggressioni più sofisticate – e quindi, statisticamente, le meno probabili – possono realmente mettere in crisi il sistema).

 

Il Testo Unico sulla privacy affronta il tema della sicurezza al Titolo V della Parte Prima.

Due, in particolare, le misure di sicurezza che vengono in rilievo: quelle c.d.“minime” e quelle c.d.“idonee”.

 

Le prime, previste in via generale dagli artt.33 e ss. T.U., sono in concreto individuate dal disciplinare tecnico di cui al c.d.”allegato B” (che sostituisce il sistema delle “misure minime” del d.P.R. 318/99, emanato in attuazione dell’art.15 della L.675/96) e sono volte ad assicurare un livello (appunto) minimo di protezione dei dati personali. Un livello al di sotto del quale non si può scendere: il mancato rispetto di dette misure, infatti, ai sensi dell’art. 169 T.U. costituisce reato, punito con l’arresto fino a 2 anni o con l’ammenda da 10.000 a 50.000 Euro.

 

Le seconde, invece, sono disciplinate dall’art. 31 T.U., che impone al titolare del trattamento dei dati personali di predisporre tutte le misure di sicurezza idonee a ridurre al minimo “i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta”.

 

A questo punto, un’importante osservazione: se l’adeguamento alle “misure minime” implica l’assenza di responsabilità penali, tale adeguamento non è sufficiente per affrancarsi da responsabilità civile qualora l’evoluzione tecnologica renda disponibili accorgimenti ulteriori che soddisfino le misure dichiarate “idonee”.

 

Ciò perché – ai sensi dell’art. 15 T.U. – “chiunque cagiona danno ad altri per effetto del trattamento dei dati personali è tenuto al risarcimento ai sensi dell’art. 2050 c.c.”.

 

L’art. 2050 c.c., infatti, (norma alquanto rigorosa, dettata in tema di esercizio di attività pericolose) prevede che l’esercente l’attività pericolosa – e quindi, nel nostro caso, il titolare del trattamento -  vada esente da responsabilità solo se riesca a dimostrare di aver adottato tutte le misure idonee ad evitare il danno.

 

In caso contrario, ai sensi del 2°comma dell’art. 15 T.U., egli dovrà rispondere anche del danno non patrimoniale (come accaduto nel caso deciso dal Tribunale di Orvieto con sentenza 22.11.02 n. 254: fattispecie in tema di risarcimento dei danni morali sofferti da alcuni clienti di un Istituto bancario).

 

Come si evince facilmente, l’adeguamento alla previsione di legge poc’anzi citata (art. 2050 c.c.) è particolarmente difficoltoso. Secondo la giurisprudenza, infatti, può provare di aver adottato ogni misura idonea chi dimostri di aver rispettato “tutte le tecniche note” – anche solo astrattamente possibili – all’epoca del fatto (cfr. Tribunale di Milano, 19 novembre 1987, in Foro Italiano, 1988, I, 144).

 

Sebbene esistano siti web e newsgroups che diffondono quotidianamente le vulnerabilità dei sistemi che vengono via via scoperte e, di conseguenza, illustrano i più recenti rimedi per difendersi dagli  “attacchi informatici”, per l’azienda la soluzione migliore per garantire la sicurezza del proprio sistema informatico è quella di affidarsi a professionisti del settore.

 

Riassumendo, l’impresa che operi on line, al fine di “ridurre i rischi”, dovrà:

a)  osservare il livello di sicurezza minimo di legge (per evitare conseguenze penali);

b) approntare le misure di sicurezza ulteriori, che in base al caso concreto si potevano predisporre (altrimenti dovrà risarcire i danni eventualmente cagionati a terzi).

 

**** **** ****

 

 

5) IL SISTEMA SANZIONATORIO

 

Avviandoci a concludere, uno sguardo, ora, al sistema sanzionatorio, al quale è dedicato l’intero Titolo III della Parte III del Codice della Privacy.

 

Il Capo I, in particolare, definisce le violazioni amministrative. Rispetto alla disciplina precedente, va notato non tanto che l’importo delle sanzioni è stato adeguato alla nuova moneta dell’euro, ma quanto che detto importo è stato opportunamente ricalibrato rispetto alla gravità delle violazioni.

Nell’applicazione della Legge 675/96, infatti, in più casi la particolare esiguità delle sanzioni non costituiva in concreto un efficace deterrente.

 

Il Capo II prende invece in rassegna le condotte integranti illeciti penali, quali – ad esempio – il trattamento dei dati in assenza di consenso, il mancato adeguamento dei sistemi informatici alle misure minime di sicurezza, l’uso di comunicazioni elettroniche indesiderate).

 

Non va dimenticato, in questa sede, l’art. 15 T.U., che obbliga chi cagiona danno ai terzi per effetto del trattamento di dati personali a risarcire i danni sofferti, ivi compenso il danno non patrimoniale.

 

Sotto questo profilo è importante ricordare all’impresa che tratti dati personali in Rete che la potenziale diffusione degli stessi senza barriere amplifica il pregiudizio che l’interessato può subire, facendo lievitare l’importo dell’indennizzo.

 

Volendo, in conclusione, dare un giudizio globale sull’impianto sanzionatorio delineato dal Codice della privacy, va detto che esso appare congruo e coerente.

 

Le sanzioni per chi ignori la legge, in altre parole, ci sono, ed esse in generale sono rigorose.

Mi sembra che già questo sia un motivo (un “buon” motivo) perché l’azienda prenda coscienza delle indicazioni di legge e vi si conformi.

 

E’indubbio che l’adeguamento alla normativa vigente richieda uno sforzo, che spesso viene visto con sfavore dagli operatori.

 

Tuttavia credo che siano maturi i tempi perché l’azienda possa capire che la tutela della privacy non è un valore antagonista alle esigenze di mercato.  Tutt’altro, dato che l’adottare politiche di riservatezza dei dati rappresenta un valore aggiunto al proprio prodotto o servizio.

 

La privacy, insomma, da “costo” deve essere vista come “risorsa”: è questo il salto culturale che attende oggi l’impresa. E questo vale ovviamente anche per l’azienda presente in Rete.

 

Sotto il profilo giuridico, infatti, Internet non opera nel vuoto: il trattamento “on line” dei dati personali, pertanto, deve essere condotto con lo stesso rigore di un trattamento “off line”.

Ciò non limita assolutamente il ricorso ad Internet, ma al contrario fa parte degli elementi fondamentali volti ad assicurare la fiducia degli utenti nell’impresa presente in Rete e nei servizi forniti da essa.