|
Profili
normativi ed applicativi
in tema di privacy
1. Definizione di privacy
La moderna tecnologia fornisce apparecchiature
sempre più raffinate per la conservazione e l'elaborazione di dati,
in quantità e con una velocità sempre maggiori. Le fonti a cui
attingere, le "banche dati", sono sempre più numerose e tra
loro collegate, consentendo, pertanto, a chi "lavora"
gestendo e trattando informazioni, di trovarsi nella condizione di
poter esercitare un immenso potere sull'individuo, tale da poterne
invadere e condizionare la stessa vita privata.
L'esigenza di proteggere la sfera intima
dell'individuo, il suo diritto alla riservatezza, è divenuta
incompatibile con l'interesse generale.
Conseguentemente, si è passati dal divieto assoluto di ingerenza ad
una moderna concezione del "diritto alla riservatezza"
costituito dalla possibilità, riconosciuta all'individuo, di
conoscere, e quindi controllare, la raccolta e l'elaborazione, più in
generale il trattamento dei dati che lo riguardano, correggerne gli
eventuali errori e, in particolar specie, sorvegliarne l'utilizzo nel
corso del tempo. E proprio in questa specifica direzione sembra andare
l'art. 13 della legge 31 dicembre 1996, n. 675.
Non è certamente semplice dare una definizione di
diritto alla riservatezza. Un'impresa resa ardua dalla mutevolezza dei
caratteri che caratterizzano il diritto alla privacy,cambiamenti
resi tali anche dalla differente tutela approntata dai diversi
ordinamenti. Ciò, soprattutto, a causa dell'evoluzione tecnologica
che, nella trasmissione e rielaborazione dei dati, compie continui e
rapidi progressi.
E' fuori discussione che, se per un verso lo sviluppo tecnologico
consente all'individuo di limitare al massimo o addirittura di
sottrarsi alla continua esposizione delle proprie azioni alla
collettività, dall'altro quegli stessi mezzi che hanno la funzione di
proteggerlo dal controllo altrui sono capaci di catalogare e
registrare le sue azioni. Capaci, in particolare, di conservare la
memoria su quanto ha fatto e pertanto di creare nuove e sempre più
invadenti forme di intrusione nella vita privata. E, purtroppo, questo
avviene senza che l'individuo se ne renda conto e senza che la
legislazione degli Stati possa tenere il passo con tale incessante
evoluzione.
Del resto, prova evidente del mutamento di
concezione della privacy è l'estensione ad ambiti che
prescindono dalla mera sfera della salute e da quella sessuale, ma che
ineriscono le opinioni politiche, il credo religioso, l'appartenenza a
gruppi o associazioni, tutte situazioni che possono costituire fonte
di discriminazione sui posti di lavoro e in tutti i rapporti sociali.
E su questo il legislatore è sembrato attento, delineando questo
sviluppo nell'art. 22 della predetta legge.
Abbandonata la concezione di semplice tutela della
propria intimità, purtroppo, il diritto alla privacy deve
essere inteso come tutela del diritto di compiere libere scelte senza
condizionamenti o discriminazioni dettate dall'immagine che altri
hanno costruito su di noi. Questo passaggio è riscontrabile tanto
nell'ordinamento nazionale che in quello internazionale.
Con la L.675/96, il legislatore italiano ha definito
nei suoi contenuti e nelle modalità di esercizio e di tutela il
diritto alla riservatezza, con riguardo particolare all'utilizzo
("trattamento) dei dati personali.
La nuova legge ha provveduto sostanzialmente a
fornire una disciplina applicativa della particolare tutela - già
presente nel nostro ordinamento giuridico nella più ampia accezione
di tutela della vita privata - colmando un vuoto normativo della
legislazione italiana ormai non più "dilazionabile" a
seguito degli accordi internazionali e della pertinente normativa
comunitaria.
Infatti, per quanto
pienamente riconosciuto dall'ordinamento nazionale, tale diritto aveva
trovato finora una definizione solamente parziale, rimanendo
soprattutto, a causa di norme inadeguate, ancorato a concezioni non più
in linea con le esigenze dettate dai tempi moderni.
2. Fondamenti costituzionali
Il diritto alla riservatezza nasce con l'affermarsi
dell'ideologia liberale che individua nelle carte costituzionali
limiti ben precisi alla possibilità di azione dello Stato nei
confronti del singolo cittadino.
Per quanto ci riguarda, sebbene inizialmente sia la
giurisprudenza che la dottrina abbiano negato l'esistenza nel nostro
ordinamento del diritto alla riservatezza, quest'ultimo è oggi
generalmente riconosciuto ed individuato in particolare negli artt. 2
(che riconosce e garantisce i diritti inviolabili dell'uomo in senso
lato), 13, 14 e 15 della Costituzione, che sanciscono, invece,
l'inviolabilità della libertà personale, del domicilio e della
libertà e segretezza della corrispondenza e di ogni altra forma di
comunicazione.
Ciò che è mancato finora, però, è una
definizione positiva del diritto alla vita privata.
Appare di tutta
evidenza, però, che l'identificazione del diritto alla privacy nella
lettera dei citati articoli avviene solo in un secondo momento, sia a
livello giurisdizionale che dottrinale, essendo di immediata
percezione che la tutela che in essi si vuole essenzialmente
esercitare attiene principalmente a considerazioni di natura
"penale". Quando parliamo di libertà personale è istintivo
pensare ai casi di custodia carceraria indiscriminata; così, per
quanto riguarda il domicilio e la segretezza delle comunicazioni,
viene logico individuare nelle perquisizioni e nelle intercettazioni
arbitrarie le violazioni più pericolose.
3. Fondamenti normativi derivanti dal diritto
comunitario
Sul piano internazionale, la questione relativa alla
tutela della riservatezza a fronte dei considerevoli mutamenti
tecnologici si è posta a partire dalla fine degli anni '60. Il
diritto alla riservatezza, così come concepito dai legislatori
nazionali ed internazionali del primo dopoguerra si poneva
essenzialmente come scopo quello di garantire, seppur con tutte le
deroghe del caso, la sfera privata del singolo dalle possibili
ingerenze da parte dello Stato e di terzi. Il diritto così concepito
resta "quasi" una enunciazione di principio e all'interprete
è lasciato il compito di vagliare, volta per volta, l'eventuale
violazione della privacy dell'individuo.
Con il progresso
tecnologico e con la rivoluzione informatica, il potere
dell'informazione stesso richiede che il diritto alla riservatezza
venga ridisegnato, che ne vengano ridefiniti i suoi contenuti e le
modalità di esercizio e di tutela.
4. Il diritto di accesso
Per accesso bisogna
intendere la possibilità che ha l'interessato di conoscere, mediante
accesso gratuito al registro generale istituito presso il Garante
sulla base delle notificazioni ricevute, l'esistenza di trattamenti di
dati che possono riguardarlo. Tale soggetto può richiedere al
titolare o al responsabile la conferma o meno dell'esistenza di dati
che lo riguardano e può chiedere, al contempo, sussistendo
determinate condizioni, la cancellazione, la trasformazione in forma
anonima, l'aggiornamento, la rettifica o l'integrazione dei dati
stessi.
5. Conclusioni
In definitiva molto è
stato fatto in tema di garanzia della privacy, ma
altrettanto resta da fare. Una riforma sulla tutela dei dati personali
senza una reale possibilità di accesso e quindi di controllo
dell'interessato, ma se vogliamo anche di opposizione, risulta
un'opera lasciata a metà e non funzionale dal momento che il
riscontro costituisce l'unica possibilità di ripristino della
veridicità dei dati stessi.
Questo diritto, come in parte dimostra l'esperienza di altri Paesi,
per quanto rilevante sia, così come abbiamo cercato di dimostrare, è
un diritto che a volte può risultare illusorio. E' evidente che
questo tipo di situazione si verifica quando non vi sono adeguate
condizioni per esercitarlo. A rallentare ulteriormente una effettiva
applicazione della normativa dell'accesso potrebbero concorrere gli
escamotages intrapresi e la lentezza con cui i possessori di questi
dati comunicano gli stessi.
|
La
gestione in termini di sicurezza e tutela della privacy di un sistema
informatico/telematico privato di rilevante interesse
Per un lungo periodo di tempo le banche sono state,
per motivi legati alla loro attività, tra le aziende più sensibili
alle problematiche di sicurezza, dapprima intesa come protezione
fisica dei beni e delle persone e successivamente, con l'avvento
dell'informatica, attraverso le sue varie evoluzioni, anche come
protezione "logica" dei dati e dei programmi.
Inizialmente le attività elaborative erano svolte
esclusivamente nei Centri di Elaborazione Dati (CED), da programmi che
non interloquivano con l'utente finale, le conoscenze informatiche
erano limitate a pochi specialisti e, quindi, l'attuazione di
controlli relativamente semplice ed economica; dalla metà degli anni
'70 l'adozione di sistemi di "teleprocessing" con terminali
dislocati al di fuori del CED e, spesso, a molti chilometri
dall'edificio che lo ospitava, posero il problema della protezione di
dati transitanti su oggetti (linee e centraline SIP) non di proprietà,
e quindi non controllabili. Nel contempo venivano attivate reti
interbancarie di respiro internazionale (la SWIFT è attiva dal '77)
con l'esponenziazione dell'area di rischio. Le nuove esigenze di
sicurezza, sia pure ancora limitate a dati transitanti all'interno del
sistema, ebbero essenzialmente due conseguenze:
· la formazione di "esperti" di sicurezza logica in
ambito bancario;
· l'ideazione di algoritmi standard per la sicurezza dei dati
in ambito civile;
Emersero, in tale situazione, le carenze ed i
ritardi del Legislatore, che non era ancora in grado, dato il rapido
sviluppo della tecnologia e delle possibilità da essa offerte.
Gli esperti di sicurezza, quindi, si trovarono ad
operare "senza vincoli", senza un livello minimo di
protezione "obbligatorio" e quindi le scelte su cosa fare
furono le più disparate; due soli elementi fecero da guida:
·
le norme e raccomandazioni di volta in volta emanate dal
sistema bancario (vincolanti soprattutto per i rapporti interbancari);
·
le richieste delle Assicurazioni, che cominciarono ad
attivare polizze sul "Computer Crime".
L'unico ''vincolo'' posto dalle leggi vigenti, sia
pure in maniera indiretta, era un vincolo ostativo, posto dalla legge
300 del 1970 ("Statuto dei Lavoratori") che vietava
l'utilizzo di strumenti elettronici per il controllo dell'attività
dei dipendenti: i giornali di fondo (LOG) creati dai sistemi di
controllo logico degli accessi ai sistemi informatici potevano essere
ricondotti agli strumenti suddetti. Dopo alcune incomprensioni, e
talvolta scontri, si trovarono delle soluzioni di compromesso, tra le
quali l'adozione di protocolli d'intesa tra azienda e sindacati sulla
visualizzazione e l'utilizzo dei LOG stessi.
Da tale vicenda emerge un aspetto psicologico legato
all'utilizzo di strumenti di controllo accessi che, spesso, permane
tuttora ed ostacola l'adozione di sistemi di sicurezza:
il controllo dell'accesso e dell'attività svolta viene visto
come una misura di verifica della produttività (quasi una versione
informatica dei "tempi e metodi" di Taylor) e non come uno
strumento di garanzia: questo fa sì che tali sistemi vengano
"subiti" come un intralcio alla normale operatività, con
scarsa attenzione alla custodia delle password stesse: occorre operare
perché questa mentalità venga ribaltata facendo capire che la
sicurezza, se bene applicata, e una salvaguardia personale che
consente di attribuire con ragionevole certezza ad ognuno le azioni
svolte, con la garanzia di non vedersi imputate, in modo implicito od
esplicito, attività non proprie.
Negli ultimi anni le possibilità offerte
dall'evoluzione tecnologica hanno consentito di "esportare"
presso la clientela, o almeno parte di essa, attività tipiche dello
sportello bancario (visualizzazione di promemoria di conto corrente,
bonifici, gestione titoli, ecc.) tramite applicazioni definite di
"home banking" o "corporate banking". Tali
"esportazioni" stanno assumendo aspetti sempre più estesi,
vuoi per la disponibilità di mezzi (es. PC ed Internet) relativamente
a buon mercato, vuoi per una maggior "alfabetizzazione"
informatica dell'utenza. La necessità di misure di sicurezza logica
si è, quindi, esponenziata, richiedendo sia innovazioni tecnologiche
sia, nella mora delle leggi, revisioni contrattuali.
Agli inizi degli anni '90, tuttavia, anche il
Legislatore cominciò a prendere atto delle esigenze della moderna
società informatica con il D.L. 29 Dicembre 1992, n. 518 che, in
attuazione della direttiva 91/25OICEE relativa alla tutela giuridica
dei programmi per l'elaboratore, provvedeva a proteggere i programmi
per l'elaboratore come opere letterarie ai sensi della Convenzione di
Berna sulla protezione delle opere letterarie ed artistiche. Pur non
essendo pienamente convinto della soluzione adottata (programma come
opera artistica) bisogna riconoscere che questo è stato il primo
tentativo di porre freno con una legge all'anarchia regnante nel mondo
informatico, in un ambito particolarmente controverso come quello
della "pirateria del software".
Da allora una serie di provvedimenti legislativi si
sono aggiunti al D.L. suddetto, creando un substrato giuridico non
indifferente come riferimento obbligato per gli esperti di sicurezza.
E' opportuno, in particolare, citare:
- la
Legge 23 dicembre 1993, n. 547 "Modifica ed integrazione alle
norme del codice penale e del codice di procedura penale in tema
di criminalità informatica." che all'art 1 recita:
"All'articolo 392 del codice penale, dopo il secondo comma è
aggiunto il seguente: Si ha, altresì, violenza sulle cose allorché
un programma informatico viene alterato, modificato o cancellato
in tutto o in parte ovvero viene impedito o turbato il
funzionamento di un sistema informatico o telematico". Con
tale legge viene finalmente riconosciuto come tale il reato di
frode informatica;
- Legge
31.12.1996 n° 675 "Tutela delle persone e di altri soggetti
rispetto al trattamento dei dati personali" che ha
finalmente recepito anche in Italia le esigenze della
"privacy", chiudendo un potenziale contenzioso con
alcuni partner comunitari.
Oltre a queste norme, prevalentemente orientate alla
sicurezza dei dati ed alla protezione dei sistemi informatici, il
panorama legislativo nazionale si è arricchito di una altra norma di
notevole rilevanza per gli esperti di sicurezza logica: il Decreto
del Presidente della Repubblica: regolamento contenente i criteri e
le modalità di applicazione in materia di formazione,
archiviazione e trasmissione di documenti con strumenti informatici e
telematici.
Con questo decreto viene finalmente acquisito il
concetto di "firma digitale" e di documento elettronico
"firmato".
L'esperto in sicurezza informatica si trova oggi,
proprio in relazione alle norme suddette, a dover operare nel rispetto
di uno scenario minimo prestabilito riguardo alle misure di sicurezza.
|
SCHEMA
DI SINTESI
A) La sicurezza dei dati personali all'interno dell'azienda
1. Individuazione dei
dati che circolano a qualsiasi titolo in azienda (inclusi i dati
relativi al personale)
2. Rappresentazione ( anche grafica) del diagramma
dei flussi dei dati personali che circolano in azienda.
3. Emanazione di una procedura di sicurezza che
disciplini il flusso dei dati personali all'interno dell'azienda
4. Censimento dei
dati personali presenti in azienda e loro classificazione
5. Attribuzione di ogni gruppo o categoria di dati
individuati ad un soggetto (che assumerà la qualifica di
RESPONSABILE o di INCARICATO) il quale dovrà garantire il rispetto
delle procedure di sicurezza
6. Verifica ordinaria
(periodica) e straordinaria (a campione) del rispetto della
procedura interna di sicurezza.
7. Revisione periodica delle procedura interna di
sicurezza e loro modica e costante aggiornamento.
|
B) La sicurezza dei dati personali all'esterno dell'azienda
1. Esame condotto da
ogni ufficio dei flussi di dati aziendali all'esterno dell'azienda
2. Censimento dei fornitori e verifica
dell'eventuale flusso di dati aziendali nei loro confronti
3. Verifica di tutti i contratti stipulati con i
fornitori con i quali si è rilevato un flusso di dati aziendali
4. Previsione, per ognuno dei fornitori nei
confronti dei quali si realizza un flusso di dati aziendali, del
conferimento di un rapporto di incarico ai sensi dell'articolo 19
della legge n. 675/1996 o di responsabile ai sensi dell'articolo 8
della legge n. 675/1996
5. Predisposizione di
una procedura scritta per disciplinare il flusso dei dati personali
dall'azienda verso i fornitori
6. Nomina di uno o più
dipendenti che vigilino sul rispetto della procedura fissata nei
quotidiani rapporti con il fornitore e propongano l'adeguamento
costante della procedura alle concrete caratteristiche del rapporto
con il fornitore.
7. Verifica ordinaria (periodica) e straordinaria
(a campione) da parte del Responsabile del rispetto della procedura
stabilita.
|
ELECTRONIC
BANKING
SENZA RISCHI
Carte a microcircuito, borsellino elettronico, phone banking,
Internet banking e moneta virtuale sono sempre più diffusi. Per
GESTIRE I RISCHIconnessi a queste attività, la BRI ha fornito alle
autorità di vigilanza e alle banche specifiche linee guida
Il progresso
repentino dell'information technology, l'aumento delle dinamiche
competitive (anche da parte di operatori non bancari), la necessità
di recuperare efficienza, di meglio servire la clientela e di
ricercare nuovi flussi reddituali sono i fattori principali che
stanno spingendo le banche a esplorare le aree dell'electronic
banking e della moneta elettronica. Il ricorso a queste nuove forme
di attività, a fianco alla tradizionale intermediazione creditizia
di raccolta e impiego, può indubbiamente fornire i suoi frutti in
termini di rafforzamento competitivo, di aumentata redditività e di
massimizzazione del valore economico delle banche.
A questo fine,
risulterà di fondamentale importanza l'individuazione di quelle
criticità necessarie a svolgere con successo attività quali l'electronic
banking e la moneta elettronica, tra le quali, figura sicuramente
una proficua gestione dei rischi ad esse connessi. E proprio l'electronic
banking e la moneta elettronica, dato il ruolo via via crescente che
assumeranno sia a livello di singole istituzioni di credito che a
livello di sistema bancario nel suo complesso, hanno recentemente
formato oggetto di un apposito documento da parte della Banca per i
Regolamenti Internazionali (Bri).
Nel documento,
denominato Risk Management for Electronic Banking and Electronic
Money Activities, la Bri ha preso in esame quelli che ritiene
essere i possibili rischi di tali attività ed ha fornito alle
Autorità di vigilanza e alle singole banche linee guida atte a
contribuire alla realizzazione di metodi per l'individuazione e la
gestione dei rischi connessi all'electronic banking e alla moneta
elettronica. La Bri ha puntato, da un lato, all'identificazione e
alla ponderazione dei rischi di maggiore rilievo connessi all'electronic
banking e alla moneta elettronica, dall'altro, al processo di
valutazione, controllo e monitoraggio dei medesimi fornendo così
alle banche un quadro di insieme all'interno del quale esse potranno
scegliere di muoversi nella gestione di tali attività.
|
|
|