"Una legge fatta male"

Pasticci e problemi della legge per la "protezione dei dati personali"

due articoli di Andrea Monti su Computer Programming

Una legge con le patch

luglio 1997

È proprio vero, l'informatica - almeno "certa" informatica - comincia ad esportare la propria filosofia produttiva negli ambiti più diversi ed impensati.
Con buona pace di chi era convinto che l'apporto del silicio ai codici (quelli giuridiciJ) fosse da qualificare in termini di formalizzazione del linguaggio, automazione del processo decisionale ecc. ecc. ecc., la recente legge sui dati personali ha dimostrato inequivocabilmente che Zio Bill (no, non quello di "Tre nipoti e un maggiordomo") ha permeato della suo pensiero anche il Parlamento italiano.
Non è più solo Windows 95 che prima viene messo sul mercato in versione di fatto beta e poi tamponato da service pack, power kit, nuove fat in un work in progress destinato a non avere mai fine, adesso tocca anche alla privacy.

La legge sui dati personali puntualmente in ritardo
L'otto maggio rischia di essere annotato negli annali come un vero e proprio "giovedì nero".
In quella data infatti è entrata (o avrebbe dovuto entrare?) in vigore quella parte della legge sulla tutela della privacy che fra gli svariati pazzeschi adempimenti impone di richiedere autorizzazioni, fornire informazioni a richiesta degli utenti, adottare misure di sicurezza da far impallidire i server della National Security Agency. Per molto tempo chi parlava degli effetti paradossali (e fortemente onerosi sotto il profilo economico) di questa legge era visto come una specie di uccello del malaugurio presago di sventure che era meglio non stare a sentire. Reazione comprensibile ma non funzionale, infatti quando ci si è resi conto che non si trattava di uno scherzo l'incantesimo si è rotto e dall'oblio si è tornati alla cruda realtà cioè al panico. Un esempio banale ma indicativo: a fine aprile ho avuto occasione di tenere una relazione sulla legge in un convegno per aziende e responsabili degli uffici legali: il risultato fu una completa Babele! Da un parte i relatori dimostravano con argomentazioni rigorose che la legge è praticamente inapplicabile, dall'altra il pubblico rumoreggiava invocando soluzioni che nemmeno la più ardita delle interpretazioni avrebbe potuto dare, scaricando la propria frustrazione su chi stava dall'altra parte quasi fossero i responsabili delle sventure che si profilavano all'orizzonte.

Effetti paradossali
Per non andare troppo lontano immaginerò di essere uno dei partecipanti a quel convegno, diciamo il legale rappresentante di una S.r.l. che opera nel campo dell'informatica offrendo consulenze, sviluppo di applicativi, internet hosting e quant'altro.
Dunque, ai sensi dell'art.15 devo adottare una serie di misure di sicurezza fisica e logica (badate bene, si tratta anche di serrature, casseforti, grate alle finestre e così via) in grado di garantire l'integrità e l'inaccessibilità dei dati. Se non lo faccio rischio una condanna fino a due anni con una multa. Se poi ai succede qualcosa ai dati presenti nei miei archivi e la persona alla quale quei dati si riferiscono subisce danni (tipicamente un disco rigido che passa a miglior vita) praticamente non posso difendermi. Non posso dire che mi ero diligentemente organizzato con un rigido sistema di controllo degli accessi, o che l'antifurto fino al giorno prima aveva funzionato senza dare segni di cedimento perché la struttura della responsabilità così come è concepita nella legge 675/96 consente di non essere ritenuti responsabili solo se si riesce a provare che il fatto si è verificato per caso fortuito o forza maggiore, e comunque rispetto all'implementazione di sistemi di sicurezza allo stato dell'arte. Tradotto: bisognerebbe passare la vita a girare in rete e no per trovare giorno dopo giorno l'ultimo modello di porta blindata o di smart-card.
Ma come, direbbe il nostro imprenditore, io che si e no riesco a sbarcare il lunario devo strutturarmi come la CIA? Sì, perché la legge non prevede una proporzionalità nell'adozione dei sistemi di sicurezza...
Amen, farò questo enorme sforzo, trasformo la mia sede di 100 mq in una specie di fortilizio e tiro un sospiro di sollievo, ma giusto un sospiro perché a questo punto mi viene in mente che i sistemi operativi che ho installato sulle mie macchine tutto sono tranne che affidabili... oh bella, stai a vedere che mi tocca buttare alle ortiche l'intero parco software per installare qualcosa di più affidabile... che so' magari un bello UNIX! Si, ma chi glielo dice alla segretaria come si usa LATEX? Tiremm' innanz' (trad. andiamo avanti)... passo tutto sotto UNIX e attivo tutte le procedure di sicurezza. Morale, dopo qualche giorno i dipendenti mi si rivolteranno contro perché non riescono a lavorare e vogliono l'aumento...
Dopo una faticosa mediazione fra dipendenti e responsabile della sicurezza (che nel frattempo dovrò nominare) mi accorgo che stanno per scadere i termini entro i quali devo cominciare ad informare le persone delle quali tratto i dati dei loro diritti (come nei film americani). Come devo fare? Il commercialista difficilmente potrà essermi d'aiuto... tocca rivolgersi ad un avvocato, magari faccio una domanda ai relatori così risparmio la consulenza!
Attenzione, cosa stanno dicendo? Internet è fuori legge? Ma sono pazzi! Basta, devo cercare di capirci qualcosa, non è possibile che qualcuno abbia veramente pensato di far applicare una legge del genere...
Quell'imprenditore è stato trovato leggermente cadavere in una toilette della stazione. Non si è ancora capito se le cause della morte siano da attribuire all'infarto seguito alla lettura della Gazzetta Ufficiale, o al soffocamento causato dall'aver cercato di ingoiarla in un colpo solo.

A parte gli scherzi
Questa legge è veramente fatta male. Nonostante tutte le assicurazioni da più parti ricevute in questi giorni, a partire dal prof. Rodotà, nominato Garante per la tutela dei dati personali, sul fatto che la legge sarebbe stata applicata con buon senso, che certe interpretazioni erano solo esagerazioni e via discorrendo, io non mi sento affatto tranquillo.
E' l'argomentazione stessa che mi fa dormire male. Se le leggi sono fatte bene si applicano punto e basta; viceversa se qualcuno mi dice che la legge verrà applicata con buon senso allora mi sorge il dubbio che ci sia qualcosa di storto e come vedrete, la conferma di questo sospetto è arrivata puntuale.
A beneficio di chi non avesse letto gli scorsi numeri di CP riassumo in breve e sommariamente i termini della questione.

La legge tutela le persone dal trattamento illecito di dati personali realizzato con o senza l'impiego di computer imponendo a chiunque - dico chiunque - gestisce dati di informare l'interessato di ciò che si intende fare con le informazioni che lo riguardano, acquisendo il consenso SCRITTO dello stesso.
Devono essere adottate le misure di sicurezza (fisiche e logiche) previste allo stato dell'arte, a prescindere dal tipo di attività svolta: ortolani (senza offesa per la categoriaJ) e multinazionali devono difendersi allo stesso modo... altrimenti, come cantava Edoardo Bennato, in prigione, in prigione!
Al Garante devono essere richieste delle autorizzazioni altrimenti alcuni dati non si possono trattare.
Al Garante si deve notificare una dichiarazione nella quale si dicono tante belle cose (dove sono i dati, chi li gestisce, come sono protetti ecc.ecc.), e se non lo si fa, o si scrive qualcosa di sbagliato si commette reato (reclusione più multa).
Chiunque può scrivere ad un'azienda chiedendo se questa detiene i suoi dati, se non si risponde (anche negativamente) si finisce in Tribunale.
L'esportazione di dati all'estero è autorizzata dal Garante, altrimenti è reato...povera Internet.

Tutto questo e molto altro ancora doveva essere fatto a partire appunto dall'otto maggio entro una serie di date molto ravvicinate.
Il risultato, nell'impossibilità pratica di adempiere a tutti i bizantinismi dei quali è infarcita la legge, è che o l'entrata in vigore veniva rinviata o altrimenti Garante e Magistratura avrebbero dato il via al più grande tiro al piccione della storia.

Che si fa, rinviamo?
Neanche per sogno! E' stata la sdegnata risposta dei soggetti deputati all'attuazione della legge. Si tratta di un momento importante per la tutela dei diritti civili che non può subire ulteriori rallentamenti o ritardi! E infatti il 7 maggio (un giorno prima dell'entrata in vigore della legge) leggiamo a pag.24 de Il Sole-24 ore che lo stesso prof. Rodotà esclude lo slittamento, salvo poi essere smentito, anche se parzialmente, dalla Presidenza del Consiglio dei Ministri che già il 2 maggio (ben cinque giorni prima) aveva predisposto una bozza per il rinvio almeno degli adempimenti burocratici che destavano maggiore preoccupazione (vedi Italia Oggi - 8 maggio - che titola in prima pagina Privacy, rinvio dei termini).
Puntualmente il 9 maggio tutto ciò che riguarda autorizzazioni al Garante "slitta" (eufemismo che tradotto significa: per ora non se ne parla, in futuro si vedrà) all'anno nuovo.

Dai codici al silicio e non viceversa
A questo punto, prima entrare nel dettaglio delle modifiche, devo fare pubblica ammenda per avere attribuito a Zio Bill la responsabilità di avere effettuato il porting delle sue strategie in Parlamento... in realtà è vero esattamente il contrario, è stato lui ad imparare da noi!
Mentre scrivevo questo pezzo mi sono venuti in mente altri fulgidi esempi di italica efficienza legislativa pensando alla legge 626/94, quella sulla sicurezza sul lavoro addormenta a furia di proroghe, o ancora prima, a quella sull'autocertificazione, inapplicata per decenni.
Nel caso della legge sui dati personali c'è però un aggravante. Non si può dire di non sapere. Critiche, perplessità, indicazioni sulle modifiche... sono almeno due o tre anni che tutto ciò costituisce oggetto di pubblico dibattito, che però si è scelto di ignorare sistematicamente, andando avanti a testa bassa per giungere a quella che di fatto è una pubblica confessione di fallimento.

E adesso?
La parte più importante della modifica riguarda senz'altro gli adempimenti burocratici vediamo in sintesi cosa cambia.

Le autorizzazioni al Garante vanno richieste a partire dal 30 novembre 1997. Unica eccezione (art.28 c.IV lett.g) è quella del trasferimento di dati personali al di fuori dell'Unione Europea.
Entro il 30 novembre 1997 gli interessati (i soggetti cui i dati si riferiscono) dovranno essere informati (anche oralmente) dei loro diritti e delle modalità e fini del trattamento.

Ci sono poi alcune altre modifiche per ora inessenziali all'economia del discorso, il punto è che questo rinvio equivale semplicemente a cercare di fermare un treno con una mano (a proposito, pare che per una questione di fisica, nemmeno Superman avrebbe potuto farlo - fermare il treno, non rinviare la legge!).
Nonostante i molti pareri favorevoli a questo rinvio permangono diverse zone d'ombra. Un esempio per tutti: nella bozza presentata dalla presidenza del Consiglio dei Ministri era stabilito anche il rinvio delle notifiche previste dall'art.7 della legge, mentre sul testo definitivo tutto ciò è assente.
Ne consegue che la notifica al Garante e l'acquisizione del consenso dell'interessato sono obblighi tuttora vigenti la cui inosservanza rimane sanzionabile.
Applicare questa legge è e resterà molto difficile, soprattutto se non si entra nell'ottica di imparare a conviverci. E' molto frequente l'approccio del tipo ditemi che cosa devo fare in pratica e non rompete le scatole con disquisizioni teoriche... No caro "avvocato d'impresa" o venditore di sistemi di sicurezza, purtroppo per voi le cose non funzionano in questo modo. E' necessario capire l'impostazione (pur traballante) della legge che per la sua invasività richiede un monitoraggio continuo e costante dell'attività quotidiana e non solo qualche moduletto o prestampato.
Negli scorsi numeri di CP avevo scritto che solo il tempo avrebbe portato alla luce del sole i problemi pratici connessi all'attuazione della legge, ora devo pensare che se le cose andranno avanti così il sole lo vedremo a scacchi.

L.675-96 beta 3 (... e 4?)

ottobre 1997

L'iter applicativo della legge sui dati personali è ancora più travagliato di quanto i critici della prima ora avessero potuto immaginare. Stiamo assistendo allo stesso copione che è stato scritto per un'altra legge, la 626/94 in materia di sicurezza sul lavoro, la cui entrata in vigore è stata procrastinata ripetutamente vista la forte problematicità di una sua applicazione concreta in tempi brevi.
Nel caso della 675/96 c'è una variazione che costituisce nello stesso tempo un'aggravante: non si può invocare la "scriminante" del non essersi resi conto della situazione che l'applicazione della legge nel suo testo originario sarebbe andata a creare.
Per moltissimo tempo infatti, ancora prima della sua entrata in vigore, gli interpreti più attenti avevano già sottolineato pubblicamente le patenti incongruenze e certe schizofrenie nell'interpretazione che affliggevano questa povera legge, il tutto nel silenzio, per non dire nell'indifferenza, del legislatore.
Ci si trova dunque a ragionare intorno ad una sorta di regime dell'emergenza che è quello che chiaramente connota la ratio dei provvedimenti correttivi adottati, che in sintesi consiste fondamentalmente nel rinvio degli adempimenti burocratici fonti di responsabilità - anche penali - senza tuttavia andare a toccare i veri punti dolenti della legge in questione (che qui non specifico, tanto sono - o dovrebbero essere - noti).
Rilevo solamente una curiosa attenzione del legislatore a favore dei giornalisti, considerati quasi una specie da proteggere, unica categoria professionale esplicitamente menzionata nel testo, quasi che altre categorie, i medici per esempio, non fossero portatrici di specificità altrettanto se non più bisognose di attenzione.
Un coro di approvazioni si è levato alla lettura dei contenuti delle modifiche e alle dichiarazioni programmatiche dell'Ufficio del Garante giudicate ragionevoli e pragmatici, non posso esimermi dal constatare, tuttavia, che quanto più le modifiche proposte dall'Authority vengono apprezzate, tanto più emerge chiaramente la reale consistenza della 675-96: una legge approvata appunto ancora in beta.
Devo quindi fare pubblica ammenda per il clamoroso errore di valutazione contenuto nell'articolo del mese scorso. Stordito - sarà colpa del caldo estivo - da un attacco di ingenuità avevo parlato della 675 come di una legge con le patch... niente di più sbagliato.
A dire il vero sto seriamente pensando di chiedere all'Editore di trasformare il titolo di questa rubrica in qualcosa tipo "La pagina dei dati personali" oppure "Service pack" vista la frequenza con la quale sono costretto ad occuparmi del tema, grazie (o colpa?) soprattutto alle numerose quanto improvvise modifiche apportate d'estate a questa benedetta legge che sta diventando più intricata della jungla di salgariana memoria. Del resto trattandosi di una legge che si occupa di informatica non poteva non essere caratterizzata da un grado di obsolescenza almeno pari - se non superiore - a quello dei processori Intel.

Informazioni di servizio
Fra le varie cose che sono cambiate fra un numero e l'altro di CP c'è anche l'indirizzo dell'Ufficio del Garante per la protezione dei dati, quindi le eventuali richieste formulate secondo le indicazioni del mese scorso dovranno essere inviate a questo indirizzo (sperando che non lo mutino nel frattempo!)

Ufficio del Garante per la protezione dei dati
Via della Chiesa Nuova - 00186 Roma

Sempre sperando di non essere smentiti dall'ennesima modifica, l'effetto sostanziale del nuovo decreto legislativo, il n.255/97 (al solito, http://giuriweb.unich.it) è che sono cambiati anche i termini per la presentazione delle notifiche ex art.7, relativamente ai trattamenti iniziati prima del I gennaio 1998.
Le nuove scadenze sono - relativamente ai dati trattati informaticamente - previste entro un range che va dal I gennaio 1998 al 31 marzo 1998.

Attrib *.* +h ovvero: chi è soggetto alla notifica?
Uno fra i punti maggiormente critici del testo di legge nella sua versione originale era costituito dal fatto che praticamente chiunque avrebbe dovuto notificare al Garante una serie di cose (maggiori informazioni sui precedenti numeri di CP) come l'identità del titolare, quella del responsabile del trattamento, la natura dei dati, il luogo ove sono custoditi e le categorie di interessati cui i dati si riferiscono, l'indicazione della banca di dati o delle banche di dati cui si riferisce il trattamento, nonché l'eventuale connessione con altri trattamenti o banche di dati, anche fuori del territorio nazionale; il numero di scarpe del portiere dello stabile ove ha sede l'azienda e il gusto di gelato preferito dal ragazzo che ogni giorno porta la colazione al tabaccaio dal quale si acquistano solitamente i francobolli... resisi evidentemente conto che la situazione era sul punto di esplodere i legislatori hanno pensato bene di semplificare gli adempimenti (addirittura escludendoli per alcune categorie), il che significa probabilmente la nascita di una miriade di società che - paravento di realtà molto più grosse - continueranno ad impiparsene della leggeJ
Profeticamente J sul numero scorso avevo invitato a scrivere al Garante prima che l'ennesima modifica affievolisse i diritti dei Cittadini... e infatti puntuale è arrivata la conferma. Una nota di colore.
Leggendo a contrario l'art. 7 comma V ter che esenta dall'obbligo della notificazione diverse categorie di soggetti si ricava che prima della modifica estiva si poteva rischiare di andare sotto processo per non avere comunicato l'esistenza della propria rubrica telefonica, o per avere messo su un museo. Questa affermazione sembra pazzesca ma deriva rigorosamente dalla lettura del testo normativo ed il ragionamento non è poi così astruso: se la legge mi dice che da oggi in poi NON devo notificare la mia rubrica telefonica allora vuol dire che fino a ieri avrei dovuto... elementare Watson!
Applicando questo metodo scopro che avrebbero rischiato pesanti sanzioni - tanto per citare in ordine sparso - i detentori di rubriche telefoniche private (ora esentate ai sensi della lettera d) dell'articolo citato), gli enti morali e le associazioni di volontariato (lettere l-m), gli amministratori di condominio (lettera q).
Ciò che invece non è ancora chiaro è se nella notifica deva essere contenuto anche l'intero data-base creato dagli operatori (non prendetemi per pazzo, la legge non la ho scritta io!). Il dubbio sorge dalla lettura coordinata di due articoli che non sono stati toccati dalle modifiche il 13 e il 31.
Il primo stabilisce al comma I che in relazione al trattamento di dati personali l'interessato ha diritto: a) di conoscere, mediante accesso gratuito al registro di cui all'articolo 31, comma 1, lettera a), l'esistenza di trattamenti di dati che possono riguardarlo. Il secondo dice che Il Garante ha il compito di: a) istituire e tenere un registro generale dei trattamenti sulla base delle notificazioni ricevute. Stando così le cose mi viene da pensare che se accedo al registro generale dei trattamenti dovrei poter interrogare l'Altavista di turno per chiedergli in quali trattamenti siano presenti dati che mi riguardano, ma se il contenuto degli archivi non viene comunicato al Garante a cosa mi serve consultare questo meta-archivio?
C'è di più, se dovesse essere necessario comunicare anche il contenuto degli archivi ciò significherebbe dover notificare al Garante ogni singolo cambiamento del loro contenuto.
Se, viceversa, il registro non dovesse essere strutturato in questo modo allora il Garante, ricevuta la richiesta del cittadino, dovrebbe scrivere ad ogni soggetto che ha provveduto alla notificazione per formulare il quesito: sei in possesso di dati riguardanti il sig. Tizio? Anche in questo caso la soluzione sarebbe evidentemente inattuabile con la conseguenza che non sarà possibile utilizzare questo strumento di consultazione con buona pace dei diritti dell'interessato. Terrorismo giuridico? Non credo, piuttosto, semplice lettura del testo normativo, anche se spero vivamente di essere smentito dai fatti. In ogni caso basta provare: l'indirizzo c'è e non appena sarà istituito il Registro in questione ci vorrà poco a conoscere la verità.
A questo punto credo che il livello di confusione di chi legge abbia superato il livello di guardia... insomma cosa si deve fare? Quando? Come?
La risposta è - citando Antonio Lubrano - "Non lo so!" e non (solo) perché la legge è farraginosa in sé tanto da richiedere un esperto crittoanalista piuttosto che un avvocato, quanto piuttosto perché altre modifiche giungeranno sicuramente nel prossimo futuro.
Conclusione: che a breve sia diffusa la beta 4 me lo aspetto, quello che non so immaginare è la data della release 1.0...

Per maggiori dettagli sulla legge 675 e sui criteri applicativi vedi la documentazione su interlex.

`Homepage Gandalf`	`Homepage WMTools`