Qualche anno fa il virus Kamasutra aveva mandato in tilt i PC del Comune di Milano: la questione si era conclusa con una pessima figura del Comune, una multa emanata dall’Autorità Garante in materia di protezione dati personali per omissione di misure di sicurezza (circa 70.000 euro di sanzioni amministrative) ed un termine imposto sempre dal Garante, per effettuare il cosiddetto “ravvedimento”: provvedere alla regolarizzazione degli antivirus entro i tempi imposti dall’Autorità.
Oggi la questione sembra riaprirsi, anzi si riaprono in questo caso le porte del Tribunale Penale di Milano, in quanto un PM piuttosto attento alla materia ha notificato un avviso di garanzia al Responsabile dei sistemi informatici dell’epoca, contestando ben due reati: quello di omissione di controllo delle misure di sicurezza dei sistemi informativi, l’altro consistente in false attestazioni rese al Garante in relazione all’adeguamento alle misure trascorso il termine prescritto dal medesimo Garante per la messa a norma.
Di quali reati stiamo parlando? Stiamo parlando di due reati procedibili di ufficio, presenti nel decreto legislativo 196/2003 (cosiddetto Codice in materia di protezione dati personali) i quali prevedono non poche conseguenze negative in caso di accertamento della responsabilità dei soggetti indagati.
Il reato inerente le misure di sicurezza è citato all’art. 169 del suddetto Codice, il quale prevede espressamente che:
1 – Chiunque, essendovi tenuto, omette di adottare le misure minime previste dall’articolo 33 è punito con l’arresto sino a due anni o con l’ammenda da diecimila euro a cinquantamila euro;
2 – All’autore del reato, all’atto dell’accertamento o, nei casi complessi, anche con successivo atto del Garante, è impartita una prescrizione fissando un termine per la regolarizzazione non eccedente il periodo di tempo tecnicamente necessario, prorogabile in caso di particolare complessità o per l’oggettiva difficoltà dell’adempimento e comunque non superiore a sei mesi. Nei sessanta giorni successivi allo scadere del termine, se risulta l’adempimento alla prescrizione, l’autore del reato è ammesso dal Garante a pagare una somma pari al quarto del massimo dell’ammenda stabilita per la contravvenzione. L’adempimento e il pagamento estinguono il reato.
Ebbene, all’epoca del primo controllo fu impartito al Comune il termine di prescrizione per l’adeguamento, difatti il Responsabile dei sistemi informativi rilasciò poi successivamente al Garante la dichiarazione inerente l’adeguamento avvenuto, evento che evidentemente avrebbe generato la presunta violazione lamentata dal PM ovvero la resa di false attestazioni all’Autorità Garante. Il problema è sorto quando a fine anno passato, proprio l’Autorità ha promosso una verifica presso il Comune, considerata la precedente gravità dei fatti: dall’accertamento è emersa la presenza di antivirus su 7000 e passa client, rispetto ai 10.500 client presenti realmente presso gli uffici del Comune.
È ovvio che ad oggi sotto il profilo penale si sta esclusivamente parlando di una potenziale responsabilità, è pur vero che gli aspetti relativi alla responsabilità penale nell’ambito privacy, vengono fin troppo sottovalutati.
Spesso titolari e responsabili dei trattamenti sono scettici circa i controlli e la concretezza delle responsabilità derivanti in materia di privacy, ritenendo con troppa leggerezza che le misure di sicurezza non a norma oggi, verranno “sistemate” nel tempo. Il tempo è già arrivato, il Codice in materia di protezione dati personali è in vigore dal primo gennaio 2004, le misure di sicurezza, anche se non fossero imposte dal legislatore, dovrebbero essere applicate solo alla luce dell’importanza che i dati rivestono all’interno del settore pubblico o privato: antivirus, password, back-up non dovrebbero trovare imposizione nel Codice privacy, dovrebbero essere una premura dei titolari del trattamento, adottando semplicemente una diligenza media.
E soprattutto in caso di outsourcing nella gestione delle misure di sicurezza, sarebbe opportuno effettuare controlli ed avere riscontri circa la veridicità delle misure adottate. Resta inteso che realtà estese come possono essere quelle dei Comuni o altri enti che contano più di 10.000 client, avrebbero dovuto “spalmare” l’impegno economico ed organizzativo della messa a norma negli anni subito successivi all’entrata in vigore del Codice. Oggi questo ancora in molte strutture non avviene, ma non c’è più nessuna scusante… O è privacy o non è privacy!
Avv. Valentina Frediani
www.consulentelegaleinformatico.it
www.consulentelegaleprivacy.it