La TempesTa perfeTTa: è iL momenTo deLL'open source - Magirus
La TempesTa perfeTTa: è iL momenTo deLL'open source - Magirus
La TempesTa perfeTTa: è iL momenTo deLL'open source - Magirus
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
Rischi normativi per le aziende derivanti<br />
dalla perdita di dati<br />
<strong>La</strong> perdita di dati e informazioni dai sistemi<br />
informatici aziendali, può avere anche<br />
delle conseguenze sotto il profilo sanzionatorio,<br />
in caso di mancato rispetto delle<br />
normative vigenti che impattano su questo<br />
ambito. In particolare, occorre considerare<br />
che i sistemi informatici aziendali contengono<br />
inevitabilmente dati personali, in<br />
alcuni casi anche sensibili, ed il legislatore<br />
comunitario ed italiano hanno pertanto<br />
considerato i rischi di violazione della<br />
privacy connessi all’utilizzo delle nuove<br />
tecnologie. Per questi motivi il decreto<br />
legislativo 30 giugno 2003 n° 196 (Codice<br />
in materia di protezione dei dati personali)<br />
ha modificato e introdotto ex novo specifici<br />
obblighi di sicurezza anche per coloro<br />
che trattano dati personali con l’ausilio di<br />
strumentazioni informatiche.<br />
Come noto, il codice, con riferimento<br />
alle misure di sicurezza, ha previsto l’importante<br />
distinzione tra misure idonee<br />
e misure minime, con le differenze in<br />
termini di disciplina ad esse associata di<br />
seguito brevemente delineate. Il principio<br />
fondamentale in materia di applicazione<br />
delle misure di sicurezza a protezione dei<br />
dati personali <strong>è</strong> quello stabilito dall’art. 31<br />
d.lgs 196/2003 (“Obblighi di sicurezza”)<br />
in base al quale ”I dati personali oggetto<br />
di trattamento sono custoditi e controllati,<br />
anche in relazione alle conoscenze acquisite<br />
in base al progresso tecnico, alla natura<br />
dei dati e alle specifiche caratteristiche<br />
del trattamento, in modo da ridurre al<br />
minimo, mediante l’adozione di idonee e<br />
preventive misure di sicurezza, i rischi di<br />
distruzione o perdita, anche accidentale,<br />
dei dati stessi, di accesso non autorizzato o<br />
di trattamento non consentito o non conforme<br />
alle finalità della raccolta”. Questo<br />
articolo, quindi, impone alle organizzazioni<br />
di effettuare una valutazione al proprio<br />
interno dei rischi di compromissione del<br />
proprio patrimonio informativo, al fine<br />
di individuare le misure di sicurezza che<br />
risultino idonee alla loro prevenzione. Il<br />
Codice prevede espressamente un obbligo<br />
di protezione dei dati personali dal rischio<br />
di una loro distruzione o perdita anche<br />
accidentale. Si sottolinea come il legislatore<br />
abbia ritenuto di non fornire alcuna<br />
elencazione delle misure di sicurezza,<br />
proprio in considerazione del fatto che<br />
l’idoneità di un complesso di misure di<br />
sicurezza dipende delle specifiche caratteristiche<br />
del contesto delle singole organizzazioni.<br />
Il codice, inoltre, non ricollega<br />
alla violazione di questa norma alcuna<br />
sanzione di carattere penale, tuttavia, sul<br />
piano civilistico, la mancata adozione<br />
delle misure idonee che risultino in tal<br />
senso insufficienti nella valutazione del<br />
magistrato eventualmente adito determinerebbero<br />
la condanna al risarcimento dei<br />
danni patiti dal terzo interessato. Attraverso<br />
la qualificazione del trattamento<br />
dei dati personali come attività pericolosa<br />
(art. 2050 c.c.), infatti, la colpa in capo<br />
all’azienda nella verificazione di un danno<br />
si considera presunta, con il difficile onere<br />
in capo a quest’ultima di dimostrare, a sua<br />
giustificazione, di aver adottato tutte le<br />
misure idonee ad evitarlo e che lo stesso<br />
si <strong>è</strong> quindi verificato per causa a lei non<br />
imputabile.<br />
Il Codice, ha poi introdotto il concetto<br />
di “misure di sicurezza minime”, che si<br />
sostanziano in quelle misure di sicurezza<br />
(dettagliatamente elencate nell’articolo 34<br />
e nell’Allegato B del Codice) che devono<br />
tassativamente essere applicate nei casi ivi<br />
previsti da tutti i soggetti che effettuano<br />
trattamenti di dati personali con strumenti<br />
elettronici (analoghe misure minime sono<br />
previste anche per i trattamenti non automatizzati).<br />
Lo scopo di tale previsione <strong>è</strong><br />
quello di assicurare a tutti i tipi di trattamento<br />
effettuati con tali strumenti una<br />
soglia minima di protezione, al di sotto<br />
della quale non <strong>è</strong> consentito scendere<br />
posto che in tali casi di inadempimento si<br />
applicano le sanzioni amministrative (da<br />
ventimila euro a centoventimila euro – art.<br />
162 comma 2 d.lgs. 196/2003) e penali<br />
(l’arresto sino a due anni in capo al soggetto<br />
tenuto all’applicazione delle misure<br />
minime, salva la possibilità si estinguere<br />
il reato a particolari condizioni - art. 169<br />
d.lgs. 196/2003) previste dal codice e<br />
recentemente inasprite.<br />
Sulla base delle precedenti considerazioni,<br />
il titolare del trattamento dei dati per<br />
Parola di legale<br />
Security<br />
Gabriele Faggioli<br />
Legale, Partner ISL<br />
gabriele.faggioli@<br />
islconsulting.it<br />
23