Computer Programming n.ro 1 del 19-08-98
di Andrea Monti
E’ proprio vero, l’informatica – almeno “certa” informatica – comincia ad esportare la propria filosofia produttiva negli ambiti più diversi ed impensati.
Con buona pace di chi era convinto che l’apporto del silicio ai codici (quelli giuridici J) fosse da qualificare in termini di formalizzazione del linguaggio, automazione del processo decisionale ecc. ecc. ecc., la recente legge sui dati personali ha dimostrato inequivocabilmente che Zio Bill (no, non quello di “Tre nipoti e un maggiordomo”) ha permeato della suo pensiero anche il Parlamento italiano.
Non è più solo Windows 95 che prima viene messo sul mercato in versione di fatto beta e poi tamponato da service pack, power kit, nuove fat in un work in progress destinato a non avere mai fine, adesso tocca anche alla privacy.
La legge sui dati personali puntualmente in ritardo.
L’otto maggio rischia di essere annotato negli annali come un vero e proprio “giovedì nero”.
In quella data infatti è entrata (o avrebbe dovuto entrare?) in vigore quella parte della legge sulla tutela della privacy che fra gli svariati pazzeschi adempimenti impone di richiedere autorizzazioni, fornire informazioni a richiesta degli utenti, adottare misure di sicurezza da far impallidire i server della National Security Agency.
Per molto tempo chi parlava degli effetti paradossali (e fortemente onerosi sotto il profilo economico) di questa legge era visto come una specie di uccello del malaugurio presagio di sventure che era meglio non stare a sentire. Reazione comprensibile ma non funzionale, infatti quando ci si è resi conto che non si trattava di uno scherzo l’incantesimo si è rotto e dall’oblio si è tornati alla cruda realtà cioè al panico. Un esempio banale ma indicativo: a fine aprile ho avuto occasione di tenere una relazione sulla legge in un convegno per aziende e responsabili degli uffici legali: il risultato fu una completa Babele! Da un parte i relatori dimostravano con argomentazioni rigorose che la legge è praticamente inapplicabile, dall’altra il pubblico rumoreggiava invocando soluzioni che nemmeno la più ardita delle interpretazioni avrebbe potuto dare, scaricando la propria frustrazione su chi stava dall’altra parte quasi fossero i responsabili delle sventure che si profilavano all’orizzonte.
Effetti paradossali
Per non andare troppo lontano immaginerò di essere uno dei partecipanti a quel convegno, diciamo il legale rappresentante di una S.r.l. che opera nel campo dell’informatica offrendo consulenze, sviluppo di applicativi, internet hosting e quant’altro.
Dunque, ai sensi dell’art.15 devo adottare una serie di misure di sicurezza fisica e logica (badate bene, si tratta anche di serrature, casseforti, grate alle finestre e così via) in grado di garantire l’integrità e l’inaccessibilità dei dati. Se non lo faccio rischio una condanna fino a due anni con una multa. Se poi ai succede qualcosa ai dati presenti nei miei archivi e la persona alla quale quei dati si riferiscono subisce danni (tipicamente un disco rigido che passa a miglior vita) praticamente non posso difendermi. Non posso dire che mi ero diligentemente organizzato con un rigido sistema di controllo degli accessi, o che l’antifurto fino al giorno prima aveva funzionato senza dare segni di cedimento perché la struttura della responsabilità così come è concepita nella legge 675/96 consente di non essere ritenuti responsabili solo se si riesce a provare che il fatto si è verificato per caso fortuito o forza maggiore, e comunque rispetto all’implementazione di sistemi di sicurezza allo stato dell’arte. Tradotto: bisognerebbe passare la vita a girare in rete e no per trovare giorno dopo giorno l’ultimo modello di porta blindata o di smart-card.
Ma come, direbbe il nostro imprenditore, io che si e no riesco a sbarcare il lunario devo strutturarmi come la CIA? Sì, perché la legge non prevede una proporzionalità nell’adozione dei sistemi di sicurezza…
Amen, farò questo enorme sforzo, trasformo la mia sede di 100 mq in una specie di fortilizio e tiro un sospiro di sollievo, ma giusto un sospiro perché a questo punto mi viene in mente che i sistemi operativi che ho installato sulle mie macchine tutto sono tranne che affidabili… oh bella, stai a vedere che mi tocca buttare alle ortiche l’intero parco software per installare qualcosa di più affidabile… che sò magari un bello UNIX! Si, ma chi glielo dice alla segretaria come si usa LATEX? Tiremm’ innanz’ (trad. andiamo avanti)… passo tutto sotto UNIX e attivo tutte le procedure di sicurezza. Morale, dopo qualche giorno i dipendenti mi si rivolteranno contro perché non riescono a lavorare e vogliono l’aumento…
Dopo una faticosa mediazione fra dipendenti e responsabile della sicurezza (che nel frattempo dovrò nominare) mi accorgo che stanno per scadere i termini entro i quali devo cominciare ad informare le persone delle quali tratto i dati dei loro diritti (come nei film americani). Come devo fare? Il commercialista difficilmente potrà essermi d’aiuto… tocca rivolgersi ad un avvocato, magari faccio una domanda ai relatori così risparmio la consulenza!
Attenzione, cosa stanno dicendo? Internet è fuori legge? Ma sono pazzi! Basta, devo cercare di capirci qualcosa, non è possibile che qualcuno abbia veramente pensato di far applicare una legge del genere…
Quell’imprenditore è stato trovato leggermente cadavere in una toilette della stazione. Non si è ancora capito se le cause della morte siano da attribuire all’infarto seguito alla lettura della Gazzetta Ufficiale, o al soffocamento causato dall’aver cercato di ingoiarla in un colpo solo.
A parte gli scherzi
Questa legge è veramente fatta male. Nonostante tutte le assicurazioni da più parti ricevute in questi giorni, a partire dal prof. Rodotà, nominato Garante per la tutela dei dati personali, sul fatto che la legge sarebbe stata applicata con buon senso, che certe interpretazioni erano solo esagerazioni e via discorrendo, io non mi sento affatto tranquillo.
E’ l’argomentazione stessa che mi fa dormire male. Se le leggi sono fatte bene si applicano punto e basta; viceversa se qualcuno mi dice che la legge verrà applicata con buon senso allora mi sorge il dubbio che ci sia qualcosa di storto e come vedrete, la conferma di questo sospetto è arrivata puntuale.
A beneficio di chi non avesse letto gli scorsi numeri di CP riassumo in breve e sommariamente i termini della questione.
· La legge tutela le persone dal trattamento illecito di dati personali realizzato con o senza l’impiego di computer imponendo a chiunque – dico chiunque – gestisce dati di informare l’interessato di ciò che si intende fare con le informazioni che lo riguardano, acquisendo il consenso SCRITTO dello stesso.
· Devono essere adottate le misure di sicurezza (fisiche e logiche) previste allo stato dell’arte, a prescindere dal tipo di attività svolta: ortolani (senza offesa per la categoria J) e multinazionali devono difendersi allo stesso modo… altrimenti, come cantava Edoardo Bennato, in prigione, in prigione!
· Al Garante devono essere richieste delle autorizzazioni altrimenti alcuni dati non si possono trattare.
· Al Garante si deve notificare una dichiarazione nella quale si dicono tante belle cose (dove sono i dati, chi li gestisce, come sono protetti ecc.ecc.), e se non lo si fa, o si scrive qualcosa di sbagliato si commette reato (reclusione più multa).
· Chiunque può scrivere ad un’azienda chiedendo se questa detiene i suoi dati, se non si risponde (anche negativamente) si finisce in Tribunale.
· L’esportazione di dati all’estero è autorizzata dal Garante, altrimenti è reato…povera Internet.
Tutto questo e molto altro ancora doveva essere fatto a partire appunto dall’otto maggio entro una serie di date molto ravvicinate.
Il risultato, nell’impossibilità pratica di adempiere a tutti i bizantinismi dei quali è infarcita la legge, è che o l’entrata in vigore veniva rinviata o altrimenti Garante e Magistratura avrebbero dato il via al più grande tiro al piccione della storia.
Che si fa, rinviamo?
Neanche per sogno! E’ stata la sdegnata risposta dei soggetti deputati all’attuazione della legge. Si tratta di un momento importante per la tutela dei diritti civili che non può subire ulteriori rallentamenti o ritardi! E infatti il 7 maggio (un giorno prima dell’entrata in vigore della legge) leggiamo a pag.24 de Il Sole-24 ore che lo stesso prof.Rodotà esclude lo slittamento, salvo poi essere smentito, anche se parzialmente, dalla Presidenza del Consiglio dei Ministri che già il 2 maggio (ben cinque giorni prima) aveva predisposto una bozza per il rinvio almeno degli adempimenti burocratici che destavano maggiore preoccupazione (vedi Italia Oggi – 8 maggio – che titola in prima pagina Privacy, rinvio dei termini).
Puntualmente il 9 maggio tutto ciò che riguarda autorizzazioni al Garante “slitta” (eufemismo che tradotto significa: per ora non se ne parla, in futuro si vedrà) all’anno nuovo.
Dai codici al silicio e non viceversa
A questo punto, prima entrare nel dettaglio delle modifiche, devo fare pubblica ammenda per avere attribuito a Zio Bill la responsabilità di avere effettuato il porting delle sue strategie in Parlamento… in realtà è vero esattamente il contrario, è stato lui ad imparare da noi!
Mentre scrivevo questo pezzo mi sono venuti in mente altri fulgidi esempi di italica efficienza legislativa pensando alla legge 626/94, quella sulla sicurezza sul lavoro addormenta a furia di proroghe, o ancora prima, a quella sull’autocertificazione, inapplicata per decenni.
Nel caso della legge sui dati personali c’è però un aggravante. Non si può dire di non sapere.
Critiche, perplessità, indicazioni sulle modifiche… sono almeno due o tre anni che tutto ciò costituisce oggetto di pubblico dibattito, che però si è scelto di ignorare sistematicamente, andando avanti a testa bassa per giungere a quella che di fatto è una pubblica confessione di fallimento.
E adesso?
La parte più importante della modifica riguarda senz’altro gli adempimenti burocratici vediamo in sintesi cosa cambia.
· Le autorizzazioni al Garante vanno richieste a partire dal 30 novembre 1997. Unica eccezione (art.28 c.IV lett.g) è quella del trasferimento di dati personali al di fuori dell’Unione Europea.
· Entro il 30 novembre 1997 gli interessati (i soggetti cui i dati si riferiscono) dovranno essere informati (anche oralmente) dei loro diritti e delle modalità e fini del trattamento.
Ci sono poi alcune altre modifiche per ora inessenziali all’economia del discorso, il punto è che questo rinvio equivale semplicemente a cercare di fermare un treno con una mano (a proposito, pare che per una questione di fisica, nemmeno Superman avrebbe potuto farlo – fermare il treno, non rinviare la legge!).
Nonostante i molti pareri favorevoli a questo rinvio permangono diverse zone d’ombra. Un esempio per tutti: nella bozza presentata dalla presidenza del Consiglio dei Ministri era stabilito anche il rinvio delle notifiche previste dall’art.7 della legge, mentre sul testo definitivo tutto ciò è assente.
Ne consegue che la notifica al Garante e l’acquisizione del consenso dell’interessato sono obblighi tuttora vigenti la cui inosservanza rimane sanzionabile.
Applicare questa legge è e resterà molto difficile, soprattutto se non si entra nell’ottica di imparare a conviverci. E’ molto frequente l’approccio del tipo ditemi che cosa devo fare in pratica e non rompete le scatole con disquisizioni teoriche…No caro “avvocato d’impresa” o venditore di sistemi di sicurezza, purtroppo per voi le cose non funzionano in questo modo. E’ necessario capire l’impostazione (pur traballante) della legge che per la sua invasività richiede un monitoraggio continuo e costante dell’attività quotidiana e non solo qualche moduletto o prestampato.
Negli scorsi numeri di CP avevo scritto che solo il tempo avrebbe portato alla luce del sole i problemi pratici connessi all’attuazione della legge, ora devo pensare che se le cose andranno avanti così il sole lo vedremo a scacchi.
Possibly Related Posts:
- Lo Human Genome Meeting di Roma riporta in primo piano la necessità di liberare l’uso dei dati
- Quali conseguenze potrebbe avere il possibile bando di TikTok negli Usa
- Social network, poteri privati e diritti pubblici
- La “privacy” uccide gli esseri umani per proteggere la persona
- GDPR e OpenAI: quanto sono fondate le accuse del Garante?