Spero di avere capito male…

Computer Programming n.ro 66 del 01-01-98

di Andrea Monti

Ennesimo capitolo della telenovela che sta tenendo col fiato sospeso tutti gli italiani: il Garante dei dati emana quattro (diconsi quattro) autorizzazioni generali per il trattamento dei dati sensibili, un comunicato stampa relativo alla figura del titolare e rilascia su un floppy il modulo della notifica prevista dall’art.7 della legge, da consegnare entro il 31 marzo 1998, mentre – al 15 di dicembre 1997 – nessuna notizia (ufficiale) del famigerato regolamento sulle misure di sicurezza che alcuni oramai danno per missing in action.

Le autorizzazioni

Dal 30 novembre scorso il trattamento dei dati sensibili (vita sessuale, stato di salute, opinioni politiche e convinzioni religiose) è soggetto alla duplica formalità dell’ottenimento per iscritto del consenso da parte dell’interessato e del rilascio di un’autorizzazione da parte del Garante.

In quest’ultimo caso è previsto un meccanismo di silenzio rigetto secondo il quale se entro venti giorni dalla presentazione della richiesta non si riceve la comunicazione dell’avvenuta autorizzazione, il trattamento di quei dati è vietato (va da sé che attendendo l’autorizzazione i dati non devono essere manipolati). Provate ad immaginare in quali condizioni si trovano (o avrebbero potuto trovarsi) aziende e lavoratori… ritenute sindacali, permessi per malattia, curricula con le indicazioni sul servizio militare (eri obiettore di coscienza?), per non parlare dei medici che senza l’autorizzazione scritta dei pazienti non avrebbero potuto conservarne le cartelle cliniche a fini terapeutici.

Fantascienza?

A giudicare dagli eventi sembra proprio di no.

Questi problemi – già noti ancora prima dell’approvazione della legge ma sistematicamente ignorati – sono stati oggetto dell’ennesima operazione chirurgica d’urgenza che ha nuovamente cambiato la fisionomia della legge (sarebbe meglio dire monstrum).

Con uno straordinario “senso del tempo” sul filo del rasoio il Garante ha italicamente pensato di risolvere gli straordinari garbugli – per non dire di peggio – normativi con provvedimenti generali che dicono in sintesi: tutti quelli che appartengono ad una certa categoria non mi devono chiedere nulla perché li autorizzo preventivamente.

I miracolati sono appunto datori di lavoro (aut. 1/1997 in Gazzetta Ufficiale – Serie generale n. 272 del 21 novembre 1997); gli esercenti professioni sanitarie (aut. 2/1997 in Gazzetta Ufficiale – Serie generale n. 279 del 29 novembre 1997); gli organismi di tipo associativo e le fondazioni (aut.3/1997 in Gazzetta Ufficiale – Serie generale n. 279 del 29 novembre 1997) e i liberi professionisti (aut. 4/1997 in Gazzetta Ufficiale – Serie generale n. 281 del 2 dicembre 1997).

Forse è banale – ma opportuno – ricordare che quando viene esplicitamente stabilita un’eccezione alla regola vuol dire che fino a quel momento la regola era interpretabile in modo da far rientrare la prima nella seconda, a buon intenditor…

La prima autorizzazione come detto riguarda il mondo del lavoro ed è automaticamente rilasciata a:

a) alle persone fisiche e giuridiche, alle imprese, agli enti, alle associazioni e agli organismi che sono parte di un rapporto di lavoro o che utilizzano prestazioni lavorative anche atipiche o parziali o temporanee ai sensi della legge 24 giugno 1997, n. 196, o che comunque conferiscono un incarico professionale alle figure indicate al successivo punto 2, lettere b) e c);

b) ad organismi paritetici e ad altri organismi che gestiscono osservatori in materia di lavoro, previsti da leggi, da regolamenti o da contratti collettivi anche aziendali, ovvero dalla normativa comunitaria.

L’autorizzazione riguarda anche l’attività svolta dal medico competente in materia di igiene e di sicurezza del lavoro, in qualità di libero professionista o di dipendente dei soggetti di cui alla lettera a) o di strutture convenzionate.

I soggetti di cui sopra possono quindi trattare dati relativi ai lavoratori dipendenti (compresi tirocinanti, praticanti apprendisti, collaboratori ecc.); ai consulenti, liberi professionisti, agenti, rappresentanti e mandatari; a candidati all’instaurazione di rapporti di lavoro (cioè i curricula); a persone fisiche che ricoprono cariche sociali nelle persone giuridiche, negli enti, nelle associazioni e negli organismi di cui sopra (direttori generali, funzionari ecc. ecc.).

Veniamo ora alla seconda che si occupa della sanità; destinatari del provvedimento sono:

a)… medici-chirurghi, agli odontoiatri e agli altri esercenti le professioni sanitarie iscritti in albi o in elenchi;

b) … personale sanitario infermieristico, tecnico e della riabilitazione che esercita l’attività in regime di libera professione;

c)…istituzioni e agli organismi sanitari privati anche quando non operino in rapporto con il Servizio sanitario nazionale.

a) ai medici-chirurghi, agli odontoiatri e agli altri esercenti le professioni sanitarie iscritti in albi o in elenchi;

b)al personale sanitario infermieristico, tecnico e della riabilitazione che esercita l’attività in regime di libera professione;

c) alle istituzioni e agli organismi sanitari privati anche quando non operino in rapporto con il Servizio sanitario nazionale.

mentre vi risparmio l’indicazione della altre dieci categorie di soggetti indicate da questo provvedimento vengo al successivo, che concede l’autorizzazione:

a)alle associazioni anche non riconosciute, ivi comprese le confessioni religiose e le comunità religiose, i partiti e i movimenti politici, le associazioni e le organizzazioni sindacali, i patronati, le associazioni di categoria, le organizzazioni assistenziali o di volontariato, nonché le federazioni e confederazioni nelle quali tali soggetti sono riuniti in conformità, ove esistenti, allo statuto, all’atto costitutivo o ad un contratto collettivo;

b)alle fondazioni, ai comitati e ad ogni altro ente, consorzio od organismo senza scopo di lucro, dotati o meno di personalità giuridica, ivi comprese le organizzazioni non lucrative di utilità sociale (Onlus);

c)alle cooperative sociali e alle società di mutuo soccorso di cui, rispettivamente, alle leggi 8 novembre 1991, n. 381 e 15 aprile 1886,n. 3818.

Si chiude in bellezza con le libere professioni:

L’autorizzazione è rilasciata, anche senza richiesta, ai liberi professionisti tenuti ad iscriversi in albi o elenchi per l’esercizio di un’attività professionale in forma individuale o associata, o in conformità alle norme di attuazione dell’art. 24, comma 2, della legge 7 agosto 1997, n. 266, in tema di attività di assistenza e consulenza.

Sono equiparati ai liberi professionisti i soggetti iscritti nei corrispondenti albi o elenchi speciali, istituiti anche ai sensi dell’art. 34 del regio decreto-legge 27 novembre 1933, n. 1578, recante l’ordinamento delle professioni di avvocato e procuratore.

L’autorizzazione è rilasciata anche ai sostituti e agli ausiliari che collaborano con il libero professionista ai sensi dell’art.2232 del codice civile, ai praticanti e ai tirocinanti presso il libero professionista, qualora tali soggetti siano titolari di un autonomo trattamento o siano contitolari del trattamento effettuato dal libero professionista.

E’ abbastanza evidente che tutte queste indicazioni avranno un impatto (quale è ancora tutto da verificare) sullo sviluppo di programmi e in particolare, ovviamente, per i data-base. La prima cosa che mi viene in mente è che dovranno essere potenziate di molto le funzioni di controllo e dei login e monitoraggio delle operazioni condotte sui dati che tengano conto di tutte le specificazioni previste dalla legge in relazione ai vari soggetti che possono accedere alla base dati, ciò evidentemente cercando di fare tutto ciò nel modo più semplice e trasparente possibile per l’utente… come? Questo dovete dirmelo voi tecnici, ma la mia personale opinione – che siate sviluppatori o amministratori di sistema – è che vi attendono tempi molto duri J

Chi è titolare ha i suoi privilegi…

recitava lo spot di una nota carta di credito, ma in questo caso più che di privilegi si parla di responsabilità, perché se il titolare non individua appunto un responsabile (perdonate il bisticcio di parole) è destinatario in prima persona delle sanzioni previste dalla legge.

Il problema non sorge tanto per gli aspetti civili quanto – ancora una colta – per quelli penali. Societas delinquere non potest dicevano i latini e dunque, per tornare a noi, se il titolare è una società di capitali (cioè un soggetto giuridicamente autonomo dai componenti fisici) come la mettiamo?

La risposta della legge – confermata da una circolare del Garante datata 11 dicembre 1997 – è che in questo caso titolare non è la persona fisica ma la società nel suo complesso. Ne consegue che in questi casi acquista una importanza centrale la figura del responsabile al quale il titolare può attribuire dei compiti teoricamente di propria competenza, trasferendo anche le relative responsabilità.

Come è facile intuire si tratta di un altro punto di grande interesse per chi opera già come responsabile nei CED delle aziende o in situazioni analoghe: nella pratica si sta infatti già affermando la tendenza a “gratificare” questi soggetti con il nuovo incarico, magari camuffandolo con improbabili anglicismi mettendoli però letteralmente nelle pesti.

Il modulo e la firma digitale

Dopo il Ministero delle Finanze – di certo un antesignano in argomento – anche l’Ufficio del Garante dei dati ha scelto la via della diffusione di modulistica varia tramite floppy, rendendo disponibile addirittura un programmino (presumo in visual basic, ma potrei sbagliare) che dovrebbe guidare l’utente nella compilazione della notifica nell’ottica di uno spesso annunciato snellimento delle procedure.

Anche se quella distribuita in dicembre passa per essere la versione definitiva del modulo di notifica il consiglio è di non utilizzarla, almeno non immediatamente per una serie di ragioni che sintetizzo qui di seguito.

Una parte essenziale dell’applicazione concreta della legge riguarda le misure minime di sicurezza la determinazione delle cui entità e natura è attribuita al famoso regolamento missing in action di cui sopra. Siccome oltre alle suddette possono esserne adottate di ulteriori a discrezione del dichiarante ecco che nella notifica ne vengono indicate alcune (molte – ivi compreso l’inquietante campo “altro” – ma non tutte) senza però essere certi se in effetti ci sia stata coordinazione fra il regolamento e la notifica visto che il primo non lo si vede nemmeno all’orizzonte. Buon senso imporrebbe di pensare che il modulo della notifica sia stato concepito in funzione di una release pressocchè definitiva del provvedimento sulle misure di sicurezza, perché se così non fosse si dovrebbe ridere per non piangere… ad ogni modo – e vengo al punto – visto che il termine ultimo per effettuare le notifiche è il 31 marzo e considerati i dietro-front dell’ultim’ora cui siamo stati abituati nel corso della breve ma tormentata esistenza della legge 675-96, non sembra troppo sbagliato attendere l’ultimo giorno utile (o quasi) per sbrigare questa formalità sulla cui delicatezza non sarò mai abbastanza ripetitivo.

Chiudo su una breve annotazione tecnica. Dopo un setup (che su un intel p200 con 64 mega di ram e 6 giga di hard-disk è durato oggettivamente troppo) ci si trova di fronte a questo schema che – quando funziona – consente di archiviare i dati e stampare il modulo da inviare al Garante dei dati.

Sull’ultima schermata c’è un campo “firma” che risulta inattivo e lo help dice testualmente:

Il campo collegato alla firma elettronica per il momento non è attivo. Sarà usabile a decorrere dalla data indicata dal Garante, successivamente alla data di entrata in vigore della disciplina concernente la firma elettronica. Al momento è indispensabile apporre la firma sul documento cartaceo che deve essere stampato al termine della compilazione.

Tradotto questo dovrebbe significare: quando ci sarà la normativa sulla firma elettronica invece di firmare su carta lo farete elettronicamente riempiendo il campo in questione.

Per quel poco che so di crittografia a chiave pubblica la firma elettronica si applica ad un file che viene reso indecifrabile se non per mittente e destinatario in possesso delle relative chiavi.

Da quello che si legge nello help invece sembrerebbe – il condizionale è d’obbligo – affermarsi che la firma elettronica dovrebbe consistere in qualcosa tipo incollare nel campo la propria chiave pubblica o la fingerprint o chissà cos’altro (magari usare una tavoletta grafica).

Mai come in questo caso spero di avere capito male…

Possibly Related Posts: