Il nuovo codice dei dati personali. Quali saranno gli impatti sul mondo IT.

di Andrea Monti – PC Professionale n. 153

I sistemi informativi e i programmi dovranno ridurre al minimo l’utilizzo di dati personali. Obbligatorie le procedure di autenticazione delle risorse che accedono alle informazioni

Il primo gennaio 2004 entra in vigore il d.lgs. 196/2003 (il cui testo è disponibile sul sito www.ictlaw.net nella sezione “normativa”) che sostituisce integralmente la legge sui dati personali emanata nel 1996. Il testo del nuovo provvedimento – che dalla vecchia legge eredita confusione e ambiguità – si compone di quasi duecento articoli e di tre allegati (in realtà sono due, perchè il terzo, sui trattamenti dei dati a fini di polizia è ancora da emanare) e ha lo scopo dichiarato di regolamentare a 360 gradi la tutela della riservatezza e integrità dei dati personali praticamente in ogni settore di attività. Questo vale in modo particolare per il settore IT che viene assoggettato a regole stringenti (ma difficilmente applicabili) per lo sviluppo di software, la configurazione di applicazioni e sistemi, la conservazione dei dati.

L’art. 3 del Codice dei dati personali, ad esempio, stabilisce che i sistemi informativi e i programmi informatici sono configurati riducendo al minimo l’utilizzo di dati personali e di dati identificativi, in modo da escluderne il trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante, rispettivamente, dati anonimi o opportune modalità che permettano di identificare l’interessato solo in caso di necessità.
Traducendo in pratica le indicazioni di questo articolo, ne deriva che i sistemi informativi o programmi che non sono configurabili o gestibili in modo da soddisfare i requisiti suddetti, non potranno più essere utilizzati senza, automaticamente, violare la legge. Il che, in realtà aziendali complesse, può rappresentare un serio problema in termini di costi e tempi. Specie se si considera che per “sistemi informativi” non s’intende un semplice server (per quanto potente) ma l’intero sistema di gestione dei dati di cui i computer sono soltanto un componente.

Bisognerà poi capire come si orienteranno i produttori di applicazioni (specie basate sul modello di licensing proprietario) per mettere a norma i software anche di utilizzo più comune. Gli articoli da 33 a 36 si occupano invece di sicurezza (essenzialmente) dal punto di vista informatico e impongono l’adozione entro il prossimo 30 giugno 2004, di articolate misure fra cui procedure di autenticazione e identificazione delle risorse che accedono ai dati oltre che l’impiego esplicito di sistemi crittografici. Mentre rimane alquanto oscuro il significato della misura indicata nel comma 1 lettera e) dell’art.34 che impone la protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici, senza specificare quali siano questi “determinati programmi”. Cercando di immaginare a cosa stesse pensando il legislatore, si potrebbe intuire che la norma imponga di usare antivirus e software di intrusion detection.

Dal punto di vista della protezione dell’utente, oltre a norme sullo spam (che però si rivelano praticamente inutili per tutto ciò che arriva dall’estero), va segnalato l’art.122 che disciplina la raccolta delle informazioni dell’abbonato o dell’utente e che vieta, senza il consenso espresso dell’abbonato o dell’utente, di accedere a un apparecchio terminale per archiviare informazioni o monitorare le operazioni dell’utente. Cercando, ancora una volta, di dare concretezza alla norma, è pensabile che si stia parlando di spyware ma anche dei servizi di aggiornamento e patching oramai diventati standard che consentono il download delle novità solo dopo che il produttore ha adeguatamente “analizzato” i contenuti del Pc dell’utente.

Dal prossimo gennaio questa tipologia di servizio dovrà essere necessariamente strutturata in modo da fornire esplicitamente le informazioni di legge. Non essendo più possibile utilizzare la sbrigativa formuletta “nessuna informazione personale verrà inviata al produttore” o simili. Infine, è prevedibile che grazie al codice dei dati personali il nuovo anno sarà caratterizzato da un forte impulso commerciale ai prodotti e servizi di sicurezza. C’è solo da sperare che non si tratti, come già accade oggi, di “sicurezza di carta”. Basata più sulla conformità a procedure e burocrazia che sull’effettivo sviluppo di una cultura della protezione dei dati.

Possibly Related Posts: