Docsity
Docsity

Prepara i tuoi esami
Prepara i tuoi esami

Studia grazie alle numerose risorse presenti su Docsity


Ottieni i punti per scaricare
Ottieni i punti per scaricare

Guadagna punti aiutando altri studenti oppure acquistali con un piano Premium


Guide e consigli
Guide e consigli


Sicurezza dei dati personali: analisi del Codice Privacy italiano, Appunti di Informatica Giuridica

riassunto prof Pellerino università Salento

Tipologia: Appunti

2018/2019

Caricato il 28/01/2019

marechiaro
marechiaro 🇮🇹

4

(2)

4 documenti

1 / 11

Toggle sidebar

Questa pagina non è visibile nell’anteprima

Non perderti parti importanti!

bg1
Soggetti obbligati all'adozione delle misure [modifica]
Tutti i titolari di trattamento sono tenuti ad adottare misure minime individuate dal Codice e
secondo le modalità previste nel Disciplinare tecnico allegato al Codice. Va sottolineato come
l'articolo 31 del Codice non fa differenza tra violazione della riservatezza dei dati personali
propriamente detta - quale si avrebbe ad esempio nel caso di accesso a dati sensibili da parte di terzi
non autorizzati - e distruzione o perdita accidentale di dati già legittimamente raccolti e trattati. La
mancata custodia dei dati è comunque causa di un danno, e il responsabile di questo danno è
sanzionato. Infatti dal solo danno della distruzione o perdita dei dati derivano varie gravi
conseguenze: ad esempio il blocco delle attività, costi gestionali imprevisti, danno di immagine.
Inoltre poiché il privato deve poter fare affidamento sui dati che ha già comunicato, ne consegue
che in caso di negligente custodia egli può richiedere il risarcimento del danno. Per questi motivi il
soggetto che non adotta misure di sicurezza adeguate è sanzionato penalmente (se le misure non
rispettano i parametri previsti dal regolamento sulle misure minime secondo le modalità previste dal
Disciplinare Tecnico) e può essere chiamato a rispondere civilmente per il risarcimento del danno
(se le misure non sono idonee).
Ai sensi dell’art 31 del Codice, le misure di sicurezza adottate per il trattamento dei dati personali
devono essere:
adeguate in relazione alle conoscenze acquisite in base al progresso tecnico e tali da ridurre
al minimo i rischi di distruzione dei dati o accesso non autorizzato;
adottate in via preventiva e differenziate in base alla natura dei dati e alle specifiche
caratteristiche del trattamento.
Differenza tra misure minime e misure idonee [modifica]
Le misure di sicurezza minime si differenziano dalle idonee per i diversi livelli di responsabilità,
ma non solo. Il titolare deve individuare preventivamente misure di sicurezza che devono almeno
rispettare i parametri di sicurezza minimi individuati nel Codice (articoli 33, 34, 35 e 36) e nel
Disciplinare Tecnico (Allegato B del Codice Privacy); se le misure di sicurezza adottate non
rispettano i parametri minimi contenuti nel regolamento, si concretizza la fattispecie penale di
omissione delle misure minime e la conseguente responsabilità. L'individuazione di misure che
rispettano i parametri previsti come minimi non è sufficiente a liberare da ogni responsabilità il
soggetto che effettua il trattamento. Se le misure adottate non sono idonee ad evitare il danno, il
Titolare può essere coinvolto comunque sotto un profilo di responsabilità civile, anche se non ci
sono gli estremi per la responsabilità penale prevista dalla legge. Le misure minime di sicurezza
sono tipizzate dal legislatore. Quelle idonee no. Devono essere scelte dal buon Titolare sulla base
della natura dei dati, delle caratteristiche del trattamento e dallo stato dell'arte e della tecnica.
Conseguenze sanzionatorie [modifica]
Le conseguenze della mancata adozione di misure di sicurezza sono quindi le seguenti:
la sanzione penale per omessa adozione delle misure minime è quella prevista dall'articolo
169 del Codice (arresto sino a due anni);
il risarcimento del danno - nel caso le misure adottate non siano idonee ad evitare il danno -
è previsto dall'art. 15 legge del Codice che rimanda all’art. 2050 del Codice Civile (relativa
allo svolgimento di attività pericolose); in questo tipo di responsabilità è prevista una
presunzione speciale di colpa a carico del responsabile del danno (in questo caso chi effettua
il trattamento): il responsabile ha l’onere della prova di aver adottato tutte quanto era
possibile per evitare il danno, facendo riferimento ad adeguate prassi tecniche conosciute di
sicurezza informatica, mentre il danneggiato deve solo dimostrare l'esistenza del danno.
Le misure minime
Esaurita questa doverosa premessa, di carattere introduttivo, addentriamoci in un
pf3
pf4
pf5
pf8
pf9
pfa

Anteprima parziale del testo

Scarica Sicurezza dei dati personali: analisi del Codice Privacy italiano e più Appunti in PDF di Informatica Giuridica solo su Docsity!

Soggetti obbligati all'adozione delle misure [modifica]

Tutti i titolari di trattamento sono tenuti ad adottare misure minime individuate dal Codice e

secondo le modalità previste nel Disciplinare tecnico allegato al Codice. Va sottolineato come

l'articolo 31 del Codice non fa differenza tra violazione della riservatezza dei dati personali

propriamente detta - quale si avrebbe ad esempio nel caso di accesso a dati sensibili da parte di terzi

non autorizzati - e distruzione o perdita accidentale di dati già legittimamente raccolti e trattati. La

mancata custodia dei dati è comunque causa di un danno, e il responsabile di questo danno è

sanzionato. Infatti dal solo danno della distruzione o perdita dei dati derivano varie gravi

conseguenze: ad esempio il blocco delle attività, costi gestionali imprevisti, danno di immagine.

Inoltre poiché il privato deve poter fare affidamento sui dati che ha già comunicato, ne consegue

che in caso di negligente custodia egli può richiedere il risarcimento del danno. Per questi motivi il

soggetto che non adotta misure di sicurezza adeguate è sanzionato penalmente (se le misure non

rispettano i parametri previsti dal regolamento sulle misure minime secondo le modalità previste dal

Disciplinare Tecnico) e può essere chiamato a rispondere civilmente per il risarcimento del danno

(se le misure non sono idonee).

Ai sensi dell’art 31 del Codice, le misure di sicurezza adottate per il trattamento dei dati personali

devono essere:

  • adeguate in relazione alle conoscenze acquisite in base al progresso tecnico e tali da ridurre

al minimo i rischi di distruzione dei dati o accesso non autorizzato;

  • (^) adottate in via preventiva e differenziate in base alla natura dei dati e alle specifiche

caratteristiche del trattamento.

Differenza tra misure minime e misure idonee [modifica]

Le misure di sicurezza minime si differenziano dalle idonee per i diversi livelli di responsabilità,

ma non solo. Il titolare deve individuare preventivamente misure di sicurezza che devono almeno

rispettare i parametri di sicurezza minimi individuati nel Codice (articoli 33, 34, 35 e 36) e nel

Disciplinare Tecnico (Allegato B del Codice Privacy); se le misure di sicurezza adottate non

rispettano i parametri minimi contenuti nel regolamento, si concretizza la fattispecie penale di

omissione delle misure minime e la conseguente responsabilità. L'individuazione di misure che

rispettano i parametri previsti come minimi non è sufficiente a liberare da ogni responsabilità il

soggetto che effettua il trattamento. Se le misure adottate non sono idonee ad evitare il danno, il

Titolare può essere coinvolto comunque sotto un profilo di responsabilità civile, anche se non ci

sono gli estremi per la responsabilità penale prevista dalla legge. Le misure minime di sicurezza

sono tipizzate dal legislatore. Quelle idonee no. Devono essere scelte dal buon Titolare sulla base

della natura dei dati, delle caratteristiche del trattamento e dallo stato dell'arte e della tecnica.

Conseguenze sanzionatorie [modifica]

Le conseguenze della mancata adozione di misure di sicurezza sono quindi le seguenti:

  • la sanzione penale per omessa adozione delle misure minime è quella prevista dall'articolo

169 del Codice (arresto sino a due anni);

  • il risarcimento del danno - nel caso le misure adottate non siano idonee ad evitare il danno -

è previsto dall'art. 15 legge del Codice che rimanda all’art. 2050 del Codice Civile (relativa

allo svolgimento di attività pericolose); in questo tipo di responsabilità è prevista una

presunzione speciale di colpa a carico del responsabile del danno (in questo caso chi effettua

il trattamento): il responsabile ha l’onere della prova di aver adottato tutte quanto era

possibile per evitare il danno, facendo riferimento ad adeguate prassi tecniche conosciute di

sicurezza informatica, mentre il danneggiato deve solo dimostrare l'esistenza del danno.

Le misure minime

Esaurita questa doverosa premessa, di carattere introduttivo, addentriamoci in un

contesto più strettamente giuridico ed osserviamo, da subito, che il Testo Unico sulla privacy affronta il tema della sicurezza al Titolo V della Parte Prima.

Due, in particolare, le misure di sicurezza che vengono in rilievo: quelle c.d.“minime” e quelle c.d.“idonee”.

Le prime, previste in via generale dagli artt.33 e ss. T.U., sono in concreto individuate dal disciplinare tecnico di cui al c.d.”allegato B” (che sostituisce il sistema delle “misure minime” del d.P.R. 318/99, ora abrogato, emanato in attuazione dell’art. della L.675/96) e sono volte ad assicurare un livello (appunto) minimo di protezione dei dati personali. Un livello al di sotto del quale non si può scendere: il mancato rispetto di dette misure, infatti, ai sensi dell’art. 169 T.U. costituisce reato, punito con l’arresto fino a 2 anni o con l’ammenda da 10.000 a 50.000 Euro.

Le misure minime si suddividono in 2 categorie, a seconda che il trattamento dei dati personali avvenga “con” o “senza” strumenti elettronici.

Per quanto concerne la prima ipotesi, va rilevato che l’art. 34 T.U. elenca ben otto misure minime. Nell’individuazione di esse, alcuni concetti ricorrono più di altri.

Sotto questo profilo, pare così opportuno segnalare la particolare attenzione che il Legislatore riserva alla nozione di “autenticazione informatica” (art.34, lett.a): la definizione è nuova (ossia sconosciuta alla L.675/96) e comprende i mezzi – siano essi programmi informatici o componenti hardware – deputati alla verifica ed alla convalidazione dell’identità di un dato soggetto.

E’una misura di particolare importanza, dato che essa, se correttamente posta in essere, garantisce il controllo di chi accede agli elaboratori. L’autenticazione informatica, infatti, ha il compito di verificare l’identità di chi andrà a trattare i dati personali, e di convalidarla dopo averla verificata.

Ciò è possibile grazie all’utilizzo delle c.d. “credenziali di autenticazione”, prescritte alla successiva lettera b) del medesimo art. 34, le quali consistono in quei “dati e dispositivi, in possesso di una persona, da questa conosciuti o ad essa univocamente correlati, utilizzati per l’autenticazione informatica”.

Al di là della definizione poc’anzi citata (art.4, comma 3, lett.d)), va detto – semplificando – che le moderne tecnologie informatiche, per il riconoscimento dell’identità, adoperano i tradizionali codici di accesso e le parole chiave oppure altri dispositivi non mnemonici, i quali ultimi, peraltro, già oggi sono largamente utilizzati.

Nella moderna accezione del controllo degli accessi, pertanto, le credenziali sono costituite da qualcosa che il soggetto incaricato “conosce” (ad esempio: un codice identificativo o una parola chiave), “possiede” (ad esempio: una smart card, un token), oppure “è” (ad esempio: una caratteristica biometrica, come l’impronta di un dito, del volto, della retina).

Al punto 3 del Disciplinare Tecnico è espressamente previsto che ad ogni incaricato

dell’ambito del trattamento consentito.

L’individuazione dei singoli trattamenti consentiti (ad un soggetto, ad esempio, sarà permesso unicamente prendere visione dei dati, e non anche cancellarli o modificarli; un altro incaricato, invece, potrà aver accesso solo ai dati comuni, e non anche a quelli sensibili, ecc.) andrà a costituire il c.d. “profilo di autorizzazione” del singolo incaricato, profilo che sarà sottoposto a verfica almeno una volta all’anno (Punto 14 D.T.).

Correlata alla misura poc’anzi esaminata è, in un certo senso, quella prevista alla lettera successiva del medesimo art. 34, la lettera d).

Questa misura di sicurezza è finalizzata ad una periodica revisione delle autorizzazioni per il trattamento dei dati, nonché delle operazioni consentite agli addetti alla manutenzione ed agli addetti alla gestione degli strumenti hardware e software. La lista degli incaricati ed i relativi profili di autorizzazione – viene precisato al punto 15 del Disciplinare – può essere redatta anche per classi omogenee di incarico.

Particolarmente significativa, poi, è l’indicazione contenuta alla lettera e) dell’art 34.

La norma, che prescrive la protezione degli strumenti elettronici e dei dati da accessi non consentiti e programmi maligni, tende ad impedire che i dati siano trattati illecitamente (ossia in spregio delle prescrizioni di legge), che si verifichino accessi non consentiti nonché azioni distruttive causate da virus, worm e, in generale, da ogni altro codice pericoloso per l’integrità e la confidenzialità del dato stesso.

Sotto questo profilo è importante notare che ogni accesso al sistema informatico compiuto da soggetti non autorizzati è considerato “accesso abusivo”. Detta violazione, perciò, potrà essere posta in essere non solo da persone estranee all’impresa/studio professionale (come, ad esempio, un hacker), ma anche – e più frequentemente – dai dipendenti stessi, che accedono a determinati dati per i quali non possiedono profilo di autorizzazione e di incarico.

Evidentemente, capire come avviene un attacco è di fondamentale importanza per prevenire l’attacco stesso. Non è questa la sede per una disamina, seppur frettolosa, dell’argomento. Basti sul punto sapere che l’attacco viene di norma preceduto da alcune azioni “preparatorie”, articolate in 2 componenti: la prima comportamentale, la seconda tecnica.

La parte comportamentale si avvale di tecniche operative definite di “ingegneria sociale” (social engineering) e di fatto consiste nel reperire informazioni sul bersaglio da colpire sfruttando la naturale propensione delle persone a rispondere a domande dirette ed impreviste, ad aiutare qualcuno che sembra in difficoltà o, all’opposto, che ricopre una carica di prestigio.

La seconda componente, di natura prettamente tecnica, viene invece detta di “ricerca dell’impronta” (footprint). L’hacker, prima di sferrare l’attacco al target, deve infatti raccogliere le necessarie informazioni sull’architettura del sistema, ed in particolare

sulla protezione della struttura.

I soggetti che connettano il proprio sistema informatico alla rete Internet, quindi, devono proteggersi (in una rete ben protetta, infatti, solo le aggressioni più sofisticate

  • e quindi, statisticamente, le meno probabili – possono realmente mettere in crisi il sistema). Ecco, allora, che pare opportuno seguire la prescrizione contenuta al punto 20 del Disciplinare (il quale prescrive l’adozione di “idonei strumenti elettronici” a protezione dei dati sensibili o giudiziari dagli accessi abusivi) qualunque sia il tipo di dato personale oggetto di trattamento, e non solo – come invece prevede l’allegato B
  • quando venga in rilievo un dato classificato come sensibile o giudiziario. Come noto, il più diffuso strumento di difesa delle reti informatiche è chiamato firewall: dall’adozione di esso, pertanto, non si può prescindere, qualunque sia la grandezza e l’importanza dell’impresa/studio professionale da proteggere.

Per altro verso, giova osservare che gli attacchi sono favoriti, oltre che dalle possibili debolezze delle misure di sicurezza poste a protezione del sistema, anche dalle vulnerabità del software.

E’noto, infatti, che il software contiene molto spesso dei “bug” (letteralmente “insetto”), ossia delle imperfezioni. Alcune di esse sono innocue; altre, invece, facilitano gli attacchi informatici.

Consapevoli di ciò, pertanto, mano a mano che dette vulnerabilità vengono individuate, i produttori del software interessato rilasciano appositi programmi – detti patch (“pezza”) - volti ad ovviare al malfunzionamento dell’applicativo stesso. Il punto 17 del D.T. ci ricorda che è buona norma ricercare frequentemente gli aggiornamenti dei programmi impiegati; detta operazione, in ogni caso, va effettuata almeno una volta all’anno.

Le misure di sicurezza non potevano escludere dall’ambito delle loro previsioni la criticità più ricorrente per i sistemi informatici, rappresentata dall’azione dei c.d. “virus” e loro derivati (script virus, stealth virus, worm, trojan horse), genericamente accomunati sotto l’etichetta di “malware”, parola anglosassone derivante dalla crasi tra “malicious” e “software”.

La “periodicità minima di aggiornamento” di programmi anti-virus (fissata dalla legge in sei mesi: cfr. punto 16 D.T.) è però motivo di ilarità, dato che – come noto a chiunque abbia un minimo di dimestichezza con apparecchiature informatiche – se un software antivirus non viene aggiornato almeno giornalmente esso non è realmente efficace.

Un’ulteriore disposizione, prevista alla lettera f) dell’art.34 e ripresa in dettaglio ai punti 18 e 23 del Disciplinate Tecnico, riguarda l’obbligatorietà di effettuare, almeno ogni settimana, copie di back-up dei dati contenuti nei propri sistemi informatici. Il precetto – non contempato dalla L.675/96 – è senza dubbio importante, ma, a ben guardare, la previsione di legge poc’anzi citata appare “monca”, dato che la stessa dimentica di abbinare alla procedura di “salvataggio dei dati” la non meno necessaria procedura di verifica del “restore” dei dati, al fine di salvaguardare l’effettività di un

A questo punto, un’importante osservazione: se l’adeguamento alle “misure minime” implica l’assenza di responsabilità penali, tale adeguamento non è sufficiente per affrancarsi da responsabilità civile qualora l’evoluzione tecnologica renda disponibili accorgimenti ulteriori che soddisfino le misure dichiarate “idonee”.

Ciò perché – ai sensi dell’art. 15 T.U. – “chiunque cagiona danno ad altri per effetto del trattamento dei dati personali è tenuto al risarcimento ai sensi dell’art. 2050 c.c.”.

L’art. 2050 c.c., infatti, (norma alquanto rigorosa, dettata in tema di esercizio di attività pericolose) prevede che l’esercente l’attività pericolosa – e quindi, nel nostro caso, il titolare del trattamento - vada esente da responsabilità solo se riesca a dimostrare di aver adottato tutte le misure idonee ad evitare il danno. In caso contrario, ai sensi del 2°comma dell’art. 15 T.U., egli dovrà rispondere anche del danno non patrimoniale (come accaduto nel caso deciso dal Tribunale di Orvieto con sentenza 22.11.02 n. 254: fattispecie in tema di risarcimento dei danni morali sofferti da alcuni clienti di un Istituto bancario).

Come si evince facilmente, l’adeguamento alla previsione di legge poc’anzi citata (art. 2050 c.c.) è particolarmente difficoltoso. Secondo la giurisprudenza, infatti, può provare di aver adottato ogni misura idonea chi dimostri di aver rispettato “tutte le tecniche note” – anche solo astrattamente possibili – all’epoca del fatto (cfr. Tribunale di Milano, 19 novembre 1987, in Foro Italiano, 1988, I, 144).

Da altro punto di vista, è opportuno precisare che nell’ambito dei danni da risarcire non sarà incluso il solo pregiudizio patrimoniale (nelle note forme del “danno emergente” e “lucro cessante”), ma anche il danno morale, come si desume dall’inequivoco tenore dell’art.15 D.Lgs. 196/03.

L’espressa estensione al trattamento di dati personali della risarcibilità del danno non patrimoniale è sintomatica della particolare attenzione che il Legislatore ha voluto rivolgere ai danneggiati, dal momento che il danno che ricorre più frequentemente è proprio quello relativo alla sfera morale dell’individuo, di cui sarebbe stata altrimenti esclusa la risarcibilità (stante il precetto dell’art. 2059 c.c.).

Il titolare e il responsabile, perciò, oltre a quelle minime previste, devono anche adottare misure di prevenzione “idonee” a ridurre - per quanto possibile - i rischi, prevenibili e prevedibili, che incombono sui dati.

Riassumendo, l’impresa/lo studio professionale che operi on line, al fine di “ridurre i rischi”, dovrà:

a) osservare il livello di sicurezza minimo di legge (per evitare conseguenze penali);

b) approntare le misure di sicurezza ulteriori, che in base al caso concreto si potevano predisporre (altrimenti dovrà risarcire i danni eventualmente cagionati a terzi).

Conclusioni

Avviandoci a concludere, va notato che le sanzioni per chi ignori la legge ci sono, ed esse – specie in tema di omessa adozione delle misure minime – sono rigorose.

Mi sembra che già questo sia un motivo (un “buon”motivo) perché l’azienda/lo studio professionale prenda coscienza delle indicazioni di legge e vi si conformi.

I soggetti devono pertanto sì “proteggersi”, ma senza mai dimenticare che la sicurezza informatica sarà sempre una chimera finchè esisterà il fattore umano, l’anello più debole della catena.

Chiunque pensi che i prodotti da soli offrano “vera sicurezza” si sta cullando nella sua illusione.

La sicurezza non è un prodotto, ma un processo: è pertanto un’attività fatta di risorse e di persone, che riguarda la sfera organizzativa e non solo quella tecnica.

E’indubbio che tutto ciò richieda uno sforzo, che spesso viene visto con sfavore dagli operatori. Tuttavia credo che siano maturi i tempi perché l’azienda/ lo studio professionale possa capire che la tutela della sicurezza non è un valore antagonista alle esigenze di mercato.

La privacy, insomma, da “costo” deve essere vista come “risorsa”: è questo il salto culturale che oggi ci attende. La scommessa, in altre parole, è passare da un’interpretazione pedante e formalistica della privacy all’impostazione di una politica integrata in tema di sicurezza. E’ – credetemi – una scommessa vincente e, tra l’altro, molto remunerativa, dato che l’adottare politiche di riservatezza dei dati rappresenta un valore aggiunto al proprio prodotto o servizio. Una ragione in più, dunque, per adoperarsi in questo senso.

Le misure di sicurezza da adottare nel trattamento dei dati personali sono stabilite nel Titolo V, intitolato " Sicurezza dei dati e dei sistemi " del Decreto legislativo 30 giugno 2003 n. 196, ovvero del "Codice in materia di protezione dei dati personali". Il Ttitolo V è suddiviso in due capi, il capo I, dedicato alle "Misure di sicurezza" ed il capo II, dedicato alle "Misure minime di sicurezza".

In estrema sintesi, gli obblighi fondamentali in materia di sicurezza nel trattamento dei dati personali sono due:

1 - L'obbligo generale di ridurre al minimo i rischi relativi al trattamento di dati personali.

L'obbligo generale di ridurre al minimo i rischi relativi al trattamento di dati personali è previsto dall' Art. 31 del Codice in materia di protezione dei dati personali. Detto articolo, intitolato "Obblighi di sicurezza", dispone che: " I dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione

" Il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell’allegato B), le seguenti misure minime:

a) autenticazione informatica;

b) adozione di procedure di gestione delle credenziali di autenticazione;

c) utilizzazione di un sistema di autorizzazione;

d) aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici;

e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici;

f) adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi;

g) tenuta di un aggiornato documento programmatico sulla sicurezza;

h) adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari. "

Quanto al trattamento effettuato senza l'utilizzo di strumenti elettronici , l' Art. 35 del codice prevede che: " Il trattamento di dati personali effettuato senza l’ausilio di strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell’allegato B), le seguenti misure minime:

a) aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati o alle unità organizzative;

b) previsione di procedure per un’idonea custodia di atti e documenti affidati agli incaricati per lo svolgimento dei relativi compiti;

c) previsione di procedure per la conservazione di determinati atti in archivi ad accesso selezionato e disciplina delle modalità di accesso finalizzata all’identificazione degli incaricati. "

Le misure minime da adottare sono dunque indicate negli artt. 34 e 35 del Codice

e, le modalità per adottarle sono analiticamente descritte nelle 29 regole contenute

nell’Allegato B) del medesimo Codice.

Ai sensi dell'art. 34, comma 1, lett. g) del Codice e della regola 19 dell'Allegato B), anche la redazione di un " Documento Programmatico sulla sicurezza " è una delle " misure minime " da adottare da parte del titolare del trattamento di dati sensibili o giudiziari effettuato con strumenti elettronici.

La definzione di "dati sensibili" offerta dal legislatore, tuttavia, è solo in apparenza ed in teoria ben definita ma, nella pratica, rende di fatto necessario o, comunque, certamente consigliabile a chiunque gestisca una qualsiasi attività che comporti il trattamento di dati personali, di adottare sempre le misure minime previste dalla legge.

Infatti, ai sensi dell'Art. 4, lettera d), del Codice sono definiti dati sensibili: " i dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose,

filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati,

associazioni od organizzazioni a carattere religioso, filosofico, politico o

sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita

sessuale ." (Es. Basti pensare al carattere multiculturale della nostra società per

comprendere la facilità con la quale anche un nome o il dato relativo al luogo di

nascita possano rappresentare ipotesi di dati "idonei a rivelare l'origine raziale

ed etnica").

E' inoltre fondamentale sottolineare che, ai sensi dell' Art. 196 del Codice,

l’ omessa adozione delle misure minime , costituisce anche reato , punibile

con l’arresto sino a due anni o l’ammenda da 10 mila euro a 50 mila euro.

Per mitigare tale severa disposizione, la legge prevede comunque la possibilità

di estinzione del reato attraverso l'istituto del "ravvedimento operoso"

consentito a chi, una volta accertato il reato, adempie comunque puntualmente

alle prescrizioni impartite dal Garante ed effettua un pagamento in sede

amministrativa.