5.6 IL D.P.R. 318/99

Alla legge 675/96 si è affiancato di recente il d.p.r. 318/99, che introduce in Italia il concetto di protezione delle informazioni, siano esse di natura elettronica o cartacea. Il regolamento prescrive misure minime di sicurezza da adottarsi come previsto dall'art. 15, comma 2, della legge 675/96 389.

Il 29 marzo 2000 è scaduto il termine previsto dal d.p.r. 318/99 per attuare le misure di sicurezza e i controlli che le aziende debbono adottare nel trattamento dei dati personali. Mentre la legge 675/96 assolve al primo tipo di obbligo dettato dalla normativa europea (direttiva 95/46/CE), quello del cosiddetto consenso informato, ora con questo regolamento viene attuata la seconda parte: "dopo il chi e il cosa siamo al come gestire, custodire, controllare e verificare l'uso dei dati" 390; la legge 675 stabilisce, tra l'altro, che il dato deve essere esatto, integro e pertinente, cioè trattato solo per finalità per le quali è raccolto e solo per il periodo necessario. Ma esso deve essere anche custodito e controllato con idonee misure di sicurezza finalizzate ad evitare rischi di distruzione e perdita, anche accidentale, accessi non consentiti, trattamenti illeciti e non conformi alle finalità della raccolta 391.

Le banche sono quindi tenute a adottare una serie di misure sia tecniche sia organizzative atte a garantire la sicurezza nel sistema e la sicurezza del sistema.

La sicurezza nel sistema deve soddisfare quattro esigenze funzionali in relazione ai contenuti che vi transitano:
- integrità: consistente nella certezza che l'informazione scambiata non venga manipolata da soggetti diversi dall'emittente (si pensi ai messaggi che si scambiano via internet la banche e il cliente);
- autenticità: ossia la garanzia dell'identità dell'autore dell'informazione;
- accessibilità: ossia la capacità di regolamentare l'accesso alle informazioni contenute;
- confidenzialità: consistente nel garantire che l'informazione scambiata sia disponibile solo a coloro che hanno diritto ad accedervi 392.

La sicurezza del sistema deve, invece, garantire il flusso regolare delle informazioni, la continuità dell'accesso e la circolazione dei prodotti e servizi a contenuto informativo.

L'art. 15, comma 1 della legge 675 stabilisce che: "I dati personali oggetto di trattamento devono essere custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta".

L'onere maggiore per le banche riguarda proprio la verifica dell'assetto organizzativo: vanno definite password, codici di identificazione, antivirus, armadi con serrature ecc., ma soprattutto l'individuazione esplicita e per iscritto delle persone che possono accedere ai dati, con i loro livelli di autorizzazione. Ciò impone alle banche di cambiare mentalità. Finora era del tutto logico che una banca puntasse alla massima flessibilità ed intercambiabilità di mansioni fra i dipendenti, e quindi codici di accesso a certi dati potevano essere a disposizione di varie persone. Oggi questo approccio non è più possibile se non si rispettano precise misure di sicurezza. Ciò comporterà il vantaggio di migliorare la gestione della sicurezza interna, rendendola più sistematica, di monitorare la correttezza dei trattamenti svolti dai dipendenti, di evitare frodi. In sostanza la banca potrà lottare più efficacemente contro utilizzi impropri delle informazioni che danneggiano soprattutto la essa stessa.

Note

389 - MANGANELLI C., Privacy scatta l'ora X, in Bancaforte mar,apr pag. 15
390 - BEGHELLA F., Intervista, in Bancaforte mar,apr 2000 pag. 12
391 - BEGHELLA F., op. cit. pag. 12
392 - TOSI E., op. cit. pag. 288