FISICA E METAFISICA DEL DATO.
La due diligence legale come giusto approccio alla sicurezza dei dati in azienda
dell’Avv. Gianluca Savino
Concetto di dato e di dato personale (sensibile e giudiziario)
La paternità del concetto di diritto della privacy appartiene ai giuristi statunitensi Louis Brandeise e Samuel Warren i quali, per primi, nel 1890, coniarono il termine “the right to be let alone”, intendendo la necessità di riconoscere, a chiunque, il rispetto del diritto ad essere lasciati in pace: il diritto a che altri non possano invadere la nostra sfera di riserbo personale.
Dal pensiero di Warren e Brandeis si è arrivati oggi al riconoscimento del diritto soggettivo all’inviolabilità della persona, al rispetto della sua dignità e della sua sfera privata ed al diritto alla protezione dei suoi dati personali.
Ma che cosa s’intende esattamente con il termine dato e con la locuzione dato personale?
In informatica, per es., con il termine dato s’intende un elemento costitutivo di un’informazione che può essere “trattato” attraverso l’utilizzo di macchine. 1 Es.: il nome o il formato di un file, la data di edizione di un volume, una transazione di commercio elettronico, il titolo di un libro, una cella di Excel, un’immagine, il numero di abitanti di una città, il numero di accessi a un sito web.
Secondo invece una definizione per così dire “metafisica”, di matrice kantiana, il valore del dato è da ricercare nel suo elemento originario. Secondo Kant il dato è costituito da ciò che è presente nell’oggetto (fisica) e che noi
percepiamo (metafisica) attraverso l’intuizione sensibile: in senso più ampio è la sua rappresentazione di un’esperienza reale o possibile in cui il legame con la sensibilità è essenziale. In definitiva si può affermare che il dato e’ un binomio di materialità ed esperienza sensoriale (fisica e metafisica del dato).
Ci sono poi le definizioni normative dell’art. 4 del D. L.gs. 30 giugno 2003, n. 196, Codice in materia di protezione dei dati personali, secondo cui è un dato personale “qualunque informazione relativa a persona fisica, identificati o
identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale” 2
Il dato personale si specchia, dunque, col “corpo elettronico” 3.
Esiste un corpo materia fatto di carne e di ossa ed esiste un corpo elettronico fatto di codici, passwords e byte che vanno a costituire l’insieme delle informazioni sul nostro conto. Il dato personale costituisce una sorta di proiezione ideale e virtuale del nostro corpo materia. Di conseguenza la tutela che si assicura di norma al corpo materiale va estesa anche al corpo virtuale. Protezione dell’integrità fisica dei nostri organi corporei, ma anche delle informazioni e dei dati che ci riguardano. Se prima di sottoporci ad un delicato intervento chirurgico ci viene chiesto il rilascio del consenso alla sottoposizione a determinate terapie (previa adeguata informativa), gli stessi trattamenti e le stesse forme di tutela, devono essere adottate per i trattamenti di dati personali. I quali ultimi, se trattati in maniera illegittima, possono generare la medesima pericolosità di un trattamento non conforme sul corpo materia. Si pensi per es. alle conseguenze negative, per i privati e per le aziende, che possono derivare dall’esercizio di azioni, sempre più diffuse, quali, la perdita della riservatezza, il furto d’identità, la violazione di segreti, etc.
Lo stesso articolo 4 poi, alla lettera d), definisce i c.d. dati sensibili: “i dati personali idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o
Altra contrapposizione interessante è poi quella tra dati personali e dati pubblici. Laddove per dati pubblici intendiamo le informazioni (qualsiasi) di dominio di una amministrazione pubblica. Essi, seppur “pubblici”, sono soggetti a vincoli di legge come per es. la sicurezza nazionale e la tutela della privacy (riservatezza).
L’esigenza di proteggere anche l’informazione di natura pubblica nasce sopratutto dal riutilizzo a cui viene sottoposto il dato. Pubblico non vuol dire che quel dato può essere trattamento liberamente. Quella informazione, che in origine era pubblica, a seguito di un riuso della stessa diviene privata. Si tratta di un trattamento ulteriore e diverso rispetto a quello originario, che era pubblico, in quanto gestito da un’autorità pubblica e per finalità pubblica.
Il primo utilizzo del dato pubblico è quello operato direttamente dalla pubblica amministrazione che lo crea e che ne ha la responsabilità della gestione.
I successivi ed eventuali utilizzi, specie se caratterizzati da operazioni di elaborazioni ed aggregazioni delle informazioni, fanno si che il dato muta e diviene privato, ovvero utilizzato per finalità private.
Con il termine riuso dell’informazione pubblica s’intende, quindi, un utilizzo del dato diverso da quello per cui era stato creato. Il riuso consiste nel mettere a disposizione di privati (un’impresa, un’associazione, etc,) informazioni
pubbliche per riutilizzarle a fini propri o per promuovere attività imprenditoriali, costruendo su tali informazioni nuovi servizi e nuove attività.
Questa rielaborazione dei dati è senza dubbio un opportunità per l’azienda, la quale, quasi come si trattasse di un algoritmo, plasma e modifica i dati per adattarli alle proprie esigenze (di business). E’ un lavoro di conoscenza e di
condivisione delle informazioni che porta a quello che può essere definito come il “patrimonio informativo aziendale”, un valore aggiunto, sovente anche senza copertura normativa ma la cui violazione può costituire un gravissimo danno.
Pensiamo, per es. ai segreti industriali, ai brevetti, ai progetti commerciali, etc..
Conseguenze derivanti da un utilizzo errato (illegittimo) di dati in azienda
Un utilizzo scorretto dei dati in azienda, anche se non consapevole, può comportare gravi responsabilità sia sul piano civile (amministrativo) che penale.
Tralasciando volutamente di enucleare le ipotesi di responsabilità penale – le quali meriterebbero un approfondimento che non può trovare spazio in questa sede -, affrontiamo il tema dei danni, per responsabilità civile, che possono
derivare per effetto di trattamenti di dati personali errati, ovvero non aggiornati o non esatti. Dunque a prescindere dal dolo o dalla colpa, il soggetto agente (l’azienda), nel trattare i dati deve adoperare tutte le cautele necessarie per evitare il danno.
Il legislatore del codice privacy, all’art. 15 ha equiparato il trattamento di dati personali alla gestione di “attività pericolose” (“Chiunque cagiona danno ad altri per effetto del trattamento dei dati personali è tenuto al risarcimento ai sensi dell’art. 2050 c.c.”). Secondo tale disposto, il rischio derivante dal trattamento di dati personali è pari a quello che deriva dal maneggiare combustibile o materiale esplosivo e si fa riferimento all’art. 2050 c.c. che disciplina la responsabilità per l’esercizio di attività pericolose.
La ratio legis è assolutamente analoga, con la conseguenza di un addebito a carico di chi tratta illecitamente i dati personali a titolo di responsabilità oggettiva. L’art. 2050 c.c. prevede l’inversione dell’onere della prova. Ciò vuol dire che la prova del danno non è a carico dell’attore-danneggiato (come normalmente accade nel processo civile stante il “principio dispositivo” di cui all’art. 2097 del c.c.), ma di colui il quale aveva la disponibilità e la gestione dei dati, ovvero, del c.d. “Titolare del trattamento dei dati”. Quest’ultimo avrà l’onere liberatorio di dimostrare di avere tenuto un comportamento diligente e di avere adottato tutte le misure necessarie per evitare il danno (è un caso di quasi probatio diabolica). Un carico veramente pesante per l’azienda.
La due diligence legale come strumento di prevenzione del rischio
Dall’analisi che precede è emersa la circostanza che esistono alcune tipologie di dati che sfuggono alla tutela offerta dal codice privacy, ma non per questo sono da considerare meno importanti per l’azienda. Tale vulnus normativo può essere affrontato attraverso l’applicazione di specifiche metodologie.
La due diligence, espressione di origine francese con cui si identifica e si caratterizza la necessità di operare “secondo diligenza, è una tecnica basata prevalentemente sulla valutazione di un’impresa in termini di corrispondenza e
di adeguamento alle normative vigenti ed in rapporto alla necessità di tutelare e di valorizzare il patrimonio aziendale.
Una due diligence può interessare diversi ambiti di una azienda, quali per es., quello commerciale, finanziario/creditizio, ambientale, contabile e fiscale.
Le operazioni di due diligence legale possono essere condotto su base generale o su base particolare. Nel primo caso avremo una valutazione globale dello stato dell’azienda rispetto alle normative vigenti, per es., in materia di:
igiene e sicurezza sul lavoro, gestione del personale, tutela dei marchi e dei brevetti, diritto della proprietà intellettuale, etc. Invece, nelle ipotesi di due diligence legale sulla sicurezza, la metodologia viene utilizzata per la prevenzione dei rischi legati ad una scorretta gestione dei dati in azienda (ivi compreso le informazioni non rientranti nella tutela del codice).
Tale approccio pertanto prende in esame e passa in rassegna tutti i dati, i regolamenti e le procedure aziendali (ove esistenti), al fine di valutarne la loro corrispondenza alle normative vigenti e la loro sicurezza e di conseguenza
stimare lo stato di salute del business e della stessa azienda. Si pensi per es. a quanto maggiore può essere considerato il valore di un’azienda virtuosa sul piano della sicurezza dei dati interna (di tutti i dati), soprattutto in alcuni ambiti e contesti particolari come quello bancario, finanziario e creditizio, In questi casi si parla di due diligence preventiva, adottata quando s’intende valutare la sicurezza dei dati di un’azienda, in anticipo, rispetto ad un’ipotetica operazione societaria. I parametri da utilizzare per la valutazione saranno certamente: il D. Lgs. 196/2003, i Provvedimenti dell’Autorità Garante, la legge 547/1993 sui reati informatici ed il D. Lgs 231/01 circa la responsabilità delle persone giuridiche; ma anche gli standard internazionali sulla qualità (apposite metodologie elaborate con lo scopo di favorire e di migliorare il livello di sicurezza dei sistemi informatici e, quindi, dei dati) e, non ultimo, l’esperienza del valutatore.
- 1. “Elemento costitutivo dell‘informazione, rappresentazione in forma convenzionale di un fatto, di un concetto, di un oggetto o di una situazione, suscettibile di trattamento per mezzo di
macchine”. Fonte: www.ilsapere.it[↩] - 2. Lettera così modificata dall’art. 40, comma 2, lett. a), del D.L. n. 201 del 2011, convertito, con modificazioni, dalla legge 22 dicembre 2011, n. 214. Si riporta, per completezza, il testo originale: “”dato personale”, qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale[↩]
- 3. “Salviamo il corpo” di Stefano Rodotà – Intervento al convegno su “Trasformazioni del corpo e dignità della persona” – Roma 4/5/2005 sindacale, nonche’ i dati personali idonei a rivelare lo stato di salute e la vita sessuale”; ed alla lettera e) i dati giudiziari: (quelli) “idonei a rivelare provvedimenti di cui all’articolo 3, comma 1, lettere da a) a o) e da r) a u), del d.P.R. 14 novembre 2002, n. 313, in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualita’ di imputato o di indagato ai sensi degli articoli 60 e 61 del codice di procedura penale”[↩]