Il Convegno si è tenuto a Siena, ospitato nella prestigiosa sede della Banca Monte dei Paschi di Siena, ed ha registrato l’attenta partecipazione di numerosi presenti. Tra questi, diversi rappresentanti di amministrazioni ed istituzioni locali, oltre che operatori a vario titolo interessati all’argomento (commercialisti, medici, studi tecnici, investigatori, consulenti aziendali e di sicurezza, società di servizi per elaborazione dati).

Ai lavori, coordinati dal Segretario Generale dell’A.I.PRO.S., hanno partecipato l’Ing. Claudio Manganelli, quale componente l’Ufficio del Garante, e l’Ing. Adalberto Biasiotti, esperto della materia e Socio A.I.PRO.S.

Il saluto introduttivo, per la banca ospitante, è stato portato dal dott. Omero Elmi, quale responsabile del settore organizzazione, il quale ha rilevato come sin dalla emanazione della legge 675/96 le banche in genere hanno riservato la massima attenzione al trattamento dei dati personali. E questo a prescindere da inevitabili divergenze di orientamento proposte dall’associazione di categoria e quindi rettificate o condivise dall’Ufficio del Garante.

L’Ing. Manganelli ha ampiamente illustrato i principali aspetti derivanti dalla impostazione generale della legge, non sorvolando sulle difficoltà, d’ordine strutturale e politico, che hanno condizionato l’effettiva operatività dell’istituto di garanzia ed il conseguente ritardo nella emanazione delle misure minime previste dall’art. 15 della legge 31 dicembre 1996, n. 315. Il regolamento, infatti, doveva essere emesso da circa due anni, ma soltanto nel luglio del 1999 si è potuti pervenire alla sua emanazione. E con un contenuto limitato a soli dieci articoli, rispetto ai trentadue della prima stesura!

Entrando nel merito delle "misure minime", e del D.P.R. 318/1999 che le ha introdotte, l’Ing. Manganelli e l’Ing. Biasiotti, ne hanno in prima battuta tracciato i fondamentali riferimenti, utili per meglio comprendere la ratio delle casistiche e delle previsioni specifiche.

E’ stato posto l’accento sulla pratica introduzione di due nuove figure, che vanno ad aggiungersi a quelle già previste dall’originaria legge (titolare, responsabile ed incaricato): il preposto e l’amministratore di sistema. Il primo (forse impropriamente definito preposto, ma la fantasia italiana in questo campo non è stata fertile) è il soggetto cui è demandata la custodia delle parole chiave o che abbia accesso ad informazioni a quelle relative; il secondo (system administrator) è il soggetto cui è attribuito il compito di "sovrintendere alle risorse del sistema operativo o di un sistema di base dati e di consentirne l’utilizzazione". Entrambi, secondo Biasiotti, rientrano nella categoria degli "incaricati", con mansioni particolari, ed apparentemente senza specifiche responsabilità organizzative, ma unicamente titolari di mansioni esecutive. E per tale motivo, appare indispensabile che la designazione, ed i rispettivi compiti, siano formalizzati, cioè con un documento scritto.

Il D.P.R. 318/1999, inoltre, impone anche nuovi documenti, discendenti dalla necessaria formalizzazione delle autorizzazioni all’accesso di cui all’art. 5.

Oltre che per una prima distinzione tra trattamento automatizzato e non automatizzato, l’individuazione delle "misure minime" tiene conto del tipo di sistema informativo utilizzato per il trattamento dei dati (stand alone, rete locale e reti disponibili al pubblico) e della tipologia di processo.

Al di là dell’utilizzo di userid (codice identificativo personale) e password (parola chiave), termini ormai più che noti a chi quotidianamente opera con p.c. o terminali, le misure indicate nel D.P.R. emanato ai senso del secondo comma dell’articolo 15 della legge 576/96, ammesso che vengano pedissequamente attivate, di per sé stesse non cautelano sufficientemente né il titolare né il responsabile per il trattamento dei dati personali. Non si deve infatti dimenticare quanto stabilito dal primo comma dello stesso articolo e sulle previsioni dell’articolo 18 della stessa legge che esplicitamente conferma la presenza di responsabilità in caso di danno cagionato. Indipendentemente, quindi, dall’adozione o meno di misure di protezione, minime o massime che siano.

In sintesi, l’attuazione delle "misure minime" può porre al riparo dall’adozione di sanzioni previste nello specifico, ovvero dalla stessa legge 675/96, ma non comporta ipso facto una deresponsabilizzazione "legale".

Un altro aspetto evidenziato nel corso della giornata è stato quello relativo alle modalità di conservazione dei documenti afferenti ai dati. Il disposto regolamentare detta soltanto principi così elementari da apparire innocui, se non addirittura insignificanti: "gli atti e i documenti concernenti i dati sono conservati, fino alla restituzione, in contenitori muniti di serratura". Non vengono in alcun modo forniti elementi riconducibili ad un concetto, seppure minimo, di sicurezza.