-----BEGIN PGP SIGNED MESSAGE----- LEGGERE LE AVVERTENZE IN FONDO AL DOCUMENTO INTERVISTA A GIOVANNI BUTTARELLI REALIZZATA NEL FEBBRAIO 1995, E POI NON PIU' PUBBLICATA, SULLA LEGGE SUI DATI PERSONALI. di Fabrizio Ruggeri Abbiamo intervistato Giovanni Buttarelli, il padre del nuovo schema di d.d.l. sulla "Tutela delle persone rispetto al trattamento dei dati personali" attualmente all'esame della Camera dei Deputati (Att. Parl. (Camera) n. 1901/C del 19 gennaio 1995). Domanda: La comparsa del testo della legge sui sistemi telematici ha suscitato un certo allarme riguardo la presenza di un articolo, il n. 34, che prevede al comma 1 lettera l la possibilita' di una disciplina delegata riguardante le BBS. Si e` avuta da alcuni l'impressione che in questo modo l'eventuale disciplina dei sistemi telematici venisse effettuata dal governo e non dal parlamento. Puo' chiarire esattamente quale e` l'ambito di applicazione della legge e la funzione che in essa svolge l'art. 34? Risposta: Questo non e` un disegno di legge sulle BBS, e non potra' risolvere i problemi che questi nuovi sistemi di informazione pongono sul tappeto. Questa legge si occupa unicamente della tutela della riservatezza, e non copre nemmeno l'intero campo della tutela della riservatezza perche' si limita a dettare norme limitatamente alle raccolte di dati personali. Non si occupa pertanto ne' di altri aspetti della riservatezza, ne' di altre questioni quali la tutela del diritto d'autore dei programmi. Certamente i fatti della primavera del '94 [l'operazione della procura di Pesaro che ha portato al sequestro di piu' di cento elaboratori, in maggioranza ospitanti sistemi telematici. Si veda M&P del luglio '94] e le inchieste dello scorso anno hanno posto all'attenzione l'esigenza di una disciplina di questa materia. Adesso non so dire se questa disciplina debba essere necessariamente di carattere normativo o se possa essere anche integrata da una autodisciplina. Detto questo, va comunque chiarito che sicuramente non v'e` bisogno di una legge per chiarire la liberta' dell'informatica intesa come utilizzo dei sistemi informatici sia come utente sia come gestore di una BBS. La disciplina non e` volta a introdurre un diritto all'informazione in questa materia ma a riconoscerne la previa esistenza. D: L'art. 34 da' delega al governo di dettare norme riguardanti alcuni settori, e uno di questi e` quello delle BBS. Non si poteva provvedere a una disciplina per legge? R: Abbiamo inserito quel riferimento perche', come si puo' notare guardando all'attivita' del Consiglio d'Europa, la legislazione in materia di protezione dati mano a mano che si sviluppa nel tempo necessita di adattamenti a settori specifici. Rispetto al "direct marketing" [vendita telefonica ndr] alla sicurezza sociale, ai rapporti di lavoro, alle carte di credito, alla commerciabilita' delle informazioni pubbliche, ci sono degli aspetti che necessitano di alcune norme di adattamento altrimenti i principi generali di tutela della riservatezza avrebbero delle difficolta' di applicazione. D: In che modo le BBS necessitano di essere ricomprese nella disciplina sulle banche di dati personali? R: Il problema per le BBS e` relativo alla necessita' di adattare le norme del disegno di legge sulla responsabilita' per la genuinita' e l'esattezza per le informazioni di carattere personale in possesso delle BBS, in rapporto al modo in cui le BBS funzionano. I settori di posta elettronica, che in questo momento sono considerati corrispondenza privata, e le cosiddette aree pubbliche. Questo perche', cosi' come per quanto riguarda qualunque altro sistema informatico o telematico, la legge mira ad individuare il titolare e il responsabile che sia destinatario delle richieste dell'Autorita' Garante per un verso e dell'"interessato" dall'altro di rettificare le informazioni inesatte e di cancellare quelle raccolte illecitamente. Si poneva dunque il problema: per le BBS, chi e` il responsabile? Occorre distinguere tra aree pubbliche e aree private? D: Ma una BBS non ha una raccolta di dati personali, salvo qualche informazione sugli utenti che non va al di la' del numero di telefono, tipo di macchina usata, e al massimo professione o interessi personali. R: Questa e` una interpretazione che potrebbe essere data in prima battuta, in realta' non e` cosi' perche' se uno va a vedere la definizione di dato personale data dal disegno di legge, si vede che per dato personale (secondo una concezione valida in tutta Europa) non si intende tanto un dato alfanumerico completo, una scheda informativa sul soggetto, ma qualunque informazione che consenta anche indirettamente di identificare un soggetto anche tramite il collegamento con altri dati di carattere personale, che consentano ripeto anche indirettametne di identificare l'interessato. Quindi anche il codice fiscale, ad esempio, e` sicuramente un dato di carattere personale. Se c'e` un sondaggio effettuato in un'area della BBS su opinioni di carattere politico e cosi' via dicendo, e c'e` una annotazione degli estremi di chi ha pertecipato al sondaggio, entro quali limiti quei dati possono essere conservati dal gestore del sistema, se il gestore c'e`, e possono essere usati per altri fini? E' possibile risalire all'interessato? Si tratta di dati anonimi, secondo la definizione della legge, oppure di dati di carattere personale? Certamente se vi sono dei dati che consentono di risalire all'interessto e di conoscere le sue opinioni politiche, ci sara' bisogno di plasmare le norme che valgono per qualunque altro sistema informatico, e anche per le BBS. D: Per quanto riguarda il settore dei messaggi privati, l'attuale disciplina copre anche le BBS? R: Per quanto riguarda il settore della corrispondenza privata probabilmente ci sara' bisogno di un mero chiarimento, del resto c'e` gia' la legge sui crimini informatici che chiarisce che agli effetti della sezione del codice sulla corrispondenza, sui delitti di abusiva cognizione, soppressione o dispersione di corrispondenza, si debba far riferimento non solo a quella epistolare o telegrafica, ma anche alla corrispondenza telematica. Quindi e` gia' chiaro che il gestore, rispetto a questi settori, non ha quei poteri che alcuni vorrebbero adottare. D: Qui si apre il problema della disciplina legislativa delle BBS R: Nel disegno di legge sul trattamento dei dati personali comunque non c'e` alcuna intenzione di disciplinare le BBS in quanto tali, ma solo un riferimento ad un profilo particolare, quello della tutela dei dati personali. Naturalmente il parlamento potra' ritenere di fare una disciplina apposita sulle BBS. Questo disegno di legge offre pero' lo spunto di fare ricorso all'autodisciplina che poi potrebbe venire impiegata anche per la disciplina delle BBS. Secondo l'art. 20 di questo disegno di legge il Garante ha il compito di promuovere, nell'ambito di categoria interessate, la sottoscirizone di codici di deontologia e di buona condotta specifiche dei settori, di verificarne la conformita' alle leggi e ai regolamenti, e poi di contribuire a garantirne la diffusione e il rispetto. Gli altri profili che riscuotono l'attenzione potrebbero essere risolti con questi codici di autodisciplina. D: Per quanto riguarda la crittografia, e` legale al momento in Italia? R: La liberta' e la segretezza della corrispondenza, di cui all'art. 15 della Costituzione, significano anche la liberta' e la segretezza della forma della corrispondenza, della sua veste esteriore. Quindi in buona parte il diritto all'uso di codici crittografici e` sicuramente costituzionalmente garantito. Anzi direi che questo disegno di legge incentiva l'uso di informazioni crittografate in quanto l'art. 7 del disegno di legge obbliga a introdurre delle misure di sicurezza dei dati adeguate al livello di rischio, rispetto alla possibilita' di cancellazione accidentale dei dati, di intrusioni nel sistema, ecc. Un livello rapportato all'importanza del sistema, alla natura dei dati e cosi' via dicendo. Ma sicuramente rapportato anche al grado di vulnerabilita' in atto in quel momento in rapporto alle azioni che sono state compiute. D: Esiste qualche norma che disciplina l'uso della crittografia in Italia? R: No. C'e` la legge sui Telex che prevede che l'azienda delle PT a date condizioni possa, in base al contratto, avere informazioni sul metodo di crittografazione, e questo per questioni inerenti la funzionalita' del servizio stesso. L'amministrazione postale non mira ad entrare in possesso delle informazioni, ma soltanto a verificare la compatibilita' tra l'uso di questo sistema e il servizio Telex. E' evidente che l'amministrazione postale non vuole e non puo' conoscere il contenuto della comunicazione crittata, ed e` comunque tenuta al rispetto del segreto anche sullo stesso codice crittografato. D: Carlo Sarzana di Sant'Ippolito [uno dei padri della legge sui crimini informatici] aveva in un convegno dell'IPACRI tenutosi a novembre detto che a suo avviso anche secondo la disciplina attuale l'operatore di sistema puo' leggere la posta e anzi forse si puo' addirittura configurare un dovere per il gestore di leggere la posta privata qualora ritenesse che attraverso il sistema vengano compiuti degli illeciti. R: Non conosco questa posizione, probabilmente c'e` stato un equivoco. D: Come vede la questione dell'anonimato? R: Penso che ci sia un interesse di tutti a favorire, in alcune condizioni, l'identificazione degli utenti, magari proteggendoli con pseudonimi da svelare solo in circostanze particolari. L'esperienza di questi ultimi tempi ha evidenziato che, in rapporto a determinati fatti, ad es. alla diffamazione in area pubblica, o anche all'abusiva duplicazione di programmi, questi dati sono stati di aiuto particolare al gestore del sistema e ad altri utenti che rischiavano di essere coinvolti in un accadimento che non li vedeva responsabili. Potrebbe esserci un interesse di tutti a favorire la conservazione di questi dati, sacrificando parzialmente il diritto all'anonimato in funzione della tutela di tutti gli utenti e gestori. Sottolineo comunque che anche questo punto non e` oggetto della legge sui dati personali, che si propone unicamente di identificare un gestore come soggetto passivo delle richieste dell'"interessato" di soppressione o modifica di dati che lo riguardano. Se in area pubblica circolano notizie erronee (non necessariamente diffamatorie) l'"interessato" deve poter chiederne la correzione, e si deve identificare il soggetto che ha l'onere di intervenire. Naturalmente il gestore di BBS non puo' avere gli stessi obblighi che si hanno in ambito giornalistico, perche' la stesa velocita' di immissione dei dati dei sistemi telematici non consente il controllo preventivo che invece la stampa consente. D: La nuova normazione delegata che verra' fatta, per quanto riguarda i sistemi telematici, riguardera' quindi solo l'identificazione del responsabile del sistema al quale l'"interessato" si rivolge per ottenere la rettifica di dati erronei o la cancellazione di dati illecitamente ottenuti. Questo comportera' l'obbligo di registrazione presso qualche organismo? R: Certamente, perche' se si giunge alla conclusione che il gestore di un'area pubblica delle BBS e` il "titolare" di cui parla la legge sui dati personali, si dovra' fare un'identificazione all'autorita' garante in base all'art. 8 del disegno di legge, ma e` un'identificazione piuttosto snella. D: Quindi si tratta solo di una comunicazione al garante? R: Esatto. Io non capisco una cosa, che se si pretende la liberta' nella comunicazoine, se si pretende una totale trasparenza sulle informazioni degli altri, non vedo perche' si debba ostacolare la trasparenza sull'attivita' propria. Non vorrei che si giungesse a questo paradosso, per cui io devo essere libero di avere i dati degli altri ma nessuno deve sapere cosa faccio io. Questo e` evidentemente un paradosso. D: C'e` pero' anche un problema di costi a carico del gestore R: La notificazione e` fatta nei modi piu' snelli possibili, se diritti di segreteria ci saranno non potranno superare le 10.000 lire e il costodi una raccomandata, e che ci sara' bisogno di farla solo una volta per tutto il corso dell'attivita' del sistema. Del resto gia' oggi esiste questo obbligo di notificazione al ministero dell'Interno di chi gestisce un archivio contenente dati personali. Quindi gia' oggi potrebbe prospettarsi l'obbligo di legge di notificare l'esistenza di una BBS, non c'e` nulla di nuovo sotto questo profilo. D: Ma il mondo delle BBS fa fatica a vederle come banche di dati personali. R: Le BBS non sono banche di dati personali, ma al loro interno circolano dati personali, di due tipi: sia i dati relativi agli utenti, sia i dati relativi alle persone che sono oggetto di commento nell'ambito della BBS. Per i primi: se io mi abbono ad una BBS "articolata", che ha un suo assetto di grande respiro, con tutta una procedura conrattuale per l'accesso do' delle informazioni sulla mia persona (numero di telefono, carta di credito, codice fiscale, interessi personali ecc.) occorre compilare un questionario e cosi' via dicendo. C'e` la possibilita' di risalire a un certo tipo di comunicazione che io faccio, a servizi che io utilizzo ecc. Dei dati relativi alla mia persona utente di BBS, e all'attivita' che svolgo come utente di BBS, il gestore della BBS che uso puo' fare? A chi puo' darli? Questo e` un profilo importante. Ci sara' anche un limite alla diffusione di questi dati. Io ho dato dei dati alla BBS per la gestione del servizio e non per fornirli a terzi. Se questo avviene il gestore dlla BBS me lo deve dire nel momento contrattuale. D: Ci sono BBS che richiedono molte informazioni e ci sono BBS che richiedono nome, cognome, tipo di tastiera e di terminale, macchina utilizzata e numero di telefono. R: Questi sono gia' dati personali. Il numero di telefono puo' essere utilizzato per il "telemarketing". Anche le informazioni che non sono "dannose" per le persone ma meramente consentono di raggiungerle sno suscettibili di carattere economico. Siccome la legge riconosce il diritto a essere lasciati in pace, a non essere destinatario di corrispondenza, via fax, via posta, io voglio avere il diritto di sapere, le informazioni che do' alla BBS, a chi vengono date e che uso ne viene fatto. Oppure posso dire a priori che non voglio che siano date a qualcuno. D: Considerazioni finali? R: Per favore non parliamo di attentato ai diritti telematici perche' sarebbe veramente un grave errore. Qui si tratta di affermare dei diritti. In questo caso i diritti sono degli utenti, del gestore che non deve essere inserito in vicende processuali che non lo riguardano, e anche il diritto di chi viene commentato in queste BBS, che se vuole correggere queste informazioni deve avere il sacrosanto diritto di rivolgersi a una persona identificata alla quale inviare una richiesta di correzione per ottenere soddisfazione. - - - ------------------------------------- AVVERTENZE: Questo file e` reperibile sul sistema telematico MPnet (Tel: 06/82000829 nella libreria TEXT, nome file BUTTAREL.TXT e in Internet con LUR: http://www.agora.stm.it/F.Ruggeri/home.htm La distribuzione di questo file attraverso sistemi telematici, CD-ROM, Internet, e il richiamo da altre pagine della ragnatela sono permessi ed incoraggiati, purche' gratuitamente ed integralmente, e purche' siano citati autore ed estremi della testata e volume di pubblicazione. L'autore ne mantiene comunque tutti i diritti. Per qualsiasi uso al di fuori di quelli sopra consentiti, o per qualsiasi esigenza, l'autore puo' essere contattato per Posta Elettronica ai seguenti indirizzi: Internet: F.Ruggeri@agora.stm.it Fidonet: Fabrizio Ruggeri presso Mercurio BBS (2:335/326) Chiave PGP disponibile sui serventi pubblici - ----------------------------------------- -----BEGIN PGP SIGNATURE----- Version: 2.6.3i Charset: cp850 iQCVAgUBMgsnKR/6QWn+pXcRAQE1LQP/S5+HISi9FErtpFIGXAHkyMnNNWtN9PSn WVq+bEYDap62+gjHyzm2NXkX9stKd9ASNHNvMXic59V5CdYGl1rqMbMuMpAj01Io 0RTSHgx+XDB7L/xnsu33BTYhT8vsCPLWUoS0gU3LU12cqaFRa7McpeXEFO/afl4z 8wl5BR2ci1w= =rRnw -----END PGP SIGNATURE-----