Mai come in questo periodo, si avverte, tra gli operatori – in attesa di indicazioni finalmente univoche, che proverranno dal legislatore comunitario, con l’approvazione, ormai prossima del Regolamento in materia di dati personali – l’esigenza di individuare concrete prassi operative utili a contenere – nei limiti di quanto consentito dagli istituti di disciplina della relativa attribuzione, attualmente vigenti – le responsabilità gravanti sui titolari del trattamento, per le violazioni, di rilevanza civilistica, connesse, o riferibili, alla violazione del generale dovere di sicurezza sancito dall’art. 31 del d.lgs. 30 giugno 2003 n. 196 (Codice in materia di protezione dei dati personali).
La norma richiamata, disciplina, in linea di principio, il dovere di sicurezza cui è tenuto il titolare del trattamento, nello svolgimento di operazioni, su dati personali, per le finalità’ che ne caratterizzano l’operativita’ (istituzionale, o di impresa), ed ha il merito, secondo chi scrive, in una formulazione, mutuata dalla “vecchia” direttiva sulla data protection, da un lato, di esprimere, analiticamente, quali sono i rischi (presi in considerazione dalla legge) che incombono sui dati ed alla cui prevenzione deve dirigersi l’adozione di qualsiasi processo/procedimento di sicurezza e, dall’altro, di riferire l’adempimento agli obblighi di sicurezza (declinati negli articoli successivi), al parametro dell’aggiornamento con il progresso tecnico, rendendo di conseguenza dinamica e, sostanzialmente, inesauribile la realizzazione del dovere medesimo (proprio come inesauribili ed in continua evoluzione sono le minacce che incombono sui dati).
Art. 31 (Obblighi di sicurezza) “I dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l’adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta”.
Inoltre, gli ulteriori riferimenti, alla natura dei dati ed alle modalità’ del trattamento stesso, introducono, nello scenario delle concrete modalità attuative del dovere in questione, alcune variabili, che consentono, l’individuazione, di volta in volta, di specifiche norme (in senso ampio, come sinonimo di standard) comportamentali ed organizzative, relative allo specifico settore in cui il Titolare si trova ad operare.
In questo senso, si possono notare forti analogie con il sistema, attualmente vigente, negli Stati Uniti che contempla specifici standard legati sostanzialmente alla natura (sanitaria, diremmo sensibile, nel nostro ordinamento) dei dati oggetto di trattamento, cui corrispondono altrettanti livelli di sicurezza; mi riferisco, in particolare all’Health Insurance Portability and Accountability Act, del 2003 che, di fatto, costituisce lo standard vigente negli Stati Uniti, sicurezza, anche informatica, sui dati relativi allo stato di salute.
Analoga situazione – ma di genesi convenzionale e non legislativa, con efficacia sostanzialmente planetaria, come sarà appresso spiegato – riferita, questa volta, al comparto dei dati impiegati, per l’effettuazione di operazioni di pagamento con carte di credito, si riscontra con riferimento allo standard PCI – DSS (acronimo di Payment Card Industry – Data Security Standard).
Come sopra accennato, lo standard PCI – DSS ha una origine convenzionale, ascrivibile al l’intenzione dei soggetti gestori del circuito di pagamento con carte di credito, di innalzare il livello di sicurezza da applicare alle transazioni effettuate con questo mezzo e deriva, sostanzialmente, da analoghe esperienze di standardizzazione delle procedure di prevenzione, controllo ed accertamento, già realizzate, singolarmente da VISA, MASTERCARD e dagli altri soggetti gestori del circuito di pagamento mediante carta.
Tale origine convenzionale, se da un lato caratterizza la natura negoziale della vincolatività delle previsioni dello standard, dall’altro porta a ritenere applicabili alle violazioni, le c.d. Sanzioni civilistiche, che consistono, come è noto, per quanto qui ci occupa in obblighi di risarcimento del danno (ascrivibili a fattispecie di responsabilità contrattuale) ed in obblighi di pagamento di penali (allorché l’inadempimento sia accertato in modo non equivoco); ma non solo.
Appare, a questo punto, evidente a chi scrive che, giusta il meccanismo sopra accennato, del richiamo al progresso tecnologico, operante nell’ambito del generale dovere di sicurezza, stabilito nell’art 31 del codice in materia di protezione dei dati personali, l’eventuale inosservanza delle specifiche previsioni dello standard PCI DSS in questione, possa avere una qualche rilevanza, anche sul versante della responsabilità, oggettiva, derivante dall’applicazione dell’art. 15 del codice in materia di protezione dei dati personali, in ipotesi di danni provocati a terzi per effetto del trattamento.
Va da se, al contrario, che una coerente ottemperanza delle specifiche dello standard in questione, consentirebbe, da un lato, sul versante contrattuale, dei rapporti tra il soggetto che nella sua attività riceve pagamenti con carte di credito ed il soggetto che tali carte emette, la dimostrazione (documentata) dell’adempimento alle obbligazioni assunte e, di conseguenza, il venir meno del rischio di essere coinvolto in contenziosi legali (sia relativi ad eventuali frodi subite dagli utilizzatori delle carte, sia relativi all’applicazione di penali, anche assai onerose, in certi casi, sia, nei casi più gravi, relativi alla sospensione della concessione del diritto di utilizzare lo strumento di pagamento in questione), e, dall’altro, l’esatta ottemperanza alle specifiche previste dallo standard PCI DSS ha l’effetto, con riferimento alle citate disposizioni di cui all’art. 31 del codice privacy, di individuare esattamente, appunto nello standard PCI – DSS, il parametro del progresso tecnico alla cui stregua verificare l’effettività e l’aggiornamento delle misure di sicurezza adottate sui dati.
