Tale definizione crea non pochi problemi in quanto a fronte della tradizionale ricostruzione del documento come res rappresentativa di un fatto, frutto dell’attività di documentazione e consistente in oggetto inscindibilmente legato al contenuto, nel campo dell’informatica l’informazione rimane uguale a se stessa a prescindere dal supporto su cui in quel momento è registrata.

Nel senso che la sequenza digitale, non essendo inscindibilmente legata a un dato contenente, può essere memorizzata su altri supporti senza che poi sia apprezzabile una distinzione fra i due “documenti” paragonabile alla tradizionale distinzione fra originale e copia.

Questa caratteristica tecnica porta alla conseguenza di dover declinare il requisito della materialità del documento in termini assai diversi rispetto a quelli frutto del portato della tradizionale nozione di documento.

Ciò ha portato molti commentatori ad affermare l’immaterialità del documento informatico. Tant’è che si è affermato che “in nessun punto della normativa sul documento informatico il supporto è determinante per la natura del documento informatico. Esso esiste indipendentemente dal supporto, è una realtà immateriale, cioè l’esatto opposto della res signata della dottrina tradizionale”.

Ma v’è di più. Fornendo quella definizione di “documento informatico” il legislatore è poi stato costretto a inserire, a valle, una serie di disposizioni volte a imporre una predeterminata efficacia del documento, legando il fenomeno rappresentativo alle modalità di imputazione della paternità tramite l’apposizione di firme elettroniche.

In definitiva, la strategia dell’ordinamento è stata quella di tentare di allineare quei fatti storici consistenti nell’uso delle tecnologie agli altri fatti storici, senza coglierne le peculiarità tecnologiche. Il legislatore ha cioè dettato una definizione di “documento informatico” che tenta di comprimere dentro il solco della nozione di documento (propriamente detto) il fenomeno informatico, onde poi dover, a valle, disciplinare in termini specifici l’efficacia di tale “documento informatico”, costringendo ancora una volta il fenomeno informatico dentro l’intelaiatura tradizionale delle nozioni di scrittura privata, scrittura privata autenticata, atto pubblico.

Ma se il documento informatico è la rappresentazione di un fatto (e non il documento rappresentativo, e neppure una copia cartacea dello stesso), e se per ottenere un decreto ingiuntivo occorre produrre prova scritta del fatto, cosa si dovrà depositare preso la cancelleria del Tribunale?

In effetti andando ad esaminare l’attuale normativa che disciplina la validità e l’efficacia probatoria del documento informatico, ci si rende conto che l’art. 20 del CAD realizza una vera e propria finzione giuridica: quella di considerare atto scritto il documento informatico. La disposizione ha una precisa ratio di economia giuridica: piuttosto che integrare tutte le disposizioni del codice civile e delle leggi speciali che prevedono il requisito della forma scritta, attraverso il richiamo del corrispondente documento informatico, la norma ha ritenuto, una volta per tutte, soddisfatto il requisito della forma scritta dal documento informatico. Questo a condizione che lo stesso documento sia formato in ossequio di alcune regole previste al fine di avvalorarne autenticità e sicurezza.

L’accordo in esame può costituire oggetto di una particolare clausola inserita nel contratto di outsourcing; tuttavia qui si esamina l’ipotesi in cui le parti decidono di stipulare un autonomo contratto, che prescinda da chi debba gestire il servizio, il medesimo fornitore del sistema EDP o un terzo.

La fattispecie negoziale in esame si inquadra nell’ambito dell’appalto di servizi o del contratto di opera a seconda della qualità del contraente: se si tratta di un’impresa che si impegna a realizzare il servizio con la propria organizzazione di mezzi e personale ovviamente si stipulerà un appalto, mentre se si tratta del singolo professionista o di un gruppo di professionisti associati si concluderà un contratto di opera, nel quale prevale il lavoro personale.

La differenza, sotto il profilo della disciplina, è significativa, in quanto il contratto di appalto genera obbligazioni di risultato ed il rischio è posto, quindi, a carico dell’appaltatore, che lo assume proprio perché conta su un’organizzazione predisposta e governata da lui. Nel contratto di opera, la dottrina distingue ancora tra contratto d’opera materiale, qualificato come mini-appalto con la medesima disciplina di quest’ultimo, e contratto di opera intellettuale che genera obbligazione di mezzi, nel senso che oggetto del contratto è il comportamento diligente ed esperto del prestatore mentre il rischio del mancato risultato grava sul committente il quale sceglie di stipulare tale contratto per ottenere che la prestazione sia eseguita con lavoro proprio, personale o prevalentemente personale del prestatore d’opera intellettuale.

In definitiva nella prassi ricorrono entrambe le ipotesi a seconda che l’utente prediliga contare su un’organizzazione altrui che assuma ogni rischio ovvero su un tecnico o gruppo di tecnici dotati di particolari qualità e nei cui confronti nutra un rapporto di particolare fiducia.

Quanto allo specifico contenuto dell’accordo, che prescinde dalla qualità del contraente, lo stesso riguarda lo strumento migliore, oltre il backup, per rendere sicuri i dati dell’azienda, ovvero il piano di disaster recovery che prevede esplicitamente i passi da seguire quando una catastrofe distrugge i sistemi e i dati.

In particolare al fine della predisposizione di un piano realmente efficace bisogna passare attraverso diverse fasi.

Innanzitutto è necessario fare un elenco dei potenziali disastri che potrebbero verificarsi sulla rete. Tra le cause principali si segnalano il malfunzionamento dei dischi, l’interruzione temporanea delle operazioni, i virus, gli attacchi di hackers, la distruzione fisica.

Il passo successivo nella creazione del piano consiste nel definire le priorità per applicazioni automatizzate, nel senso che devono essere determinate le funzioni del sistema che devono essere ripristinate immediatamente dopo un disastro e quelle che invece possono aspettare. Nella stesura di questa parte del processo di pianificazione i risultati migliori si ottengono quanto più onestamente i dipendenti ammettano la importanza delle loro funzioni per l’azienda ovvero quanto più agevolmente tale valutazione possa essere compiuta sulla base di criteri oggettivi. In ogni caso il lavoro da compiere risulta difficoltoso poiché è necessario predisporre una catalogazione di tutte le applicazioni, operazione non sempre agevole. Normalmente si distingue tra funzioni essenziali per attività a tempo pieno (si tratta di operazioni che devono proseguire in modo continuativo per il buon andamento dell’azienda), funzioni vitali a tempo parziale (si tratta di operazioni che devono continuare ma che hanno luogo periodicamente in specifici momenti), funzioni necessarie per obiettivi aziendali di secondaria importanza (sono operazioni considerate necessarie ma non rappresentano obiettivi primari), attività operative di routine, attività di crescita.

Il terzo passo nella creazione del piano di Disaster Recovery consiste nell’identificare e implementare misure preventive. Sebbene il piano serva prevalentemente per decidere come comportarsi in caso di disastro, questo certamente non preclude la possibilità di prendere in esame modalità per prevenire i problemi o alleggerirne le conseguenze. D’altra parte la conoscenza e l’implementazione delle misure di protezione dei dati sono fondamentali per l’eventuale ripristino dopo il disastro. In particolare bisogna prendere in considerazione le seguenti precauzioni: il backup dei dati, la ridondanza dei dati, il software anti-virus, l’energia elettrica (gruppi di continuità), i firewall (sistemi di sicurezza contro possibili intrusioni di hackers), un centro dati alternativo.

Il passo successivo nel processo di pianificazione consiste nello scrivere le istruzioni di ripristino, preparare, cioè, un elenco dettagliato che spieghi esattamente che cosa fare quando un sistema qualsiasi deve essere ripristinato. Nel piano è necessario indicare le seguenti informazioni: persone da contattare per ciascun reparto; modalità per recuperare i nastri di backup e copie di altri media; nomi e informazioni sui fornitori che possano fornire immediatamente nuovi computer adeguati alle esigenze dell’utente; nomi e informazioni sui fornitori che possono offrire consulenti in grado di eseguire le operazioni di ripristino istruzioni per recuperare i dati dai supporti di backup; notizie dettagliate su come configurare le workstation e i server da utilizzare in una LAN ripristinata.

Infine è necessario perfezionare il piano, accertando altresì che il medesimo funzioni attraverso tests di verifica e sottoponendolo a revisione periodica.

Come è noto entro il 31 marzo enti, professionisti e aziende, che non si trovino nelle condizioni previste dalla legge per l’adozione di misure semplificate, dovranno aggiornare il Documento Programmatico sulla Sicurezza.

Difatti, l’art. 34 del Codice per la protezione dei dati personali prevede tra le misure minime l’adozione del c.d. Documento Programmatico sulla Sicurezza (DPS). Mentre l’art. 29, comma 1, D.L. 25 giugno 2008, n. 112, come modificato dalla relativa legge di conversione ha introdotto il comma 1-bis dell’art. 34 del Codice della protezione dei dati personali il quale prevede che per i soggetti che trattano soltanto dati personali non sensibili e che trattano come unici dati sensibili quelli costituiti dallo stato di salute o malattia dei propri dipendenti e collaboratori anche a progetto, senza indicazione della relativa diagnosi, ovvero dall’adesione ad organizzazioni sindacali o a carattere sindacale, la tenuta di un aggiornato documento programmatico sulla sicurezza è sostituita dall’obbligo di autocertificazione, resa dal titolare del trattamento ai sensi dell’articolo 47 del testo unico di cui al decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, di trattare soltanto tali dati in osservanza delle altre misure di sicurezza prescritte. In relazione a tali trattamenti, nonché a trattamenti comunque effettuati per correnti finalità amministrative e contabili, in particolare presso piccole e medie imprese, liberi professionisti e artigiani, il Garante, sentito il Ministro per la semplificazione normativa, ha emanato il 27 novembre 2008 un proprio provvedimento, che prevede modalità semplificate di applicazione del disciplinare tecnico di cui all’Allegato B) in ordine all’adozione delle misure minime di cui al comma 1 dell’art. 34 del Codice.

Nonostante i provvedimenti di semplificazione dell’Autorità Garante, ritengo sempre consigliabile la stesura di un DPS anche in caso di trattamento di dati comuni con strumenti elettronici. Detta stesura risponde infatti a quei criteri di misure idonee (non minime) che mettono al riparo il titolare dalle responsabilità civili ex art. 2050 c.c., e – comunque - risponde all’osservanza di criteri di buona organizzazione aziendale.

Il DPS ha il compito specifico di indurre a fare, almeno una volta all’anno, il punto sul sistema di sicurezza adottato e da adottare nell’ambito della propria attività; tale documento ha una funzione meramente descrittiva, eppure per la sua violazione il Codice prevede sanzioni estremamente severe, che vanno dall’arresto fino a due anni (e conseguente inevitabile sanzione disciplinare prevista dal Codice deontologico) al possibile pagamento di somme da 20.000 a 120.000 euro (rispettivamente art. 169 ed art. 162 co. 2-bis del Codice).

Anche chi intenda, quindi, ricorrere alle misure semplificate (autocertificazione) dovrà fare attenzione a valutare attentamente di trovarsi nelle condizioni previste dalla legge. In caso contrario, abbiamo visto, che le sanzioni sono davvero pesanti oltre alle responsabilità penali connesse a dichiarazioni mendaci.

Con l’avvento di Internet, naturalmente, sono sorte delle nuove figure contrattuali che, pur non rientrando della categoria dei contratti informatici in senso stretto hanno assunto un particolare rilievo nell’ambito delle moderne tipologie contrattuali per l’indubbio carattere telematico che li contraddistingue.

Tali figure hanno sempre creato per la dottrina notevoli difficoltà di inquadramento. Invero tale tipologia negoziale ha un particolarissimo oggetto, ovvero la prestazione di servizi telematici privati, i quali, in mancanza di specifiche norme legislative, sono disciplinati dalle norme contenute negli accordi che intervengono tra fruitore e fornitore del servizio.  Non va dimenticato che si tratta di contratti atipici nati dall’autonomia negoziale e che nell’autonomia devono trovare la principale fonte di regolamentazione; le questioni sorte circa l’inquadramento giuridico che si esamineranno di seguito, così come sottolineato più volte per la altre figure negoziali esaminate nei capitoli precedenti, vengono considerate solo al fine di comprendere la possibile analogia con uno degli schemi contrattuali disciplinati dalla legge con l’unica finalità di far ricorso alle norme giuridiche per i casi non considerati dalle clausole pattizie o per i casi in cui tali clausole siano dichiarate nulle per violazione di norme generali inderogabili, come quelle a tutela del contraente debole.

Esaminando, però, con attenzione gli schemi cui le parti ricorrono nella prassi, deve rilevarsi che spesso i contratti telematici sono collegati tra loro nel senso che l’uno può influire sull’altro determinandone la nascita e il contenuto ovvero la modificazione o l’estinzione.

Nel caso di specie ci si trova di fronte ad una classica figura contrattuale nata proprio in seguito allo sviluppo della Rete e strettamente connessa ad essa. In particolare siamo nell’ambito del contratto di sviluppo e gestione di un sito web.

Risulta evidente, difatti, che l’esercizio di un’attività commerciale telematica comporta alcuni requisiti, tra i quali il possesso di un nome di dominio e un sito che permetta di rintracciare il negozio virtuale.

La creazione del luogo virtuale in cui cedere beni e prodotti, detta sito web, richiede la predisposizione di una struttura informatica idonea a raccogliere e diffondere le informazioni relative all’attività imprenditoriale svolta, nonché le informazioni relative ai beni e servizi offerti al pubblico. La realizzazione della pagina web può essere predisposta dal titolare del sito Internet o da un terzo che fornisce servizi di creazione e predisposizione di pagine web (webmaster).

In quest’ultimo caso tra il titolare del sito ed il webmaster si stipula un accordo denominato dalla dottrina contratto di sviluppo e mantenimento di un sito Internet, che ha ad oggetto la creazione di un’opera dell’ingegno. Ne consegue che acquista rilievo, quanto alla disciplina applicabile, il profilo relativo alla tutela del diritto d’autore sui contenuti del sito.

Invero il contratto in esame risulta avere un contenuto complesso in cui confluiscono diverse prestazioni contrattuali, tra cui le principali sono la creazione di un bene immateriale, che può consistere sia nella creazione di opere multimediali sia nella conversione in linguaggio HTML di contenuti forniti dal cliente, la predisposizione grafica delle pagine web, oltre l’eventuale previsione dell’obbligazione di manutenzione, che consiste in una prestazione ad esecuzione continuata che, da sola o nell’ambito di un accordo contrattuale con il fornitore di accessi alla rete Internet, consente al sito di essere sempre presente in rete.

In relazione al contenuto delle principali prestazioni concordate, la dottrina riconduce la fattispecie negoziale in esame alla figura del contratto misto in quanto la realizzazione del sito può essere ricondotta all’appalto d’opera, qualora si tratti di attività svolta da un’impresa, ovvero alla prestazione d’opera, qualora si tratti di attività posta in essere da un professionista autonomo, mentre il mantenimento e la gestione in rete del sito vanno ricondotti all’appalto di servizi previsto dall’art. 1677 c.c..

Tuttavia la creazione e lo sviluppo del sito presentano innegabili analogie con il contratto avente ad oggetto lo sviluppo di software, in quanto si tratta comunque di elaborare un programma che consenta al sito di essere presente ed attuale; ne consegue che l’accordo negoziale va disciplinato secondo principi relativi al contratto di sviluppo software.

I servizi applicativi forniti dagli ASP coprono un’area molto vasta e riguardano, per esempio, la pianificazione delle risorse aziendali (Enterprise Resource Planning o ERP), la gestione centralizzata delle informazioni sensibili per l’azienda (Knowledge management), la gestione ed archiviazione di documenti (Document management), la condivisione di informazioni sui clienti, sui prodotti, sui concorrenti e sul mercato (Enterprises Relationships Management o ERM), la gestione delle relazioni con i clienti (Customer Relationship Management o CRM) e con i fornitori (Supply Chain Management o SPM), la fornitura di servizi completi di commercio elettronico (E-commerce Service Provider o ESP) e di comunicazione vocale, la formazione a distanza (Distance Learning), la fornitura di applicazioni verticali in campo educativo, sanitario, bancario ecc., la fornitura di software groupware e di ambienti di produttività personale, la fornitura di servizi completi a livello desktop e di stampa, la fornitura di servizi di back-office (organizzazione interna) e la fornitura di servizi di front-office (rapporti con l’esterno).

Comune denominatore a tutti i tipi di accordo configurabili nella prassi, a seconda del servizio offerto, è la fornitura di accesso a servizi dell’information technology verso il pagamento di un canone periodico fisso, o indicizzato in base a determinati parametri, indicati nell’accordo.

La diffusione di tale figura contrattuale è dovuta alla sempre crescente necessità di avvalersi dei progressi in campo informatico che gli utenti soddisfano ottimizzando i costi, ossia evitando i cospicui investimenti necessari per acquisire in proprio il materiale hardware e software e gli aggiornamenti necessari nonché per effettuarne la manutenzione, ed al tempo stesso ottimizzando l’utilizzo delle risorse interne, che possono essere dedicate al raggiungimento degli scopi aziendali, facendo gestire a terzi i servizi di Information Technology.

Trattandosi di rapporti estremamente complessi ed articolati, sia dal punto di vista tecnico che dal punto di vista giuridico, le relazioni tra ASP e clienti sono regolate da specifici accordi, denominati Service Level Agreements (SLA) o contratti sulla Qualità del Servizio.

Il cloud computing rappresenta per le sue caratteristiche la soluzione del momento per molte aziende grandi e piccole, che hanno bisogno ciclicamente di notevoli risorse e che non sono in grado di sostenerne gli ingenti costi.

In effetti l’importanza strategica del “cloud computing” risiede nel fatto che la sua diffusione su larga scala consentirebbe il superamento dell’assetto attuale, caratterizzato da una miriade di clients remoti, dotati di una propria autonoma postazione o di propri server “in house” (si pensi alle aziende e alla mole di dati che si trovano a gestire), in favore di un regime di “Software as a Service” (o “Storage as a Service”), consistente nel servirsi di software e hard disk messi a disposizione dai gestori delle nuvole e accessibili tramite browser web. Non più programmi da far girare né dati da archiviare su singoli pc, ma grossi sistemi integrati, indefiniti, di server e processori, dai quali attingere capacità di memoria e di processo a seconda delle proprie esigenze.

Tale sistema si concreta nell’esternalizzazione dei servizi IT dai clients finali ai provider di nuvole. In tal modo, quindi, le aziende smetterebbero di gestire al proprio interno dati e applicazioni, delegando tale servizio in outsourcing, con grosso risparmio sulla gestione del personale e delle strutture fisiche IT. La tipologia contrattuale di riferimento, quindi, è l’outsourcing, inquadrato dalla dottrina maggioritaria nell’ambito del contratto di appalto caratterizzato dalla commistione di prestazioni di beni e servizi, essendo comprese nell’oggetto sia lo sviluppo di programmi che la fornitura di beni. Parte della dottrina ha osservato che la complessità strutturale di un accordo di  outsourcing non vieta che ad esso si applichi la disciplina dell’appalto, assorbendosi le ulteriori norme da applicare, secondo la prevalenza di uno piuttosto che di un altro profilo, il tutto però senza lasciare priva di tutela le parti. Naturalmente, però, c’è sempre un rovescio della medaglia ed il cloud computing, per quanto molto appetibile, comporta due grossi inconvenienti:

- La perdita del controllo dei propri dati

- La concentrazione dei dati nelle mani di pochi soggetti.

Il primo pericolo può essere scongiurato soltanto attraverso l’innalzamento del tasso di alfabetizzazione informatica dell’utente medio, che oggi sempre più spesso e inconsapevolmente cede le informazioni che lo riguardano in cambio di comodità, servizi e socialità.

Il rischio concentrazione non è invece debellabile attraverso le scelte di consapevolezza individuale. Tanti dati, in possesso di tanto pochi, potrebbero costituire l’anticamera del ricatto, della limitazione delle libertà individuali nonché del controllo invasivo della vita dei singoli. E’ evidente, difatti, la perdita della gestione dei dati da parte del titolare che dovrebbe affidare la stessa a società esterne.

Ritorna, quindi, in auge la ormai “antica” contrapposizione tra privacy e nuove tecnologie che con lo sviluppo delle comunicazioni elettroniche ha vissuto momenti drammatici e che continua ad avere riflessi imprevisti come nel caso in questione.

Bisogna, però, ricordare che l’obiettivo delle nuove tecnologie è quello di migliorare la qualità della vita dei cittadini nel rispetto della sicurezza e della privacy. Qualsiasi problematica inerente i rapporti tra nuove tecnologie e privacy va sempre risolta inquadrandola nell’ambito di una considerazione globale dei benefici socio-economici che scaturiscono dall’innovazione tecnologica. Ad esempio non possono trascurarsi i grandi vantaggi rappresentati dalle banche dati presenti in Rete oltre che nello svolgimento dell’attività amministrativa, anche nel migliorare in generale la qualità della vita dei cittadini e nel promuovere le attività produttive ed economiche.

In tale ottica, quindi, vanno risolte anche le problematiche sorte nell’ambito del cloud computing attraverso accordi che vincolino le società coinvolte al rispetto dei principi generali riconosciuti in materia di privacy ed in particolar modo all’osservanza di quelle misure di sicurezza necessarie per la tutela degli individui.

Purtroppo si continua a sparare a zero contro Internet ed i nuovi strumenti del web 2.0 senza comprendere o rifiutandosi di comprendere gli innegabili vantaggi dei social network. Sia ben chiaro non è tutto oro quello che luccica ed in tante occasioni anche io ho sottolineato le innumerevoli insidie della Rete, ma sul demonizzarla non sarò mai d’accordo.

Ormai bisogna rendersi conto che con l’avvento delle nuove tecnologie la vita è cambiata e le relazioni virtuali iniziano ad assumere una rilevanza pari se non superiore a quelle reali. In questo caso però la parola “virtuale” non nasconde alcunché di fantastico, ma serve solo a rappresentare una nuova modalità di contatto che avviene tramite il computer e la Rete. Si tratta di nuove possibilità di accrescere la propria sfera di “amicizie” che possono avere rilevanza non solo a livello personale, ma anche nell’ambito del proprio lavoro, in ambito promozionale e talvolta hanno un’efficacia notevole.

I concetti di amicizia tradizionale rimangono sempre gli stessi, ma oggi come oggi bisogna adeguarsi ai tempi che sono fatti di comunicazioni sempre più veloci ed immediate e dove ormai non c’è più spazio per nostalgici concetti di stampo romantico. D’altronde è inutile farsi illusioni che la vera amicizia è un traguardo difficile da raggiungere a prescindere dall’esistenza del computer e di Internet.

Dobbiamo sottolineare, invece, che facebook e strumenti simili aiutano moltissimo a ritrovare vecchie amicizie, addirittura parenti sparsi per il mondo. Di recente io stesso ho organizzato insieme a tanti altri compagni delle scuole superiori una vecchia rimpatriata dove dopo 30 anni ci siamo rivisti provando sensazioni stupende. Senza facebook tutto ciò sarebbe stato impossibile e questo non va dimenticato.

In conclusione ciò che io chiedo è semplicemente di evitare di puntare il dito contro la Rete come spesso si fa, ma cercare di capirne il funzionamento ed apprezzarne i vantaggi, cercando nello stesso momento di superare le inevitabili insidie. Siamo ormai figli di questa epoca e non ha senso rimpiangere il passato, ma dobbiamo adeguarci alla realtà che, in fin dei conti, non è tanto nera.

E’ una domanda questa che mi sono posto diverse volte e che quando si verificano fatti clamorosi, vedi per ultimo quello che ha coinvolto l’on. Gianfranco Fini, mi ripropongo nuovamente.

Tutela della privacy innanzitutto vuol dire rispetto dell’essere umano in quanto tale e rispetto quindi dei diritti e delle libertà fondamentali, nonché della dignità dell’uomo, con particolare riferimento alla riservatezza, all’identità personale e al diritto alla protezione dei dati personali.

Inoltre il diritto alla riservatezza, con l’avvento dei computer, non viene  più inteso in un senso puramente negativo, come facoltà di ripulsa delle intromissioni di estranei nella vita privata, o di rifiutare il consenso alla diffusione di informazioni sul proprio conto, di rinuncia alla partecipazione nella vita sociale;  ma in senso positivo, come affermazione della  libertà e dignità della persona, e come potere di limitare il potere informatico, controllandone i mezzi ed i fini di quel potere.

Il problema è che troppo spesso la privacy viene invocata senza alcun motivo o per difendere comportamenti illegittimi (come nel caso di molti uffici pubblici che spesso rifiutano riscontri dovuti ai cittadini invocando inesistenti motivi di privacy) o per nascondere alla collettività azioni e comportamenti che personaggi pubblici non possono nascondere (è questo il caso di molti eminenti politici del nostro paese).

Particolarmente delicato è poi il problema del complesso rapporto tra privacy e giornalismo in quanto spesso si tratta di valutare interessi contrapposti tutti di rilevanza costituzionale. Infatti nel conflitto tra interessi egualmente garantiti dalla Costituzione, il bilanciamento tra il diritto alla riservatezza ed il diritto di informazione non pare, suscettibile di soluzioni aprioristiche ovvero di una qualsivoglia minuziosa codificazione di regole preventive.

In effetti, la molteplicità e la varietà delle vicende di cronaca e dei soggetti che ne sono coinvolti non consentono di stabilire ex ante ed in modo categorico quali particolari e quali notizie possano essere raccolti e diffusi. Spesso, anzi, la pubblicazione che appare legittima in un determinato contesto, non potrebbe esserlo in un contesto diverso.

Il bilanciamento tra i diritti e le libertà di cui sopra resta in sostanza affidato in prima battuta al giornalista, ma il pericolo è che spesso anziché il diritto all’informazione venga privilegiato l’interesse, non altrettanto nobile e tutelato, al c.d. gossip ovvero, il che è ancor peggio, alla più crudele curiosità legata alle miserie altrui, soprattutto se l’altro è un personaggio pubblico.

E’ quest’ultimo aspetto che va assolutamente evitato e che spesso purtroppo viene riproposto dalla cronaca giornalistica troppo legata al c.d. scandalo o alla notizia “bomba” che fa tanto salire le vendite dei giornali.

Il 15 dicembre scadono i termini per l’adempimento di individuazione e nomina degli amministratori di sistema. Un obbligo che implica l’adozione di iniziative tecniche ed organizzative e che per la sua complessità è già stato oggetto di un “rinvio” da parte del Garante.

Chi è l’amministratore di sistema?

L’Amministratore di sistema viene definito dal provvedimento dell’Autorità Garante del 27 novembre 2008 come una figura professionale destinata alla gestione e alla manutenzione di un impianto di elaborazione o di sue componenti. La definizione un po’ troppo generica è stata successivamente meglio inquadrata dall’Autorità con la pubblicazione delle FAQ dove ha precisato che alla gestione e manutenzione degli impianti di elaborazione va associato lo specifico trattamento di dati personali, compresi i sistemi di gestione delle basi di dati, i sistemi software complessi quali i sistemi ERP (Enterprise resource planning) utilizzati in grandi aziende e organizzazioni, le reti locali e gli apparati di sicurezza, nella misura in cui consentano di intervenire sui dati personali. In altri termini la figura dell’amministratore di sistema è necessaria qualora vi sia una condivisione in rete di archivi contenenti dati personali. In caso contrario non ha ragione di esistere. Nell’ambito della figura degli amministratori di sistema rientrano anche gli amministratori di basi di dati, gli amministratori di reti e di apparati di sicurezza e gli amministratori di sistemi software complessi.

Ma in concreto chi può essere nominato amministratore di sistema?

In realtà non viene creata una nuova figura nell’ambito del trattamento dei dati personali, ma con amministratore di sistema si intende una mansione specifica altamente specializzata che può essere attribuita ad un responsabile o ad un incaricato purché sia una designazione di carattere  individuale. Nello specifico sembra più opportuno che tale figura sia attribuita ad un incaricato del trattamento di dati personali, perché spesso il responsabile del trattamento è il capo del centro elettronico o della struttura informatizzata, cui l’azienda si appoggia. E’ naturale, quindi, che a fianco di questo responsabile, operi un incaricato, che ad esempio può costruire i privilegi di accesso ai dati, secondo le istruzioni che vengono impartite dai responsabili coinvolti.

Come si verifica l’attività dell’amministratore di sistema?

Il provvedimento del Garante, devo dire molto ermetico, al punto e) dice: “l’operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, di un’attività di verifica da parte dei titolari del trattamento, in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza riguardanti i trattamenti dei dati personali previste dalle norme vigenti”. In effetti questo punto va letto in stretto collegamento con quello successivo che parla di registrazione degli accessi logici degli amministratori di sistema. Difatti è grazie a quest’ultima che sarà possibile accertare che le attività svolte dall’amministratore di sistema siano conformi alle mansioni attribuite, ivi compreso il profilo relativo alla sicurezza.

Ma come fare in concreto questa verifica?

Una buona idea potrebbe essere quella di predisporre un registro sul quale riportare gli estremi e gli esiti di ogni verifica annuale (ad esempio data, ora, numero di accessi individuati, risultanze, ecc.). Nel caso poi vi siano dubbi su alcune operazioni svolte dall’amministratore si provvederà a contestargli formalmente per iscritto quanto accertato e si potrà anche procedere ad una verifica congiunta.