PRIVACY

Allegato B al Codice Privacy (parte 3): altre misure di sicurezza

Scritto da Alberto Nicolai

In questo terzo articolo sull’Allegato B al Codice della Privacy, altresì denominato “Disciplinare tecnico in materia di misure minime di sicurezza” (di cui agli artt. 33-36 del D.lgs. 196/2003) vedremo assieme cosa prevedono le regole 15-16-17-18 in tema di “Trattamenti con strumenti elettronici”: si parla di antivirus, aggiornamenti software e salvataggio dati (back-up).

I precedenti articoli sull’Allegato B:

Allegato B al Codice Privacy (parte 1): i sistemi di autenticazione informatica
Allegato B al Codice Privacy (parte2): i sistemi di autorizzazione informatica

Lo schema esplicato

Nello schema ho volutamente escluso la regola 15, in quanto la ritengo svincolata dalle successive: tale regola non fa altro che ripetere il concetto, peraltro già parzialmente espresso alla n.13, che gli incaricati al trattamento possono essere organizzati tramite classi omogenee di incarico, unitamente ai relativi profili di autorizzazione.

Le regole 16-17-18 sono invece, a mio modesto parere, unite dal medesimo filo conduttore: il tema della scelta software e hardware per la sicurezza informatica del proprio sistema di trattamento dati.

REGOLA 16

  • WHAT: I dati sono protetti contro il rischio di intrusione e dell’azione di programmi di cui all’art. 615quinquies1 c.p., mediante l’attivazione di idonei strumenti elettronici2.
  • WHICH: antivirus, antispyware, tool di sicurezza, firewall hardware e software, antimalware, etc.
  • WHEN: aggiornamento almeno semestrale.

REGOLA 17

  • WHAT: riguarda gli aggiornamenti periodici dei programmi per elaboratore volti a prevenire la vulnerabilità di strumenti elettronici e a correggerne difetti.
  • WHICH: patch, aggiornamenti di sistema, aggiornamenti software, etc.
  • WHEN: aggiornamento almeno annuale (semestrale per dati sensibili).

REGOLA 18

  • WHAT: devono essere impartite istruzioni organizzative e tecniche per il salvataggio dei dati.
  • WHICH: Back-up.
  • WHEN: almeno settimanalmente.

Si ricorda che queste sono le misure minime di sicurezza, con cui scongiurare le conseguenze di tipo penale ex art.169 Codice Privacy.
Le misure di cui sopra non possono, infatti, ritenersi “misure idonee ad evitare il danno” (art. 2050 c.c.), e pertanto non consentono al Titolare del trattamento di superare indenne una richiesta di risarcimento danni per attività pericolosa (l’art. 15 Codice Privacy equipara i danni cagionati per effetto del trattamento a quelli provocati dall’esercizio di attività pericolose).

Quali potrebbero essere le corrispondenti misure idonee?

Le misure idonee non sono definite in nessun testo legislativo, allegato o provvedimento del Garante – vengono solamente menzionate dall’art.31 Codice Privacy – ma possiamo considerarle come i migliori accorgimenti di sicurezza informatica in un determinato momento storico.
Per esempio un aggiornamento dell’antivirus giornaliero, un aggiornamento dei bug software all’immediato rilascio da parte della casa madre, un back-up dati quotidiano, etc.
Solo accorgimenti di quest’ultimo tipo possono salvare il Titolare dalla richiesta di risarcimento danni in sede civile, che diversamente potrebbero portare ad una sentenza di condanna, nonostante il pieno rispetto dell’Allegato B del Codice Privacy.


  1. Diffusione di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico: “Chiunque, allo scopo di danneggiare illecitamente un sistema informatico o telematico, le informazioni, i dati o i programmi in esso contenuti o ad esso pertinenti ovvero di favorire l’interruzione, totale o parziale, o l’alterazione del suo funzionamento, si procura, produce, riproduce, importa, diffonde, comunica, consegna o, comunque, mette a disposizione di altri apparecchiature, dispositivi o programmi informatici, è punito con la reclusione fino a due anni e con la multa sino a euro 10.329″ 
  2. per strumenti elettronici ritengo debbano essere considerati sia quelli software che quelli hardware: quindi, per esempio, firewall hardware oltre che software. 

Info sull'Autore

Alberto Nicolai

Avvocato. Appassionato di informatica dai tempi del 286 con MS-Dos e Windows 3.1, mi occupo prevalentemente di Diritto Informatico, ICT, Privacy e Website Legal Compliance. Il mio sito personale è albertonicolai.it

Leggi articolo precedente:
Il reato di interferenze illecite nella vita privata in precario equilibrio tra lacune legislative e grattacapi dottrinali

Vademecum sul Marketing – I consigli del Garante

Sfondo Podcast dirittiweb
Dirittiweb #06 – Google, servizi di comparazione prezzi, Android ed abuso di posizione dominante. La messa in mora della Commissione Europea.

Chiudi