Indice
In piena notte di quel venerdì 7 ottobre 2016, in Italia, su una strada di una qualsiasi provincia italiana, alla periferia del capoluogo, un’automobile viaggia a velocità sostenuta, è buio e la strada è poco o niente illuminata, il limite imposto in quel tratto di statale è di sessanta chilometri orari.
L’automobile tuttavia sta viaggiando a più di centodieci chilometri orari, è una vecchia Giulietta Alfa Romeo, sono anni che non effettua la revisione e la sua carta di circolazione è scaduta, chi guida ha deciso di vedere non solo sino a che punto tira la vecchia vettura sportiva del nonno, ma anche se conosce la strada così bene da poterla percorrere a fari spenti, nella notte. Si sente il personaggio di una canzone di Lucio Battisti, Antonio, nipote di Antonio, mentre sfreccia lungo la strada rombando.
Dopo un lungo rettilineo c’è una brusca curva a sinistra lungo la statale ed è quasi una curva parabolica che però ha due differenti punti di corda, così bisogna farla con attenzione e pronti a correggere la traiettoria.
Antonio si distrae fatalmente quando non deve e così la Giulietta scivola perde aderenza e travolge, sull’altra carreggiata, la bicicletta di Gianluca, che dopo avere finito il suo lavoro nella sua pasticceria lì vicino sta tornando a casa in bicicletta; sono poche centinaia di metri dalla pasticceria a casa sua, ed è per questo che con ogni tempo e ad ogni orario Gianluca preferisce fare la strada in bici, e sono poche centinaia di metri, per questo non ha mai montato i fari alla sua bici o la tuta con i catarifrangenti.
Il giorno dopo i giornali locali parleranno del gesto folle di Antonio e lo descriveranno come l’ennesimo pirata della strada. Nessuno sarà mosso a compassione per le ferite che ha riportato, nessuno piangerà i danni alla Giulietta del nonno.
Da anni mi chiedo come mai i giudizi spesso drastici, feroci e crudeli che la gente riserva a chi tiene condotte stradali così azzardate non vengono applicati per analogia anche a chi è vittima di minacce informatiche come quella in corso con Wannacry.
Lunedì 15 maggio 2017, nella provincia già teatro – ad ottobre – dell’incidente immaginato, in più di un ufficio scoprono che i loro computer sono bloccati e che l’attacco in corso da giovedì in oltre cento Paesi ha colpito pure loro.
Perché chi tratta dati personali usando computer, senza avere una copia di sicurezza (backup) tiene un comportamento imprudente molto simile a quello di Antonio. Ma la somiglianza non è limitata all’imprudenza, infatti sia Antonio con la Giulietta del nonno che il titolare dei trattamenti privo di backup stanno violando la legge.
Antonio non può circolare con la Giulietta senza idonea carta di circolazione, e non può ignorare i limiti di velocità e tenere i fari della vettura spenti, facendo questo si è automaticamente messo “dalla parte del torto”, ma anche il titolare che tratta dati personali (siano essi i dati del personale assunto o le quote del condominio di cui è amministratore) non può non avere adottato delle buone politiche di salvataggio dei dati.
Dal 2003 il backup diventa un obbligo: tutti coloro i quali trattano dati personali per fini che non siano quelli esclusivamente personali (cfr. art. 5 d.lg. 196/2003) dovendo applicare le misure minime di sicurezza (cfr. articoli 31, 33, 34 del d.lg. 196/2003), devono anche porsi il problema delle “copie di sicurezza”.
Questo è il testo dell’art. 33:
Nel quadro dei più generali obblighi di sicurezza di cui all’articolo 31, o previsti da speciali disposizioni, i titolari del trattamento sono comunque tenuti ad adottare le misure minime individuate nel presente capo o ai sensi dell’articolo 58, comma 3, volte ad assicurare un livello minimo di protezione dei dati personali.
L’articolo successivo (art. 34, comma 1, lettera f) invece dice che si possono trattare dati personali con strumenti elettronici solamente se sono adottate (tra gli altri obblighi):
procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi
Se anche questi riferimenti non bastassero, sono ribaditi dall’Allegato B al Codice Privacy, che infatti alla regola 18 sottintende l’operazione di backup (dei dati) dicendo:
Sono impartite istruzioni organizzative e tecniche che prevedono il salvataggio dei dati con frequenza almeno settimanale.
In sintesi, dunque, sul backup dei dati personali dobbiamo tenere a mente che:
È un obbligo, sancito dall’art. 33, dall’art. 34 e dall’Allegato B al Codice Privacy. Non adempiere a questo obbligo significa incorrere nella sanzione prevista dall’art. 162 comma 2-bis, e nella sanzione prevista dall’art. 169 (almeno teoricamente).
Nel primo caso (l’art. 162 comma 2-bis) è prevista una sanzione amministrativa da ventimila a centoventimila euro. Nel secondo caso è previsto l’arresto sino a due anni.
L’illecito amministrativo e il reato si realizzano non quando si verificano danni a seguito degli inadempimenti, ma per il solo fatto di avere omesso gli adempimenti nel modo corretto. Quindi, a ben vedere, è quasi più grave non avere un backup e relative procedure di custodia e ripristino che non guidare a fari spenti nella notte…