L'attenzione che la legge 675/1996 dedica alla sicurezza non è episodica; matura in un contesto di iniziative nazionali ed internazionali che riempiono un vuoto legislativo sulla materia che da tempo e in più sedi era stato evidenziato dagli esperti.
A partire dalla fine degli anni ottanta vari organismi internazionali quali, l'OCSE, il G7 ed il G10, il GAFI, Europol e, naturalmente, il Consiglio d'Europa, ciascuno per le proprie competenze e sulla base delle tematiche in discussione, hanno richiamato l'attenzione sulla sicurezza informatica e telematica. In particolare l'OEDEC, l'Organizzazione per la Cooperazione e lo Sviluppo Economico, sin dagli anni '80, si è fortemente occupato di protezione dei dati, contribuendo a redigere la Convenzione 108 che pone i riferimenti per tutte le leggi europee. Dal lungo, complesso e competente dibattito internazionale sono derivate direttive, convenzioni ed accordi, tra cui il più noto è quello di Schengen.
Il riflesso in campo nazionale è stato intenso e significativo. Dalla legge 547/1993 sui crimini informatici che, tra l'altro, ha esteso l'operatività di certe norme solo ai sistemi informatici protetti; alla legge 518/92 sulla tutela giuridica dei programmi per elaboratore ed il successivo decreto n. 205 del 15 marzo 1996 che lo perfeziona.
Ma anche discipline particolari che direttamente o indirettamente riguardano la sicurezza; ad esempio, l'obbligo di misure di sicurezza nei centri EDP tenuti al segreto d'ufficio (CDM, 15 feb. 1989) e il DPR 5 luglio 1995 n. 417, riguardante le biblioteche pubbliche statali, così come le prescrizioni dell'AIPA (articolo 7, d.lgs. 39/93), circa le regole tecniche per la Pubblica Amministrazione. Ma anche la legge 15 marzo 1997 n.59 art.15 comma 2, sulla riforma della PA, e il d.lg. 17 marzo 1995 n. 115 inerente gli obblighi per produttori, distributori e detentori, per l'immissione di prodotti sicuri sul mercato.
Decreto Legislativo n. 39 del 12 febbraio 1993
Art. 7
1. Spetta all'Autorità:
1.
dettare norme tecniche e criteri in tema di pianificazione, progettazione, realizzazione, gestione, mantenimento dei sistemi informativi automatizzati delle amministrazioni e delle loro interconnessioni, nonché della loro qualità e relativi aspetti organizzativi;
2.
dettare criteri tecnici riguardanti la sicurezza dei sistemi;
3.
coordinare, attraverso la redazione di un piano triennale annualmente riveduto, i progetti e i principali interventi di sviluppo e gestione dei sistemi informativi automatizzati delle amministrazioni;
4.
promuovere, d'intesa e con la partecipazione anche finanziaria delle amministrazioni interessate, progetti intersettoriali e di infrastruttura informatica e telematica previsti dal piano triennale e sovrintendere alla realizzazione dei medesimi anche quando coinvolgono apparati amministrativi non statali, mediante procedimenti fondati su intese da raggiungere tramite conferenze di servizi, ai sensi della normativa vigente;
5.
verificare periodicamente, d'intesa con le amministrazioni interessate, i risultati conseguiti nelle singole amministrazioni, con particolare riguardo ai costi e benefici dei sistemi informativi automatizzati, anche mediante l'adozione di metriche di valutazione dell'efficacia, dell'efficienza e della qualità;
6.
definire indirizzi e direttive per la predisposizione dei piani di formazione del personale in materia di sistemi informativi automatizzati e di programmi per il reclutamento di specialisti, nonché orientare i progetti generali di formazione del personale della pubblica amministrazione verso l'utilizzo di tecnologie informatiche, d'intesa con la Scuola superiore della pubblica amministrazione;
7.
fornire consulenza al Presidente del Consiglio dei Ministri per la valutazione di progetti di legge in materia di sistemi informativi automatizzati;
8.
nelle materie di propria competenza e per gli aspetti tecnico-operativi, curare i rapporti con gli organi delle Comunità europee e partecipare ad organismi comunitari ed internazionali, in base a designazione del Presidente del Consiglio dei Ministri;
9.
proporre al Presidente del Consiglio dei Ministri l'adozione di raccomandazioni e di atti d'indirizzo alle regioni, agli enti locali e ai rispettivi enti strumentali o vigilati ed ai concessionari di pubblici servizi; comporre e risolvere operativi tra le amministrazioni concernenti i sistemi informativi automatizzati;
10.
esercitare ogni altra funzione utile ad ottenere il più razionale impiego dei sistemi informativi, anche al fine di eliminare duplicazioni e sovrapposizioni di realizzazioni informatiche.
A ciò si aggiunga l'istituzione di nuclei investigativi particolari come quello della Polizia di Stato per le telecomunicazioni che ha ereditato uomini e cultura del Nucleo investigativo per la criminalità economica ed informatica già esistente presso il servizio Centrale Operativo della Polizia di Stato. Tutto ciò, insieme all'articolo 15 della legge 675/96 al suo intero combinato disposto, creano una sorta di diritto della sicurezza informatica e telematica che dev'essere interpretato nel suo insieme per comprendere i necessari adempimenti voluti dalla legge in commento.
Legge n. 675 del 31 dicembre 1996
Art. 15
1.
I dati personali oggetto di trattamento devono essere custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.
2.
Le misure minime di sicurezza da adottare in via preventiva sono individuate con regolamento emanato con decreto del Presidente della Repubblica, ai sensi dell'articolo 17, comma 1, lettera a), della legge 23 agosto 1988, n. 400, entro centottanta giorni dalla data di entrata in vigore della presente legge, su proposta del Ministro di grazia e giustizia, sentiti l'Autorità per l'informatica nella pubblica amministrazione e il Garante.
3.
Le misure di sicurezza di cui al comma 2 sono adeguate, entro due anni dalla data di entrata in vigore della presente legge e successivamente con cadenza almeno biennale, con successivi regolamenti emanati con le modalità di cui al medesimo comma 2, in relazione all'evoluzione tecnica del settore e all'esperienza maturata.
4.
Le misure di sicurezza relative ai dati trattati dagli organismi di cui all'articolo 4, comma 1, lettera b), sono stabilite con decreto del Presidente del Consiglio dei ministri con l’osservanza delle norme che regolano la materia.
Uno dei principi ispiratori della legge 675/1996 può essere sintetizzato nel concetto che,
le misure di sicurezza devono garantire la protezione dei dati,
perché la sfera privata può essere violata non solo con l'inosservanza degli obblighi che disciplinano la materia, ma anche attraverso comportamenti volontari o involontari, finalizzati a manipolare, distruggere o acquisire, i dati stessi senza averne il diritto. Perciò la legge riserva molta attenzione alle misure di prevenzione.
Questo principio, che è all'origine della materia, ha trovato ampio risalto sin dall'origine della Convenzione Europea. Il legislatore ha così voluto tutelare gli interessi e i diritti di chi pone affidamento ad una banca dati altrui sensibilizzando il titolare del trattamento.
Ha perciò cercato un equilibrio tra riservatezza e diritto d'informazione, ed avendo in un certo senso non esaltato la riservatezza, ha preteso che le informazioni siano custodite in maniera sicura.
