Appunti sparsi per alcune riflessioni e sottolineature sulla legislazione italiana concernente privacy, anonimato e crittografia in vista della seconda iniziativa dell'hacklab firenze (http://firenze.hacklab.org) sul tema della privacy lunedi' 4 ottobre 1999 dalle ore 18.30 presso la biblioteca popolare dell'isolotto
Cerchero' di non tornare, se non sporadicamente, su alcune questioni che ho gia' affrontato precedentemente (vedi http://www.firenze.linux.it/~leandro/hacklab/privacy/ferry.html ) anche se "ragionando" di privacy e' difficile non allargare il discorso su come per esempio, per ragioni speculari a quelle delle norme sulla privacy e' il diritto di accesso ad essere negato per legge
vedi ad es.
Regolamento per la disciplina delle categorie di documenti degli organismi di informazione e di sicurezza sottratti al diritto di accesso
DECRETO DEL PRESIDENTE DEL CONSIGLIO DEI MINISTRI
10 marzo 1999, n. 294
Regolamento recante norme per la disciplina delle categorie di documenti in possesso degli organismi di informazione e di sicurezza sottratti al diritto di accesso ai documenti amministrativi, in attuazione dell'articolo 24, c. 4, della legge 7 agosto 1990, n.241
(Pubblicato sulla G.U. n. 198 del 24/8/99)
PER REPERIMENTO FONTI CITATE: http://www.ecn.org/crypto/law
Partendo in ordine cronologico inverso troviamo gia' nel c.p.p. art. 266, nella legislazione d'emergenza degli anni '70 e nella legge del 1981 sulla banca dati del ministero degli interni due aspetti che preme sottolineare in questa sede anche perche' spesso non affrontati con la dovuta attenzione.
Nelle norme inerenti la possibilita' d'intercettare le conversazioni da parte degli organi istituzionali competenti troviamo un primo aspetto peculiare del problema della difesa anche giuridica della privacy in Italia. qualora vi siano ragioni o indizi di ragioni necessarie e sufficienti alle istituzioni per motivi di controllo sociale o repressivo qualsiasi cosa compresa la conversazione tra privati tramite telefono (esiste qualcosa di piu' intimo e diffuso oggi in italia?) puo' essere messa sotto osservazione speciale. Ora al di la' dei mutamenti digitali imperanti e per i quali da un punto di vista tecnico si e' passati dall'operatore che con un pappagallo si mette su una linea a curiosare alle possibilita' offerte dalle nuove tecnologie di registrare e poi analizzare a posteriori il traffico di comunicazioni (vedi echelon), e' da tener ben presente questa impostazione "mentale" dell'apparato giuridico italiano: le garanzie esistono fino a quando non scattano esigenze di controllo e di repressione.
In verita' alcune norme come quella appunto della l.121/81 che a riguardo delle banche di dati della polizia enuncia che "Non possono invece essere raccolti dati relativi a razza, religione, opinione politica o sindacale ecc." sono parzialmente confortanti almeno da un punto di vista giuridico anche se decenni di storia "politica" di strategia delle tensioni, servizi deviati e di stragi di stato fanno ben poco sperare sulla possibilita' di una gestione "democratica" di informazioni sensibili.
Negli anni '80 e nei primi anni 90 escono numerose norme che tentano di mettere dei paletti giuridici nella difesa della privacy rispetto a particolari argomenti quali AIDS, salute ecc. anche se il "salto di qualita'" si ha con l'avvento del Garante della privacy. Nel frattempo rimangono nella storia giuridica alcune chicche come
SICUREZZA PUBBLICA
Disposizioni generali D.M. 12 luglio 1996 (1).
Disposizioni concernenti la comunicazione alle autorita' di pubblica
sicurezza dell'arrivo di persone alloggiate in strutture ricettive.
Dove si riportano gli standards anche telematici per la comunicazione giornaliera delle persone che sostano in pensioni ed affini e che la dicano lunga su come, almeno sulla carta, esiste un efficiente sistema di controllo in tempo reale delle attivita' dei cittadini e sicuramente sconosciuto ai piu'...
Arriviamo comunque al 1996 quando con le leggi 675 e 676 si installa il Garante e detta le prime regole a riguardo.
Sono norme complicate essendo anche le prime in Italia sull'argomento e molto dibattute per opportunita' politiche e speculazioni intelletual-giuridiche ma la presenza di Rodota' a capo del Garante fa' ben sperare ed in effetti molto onesti sono stati fino ad ora gli sforzi del garante per offrire una tutela giuridica ai cittadini anche se, suona impietoso ma vorrebbe non esserlo, e' la coscienza e la capacita' tecnica di come rapportarsi a deteminate informazioni e strutture comunicative a fare la differenza fra poter essere tutelati o meno...
Non ho le conoscenze , ne' il tempo, ne' la capacita' ne' la pretesa di fare un esame approfondito della legislazione in materia ma alcuni tratti possono essere sottolineati - ed in particolare per quello che ci riguarda cio' che piu' coinvolge l'ambito "telematico" abbastanza rapidamente e facilmente - dopodiche' se avete bisogno di un approfondimento professionale, studiatevi la legislazione in rete o sfogliando qualche cd-rom in materia o assoldate un avvocato specializzato in materia e comunque mettetevi l'animo in pace fin da subito: il sistema giuridico italiano e' cosi' complesso che la certezza di "fare la cosa giusta" e' pura utopia ed al massimo potete sforzarvi al massimo per sentirvi (e dimostrare di avere ad eventuali controlli) la "coscienza a posto", sempre che voi o chi per voi abbia interpretato in maniera ritenuta corretta dal controllore di turno la norma rispetto alla vostra situazione specifica...
Alcune ragioni di tutta questa situazione perversa risiedono appunto nella possibilita' di abbassare pesantemente questa enorme spada di damocle se e quando fa' comodo e nel dover ricorrere oltremisura a servizi professionali (studi di avvocato ecc.) che cercano di limitare i danni a priori o a posteriori.
Tornando su questa leggera ma sincera analisi della legislazione in materia di privacy si possono riconoscere alcuni tratti essenziali:
- la necessita' del consenso del soggetto interessato al trattamento dei dati
- la necessita' di proteggere anche da un punto di vista informatico-tecnico la raccolta dei stessi
- la necessita' che esistano motivi gravi e circostanziati affinche' i cosiddetti dati sensibili (stato di salute, razza, sesso, religione, opinioni politiche ecc.) possano essere raccolti
Il garante, fra l'altro e in quest'ottica ha cercato di ereditare (anche se in maniera contraddittoria a volte) alcune fondamentali norme, conquiste di anni di lotte pagate duramente, come ad esempio la Legge n. 300/70 lo "Statuto dei lavoratori" di cui commento a titolo di esempio alcuni fra gli artt. piu' importanti e inerenti il tema qui discusso. L'art. 8 proibisce al datore di lavoro di assumere informazioni, attraverso attivita' d'indagine, circa le opinioni politiche religiose o sindacali del lavoratore e circa altri fatti "non rilevanti ai fini della valutazione dell'attitudine professionale; visto attraverso il diaframma dell'informatica tale divieto si estende sino ad inibire al datore di lavoro la possibilita' di "schedare" il lavoratore in "banche dati" o di controllarne il tempo effettivo di lavoro su computer attraverso l'uso di codici particolari di accesso (Pretore del Lavoro di Milano sentenza del 5 dicembre 1984). In difetto di accordo, su istanza del datore di lavoro, provvede l'Ispettorato del lavoro, dettando, ove occorra, le modalita' per l'uso di tali impianti". L'art. 38 della stessa legge, infine, stabilisce che la violazione dell'art. 4 e' punita con l'ammenda o con l'arresto (cumulabili nei casi piu' gravi). In questo contesto la sopracitata sentenza del Pretore di Milano del 5 dicembre 1984 ha ritenuto illecito l'utilizzo di un programma per elaboratore elettronico che permettesse, mediante un rapporto settimanale su tabulato, il controllo analitico dell'attivita' lavorativa del personale addetto al terminale.
Ulteriori sforzi fin dalla nascita della prima legislazione (675 e676 del 1996 appunto) sono stati fatti per tentare di disciplinare ambiti specifici quali l'attivita' giornalistica, il trattamento dei dati sensibili da parte degli enti pubblici ecc.
Particolarmente interessante per quanto ci compete le
"Disposizioni in materia di tutela della vita privata nel settore delle telecomunicazioni, in attuazione della direttiva 97/66/Ce del Parlamento europeo e del Consiglio, e in tema di attivita' giornalistica"
dove ad esempio all'art. 2
"Il fornitore di un servizio di telecomunicazioni accessibile al pubblico ha l'obbligo di informare gli abbonati quando sussiste un particolare rischio di violazione della sicurezza della rete, indicando i possibili rimedi e i relativi costi. Analoga informativa e' resa all'Autorita' per le garanzie nelle comunicazioni e al Garante."
all'art. 3
"Il fornitore di un servizio di telecomunicazioni accessibile al pubblico informa gli abbonati e, ove possibile, gli utenti, circa la sussistenza di situazioni che permettono di apprendere in modo non intenezionale il contenuto di comunicazioni o conversazioni da parte di soggetti a esse estranei.
Come poi queste norme si possano applicare alla mutevole scena tecnologica delle reti telematiche potrebbe essere argomento di discussioni di interminabili convegni dove sarebbe comunque interessante vedere le ragioni di giuristi confrontate con la probabile disarmante esposizione di tecnici telematici del come la tecnica tiene poco conto delle ragioni giuridiche non fosse altro per ragioni di natura intrinseca e di continua mutevolezza strutturale e funzionale di una rete telematica.
Malgrado le difficolta' oggettive di regolamentare i servizi telematici alcuni tentativi come
DECRETO LEGISLATIVO 22 maggio 1999 n. 185
Attuazione della direttiva 97/7/CE relativa alla protezione dei consumatori in materia di contratti a distanza cercano comunque di porre delle forme di tutela per i "consumatori" dei nuovi servizi telematici se non altro per quanto riguarda la possibilita' di informazione rispetto alla merce da acquistare e alla possibilita' di recesso
Dove, queste infinite schiere di decreti legislativi e simili non sono bastate a chiarire le applicazioni delle norme sulle privacy il Garante ha provato a sfornare una serie di provvedimenti e comunicazioni al fine di cercare di meglio specificare l'attuazione delle norme vigenti
Di particolare interesse la comunicazione (per lo piu' ripresa a livello Internet da un servizio commerciale privacy.it ed e' sicuramente uno dei punti oscuri dell'attivita' del garante la mancanza di una sua interfaccia diretta in rete) riguardante privacy e posta elettronica in cui si dice che
"I messaggi che circolano, via Internet, nelle liste di posta elettronica e nelle newsgroup ad accesso limitato devono essere considerati come corrispondenza privata e in quanto tali non possono essere violati. Lo ha stabilito il Garante affrontando il piu' ampio caso di una mailing list costituita su iniziativa di alcuni dipendenti di un'amministrazione con strumenti messi a disposizione dalla stessa amministrazione. Il principio riguarda non solo le singole "e-mail", ma anche le piu' articolate mailing list, ovvero i servizi di posta elettronica con un indirizzario automatico che consente la contemporanea trasmissione a piu' persone di una comunicazione o messaggio su determinati argomenti di interesse comune (in genere, il messaggio, inviato al computer che "amministra" la lista, viene poi spedito automaticamente alla casella di posta elettronica di tutti gli aderenti). Nella sua decisione, il Garante, nel ribadire i principi contenuti nell'art.15 della Costituzione, che afferma l'inviolabilita' della liberta' e della segretezza della corrispondenza e di ogni altra forma di comunicazione, ha ricordato che la legge n.547 del 1993 sui reati informatici e, da ultimo, il D.P.R. n.513 del 1997 sul documento elettronico, hanno confermato che la posta elettronica deve essere tutelata alla stregua della corrispondenza epistolare o telefonica. Per le caratteristiche assunte da tali circuiti privati di posta elettronica, i messaggi che in essi circolano vanno considerati quindi alla stregua della corrispondenza privata e non possono essere abusivamente intercettati. Cio', sia che si tratti di vere e proprie "mailing list", sia che si tratti di newsgroup ad accesso condizionato dalla disponibilita' di una password fornita ad una pluralita' di soggetti determinati, e a prescindere dal fatto che la rete operi attraverso le strutture pubbliche che un'amministrazione ha consentito di utilizzare. Nel caso di specie, il Garante ha peraltro precisato che, analogamente a quanto avviene per la normale corrispondenza, non puo' essere considerata contrastante con la normativa sui dati personali l'eventuale successiva presa di conoscenza della e-mail da parte di soggetti estranei al circuito di posta elettronica, quando il messaggio non sia stato indebitamente acquisito da questi ultimi ma ad essi comunicato da parte di uno dei destinatari del messaggio stesso."
Di un certo interesse puo' essere in questa sede analizzare brevemente la legislazione italiana inerente i sistemi crittografici.
Fino a pochi anni fa' la legislazione piu' rilevante che regola l'uso della crittografia in Italia riguarda l'impiego nella tutela del segreto di Stato, sia in campo civile che militare. L'ente preposto all'applicazione del controllo e' l'ANS (Autorita' Nazionale per la Sicurezza). La violazione delle norme e direttive dell'ANS e' repressa secondo quanto previsto dal codice penale. L'ANS valuta gli algoritmi, logiche, filosofie, hardware, emissioni e ne controlla la produzione e la distribuzione attraverso l'AND (Agenzia Nazionale di Distribuzione). L'import-export di detto materiale chiave e' regolato dalle leggi 185/90 e 222/92. L'uso della crittografia per altri impieghi privati o governativi non riferiti alla tutela del segreto di stato non e' ne' vietato ne' controllato. In tema di regolamenti e' bene ricordare l'art. 130 del Codice Postale che vieta ai radioamatori la codificazione delle trasmissioni ed impone l'uso di alcune lingue nonche' l'art. 9 della Convenzione per i ponti radio dati in concessione che all'art. 9 richiede per le trasmissioni in cifra il deposito dei codici presso l'Amministrazione postale. La Telecom Italia non pone limiti all'impiego da parte degli utenti di
sistemi di cifratura sia per fonia sia per trasmissione dati. L'unica restrizione potrebbe essere individuata nel collaudo delle apparecchiature per l'omologazione che sono tenute ad adottare sistemi di cifratura che non incidano negativamente sulla funzionalita' della rete.
Esistono poi alcune norme particolari che riguardano marginalmente l'uso di procedure crittografiche come ad esempio quelle concernenti l'organizzazione e funzionamento del centro cifra e telecomunicazioni del Ministero degli affari esteri oppure la Ratifica ed esecuzione dell'accordo tra gli Stati membri delle Comunità europee sulla semplificazione e la modernizzazione delle modalità di trasmissione delle domande di estradizione, fatto a Donostia-San Sebastian il 26 maggio 1989.
Delib AIPA 09/11/1995
La Deliberazione 9 novembre 1995 (in Gazz. Uff., 22 novembre, n. 273) dell'Autorita' per l'informatica nella pubblica amministrazione per la "Definizione delle regole tecniche per il mandato informatico" e' una delle leggi piu' recenti che cominciano a prendere in considerazione gli strumenti della crittografia per adempiere a procedure amministrative di qualche rilievo.
E' pero' con il
Decreto del Presidente della Repubblica 10 novembre 1997, n. 513
Regolamento contenente i criteri e le modalita' per la formazione, l'archiviazione e la trasmissione di documenti con strumenti informatici e telematici a norma dell'articolo 15, comma 2, della legge 15 marzo 1997, n. 59
che viene alla luce una delle leggi piu' importanti in Italia in tema di crittografia
All'articolo 5 si dice che:
(Efficacia probatoria del documento informatico)
"Il documento informatico, sottoscritto con firma digitale ai sensi dell'articolo 10, ha efficacia di scrittura privata ai sensi dell'articolo 2702 del codice civile."
e si dettano le prime regole in tema di firma digitale (procedura direttamente connessa a sistemi di crittografia a chiave pubblica oramai comunemente noti agli utenti telematici dopo l'avvento del pgp e le possibilita' di comunicazione sicura offerte dall'ssh)
A ruota viene il
Decreto del Presidente del Consiglio dei Ministri 8 febbraio 1999
Regole tecniche per la formazione, la trasmissione, la conservazione, la duplicazione, la riproduzione e la validazione, anche temporale, dei documenti informatici ai sensi dell'articolo 3, comma 1, del Decreto del Presidente della Repubblica, 10 novembre 1997, n. 513
che detta ulteriori regole in tema di algoritmi e formato delle chiavi
Le norme in tema di firma digitali, chiavi e certificazioni delle stesse si susseguono rapidamente spesso ad opera dell'AUTORITA' PER L'INFORMATICA NELLA PUBBLICA AMMINISTRAZIONE
DELIBERAZIONE 30 luglio 1998
Regole tecniche per l'uso di supporti ottici
(Deliberazione n. 24/98)
Ultima e molto importante
AUTORITA' PER L'INFORMATICA NELLA PUBBLICA AMMINISTRAZIONE
Circolare 26 luglio 1999, n.22
Art. 16, comma 1, dell'allegato tecnico al decreto del Presidente del Consiglio dei Ministri 8 febbraio 1999.
Modalita' per presentare domanda di iscrizione nell'elenco pubblico dei certificatori di cui all'art. 8, comma 3, del decreto del Presidente della Repubblica 10/11/97, n. 513
(Pubblicata sulla G.U. n. 179 del 2/8/99)
Sebbene queste norme adottino dei protocolli di certificazione che escludono l'uso di sistemi di crittografia come il pgp all'interno della pubblica amministrazione (ma neanche ne vietano l'uso da parte di circuiti privati per finalita' diverse da quelle che si prefigge la pubblica aministrazione) viene per la prima volta prevista in Italia la possibilita' di firmare documenti e procedure amministrative (con tutti i vantaggi e svantaggi di essere associato con certezza e senza possibilita' di ripudio) associando non solo un'identita' elettronica a tali procedure (oltre che volendo collocarle in un momento temporale anch'esso certificato) ma un'identita' amministrativa alle stesse.
In pratica ed in poche parole il cittadino che si qualifica ad una determinato ente locale (ad esempio) come "tal di tali" cittadino attraverso un sistema di riconoscimento classico (carta d'identita' ad un funzionario) riceve la possibilta' di attivare una procedura personalizzata di creazione di una coppia di chiavi (pubblica e privata) la cui chiave pubblica potra' essere depositata presso l'ente anche attraverso procedure telematiche con la certezza di essere associata a "tal di tali" identita' amministrativa. A tutt'oggi non mi risulta esistono norme che esigono il deposito della chiave privata dimostrando in questo senso conoscenza della materia e un certo grado di sensibilita' verso la stessa.
Rimane il problema che i protocolli previsti (organizzati perche' siano validate funzioni gerarchiche di riconoscimento) fanno riferimento a tecnologie non open-source (come invece potrebbero essere state previste per sistemi come ad esempio il gpg) e che bisogna avere grossissime coperture economiche per diventare certificatori.
info traghettate in queste pagine a cura di ferry di sn