|
Privacy dei
dati e amministrazione di sistema: tra norme di legge e best practice
di Luigi Martin
Con il D. Lgs. 30 giugno 2003, n. 196 il governo riforma la disciplina dettata
dalla Legge 675/96.
Conseguentemente al continuo evolversi delle tecnologie, che
permette di acquisire, elaborare e trasferire quantità enormi di dati con sempre
maggiore velocità, la tutela della sfera privata dell’individuo e del suo
diritto alla riservatezza è diventata un’esigenza primaria, cui il legislatore
ha giustamente provveduto in questi ultimi anni con ripetuti interventi
normativi.
L’ultimo di questi risale al 27 giugno 2003, giorno in cui è stato approvato dal
Consiglio dei Ministri il nuovo Codice in materia di protezione dei dati
personali, D.lgs. n. 196/2003, pubblicato sulla G.U. n. 174 del 29 luglio 2003.
Tale Codice, che è entrato in vigore il 1° gennaio 2004, ha mutato in alcuni
aspetti importanti la disciplina della privacy e della sicurezza relativa al
trattamento dei dati personali, finora regolate rispettivamente dalla Legge 31
dicembre 1996 n. 675 e dal D.P.R. 28 luglio 1999 n. 318.
Con l’intento di adeguare le misure di sicurezza, il legislatore ha inserito nel
Codice l'Allegato B, uno specifico disciplinare tecnico che
detta le regole cui ci si deve attenere per poter lecitamente trattare dei dati
sia con sistemi elettronici che con sistemi non elettronici.
Considerato che il legislatore adotta particolari terminologie sia per definire
i soggetti destinatari e i loro ruoli sia per qualificare determinate condotte
tipiche, prima di passare all’analisi delle regole vere e proprie è
indispensabile acquisire un breve glossario tecnico:
Trattamento |
qualunque
operazione o complesso di operazioni, effettuati anche senza l'ausilio di
strumenti elettronici, concernenti la raccolta, la registrazione,
l'organizzazione, la conservazione, la consultazione, l'elaborazione, la
modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo,
l'interconnessione, il blocco, la comunicazione, la diffusione, la
cancellazione e la distruzione di dati, anche se non registrati in una banca
di dati |
dato personale |
qualunque
informazione relativa a persona fisica, persona giuridica, ente od
associazione, identificati o identificabili, anche indirettamente, mediante
riferimento a qualsiasi altra informazione, ivi compreso un numero di
identificazione personale |
dati identificativi |
i dati
personali che permettono l’identificazione diretta dell’interessato |
dati sensibili |
i dati
personali idonei a rivelare l'origine razziale ed etnica, le convinzioni
religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione
a partiti, sindacati, associazioni od organizzazioni a carattere religioso,
filosofico, politico o sindacale, nonché i dati personali idonei a rivelare
lo stato di salute e la vita sessuale |
dati giudiziari |
i dati
personali idonei a rivelare provvedimenti di cui all'articolo 3, comma 1,
lettere da a) a o) e da r) a u), del d.p.r. 14 novembre 2002, n. 313, in
materia di casellario giudiziale, di anagrafe delle sanzioni amministrative
dipendenti da reato e dei relativi carichi pendenti, o la qualità di
imputato o di indagato ai sensi degli articoli 60 e 61 del codice di
procedura penale |
Titolare |
la persona
fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro
ente, associazione od organismo cui competono, anche unitamente ad altro
titolare, le decisioni in ordine alle finalità, alle modalità del
trattamento di dati personali e agli strumenti utilizzati, ivi compreso il
profilo della sicurezza |
Responsabile |
la persona
fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro
ente, associazione od organismo preposti dal titolare al trattamento di dati
personali |
Interessato |
la persona
fisica, la persona giuridica, l'ente o l'associazione cui si riferiscono i
dati personali |
Incaricati |
le persone
fisiche autorizzate a compiere operazioni di trattamento dal titolare o dal
responsabile |
comunicazione |
il dare
conoscenza dei dati personali a uno o più soggetti determinati diversi
dall'interessato, dal rappresentante del titolare nel territorio dello
Stato, dal responsabile e dagli incaricati, in qualunque forma, anche
mediante la loro messa a disposizione o consultazione |
Diffusione |
il dare
conoscenza dei dati personali a soggetti indeterminati, in qualunque forma,
anche mediante la loro messa a disposizione o consultazione |
dato anonimo |
il dato che in
origine, o a seguito di trattamento, non può essere associato ad un
interessato identificato o identificabile |
Garante |
l'autorità
istituita dalla legge 675/96 con ampie competenze sulla materia. |
banca di dati |
qualsiasi
complesso organizzato di dati personali, ripartito in una o più unità
dislocate in uno o più siti |
strumenti elettronici |
gli
elaboratori, i programmi per elaboratori e qualunque dispositivo elettronico
o comunque automatizzato con cui si effettua il trattamento |
autenticazione informatica |
l’insieme degli
strumenti elettronici e delle procedure per la verifica anche indiretta
dell’identità |
credenziali di autenticazione |
i dati ed i
dispositivi, in possesso di una persona, da questa conosciuti o ad essa
univocamente correlati, utilizzati per l’ autenticazione informatica |
parola chiave |
componente di
una credenziale di autenticazione associata ad una persona ed a questa nota,
costituita da una sequenza di caratteri o altri dati in forma elettronica |
profilo di autorizzazione |
l’insieme delle
informazioni, univocamente associate ad una persona, che consente di
individuare a quali dati essa può accedere, nonché i trattamenti ad essa
consentiti |
sistema di autorizzazione |
l’insieme degli
strumenti e delle procedure che abilitano l’accesso ai dati e alle modalità
di trattamento degli stessi, in funzione del profilo di autorizzazione del
richiedente |
Chiarito quindi il significato della terminologia tecnica in materia di privacy,
si può procedere ad una breve descrizione della procedura attraverso la quale si
acquisiscono e si trattano i dati personali:
Gli istituti sono essenzialmente i seguenti:
• informativa: l’interessato deve essere previamente informato sulle finalità,
le modalità ed i diritti relativi al trattamento;
• consenso: l’interessato deve concedere il consenso al trattamento dei propri
dati;
• diritti dell’interessato: l’interessato ha sempre diritto di sapere se e quali
suoi dati sono trattati e in quale modo, e di chiederne l’aggiornamento o la
rettifica;
• sicurezza: i dati devono essere conservati e trattati garantendo misure minime
di sicurezza che ne impediscano il trattamento abusivo;
• sanzioni: in caso di violazione delle norme in materia di privacy sono
previste sanzioni civili, amministrative e penali.
Gli adempimenti ad essi conseguenti sono:
• notificazione e autorizzazione del Garante;
• informativa all’interessato;
• consenso dell’interessato;
• misure di sicurezza.
Considerato che dei primi tre adempimenti sono onerati esclusivamente il
titolare e il responsabile del trattamento e che il presente articolo vuole
invece fornire delle indicazioni concrete agli ICT manager ed agli
amministratori di sistema, i primi tre punti saranno oggetto esclusivamente di
alcune brevi precisazioni; viceversa le misure di sicurezza verranno
maggiormente approfondite.
Notificazione: deve essere effettuata dal
soggetto che intende iniziare un trattamento di dati personali solo se questo
riguarda particolari categorie di dati, per fare alcuni esempi: dati genetici,
biometrici, dati che rivelano le abitudini sessuali, dati che riguardano la
personalità dell’interessato, ecc…
Autorizzazione: è richiesta in tutti i
casi in cui i dati trattati sono dati sensibili e/o dati giudiziari, restano
valide le Autorizzazioni Generali per determinate categorie di soggetti.
Informativa: l’interessato deve
essere informato circa:
a) le finalità e le modalità del trattamento dei dati
b) la natura obbligatoria o facoltativa del conferimento degli stessi
c) le conseguenze di un suo eventuale rifiuto a rispondere
d) i soggetti che possono venire a conoscenza dei dati in quanto responsabili o
incaricati o i soggetti ai quali possono essere comunicati
e) l’elenco dei propri diritti a norma dell’art. 7 del Codice
f) i dati del titolare del trattamento e dell’eventuale responsabile.
Consenso: è la manifestazione di volontà
attraverso la quale l’interessato accetta il trattamento. Per essere valido deve
possedere due requisiti:
a) deve essere liberamente prestato dall’interessato in forma specifica; non è
valido quindi un consenso generico ma solo quello espresso per determinate
finalità;
b) deve essere prestato in presenza di un’informativa completa.
Il codice non richiede che il consenso avvenga attraverso una sottoscrizione,
quindi si può ritenere valido anche un consenso orale al trattamento; tuttavia è
necessaria la documentazione dello stesso attraverso, appunto, la forma scritta.
Al contrario però, qualora il trattamento riguardi dati sensibili e/o
giudiziari, è necessario che il consenso sia prestato per iscritto.
Misure di sicurezza: sono previste dal
Titolo V del Codice. Esse stabiliscono lo standard minimo di sicurezza che deve
essere rispettato da ogni trattamento e variano in relazione al tipo di dati che
vengono trattati; è superfluo precisare che devono sussistere fin dall’inizio
del trattamento e devono essere costantemente aggiornate.
Anzitutto l’art. 31 del Codice stabilisce un obbligo generico di custodia e
controllo dei dati in relazione alle conoscenze acquisite in base al progresso
tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento,
in maniera tale da ridurre al minimo i rischi di distruzione o perdita, anche
accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non
consentito o non conforme alle finalità della raccolta.
Il titolare del trattamento sarà quindi tenuto ad adottare, di prassi attraverso
dei propri incaricati, tutte le misure minime previste dal Codice e
dall’Allegato B. Gli incaricati in questione sono i soggetti che si occupano
dell’amministrazione del sistema elettronico o dell’archivio cartaceo .
Le misure in dettaglio sono le seguenti:
• autenticazione informatica
• adozione di procedure di gestione delle credenziali di autenticazione
• utilizzazione di un sistema di autorizzazione
• aggiornamento periodico dell’individuazione dell’ambito del trattamento
consentito ai singoli incaricati e addetti alla gestione o alla manutenzione
degli strumenti elettronici
• protezione degli strumenti elettronici e dei dati rispetto a trattamenti
illeciti di dati, ad accessi non consentiti e a determinati programmi
informatici
• adozione di procedure per la custodia di copie di sicurezza, il ripristino
della disponibilità dei dati e dei sistemi
• tenuta di un aggiornato documento programmatico sulla sicurezza
• adozione di tecniche di cifratura o di codici identificativi per determinati
trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale
effettuati da organismi sanitari.
Tutte queste misure, previste dall’art. 34, vengono poi riprese ed ulteriormente
specificate dal disciplinare tecnico contenuto nell’Allegato B al Codice, per il
quale è pure previsto, art. 36, un aggiornamento periodico connesso
all’evoluzione tecnica e all’esperienza maturata nel settore.
Vediamo quindi quali sono gli accorgimenti tecnici
necessari per rendere sicuro un trattamento di dati personali.
Credenziali di autenticazione
Servono sia a proteggere i dati che a riconoscere l’incaricato, e di conseguenza
il suo profilo e i suoi permessi. Possono accedere agli strumenti elettronici
solo gli incaricati dotati di credenziali di autenticazione che consentano il
positivo superamento della procedura di autenticazione prevista per quel
trattamento. Le credenziali di autenticazione sono costituite da un codice
identificativo dell’incaricato, la cosiddetta componente pubblica delle
credenziali, e da una parola chiave riservata ; in altre parole i classici: user
ID e password. È espressamente prevista anche la possibilità che l’user ID, o in
alternativa la password, siano contenute in un dispositivo di autenticazione in
possesso ed uso esclusivo dell’incaricato. Per tale dispositivo si può intendere
sia la smart card sia qualsiasi altro supporto, con riferimento soprattutto a
tutti i dispositivi USB disponibili sul mercato. Addirittura è prevista la
facoltà di rendere possibile l’utilizzo di tali dispositivi associato a parole
chiave o a caratteristiche biometriche dell’incaricato stesso .
Quindi il login sarà costituito o da un user ID:
es: nome.cognome
o da un dispositivo
es: smart card, USB ecc…
ai quali verrà associata una componente riservata.
Caratteristiche password
Le password devono essere composte da almeno otto caratteri, e, qualora lo
strumento elettronico non lo consenta, da un numero di caratteri pari al massimo
consentito. La password non deve assolutamente contenere riferimenti agevolmente
riconducibili all’incaricato, sono quindi da escludere il nome dell’incaricato
stesso, la sua data di nascita, i nomi dei suoi cari ecc…
Si consiglia poi di associare le lettere a dei numeri ed alternare le lettere
maiuscole con le minuscole al fine di renderne più difficoltosa
l’identificazione tramite tecniche di “brutal force” o simili
es: xw9YFs324z.
La password deve inoltre essere sostituita ogni sei mesi e, qualora il
trattamento riguardi dati sensibili ogni tre mesi. È inoltre
stabilito che l’incaricato, il quale accede per la prima volta al sistema con la
password fornitagli dall’amministratore, provveda a sostituirla immediatamente
con una di sua esclusiva conoscenza.
Il medesimo user ID non potrà essere assegnato a persone diverse neppure in
tempi diversi e, qualora un utente non utilizzi le proprie credenziali per un
periodo superiore a sei mesi, queste devono essere disattivate. L’unica
eccezione a questa regola riguarda l’account autorizzato alla gestione tecnica
del sistema, ovvero l’amministratore.
L’utilizzo della password o, in alternativa, della caratteristica biometrica
associata ad un dispositivo di autenticazione serve anche ad evitare l’utilizzo
abusivo dello stesso nel caso di smarrimento.
Al fine di rendere concretamente sicuro il trattamento, la password deve essere
richiesta anche in tutti quei casi in cui l’incaricato si allontana dalla
propria postazione; deve quindi essere prevista una procedura che blocchi il
sistema e lo renda di nuovo accessibile solo inserendo la password .
Infine, qualora l’accesso ai dati e agli strumenti elettronici sia consentito
esclusivamente a determinati incaricati, devono essere preventivamente
individuate per iscritto le modalità con le quali il titolare del trattamento
può garantire la disponibilità dei dati e degli strumenti stessi nell’ipotesi di
prolungata assenza o di impedimento degli incaricati. Questa previsione risulta
necessaria per tutti i casi in cui per necessità operative, nonché di sicurezza,
sia indifferibile l’accesso ai dati.
In questi casi il custode delle copie delle credenziali di autenticazione deve
garantirne la segretezza e, qualora venga effettuato un trattamento utilizzando
le stesse, deve immediatamente informarne l’incaricato.
Profili di autorizzazione
Quando sono previsti diversi livelli di accesso ai dati deve essere previsto un
sistema di autorizzazione che riconosca i vari profili e i relativi permessi.
I profili possono essere personalizzati o previsti per specifiche categorie di
utenti. Tali profili vanno configurati anteriormente all’inizio del trattamento.
In questo modo infatti l’accesso viene limitato ai soli dati necessari per
effettuare le operazioni di trattamento in relazione ai permessi di quel
profilo.
Per fare un esempio, in uno studio medico vi possono essere vari livelli di
accesso: uno completo per i medici, uno limitato alla consultazione delle prescrizioni per gli
infermieri e uno limitato ai dati per la fatturazione per il personale
amministrativo.
Il titolare del trattamento deve in ogni caso poter accedere a tutti i dati
anche in assenza degli incaricati quindi il suo profilo di autorizzazione deve
essere esteso a tutti i dati trattati.
Antivirus
I dati devono essere protetti anche dal rischio di intrusione e dall’azione dei
programmi di cui all’art. 615-quinquies del codice penale , ciò vuol dire che
gli strumenti elettronici dovranno essere dotati di software antivirus.
L’antivirus dovrà essere aggiornato con cadenza almeno semestrale. Questa
disposizione farà sicuramente sorridere molti responsabili della sicurezza, ed è
superfluo precisare che un antivirus per essere efficace va aggiornato il più
frequentemente possibile.
Update , back-up e ulteriori misure
Anche il sistema operativo ed i programmi che vengono utilizzati per il
trattamento devono essere aggiornati; in questo caso sarà quindi necessario
applicare le patch e gli aggiornamenti in genere che prevengono problemi di
vulnerabilità e correggono eventuali difetti. Questo controllo deve essere fatto
almeno annualmente e, se si trattano dati sensibili o giudiziari, almeno
semestralmente. Anche qui vale quanto scritto sopra, non dimentichiamo però che
il legislatore fissa esclusivamente le misure minime di sicurezza, il che non
esclude che il responsabile attento provveda agli aggiornamenti con maggior
frequenza. Semmai si può dire che il legislatore pur non obbligando ad un
aggiornamento più frequente auspichi però che ciò avvenga.
Al contrario per il back-up dei dati è prevista una frequenza settimanale.
Inoltre nell’ipotesi di dati sensibili o giudiziari deve essere garantito anche
il ripristino dell’accesso agli stessi in caso di loro danneggiamento o di
malfunzionamento dello strumento elettronico. Tale ripristino dovrà essere
effettuato in un tempo compatibile con i diritti degli interessati e comunque
non superiore a sette giorni.
Nel caso in cui si trattino dati sensibili o giudiziari, lo strumento
elettronico dovrà anche essere protetto contro l’accesso abusivo di cui all’art.
615-ter del codice penale , e di conseguenza dovranno essere utilizzati i
cosiddetti firewall; quest’ultimi potranno essere indifferentemente hardware o
software purché idonei ad impedire l’accesso telematico ai dati da parte di
terzi non autorizzati.
Infine i supporti rimovibili sui quali tali dati sono stati registrati, qualora
non vengano più utilizzati, devono essere cancellati in maniera definitiva
cosicché non siano più né intelligibili né in alcun modo tecnicamente
ricostruibili. A tal fine devono essere indicate agli incaricati le istruzioni
per l’uso e la custodia di tali supporti.
Ulteriori misure previste per i dati idonei a rivelare lo stato di salute e la
vita sessuale sono: la conservazione degli stessi con apposite tecniche di
cifratura o il trattamento degli stessi in maniera disgiunta rispetto ai dati
che permettono l’identificazione dell’interessato. Anche il trasferimento
telematico di tali dati deve avvenire in forma cifrata.
Documento programmatico sulla sicurezza
Entro il 31 marzo di ogni anno va redatto un documento programmatico sulla
sicurezza contenente le seguenti indicazioni:
• elenco dei trattamenti;
• distribuzione dei compiti e delle responsabilità;
• analisi dei rischi che incombono sui dati;
• misure da adottare per garantire l’integrità e la disponibilità dei dati,
nonché la protezione delle aree e dei locali, rilevanti ai fini della loro
custodia e accessibilità;
• descrizione dei criteri e delle modalità per il ripristino della disponibilità
dei dati in seguito a distruzione o danneggiamento;
• previsione di interventi formativi per gli incaricati del trattamento al fine
di renderli edotti dei rischi incombenti e delle misure adottabili per evitare
eventi dannosi;
• descrizione dei criteri da adottare per il rispetto delle misure minime di
sicurezza nell’ipotesi di trattamento affidato all’esterno della struttura del
titolare;
• descrizione dei criteri da adottare per la cifratura dei dati idonei a
rivelare lo stato di salute e la vita sessuale.
Misure di garanzia
Se il titolare di un trattamento si rivolge, per l’adozione delle misure minime
di sicurezza, ad un soggetto esterno alla propria struttura, quest’ultimo dovrà
consegnare una relazione descrittiva dell’intervento effettuato la quale ne
attesti la conformità alle disposizioni contenute nel disciplinare tecnico di
cui all’allegato B. Tale soggetto esterno dovrà anche attenersi ai criteri
indicati nel documento programmatico sulla sicurezza.
Sanzioni
Secondo quanto stabilito dall’art. 169 del Codice, la mancata adozione delle
misure minime di sicurezza è punita con l’arresto fino a due anni o con
l’ammenda da 10.000 a 50.000 euro.
Tale misura è temperata dalla disposizione del secondo comma del medesimo
articolo, in base alla quale all’autore del reato viene impartita una
prescrizione la quale fissa un termine per la regolarizzazione non superiore a
sei mesi.
Se nei 60 giorni successivi allo scadere del termine la prescrizione risulta
adempiuta, il reo può pagare una somma pari al quarto del massimo dell’ammenda,
12.500 euro, e il reato si considererà estinto.
Il termine per adottare le misure di sicurezza introdotte dal nuovo disciplinare
tecnico, e non già previste dal D.P.R. 318/1999, scade il 30 giugno 2004.
Viene prevista quindi un’entrata in vigore differita per queste misure minime di
sicurezza rispetto al resto del codice; questo evidentemente per dare la
possibilità agli operatori di adeguarsi alle stesse.
Nell’ipotesi in cui il titolare non disponga di strumenti elettronici idonei, da
un punto di vista tecnico, a soddisfare tali misure, egli dovrà descriverne le
ragioni in un apposito documento a data certa che conserverà presso la propria
struttura.
Dovrà comunque adottare tutte le misure di sicurezza compatibili con i propri
strumenti e adeguare i medesimi al più tardi entro un anno dall’entrata in
vigore del Codice.
|