Privacy dei dati e amministrazione di sistema: tra norme di legge e best practice

di Luigi Martin

Con il D. Lgs. 30 giugno 2003, n. 196 il governo riforma la disciplina dettata dalla Legge 675/96.
Conseguentemente al continuo evolversi delle tecnologie, che permette di acquisire, elaborare e trasferire quantità enormi di dati con sempre maggiore velocità, la tutela della sfera privata dell’individuo e del suo diritto alla riservatezza è diventata un’esigenza primaria, cui il legislatore ha giustamente provveduto in questi ultimi anni con ripetuti interventi normativi.
L’ultimo di questi risale al 27 giugno 2003, giorno in cui è stato approvato dal Consiglio dei Ministri il nuovo Codice in materia di protezione dei dati personali, D.lgs. n. 196/2003, pubblicato sulla G.U. n. 174 del 29 luglio 2003.
Tale Codice, che è entrato in vigore il 1° gennaio 2004, ha mutato in alcuni aspetti importanti la disciplina della privacy e della sicurezza relativa al trattamento dei dati personali, finora regolate rispettivamente dalla Legge 31 dicembre 1996 n. 675 e dal D.P.R. 28 luglio 1999 n. 318.
Con l’intento di adeguare le misure di sicurezza, il legislatore ha inserito nel Codice l'Allegato B, uno specifico disciplinare tecnico che detta le regole cui ci si deve attenere per poter lecitamente trattare dei dati sia con sistemi elettronici che con sistemi non elettronici.

Considerato che il legislatore adotta particolari terminologie sia per definire i soggetti destinatari e i loro ruoli sia per qualificare determinate condotte tipiche, prima di passare all’analisi delle regole vere e proprie è indispensabile acquisire un breve glossario tecnico:

Chiarito quindi il significato della terminologia tecnica in materia di privacy, si può procedere ad una breve descrizione della procedura attraverso la quale si acquisiscono e si trattano i dati personali:
Gli istituti sono essenzialmente i seguenti:

• informativa: l’interessato deve essere previamente informato sulle finalità, le modalità ed i diritti relativi al trattamento;
• consenso: l’interessato deve concedere il consenso al trattamento dei propri dati;
• diritti dell’interessato: l’interessato ha sempre diritto di sapere se e quali suoi dati sono trattati e in quale modo, e di chiederne l’aggiornamento o la rettifica;
• sicurezza: i dati devono essere conservati e trattati garantendo misure minime di sicurezza che ne impediscano il trattamento abusivo;
• sanzioni: in caso di violazione delle norme in materia di privacy sono previste sanzioni civili, amministrative e penali.

Gli adempimenti ad essi conseguenti sono:
• notificazione e autorizzazione del Garante;
• informativa all’interessato;
• consenso dell’interessato;
• misure di sicurezza.
Considerato che dei primi tre adempimenti sono onerati esclusivamente il titolare e il responsabile del trattamento e che il presente articolo vuole invece fornire delle indicazioni concrete agli ICT manager ed agli amministratori di sistema, i primi tre punti saranno oggetto esclusivamente di alcune brevi precisazioni; viceversa le misure di sicurezza verranno maggiormente approfondite.

Notificazione: deve essere effettuata dal soggetto che intende iniziare un trattamento di dati personali solo se questo riguarda particolari categorie di dati, per fare alcuni esempi: dati genetici, biometrici, dati che rivelano le abitudini sessuali, dati che riguardano la personalità dell’interessato, ecc…

Autorizzazione: è richiesta in tutti i casi in cui i dati trattati sono dati sensibili e/o dati giudiziari, restano valide le Autorizzazioni Generali per determinate categorie di soggetti.

Informativa: l’interessato deve essere informato circa:
a) le finalità e le modalità del trattamento dei dati
b) la natura obbligatoria o facoltativa del conferimento degli stessi
c) le conseguenze di un suo eventuale rifiuto a rispondere
d) i soggetti che possono venire a conoscenza dei dati in quanto responsabili o incaricati o i soggetti ai quali possono essere comunicati
e) l’elenco dei propri diritti a norma dell’art. 7 del Codice
f) i dati del titolare del trattamento e dell’eventuale responsabile.

Consenso: è la manifestazione di volontà attraverso la quale l’interessato accetta il trattamento. Per essere valido deve possedere due requisiti:

a) deve essere liberamente prestato dall’interessato in forma specifica; non è valido quindi un consenso generico ma solo quello espresso per determinate finalità;
b) deve essere prestato in presenza di un’informativa completa.

Il codice non richiede che il consenso avvenga attraverso una sottoscrizione, quindi si può ritenere valido anche un consenso orale al trattamento; tuttavia è necessaria la documentazione dello stesso attraverso, appunto, la forma scritta. Al contrario però, qualora il trattamento riguardi dati sensibili e/o giudiziari, è necessario che il consenso sia prestato per iscritto.

Misure di sicurezza: sono previste dal Titolo V del Codice. Esse stabiliscono lo standard minimo di sicurezza che deve essere rispettato da ogni trattamento e variano in relazione al tipo di dati che vengono trattati; è superfluo precisare che devono sussistere fin dall’inizio del trattamento e devono essere costantemente aggiornate.

Anzitutto l’art. 31 del Codice stabilisce un obbligo generico di custodia e controllo dei dati in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in maniera tale da ridurre al minimo i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.

Il titolare del trattamento sarà quindi tenuto ad adottare, di prassi attraverso dei propri incaricati, tutte le misure minime previste dal Codice e dall’Allegato B. Gli incaricati in questione sono i soggetti che si occupano dell’amministrazione del sistema elettronico o dell’archivio cartaceo .

Le misure in dettaglio sono le seguenti:
• autenticazione informatica
• adozione di procedure di gestione delle credenziali di autenticazione
• utilizzazione di un sistema di autorizzazione
• aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici
• protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici
• adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi
• tenuta di un aggiornato documento programmatico sulla sicurezza
• adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari.


Tutte queste misure, previste dall’art. 34, vengono poi riprese ed ulteriormente specificate dal disciplinare tecnico contenuto nell’Allegato B al Codice, per il quale è pure previsto, art. 36, un aggiornamento periodico connesso all’evoluzione tecnica e all’esperienza maturata nel settore.

Vediamo quindi quali sono gli accorgimenti tecnici necessari per rendere sicuro un trattamento di dati personali.

Credenziali di autenticazione

Servono sia a proteggere i dati che a riconoscere l’incaricato, e di conseguenza il suo profilo e i suoi permessi. Possono accedere agli strumenti elettronici solo gli incaricati dotati di credenziali di autenticazione che consentano il positivo superamento della procedura di autenticazione prevista per quel trattamento. Le credenziali di autenticazione sono costituite da un codice identificativo dell’incaricato, la cosiddetta componente pubblica delle credenziali, e da una parola chiave riservata ; in altre parole i classici: user ID e password. È espressamente prevista anche la possibilità che l’user ID, o in alternativa la password, siano contenute in un dispositivo di autenticazione in possesso ed uso esclusivo dell’incaricato. Per tale dispositivo si può intendere sia la smart card sia qualsiasi altro supporto, con riferimento soprattutto a tutti i dispositivi USB disponibili sul mercato. Addirittura è prevista la facoltà di rendere possibile l’utilizzo di tali dispositivi associato a parole chiave o a caratteristiche biometriche dell’incaricato stesso .
Quindi il login sarà costituito o da un user ID:

es: nome.cognome

o da un dispositivo

es: smart card, USB ecc…
ai quali verrà associata una componente riservata.

Caratteristiche password

Le password devono essere composte da almeno otto caratteri, e, qualora lo strumento elettronico non lo consenta, da un numero di caratteri pari al massimo consentito. La password non deve assolutamente contenere riferimenti agevolmente riconducibili all’incaricato, sono quindi da escludere il nome dell’incaricato stesso, la sua data di nascita, i nomi dei suoi cari ecc…
Si consiglia poi di associare le lettere a dei numeri ed alternare le lettere maiuscole con le minuscole al fine di renderne più difficoltosa l’identificazione tramite tecniche di “brutal force” o simili

es: xw9YFs324z.

La password deve inoltre essere sostituita ogni sei mesi e, qualora il trattamento riguardi dati sensibili ogni tre mesi. È inoltre stabilito che l’incaricato, il quale accede per la prima volta al sistema con la password fornitagli dall’amministratore, provveda a sostituirla immediatamente con una di sua esclusiva conoscenza.
Il medesimo user ID non potrà essere assegnato a persone diverse neppure in tempi diversi e, qualora un utente non utilizzi le proprie credenziali per un periodo superiore a sei mesi, queste devono essere disattivate. L’unica eccezione a questa regola riguarda l’account autorizzato alla gestione tecnica del sistema, ovvero l’amministratore.
L’utilizzo della password o, in alternativa, della caratteristica biometrica associata ad un dispositivo di autenticazione serve anche ad evitare l’utilizzo abusivo dello stesso nel caso di smarrimento.
Al fine di rendere concretamente sicuro il trattamento, la password deve essere richiesta anche in tutti quei casi in cui l’incaricato si allontana dalla propria postazione; deve quindi essere prevista una procedura che blocchi il sistema e lo renda di nuovo accessibile solo inserendo la password .
Infine, qualora l’accesso ai dati e agli strumenti elettronici sia consentito esclusivamente a determinati incaricati, devono essere preventivamente individuate per iscritto le modalità con le quali il titolare del trattamento può garantire la disponibilità dei dati e degli strumenti stessi nell’ipotesi di prolungata assenza o di impedimento degli incaricati. Questa previsione risulta necessaria per tutti i casi in cui per necessità operative, nonché di sicurezza, sia indifferibile l’accesso ai dati.
In questi casi il custode delle copie delle credenziali di autenticazione deve garantirne la segretezza e, qualora venga effettuato un trattamento utilizzando le stesse, deve immediatamente informarne l’incaricato.

Profili di autorizzazione

Quando sono previsti diversi livelli di accesso ai dati deve essere previsto un sistema di autorizzazione che riconosca i vari profili e i relativi permessi.
I profili possono essere personalizzati o previsti per specifiche categorie di utenti. Tali profili vanno configurati anteriormente all’inizio del trattamento. In questo modo infatti l’accesso viene limitato ai soli dati necessari per effettuare le operazioni di trattamento in relazione ai permessi di quel profilo.
Per fare un esempio, in uno studio medico vi possono essere vari livelli di accesso: uno completo per i medici, uno limitato alla consultazione delle prescrizioni per gli infermieri e uno limitato ai dati per la fatturazione per il personale amministrativo.

Il titolare del trattamento deve in ogni caso poter accedere a tutti i dati anche in assenza degli incaricati quindi il suo profilo di autorizzazione deve essere esteso a tutti i dati trattati.

Antivirus

I dati devono essere protetti anche dal rischio di intrusione e dall’azione dei programmi di cui all’art. 615-quinquies del codice penale , ciò vuol dire che gli strumenti elettronici dovranno essere dotati di software antivirus.
L’antivirus dovrà essere aggiornato con cadenza almeno semestrale. Questa disposizione farà sicuramente sorridere molti responsabili della sicurezza, ed è superfluo precisare che un antivirus per essere efficace va aggiornato il più frequentemente possibile.

Update , back-up e ulteriori misure

Anche il sistema operativo ed i programmi che vengono utilizzati per il trattamento devono essere aggiornati; in questo caso sarà quindi necessario applicare le patch e gli aggiornamenti in genere che prevengono problemi di vulnerabilità e correggono eventuali difetti. Questo controllo deve essere fatto almeno annualmente e, se si trattano dati sensibili o giudiziari, almeno semestralmente. Anche qui vale quanto scritto sopra, non dimentichiamo però che il legislatore fissa esclusivamente le misure minime di sicurezza, il che non esclude che il responsabile attento provveda agli aggiornamenti con maggior frequenza. Semmai si può dire che il legislatore pur non obbligando ad un aggiornamento più frequente auspichi però che ciò avvenga.
Al contrario per il back-up dei dati è prevista una frequenza settimanale. Inoltre nell’ipotesi di dati sensibili o giudiziari deve essere garantito anche il ripristino dell’accesso agli stessi in caso di loro danneggiamento o di malfunzionamento dello strumento elettronico. Tale ripristino dovrà essere effettuato in un tempo compatibile con i diritti degli interessati e comunque non superiore a sette giorni.
Nel caso in cui si trattino dati sensibili o giudiziari, lo strumento elettronico dovrà anche essere protetto contro l’accesso abusivo di cui all’art. 615-ter del codice penale , e di conseguenza dovranno essere utilizzati i cosiddetti firewall; quest’ultimi potranno essere indifferentemente hardware o software purché idonei ad impedire l’accesso telematico ai dati da parte di terzi non autorizzati.
Infine i supporti rimovibili sui quali tali dati sono stati registrati, qualora non vengano più utilizzati, devono essere cancellati in maniera definitiva cosicché non siano più né intelligibili né in alcun modo tecnicamente ricostruibili. A tal fine devono essere indicate agli incaricati le istruzioni per l’uso e la custodia di tali supporti.
Ulteriori misure previste per i dati idonei a rivelare lo stato di salute e la vita sessuale sono: la conservazione degli stessi con apposite tecniche di cifratura o il trattamento degli stessi in maniera disgiunta rispetto ai dati che permettono l’identificazione dell’interessato. Anche il trasferimento telematico di tali dati deve avvenire in forma cifrata.

Documento programmatico sulla sicurezza

Entro il 31 marzo di ogni anno va redatto un documento programmatico sulla sicurezza contenente le seguenti indicazioni:

• elenco dei trattamenti;
• distribuzione dei compiti e delle responsabilità;
• analisi dei rischi che incombono sui dati;
• misure da adottare per garantire l’integrità e la disponibilità dei dati, nonché la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità;
• descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento;
• previsione di interventi formativi per gli incaricati del trattamento al fine di renderli edotti dei rischi incombenti e delle misure adottabili per evitare eventi dannosi;
• descrizione dei criteri da adottare per il rispetto delle misure minime di sicurezza nell’ipotesi di trattamento affidato all’esterno della struttura del titolare;
• descrizione dei criteri da adottare per la cifratura dei dati idonei a rivelare lo stato di salute e la vita sessuale.

Misure di garanzia

Se il titolare di un trattamento si rivolge, per l’adozione delle misure minime di sicurezza, ad un soggetto esterno alla propria struttura, quest’ultimo dovrà consegnare una relazione descrittiva dell’intervento effettuato la quale ne attesti la conformità alle disposizioni contenute nel disciplinare tecnico di cui all’allegato B. Tale soggetto esterno dovrà anche attenersi ai criteri indicati nel documento programmatico sulla sicurezza.

Sanzioni

Secondo quanto stabilito dall’art. 169 del Codice, la mancata adozione delle misure minime di sicurezza è punita con l’arresto fino a due anni o con l’ammenda da 10.000 a 50.000 euro.
Tale misura è temperata dalla disposizione del secondo comma del medesimo articolo, in base alla quale all’autore del reato viene impartita una prescrizione la quale fissa un termine per la regolarizzazione non superiore a sei mesi.
Se nei 60 giorni successivi allo scadere del termine la prescrizione risulta adempiuta, il reo può pagare una somma pari al quarto del massimo dell’ammenda, 12.500 euro, e il reato si considererà estinto.

Il termine per adottare le misure di sicurezza introdotte dal nuovo disciplinare tecnico, e non già previste dal D.P.R. 318/1999, scade il 30 giugno 2004.
Viene prevista quindi un’entrata in vigore differita per queste misure minime di sicurezza rispetto al resto del codice; questo evidentemente per dare la possibilità agli operatori di adeguarsi alle stesse.
Nell’ipotesi in cui il titolare non disponga di strumenti elettronici idonei, da un punto di vista tecnico, a soddisfare tali misure, egli dovrà descriverne le ragioni in un apposito documento a data certa che conserverà presso la propria struttura.
Dovrà comunque adottare tutte le misure di sicurezza compatibili con i propri strumenti e adeguare i medesimi al più tardi entro un anno dall’entrata in vigore del Codice.