Scrivere un documento che racchiude la totalità delle argomentazioni che si possono fare sulla legge in oggetto è pressoché impossibile. Questo 3d ha quindi lo scopo di fare un'analisi di ciò che viene letteralmente scritto nella legge e di cosa questo comporta per le aziende che trattano dati personali. Questa legge riprende infatti la precedente legislazione in materia di protezione di dati personali e la aggiorna tentando di uniformarla alle vigenti normative europee.
All'articolo 4, dove vengono definiti i termini utilizzati e il significato degli stessi all'interno della legge, nella sezione 1b viene definito come dato personale "qualunque informazione relativa persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale"; ed è proprio da qui che cominciano le differenze con la vecchia legislazione. Se infatti precedentemente doveva essere compilato un Documento Programmatico sulla Sicurezza (DPS) solo da parte di coloro che effettuavano trattamento di dati sensibili (dati che riguardano l'origine razziale, etnica, religiosa, filosofica, politica, adesione a partiti, sindacati, associazioni non chè dati riguardanti lo stato di salute e la vita sessuale) adesso tale documento è richiesto anche a tutti coloro che fanno uso di dati personali. Si legge difatti all'articolo 31 che "i dati personali oggetti di trattamento sono custoditi e controllati in modo da ridurre al minimo i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta."
Al capitolo 5 capo due della legge si possono individuare le misure minime di sicurezza che occorrono per essere in regola con detta legge. In particolare nel caso di trattamento di dati personali è necessario attivare le misure minime definite nell'articolo 34 che sono:
a) autenticazione informatica;
b) adozione di procedure di gestione delle credenziali di autenticazione;
c) utilizzazione di un sistema di autorizzazione;
d) aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici;
e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici;
f) adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilita' dei dati e dei sistemi;
g) tenuta di un aggiornato documento programmatico sulla sicurezza;
h) adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari.
L'autenticazione informatica è quel procedimento che permette di accedere al PC o ai dati solo dopo aver inserito, ad esempio, un nome utente è una password che corrispondono in maniera univoca ad un utente o operatore. Si legge infatti nel disciplinare tecnico (allegato B) che "Le credenziali di autenticazione consistono in un codice per l'identificazione dell'incaricato associato a una parola chiave riservata conosciuta solamente dal medesimo oppure in un dispositivo di autenticazione in possesso e uso esclusivo dell'incaricato, eventualmente associato a un codice identificativo o a una parola chiave, oppure in una caratteristica biometrica dell'incaricato, eventualmente associata a un codice identificativo o a una parola chiave" ed anche "La parola chiave, quando e' prevista dal sistema di autenticazione, e' composta da almeno otto caratteri oppure, nel caso in cui lo strumento elettronico non lo permetta, da un numero di caratteri pari al massimo consentito" e "Le credenziali di autenticazione non utilizzate da almeno sei mesi sono disattivate". Nello stesso allegato si legge anche che devono essere impartite opportune istruzioni agli addetti al lavori istruendoli sulla necessità di non lasciare incustodito o accessibile ad altri lo strumento elettronico attraverso il quale si possono visualizzare i dati che devono essere protetti dopo aver fatto l'accesso con la propria user è password.
Bisogna anche proteggere lo strumento elettronico di conservazione dei dati da eventuali accessi non consentiti, per esempio, nel caso dei dati fossero su un server in una rete LAN collegata ad Internet, installando un firewall che protegga il server in primis e la rete LAN di conseguenza da tutti gli attacchi che possono provenire da Internet. Si deve anche prevedere un sistema di protezione dai virus e tali sistemi debbono essere aggiornati con cadenza almeno semestrale; è indubbio che, per far si che un antivirus funzioni adeguatamente, gli aggiornamenti debbono essere fatti con cadenza almeno settimanale. All'incaricato della sicurezza aziendale va perciò demandato il compito di attivare tutte le misure di aggiornamento che permetteranno di una protezione costante da i problemi che si possono presentare.
Oltre alle precedenti misure bisogna anche procedere all'adozione di idonee procedure che permettano di fare copie di sicurezza dei dati ed eventualmente ripristinarli nel caso di accidentale distruzione o cancellazione nei tempi e nei modi migliori ed indicati dalla stessa legge in dipendenza del tipo di dati trattati; in generale e comunque utile prevedere un sistema di archiviazione di sicurezza dei dati per una eventuale ripristino di emergenza dovuto per esempio ad un guasto della macchina che normalmente li archivia.
Il Documento Programmatico sulla Sicurezza (DPS) rappresenta la carta d’identità con la quale l’azienda analizza i dati trattati, i rischi connessi al trattamento fatto e può dimostrare quali misure di sicurezza organizzativa, fisica e tecnologica ha implementato e intende implementare in chiave di programmazione futura. Tale documento DEVE essere compilato dal titolare del trattamento e ne deve essere comunicata l'avvenuta relazione nella relazione accompagnatoria al bilancio d'esercizio. Il DPS assume, seppur indirettamente, la forma di un documento “pubblico” la cui mancata redazione, o la presenza, al suo interno, di informazioni non veritiere integra l’ipotesi di un reato punito sia e penale (omessa adozione di misure minime, false comunicazioni sociali).
Gli elementi del DPS.
Nella nuova formulazione, il punto 19 del Diciplinare Tecnico allarga e sistematizza i contenuti del DPS rispetto a quanto previsto dal vecchio art. 6 del DPR 318/99. Viene fatto obbligo di fornire idonee informazioni circa:
L’elenco dei trattamenti dei dati personali
La distribuzione di compiti e responsabilità nell’ambito delle strutture preposte al trattamento del titolare.
L’analisi dei rischi che incombono sui dati.
Le misure da adottare per garantire l’integrità e la disponibilità dei dati rilevanti ai fini della loro custodia e accessibilità
Le misure da adottare a protezione delle aree e dei locali.
La descrizione dei criteri da adottare per il ripristino della disponibilità dei dati a seguito di danneggiamento e/o distruzione (come indicato dal punto 23)
La previsione della formazione sugli incaricati.
La descrizione dei criteri da adottare per garantire l’attuazione delle misure di sicurezza in caso di trattamenti svolti all’esterno della struttura del titolare.
l’individuazione dei criteri da adottare per la cifratura o per la separazione dei dati idonei a rivelare lo stato di salute e/o la vita sessusale (solo medici e organismi sanitari)
Le misure, che possono trovare una collocazione all’interno del DPS, almeno in termini di descrizione generale, sono:
Adozione di idonei strumenti elettronici per proteggere i dati personali contro accessi abusivi di cui all’art. 615-ter c.p. (accesso abusivo a sistema informatico o telematico)
Distruzione o inutizzabilità di supporti rimovibili contenenti dati
Ripristino dell’accesso ai dati in caso di danneggiamento degli stessi o degli strumenti elettronici (politiche di back-up)
Cifratura od adozione di codici identificativi dei dati idonei a rivelare lo stato di salute e/o la vita sessuale (obbligo per gli organismi sanitari o per i medici)
Un'ipotesi di schema organizzativo può essere il seguente.
[img align=\'left\' src=\"http://www.litr.org/forum/index.php?act=Attach&type=post&id=48966\" border=\'0\' alt=\'user posted image\']
Ma come deve essere compilato il DPS? Un aiuto ci viene dato dalla Garante che nel sito
www.garanteprivacy.it ci dà la possibilità di scaricare un file "Prime riflessioni sui criteri di redazione del Dps.pdf" che ci indica il sistema di compilazione del DPS. A grandi linee possiamo riassumerlo nei punti che vengono di seguito indicati.
Elenco dei trattamenti dei dati personali.
Sapere quali trattamenti di dati personali sono effettutati dall’azienda risulta oltre che obbligatorio, utile ai fini di una definzione dei criteri organizzativi, dei ruoli e delle responsabilità nonché propedeutico per un’eventale notifica.
Il “censimento” permette di conoscere, incrociandole, una serie di informazioni quali:
- Le Aree/Uffici che svolgono attività di trattamento
- Il nome del referente responsabile dell’ufficio
- Il nome della Banca Dati (elettronica/cartacea)
- Le categorie di interessati cui i dati si riferiscono
- L’indicazione del/dei soggetti cui i dati vengono comunicati
- La presenza di dati personali comuni o sensibili
Distribuzione dei compiti e delle responsabilità.
Partendo dalle figure previste dal Codice della Privacy, è possibile sviluppare un modello organizzativo per la gestione .
Tale modello può essere strutturato in modo da:
- risultare idoneo alla realtà aziendale
- integrarsi nel tessuto organizzativo esistente
- rispondere alle reali necessità dell’azienda in termini di responsabilizzazione e distribuzione dei compiti tra le varie figure professionali presenti.
Analisi dei rischi.
L’ attività di Analisi dei rischi risulta finalizzata a:
- Identificare gli asset (dati, hardware, software, ubicazione) e i proprietari degli stessi formalizzando tale attività in un documento di Asset Inventory;
- Identificare le minacce che insistono su ciascun asset basandosi ad esempio su dati inerenti il verificarsi della minaccia stessa in passato;
- Identificare le vulnerabilità che possono essere sfruttate dalle minacce;
- Identificare gli impatti che potrebbero derivare dalla perdita di riservatezza, integrità e disponibilità degli asset..
Identificare gli asset:
- Dati Retribuzione Dipendenti;
- Programma Elaborazione Paghe e Stipendi;
- Portatile;
- Ufficio del Personale.
Identificare le minacce:
- Furto da parte dei dipendenti;
- Mascheramento dell’identità di un utente da parte di esterni;
- Errori utente.
Identificare le vulnerabilità:
- Nessun meccanismo antifurto;
- Sul sistema è presente un numero elevato di account;
- Un errore nei dati non potrebbe essere scoperto.
Identificare gli impatti:
- Il verificarsi della minaccia potrebbe comportare una perdita economica (diretta o conseguenziale);
- Il verificarsi della minaccia potrebbe comportare una violazione di Legge
Integrità e disponibilità dei dati.
Relativamente ai concetti di Integrità e disponibilità dei dati è necessario descrivere l’insieme delle misure tecnico-organizzative adottate. Per l’integrità possono essere citati a titolo di esempio:
- Meccanismi di Identificazione e Autenticazione
- Politiche adottate per la gestione di parole chiave (ad es. password)
- Controllo dell’accesso logico alle postazioni di lavoro, agli applicativi e/o al server
- I criteri stabiliti per l’accesso alle risorse del sistema informatico
- Le indicazioni organizzative circa il riutilizzo dei supporti di memorizzazione
- Adozione delle tecnologie idonee a contrasto dei virus informatici
Per quanto concerne la disponibilità si possono citare:
- L’insieme delle azioni di carattere tecnico per garantire il back up dei dati
- Le regole circa l’uso e la trasmissione dei dati per mezzo di Internet, e-mail, fax
- Gli strumenti tecnologici adottati a difesa del sistema informativo aziendale
Protezione fisica dei locali e delle aree.
Nel redigere il DPS, è fondamentale non trascurare una descrizione delle misure fisiche adottate o che s’intende adottare a protezione dei dati personali.
A titolo di esempio possono essere segnalate:
- Le misure antintrusione (intese come perimetrazione, compartimentazione dei locali e la sorveglianza di edifici e locali)
- Le misure antincendio (da considerare obbligatorie ai sensi del D.lgs 626/94 e successive modifiche
- Impianti ausiliari di alimentazione elettrica e impianti di condizionamento
- Protezione degli archivi cartacei e conservazione sicura dei supporti di memorizzazione (floppy, cd, usb)
- regole per il controllo degli accessi fisici ai locali dell’azienda
- il controllo e le regole d’utilizzo per gli elaboratori portatili
Misure contro il danneggiamento e/o la distruzione.
Il fermo totale o parziale dei sistemi informativi con conseguente inutilizzabilità dei dati è causa di perdite finanziarie e di immagine per l’azienda. A Tale scopo nel DPS devono essere descritto le misure adottate a garanzia della continuità del business.
Esistono due tipologie d’interventi:
Il Business Continuity Plan (BCP) il cui scopo è garantire che non s’interrompano le attività produttive in caso d’incidenti quali black out, interruzione della linea di trasmissione, mancanza di risorse informatiche per far fronte ad improvvise esigenze (in questo caso si parla di contingency Plan).
Il Disaster Recovery Plan il cui scopo è fronteggiare situazioni d’emergenza quali le conseguenze di un terremoto, di un’alluvione, di un incendio di vaste proporzioni.
Sia il BCP sia il DPR hanno costi molto elevati tanto da consigliare ad aziende medio/piccole l’adozione di modalità per il trasferimento del rischio.
La formazione del personale.
L'efficacia delle misure di sicurezza e delle relative norme organizzative, logiche e fisiche adottate, dipende anche dalla consapevolezza del personale circa la necessità di un corretto e conforme trattamento dei dati personali.
E' dunque importante associare alla politica di tutela dei dati personali un programma di formazione, personalizzato, per gli Incaricati del Trattamento e, più in generale, per tutti coloro che in azienda si occupano delle problematiche connesse alla Privacy sui rischi individuati, sui modi per prevenire i danni e sulle procedure organizzative così come esplicitamente richiamato dal punto 19.6 del Disciplinare Tecnico.
Le misure di sicurezza da parte di terzi.
L’ azienda, nel caso in cui si affidi ad un terzo per attività che concernenti il trattamento di dati, deve descrivere le regole da applicare nei rapporti contrattuali:
- provvedere alla nomina, mediante apposita lettera scritta, a Responsabile esterno scrivendo le regole cui le società di outsourcing devono attenersi nel corso della loro prestazione.
- prestare particolare attenzione alla definizione delle misure di sicurezza idonee atte a ridurre le conseguenze in tema di responsabilità civile discendente dall’art. 2050 del codice civile;
- rivedere i contratti già in essere al fine di introdurre un’apposita clausola oltre ad una serie di punti vincolanti per l’outsourcer (esclusione di responsabilità, accettazione di controlli, rispetto della normativa vigente, obbligo di fornire prova dell’avvenuta redazione del DPS, ecc.).
- effettuare controlli senza che questo rappresenti un’esimente per l’outsourcer dalle sue responsabilità in ordine agli obblighi previsti dalla Legge.
