Il nuovo Testo Unico sulla Privacy
Definizioni
e responsabilità per il trattamento di dati
Il nuovo Testo Unico sulla Privacy entrato in
vigore il 01/01/2004 rinnova e consolida la legislazione in sanzioni (sia
civili sia penali) , rende molto più vincolanti controlli e semplifica, e al
contempo rende più stringenti, i requisiti di sicurezza richiesti materia (in
precedenza “dispersa”)
Dato personale, sensibile,
trattamento
Dato personale: qualsiasi dato (anche un indirizzo o un numero di telefono) associabile
a una persona, fisica o giuridica
Dato sensibile: dato personale che indica lo stato di salute, abitudini
sessuali, preferenze politiche, o che attiene alla sfera giudiziaria
Trattamento di dati: qualsiasi utilizzo, consultazione, raccolta di dati Titolare,
Responsabile, Incaricato, Interessato
Titolare: la persona
fisica o giuridica (anche la società) che organizza il trattamento di dati e lo
gestisce
Responsabili: designati dal titolare per soprintendere al trattamento
Incaricati: le persone
fisiche che eseguono il trattamento secondo le istruzioni del Titolare e dei
Responsabili
Interessato: il
soggetto cui si riferiscono i dati trattati
Diritti dell’interessato (richiesta orale)
Diritto di ottenere la conferma o la
negazione dell'esistenza di dati personali che lo riguardano.
Diritto di ottenere la loro comunicazione in
forma intelligibile.
Diritto di ottenere l'indicazione:
- dell'origine dei dati personali;
- delle finalità e modalità del trattamento;
- della logica applicata in caso di trattamento
effettuato con l'ausilio di strumenti elettronici;
- degli estremi identificativi del titolare, dei
responsabili e del rappresentante designato;
- dei soggetti o delle categorie di soggetti ai quali i
dati personali possono essere comunicati
Diritti dell’interessato (richiesta scritta)
L'interessato ha diritto di ottenere:
- l'aggiornamento, la rettificazione ovvero, quando vi
ha interesse, l'integrazione dei dati;
- la cancellazione, la trasformazione in forma anonima
o il blocco dei dati trattati in violazione di legge
- l'attestazione che le operazioni precedenti sono
state portate a conoscenza di coloro ai quali i dati sono stati comunicati
o diffusi
L'interessato ha diritto di opporsi, in tutto
o in parte:
- per motivi legittimi al trattamento dei dati
personali che lo riguardano, anche se pertinenti allo scopo della
raccolta;
- al trattamento di dati personali che lo riguardano a
fini di invio di materiale pubblicitario o di vendita diretta o per il
compimento di ricerche di mercato o di comunicazione commerciale
Informativa, consenso
I dati possono essere trattati solo se è
stata data opportuna informativa (anche orale) sui diritti di cui al
punto precedente e sulla finalità.
I dati possono essere trattati solo con
l’espresso consenso dell’interessato:
·
Non necessariamente scritto
·
Non richiesto se il trattamento segue
da un obbligo contrattuale o di legge (ma va data l’informativa)
·
Consenso scritto per dati sensibili
Come dimostrare il “consenso
orale” ?
Tramite l’esistenza di opportune procedure
documentate! (DPSS)
Notificazione del trattamento:
·
L’obbligo di notificazione del trattamento al
garante è solo per pochissime classi di trattamenti ad alto rischio (prima era
per tutti) ;
·
Dati genetici o biometrici, o che indicano la
posizione geografica di persone od oggetti in via elettronica Esclusi apparecchi di sicurezza (CCTV, GPS
antifurto per camion)
·
Dati idonei a rivelare lo stato di salute e
la vita sessuale, trattati a fini di procreazione assistita, prestazione di
servizi sanitari per via telematica, indagini epidemiologiche, rilevazione di
malattie mentali, infettive e diffusive, sieropositività, trapianto di organi e
tessuti e monitoraggio della spesa sanitaria;
·
Dati idonei a
rivelare la vita sessuale o la sfera psichica trattati da associazioni, enti od
organismi senza scopo di lucro, anche non riconosciuti, a carattere politico,
filosofico, religioso o sindacale;
·
Trattamenti
elettronici di profilatura (analisi di personalità, abitudini, scelte di
consumo, utilizzo di servizi elettronici) Escluso quanto tecnicamente indispensabile
·
Banche dati per selezione del personale conto
terzi;
·
Dati sensibili usati per sondaggi, ricerche
di mercato o altre ricerche campionarie;
·
Banche dati elettroniche relative al rischio
sulla solvibilità economica, alla situazione patrimoniale, al corretto
adempimento di obbligazioni, a comportamenti illeciti o fraudolenti
Altre problematiche specifiche
·
Trattamenti di dati sanitari
·
Trattamenti di dati giudiziari
·
Trattamenti di dati genetici
·
Trattamenti ai fini commerciali (mailing,
call center, etc.) o editoriali
·
Regole per giornalisti, service provider,
società di statistica, etc.)
I requisiti di sicurezza
Requisiti “minimi” e “adeguati”
Il testo impone requisiti “adeguati”, non
minimi !
Tuttavia, descrive dei requisiti minimi sotto
i quali si ha responsabilità penale (art. 33)
Sono individuati dal disciplinare tecnico o “allegato
B”, che sostituisce il D.P.R. 318/99, abrogato, emanato in attuazione
dell'art.15 della L.675/96, abrogata.
Il mancato rispetto di dette misure ai sensi
dell'art. 169 costituisce reato, punito con l'arresto fino a 2 anni o con
l'ammenda da 10.000 a 50.000 Euro .
In mancanza di sicurezza adeguata (art. 31)
resta comunque la responsabilità civile!
Art. 15: “chiunque cagiona danno ad altri per
effetto del trattamento dei dati personali è tenuto al risarcimento ai sensi
dell'art. 2050 c.c.”
Art. 2050: attività pericolosa – inversione
dell’onere della prova. Danni materiali
e non materiali !
Art. 2050 c.c.
Il TESTO UNICO PRIVACY qualifica il trattamento dei dati come
attività pericolosa, art. 2050 c.c.
E ' prevista pertanto una inversione dell'onere della prova
nell'azione risarcitoria ex articolo 2043 c.c.: l'operatore è tenuto a fornire
la prova di avere applicato le misure tecniche di sicurezza più idonee a
garantire la sicurezza dei dati detenuti.
A livello pratico questo significa che l’azienda, il
professionista, la PA ecc., per evitare ogni responsabilità deve dimostrare di
aver adottato "tutte le misure idonee ad evitare il danno", e quindi
di aver messo in essere tutte le misure di sicurezza al meglio possibile (la
miglior tecnologia disponibile). Il che non è affatto facile da dimostrare...
Entrata in vigore
Il Testo Unico è in vigore dal 1° Gennaio 2004.
Le nuove Misure Minime di Sicurezza devono
essere adottate entro il 30 Giugno 2004 (art. 180 comma1)
Se esistono obiettive ragioni tecniche che non permettono l’adozione delle nuove misure entro il 30
giugno:
- Entro il 30 giugno il titolare predispone un
documento avente data certa per descrivere i motivi della mancata
adozione;
- Adotta ogni misura atta a ridurre i rischi
- Entro il 31 dicembre 2004 provvede ad aggiornare i
sistemi per garantire l’adeguamento
Ravvedimento operoso
·
Prescrizione del Garante
- Termine massimo per la regolarizzazione non eccedente
sei mesi
- Verifica dell’adempimento da parte del Garante
- Pagamento di una somma pari al quarto del massimo
dell’ammendo stabilita per la contravvenzione
- Estinzione del reato penale
Trattamenti mediante strumenti elettronici
Requisiti di autenticazione (1-11)
- Gli incaricati devono essere dotati di “credenziali
di autenticazione” che consentano il “superamento di una procedura di
autenticazione”
- La procedura può riguardare uno specifico trattamento
o un insieme di trattamenti
Il testo descrive
correttamente i tre tipi di autenticazione:
- “ciò che si sa” (mediante uno
user-id associato ad una parola chiave riservata conosciuta solamente
dall’incaricato)
- “ciò che si è” (mediante una caratteristica
biometrica dell’interessato, eventualmente associata a user-id o parola
chiave)
- “ciò che si ha” (mediante un token,
eventualmente associata a user-id o parola chiave)
User provisioning
- Provisioning: gestione delle credenziali utente
- Le credenziali di autenticazione non utilizzate da
almeno 6 mesi devono essere disattivate (tranne quelle usate per soli
scopi di gestione tecnica) (7)
- Le credenziali devono essere disattivate in caso di
perdita della qualità che consente l’accesso ai dati (8)
Regole sugli user-id
- Ogni codice può essere utilizzato da un solo
incaricato e non può essere assegnato ad altri, neppure in tempi diversi
(i.e. non si può riutilizzare un nome utente, nemmeno se il precedente è
stato disattivato) (6)
- Ad ogni incaricato possono eventualmente essere
assegnati più codici per l’identificazione (ad esempio per funzioni
diverse) (3)
Regole sulle password
La buona password è:
- conosciuta solamente dall’incaricato (2) che deve
assicurarne la riservatezza (4) (responsabilizzazione)
- Lunga almeno otto caratteri sui sistemi ove è
possibile (5) e non contiene riferimenti agevolmente riconducibili
all’incaricato (5)
- Modificata al primo utilizzo (5) e in seguito ogni
sei mesi (ogni tre mesi per dati sensibili o giudiziari) (5)
Regole sulle password
- Gli incaricati non devono lasciare il computer acceso
e incustodito, e vanno istruiti e responsabilizzati sui metodi per evitare
ciò (screen saver, log-off) (9)
- Devono essere individuati per iscritto soggetti
incaricati e modalità per l’accesso a dati o sistemi di elaborazione in
caso di assenza dell’interessato per esclusive necessità di operatività o
sicurezza del sistema (nomina del custode delle parole chiave) (10)
- Le parole chiave non devono più essere conservate dal
custode, tranne quando strettamente necessario, (per fortuna !)
Sistema di autorizzazione (12-14)
·
Sistema di autorizzazione: abilita l’accesso
ai dati e alle modalità di trattamento degli stessi, in funzione del profilo di
autorizzazione
·
Profilo di autorizzazione: associato ad una
persona, individua i dati a cui può accedere e i trattamenti consentiti
·
Scopo: regolare l’accesso alle informazioni
in base ad un corretto criterio di necessità delle stesse per svolgere le
diverse attività lavorative
·
Riguarda, ad esempio:
1. Utilizzo di applicazioni o funzioni applicative
2. Accesso alle informazioni, in lettura o in scrittura, Tramite le
applicazioni, Direttamente sui database
3. Accesso ad archivi di documenti, sistemi di posta elettronica,
ecc.
I profili di autorizzazione
·
Devono essere definiti
precedentemente all’inizio del trattamento (13) e verificati almeno annualmente
(14)
·
Possono essere definiti
per singolo incaricato o per classi omogenee di incaricati (ad es. uffici o
reparti) (13)
·
Devono essere completi
considerando quindi programmi, funzioni, archivi (12)
·
E’ indispensabile definire
il livello di dettaglio dei profili:
·
Un dettaglio insufficiente non consente selettività nell’accesso
ai dati
·
Un dettaglio eccessivo genera un sistema complesso e
difficilmente gestibile
·
E’ indispensabile la
collaborazione dei responsabili funzionali e del settore HR
·
E’ indispensabile un
frequente aggiornamento (nuovi incaricati, cambiamenti di mansioni, ecc.)
·
Anche in questo caso, un
sistema di user provisioning efficiente può essere necessario !
Individuazione degli ambiti di trattamento
(15)
·
Cosa
significa “ambito di trattamento dei dati” ?
- Finalità di trattamento
- Modalità di trattamento
- Ambiti di comunicazione o diffusione
- Devono essere definiti ed aggiornati almeno
annualmente
- Devono essere documentati in forma scritta
- Possono essere definiti per incaricato o per classi
omogenee (ad es. uffici o reparti)
Protezione antivirus e senso dell’umorismo
(16)
- Tutti i sistemi di elaborazione (server, client)
“devono essere protetti” dal rischio costituito da virus informatici e
Simili.
- La protezione deve essere attiva anche per i sistemi
non connessi in rete o che non accedono a internet
- Gli utenti non devono poter disattivare l’antivirus
- L’aggiornamento deve essere obbligatoriamente almeno
semestrale!!!!!
- Come chiunque sa, per la sicurezza del sistema
informatico aziendale, sarebbe opportuno un aggiornamento quotidiano, o al
massimo settimanale!
L’incubo delle patch (17)
- Il T.U. impone di applicare gli aggiornamenti volti
a:
- Prevenire la vulnerabilità
- Correggere difetti
- Patch sia di sistema che applicative
- Solo le patch o anche gli aggiornamenti?
- E nel secondo caso, anche quelli a pagamento?
- Devono essere eseguiti con cadenza almeno annuale. In
caso di trattamento di dati sensibili o giudiziari con cadenza almeno
semestrale
- Sembrano termini ridicoli, ma nella nostra esperienza
di consulenza sono ben più di quello che gran parte delle aziende sono
disposte a fare !!!
- Problemi di testing, problemi di upgrade hardware…
Politiche di backup (18)
- Il backup dei dati personali è obbligatorio!
- La frequenza di salvataggio “minima” deve
essere almeno settimanale
- Una misura “adeguata” di sicurezza potrebbe prevedere
però dei backup giornalieri automatici, almeno sui sistemi fondamentali!
Istruzioni tecniche (18)
Devono essere impartite istruzioni scritte
per definire le modalità di esecuzione dei backup :
·
Individuazione dei dispositivi
·
Individuazione degli archivi
·
Frequenza di backup
·
Modalità (backup completo, incrementale,
differenziale)
·
Rotazione dei dispositivi fisici
·
Archiviazione sicura dei dispositivi di
backup
·
Definizione delle procedure di
controllo e verifica
Definire le procedure (18)
Il testo unico insiste sulla necessità di
definire, per iscritto, le procedure
- Definizione delle responsabilità
- Definizione delle procedure in caso di incidente
- Definizione delle modalità di aggiornamento delle
procedure
Il documento programmatico è quasi una
necessità anche per chi non sarebbe tenuto a redigerlo!
Documento Programmatico
Il documento programmatico è sia requisito
minimo che strumento per dimostrare la buona fede nell’implementazione
adeguata.
Quando è necessario il DPS?
- Sempre, in caso di trattamento effettuato con mezzi
elettronici;
- Sempre, in caso di trattamento di dati sensibili o
giudiziari (in questo caso il T.U. detta la struttura del DPS)
- Anche quando non è obbligatorio, è implicitamente
richiesto dall’art. 31, in quanto parte essenziale di adeguate misure di
sicurezza (responsabilità civile)
-
Quando va redatto?
Prima che qualsiasi
trattamento possa avere luogo! E comunque entro il 01/06/2004
Il Documento Programmatico
- Descrive in maniera completa tutte le misure di
sicurezza
- Deve essere redatto ed aggiornato annualmente entro
il 31 marzo di ogni anno (19)
- Se è richiesta la relazione accompagnatoria del
bilancio di esercizio, deve esserne riferito dell’avvenuta redazione od
aggiornamento (26)
- Non deve essere inviato al Garante, ma deve essere
trattenuto presso il titolare del trattamento
- Non è richiesto che abbia data certa
Contenuti del DPS
- L’elenco dei trattamenti dei dati personali (19.1)
- La distribuzione dei compiti e delle responsabilità
(19.2)
- L’analisi dei rischi che incombono sui dati (19.3)
- Le misure da adottare per garantire l’integrità e la
disponibilità dei dati e la protezione delle aree e dei locali rilevanti
ai fini della loro custodia ed accessibilità (19.4)
- La descrizione dei criteri e delle modalità per il
ripristino della disponibilità dei dati (19.5)
- La previsione degli interventi formativi (19.6)
- La descrizione dei criteri da adottare per garantire
l’adozione delle misure minime di sicurezza dei dati affidati all’esterno
della struttura del titolare (19.7)
- I criteri di cifratura o separazione dei dati sensibili
o giudiziari (19.8)
L’elenco dei trattamenti (19.1)
- Database
- Modalità di trattamento
- Applicazioni
- Archivi
- Finalità di trattamento
- Ambiti di comunicazione
- Profili di autorizzazione degli incaricati
Distribuzione di compiti e responsabilità
(19.2)
·
Gestione sistema di autenticazione
·
Gestione sistema di autorizzazione
·
Gestione del sistema antivirus
·
Gestione del sistema anti-intrusione
·
Gestione del sistema di backup/restore
·
Aggiornamento del Documento Programmatico
·
Possibili allegati:
o Istruzioni agli incaricati;
o Nomine di responsabili e custodi delle parole chiave
o Modalità di accesso ai sistemi in assenza dell’incaricato
Analisi dei rischi (19.3)
- Elenco dei rischi individuati e delle possibili
conseguenze in termini di:
- Distruzione o perdita dei dati
- Accesso non autorizzato alle informazioni o
esecuzione di trattamenti non autorizzati
- Indisponibilità dei sistemi
- Presenza di informazioni errate
·
Elenco
delle contromisure che, per ogni rischio individuato sono poste in essere come
misura di protezione, tenendo conto che le misure possono essere graduate per
classi di dati, e che la medesima misura può avere effetto su rischi diversi.
Criteri per garantire integrità e
disponibilità (19.4)
- Sistema di autenticazione ed autorizzazione
- Sistema antivirus
- Sistema anti-intrusione informatica (FIREWALL)
- Procedure di sviluppo e avviamento di nuove
applicazioni
- Gestione degli aggiornamenti dei programmi
- Organizzazione degli archivi degli utenti
- Protezione delle aree e dei locali (generali o
specifici ai locali informatici)
- Sistemi anti-intrusione
- Vigilanza e controllo accessi
- Sistemi anti-incendio
Criteri e modalità per il ripristino dei dati
(19.5)
- Dispositivi
- Archivi protetti
- Modalità di esecuzione
- Frequenza
- Criteri di rotazione e archiviazione
- Modalità di verifica
- Strumenti di segnalazione di eventuali errori
- Sistemi per assicurare la continuità di alimentazione
- Sistemi ridondanti o ad alta affidabilità
- RAID / Cluster / SAN …
- Disaster recovery
Interventi formativi (19.6)
Riguardano:
- Conoscenza dei rischi
- Conoscenza delle misure di sicurezza e dei
comportamenti da adottare
- Responsabilità
-
Devono essere erogati:
- Al momento dell’ingresso in servizio
- In occasione di cambio di mansioni
- In occasione dell’introduzione di nuovi strumenti
- E’ opportuno che siano documentati
Criteri per i trattamenti all’esterno (19.7)
- Documento di specifica di finalità, modalità, ed
ambiti di comunicazione autorizzati per il trattamento
- Dichiarazione dell’ente esterno a cui vengono
affidati i dati di adozione delle misure di sicurezza
- Copia del Documento Programmatico del soggetto
esterno, se dovuto o comunque disponibile
- Piani di controllo, se disponibili
Cifratura o separazione dei dati sensibili
(19.8)
- Cifratura: i dati sono archiviati
utilizzando criteri di criptazione che ne rendono impossibile la lettura
ai soggetti non autorizzati
- Tecnicamente complesso
- Normalmente non necessario
-
- Separazione: i dati sensibili o
giudiziari sono memorizzati unicamente in archivi a cui utilizzando i profili di
autorizzazione possono avere
accesso solo i soggetti abilitati
- Applicazioni dotate di parola chiave
- Archivi ad accesso limitato
Dichiarazione di conformità (25)
- Il titolare che si avvale di soggetti terzi per
ottemperare alle misure minime di sicurezza deve ricevere
dall’installatore una descrizione scritta dell’intervento che ne attesta
la conformità alle disposizioni del Disciplinare Tecnico
- Riguarda, ad esempio:
- Configurazione della rete locale
- Installazione del sistema antivirus
- Installazione e configurazione di firewall e IDS
- Installazione di software per il trattamento di dati
Trattamenti di dati Dati sensibili o giudiziari
- Dati sensibili: sono i dati personali
idonei a rivelare :
- L’origine razziale od etnica;
- Le convinzioni religiose, filosofiche o di altro
genere;
- Le opinioni politiche;
- L’adesione a partiti, sindacati, associazioni od
organizzazioni a carattere religioso, filosofico, politico o sindacale
- Lo stato di salute
- La vita sessuale
- Provvedimenti di cui all’art.3 comma 1 lett. Da a) a
o) ed r) del d.P.R. 14 nov 2002 n. 313
- La qualità di imputato o indagato
Protezione anti-intrusione (20)
- I sistemi di elaborazione contenenti dati sensibili o
giudiziari devono essere protetti contro il rischio di intrusione
- Ad esempio, risulta chiaro che l’utilizzo di firewall
e sistemi di intrusion detection e/o prevention sia quasi obbligato
- E’ necessario un costante aggiornamento di questi
sistemi, che non sono certo plug&play
Supporti removibili (21-22)
- Nel caso di dati sensibili, le misure minime per
l’uso di supporti rimovibili sono più stringenti
- Devono essere impartite istruzioni organizzative e
tecniche per regolare (21):
- Le modalità d’uso
- Le modalità di custodia
- Quando non più utilizzati devono essere (22):
- Distrutti o resi inutilizzabili
- Resi non intelligibili o ricostruibili
(crittografia?)
Sistema di “Disaster recovery” (23)
- Per i dati sensibili, è previsto un tempo certo
per l’attivazione e il completamento delle procedure di disaster recovery
- Deve essere garantito l’accesso ai dati in caso di
incidente (danneggiamento dei dati o degli strumenti) in tempi certi e comunque
non superiori a sette giorni
TRATTAMENTO DATI NON ELETTRONICI
Istruzioni agli incaricati (27)
·
Modalità di controllo e custodia di atti e
documenti
·
La lista degli incaricati può essere redatta
per classi omogenee di incarico e dei relativi profili di autorizzazione
Custodia (dati sensibili o giudiziari) (28)
·
Custoditi dagli incaricati fino alla
conclusione dei trattamenti, assicurando che non vi sia accesso da parte di
soggetti non autorizzati
·
Consegnati a conclusione dei trattamenti
Archiviazione (dati sensibili o giudiziari)
(29)
·
Accessi controllati agli
archivi
·
Identificazione e
registrazione degli accessi fuori dall’orario di chiusura
·
Autorizzazione agli
incaricati, in caso di accesso controllato mediante strumenti elettronici
DOMANDE
Perché realizzare
correttamente le misure ?
La tentazione di risolvere il problema “all’italiana”,
con un DPS fotocopia e senza una reale analisi, è forte.
Una simile operazione diminuisce il costo, ma
rende l’utilità delle misure pari a zero.
Effettuare a regola d’arte l’intervento di
analisi dei rischi, messa in sicurezza e stesura del DPS può essere l’occasione
di una crescita culturale aziendale, e anche un buon investimento in efficienza
Perché chiedere consiglio AD
UN ESTERNO?
- Perché le conoscenze specifiche nel settore della
sicurezza non sono presenti nella propria impresa
- Perché si tratta di una materia complessa in cui si
rischia di non riuscire a valutare correttamente costi e benefici delle
singole misure
- Perché un occhio “esterno”, allenato, è più
facilmente in grado di aiutare il management interno a trovare e definire
il percorso giusto
Per la formazione del personale personale (fondamentale!)
Omissis
"Art.
161. Omessa o inidonea informativa all'interessato
1. La violazione delle disposizioni di cui all'articolo 13 è punita con la
sanzione amministrativa del pagamento di una somma da tremila euro a
diciottomila euro o, nei casi di dati sensibili o giudiziari o di trattamenti
che presentano rischi specifici ai sensi dell'articolo 17 o, comunque, di
maggiore rilevanza del pregiudizio per uno o più interessati, da cinquemila
euro a trentamila euro. La somma può essere aumentata sino al triplo quando
risulta inefficace in ragione delle condizioni economiche del contravventore.
Art.
168. Falsità nelle dichiarazioni e notificazioni al Garante
1. Chiunque, nella notificazione di cui all'articolo 37 o in comunicazioni,
atti, documenti o dichiarazioni resi o esibiti in un procedimento dinanzi al
Garante o nel corso di accertamenti, dichiara o attesta falsamente notizie o
circostanze o produce atti o documenti falsi, è punito, salvo che il fatto
costituisca più grave reato, con la reclusione da sei mesi a tre anni."