Il nuovo Testo Unico sulla Privacy

 

Definizioni e responsabilità per il trattamento di dati

 

Il nuovo Testo Unico sulla Privacy entrato in vigore il 01/01/2004 rinnova e consolida la legislazione in sanzioni (sia civili sia penali) , rende molto più vincolanti controlli e semplifica, e al contempo rende più stringenti, i requisiti di sicurezza richiesti materia (in precedenza “dispersa”)

 

Dato personale, sensibile, trattamento

Dato personale: qualsiasi dato (anche un indirizzo o un numero di telefono) associabile a una persona, fisica o giuridica

Dato sensibile: dato personale che indica lo stato di salute, abitudini sessuali, preferenze politiche, o che attiene alla sfera giudiziaria

Trattamento di dati: qualsiasi utilizzo, consultazione, raccolta di dati Titolare, Responsabile, Incaricato, Interessato

Titolare: la persona fisica o giuridica (anche la società) che organizza il trattamento di dati e lo gestisce

Responsabili: designati dal titolare per soprintendere al trattamento

Incaricati: le persone fisiche che eseguono il trattamento secondo le istruzioni del Titolare e dei Responsabili

Interessato: il soggetto cui si riferiscono i dati trattati

 

Diritti dell’interessato (richiesta orale)

Diritto di ottenere la conferma o la negazione dell'esistenza di dati personali che lo riguardano.

Diritto di ottenere la loro comunicazione in forma intelligibile.

Diritto di ottenere l'indicazione:

• dell'origine dei dati personali;
• delle finalità e modalità del trattamento;
• della logica applicata in caso di trattamento effettuato con l'ausilio di strumenti elettronici;
• degli estremi identificativi del titolare, dei responsabili e del rappresentante designato;
• dei soggetti o delle categorie di soggetti ai quali i dati personali possono essere comunicati

 

Diritti dell’interessato (richiesta scritta)

L'interessato ha diritto di ottenere:

• l'aggiornamento, la rettificazione ovvero, quando vi ha interesse, l'integrazione dei dati;
• la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge
• l'attestazione che le operazioni precedenti sono state portate a conoscenza di coloro ai quali i dati sono stati comunicati o diffusi

 

L'interessato ha diritto di opporsi, in tutto o in parte:

• per motivi legittimi al trattamento dei dati personali che lo riguardano, anche se pertinenti allo scopo della raccolta;
• al trattamento di dati personali che lo riguardano a fini di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale

 

 

 

 

 

Informativa, consenso

I dati possono essere trattati solo se è stata data opportuna informativa (anche orale) sui diritti di cui al

punto precedente e sulla finalità.

I dati possono essere trattati solo con l’espresso consenso dell’interessato:

·         Non necessariamente scritto

·         Non richiesto se il trattamento segue da un obbligo contrattuale o di legge (ma va data l’informativa)

·         Consenso scritto per dati sensibili

 

Come dimostrare il “consenso orale” ?

 

Tramite l’esistenza di opportune procedure documentate! (DPSS)

Notificazione del trattamento:

·         L’obbligo di notificazione del trattamento al garante è solo per pochissime classi di trattamenti ad alto rischio (prima era per tutti) ;

·         Dati genetici o biometrici, o che indicano la posizione geografica di persone od oggetti in via elettronica   Esclusi apparecchi di sicurezza (CCTV, GPS antifurto per camion)

·         Dati idonei a rivelare lo stato di salute e la vita sessuale, trattati a fini di procreazione assistita, prestazione di servizi sanitari per via telematica, indagini epidemiologiche, rilevazione di malattie mentali, infettive e diffusive, sieropositività, trapianto di organi e tessuti e monitoraggio della spesa sanitaria;

·         Dati idonei a rivelare la vita sessuale o la sfera psichica trattati da associazioni, enti od organismi senza scopo di lucro, anche non riconosciuti, a carattere politico, filosofico, religioso o sindacale;

·         Trattamenti elettronici di profilatura (analisi di personalità, abitudini, scelte di consumo, utilizzo di servizi elettronici) Escluso quanto tecnicamente indispensabile

·         Banche dati per selezione del personale conto terzi;

·         Dati sensibili usati per sondaggi, ricerche di mercato o altre ricerche campionarie;

·         Banche dati elettroniche relative al rischio sulla solvibilità economica, alla situazione patrimoniale, al corretto adempimento di obbligazioni, a comportamenti illeciti o fraudolenti

 

Altre problematiche specifiche

·         Trattamenti di dati sanitari

·         Trattamenti di dati giudiziari

·         Trattamenti di dati genetici

·         Trattamenti ai fini commerciali (mailing, call center, etc.) o editoriali

·         Regole per giornalisti, service provider, società di statistica, etc.)

 

 

 

 

 

 

 

 

 

 

 

 

 

I requisiti di sicurezza

Requisiti “minimi” e “adeguati”

 

Il testo impone requisiti “adeguati”, non minimi !

Tuttavia, descrive dei requisiti minimi sotto i quali si ha responsabilità penale (art. 33)

Sono individuati dal disciplinare tecnico o “allegato B”, che sostituisce il D.P.R. 318/99, abrogato, emanato in attuazione dell'art.15 della L.675/96, abrogata.

Il mancato rispetto di dette misure ai sensi dell'art. 169 costituisce reato, punito con l'arresto fino a 2 anni o con l'ammenda da 10.000 a 50.000 Euro .

In mancanza di sicurezza adeguata (art. 31) resta comunque la responsabilità civile!

Art. 15: “chiunque cagiona danno ad altri per effetto del trattamento dei dati personali è tenuto al risarcimento ai sensi dell'art. 2050 c.c.”

Art. 2050: attività pericolosa – inversione dell’onere della prova.  Danni materiali e non materiali !

 

Art. 2050 c.c.

Il TESTO UNICO PRIVACY qualifica il trattamento dei dati come attività pericolosa, art. 2050 c.c.

E ' prevista pertanto una inversione dell'onere della prova nell'azione risarcitoria ex articolo 2043 c.c.: l'operatore è tenuto a fornire la prova di avere applicato le misure tecniche di sicurezza più idonee a garantire la sicurezza dei dati detenuti.

A livello pratico questo significa che l’azienda, il professionista, la PA ecc., per evitare ogni responsabilità deve dimostrare di aver adottato "tutte le misure idonee ad evitare il danno", e quindi di aver messo in essere tutte le misure di sicurezza al meglio possibile (la miglior tecnologia disponibile). Il che non è affatto facile da dimostrare...  

 

 

Entrata in vigore

Il Testo Unico è in vigore dal 1° Gennaio 2004.

Le nuove Misure Minime di Sicurezza devono essere adottate entro il 30 Giugno 2004 (art. 180 comma1)

Se esistono obiettive ragioni tecniche che non permettono l’adozione delle nuove misure entro il 30 giugno:

• Entro il 30 giugno il titolare predispone un documento avente data certa per descrivere i motivi della mancata adozione;
• Adotta ogni misura atta a ridurre i rischi
• Entro il 31 dicembre 2004 provvede ad aggiornare i sistemi per garantire l’adeguamento

 

Ravvedimento operoso

·         Prescrizione del Garante

• Termine massimo per la regolarizzazione non eccedente sei mesi
• Verifica dell’adempimento da parte del Garante
• Pagamento di una somma pari al quarto del massimo dell’ammendo stabilita per la contravvenzione
• Estinzione del reato penale

 

 

 

 

 

 

 

 

Trattamenti mediante strumenti elettronici

 

Requisiti di autenticazione (1-11)

• Gli incaricati devono essere dotati di “credenziali di autenticazione” che consentano il “superamento di una procedura di autenticazione”
• La procedura può riguardare uno specifico trattamento o un insieme di trattamenti

Il testo descrive correttamente i tre tipi di autenticazione:

• “ciò che si sa” (mediante uno user-id associato ad una parola chiave riservata conosciuta solamente dall’incaricato)
• “ciò che si è” (mediante una caratteristica biometrica dell’interessato, eventualmente associata a user-id o parola chiave)
• “ciò che si ha” (mediante un token, eventualmente associata a user-id o parola chiave)

 

User provisioning

• Provisioning: gestione delle credenziali utente
• Le credenziali di autenticazione non utilizzate da almeno 6 mesi devono essere disattivate (tranne quelle usate per soli scopi di gestione tecnica) (7)
• Le credenziali devono essere disattivate in caso di perdita della qualità che consente l’accesso ai dati (8)

 

Regole sugli user-id

• Ogni codice può essere utilizzato da un solo incaricato e non può essere assegnato ad altri, neppure in tempi diversi (i.e. non si può riutilizzare un nome utente, nemmeno se il precedente è stato disattivato) (6)
• Ad ogni incaricato possono eventualmente essere assegnati più codici per l’identificazione (ad esempio per funzioni diverse) (3)

 

Regole sulle password

La buona password è:

• conosciuta solamente dall’incaricato (2) che deve assicurarne la riservatezza (4) (responsabilizzazione)
• Lunga almeno otto caratteri sui sistemi ove è possibile (5) e non contiene riferimenti agevolmente riconducibili all’incaricato (5)
• Modificata al primo utilizzo (5) e in seguito ogni sei mesi (ogni tre mesi per dati sensibili o giudiziari) (5)

Regole sulle password

• Gli incaricati non devono lasciare il computer acceso e incustodito, e vanno istruiti e responsabilizzati sui metodi per evitare ciò (screen saver, log-off) (9)
• Devono essere individuati per iscritto soggetti incaricati e modalità per l’accesso a dati o sistemi di elaborazione in caso di assenza dell’interessato per esclusive necessità di operatività o sicurezza del sistema (nomina del custode delle parole chiave) (10)
• Le parole chiave non devono più essere conservate dal custode, tranne quando strettamente necessario, (per fortuna !)

 

 

 

 

 

 

 

 

Sistema di autorizzazione (12-14)

·         Sistema di autorizzazione: abilita l’accesso ai dati e alle modalità di trattamento degli stessi, in funzione del profilo di autorizzazione

·         Profilo di autorizzazione: associato ad una persona, individua i dati a cui può accedere e i trattamenti consentiti

·         Scopo: regolare l’accesso alle informazioni in base ad un corretto criterio di necessità delle stesse per svolgere le diverse attività lavorative

·         Riguarda, ad esempio:

1.      Utilizzo di applicazioni o funzioni applicative

2.      Accesso alle informazioni, in lettura o in scrittura, Tramite le applicazioni, Direttamente sui database

3.      Accesso ad archivi di documenti, sistemi di posta elettronica, ecc.

 

I profili di autorizzazione

·         Devono essere definiti precedentemente all’inizio del trattamento (13) e verificati almeno annualmente (14)

·         Possono essere definiti per singolo incaricato o per classi omogenee di incaricati (ad es. uffici o reparti) (13)

·         Devono essere completi considerando quindi programmi, funzioni, archivi (12)

·         E’ indispensabile definire il livello di dettaglio dei profili:

·           Un dettaglio insufficiente non consente selettività nell’accesso ai dati

·           Un dettaglio eccessivo genera un sistema complesso e difficilmente gestibile

·         E’ indispensabile la collaborazione dei responsabili funzionali e del settore HR

·         E’ indispensabile un frequente aggiornamento (nuovi incaricati, cambiamenti di mansioni, ecc.)

·         Anche in questo caso, un sistema di user provisioning efficiente può essere necessario !

 

Individuazione degli ambiti di trattamento (15)

 

·         Cosa significa “ambito di trattamento dei dati” ?

1. Finalità di trattamento
2. Modalità di trattamento
3. Ambiti di comunicazione o diffusione

 

• Devono essere definiti ed aggiornati almeno annualmente
• Devono essere documentati in forma scritta
• Possono essere definiti per incaricato o per classi omogenee (ad es. uffici o reparti)

 

Protezione antivirus e senso dell’umorismo (16)

 

• Tutti i sistemi di elaborazione (server, client) “devono essere protetti” dal rischio costituito da virus informatici e Simili.
• La protezione deve essere attiva anche per i sistemi non connessi in rete o che non accedono a internet
• Gli utenti non devono poter disattivare l’antivirus
• L’aggiornamento deve essere obbligatoriamente almeno semestrale!!!!!
• Come chiunque sa, per la sicurezza del sistema informatico aziendale, sarebbe opportuno un aggiornamento quotidiano, o al massimo settimanale!

 

 

 

 

L’incubo delle patch (17)

• Il T.U. impone di applicare gli aggiornamenti volti a:

1. Prevenire la vulnerabilità
2. Correggere difetti

• Patch sia di sistema che applicative
• Solo le patch o anche gli aggiornamenti?
• E nel secondo caso, anche quelli a pagamento?
• Devono essere eseguiti con cadenza almeno annuale. In caso di trattamento di dati sensibili o giudiziari con cadenza almeno semestrale
• Sembrano termini ridicoli, ma nella nostra esperienza di consulenza sono ben più di quello che gran parte delle aziende sono disposte a fare !!!
• Problemi di testing, problemi di upgrade hardware…

 

Politiche di backup (18)

• Il backup dei dati personali è obbligatorio!
• La frequenza di salvataggio “minima” deve essere almeno settimanale
• Una misura “adeguata” di sicurezza potrebbe prevedere però dei backup giornalieri automatici, almeno sui sistemi fondamentali!

 

Istruzioni tecniche (18)

Devono essere impartite istruzioni scritte per definire le modalità di esecuzione dei backup :

·         Individuazione dei dispositivi

·         Individuazione degli archivi

·         Frequenza di backup

·         Modalità (backup completo, incrementale, differenziale)

·         Rotazione dei dispositivi fisici

·         Archiviazione sicura dei dispositivi di backup

·         Definizione delle procedure di controllo e verifica

 

Definire le procedure (18)

Il testo unico insiste sulla necessità di definire, per iscritto, le procedure

• Definizione delle responsabilità
• Definizione delle procedure in caso di incidente
• Definizione delle modalità di aggiornamento delle procedure

 

Il documento programmatico è quasi una necessità anche per chi non sarebbe tenuto a redigerlo!

 

Documento Programmatico

Il documento programmatico è sia requisito minimo che strumento per dimostrare la buona fede nell’implementazione adeguata.

 

Quando è necessario il DPS?

• Sempre, in caso di trattamento effettuato con mezzi elettronici;
• Sempre, in caso di trattamento di dati sensibili o giudiziari (in questo caso il T.U. detta la struttura del DPS)
• Anche quando non è obbligatorio, è implicitamente richiesto dall’art. 31, in quanto parte essenziale di adeguate misure di sicurezza (responsabilità civile)
•  

Quando va redatto?

Prima che qualsiasi trattamento possa avere luogo! E comunque entro il 01/06/2004

 

 

 

Il Documento Programmatico

• Descrive in maniera completa tutte le misure di sicurezza
• Deve essere redatto ed aggiornato annualmente entro il 31 marzo di ogni anno (19)
• Se è richiesta la relazione accompagnatoria del bilancio di esercizio, deve esserne riferito dell’avvenuta redazione od aggiornamento (26)
• Non deve essere inviato al Garante, ma deve essere trattenuto presso il titolare del trattamento
• Non è richiesto che abbia data certa

 

Contenuti del DPS

• L’elenco dei trattamenti dei dati personali (19.1)
• La distribuzione dei compiti e delle responsabilità (19.2)
• L’analisi dei rischi che incombono sui dati (19.3)
• Le misure da adottare per garantire l’integrità e la disponibilità dei dati e la protezione delle aree e dei locali rilevanti ai fini della loro custodia ed accessibilità (19.4)
• La descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati (19.5)
• La previsione degli interventi formativi (19.6)
• La descrizione dei criteri da adottare per garantire l’adozione delle misure minime di sicurezza dei dati affidati all’esterno della struttura del titolare (19.7)
• I criteri di cifratura o separazione dei dati sensibili o giudiziari (19.8)

 

L’elenco dei trattamenti (19.1)

• Database
• Modalità di trattamento

1. Applicazioni
2. Archivi

• Finalità di trattamento
• Ambiti di comunicazione
• Profili di autorizzazione degli incaricati

 

Distribuzione di compiti e responsabilità (19.2)

·         Gestione sistema di autenticazione

·         Gestione sistema di autorizzazione

·         Gestione del sistema antivirus

·         Gestione del sistema anti-intrusione

·         Gestione del sistema di backup/restore

·         Aggiornamento del Documento Programmatico

·         Possibili allegati:

o    Istruzioni agli incaricati;

o    Nomine di responsabili e custodi delle parole chiave

o    Modalità di accesso ai sistemi in assenza dell’incaricato

 

 

 

 

 

 

 

 

Analisi dei rischi (19.3)

• Elenco dei rischi individuati e delle possibili conseguenze in termini di:
• Distruzione o perdita dei dati
• Accesso non autorizzato alle informazioni o esecuzione di trattamenti non autorizzati
• Indisponibilità dei sistemi
• Presenza di informazioni errate

·         Elenco delle contromisure che, per ogni rischio individuato sono poste in essere come misura di protezione, tenendo conto che le misure possono essere graduate per classi di dati, e che la medesima misura può avere effetto su rischi diversi.

 

Criteri per garantire integrità e disponibilità (19.4)

• Sistema di autenticazione ed autorizzazione
• Sistema antivirus
• Sistema anti-intrusione informatica (FIREWALL)
• Procedure di sviluppo e avviamento di nuove applicazioni
• Gestione degli aggiornamenti dei programmi
• Organizzazione degli archivi degli utenti  
• Protezione delle aree e dei locali (generali o specifici ai locali informatici)

• Sistemi anti-intrusione
• Vigilanza e controllo accessi
• Sistemi anti-incendio

 

Criteri e modalità per il ripristino dei dati (19.5)

• Sistema di backup

• Dispositivi
• Archivi protetti
• Modalità di esecuzione
• Frequenza
• Criteri di rotazione e archiviazione
• Modalità di verifica
• Strumenti di segnalazione di eventuali errori

• Sistemi per assicurare la continuità di alimentazione
• Sistemi ridondanti o ad alta affidabilità
• RAID / Cluster / SAN …
• Disaster recovery

 

Interventi formativi (19.6)

Riguardano:

• Conoscenza dei rischi
• Conoscenza delle misure di sicurezza e dei comportamenti da adottare
• Responsabilità
•  

Devono essere erogati:

• Al momento dell’ingresso in servizio
• In occasione di cambio di mansioni
• In occasione dell’introduzione di nuovi strumenti
• E’ opportuno che siano documentati

 

 

 

 

 

Criteri per i trattamenti all’esterno (19.7)

• Documento di specifica di finalità, modalità, ed ambiti di comunicazione autorizzati per il trattamento
• Dichiarazione dell’ente esterno a cui vengono affidati i dati di adozione delle misure di sicurezza
• Copia del Documento Programmatico del soggetto esterno, se dovuto o comunque disponibile
• Piani di controllo, se disponibili

 

Cifratura o separazione dei dati sensibili (19.8)

• Cifratura: i dati sono archiviati utilizzando criteri di criptazione che ne rendono impossibile la lettura ai soggetti non autorizzati

• Tecnicamente complesso
• Normalmente non necessario
•  

• Separazione: i dati sensibili o giudiziari sono memorizzati unicamente in archivi a cui  utilizzando i profili di autorizzazione  possono avere accesso solo i soggetti abilitati

• Applicazioni dotate di parola chiave
• Archivi ad accesso limitato

 

Dichiarazione di conformità (25)

• Il titolare che si avvale di soggetti terzi per ottemperare alle misure minime di sicurezza deve ricevere dall’installatore una descrizione scritta dell’intervento che ne attesta la conformità alle disposizioni del Disciplinare Tecnico
• Riguarda, ad esempio:

• Configurazione della rete locale
• Installazione del sistema antivirus
• Installazione e configurazione di firewall e IDS
• Installazione di software per il trattamento di dati

 

Trattamenti di dati Dati sensibili o giudiziari

• Dati sensibili: sono i dati personali idonei a rivelare :

• L’origine razziale od etnica;
• Le convinzioni religiose, filosofiche o di altro genere;
• Le opinioni politiche;
• L’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale
• Lo stato di salute
• La vita sessuale

 

• Dati giudiziari:

• Provvedimenti di cui all’art.3 comma 1 lett. Da a) a o) ed r) del d.P.R. 14 nov 2002 n. 313
• La qualità di imputato o indagato

 

Protezione anti-intrusione (20)

• I sistemi di elaborazione contenenti dati sensibili o giudiziari devono essere protetti contro il rischio di intrusione
• Ad esempio, risulta chiaro che l’utilizzo di firewall e sistemi di intrusion detection e/o prevention sia quasi obbligato
• E’ necessario un costante aggiornamento di questi sistemi, che non sono certo plug&play

 

 

Supporti removibili (21-22)

• Nel caso di dati sensibili, le misure minime per l’uso di supporti rimovibili sono più stringenti
• Devono essere impartite istruzioni organizzative e tecniche per regolare (21):

• Le modalità d’uso
• Le modalità di custodia

• Quando non più utilizzati devono essere (22):

• Distrutti o resi inutilizzabili
• Resi non intelligibili o ricostruibili (crittografia?)

 

Sistema di “Disaster recovery” (23)

• Per i dati sensibili, è previsto un tempo certo per l’attivazione e il completamento delle procedure di disaster recovery
• Deve essere garantito l’accesso ai dati in caso di incidente (danneggiamento dei dati o degli strumenti) in tempi certi e comunque non superiori a sette giorni

 

TRATTAMENTO DATI NON ELETTRONICI

Istruzioni agli incaricati (27)

·         Modalità di controllo e custodia di atti e documenti

·         La lista degli incaricati può essere redatta per classi omogenee di incarico e dei relativi profili di autorizzazione

 

Custodia (dati sensibili o giudiziari) (28)

·         Custoditi dagli incaricati fino alla conclusione dei trattamenti, assicurando che non vi sia accesso da parte di soggetti non autorizzati

·         Consegnati a conclusione dei trattamenti

 

Archiviazione (dati sensibili o giudiziari) (29)

·         Accessi controllati agli archivi

·         Identificazione e registrazione degli accessi fuori dall’orario di chiusura

·         Autorizzazione agli incaricati, in caso di accesso controllato mediante strumenti  elettronici

 

 

DOMANDE

 

 

Perché realizzare correttamente le misure ?

La tentazione di risolvere il problema “all’italiana”, con un DPS fotocopia e senza una reale analisi, è forte.

Una simile operazione diminuisce il costo, ma rende l’utilità delle misure pari a zero.

Effettuare a regola d’arte l’intervento di analisi dei rischi, messa in sicurezza e stesura del DPS può essere l’occasione di una crescita culturale aziendale, e anche un buon investimento in efficienza

 

Perché chiedere consiglio AD UN ESTERNO?

• Perché le conoscenze specifiche nel settore della sicurezza non sono presenti nella propria impresa
• Perché si tratta di una materia complessa in cui si rischia di non riuscire a valutare correttamente costi e benefici delle singole misure
• Perché un occhio “esterno”, allenato, è più facilmente in grado di aiutare il management interno a trovare e definire il percorso giusto

Per la formazione del personale personale (fondamentale!)

 

Omissis

"Art. 161. Omessa o inidonea informativa all'interessato
1. La violazione delle disposizioni di cui all'articolo 13 è punita con la sanzione amministrativa del pagamento di una somma da tremila euro a diciottomila euro o, nei casi di dati sensibili o giudiziari o di trattamenti che presentano rischi specifici ai sensi dell'articolo 17 o, comunque, di maggiore rilevanza del pregiudizio per uno o più interessati, da cinquemila euro a trentamila euro. La somma può essere aumentata sino al triplo quando risulta inefficace in ragione delle condizioni economiche del contravventore.
 

Art. 168. Falsità nelle dichiarazioni e notificazioni al Garante
1. Chiunque, nella notificazione di cui all'articolo 37 o in comunicazioni, atti, documenti o dichiarazioni resi o esibiti in un procedimento dinanzi al Garante o nel corso di accertamenti, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi, è punito, salvo che il fatto costituisca più grave reato, con la reclusione da sei mesi a tre anni."