Logica dei Sistemi

L'allegato B) al decreto legislativo del 30 giugno 2003 n. 196 consiste in un disciplinare tecnico che detta le misure minime di sicurezza in materia di trattamento dei dati personali.

Il disciplinare tecnico è suddiviso in due parti fondamentali: la prima è relativa ai trattamenti che avvengono con l'utilizzo di strumenti elettronici mentre la seconda riguarda il caso complementare, ossia quei trattamenti che avvengono, invece, senza l'ausilio di strumenti elettronici.

Le misure descritte nel disciplinare sono le misure minime richieste ed è opportuno che non vengano violate se non si vuole incorrere nel rischio di una sanzione da parte del Garante per la protezione dei dati personali.

Tutte le misure descritte nel disciplinare tecnico hanno un'applicabilità generale ma possono essere soggette a delle semplificazioni a seguito di provvedimenti del Garante stesso. Si cita, in particolare, il provvedimento del 27 novembre 2008 "Semplificazione delle misure di sicurezza contenute nel disciplinare tecnico di cui all'allegato B) al codice in materia di protezione dei dati personali". In questo provvedimento il Garante individua due tipologie di soggetti che possono ricorrere a misure semplificate. Tale provvedimento sarà oggetto di un successivo articolo, in quanto il presente si focalizza sulle misure minime valide in generale.

Trattamenti con strumenti elettronici

Nei casi in cui il trattamento dei dati personali avviene con l'utilizzo di strumenti elettronici è necessario che siano tenute in considerazione una serie di misure atte a prevenire violazioni della sicurezza dei dati trattati. In particolare è necessario che venga redatto un Documento Programmatico sulla Sicurezza (DPS) e che vengano prese determinate misure relativamente ai sistemi di autenticazione informatica e al sistema di autorizzazione.

Il sistema di autenticazione informatica

Il trattamento dei dati personali con sistemi informatici è consentito solo ad operatori dotati di specifiche credenziali di autenticazione. Tali credenziali devono consistere in un codice identificativo dell'operatore e in una parola chiave conosciuta solamente dall'incaricato. Tale parola chiave può essere, eventualmente, sostituita dall'utilizzo di un dispositivo di autenticazione che sia in possesso o in uso esclusivo all'incaricato, così come da uno o più caratteristiche biometriche dell'operatore stesso. Queste misure possono essere tra loro combinate (ossia, ad esempio, caratteristica biometrica e parola chiave).

Ogni incaricato può avere una o più credenziali per l'autenticazione e deve prestare particolare attenzione a mantenere segreta la componente riservata di tali credenziali e custodire i dispositivi di autenticazione. Di tale aspetto dovranno tenere conto le istruzioni che devono essere impartite agli incaricati, in modo che le misure assunte da ciascun operatore siano più che sufficienti per evitare utilizzi non autorizzati delle credenziali di un operatore.

Il disciplinare tecnico descrive dettagliatamente le misure minime relative alla parola chiave, quando prevista: deve essere composta da almeno otto caratteri oppure, nel caso in cui vi sia una limitazione del sistema utilizzato che impedisca tale lunghezza, deve essere pari alla lunghezza massima gestibile dal sistema. La parola chiave non deve essere facilmente riconducibile all'incaricato e deve essere modificata da quest'ultimo al primo utilizzo e, successivamente, almeno ogni sei mesi. Quest'ultimo periodo, nel caso di trattamento di dati sensibili o di dati giudiziari, è ridotto a tre mesi.

Il codice identificativo dell'incaricato, ove utilizzato, non potrà essere assegnato ad altri incaricati neanche in tempi diversi. Di conseguenza ogni codice identificativo dovrà essere gestito in modo che ad operatori diversi siano sempre associati codici identificativi diversi.

Le credenziali di autenticazione devono essere disattivate immediatamente se non sono utilizzate per almeno sei mesi o nel caso in cui l'operatore perda la qualità che gli consente l'accesso ai dati personali (ad esempio per un cambio di mansione). In alcuni casi è consentito il mantenimento attivo di credenziali oltre i sei mesi di inattività se utilizzate per soli scopi di gestione tecnica e previa specifica autorizzazione. Sebbene il disciplinare non preveda nulla di specifico in merito, è opportuno che tali credenziali siano ridotte al minimo e, possibilmente, non utilizzate del tutto, mantenendole comunque sotto uno strettissimo controllo per evitare abusi e rischi di varia natura per la sicurezza.

Gli incaricati devono essere opportunamente edotti sulla necessità di non lasciare incustodito e accessibile lo strumento elettronico utilizzato per il trattamento dei dati. Il disciplinare, su questo tema, regolamenta il solo caso di una sessione di trattamento dati in corso. E comunque opportuno, in generale, a prescindere dalla disponibilità di una sessione per il trattamento dati o meno, che i sistemi non siano lasciati incustoditi né resi accessibili (in particolare ciò vale per i dispositivi portatili).

Un altro aspetto molto importante è quello di garantire l'accesso ai dati nel caso di indisponibilità dell'operatore. Tale indisponibilità può derivare sia da una prolungata assenza sia da un impedimento dell'incaricato e viene affrontata mediante la definizione di credenziali di riserva. Il disciplinare prevede che la gestione di tali credenziali avvenga con un'organizzazione tale da garantirne la sicurezza e mediante l'identificazione per iscritto dei soggetti incaricati della loro custodia che, tra l'altro, dovranno informare tempestivamente l'incaricato dell'eventuale intervento effettuato.

Tutte le disposizioni in tema di autenticazione (e anche quelle relative all'autorizzazione) non si applicano a trattamenti dati personali che prevedano la diffusione dei dati stessi.

Il sistema di autorizzazione

Il disciplinare affronta in una sezione apposita la problematica di gestire le autorizzazioni che gli incaricati del trattamento dovranno avere nel caso in cui esse possano differire da un incaricato all'altro. In pratica, se esiste un'unica tipologia di incaricato, anche se applicata a numerosi operatori, non è necessario definire un sistema di autorizzazione. Nel caso in cui, invece, vengano definiti dei profili di autorizzazione differenti è necessario un sistema di autorizzazione.

Il sistema di autorizzazione porterà ad individuare e configurare i profili di autorizzazione anteriormente all'inizio del trattamento, con l'obiettivo di limitare l'accesso ai soli dati necessari per effettuare le operazioni di trattamento.

Il sistema di autorizzazione garantirà, inoltre, almeno con cadenza annuale, la verifica della sussistenza delle condizioni per la conservazione dei profili di autorizzazione.

Ulteriori misure di sicurezza

Il disciplinare prevede che, nell'ambito dell'aggiornamento periodico con frequenza minima annuale, finalizzato all'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici, la lista degli incaricati può essere redatta anche per classi omogenee di incarico e dei relativi profili di autorizzazione.

I dati personali devono essere protetti contro il rischio d’intrusione e dall'azione di malware (nel senso dettato dall'articolo 615-quinquies del codice penale, ossia “[omissis] programma informatico [omissis] avente per scopo o per effetto il danneggiamento di un sistema informatico o telematico, dei dati o dei programmi in esso contenuti o ad esso pertinenti, ovvero l'interruzione, totale o parziale, o l'alterazione del suo funzionamento [omissis]”). Ciò viene realizzato mediante l'utilizzo di idonei strumenti elettronici (ad esempio software antivirus) da mantenersi aggiornati con frequenza almeno semestrale. La frequenza indicata nel disciplinare è, in generale, da ritenersi troppo bassa e il suggerimento è quello di aumentarla ad una frequenza settimanale o, ancor meglio, giornaliera, nella maggior parte dei casi.

Anche l'aggiornamento periodico dei programmi per elaboratore finalizzato a prevenire la vulnerabilità degli strumenti elettronici e a correggerne i difetti deve essere effettuato con frequenza almeno annuale (semestrale nel caso di trattamento di dati sensibili al giudiziari). Anche in questo caso è ritenuto troppo lungo il lasso di tempo fissato dal disciplinare e si ritiene opportuno consigliarne la riduzione portandolo, come minimo, su base mensile o settimanale. Nei casi di sistemi esposti su rete pubblica (Internet) l'aggiornamento può essere effettuato anche più volte al giorno. In ogni caso è però necessario tenere in considerazione i rischi legati a tale aggiornamento e valutarne la frequenza più opportuna, oltre alle modalità di recupero della configurazione precedente nel caso in cui un aggiornamento introducesse delle regressioni tali da rendere il sistema al rischio sicurezza o instabile.

Il disciplinare prevede, infine, che vengano impartite dalle istruzioni organizzative tecniche in grado di consentire il salvataggio dei dati con una frequenza almeno settimanale. Anche in questo caso il suggerimento è di utilizzare frequenze più stringenti che di norma consistono nell'effettuare un backup incrementali giornaliero e uno integrale settimanale, raggiungendo un eccellente compromesso tra l'impiego di risorse per il backup, la sua frequenza e il rispetto della normativa.

Documento programmatico sulla sicurezza

Il disciplinare tecnico prevede la redazione, con riesame annuale entro il 31 marzo di ogni anno, di un documento detto "Documento Programmatico sulla Sicurezza" o DPS. Questo documento deve essere redatto dal Titolare del trattamento di dati sensibili o giudiziari e può avvenire anche attraverso il Responsabile del trattamento nel caso in cui sia stato designato.

Il documento programmatico sulla sicurezza deve contenere adeguate informazioni in merito ai seguenti punti:

• l’elenco completo e dettagliato dei trattamenti di dati personali che sono effettuati nell'ente;
• la distribuzione dei compiti e delle responsabilità nell'ambito delle strutture che sono state preposte al trattamento dei dati;
• l'analisi dei rischi che incombono sui dati;
• le misure che si ritiene opportuno adottare per garantire l'integrità e la disponibilità dei dati, oltre alle misure di protezione delle aree e dei locali rilevanti ai fini della custodia di tali dati e alla loro accessibilità;
• la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento (aspetto previsto nel caso di trattamento di dati sensibili o giudiziari);
• la previsione degli interventi formativi degli incaricati del trattamento in modo da renderli consapevoli dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili di massima della disciplina sulla protezione dei dati personali in rapporto alle rispettive attività, delle responsabilità che ne conseguono e delle modalità per mantenersi aggiornati sulle misure minime adottate dal Titolare del trattamento. La formazione deve essere programmata già al momento dell'ingresso in servizio, così come nel caso di cambiamento di mansione o di introduzione di nuovi strumenti per il trattamento dati;
• la descrizione dei criteri che si intendono adottare per garantire che le misure minime di sicurezza nel caso dei trattamenti di dati personali siano adottate anche per quei trattamenti affidati, in conformità al Codice, all'esterno della struttura del titolare;
• per quanto concerne i dati personali idonei a rivelare lo stato di salute e la vita sessuale, dovranno essere individuati i criteri da adottare per criptarli o per separarli dagli altri dati personali dell'interessato, a loro maggiore protezione.

Il documento programmatico sulla sicurezza, come già spiegato, deve essere redatto annualmente entro il 31 marzo ma non è soggetto all’obbligo di data certa. L’argomento è di particolare interesse vista la confusione che vi gravita intorno e quindi sarà l’oggetto di un paragrafo apposito.

La data del DPS deve essere certa o no?

Da dove nasce l'ambiguità sulla data certa del documento programmatico sulla sicurezza? Nasce da quanto previsto dall'articolo 1 della legge 325 del 2000 che esplicitava le disposizioni inerenti le misure minime di sicurezza e consentiva a coloro che, alla data prevista, per ragioni oggettive, non potessero sottostare agli adeguamenti in materia di sicurezza previsti dalla Legge 325/2000 stessa (conseguente all’allora vigente Legge 675/96), di differire l’applicazione di tali misure previa redazione di un apposito documento in data certa. In pratica, ad esempio, se per problemi tecnologici, un'azienda non poteva mettersi a norma relativamente alle misure minime di sicurezza, essa poteva predisporre un’apposita “Autocertificazione di Adeguamento” in cui descriveva le ragioni oggettive del ritardo, evitando così il rischio di una sanzione. Tale documento doveva avere data certa. Nello stesso anno, il Garante interveniva con un chiarimento in cui sottolineava il fatto che non bisognasse confondere il documento programmatico della sicurezza con il documento di cui all'articolo 1 della legge 325 del 2000 ("Occorre anzitutto premettere che il documento previsto dalla legge n. 325/2000 va distinto dal documento programmatico sulla sicurezza disciplinato dall'art. 6 del d.P.R. n. 318/1999.", Parere pubblicato sul bollettino n. 14 del settembre 2000). Quando si è passati al testo unico sulla privacy, ossia il decreto legislativo n. 196 del 30 giugno 2003, è stata recepita una norma analoga che, all'articolo 180 comma 2, recita:”Il titolare che alla data di entrata in vigore del presente codice dispone di strumenti elettronici che, per obiettive ragioni tecniche, non consentono in tutto o in parte l'immediata applicazione delle misure minime di cui all'articolo 34 e delle corrispondenti modalità tecniche di cui all'allegato B), descrive le medesime ragioni in un documento a data certa da conservare presso la propria struttura.”. E’ evidente che questo documento non ha nulla a che vedere con il documento programmatico sulla sicurezza.

Nel resto del decreto legislativo 196 del 2003 non viene mai indicato che il documento programmatico della sicurezza debba avere data certa mentre, in più punti, è previsto che il documento che descrive le ragioni oggettive che comportano un inevitabile differimento, per ragioni tecniche, dell'adeguamento alle misure minime previste debba, al pari di quello sopra descritto, avere data certa.

In sintesi, ciò che deve avere data certa è il documento che giustifichi il differimento dell'adeguamento e non il documento programmatico per la sicurezza.

I riferimenti normativi che giustificano questa tesi sono i seguenti:

• L’articolo 34 del decreto legislativo 196 del 2003 non indica la necessità di una data certa del DPS. L'unico obbligo imposto al titolare è quello di redigerlo e mantenerlo aggiornato.
• Neanche la regola 19 dell’allegato B) del D.Lgs. 196/03 parla mai di data certa ma solo di obblighi redazionali e di aggiornamento.
• La regola 26 dell’allegato B) prevede l’inserimento nella relazione accompagnatoria al bilancio, dell’avvenuta redazione o aggiornamento del DPS, permettendo così di avere una “certezza” su tale evento senza per questo pretendere la data certa (ovviamente solo per chi è tenuto alla presentazione del bilancio).

In conclusione, la data certa del DPS è un falso problema: il Titolare del trattamento dati ha il solo obbligo di esibire il DPS in caso di ispezione e di mantenerlo aggiornato annualmente (entro il 31 marzo), senza per questo doverne certificare con data certa il fatto.

Prima di concludere con la questione “data certa” è comunque opportuno che se ne dia una definizione chiara in modo da poterla correttamente applicare nei casi ove è prevista (e cioè non nel DPS ma nel rinvio dell’adeguamento alle misure minime).

Il Garante, nel Parere pubblicato sul Bollettino del n. 14 del settembre 2000 “Misure minime di sicurezza - Chiarimenti sulla data certa dell'atto previsto dall'art. 1 della L. 325/2000 - 5 dicembre 2000”, definisce:

<<Il documento dovrà essere redatto [omissis] con un "atto avente data certa".

In proposito, per quanto di competenza, il Garante osserva che tale requisito si collega con la comune disciplina civilistica in materia di prove documentali e, in particolare, con quanto previsto dagli artt. 2702 - 2704 del codice civile, i quali recano un'elencazione non esaustiva degli strumenti per attribuire data certa ai documenti, consentendo di provare tale data anche in riferimento a ogni "fatto che stabilisca in modo egualmente certo l'anteriorità della formazione del documento" (art. 2704, terzo comma, cod.civ.).

La legge n. 325/2000 presuppone quindi che il documento in questione sia collegabile ad un fatto oggettivo attribuibile al soggetto che lo invoca, ma sottratto alla sua esclusiva sfera di disponibilità.

In questa prospettiva, senza pretesa di indicare in modo esauriente tutti i possibili strumenti idonei ad assegnare al documento una data certa, il Garante richiama l'attenzione dei titolari del trattamento sulle seguenti possibilità che appaiono utilmente utilizzabili:

a) ricorso alla c.d. "autoprestazione" presso uffici postali prevista dall'art. 8 del d.lg. 22 luglio 1999, n. 261, con apposizione del timbro direttamente sul documento avente corpo unico, anziché sull'involucro che lo contiene;

b) in particolare per le amministrazioni pubbliche, adozione di un atto deliberativo di cui sia certa la data in base alla disciplina della formazione, numerazione e pubblicazione dell'atto;

c) apposizione della c.d. marca temporale sui documenti informatici (art. 15, comma 2, legge 15 marzo 1997, n. 59; d.P.R. 10 novembre 1997, n. 513; artt. 52 ss. d.P.C.M. 8 febbraio 1999);

d) apposizione di autentica, deposito del documento o vidimazione di un verbale, in conformità alla legge notarile; formazione di un atto pubblico;

e) registrazione o produzione del documento a norma di legge presso un ufficio pubblico.>>

Ulteriori misure per dati sensibili o giudiziari

Il disciplinare tecnico prosegue con ulteriori misure da adottarsi nel caso di trattamento di dati sensibili o giudiziari. Tali misure consistono in un incremento di sicurezza nel trattamento e nella conservazione dei dati.

In particolare vengono descritti: la necessità di proteggere i dati dall'accesso abusivo, i rischi legati all'uso di supporti rimovibili e le misure per garantire l'accesso ai dati anche in caso di danneggiamento degli stessi o degli strumenti elettronici utilizzati. Inoltre viene disciplinata la modalità di separazione dei dati idonei a rivelare lo stato di salute e la vita sessuale delle persone rispetto agli altri dati personali. Particolare accento viene posto alla gestione dei dati relativi all'identità genetica.

Il disciplinare prevede una norma relativa alle misure di tutela e garanzia nel caso in cui i dati vengano affidati e/o trattati da soggetti esterni.

Infine il disciplinare prevede, ove sussista l'obbligo di presentazione del bilancio, l'indicazione nella relazione accompagnatoria del bilancio d'esercizio dell'avvenuta redazione o aggiornamento del documento programmatico sulla sicurezza, come già descritto nel paragrafo precedente.

Il trattamento senza strumenti elettronici

Nel caso in cui il trattamento non avvenga con strumenti elettronici le misure minime di sicurezza sono in numero minore e presuppongono l'esistenza di istruzioni scritte finalizzate al controllo e alla custodia degli atti dei documenti contenenti dati personali, con aggiornamento a cadenza minima annuale dell'ambito dei trattamenti consentiti ai singoli incaricati e della loro lista, con raggruppamento anche per classi omogenee d'incarico o di profili autorizzativi. Inoltre presuppongono una cura nella custodia degli atti utilizzati dagli incaricati durante il trattamento al fine di evitare accessi non autorizzati e garantire la restituzione a chi di dovere al termine delle operazioni affidate agli incaricati stessi.

Infine il disciplinare prevede che l'accesso agli archivi contenenti dati sensibili o giudiziari avvenga in forma controllata con registrazione delle persone ammesse, a qualunque titolo, e previa autorizzazione.

Conclusioni

In questo rapido excursus del disciplinare tecnico allegato al decreto legislativo 196 del 2003 sono state esaminate le misure minime di sicurezza richieste, in generale, a fronte di trattamenti dati.

Logica dei Sistemi dell'ing. Luca Lezzerini è a disposizione di chiunque abbia la necessità di mettersi in regola con la normativa vigente sul trattamento dei dati personali o voglia effettuare una valutazione su quanto la stia rispettando. Contattateci senza indugio per un preventivo gratuito.