Logica dei Sistemi

La normativa cosiddetta sulla "privacy" è un argomento in cui ci si imbatte molto frequentemente ma, data la complessità della materia, risulta incomprensibile ai più. Ad aggravare la situazione vi sono le numerose raccomandazioni del Garante e le quasi infinite casistiche possibili.

Scopo di questo articolo, inizio di una serie sull'argomento, è cercare di dare una prima risposta ai quesiti fondamentali, partendo da una descrizione schematica della legge.

Il D.Lgs. 196/03 è conosciuto come "legge sulla privacy". In realtà si tratta di una normativa sulla protezione dei dati personali.

Il decreto legislativo 196/03 vede, sostanzialmente, coinvolte quattro tipologie di persone: il Titolare del trattamento dati, il Responsabile del trattamento dati, l'Incaricato del trattamento dati, l'Interessato dal trattamento dati.

Queste quattro figure, che discuteremo più nel dettaglio nelle sezioni seguenti, vengono "monitorate" da una quinta figura che è quella del Garante.

Il decreto legislativo 196 del 2003 prevede, nel cosiddetto allegato B, un disciplinare tecnico indicante le misure minime di sicurezza da adottarsi.

I Dati Personali

Prima di entrare nel merito del testo è necessario che venga definito il concetto di "dato personale".

I dati personali vengono definiti come tutte le informazioni che sono relative a persone, siano esse fisiche o giuridiche, enti o associazioni, che consentano l'identificazione per via diretta o indiretta, di tali soggetti. Questa definizione è fornita dall'art. 4 del decreto, comma 1, lettera b) che recita:

“b) "dato personale", qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale;”

Un sottoinsieme molto importante dei dati personali sono i cosiddetti "dati sensibili" che vengono definiti, sempre all'articolo 4 comma 1, come:

"d) "dati sensibili", i dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonche' i dati personali idonei a rivelare lo stato di salute e la vita sessuale"

Per questi dati anticipiamo sin d'ora che le condizioni per il loro trattamento (con l'esclusione degli enti pubblici che seguono modalità differenti) sono tre:

• consenso scritto da parte dell'interessato (non più obbligatorio per i liberi professionisti iscritti ad un albo, come specificato nell’autorizzazione n.4/2008)
• specifica autorizzazione al trattamento dei dati da parte del garante
• obbligo di misure di sicurezza più robuste

Un'altra categoria che costituisce un sottoinsieme dei dati personali è quella comunemente nota come "dati giudiziari" che viene definita, sempre all'articolo quattro comma numero uno:

“e) "dati giudiziari", i dati personali idonei a rivelare provvedimenti di cui all'articolo 3, comma 1, lettere da a) a o) e da r) a u), del D.P.R. 14 novembre 2002, n. 313, in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualita' di imputato o di indagato ai sensi degli articoli 60 e 61 del codice di procedura penale”

In pratica si tratta dei dati relativi a:

• casellario giudiziale
• anagrafe delle sanzioni amministrative dipendenti da reato (e relativi carichi pendenti)
• qualità di imputato o indagato ai sensi degli articoli 60 e 61 del codice di procedura penale

Il trattamento dei dati personali

La normativa stabilisce che il trattamento dei dati personali debba avvenire secondo il principio della "necessità del trattamento".

L'articolo 3 del decreto esplicita infatti questo principio specificando che tutte le informazioni personali ed identificative che vengono utilizzate devono avere un valido motivo che ne giustifichi il trattamento.

Inoltre, una qualunque organizzazione non solo dovrà avere valide ragioni per trattare determinati dati personali ma dovrà anche dimostrare che il trattamento in forma anonima non può essere accettabile.

Gli attori del trattamento

Nel momento in cui si avvia un trattamento di dati personali è necessario identificare il cosiddetto "interessato".

Il decreto definisce come interessato "la persona fisica, la persona giuridica, l'ente o l'associazione cui si riferiscono i dati personali".

È importante sottolineare che il trattamento dei dati personali da parte di privati o di enti pubblici economici è ammesso soltanto con il consenso dell'interessato, espresso liberamente (art. 23 comma 1). Tale consenso può essere anche in forma orale se si sta trattando di dati personali comuni mentre nel caso dei dati sensibili deve avvenire per iscritto (articolo 23 comma 4, con la suddetta eccezione dell'autorizzazione n.4/2008).

Il trattamento dati avviene secondo le direttive impartite dal cosiddetto "Titolare del trattamento" che, secondo la definizione del decreto, è "la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalita', alle modalita' del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza".

Oltre al titolare del trattamento dati è di importanza un'altra figura nota come "Responsabile del trattamento" che è "la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposto dal titolare al trattamento dei dati personali".

Ove sia ritenuto indispensabile, per necessità organizzative, è possibile designare come Responsabili del trattamento più soggetti, anche ripartendo tra di loro i vari compiti da svolgere.

Mentre il Titolare del trattamento dati definisce le modalità del trattamento e risponde, quindi, della loro correttezza, il Responsabile del trattamento dati garantisce che tali modalità vengano attuate e riporta al titolare tutte le anomalie e le osservazioni opportune affinché le modalità del trattamento rimangano a norma di legge. I Responsabili possono essere sia interni che esterni all'azienda. La nomina di un Responsabile esterno garantisce il Titolare in quanto questo può attestare la conformità delle attività di trattamento dati rispetto al disciplinare tecnico presentato nell'allegato B del decreto.

Ultimo anello della catena del trattamento è colui che fisicamente lo esegue. Questa persona, denominata" Incaricato del trattamento", è necessariamente una persona fisica e deve essere autorizzata dal Titolare del trattamento o dal Responsabile. In particolare, in tema di Incaricati, il decreto riporta la seguente norme (art. 30):

• Le operazioni di trattamento possono essere effettuate solo da incaricati che operano sotto la diretta autorita' del titolare o del responsabile, attenendosi alle istruzioni impartite.
• La designazione e' effettuata per iscritto e individua puntualmente l'ambito del trattamento consentito. Si considera tale anche la documentata preposizione della persona fisica ad una unita' per la quale e' individuato, per iscritto, l'a'mbito del trattamento consentito agli addetti all'unita' medesima.

È quindi evidente che gli unici autorizzati al trattamento dati sono gli Incaricati e che possono eseguire tali trattamenti solo in base alle istruzioni impartite dal Titolare o dal Responsabile. Gli Incaricati devono essere designati per iscritto con specifica descrizione dei trattamenti a cui sono autorizzati.

In particolare è opportuno evidenziare che nessuna persona fisica può trattare dati personali se non ha ricevuto in precedenza un'apposita lettera d'incarico nominativa in cui vengono definite le modalità specifiche di comportamento nel trattamento dei dati e, in particolare, il vincolo di assoluta riservatezza su tutti dati con cui essa viene a contatto. Tale lettera d'incarico deve essere consegnata con attestazione di ricevimento a ciascun incaricato e dovrà essere mantenuta sia una copia dell'incarico stesso che un elenco di nominativi (con data di consegna della lettera d'incarico).

L'autorità che la legge pone alla tutela della riservatezza dei dati personali è il cosiddetto "Garante" (art. 153), un organo collegiale costituito da quattro componenti: di cui due eletti dalla Camera dei Deputati e due dal Senato della Repubblica.

I principali (ma non tutti) compiti del Garante possono essere sintetizzati nei punti seguenti (art. 154):

• controllo della legittimità dei trattamenti effettuati
• gestione dei reclami, dei ricorsi e delle segnalazioni ricevute dagli interessati
• diffusione tra i cittadini della conoscenza della disciplina sul trattamento dei dati personali
• irrogazione delle sanzioni amministrative pecuniarie previste in caso di violazione della legge
• notifica all'autorità giudiziaria tutti i fatti di cui venga conoscenza configurabili come reati perseguibili d'ufficio

Il garante mantiene, inoltre, aggiornato un registro dei trattamenti dei dati (art. 37) che contiene l'elenco delle notifiche ricevute dai Titolari, notifiche obbligatorie a fronte di determinate tipologie di trattamento dati tra le quali, principalmente:

• dati genetici, biometrici o dati che indicano la posizione geografica di persone od oggetti mediante una rete di comunicazione elettronica;
• dati idonei a rivelare lo stato di salute e la vita sessuale, trattati a fini di procreazione assistita, prestazione di servizi sanitari per via telematica relativi a banche di dati o alla fornitura di beni, indagini epidemiologiche, rilevazione di malattie mentali, infettive e diffusive, sieropositivita', trapianto di organi e tessuti e monitoraggio della spesa sanitaria;
• dati idonei a rivelare la vita sessuale o la sfera psichica trattati da associazioni, enti od organismi senza scopo di lucro, anche non riconosciuti, a carattere politico, filosofico, religioso o sindacale;
• dati trattati con l'ausilio di strumenti elettronici volti a definire il profilo o la personalita' dell'interessato, o ad analizzare abitudini o scelte di consumo, ovvero a monitorare l'utilizzo di servizi di comunicazione elettronica con esclusione dei trattamenti tecnicamente indispensabili per fornire i servizi medesimi agli utenti;
• dati sensibili registrati in banche di dati a fini di selezione del personale per conto terzi, nonche' dati sensibili utilizzati per sondaggi di opinione, ricerche di mercato e altre ricerche campionarie;
• dati registrati in apposite banche di dati gestite con strumenti elettronici e relative al rischio sulla solvibilita' economica, alla situazione patrimoniale, al corretto adempimento di obbligazioni, a comportamenti illeciti o fraudolenti.

I diritti dell’interessato

L'articolo 7 e l’articolo 13 del decreto stabiliscono i diritti dell'interessato. Tali diritti possono essere riassunti nei seguenti punti:

• conoscere i trattamenti che lo riguardano (anche mediante l'accesso al registro dei trattamenti conservato presso il Garante)
• essere adeguatamente informato dal titolare circa le finalità del trattamento dei dati personali
• ottenere dal titolare la conferma, l'aggiornamento, la cancellazione, la rettifica dei dati trattati o la loro trasformazione in forma anonima
• potersi opporre, del tutto o in parte, per ragioni legittime, ai trattamenti di dati che lo riguardino
• richiedere il blocco dei dati trattati in violazione alla legge.

Le misure di sicurezza da adottare durante il trattamento

Sebbene questo argomento sarà discusso dettagliatamente in articoli successivi, si è ritenuto opportuno affrontarlo in questa sede per dare un'idea di massima degli aspetti obbligatori.

Nel caso in cui il trattamento avvenga con strumenti elettronici, deve esistere un sistema di autenticazione e un meccanismo basato sulle credenziali per l'autenticazione. Tali meccanismi possono andare dalla semplice coppia nome utente-password ai più complessi sistemi basati su smart card o biometrici.

La normativa prevede, sempre nel caso di trattamento con strumenti elettronici, che vi sia una revisione almeno annuale sia dei profili degli incaricati (che devono aver comunque ricevuto un incarico scritto) sia dei profili di autorizzazione. Inoltre dovrà essere presente e mantenuto aggiornato ed efficiente un sistema in grado di contrastare codice maligno, consistente in genere in un normale software antivirus, a tutela dei dati personali trattati e con aggiornamento almeno semestrale. Aggiornamento con patch dei software utilizzati almeno annuale (semestrale si è in presenza di dati sensibili o giuridici). Infine richiesto l'obbligo di effettuare dei backup settimanali dei dati.

Nel caso in cui vengano trattati dati sensibili o giudiziari è necessario che il titolare del trattamento dati rediga un Documento Programmatico della Sicurezza (DPS). Nel caso di trattamento di dati personali non sensibili è necessaria un'autocertificazione del Titolare.

Il DPS dovrà essere aggiornato con periodicità annuale entro il 31 marzo e dovrà contenere un'analisi dei rischi e delle misure di sicurezza in modo da mitigarli adeguatamente. Il documento dovrà contenere tutte le informazioni necessarie per garantire la corretta formazione per gli incaricati del trattamento dati. Dovrà prevedere delle procedure di backup e ripristino.

Nel DPS dovrà essere affrontato e risolto il problema di separare, fisicamente o logicamente, i dati sullo stato di salute e sulla vita sessuale rispetto agli altri, ad esempio archiviandoli in sistemi distinti oppure criptandoli opportunamente.

Particolare attenzione andrà posta, nella stesura del DPS, alle modalità di gestione dei dispositivi mobili e alla loro dismissione per proteggere i dati personali archiviati al loro interno tenendo conto della maggiore rischiosità di un dispositivo portatile e della probabilità che dopo una sua eliminazione qualcuno vi possa accedere in maniera incontrollata.

Altro aspetto molto importante è la predisposizione di un meccanismo di disaster recovery che consenta il ripristino dei dati in tempi brevi.

Conclusioni

Concludiamo questa prima parte sperando che l’articolo abbia chiarito gli aspetti fondamentali della normativa. In articoli successivi saranno trattati sia l’aspetto dell’autorizzazione n. 4/2008 che esonera i liberi professionisti iscritti ad un albo dal dover richiedere il consenso per il trattamento dei dati sensibili, sia le modalità (generali) per l’utilizzo del disciplinare tecnico e per la redazione del DPS, sia le misure semplificate per alcuni casi.

Logica dei Sistemi dell’ing. Luca Lezzerini rimane a disposizione di chiunque avesse necessità di nominare un responsabile esterno per il trattamento dati o di una consulenza per mettersi a norma di legge si sensi del D.Lgs. 196/03.