La sicurezza dei dati “sensibili” è un argomento fondamentale della disciplina della privacy, ad essa è dedicato l’intero Titolo V del decreto legislativo 196/2003, dall’articolo 31 al 41 più l’allegato B che disciplina in modo pratico l’applicazione della normativa.
Gli adempimenti a carico del titolare del trattamento possono essere divisi in linea generale in due gruppi principali:
- Gli obblighi di sicurezza, ossia linsieme delle misure idonee, in base alle conoscenze tecniche, a ridurre al minimo i rischi di distruzione, perdita dei dati, utilizzo improprio o da parte di persone non autorizzate,utilizzo scorretto o per finalità diverse da quelle autorizzate (ad esempio salvare i file contenenti i dati in più hard disk) (articoli 31, 32)
- Misure minime di sicurezza, ovvero gli accorgimenti tecnici da effettuare obbligatoriamente nei casi stabiliti dal Codice (articoli 33, 34, 35) nel caso di trattamento di dati personali (per dato personale si intende qualunque informazione relativa alla persona fisica o giuridica, ente o associazione identificata o identificabile), queste vengono regolate dalla normativa negli articoli dal 33 al 36 e da un punto di vista pratico dall’allegato B.
Le misure minime di sicurezza variano a seconda che il trattamento avvenga o no con l’ausilio di strumenti elettronici. Nel caso di trattamento senza strumenti elettronici (articolo 35 e nella parte finale dell’allegato B) le misure sono finalizzate al controllo e alla custodia dei dati, per tutto il ciclo necessario allo svolgimento delle operazioni per le quali sono stati raccolti.
L’individuazione dell’ambito di trattamento dei dati, i singoli incaricati e il trattamento loro consentito deve essere aggiornato con cadenza almeno annuale; è necessario prevedere una procedura di conservazione degli atti e dei documenti contenenti dati personali, nonché la creazione di archivi ad accesso selezionato. Le persone ammesse ai suddetti archivi devono essere autorizzate, identificate e registrate.
Le misure minime necessarie nel caso di trattamento di dati con strumenti elettronici sono elencate nell’articolo 34.
Il trattamento di dati personali attraverso elaboratori elettronici è consentito solo ai soggetti che risultano in possesso di apposite credenziali di autenticazione. Queste possono consistere in un codice identificativo, esempio una parola chiave login e password in possesso del solo incaricato, una caratteristica biometrica dello stesso, una tessera magnetica o un codice di sblocco del sistema di accesso in possesso del solo incaricato.
La parola chiave, come specificato nell’allegato B, deve essere composta da almeno 8 caratteri (nel caso in cui il sistema preveda un numero di caratteri inferiore, con il massimo consentito), non deve contenere alcun riferimento che riconduca con facilità all’addetto e deve essere modificata ogni 6 mesi (3 mesi se si tratta dati sensibili o giudiziari).
Le credenziali di autenticazione devono essere assegnate singolarmente ad ogni incaricato e devono essere disattivate se non utilizzate per 6 mesi o nel caso venga meno l’incaricato identificato con la credenziale. In altre parole: nel caso in cui l’incaricato venga cambiato di ruolo, la sua credenziale non può essere trasferita al nuovo addetto, ma deve essere disattivata e creata una nuova per il sostituto.
L’incaricato del trattamento deve essere informato dal titolare del trattamento circa l’importanza della segretezza e della conservazione delle credenziali, inoltre il titolare deve individuare per iscritto i soggetti che devono conservare e custodire le credenziali di autenticazione, che sono tenuti ad informarlo circa l’eventuale diffusione delle stesse dovuta a situazioni di emergenza.
Facciamo un esempio per chiarire i vari passaggi.
Il sig. Tizio, è incaricato di tenere l’elenco clienti e per accedere al suo PC ha una password (pianoforte, 10 caratteri) e una login (stella). Queste sono le sue credenziali di autenticazione. Le credenziali del sig. Tizio devono essere scritte e consegnate in busta chiusa a Caio, individuato per iscritto dal titolare del trattamento, responsabile della custodia e conservazione delle credenziali di autenticazione.
Nel caso in cui Tizio si assenti per un lungo periodo dall’azienda e ci sia la necessità di accedere al suo PC per verificare l’elenco clienti, Caio, dopo avere comunicato l’urgenza al titolare del trattamento, fornisce le credenziali di Tizio.
Al suo ritorno al lavoro Tizio dovrà iniziare nuovamente la procedura scegliendo delle nuove credenziali e riconsegnandole in busta chiusa a Caio, che dovrà conservarle fino a nuovo bisogno.
Le credenziali di autenticazione devono essere gestite tramite apposite procedure che rendano possibile effettuare tutti i passaggi specificati nell’esempio.
Altro requisito fondamentale è il possesso di un sistema che contenga un firewall anti intrusione e un antivirus, che abbia la possibilità di generare, modificare e cancellare le login e le password, e che permetta di controllare la durata massima della parola chiave impostata dall’incaricato.
L’articolo 34 del decreto legislativo 196/2003 richiede fra le misure minime, oltre all’accesso limitato ai possessori di credenziali di sicurezza e ad un sistema di gestione delle credenziali stesse, un sistema di autorizzazione che permetta di gestire l’accesso ai dati personali su diversi livelli, da parte dei diversi incaricati.
Il sistema di autorizzazione solitamente viene realizzato attraverso un software che permette l’accesso ai dati in maniera differenziata, dando modo ai diversi incaricati di accedere solo ai dati necessari per svolgere le proprie mansioni, ed escludendoli dal resto dei dati in possesso del titolare del trattamento.
Tra le misure minime, come anticipato, è prevista l’adozione di programmi antivirus e antintrusione che proteggono il computer e ne correggono eventuali difetti. L’aggiornamento di questi programmi deve essere annuale, salvo il termine più breve di 6 mesi se si trattano dati sensibili o giudiziari.
Devono essere sempre effettuate copie di sicurezza dei dati trattati, che permettano il ripristino della disponibilità degli stessi e dei sistemi di gestione. Il salvataggio dei dati deve avvenire almeno settimanalmente, devono essere impartite istruzioni tecniche e organizzative per la custodia e l’utilizzo dei supporti nei quali sono memorizzati i dati e per evitare l’accesso a persone non abilitate.
Tutte le procedure adottate devono essere riportate sul DPS (Documento Programmatico della Sicurezza), che descrive i trattamenti dei dati effettuati, i rischi a cui sono sottoposti e le misure adottate per evitarli, in poche parole la situazione aziendale in riferimento alla privacy.
Nel caso in cui vengono trattati dati sensibili o giudiziari devono essere adottate oltre alle misure minime sopra descritte ulteriori misure di cifratura dei dati e codici identificativi, che permettano l’accesso a questi dati in maniera disgiunta rispetto agli altri.