Auditing interno sulla privacy: siamo in regola?
di Edo Berti (Studio Impresa srl)
Gennaio 2007
Dall'intervento all'incontro di studio "Il Codice della Privacy: prevenzione, novità, sanzioni e
procedure di accertamento" tenuto all'Hotel Boscolo Tower di Bologna il giorno 1 dicembre 2006.
* * *
1. Introduzione
La seguente trattazione non vuole essere esaustiva sul contenuto del codice, il principale intento
è quello di dare un ausilio per rispondere alla domanda posta nel titolo: «siamo in regola?».
Diamo per scontato una sufficiente conoscenza del Codice in materia di protezione dei dati
personali (D.lg. 30/06/2003 n. 196); siamo stati invasi nei mesi passati da proposte di corsi,
seminari sull'argomento, richiami ai vari articoli, commi ecc; focalizzeremo invece la nostra
attenzione unicamente alla parte pratica. Andiamo quindi subito al centro del problema e cerchiamo
di indicare un percorso da seguire per raggiungere l'obiettivo che ci siamo posti.
Come sempre il problema è organizzativo, è necessario iniziare ad affrontarlo dalla "testa": come e
a chi dare la responsabilità del progetto?
Occorre definire "l'organigramma privacy", che deve indicare:
• Responsabile/i.
• Incaricati interni.
• Incaricati esterni.
• Incaricati con particolari compiti (amministratore di sistema).
• Terze parti (autonomi titolari, responsabili esterni, ecc.).
Titolare del trattamento è per definizione la ditta stessa: persona fisica, giuridica, la pubblica
amm.ne e qualsiasi, altro ente, associazione od organismo cui competono le decisioni in ordine alle
finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, compreso il
profilo della sicurezza.
2. Il responsabile del trattamento
La nomina del responsabile (o dei responsabili) del trattamento non è un adempimento obbligatorio;
l'importanza della nomina è direttamente proporzionale alla complessità dell'organizzazione
aziendale: tanto più l'azienda è articolata per Divisioni, Aree, Funzioni, tanto più diventa
necessario distribuire le competenze tipiche del responsabile del trattamento su più persone.
Il responsabile, se designato, deve essere individuato tra soggetti che per esperienza, capacità
affidabilità ed autorevolezza forniscono idonea garanzia del pieno rispetto delle vigenti
disposizioni in materia di trattamento, ivi compreso il profilo della sicurezza. Può essere un
soggetto (persona fisica o giuridica) anche esterno all'azienda.
La nomina di uno o più responsabili non vuole rappresentare un esonero di responsabilità del
titolare, soprattutto in campo penale, ma certamente può essere considerata un'attenuazione della
stessa, quando e se il titolare dimostra di avere dato al responsabile una chiara identificazione
dei compiti attribuiti, dell'ambito di responsabilità, e messo in atto tutte le azioni per renderlo
adeguatamente operativo. Rimane al titolare l'onere di porre in essere una periodica attività di
controllo.
3. Gli incaricati del trattamento
Le operazioni di trattamento possono essere effettuate solo da incaricati che operano sotto la
diretta autorità del titolare o del responsabile del trattamento, attenendosi alle istruzioni
impartite. Devono essere identificati i criteri da seguire per l'individuazione degli incaricati
in modo tale da procedere alla nomina delle sole persone preposte ad attività che comportano un
rilevante e non occasionale o marginale trattamento di dati personali. Possono essere individuati
incaricati interni o esterni.
Possono inoltre essere nominati incaricati "speciali" (la nomina non è obbligatoria), quali ad
esempio l'amministratore di sistema (nel caso sia presente in ditta una persona con adeguate
conoscenze informatiche), l'incaricato dei salvataggi, il custode delle password, ecc.
4. Esempio di organigramma
Un esempio di organigramma può essere il seguente:
5. L'informativa e la gestione del consenso
Tra gli obblighi più pesanti e spesso considerati "eccessivi" spicca l'informativa. L'Interessato, o
la persona presso la quale sono raccolti i dati personali, devono essere previamente informati,
oralmente o per iscritto, circa:
• le finalità e le modalità del trattamento cui sono destinati i dati;
• la natura obbligatoria o facoltativa del conferimento dei dati;
• le conseguenze di un eventuale rifiuto di rispondere;
• i soggetti, o le categorie di soggetti, ai quali i dati possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati e l'ambito di diffusione dei dati medesimi;
• i suoi diritti di cui all'art. 7;
• gli estremi identificativi del titolare;
• gli estremi identificativi del responsabile (qualora designato) e, se più di uno,
le modalità attraverso le quali è conoscibile in modo agevole l'elenco aggiornato dei responsabili
stessi.
E' sufficiente che manchi uno solo di questi punti perchè l'informativa sia considerata inadeguata
e/o incompleta, quindi nulla! Naturalmente, le informazioni devono essere ponderate quindi corrette;
è vivamente sconsigliato prendere una delle informative pervenute e cambiare intestazione.
Il consenso è manifestato in forma scritta quando il trattamento riguarda dati sensibili. Non è
necessario quando, ad esempio, il trattamento:
• è necessario per adempiere ad un obbligo di legge;
• è necessario per eseguire gli obblighi derivanti da un contratto del quale è parte l'interessato
o per adempiere a specifiche richieste dello stesso;
• riguarda dati provenienti da pubblici registri, elenchi, atti o documenti conoscibili da
chiunque;
• riguarda dati relativi allo svolgimento di attività economiche trattati nel rispetto della vigente
normativa in materia di segreto aziendale e industriale.
6. Il trattamento dei dati sensibili
I dati sensibili possono essere oggetto di trattamento anche senza consenso, previa autorizzazione
del Garante, quando il trattamento ad esempio:
• è effettuato da associazioni, enti od organismi senza scopo di lucro a carattere
politico, filosofico, religioso o sindacale per il conseguimento di scopi determinati e legittimi
individuati dall'atto costitutivo, statuto, contratto collettivo, relativamente ai dati personali
degli aderenti;
• è necessario per la salvaguardia della vita o incolumità fisica di un terzo;
• è necessario ai fini dello svolgimento delle investigazioni difensive di cui alla
Legge 7 dicembre 2000, n. 397;
• è necessario per adempiere a specifici obblighi o compiti previsti dalla leggi,
regolamenti o normativa comunitaria per la gestione del rapporto di lavoro.
Il garante ha inoltre previsto una serie di disposizioni che prevedono autorizzazioni "generali"
(sette in tutto) rilasciate a determinate categorie di titolari o di trattamenti; di particolare
interesse ad esempio l'autorizzazione n. 1 relativamente al trattamento dei dati sensibili nel
rapporto di lavoro e la n. 5 sul trattamento dei dati sensibili da parte di liberi professionisti.
Negli altri casi i dati sensibili possono essere oggetto di trattamento solo con il consenso
scritto dell'interessato e previa autorizzazione del Garante; il Garante comunica la decisione
adottata sulla richiesta di autorizzazione entro 45 giorni, decorsi i quali la mancata pronuncia
equivale a rigetto.
Per quanto riguarda il consenso nel trattamento a fini commerciali, si sottolinea come l'art. 130
(Comunicazioni indesiderate) prevede che l'uso di sistemi automatizzati di chiamata senza
l'intervento di un operatore (come ad esempio telefax, posta elettronica, SMS, MMS) per l'invio di
materiale pubblicitario, o di vendita diretta, o per effettuare ricerche di mercato, o
comunicazione commerciale è consentito con il consenso dell'interessato. Di conseguenza, non è
consentita (nei casi di cui all'art. 130) la comunicazione commerciale senza l'espresso consenso
preventivo dell'interessato.
7. Le misure di sicurezza
Nel Codice è presente la distinzione tra:
• misure idonee di sicurezza;
• misure minime di sicurezza.
In relazione alle misure idonee, l'art. 31 prevede che "I dati personali oggetto di trattamento
sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso
tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre
al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione
o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non
consentito o non conforme alle finalità della raccolta".
Le disposizioni contenute nel disciplinare tecnico hanno la funzione di individuare il livello di
protezione considerato dal Legislatore come minimale (vedi anche sanzioni penali); il Garante
spinge per l'adozione di regole più rigorose (idonee), pertanto occorre fare ricorso ad una
casistica più ampia di elementi, sempre e comunque individuati secondo una specifica valutazione
del rischio e delle caratteristiche di ciascuna tipologia di trattamento.
Comunque deve essere chiaro che l'adozione delle misure minime di sicurezza è obbligatoria per
tutti coloro che effettuano trattamenti di dati personali.
Il Codice individua le misure minime di sicurezza e la loro adozione nei modi previsti dal
disciplinare tecnico contenuto nell'allegato "B".
E' importante sottolineare che "Il disciplinare tecnico relativo alle misure minime di sicurezza,
è aggiornato periodicamente con decreto del Ministro della Giustizia in concerto con il Ministro
per le innovazioni e tecnologie, in relazione all'evoluzione tecnica e all'esperienza maturata nel
settore". Nella pratica, questo significa che il sistema deve essere monitorato in modo regolare e
continuativo!
Le misure minime di sicurezza sono distinte a seconda che i trattamenti siano effettuati con:
• strumenti elettronici;
• strumenti non elettronici.
8. Le misure di sicurezza nei trattamenti effettuati con l'ausilio di strumenti elettronici
Il trattamento dei dati è consentito agli incaricati dotati di "credenziali di autenticazione" che
consentano il superamento di una procedura di autenticazione relativa a uno specifico trattamento o
ad un insieme di trattamenti.
E' necessario effettuare una verifica di identità di un incaricato se si vuole tenere sotto
controllo l'accesso ai dati e alle risorse presenti nel sistema informatico. E' evidente che gli
incaricati non possono essere ritenuti responsabili delle proprie azioni, a meno che essi non siano
stati identificati con certezza; pertanto, ogni incaricato deve essere identificato in modo univoco
onde renderlo responsabile di tutte le attività che svolge nell'ambito dei privilegi di accesso al
medesimo concessi.
Relativamente alle passwords, devono essere definiti alcuni elementi, quali:
• caratteristiche: le password devono essere costituite da almeno 8 caratteri o da un
numero di caratteri pari al massimo consentito dal sistema, e senza riferimenti agevolmente
riconducibili all'incaricato;
• modalità di gestione: modifica al primo utilizzo e successivamente almeno ogni
6 mesi (3 mesi in presenza di trattamento di dati sensibili o giudiziari);
• validità temporale: disattivazione per mancato utilizzo - 6 mesi - o per perdita della
qualità che consente all'incaricato l'accesso ai dati personali;
• criteri di custodia.
Il titolare (o il responsabile) dovrà fornire agli incaricati precise istruzioni in merito alla:
a) gestione e conservazione delle credenziali di autenticazione;
b) gestione e custodia dello strumento elettronico durante le sessioni di trattamento (ad esempio,
screen saver con password);
c) individuazione delle modalità di accesso ai dati, in caso di assenza prolungata o impedimento
dell'incaricato, per esigenze di operatività e di sicurezza del sistema (assicurazione della
continuità del lavoro).
In pratica, si evidenziato come la tecnologia debba essere accompagnata da adeguate procedure
organizzative che vietino la divulgazione e/o lo scambio delle credenziali con altri colleghi,
anche se per mere esigenze operative. Le statistiche affermano che, con la sempre più generale
diffusione di sofisticati dispositivi elettronici e relativi software, il punto più debole della
catena è l'incauta gestione delle credenziali e come sempre il fattore umano gioca un ruolo
fondamentale nella efficacia dei sistemi di sicurezza.
Occorre una adeguata politica di gestione delle informazioni; ne consegue la fondamentale
importanza delle istruzioni impartite agli incaricati, istruzioni che devono essere in forma
scritta e provenire direttamente dal titolare o dal responsabile del trattamento (se designato).
Per quanto concerne il "sistema di autorizzazione", è molto importante porre l'attenzione su:
• profilo di autorizzazione, inteso come l'insieme delle informazioni, univocamente
associate ad una persona, che consente di individuare a quali dati essa può accedere, nonché i
trattamenti ad essa consentiti;
• sistema di autorizzazione, inteso come l'insieme degli strumenti e delle procedure
che abilitano l'accesso ai dati ed alle modalità di trattamento degli stessi, in funzione del
profilo di autorizzazione del richiedente.
Il "sistema di autorizzazione", dipendentemente naturalmente dalla complessità della struttura
dell'azienda, è una necessità organizzativa, in quanto regola l'accesso alle informazioni in base
ad un corretto criterio di necessità delle stesse per svolgere le diverse attività lavorative;
riguarda, ad esempio:
• accesso alle informazioni mediante applicazioni, definendone le modalità (lettura o
scrittura);
• accesso diretto alle informazioni (database);
• accesso agli archivi (documenti, posta elettronica, ecc.).
E' indispensabile definire il livello di dettaglio dei profili, dato che un dettaglio insufficiente
non consente selettività nell'accesso ai dati, mentre un dettaglio eccessivo genera un sistema
complesso e difficilmente gestibile.
Le credenziali di autenticazione non utilizzate da almeno sei mesi sono disattivate, salvo quelle
preventivamente autorizzate per soli scopi di gestione tecnica. E' considerato un rischio lasciare
disponibili su un sistema delle utenze attive non utilizzate, che potrebbero generare problemi, ad
esempio nel caso cessazione del rapporto, cambio attività, utenze di "prova" con utilizzi
dichiaratamente provvisori. Di conseguenza, è necessario controllare periodicamente la validità dei
profili. Le credenziali devono essere disattivate anche in caso di perdita della qualità che
consente all'incaricato l'accesso ai dati personali. La norma non precisa la tempistica, ma
interpretando i principi generali evidenziate dal Legislatore si evince come l'obbligo debba
ritenersi immediato, senza attendere quindi i 6 mesi.
Al fine di assicurare la continuità del lavoro, devono essere impartite idonee e preventive
disposizioni scritte volte a individuare chiaramente le modalità con le quali il titolare può
assicurare la disponibilità di dati o strumenti elettronici in caso di prolungata assenza o
impedimento dell'incaricato che, per esclusive necessità di operatività e di sicurezza del sistema,
renda indispensabile e indifferibile intervenire.
Come indicato, le modalità operative di applicazione della norma devono essere scritte, così come
l'individuazione degli incaricati alla custodia delle credenziali; dal punto di vista della
segretezza e quindi della sicurezza, custodire dei documenti scritti riportanti copie delle
credenziali, pur se sigillati e ben custoditi, aumenta le possibilità che terzi ne entrino in
possesso.
I presupposti all'accesso forzato sono specificati dal Legislatore e vincolanti:
• prolungata assenza, o impedimento;
• esclusiva necessità;
• tempestiva informativa.
Quanto alle altre misure di sicurezza, indichiamo:
• aggiornamento periodico, con cadenza almeno annuale, dell'individuazione dell'ambito di
trattamento consentito agli incaricati e addetti alla gestione o manutenzione degli strumenti
elettronici e redazione della lista degli incaricati (anche per classi omogenee) e dei relativi
profili;
• installazione e aggiornamento antivirus (l'aggiornamento deve avere cadenza almeno
semestrale, ma è necessario che sia quotidiano o al massimo settimanale; inoltre, la protezione
deve essere attiva anche per i sistemi non connessi in rete o che non accedono a Internet);
• aggiornamento periodico (almeno annuale, semestrale in presenza di dati sensibili) del
software volto a prevenire la vulnerabilità degli strumenti elettronici ed a correggerne i difetti;
si fa riferimento non solo alle minacce esterne, ma anche alle applicazioni che vengono normalmente
utilizzate internamente (software del sistema operativo e applicativi).
Periodicamente, e comunque almeno annualmente, deve essere verificata la sussistenza delle
condizioni per la conservazione dei profili di autorizzazione, che devono essere controllati onde
verificare la correttezza dell'abbinamento con gli incaricati. Si tratta di una delle operazioni
comprese nelle misure minime da svolgere con una periodicità ben definita e che fa del
"sistema privacy" un'entità dinamica.
Le vulnerabilità devono essere controllate in forma dinamica e le informazioni su nuove minacce e
nuove difese devono essere costantemente aggiornate. Anche se le risorse e le strategie di una
azienda sono statiche, i rischi, per la loro stessa natura, sono continuamente mutevoli.
E' importante che le istruzioni (scritte) organizzative e tecniche per il back-up dei dati
identifichino:
• le banche dati;
• i dispositivi (nastri, floppy, cd, ecc.);
• la frequenza (almeno settimanale);
• le modalità (back-up completo, incrementale, differenziale);
• i criteri di rotazione dei dispositivi;
• le modalità di archiviazione dei dispositivi;
• le procedure di controllo dei back-up.
9. Il trattamento effettuato con strumenti elettronici: il Documento programmatico sulla
sicurezza
Il disciplinare tecnico prevede, oltre alla redazione del Documento programmatico sulla sicurezza
(DPS), obbligatoria per i titolari che trattano dati sensibili o giudiziari con strumenti
elettronici, anche il riferimento relativamente alla sua avvenuta redazione o aggiornamento, da
fornire entro il 31 marzo di ogni anno nella relazione accompagnatoria al bilancio d'esercizio.
La redazione del DPS è comunque assolutamente consigliata, a prescindere dalla presenza di dati
sensibili o giudiziari.
Il DPS non deve essere inviato al Garante, ma trattenuto presso il titolare del trattamento e deve
contenere informazioni riguardanti:
a) l'elenco dei trattamenti dei dati personali (19.1)
- database;
- modalità di trattamento (applicazioni, archivi);
- finalità di trattamento;
- ambiti di comunicazione;
- profili di autorizzazione degli incaricati;
b) la distribuzione dei compiti e delle responsabilità (19.2)
- organigramma (nomine responsabile/incaricati);
- gestione misure minime di sicurezza;
- aggiornamento del Documento programmatico sulla sicurezza;
- possibili allegati (istruzioni agli incaricati, nomine di responsabili, incaricati e relativi profili; modalità di accesso ai sistemi in assenza dell'incaricato, ecc.);
c) l'analisi dei rischi che incombono sui dati (19.3)
- elenco dei rischi individuati e delle possibili conseguenze in termini di distruzione o perdita
dei dati, accesso non autorizzato alle informazioni o esecuzione di trattamenti non autorizzati,
indisponibilità dei sistemi, presenza di informazioni errate, ecc.;
- elenco delle contromisure che, per ogni rischio individuato sono poste in essere come misura di protezione (programma di miglioramento e date di prevista attuazione);
d) le misure da adottare per garantire l'integrità e la disponibilità dei dati, nonché la
protezione delle aree e dei locali, rilevanti ai fini della loro custodia ed accessibilità (19.4)
- sistemi di autenticazione ed autorizzazione;
- sistema antivirus;
- sistemi anti - intrusione;
- procedure di sviluppo e avviamento di nuove applicazioni;
- gestione degli aggiornamenti dei programmi;
- organizzazione degli archivi utenti;
- protezione delle aree e dei locali rilevanti ai fini della custodia e accessibilità dei dati
(vigilanza e controllo accessi, sistemi anti-incendio, sistema di allarme, ecc.);
e) la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in
seguito a distruzione o danneggiamento (19.5)
- sistema di salvataggio dati (back-up), con documentazione scritta relativa a lista archivi da
salvare, modalità di esecuzione, frequenza, criteri di rotazione e custodia dei supporti, modalità
di verifica, modalità di ripristino, ecc.;
- sistemi ridondanti o ad alta affidabilità (RAID, mirroring, ecc.);
- disaster recovery;
f) la previsione degli interventi formativi agli incaricati del trattamento per renderli edotti
dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, ecc. (19.6);
è opportuno che siano documentati e riguardano:
- conoscenza dei rischi;
- conoscenza delle misure di sicurezza e dei comportamenti da adottare;
- modalità di aggiornamento;
- responsabilità;
devono essere programmati:
- al momento dell'ingresso in servizio;
- in occasione di cambio di mansioni;
- in occasione dell'introduzione di nuovi significativi strumenti;
g) la descrizione dei criteri da adottare per garantire l'adozione delle misure minime di sicurezza
dei dati affidati all'esterno della struttura del titolare (19.7)
- documento con specifiche di finalità, modalità, ed ambiti di comunicazione autorizzati per il
trattamento;
- dichiarazione dell'ente esterno sulla sicurezza, meglio se corredata di copia del DPS, se
disponibile, in assenza piani di controllo (caso di outsourcing tipo modalità "ASP");
h) i criteri di cifratura o separazione dei dati sensibili o giudiziari (19.8) in particolare
relativi a dati personali idonei a rivelare lo stato di salute e la vita sessuale di cui p. 24
allegato "B";
- cifratura (i dati sono archiviati utilizzando criteri di criptazione che ne rendono impossibile
la lettura ai soggetti non autorizzati); tecnicamente complesso e normalmente non necessario);
- separazione (i dati sensibili o giudiziari sono memorizzati unicamente in archivi a cui,
utilizzando i profili di autorizzazione, possono avere accesso solo i soggetti abilitati);
- applicazioni dotate di parola chiave e archivi ad accesso limitato.
Ulteriori misure in caso di trattamento di dati sensibili o giudiziari:
i) protezione anti-intrusione: i sistemi di elaborazione devono essere protetti contro il rischio
di intrusione mediante l'utilizzo di idonei strumenti elettronici (firewall ad esempio);
ii) istruzioni organizzative e tecniche per la custodia e l'uso dei supporti rimovibili al fine di
evitare accessi non autorizzati o trattamenti non consentiti;
iii) istruzioni relative alle modalità di distruzione controllata dei supporti o cancellazione
delle informazioni in essi contenute al fine di renderle non intelligibili e tecnicamente non
ricostruibili;
iv) sistema di "disaster recovery" al fine di garantire l'accesso ai dati in caso di incidente
(danneggiamento dei dati o degli strumenti) in tempi certi e comunque non superiori a sette giorni.
Ulteriori misure riguardanti organismi sanitari:
- gli organismi sanitari e gli esercenti le professioni sanitarie devono effettuare il
trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale contenuti in elenchi,
registri o banche di dati con le modalità di cui art. 22, anche al fine di consentire il
trattamento disgiunto dagli altri dati personali che permettono l'identificazione diretta degli
interessati;
- i dati genetici devono essere trattati esclusivamente all'interno di locali protetti
ed accessibili ai soli incaricati dei trattamenti ed a soggetti specificatamente autorizzati; il
trasporto dei dati all'esterno dei locali preposti deve avvenire in contenitori muniti di serratura
o dispositivi ugualmente sicuri; in caso di trasferimento dei suddetti dati in formato elettronico
è richiesta la cifratura degli stessi.
Misure di tutela e garanzia: il titolare che adotta le misure minime di sicurezza avvalendosi di
soggetti esterni alla propria struttura deve ricevere dall'installatore una descrizione scritta
dell'intervento che ne attesta la conformità alle disposizioni del disciplinare tecnico. Da notare
che il Legislatore usa la definizione "installatore" che appare riduttiva: si sarebbe forse potuto
usare l'espressione più generica di "fornitori di beni e servizi", o più semplicemente "soggetti
esterni". Tale dichiarazione di conformità riguarda, ad esempio:
- installazione rete;
- installazione sistema antivirus;
- installazione firewall;
- installazione di software applicativo per il trattamento di dati sensibili o giudiziari.
10. Le misure di sicurezza nei trattamenti effettuati senza l'ausilio di strumenti elettronici
Il trattamento dei dati personali è consentito solo se sono adottate, con le modalità previste dal
disciplinare tecnico (allegato "B"), le seguenti misure minime di sicurezza:
• istruzioni scritte sulla modalità di controllo e custodia di atti e documenti
contenenti dati personali;
• aggiornamento periodico (almeno annuale) dell'ambito di trattamento consentito agli
incaricati o unità organizzative.
In merito alla custodia (dati sensibili o giudiziari), è necessario il controllo e la custodia
degli atti da parte degli incaricati fino alla conclusione dei trattamenti, garantendo che non vi
sia accesso da parte di soggetti non autorizzati; è prevista la restituzione a conclusione dei
trattamenti.
E' previsto che "quando gli archivi non sono dotati di strumenti elettronici per il controllo degli
accessi o di incaricati della vigilanza, le persone che vi accedono sono preventivamente
autorizzate"; in definitiva, si esige una preventiva autorizzazione in assenza di possibilità di
controlli attraverso dispositivi e/o personale preposto. Ne deriva una volta di più la necessità
di definire una procedura organizzativa atta a definire le modalità di gestione come l'assegnazione
delle autorizzazioni, la loro validità nel tempo, la possibilità di controlli.
Nella seguente
tabella
riportiamo i punti precedentemente evidenziati; l'esame di ogni punto ci permette di avere un
quadro sintetico della situazione e di evidenziare sinteticamente cosa implementare e/o migliorare.
Per ogni attività sono previste due colonne perché spesso non è sufficiente "impostare" e quindi
"rilasciare", bensì si deve manutenere il sistema privacy, inserendo di conseguenza nella procedura
"standard" quanto previsto dalla normativa (ad esempio, l'informativa) e/o aggiornare i dati
catalogati (ad esempio, lista banche dati).
In questo
scadenziario
vengono presentate le misure minime di sicurezza.
Insistiamo sul punto che la normativa prevede un impegno costante e continuativo. In base
all'art. 31, "i dati personali oggetto di trattamento sono custoditi e controllati, anche in
relazione alle conoscenze acquisite in base al progresso tecnico", mentre per l'art. 36
"il disciplinare tecnico relativo alle misure minime di sicurezza, è aggiornato periodicamente in
relazione all'evoluzione tecnica e all'esperienza maturata nel settore".
11. Esemplificazione della costruzione di un sistema data-privacy
Riassumiamo infine per sommi capi la costruzione di un sistema data-privacy:
a) identificazione dei ruoli e gestione delle nomine (organigramma, titolare, responsabile/i,
incaricati, custode di copia delle credenziali, incaricato della gestione di strumenti elettronici,
delle copie di sicurezza, ecc.);
b) identificazione dei trattamenti;
c) identificazione delle sedi ed uffici ove avvengono i trattamenti;
d) censimento di tutte le banche dati presenti in azienda (descrizione della banca dati, tipi di
dati trattati - dati comuni, sensibili, giudiziari -, categorie di interessati, finalità del
trattamento, tipo di trattamento - con o senza strumenti elettronici -, ecc.);
e) identificazione degli strumenti di elaborazione e dei software usati per il trattamento
(descrizione dello strumento, sistema operativo, modalità di utilizzo - stand alone o rete -,
gestione antivirus, ecc.);
f) impostazione della modulistica (informativa, lettere di incarico, istruzioni agli incaricati,
ecc.);
g) aggiornamento e revisione degli adempimenti (notifica, informativa, gestione del consenso);
h) adeguamento alle misure minime di sicurezza (sistema di autenticazione informatica, sistema di
autorizzazione, altre misure di sicurezza - antivirus con controlli semestrali, aggiornamento
software con controlli annuali -, gestione salvataggi, ecc.);
i) redazione del DPS (entro il 31 marzo di ogni anno);
j) notifica (dichiarazione con la quale un soggetto pubblico o privato rende nota al Garante per la
protezione dei dati personali l'esistenza di un'attività di raccolta ed utilizzazione dei dati
personali, svolta quale autonomo titolare del trattamento).
Abbiamo lasciato per ultimo l'eventuale notifica, non perché meno importante ma perché molto meno
"probabile" visto l'esenzione generalizzata dal primo gennaio 2004, ad eccezione dei trattamenti
riguardanti i dati di cui all'art. 37 del Codice, relativi a:
i) dati genetici, biometrici o dati che indicano la posizione geografica di persone od oggetti
mediante una rete di comunicazione elettronica;
ii) dati idonei a rivelare lo stato di salute e la vita sessuale, trattati a fini di procreazione
assistita, prestazione di servizi sanitari per via telematica relativi a banche di dati o alla
fornitura di beni, indagini epidemiologiche, rilevazione di malattie mentali, infettive e
diffusive, sieropositività, trapianto di organi e tessuti e monitoraggio della spesa sanitaria;
iii) dati idonei a rivelare la vita sessuale o la sfera psichica trattati da associazioni, enti od
organismi senza scopo di lucro, anche non riconosciuti, a carattere politico, filosofico, religioso
o sindacale;
iv) dati trattati con l'ausilio di strumenti elettronici volti a definire il profilo o la
personalità dell'interessato, o ad analizzare abitudini o scelte di consumo, ovvero a monitorare
l'utilizzo di servizi di comunicazione elettronica con esclusione dei trattamenti tecnicamente
indispensabili per fornire i servizi medesimi agli utenti;
v) dati sensibili registrati in banche di dati a fini di selezione del personale per conto terzi,
nonché dati sensibili utilizzati per sondaggi di opinione, ricerche di mercato e altre ricerche
campionarie;
vi) dati registrati in apposite banche di dati gestite con strumenti elettronici e relative al
rischio sulla solvibilità economica, alla situazione patrimoniale, al corretto adempimento di
obbligazioni, a comportamenti illeciti o fraudolenti.
Nei casi di trattamento previsti dall'art. 37, la notificazione va effettuata prima che inizi il
trattamento medesimo; l'obbligo di notificazione va ripetuto anteriormente alla cessazione del
trattamento o al mutamento di taluno degli elementi da indicare nella notificazione medesima.
Anche per questo, occorre un'opera di sensibilizzazione al personale dipendente in merito alla
necessità di segnalare preventivamente ogni nuovo e diverso trattamento rispetto a quelli già
censiti.
La trasmissione della notifica può avvenire solo per via telematica, tramite il sito del Garante,
anche con la collaborazione di eventuali intermediari autorizzati (come, ad esempio, le Poste
Italiane). La notificazione deve essere sottoscritta con firma digitale.
12. Conclusioni
Terminiamo questa trattazione con alcune osservazione che spingono a vedere in modo positivo una
serie di obblighi che spesso possono apparire inutili e ingombranti.
Il Decreto Legislativo 196/2003 deve essere visto non come "burocrazia", ma come spinta alla
tecnologia per preservare la nostra privacy e mettere in sicurezza i nostri dati, patrimonio
importantissimo della nostra azienda!
In definitiva, cerchiamo di trasformare un costo in una risorsa, dato che non sono pochi gli
aspetti positivi:
• possibilità di riorganizzazione del flusso aziendale delle informazioni;
• definizione dei profili di autorizzazione;
• definizione e formalizzazione dei salvataggi;
• analisi del layout dei dispositivi elettronici con contestuale controllo delle licenze;
• possibilità di introduzione di linee guida aziendali (uso PC a scopi personali, uso di
Internet, ecc.);
• DPS che può essere inteso come scadenza annuale che ci obbliga a programmare un momento
di controllo della sicurezza aziendale e della formazione professionale del personale addetto.
Nota: il contenuto del documento deve essere interpretato in relazione al periodo
in cui è stato redatto.
|
 |
|
