You are here: Home Privacy La privacy si semplifica. Un po'
Personal tools
Navigation
« September 2010 »
Su Mo Tu We Th Fr Sa
1234
567891011
12131415161718
19202122232425
2627282930
 
Document Actions

La privacy si semplifica. Un po'

Un vademecum per aziende e pubbliche amministrazioni sul trattamento dei dati personali

Semplificazione delle misure di sicurezza privacy a due vie: c'è la autocertificazione (per pochissimi) e c'è il DPS semplificato (a disposizione di PMI, professionisti ed enti pubblici).

Il quadro delle misure di alleggerimento degli adempimenti per garantire la sicurezza di computer e trattamenti cartacei si è completato (dopo l'articolo 29 del dl 112/2008) con il provvedimento del garante del 27 novembre 2008 pubblicato sulla Gazzetta Ufficiale del 9 dicembre 2008.

Lo stesso decreto 112/2008 ha approvato una prima misura di semplificazione, rivelatasi peraltro del tutto inefficace, per i trattamenti effettuati con strumenti elettronici da parte dei soggetti che utilizzano soltanto dati personali non sensibili e che trattano, come unici dati sensibili, quelli inerenti allo stato di salute o alla malattia dei propri dipendenti e collaboratori anche a progetto, senza indicazione della relativa diagnosi, oppure all'adesione a organizzazioni sindacali o a carattere sindacale.

Per questi casi il Dps può essere sostituito da una autocertificazione di trattare soltanto tali dati in osservanza delle altre misure di sicurezza prescritte.

Due le ragioni dello scarso successo della misura di semplificazione: da un lato la platea ristrettissima di soggetti potenzialmente beneficiari (in realtà quasi nessuno): ad esempio è sufficiente trattare il dato della malattia del figlio del dipendente in congedo parentale per impedire l'accesso alla cosiddetta semplificazione; o se si vuole fare un altro esempio è altrettanto sufficiente trattare i dati relativi alla convinzione politica in relazione alle aspettative da riconoscere al dipendente investito di una carica elettiva per bloccare l'autocertificazione. L'altra ragione della scarsa appetibilità di questa forma di semplificazione sta nell'alto livello di responsabilità anche penale connessa alla dichiarazione sostitutiva circa l'assolvimento degli obblighi di sicurezza: non si comprende con quale serenità si possa formulare questa attestazione se non si è sicuri della regolarità dei trattamenti.

Proprio il meccanismo della autocertificazione da rendere a pena di responsabilità penali per falsa dichiarazione ha costituito un disincentivo all'utilizzo di questa cosiddetta semplificazione.

Senza contare che per procedere con tranquillità all'autocertificazione è opportuno rivolgersi a un consulente almeno informatico, con il risultato che la semplificazione non attenua nemmeno i costi di consulenza e, allora, tanto vale compilare un DPS completo.

Il provvedimento del Garante

Per gli stessi casi in cui opera la semplificazione con autocertificazione, ma anche per i trattamenti effettuati da chiunque per correnti finalità amministrative e contabili in particolare presso piccole e medie imprese, liberi professionisti e artigiani, il decreto 112 ha demandato al Garante di introdurre nuove effettive modalità di semplificazione. È quello che il Garante ha fatto con il provvedimento del 27 novembre 2008, che introduce novità di immediata applicazione.

I beneficiari

Possono avvalersi della semplificazione sia le pubbliche amministrazioni sia imprese e professionisti. Ciò se: 1)utilizzano d diagnosi, ovvero dall'adesione a organizzazioni sindacali o a carattere sindacale; 2) trattano dati personali unicamente per correnti finalità amministrative e contabili, in particolare presso liberi professionisti, artigiani e piccole e medie imprese. In sostanza la legge e il Garante verranno incontro a realtà piccole e piccolissime non sempre in grado di sopperire ai costi di consulenti o presunti tali.

Il provvedimento del Garante approva un prospetto riepilogativo di misure minime di sicurezza. I beneficiari possono applicare le misure minime di sicurezza prescritte dalla disciplina in materia di trattamenti realizzati con l'ausilio di strumenti elettronici (articolo 34 del Codice e regole da 1 a 26 dell'Allegato B) osservando le modalità semplificate individuate nel prospetto.

Questo significa che l'allegato B) è sostituito, per i beneficiari indicati, dal prospetto allegato al provvedimento del Garante. Questo a tutti gli effetti, compresi quelli penali di cui all'articolo 169 del codice della privacy. Questo significa anche che non si applicano le altre misure di sicurezza previste dall'allegato B), ma non inserite nel prospetto (e in particolare le regole 20, 22, 23, 24, 25, 26, 29).

Queste le principali novità per i trattamenti effettuati con strumenti elettronici

Le istruzioni agli incaricati del trattamento (dipendenti e collaboratori) possono essere impartite anche oralmente (non c'è bisogno di istruzioni scritte), con indicazioni di semplice e chiara formulazione.

Per l'accesso ai sistemi informatici si può utilizzare un qualsiasi sistema di autenticazione basato su un codice per identificare chi accede ai dati (di seguito, «username»), associato a una parola chiave (di seguito: «password»). Lo username deve individuare una sola persona, evitando che soggetti diversi utilizzino codici identici e la password deve essere conosciuta solo dalla persona che accede ai dati.

L'username deve essere disattivato quando l'incaricato non ha più titolo per accedere ai dati (trasferimento, cessazione dal servizio). Non si prevede espressamente l' automatica scadenza per non uso semestrale.

È valida anche la procedura di login disponibile sul sistema operativo delle postazioni di lavoro connesse a una rete. Non si prevede espressamente l'obbligo di almeno otto caratteri per la password e non se ne prevede l'obbligo di modifica con cadenza trimestrale (per i dati sensibili) o semestrale (per i dati comuni).

Se manca il titolare della password, il titolare può assicurare la disponibilità di dati o strumenti elettronici con procedure o modalità predefinite: insomma si deve dare una informativa preventiva su come il titolare accede ai dati in assenza del dipendente (ad esempio con l'opzione di inoltro per i messaggi di posta elettronica). Non si prevede espressamente il meccanismo della nomina del custode delle credenziali (è ammesso qualsiasi procedura purchè predefinita e conosciuta dagli incaricati del trattamento)

Le autorizzazioni, necessarie per diversificare l'ambito del trattamento consentito, possono essere assegnate agli incaricati anche tramite un sistema di autorizzazione o funzioni di autorizzazione incorporate nelle applicazioni software o nei sistemi operativi. Non si prevede espressamente un obbligo di verifica annuale delle condizioni legittimanti la sussistenza dell' autorizzazione. Gli aggiornamenti periodici dei programmi per elaboratore volti a prevenire la vulnerabilità di strumenti elettronici (ad esempio, antivirus), anche con riferimento ai programmi anti intrusione (articolo 615-quinquies del codice penale), e a correggerne difetti, sono effettuati almeno annualmente (e non più semestralmente). Se il computer non è connesso a reti di comunicazione elettronica accessibili al pubblico (linee Adsl, accesso a Internet tramite rete aziendale, posta elettronica), l'aggiornamento deve essere almeno biennale.

I dati possono essere salvaguardati anche attraverso il loro salvataggio con frequenza almeno mensile (e non più settimanale). Il salvataggio periodico può non riguardare i dati non modificati dal momento dell'ultimo salvataggio effettuato (dati statici), purché ne esista una copia di sicurezza da cui effettuare eventualmente il ripristino.

Per il DPS, Documento programmatico sulla sicurezza (da aggiornare entro il 31 marzo di ogni anno), il provvedimento ne riduce il contenuto. Peraltro viene ridimensionato anche l'obbligo di aggiornamento: da effettuarsi solo se cambia qualcosa, altrimenti può rimanere quello dell'anno precedente.

Esso deve contenere l'identificazione del titolare del trattamento, e, se designati, degli eventuali responsabili, e, infine, le modalità attraverso le quali è possibile individuare l'elenco aggiornato dei responsabili del trattamento; una descrizione generale dei trattamenti realizzati(finalità del trattamento, categorie di persone interessate e i dati o le categorie di dati relativi alle medesime, e i destinatari o le categorie di destinatari a cui i dati possono essere comunicati; c) l'elenco, anche per categorie, degli incaricati del trattamento e delle relative responsabilità; d) una descrizione delle altre misure di sicurezza adottate per prevenire i rischi di distruzione o perdita, anche accidentale, dei dati, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta. Mancano rispetto allo standard dell'allegato B) alcuni contenuti e alcuni adempimenti accessori al DPS: non è previsto espressamente l'obbligo di indicare le misure da adottare, le misure per i trattamenti in outsourcing, gli interventi di formazione del personale, le misure del ripristino dei dati.

Trattamenti cartacei

Anche in questo caso sono previste istruzioni, anche orali, agli incaricati finalizzate al controllo e alla custodia, per l'intero ciclo necessario allo svolgimento delle operazioni di trattamento, degli atti e dei documenti contenenti dati personali.

Inoltre è specificato un obbligo di custodia in capo all'incaricato del trattamento che deve controllare atti e documenti contenenti dati sensibili fino alla restituzione, in modo che a essi non accedano persone prive di autorizzazione. Non è espressamente previsto l'obbligo di identificazione del personale che accede agli uffici dopo la chiusura (ad esempio addetti di guardia e alle pulizie)

La bussola per orientarsi sui cambiamenti in tema di trattamento dei dati personali
NELL’ALLEGATO B) NEL PROVVEDIMENTO DEL GARANTE COSA CAMBIA
2.1. Istruzioni agli incaricati del trattamento

Si individua l’obbligo di impartire istruzioni sulle misure minime di sicurezza agli incaricati del trattamento

Le istruzioni in materia di misure minime di sicurezza previste dall’Allegato B) possono essere impartite agli incaricati del trattamento anche oralmente, con indicazioni di semplice e chiara formulazione.

Viene specificato che le istruzioni possono essere anche fornite oralmente e non necessariamente per iscritto
2.2. Sistema di autenticazione informatica

La parola chiave deve avere almeno otto caratteri e deve essere cambiata periodicamente (almeno ogni tre mesi per i trattamenti di dati sensibili; obbligo di disattivazione delle credenziali inutilizzate da un semestre)

Per l’accesso ai sistemi informatici si può utilizzare un qualsiasi sistema di autenticazione basato su un codice per identificare chi accede ai dati (di seguito, “username”), associato a una parola chiave (di seguito: “password”), in modo che:a) l’username individui in modo univoco una sola persona, evitando che soggetti diversi utilizzino codici identici;
b) la password sia conosciuta solo dalla persona che accede ai dati.

Viene ammesso l’uso di un livello base di credenziale di autenticazione, con minori obblighi di variazione

Credenziali disattivate in caso di perdita della qualità che consente all’incaricato l’accesso ai dati

L’username deve essere disattivato quando l’incaricato non ha più la qualità che rende legittimo l’utilizzo dei dati (ad esempio,in quanto non opera più all’interno dell’organizzazione).

Si tratta di una chiarificazione esplicativa

Regola assente

Può essere adottata, quale procedura di autenticazione anche la procedura di login disponibile sul sistema operativo delle postazioni di lavoro connesse a una rete)

Si introduce una misura base di credenziale di autenticazione

Quando l’accesso ai dati e agli strumenti elettronici è consentito esclusivamente mediante uso della componente riservata della credenziale per l’autenticazione, sono impartite idonee e preventive disposizioni scritte volte a individuare chiaramente le modalità con le quali il titolare può assicurare la disponibilità di dati o strumenti elettronici in caso di prolungata assenza o impedimento dell’incaricato che renda indispensabile e indifferibile intervenire per esclusive necessità di operatività e di sicurezza del sistema. In tal caso la custodia delle copie delle credenziali è organizzata garantendo la relativa segretezza e individuando preventivamente per iscritto i soggetti incaricati della loro custodia, i quali devono informare tempestivamente l’incaricato dell’intervento effettuato.

In caso di prolungata assenza o impedimento dell’incaricato che renda indispensabile e indifferibile intervenire per esclusive necessità di operatività e di sicurezza del sistema, se l’accesso ai dati e agli strumenti elettronici è consentito esclusivamente mediante uso della password, il titolare può assicurare la disponibilità di dati o strumenti elettronici con procedure o modalità predefinite. Riguardo a tali modalità, sono fornite preventive istruzioni agli incaricati e gli stessi sono informati degli interventi effettuati (ad esempio, prescrivendo ai lavoratori che si assentino dall’ufficio per ferie l’attivazione di modalità che consentano di inviare automaticamente messaggi di posta elettronica ad un altro recapito accessibile: si vedano le Linee guida in materia di lavoro per posta elettronica e Internet approvate dal Garante e pubblicate nella Gazzetta ufficiale 10 marzo 2007 , n. 58 [doc. web n. 1387522]

Non si prevede più la procedura della custodia delle copie delle credenziali, ma è sufficiente definire in anticipo le modalità per accedere all’elaboratore in assenza dell’incaricato
2.3. Sistema di autorizzazione

Individuazione dei profi li di autorizzazione, anche per categorie di incaricati, con obbligo di verifi ca almeno annuale della sussistenza delle condizioni legittimanti i profi li medesimi

Qualora sia necessario diversifi care l’ambito del trattamento consentito, possono essere assegnati agli incaricati –singolarmente o per categorie omogenee corrispondenti profi li di autorizzazione, tramite un sistema di autorizzazione o funzioni di autorizzazione incorporate nelle applicazioni software o nei sistemi operativi, così da limitare l’accesso ai soli dati necessari per effettuare le operazioni di trattamento.

Si ammette un livello base di profili di autorizzazione e non si fa menzione dell’obbligo di verifica annuale (ma vedasi punto 2.4)
2.5. Documento programmatico sulla sicurezza

Ipotesi non prevista

Per alcuni casi è già previsto per disposizione di legge che si possa redigere un'autocertificazione in luogo del documento programmatico sulla sicurezza (vedi il precedente par. 1, lett. a); art. 29 d.l. n. 112/2008 cit.)

Ipotesi contemplata dall’art. 29 del decreto legge 112/2008

Entro il 31 marzo di ogni anno, il titolare di un trattamento di dati sensibili o di dati giudiziari redige anche attraverso il responsabile, se designato, un documento programmatico sulla sicurezza contenente idonee informazioni

Il documento deve essere redatto prima dell’inizio del trattamento e deve essere aggiornato entro il 31 marzo di ogni anno nel caso in cui, nel corso dell’anno solare precedente, siano intervenute modifiche rispetto a quanto dichiarato nel precedente documento

Obbligo di aggiornamento subordinato al verificarsi di variazioni

Contenuti del DPS:
- distribuzioni dei compiti e delle responsabilità nell’ambito delle strutture preposte al trattamento dei dati

Il documento deve avere i seguenti contenuti:
a) le coordinate identificative del titolare del trattamento, nonché, se designati, gli eventuali responsabili. Nel caso in cui l’organizzazione preveda una frequente modifica dei responsabili designati, potranno essere indicate le modalità attraverso le quali è possibile individuare l’elenco aggiornato dei responsabili del trattamento;

Si passa da una descrizione della struttura a un elenco di nominativi

- elenco dei trattamenti

b) una descrizione generale del trattamento o dei trattamenti realizzati, che permetta di valutare l’adeguatezza delle misure adottate per garantire la sicurezza del trattamento. In tale descrizione vanno precisate le finalità del trattamento, le categorie di persone interessate e dei dati o delle categorie di dati relativi alle medesime, nonché i destinatari o le categorie di destinatari a cui i dati possono essere comunicati;

Norma chiarificatrice

- distribuzioni dei compiti e delle responsabilità nell’ambito delle strutture preposte al trattamento dei dati

c) l’elenco, anche per categorie, degli incaricati del trattamento e delle relative responsabilità. Nel caso in cui l’organizzazione preveda una frequente modifica dei responsabili designati, potranno essere indicate le modalità attraverso le quali è possibile individuare l’elenco aggiornato dei responsabili del trattamento con le relative responsabilità;

Si passa da una descrizione della struttura a un elenco di nominativi

- distribuzioni dei compiti e delle responsabilità nell’ambito delle strutture preposte al trattamento dei dati

c) l’elenco, anche per categorie, degli incaricati del trattamento e delle relative responsabilità. Nel caso in cui l’organizzazione preveda una frequente modifica dei responsabili designati, potranno essere indicate le modalità attraverso le quali è possibile individuare l’elenco aggiornato dei responsabili del trattamento con le relative responsabilità;

Si passa da una descrizione della struttura a un elenco di nominativi

- le misure da adottare per garantire l’integrità e la disponibilità dei dati, nonchè la protezione delle aree e dei locali, rilevanti ai fi ni della loro custodia e accessibilità;

d) una descrizione delle altre misure di sicurezza adottate per prevenire i rischi di distruzione o perdita, anche accidentale, dei dati, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.

Si passa a una descrizione statica e non previsione delle misure di sicurezza

Autore: Antonio Ciccia
ItaliaOggi Sette - 5 Gennaio 2009

TAG:
{ privacy } - { trattamento dati personali } - { DPS }