Protezione dei dati personali - ISCOM
Transcript
Protezione dei dati personali - ISCOM
Giancarlo Butti Banco Popolare - Audit Conformità e presidi 231/2001 PROTEZIONE DEI DATI PERSONALI: AGGIORNAMENTI NORMATIVI. LE CONSEGUENZE SUGLI ADEMPIMENTI FORMALI E SUI SISTEMI INFORMATIVI. (PROTECTING PERSONAL DATA: LATEST REGULATORY UPDATES. THE FALL-OUT ON FORMAL PROCEDURES AND IT SYSTEMS.) Sommario Mentre è in discussione il nuovo regolamento privacy che andrà a sostituire le varie normative nazionali all’interno dell’UE sia il legislatore sia lo stesso Garante per la protezione dei dati personali hanno introdotto negli ultimi anni una serie di variazioni all’insieme di norme che regolano la protezione dei dati personali. La successione degli interventi, da un lato ha mirato a semplificare taluni adempimenti, considerati troppo onerosi per molte categorie di Titolari, dall’altro ha portato a una maggiore focalizzazione su settori particolari, come quello del credito e delle telecomunicazioni. Le variazioni introdotte tuttavia non sempre hanno prodotto gli effetti desiderati, risultando in molti casi inapplicabili e quindi inutili. Solo dopo diverse rettifiche oggi si dispone di un quadro complessivo che tuttavia propone una semplificazione più teorica che pratica. Inoltre, a oltre 15 anni dall’introduzione della normativa, talune semplificazioni, quali ad esempio la limitazione alle persone fisiche della tutela prevista dalle disposizioni normative, possono avere impatti non prevedibili non solo dal punto di vista degli adempimenti formali, ma anche sui sistemi informativi utilizzati per la loro gestione. In questo articolo si ripercorrono le tappe di alcune delle ultime variazioni e delle loro possibili conseguenze. 1. Introduzione Nella Tabella 1 sono riportate alcune definizioni utili per la comprensione dei contenuti dell’articolo. I testi della normativa riportati nell’articolo hanno valore solo indicativo; i testi ufficiali sono unicamente quelli disponibili sulla Gazzetta Ufficiale della Repubblica Italiana a mezzo stampa. I testi qui riprodotti sono tratti dai siti www.garanteprivacy.it e www.normattiva.it. Speciale Sicurezza ICT A bstract While the new European privacy regulations that will replace the various national regulations within the EU are under discussion, both national legislators and the commissioner for Data Privacy have introduced in recent years a series of variations to the current regulations that govern Data Privacy. The sequence of variations that from one side has attempted to simplify application of the rules, from another point of view has considered them an additional burden and still another point of view has seen them as a specific zoom on critical sectors such as Banking & Finance and Telecommunications. The new modifications did not all have the desired effects, often inapplicable in practice and therefore useless. Only after various rectifications a simplified, complete working picture has emerged but which is more theoretical than practical. 15 years from the introduction of the Data Privacy regulations these simplifications, such as the reduction of applicability of the regulations to only protect individuals, are modifying not only formal administrative requirements, but also the IT Systems used to manage these processes. This article reviews the sequence of some of the latest variations and their possible consequences - often unpredicted initially. 2. Le misure di sicurezza e l’impatto sui sistemi informativi nella normativa privacy La regolamentazione degli aspetti relativi alla sicurezza è disciplinata nell’ambito della normativa privacy da una articolata serie di norme (vedi Tabella 2), contenute nel Dlgs 196/03 (art. 3 e artt. 30-36), nell’ Allegato B - Disciplinare tecnico in materia di misure minime di sicurezza (che regola in particolare le misure minime di sicurezza) e da una serie 61 Giancarlo Butti di atti del Garante per la protezione dei dati personali. In particolare tramite l’articolo 31: Art. 31. Obblighi di sicurezza 1. I dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta. Il Dlgs 196/03 introduce una generica richiesta di definizione ed implementazione di misure di sicurezza, da valutare a carico del Titolare in funzione di diversi fattori (al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento), nonché finalizzate a prevenire una serie di rischi ben identificati (i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta). Soddisfare tali richieste è tutt’altro che banale, in particolare per quanto attiene i rischi di distruzione o perdita, anche accidentale. Nel caso in cui la mancata adozione di adeguate misure di sicurezza o di altre fattispecie comporti un danno per gli interessati si applica l’art. 15 del Dlgs 196/03: Art. 15. Danni cagionati per effetto del trattamento 1. Chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell'articolo 2050 del codice civile. 2. Il danno non patrimoniale è risarcibile anche in caso di violazione dell'articolo 11. Ai Titolari sono prescritte in ogni caso una serie di misure definite minime, meglio definite negli artt. 33 – 35 e nell’Allegato B - Disciplinare tecnico in materia di misure minime di sicurezza (vedi Tabella 3). La mancata adozione di tali misure è presidiata penalmente. Impatti significativi sul sistema informativo sono anche introdotti dall’art. 3: Art. 3. Principio di necessità nel trattamento 62 dei dati 1. I sistemi informativi e i programmi informatici sono configurati riducendo al minimo l'utilizzazione di dati personali e di dati identificativi, in modo da escluderne il trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante, rispettivamente, dati anonimi od opportune modalità che permettano di identificare l'interessato solo in caso di necessità. Tale articolo la cui mancata adozione non viene specificatamente sanzionata, è uno dei meno osservati della norma, anche in considerazione del notevole impatto che avrebbe la sua reale applicazione sui sistemi informativi esistenti. Il rispetto di tale principio è tuttavia costantemente richiamato nelle Autorizzazioni di carattere generale (il cui mancato rispetto potrebbe essere sanzionato) emesse periodicamente dal Garante per la protezione dei dati personali per il trattamento dei dati sensibili in vari ambiti, quali ad esempio nella gestione dei rapporti di lavoro. Il rispetto del complesso delle misure di sicurezza e dell’articolo 3 è tutt’altro che semplice ed i casi di violazione, per scarsa conoscenza della norma o per oggettiva difficoltà sono molto frequenti (vedi Tabella 4). za 3. Le semplificazioni nelle misure di sicurez- Sia il legislatore, sia il Garante per la protezione dei dati personali hanno già da qualche anno iniziato a svolgere un’attività di semplificazione delle norme, ritenute troppo onerose in particolare per le PMI e gli studi professionali. Il primo passo è stata l’emissione della Guida pratica e misure di semplificazione per le piccole e medie imprese - 24 maggio 2007, che in realtà si limita a tradurre in forma discorsiva i contenuti del Dlgs 196/03 e relativi allegati. Successivamente è stata emessa la Semplificazione delle misure di sicurezza contenute nel disciplinare tecnico di cui all'Allegato B) al Codice in materia di protezione dei dati personali - 27 novembre 2008 (G.U. n. 287 del 9 dicembre 2008). In particolare le semplificazioni del 2008 hanno introdotto variazioni alle misure minime di sicurezza (vedi Tabella 5), compresa la redazione del DPS. Quello che interessa evidenziare è che il perimeSpeciale Sicurezza ICT PROTEZIONE DEI DATI PERSONALI: AGGIORNAMENTI NORMATIVI. LE CONSEGUENZE SUGLI ADEMPIMENTI FORMALI E SUI SISTEMI INFORMATIVI. (PROTECTING PERSONAL DATA: LATEST REGULATORY UPDATES. THE FALL-OUT ON FORMAL PROCEDURES AND IT SYSTEMS.) tro di applicazione di tale semplificazione è particolarmente limitato, considerando che i soggetti che possono avvalersene sono sommariamente identificati nell’art. 1: Art. 1. Soggetti che possono avvalersi della semplificazione Le seguenti modalità semplificate sono applicabili dai soggetti pubblici o privati che: a) utilizzano dati personali non sensibili o che trattano come unici dati sensibili riferiti ai propri dipendenti e collaboratori anche a progetto quelli costituiti dallo stato di salute o malattia senza indicazione della relativa diagnosi, ovvero dall'adesione a organizzazioni sindacali o a carattere sindacale; b) trattano dati personali unicamente per correnti finalità amministrative e contabili, in particolare presso liberi professionisti, artigiani e piccole e medie imprese (cfr. art. 2083 cod. civ. e d.m. 18 aprile 2005, recante adeguamento alla disciplina comunitaria dei criteri di individuazione di piccole e medie imprese, pubblicato nella Gazzetta Ufficiale 12 ottobre 2005, n. 238). In particolare tale formulazione non considera diversi aspetti: a) il datore di lavoro non si limita a trattare i dati dei propri dipendenti, ma anche quelli dei loro familiari e anche di questi ultimi può trattare dati sensibili (ad esempio per la concessione di agevolazioni di legge ai dipendenti) b) relativamente al potenziale trattamento della diagnosi di malattie o infortunio è lo stesso Garante per la protezione dei dati personali, che nelle proprie Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro alle dipendenze di datori di lavoro privati, elenca i casi in cui un datore di lavoro potrebbe venirne a conoscenza. Appare quindi evidente che nessun Titolare che abbia dipendenti possa rientrare nei casi previsti dall’art. 1, comma a. Per quanto attiene l’art. 1, comma b la formulazione di correnti finalità amministrative e contabili era talmente generica all’atto dell’emissione della semplificazione che non consentiva un’idonea interpretazione; successivamente si è arrivati alla seguente formulazione, inserita direttamente nel Dlgs 196/03: Art. 34. Trattamenti con strumenti elettronici Speciale Sicurezza ICT 1-ter. Ai fini dell'applicazione delle disposizioni in materia di protezione dei dati personali, i trattamenti effettuati per finalità amministrativo-contabili sono quelli connessi allo svolgimento delle attività di natura organizzativa, amministrativa, finanziaria e contabile, a prescindere dalla natura dei dati trattati. In particolare, perseguono tali finalità le attività organizzative interne, quelle funzionali all'adempimento di obblighi contrattuali e precontrattuali, alla gestione del rapporto di lavoro in tutte le sue fasi, alla tenuta della contabilità e all'applicazione delle norme in materia fiscale, sindacale, previdenziale-assistenziale, di salute, igiene e sicurezza sul lavoro. Tale formulazione è estremamente estensiva; di norma la maggior parte delle aziende e degli studi professionali svolge quasi esclusivamente questo tipo di trattamenti. 4. Le semplificazioni nella redazione del DPS La redazione del DPS è considerata particolarmente onerosa ed è stata introdotta con il DPR del 28 luglio 1999, n. 318; successivamente con il Dlgs 196/03 e relativo Allegato B sono state introdotte ulteriori specificazioni per la sua compilazione. La sua redazione non è considerata obbligatoria per tutti, ma è limitata ai soggetti che rientrano nella definizione sotto riportata, come peraltro precisato anche nella Guida pratica e misure di semplificazione per le piccole e medie imprese. In base alla vigente disciplina, in caso di trattamento di dati sensibili e giudiziari attraverso sistemi informatici [Vedi art. 34 del Dlgs 196/03 per la corretta definizione] deve essere redatto il documento programmatico sulla sicurezza (art. 34, comma 1, lett. g) e regola 19 dell’Allegato B al Codice). Come vedremo in realtà questo è vero unicamente se si considera il DPS come una delle misure minime di sicurezza; ma andiamo con ordine. La prima semplificazione relativa al DPS è stata introdotta con il Decreto-Legge convertito con modificazioni dalla L. 6 agosto 2008, n. 133 (in SO n.196, relativo alla G.U. 21/08/2008, n.195). Art. 29. Trattamento dei dati personali 1. All'articolo 34 del ((codice in materia di protezione dei dati personali, di cui al)) decreto legislativo 30 giugno 2003, n. 196, dopo il comma 1 e' aggiunto il seguente: (("1-bis. Per i soggetti che trattano soltanto dati personali non sensibili e che trattano come unici dati sensibili quelli 63 Giancarlo Butti costituiti dallo stato di salute o malattia dei propri dipendenti e collaboratori anche a progetto, senza indicazione della relativa diagnosi, ovvero dall'adesione ad organizzazioni sindacali o a carattere sindacale, la tenuta di un aggiornato documento programmatico sulla sicurezza e' sostituita dall'obbligo di autocertificazione, resa dal titolare del trattamento ai sensi dell'articolo 47 del testo unico di cui al decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, di trattare soltanto tali dati in osservanza delle altre misure di sicurezza prescritte. In relazione a tali trattamenti, nonche' a trattamenti comunque effettuati per correnti finalita' amministrative e contabili, in particolare presso piccole e medie imprese, liberi professionisti e artigiani, il Garante, sentito il Ministro per la semplificazione normativa, individua con proprio provvedimento, da aggiornare periodicamente, modalita' semplificate di applicazione del disciplinare tecnico di cui all'Allegato B) in ordine all'adozione delle misure minime di cui al comma 1")). Mentre la seconda semplificazione è stata introdotta con la già citata Semplificazione delle misure di sicurezza contenute nel disciplinare tecnico di cui all'Allegato B) al Codice in materia di protezione dei dati personali - 27 novembre 2008 (G.U. n. 287 del 9 dicembre 2008), che amplia rispetto alla definizione dell’agosto 2008 l’ambito dei dati sensibili trattati dal Titolare il cui trattamento non comporta la redazione del DPS e introduce il concetto delle correnti finalità amministrative e contabili, differenziando nei due casi le modalità di semplificazione delle quali può avvalersi il Titolare (autocertificazione o redazione di una versione più limitata del DPS). I limiti di tali definizioni sono stati già espressi nel paragrafo precedente. Con il Decreto legge 13 maggio 2011, n. 70, convertito, con modificazioni, dalla legge 12 luglio 2011, n. 106 (G.U. 12/7/2011, n. 160), viene introdotta la seguente ulteriore definizione: Art. 34. Trattamenti con strumenti elettronici 1-bis. Per i soggetti che trattano soltanto dati personali non sensibili e che trattano come unici dati sensibili e giudiziari quelli relativi ai propri dipendenti e collaboratori, anche se extracomunitari, compresi quelli relativi al coniuge e ai parenti, la tenuta di un aggiornato documento programmatico sulla sicurezza è sostituita dall'obbligo di autocertificazione, resa dal titolare del trattamento ai sensi dell' articolo 47 del testo unico di cui al decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, di trattare soltanto tali dati in osservanza delle misure minime di sicurezza previste dal presente 64 codice e dal disciplinare tecnico contenuto nell'allegato B). In relazione a tali trattamenti, nonché a trattamenti comunque effettuati per correnti finalità amministrativo-contabili, in particolare presso piccole e medie imprese, liberi professionisti e artigiani, il Garante, sentiti il Ministro per la semplificazione normativa e il Ministro per la pubblica amministrazione e l'innovazione, individua con proprio provvedimento, da aggiornare periodicamente, modalità semplificate di applicazione del disciplinare tecnico contenuto nel citato allegato B) in ordine all'adozione delle misure minime di cui al comma 1. Tale definizione è sufficientemente amplia e chiara da ridurre notevolmente, almeno in linea teorica, il numero dei soggetti ancora tenuti alla redazione del DPS. Rientrano fra i Titolari per i quali permane l’obbligo di redazione medici, dentisti, banche, assicurazioni, commercialisti… Tuttavia anche tale definizioni non è così esaustiva come si potrebbe ritenere. Sono diversi i dati sensibili dei collaboratori e dipendenti che un Titolare potrebbe, suo malgrado, trattare e che quindi lo escluderebbero da tale semplificazione. Ad esempio, nel caso in cui un Titolare registri i dati relativi alla navigazione Internet, potrebbe effettuare un trattamento di dati personali sensibili relativi ai propri dipendenti e collaboratori, come precisato in: Lavoro: le linee guida del Garante per posta elettronica e internet. Anche questa limitazione è stata eliminata con l’articolo 47 del Decreto sulle semplificazioni, che abroga sia il comma appena citato sia la redazione del DPS: (Semplificazioni in materia di dati personali) 1. Al decreto legislativo 30 giugno 2003, n. 196, sono apportate le seguenti modificazioni: b) all’articolo 34 sono soppressi la lettera g) del comma 1 e il comma 1-bis; c ) nel disciplinare tecnico in materia di misure minime di sicurezza di cui all’allegato B sono soppressi i paragrafi da 19 a 19.8 e 26. 5. Impatti della semplificazione ed abrogazione nella redazione del DPS La redazione del DPS, anche se non obbligatoria, Speciale Sicurezza ICT PROTEZIONE DEI DATI PERSONALI: AGGIORNAMENTI NORMATIVI. LE CONSEGUENZE SUGLI ADEMPIMENTI FORMALI E SUI SISTEMI INFORMATIVI. (PROTECTING PERSONAL DATA: LATEST REGULATORY UPDATES. THE FALL-OUT ON FORMAL PROCEDURES AND IT SYSTEMS.) è comunque una scelta vivamente consigliata. Infatti tale documento non è altri che l’elencazione delle modalità con cui il Titolare, dopo una analisi dei rischi più o meno approfondita e formalizzata, ha implementato le propri misure di sicurezza, comprese quelle minime (che restano comunque obbligatorie), così come richiesto dall’art. 31 della normativa. La presenza di un adeguato DPS (o di analogo documento) è un valido strumento di difesa del Titolare nel caso in cui un interessato subisca un danno in seguito ad esempio alla distruzione dei suoi dati (si pensi ad esempio alla distruzione o perdita di documenti fiscali da parte di un commercialista) o alla intercettazione di dati riservati (ad esempio per un uso non corretto degli strumenti di trasmissione). Solo la presenza di tale documento, che evidenzi l’impegno adottato dal Titolare nell’adozione di quanto prescritto dall’art. 31 del Dlgs 196/03, può infatti ridurre le conseguenze di un’azione derivante dall’applicazione dell’art. 15 dello stesso Dlgs 196/03. 6. La riduzione del perimetro La normativa italiana ha introdotto già con la legge 675/96 una tutela dei dati personali, non limitata alle sole persone fisiche, che trova pochi analoghi nelle altre legislazioni nazionali. Avere esteso tale tutela alle persone giuridiche, enti, associazioni… ha introdotto a carico dei Titolari di trattamento una serie di oneri che mal si bilanciavano con la tutela fornita, in considerazione in particolare che le aziende si scambiano continuamente dati fra di loro e che il poter svolgere attività di marketing presso altre aziende è una esigenza fondamentale. Con il Decreto legge 13 maggio 2011, n. 70, convertito, con modificazioni, dalla legge 12 luglio 2011, n. 106 (G.U. 12/7/2011, n. 160), viene aggiunto all’art, 5 del Dlgs 196/03 il seguente comma: "3-bis. Il trattamento dei dati personali relativi a persone giuridiche, imprese, enti o associazioni effettuato nell'ambito di rapporti intercorrenti esclusivamente tra i medesimi soggetti per le finalita' amministrativo - contabili, come definite all'articolo 34, comma 1-ter, non e' soggetto all'applicazione del presente codice."; Speciale Sicurezza ICT Tale semplificazione, sebbene di ampia portata, introduceva una serie di incongruenze piuttosto evidenti. Infatti la limitazione alle sole persone fisiche della tutela introdotta dal Dlgs 196/03, poteva essere messa in atto solo nel caso in cui il Titolare del trattamento non fosse una persona fisica. Quindi paradossalmente, mentre un’azienda non era più tenuta, ad esempio, a rilasciare l’informativa ad altre aziende (ma solo alle persone fisiche), un libero professionista avrebbe dovuto continuare a rilasciarla sia alle persone fisiche, sia alle persone giuridiche, enti, associazioni… dei quali trattava i dati. Tale comma viene successivamente abrogato dal Decreto Legge 6 dicembre 2011, n. 201, convertito, con modificazioni, dalla legge 22 dicembre 2011, n. 214 che ha introdotto la seguente variazione: Art. 4. Definizioni 1. Ai fini del presente codice si intende per: b) "dato personale", qualunque informazione relativa a persona fisica, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale. Definizione attualmente in vigore. Tale semplificazione è invece chiara e senza ambiguità (almeno in apparenza) e di ampia portata. 7. Gli effetti della riduzione del perimetro La riduzione alle sole persone fisiche (ma anche questo come vedremo non è del tutto vero) della tutela prevista dalla normativa privacy può avere degli effetti imprevisti, sia su alcuni aspetti formali, sia sull’applicazione di altri adempimenti che interessano i sistemi informativi. Consideriamo prima di tutto quale sia la reale portata di questa limitazione del perimetro. Si è soliti considerare fra le persone fisiche i clienti (che siano effettivamente persone fisiche), i dipendenti, i collaboratori, i loro familiari, i cittadini… In realtà non è proprio così; la formulazione della normativa con la sua definizione attuale, non può prescindere dalla sua formulazione precedente, che comprendeva anche persone giuridiche, enti, associazioni… In questo contesto è più che lecito porre la questione su come devono essere considerati ad esempio professionisti ed artigiani. 65 Giancarlo Butti Sono persone fisiche, e quindi tutelati dalla normativa, o prevale la loro condizione professionale e quindi ne sono esclusi? Al riguardo il Garante per la protezione dei dati personali nella sua pubblicazione “La Privacy dalla parte dell’impresa” cita seppure in un altro contesto “…persona fisica (si pensi all’imprenditore individuale)…”. Il legislatore per contro ha proposto ulteriori limitazioni alla tutela, alcune delle quali non sono state successivamente convertite in legge. Al di là di questo aspetto si introduce un’ulteriore considerazione. A partire dall’entrata in vigore della legge 675/96 appariva chiaro che, fra i soggetti tutelati dalla normativa, non rientravano solo quelli con cui il Titolare aveva un rapporto diretto quali, ad esempio, le aziende clienti e le aziende fornitrici. Nella realtà infatti, non sussistono solo le relazioni fra le entità, in quanto prevalgono le relazioni fra persone fisiche. In altre parole i dipendenti ed i collaboratori del Titolare interagiscono (e quindi trattano i dati) di collaboratori e dipendenti di clienti e fornitori. I dati di tali soggetti sono presenti sui sistemi informativi e sui documenti del Titolare. Tutti questi soggetti sono e rimangono, tutelati dalla normativa, anche se per palese impossibilità di gestire gli adempimenti formali con ognuno di essi, non sono mai stati considerati salvo il caso di rare eccezioni: ad esempio quando un Titolare di trattamento designa direttamente come incaricato o come amministratore di sistema il dipendente/collaboratore di un soggetto terzo. In questi casi i Titolari più virtuosi si ricordano che tali soggetti sono tutelati dalla normativa, rilasciando loro oltre che ad una lettera di incarico anche una informativa. Le considerazioni di cui sopra non hanno effetti solo di natura formale, ma anche sostanziale. Solo per i dati dei soggetti tutelati dalla normativa si devono, ad esempio, applicare le misure di sicurezza, siano queste minime o adeguate (al di là degli aspetti di buon senso, che consiglierebbero di mantenere e manutenere quanto si è già fatto). Consideriamo ora anche alcuni altri aspetti non immediatamente percebili. La limitazione del perimetro di tutela ed una più chiara definizione di cosa si intenda per trattamenti effettuati per finalità amministrativo-contabili può impattare ad esempio sul provvedimento relativo agli amministratori di sistema. Com’è noto tale provvedimento esclude dall’am- 66 bito di applicazione proprio i trattamenti amministrativo-contabili. Art. 4. Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici Di seguito sono indicati gli accorgimenti e le misure che vengono prescritti ai sensi dell'art. 154, comma 1, lett. c) del Codice, a tutti i titolari dei trattamenti di dati personali effettuati con strumenti elettronici, esclusi, allo stato, quelli effettuati in ambito pubblico e privato a fini amministrativo-contabili che, ponendo minori rischi per gli interessati, sono stati oggetto delle recenti misure di semplificazione (art. 29 d.l. 25 giugno 2008, n. 112, conv., con mod., con l. 6 agosto 2008, n. 133; art. 34 del Codice; Provv. Garante 6 novembre 2008). In base alla definizione successivamente introdotta all’art. 34 1-ter, sono ben pochi i normali ambiti aziendali che potrebbero non rientrare in tale definizioni, svuotando di fatto la portata del provvedimento. A ciò si aggiunge la recente ulteriore limitazione del perimetro, che limita l’ambito di tutela (e quindi di applicazione dell’intera normativa, compreso tale provvedimento), ai soli dati relativi alle persone fisiche. È evidente che il fare di più, registrando anche gli accessi degli amministratori di sistema a dati e sistemi non tutelati dalla normativa, potrebbe anche in questo caso apparire vantaggioso. Tuttavia è necessario valutare un aspetto, che avrà impatti ancora maggiori nella applicazione del provvedimento che andremo ad analizzare successivamente. La registrazione degli accessi degli amministratori di sistema comporta il trattamento di dati di persone fisiche. La stessa normativa, che ora tutela solo tale tipologia dati, impone quindi di rivedere adeguatamente il proprio perimetro di registrazione. Non essendo più imposta da un provvedimento del Garante per la protezione dei dati personali, tale registrazione di dati personali, estesa agli accessi ai sistemi che trattano dati di persone giuridiche o che trattano dati amministrativi e contabili, potrebbe di fatto essere considerata illecita o quantomeno eccessiva. Giova anche ricordare i potenziali impatti derivanti dall’applicazione sul provvedimento dell’art. 4 dello Statuto dei lavoratori, ora che la maggior parte di tali registrazioni non è più giustificata dal punto di Speciale Sicurezza ICT PROTEZIONE DEI DATI PERSONALI: AGGIORNAMENTI NORMATIVI. LE CONSEGUENZE SUGLI ADEMPIMENTI FORMALI E SUI SISTEMI INFORMATIVI. (PROTECTING PERSONAL DATA: LATEST REGULATORY UPDATES. THE FALL-OUT ON FORMAL PROCEDURES AND IT SYSTEMS.) vista normativo. Le aziende quindi, che già poco avevano apprezzato questo oneroso adempimento normativo, hanno ora tutti gli strumenti per giustificarne la mancata adozione. Riprendendo i concetti appena esposti, appare evidente quanto risulterà complessa l’applicazione del: Prescrizioni in materia di circolazione delle informazioni in ambito bancario e di tracciamento delle operazioni bancarie - 12 maggio 2011 (G.U. n. 127 del 3 giugno 2011), il quale prescrive non solo la registrazione dell’accesso ai dati da parte di un limitato numero di soggetti, quali gli amministratori di sistema, ma anche da parte di tutti gli altri incaricati, come meglio specificato al punto 4.2.1. Punto 4.2.1. Tracciamento delle operazioni. …la registrazione dettagliata, in un apposito log, delle informazioni riferite alle operazioni bancarie effettuate sui dati bancari, quando consistono o derivano dall'uso interattivo dei sistemi operato dagli incaricati, sempre che non si tratti di consultazioni di dati in forma aggregata non riconducibili al singolo cliente. Al di là dell’ambiguità delle definizioni, sulle quali non interessa in questa sede entrare nel merito, ciò che si evidenzia è che relativamente a questo provvedimento, il richiamo all’articolo 4 dello Statuto dei lavoratori ed alla conseguente necessità di definire un accordo sindacale è stato richiamato direttamente dal Garante per la protezione dei dati personali. Le misure di cui al presente paragrafo sono adottate nel rispetto della vigente disciplina in materia di controllo a distanza dei lavoratori (art. 4, l. 20 maggio 1970, n. 300), tenendo altresì conto dei princìpi affermati dal Garante in tema di informativa agli interessati nelle linee guida sull'utilizzo della posta elettronica e di internet (Provv. 1° marzo 2007, doc. web n. 1387522). Se prima della variazione introdotta dalla legge 214/2011 la definizione di tale accordo appariva complessa, ora sarà veramente difficile. Appare evidente che sarà lecito richiedere la limitazione delle registrazioni ai soli log di accesso ed operatività sui dati bancari dei clienti tutelati dal Dlgs 196/03, cioè delle persone fisiche. Che le varie applicazioni bancarie siano realizzate per separare adeguatamente e preventivamente le Speciale Sicurezza ICT posizioni dei vari clienti in base al fatto che si tratti di persone fisiche o di persone giuridiche è quantomeno dubbio. Tale criterio deve essere inoltre applicato in ogni fase del processo di trattamento. Per ora il provvedimento è stato rimandato a giugno 2014 e quindi i Titolari di trattamento (le banche) hanno ancora qualche mese per adeguarsi a quanto richiesto dallo stesso. Da ultimo un cenno sulla protezione garantita dal Dlgs 196/03 alle persone diverse da quelle fisiche. La semplificazione introdotta non ha escluso completamente la tutela del Codice a questi soggetti. Infatti nella parte del Codice - Capo I - Servizi di comunicazione elettronica, vengono introdotti i concetti di “contraente” ed “utente” i quali, in base alle definizioni presenti nell’attuale versione del Codice: f) "contraente", qualunque persona fisica, persona giuridica, ente o associazione parte di un contratto con un fornitore di servizi di comunicazione elettronica accessibili al pubblico per la fornitura di tali servizi, o comunque destinatario di tali servizi tramite schede prepagate; g) "utente", qualsiasi persona fisica che utilizza un servizio di comunicazione elettronica accessibile al pubblico, per motivi privati o commerciali, senza esservi necessariamente abbonata; si riferiscono sia alle persone fisiche sia a quelle giuridiche. Queste ultime quindi ricompaiono, anche se con una tutela in parte più limitata, relativamente ad ambiti molto significativi quali quelli relativi alle comunicazioni in ambito marketing. Al riguardo il Garante per la protezione dei dati personali ha emesso uno specifico provvedimento. Provvedimento in ordine all'applicabilità alle persone giuridiche del Codice in materia di protezione dei dati personali a seguito delle modifiche apportate dal d.l. n. 201/2011 - 20 settembre 2012 (Pubblicato sulla Gazzetta Ufficiale n. 268 del 16 novembre 2012) Meglio quindi continuare a rilasciare anche alle persone giuridiche un’adeguata informativa se si desiderano utilizzare i loro dati per finalità di marketing ed a tutelare adeguatamente i loro dati. 67 Giancarlo Butti Tabella 1: Definizioni Perimetro di applicazione Art. 5. Oggetto ed ambito di applicazione 1. Il presente codice disciplina il trattamento di dati personali, anche detenuti all'estero, effettuato da chiunque è stabilito nel territorio dello Stato o in un luogo comunque soggetto alla sovranità dello Stato. 2. Il presente codice si applica anche al trattamento di dati personali effettuato da chiunque è stabilito nel territorio di un Paese non appartenente all'Unione europea e impiega, per il trattamento, strumenti situati nel territorio dello Stato anche diversi da quelli elettronici, salvo che essi siano utilizzati solo ai fini di transito nel territorio dell'Unione europea. In caso di applicazione del presente codice, il titolare del trattamento designa un proprio rappresentante stabilito nel territorio dello Stato ai fini dell'applicazione della disciplina sul trattamento dei dati personali. 3. Il trattamento di dati personali effettuato da persone fisiche per fini esclusivamente personali è soggetto all'applicazione del presente codice solo se i dati sono destinati ad una comunicazione sistematica o alla diffusione. Si applicano in ogni caso le disposizioni in tema di responsabilità e di sicurezza dei dati di cui agli articoli 15 e 31. Il perimetro di applicazione della normativa è molto amplio e comprende: • trattamenti effettuati in Italia da Titolari stabiliti in Italia • trattamenti effettuati all’estero da Titolari • trattamenti effettuati anche in Italia da soggetti stabiliti nel territorio di un Paese non appartenente all'Unione europea Fatto non molto noto, il rispetto del Dlgs 196/03 è obbligatorio per tutti, anche per il semplice cittadino e non solo per aziende, enti, professionisti. In particolare nel caso in cui tali dati siano destinati a diffusione (ad esempio pubblicazione su un sito Internet, televisione, radio) o comunicazione sistematica si applica per intero la normativa privacy. Dato personale Art. 4. Definizioni 1. Ai fini del presente codice si intende per: … b) "dato personale", qualunque informazione relativa a persona fisica, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale; … La definizione di dato personale (*) è molto più labile di quanto possa apparire ad una prima lettura. Innanzi tutto un dato non nasce come “dato personale”, ma assume tale caratteristica unicamente se è riconducibile in qualche modo, direttamente o indirettamente ad una persona fisica. Un esempio può chiarire meglio questo aspetto, spesso trascurato. Supponiamo che a 10 ragazzi sia sottoposto un questionario anonimo, composto da numerose domande. L’insieme dei dati raccolti costituisce una serie di informazioni che non possono essere ricondotte ai singoli individui, in quanto come precisato, il questionario è anonimo. Supponiamo tuttavia che una delle domande consenta indirettamente di identificare il sesso di una persona, e che fra questi 10 individui una sola persona sia di sesso femminile. In questo caso le informazioni contenute nel questionario della ragazza saranno abbinabili ad una reale persona fisica, diventando quindi dati personali. Tutti gli altri questionari anonimi non conterranno dati personali, pur contenendo le medesime informazioni. L’esempio consente anche di comprendere come si possa interpretare il concetto di identificabile. Un dato personale è tale se è riconducibile direttamente o indirettamente ad una specifica persona fisica. I singoli questionari anonimi non sono riconducibili a specifiche persone fisiche salvo il caso di quello relativo alla ragazza. Aspetto particolarmente importante è che non è rilevante la forma con cui una informazione viene espressa, perché questa assuma il carattere di dato personale. Ad esempio è un dato personale anche l’immagine di una persona purché questa sia riconducibile ad una persona fisica identificata o identificabile. (*) Successivamente alle recentissime variazioni normative (legge 22 dicembre 2011, n. 214), il perimetro di tutela del Dlgs 196/03 è stato limitato ai soli dati personali delle persone fisiche. 68 Speciale Sicurezza ICT PROTEZIONE DEI DATI PERSONALI: AGGIORNAMENTI NORMATIVI. LE CONSEGUENZE SUGLI ADEMPIMENTI FORMALI E SUI SISTEMI INFORMATIVI. (PROTECTING PERSONAL DATA: LATEST REGULATORY UPDATES. THE FALL-OUT ON FORMAL PROCEDURES AND IT SYSTEMS.) Dato sensibile Art. 4. Definizioni 1. Ai fini del presente codice si intende per: … d) "dati sensibili", i dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale; Anche la definizione di dato sensibile non è univoca e assoluta. Genericamente è possibile considerare sensibile un dato personale che potrebbe essere in qualche modo discriminante per una persona. Fra questi rientrano quindi quelli relativi alle convinzioni, alle opinioni, ai costumi ed allo stato di salute… La lettura attenta della definizione porta ad individuare un ampio margine di interpretazione in particolare per quanto attiene le convinzioni; il Dlgs 196/03 infatti così recita: …convinzioni religiose, filosofiche o di altro genere Ulteriore aspetto particolarmente importante riguarda il termine utilizzato dalla normativa per caratterizzare i dati sensibili. Tali dati non sono quelli relativi a una determinata condizione della persona fisica, ma quelli idonei a rivelare tale condizione. Tale concetto è molto più ampio del precedente in quanto porta a considerare come sensibile anche il solo dato che porterebbe a ritenere vera una determinata condizione. Questo amplia notevolmente il perimetro dei dati considerabili come sensibili. Ad esempio potrebbero essere considerati tali anche gli estratti conto di una banca, non tanto per gli importi in essa indicati, quanto per le causali, che potrebbero riportare elargizioni in favore di enti religiosi, partiti politici, pagamenti di fatture a cliniche o specialisti… Trattamento Art. 2. Finalità 1. Il presente testo unico, di seguito denominato "codice", garantisce che il trattamento dei dati personali si svolga nel rispetto dei diritti e delle libertà fondamentali, nonché della dignità dell'interessato, con particolare riferimento alla riservatezza, all'identità personale e al diritto alla protezione dei dati personali. 2. Il trattamento dei dati personali è disciplinato assicurando un elevato livello di tutela dei diritti e delle libertà di cui al comma 1 nel rispetto dei principi di semplificazione, armonizzazione ed efficacia delle modalità previste per il loro esercizio da parte degli interessati, nonché per l'adempimento degli obblighi da parte dei titolari del trattamento. Art. 4. Definizioni 1. Ai fini del presente codice si intende per: a) "trattamento", qualunque operazione o complesso di operazioni, effettuati anche senza l'ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati; La corretta conoscenza della definizione di trattamento è fondamentale per comprendere il perimetro di applicazione del Dlgs 196/03. Per trattamento si intendono infatti le più comuni operazioni eseguite sui dati personali. Rientrano in questa casistica anche la semplice consultazione (presa visione) o la registrazione (ad esempio dei log) e conservazione. Interessato Speciale Sicurezza ICT Art. 4. Definizioni … i) "interessato", la persona fisica, cui si riferiscono i dati personali; 69 Giancarlo Butti Titolare Art. 4. Definizioni … f) "titolare", la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza; Responsabile Art. 4. Definizioni … g) "responsabile", la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali; Incaricato Art. 4. Definizioni … h) "incaricati", le persone fisiche autorizzate a compiere operazioni di trattamento dal titolare o dal responsabile; Il Titolare del trattamento è la società, l’ente…, il libero professionista; non è il legale rappresentante di tali soggetti. Il Responsabile è una figura facoltativa; può essere persona fisica o giuridica, interno o esterno alla struttura del Titolare. Può esserci più di un Responsabile. L’incaricato può essere solo una persona fisica. 70 Speciale Sicurezza ICT PROTEZIONE DEI DATI PERSONALI: AGGIORNAMENTI NORMATIVI. LE CONSEGUENZE SUGLI ADEMPIMENTI FORMALI E SUI SISTEMI INFORMATIVI. (PROTECTING PERSONAL DATA: LATEST REGULATORY UPDATES. THE FALL-OUT ON FORMAL PROCEDURES AND IT SYSTEMS.) Tabella 2: La regolamentazione della sicurezza La regolamentazione degli aspetti relativi alla sicurezza è disciplinata nell’ambito della normativa privacy da: • Dlgs 196/03 tramite gli articoli (art. 3 e artt. 30-36); la versione costantemente aggiornata del Dlgs 196/03 è disponibile sul sito www.garanteprivacy.it • Allegato B - Disciplinare tecnico in materia di misure minime di sicurezza • una serie di atti del Garante per la protezione dei dati personali; fra i principali si elencano i seguenti: Etichette intelligenti (Rfid): Dispositivi biometrici Videosorveglianza Distruzione di apparecchiature e supporti Amministratori di sistema Utilizzo di posta elettronica ed Internet "Etichette intelligenti" (Rfid): il Garante individua le garanzie per il loro uso (9 marzo 2005) Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro alle dipendenze di datori di lavoro privati (Deliberazione n. 53 del 23 novembre 2006) Provvedimento in materia di videosorveglianza - 8 aprile 2010 (G.U. n. 99 del 29 aprile 2010) Rifiuti di apparecchiature elettriche ed elettroniche (Raae) e misure di sicurezza dei dati personali - 13 ottobre 2008 (G.U. n. 287 del 9 dicembre 2008) Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema (Provvedimenti a carattere generale - 27 novembre 2008) e successive modificazioni Lavoro: le linee guida del Garante per posta elettronica e internet (G.U. n. 58 del 10 marzo 2007) Aspetti relativi alla sicurezza sono inoltre trattati nei seguenti atti: Guida pratica e misure di semplificazione per le piccole e medie imprese - 24 maggio 2007 (G.U. n. 142 del 21 giugno 2007) Semplificazione delle misure di sicurezza contenute nel disciplinare tecnico di cui all'Allegato B) al Codice in materia di protezione dei dati personali - 27 novembre 2008 (G.U. n. 287 del 9 dicembre 2008) Semplificazioni di taluni adempimenti in ambito pubblico e privato rispetto a trattamenti per finalità amministrative e contabili - 19 giugno 2008 (G.U. n. 152 del 1° luglio 2008) Prescrizioni in materia di circolazione delle informazioni in ambito bancario e di tracciamento delle operazioni bancarie - 12 maggio 2011 (G.U. n. 127 del 3 giugno 2011) Speciale Sicurezza ICT 71 Giancarlo Butti Tabella 3: Misure di sicurezza Dlgs 30 giugno 2003, n. 196 - CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI Titolo V - Sicurezza dei dati e dei sistemi Capo I - Misure di sicurezza Art. 31. Obblighi di sicurezza 1. I dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta. Art. 32. Particolari titolari 1. Il fornitore di un servizio di comunicazione elettronica accessibile al pubblico adotta, ai sensi dell'articolo 31, anche attraverso altri soggetti a cui sia affidata l'erogazione del predetto servizio, misure tecniche e organizzative adeguate al rischio esistente, per salvaguardare la sicurezza dei suoi servizi e per gli adempimenti di cui all'articolo 32-bis. (2) 1-bis. Ferma restando l'osservanza degli obblighi di cui agli articoli 30 e 31, i soggetti che operano sulle reti di comunicazione elettronica garantiscono che i dati personali siano accessibili soltanto al personale autorizzato per fini legalmente autorizzati. (3) 1-ter. Le misure di cui ai commi 1 e 1-bis garantiscono la protezione dei dati relativi al traffico ed all'ubicazione e degli altri dati personali archiviati o trasmessi dalla distruzione anche accidentale, da perdita o alterazione anche accidentale e da archiviazione, trattamento, accesso o divulgazione non autorizzati o illeciti, nonché assicurano l'attuazione di una politica di sicurezza. (3) 2. Quando la sicurezza del servizio o dei dati personali richiede anche l'adozione di misure che riguardano la rete, il fornitore del servizio di comunicazione elettronica accessibile al pubblico adotta tali misure congiuntamente con il fornitore della rete pubblica di comunicazioni. In caso di mancato accordo, su richiesta di uno dei fornitori, la controversia è definita dall'Autorità per le garanzie nelle comunicazioni secondo le modalità previste dalla normativa vigente. 3. Il fornitore di un servizio di comunicazione elettronica accessibile al pubblico informa i contraenti e, ove possibile, gli utenti, se sussiste un particolare rischio di violazione della sicurezza della rete, indicando, quando il rischio è al di fuori dell'ambito di applicazione delle misure che il fornitore stesso è tenuto ad adottare ai sensi dei commi 1, 1-bis e 2, tutti i possibili rimedi e i relativi costi presumibili. Analoga informativa è resa al Garante e all'Autorità per le garanzie nelle comunicazioni. (4) * Ai sensi dell'art. 1, comma 12, del decreto legislativo 28 maggio 2012, n. 69, la parola "contraente" ha sostituito la parola "abbonato", ovunque ricorrente nel decreto legislativo 30 giugno 2003, n. 196. (1) Rubrica così sostituita dall'art. 1, comma 2, lett. a), del decreto legislativo 28 maggio 2012, n. 69. (2) Comma così sostituito dall'art. 1, comma 2, lett. b), del decreto legislativo 28 maggio 2012, n. 69. (3) Comma inserito dall'art. 1, comma 2, lett. c), del decreto legislativo 28 maggio 2012, n. 69. (4) Comma così modificato dall'art. 1, comma 2, lett. d), del decreto legislativo 28 maggio 2012, n. 69. Art. 32-bis Adempimenti conseguenti ad una violazione di dati personali (1) 1. In caso di violazione di dati personali, il fornitore di servizi di comunicazione elettronica accessibili al pubblico comunica senza indebiti ritardi detta violazione al Garante. 2. Quando la violazione di dati personali rischia di arrecare pregiudizio ai dati personali o alla riservatezza del contraente o di altra persona, il fornitore comunica anche agli stessi senza ritardo l'avvenuta violazione. 3. La comunicazione di cui al comma 2 non é dovuta se il fornitore ha dimostrato al Garante di aver utilizzato misure tecnologiche di protezione che rendono i dati inintelligibili a chiunque non sia autorizzato ad accedervi e che tali misure erano state applicate ai dati oggetto della violazione. 4. Ove il fornitore non vi abbia già provveduto, il Garante può, considerate le presumibili ripercussioni negative della violazione, obbligare lo stesso a comunicare al contraente o ad altra persona l'avvenuta violazione. 5. La comunicazione al contraente o ad altra persona contiene almeno una descrizione della natura della violazione di dati personali e i punti di contatto presso cui si possono ottenere maggiori informazioni ed elenca le misure raccomandate per attenuare i possibili effetti pregiudizievoli della violazione di dati personali. La comunicazione al Garante descrive, inoltre, le conseguenze della violazione di dati personali e le misure proposte o adottate dal fornitore per porvi rimedio. 6. Il Garante può emanare, con proprio provvedimento, orientamenti e istruzioni in relazione alle circostanze in cui il fornitore ha l'obbligo di comunicare le violazioni di dati personali, al formato applicabile a tale comunicazione, nonchè alle relative modalità di effettuazione, tenuto conto delle eventuali misure tecniche di attuazione adottate dalla Commissione europea ai sensi dell'articolo 4, paragrafo 5, della direttiva 2002/58/CE, come modificata dalla direttiva 2009/136/CE. 72 Speciale Sicurezza ICT PROTEZIONE DEI DATI PERSONALI: AGGIORNAMENTI NORMATIVI. LE CONSEGUENZE SUGLI ADEMPIMENTI FORMALI E SUI SISTEMI INFORMATIVI. (PROTECTING PERSONAL DATA: LATEST REGULATORY UPDATES. THE FALL-OUT ON FORMAL PROCEDURES AND IT SYSTEMS.) 7. I fornitori tengono un aggiornato inventario delle violazioni di dati personali, ivi incluse le circostanze in cui si sono verificate, le loro conseguenze e i provvedimenti adottati per porvi rimedio, in modo da consentire al Garante di verificare il rispetto delle disposizioni del presente articolo. Nell'inventario figurano unicamente le informazioni necessarie a tal fine. 8. Nel caso in cui il fornitore di un servizio di comunicazione elettronica accessibile al pubblico affidi l'erogazione del predetto servizio ad altri soggetti, gli stessi sono tenuti a comunicare al fornitore senza indebito ritardo tutti gli eventi e le informazioni necessarie a consentire a quest'ultimo di effettuare gli adempimenti di cui al presente articolo. (1) Articolo inserito dall'art. 1, comma 3, del decreto legislativo 28 maggio 2012, n. 69. Capo II - Misure minime di sicurezza Art. 33. Misure minime 1. Nel quadro dei più generali obblighi di sicurezza di cui all'articolo 31, o previsti da speciali disposizioni, i titolari del trattamento sono comunque tenuti ad adottare le misure minime individuate nel presente capo o ai sensi dell'articolo 58, comma 3, volte ad assicurare un livello minimo di protezione dei dati personali. Art. 34. Trattamenti con strumenti elettronici 1. Il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell'allegato B), le seguenti misure minime: a) autenticazione informatica; b) adozione di procedure di gestione delle credenziali di autenticazione; c) utilizzazione di un sistema di autorizzazione; d) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici; e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici; f) adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi; g) [soppressa] (1); h) adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari. 1-bis. [abrogato] (2) 1-ter. Ai fini dell'applicazione delle disposizioni in materia di protezione dei dati personali, i trattamenti effettuati per finalità amministrativo-contabili sono quelli connessi allo svolgimento delle attività di natura organizzativa, amministrativa, finanziaria e contabile, a prescindere dalla natura dei dati trattati. In particolare, perseguono tali finalità le attività organizzative interne, quelle funzionali all'adempimento di obblighi contrattuali e precontrattuali, alla gestione del rapporto di lavoro in tutte le sue fasi, alla tenuta della contabilità e all'applicazione delle norme in materia fiscale, sindacale, previdenziale-assistenziale, di salute, igiene e sicurezza sul lavoro. (3) (1) Lettera soppressa dall'art. 45, comma 1, lett. c), del decreto legge 9 febbraio 2012, n. 5, convertito, con modificazioni, dalla legge 4 aprile 2012, n. 35. Si riporta, per completezza, il testo originale: "tenuta di un aggiornato documento programmatico sulla sicurezza". (2) Comma aggiunto dall'art. 6, comma 2, lett. a), numero 5), del decreto legge 13 maggio 2011, n. 70, convertito, con modificazioni, dalla legge 12 luglio 2011, n. 106 (in sostituzione del precedente comma 1-bis aggiunto dall'art. 29, comma 1, del decreto legge 25 giugno 2008, n. 112, convertito, con modificazioni, dalla legge 6 agosto 2008, n. 133), e successivamente abrogato dall'art. 45, comma 1, lett. c), del decreto legge 9 febbraio 2012, n. 5, convertito, con modificazioni, dalla legge 4 aprile 2012, n. 35. (3) Comma aggiunto dall'art. 6, comma 2, lett. a), numero 5), del decreto legge 13 maggio 2011, n. 70, convertito, con modificazioni, dalla legge 12 luglio 2011, n. 106, in sostituzione del precedente comma 1-bis aggiunto dall'art. 29, comma 1, del decreto legge 25 giugno 2008, n. 112, convertito, con modificazioni, dalla legge 6 agosto 2008, n. 133. Art. 35. Trattamenti senza l'ausilio di strumenti elettronici 1. Il trattamento di dati personali effettuato senza l'ausilio di strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell'allegato B), le seguenti misure minime: a) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati o alle unità organizzative; b) previsione di procedure per un'idonea custodia di atti e documenti affidati agli incaricati per lo svolgimento dei relativi compiti; c) previsione di procedure per la conservazione di determinati atti in archivi ad accesso selezionato e disciplina delle modalità di accesso finalizzata all'identificazione degli incaricati. Art. 36. Adeguamento (1) 1. Il disciplinare tecnico di cui all'allegato B), relativo alle misure minime di cui al presente capo, è aggiornato periodicamente con decreto del Ministro della giustizia di concerto con il Ministro per le innovazioni e le tecnologie e il Ministro per la semplificazione normativa, in relazione all'evoluzione tecnica e all'esperienza maturata nel settore. (1) Articolo così modificato dall'art. 29, comma 5-bis, del decreto legge 25 giugno 2008, n. 112, convertito, con modificazioni, dalla legge 6 agosto 2008, n. 133. Speciale Sicurezza ICT 73 Giancarlo Butti Codice in materia di protezione dei dati personali B. Disciplinare tecnico in materia di misure minime di sicurezza (Artt. da 33 a 36 del Codice) Trattamenti con strumenti elettronici Modalità tecniche da adottare a cura del titolare, del responsabile ove designato e dell'incaricato, in caso di trattamento con strumenti elettronici: Sistema di autenticazione informatica 1. Il trattamento di dati personali con strumenti elettronici è consentito agli incaricati dotati di credenziali di autenticazione che consentano il superamento di una procedura di autenticazione relativa a uno specifico trattamento o a un insieme di trattamenti. 2. Le credenziali di autenticazione consistono in un codice per l'identificazione dell'incaricato associato a una parola chiave riservata conosciuta solamente dal medesimo oppure in un dispositivo di autenticazione in possesso e uso esclusivo dell'incaricato, eventualmente associato a un codice identificativo o a una parola chiave, oppure in una caratteristica biometrica dell'incaricato, eventualmente associata a un codice identificativo o a una parola chiave. 3. Ad ogni incaricato sono assegnate o associate individualmente una o più credenziali per l'autenticazione. 4. Con le istruzioni impartite agli incaricati è prescritto di adottare le necessarie cautele per assicurare la segretezza della componente riservata della credenziale e la diligente custodia dei dispositivi in possesso ed uso esclusivo dell'incaricato. 5. La parola chiave, quando è prevista dal sistema di autenticazione, è composta da almeno otto caratteri oppure, nel caso in cui lo strumento elettronico non lo permetta, da un numero di caratteri pari al massimo consentito; essa non contiene riferimenti agevolmente riconducibili all'incaricato ed è modificata da quest'ultimo al primo utilizzo e, successivamente, almeno ogni sei mesi. In caso di trattamento di dati sensibili e di dati giudiziari la parola chiave è modificata almeno ogni tre mesi. 6. Il codice per l'identificazione, laddove utilizzato, non può essere assegnato ad altri incaricati, neppure in tempi diversi. 7. Le credenziali di autenticazione non utilizzate da almeno sei mesi sono disattivate, salvo quelle preventivamente autorizzate per soli scopi di gestione tecnica. 8. Le credenziali sono disattivate anche in caso di perdita della qualità che consente all'incaricato l'accesso ai dati personali. 9. Sono impartite istruzioni agli incaricati per non lasciare incustodito e accessibile lo strumento elettronico durante una sessione di trattamento. 10. Quando l'accesso ai dati e agli strumenti elettronici è consentito esclusivamente mediante uso della componente riservata della credenziale per l'autenticazione, sono impartite idonee e preventive disposizioni scritte volte a individuare chiaramente le modalità con le quali il titolare può assicurare la disponibilità di dati o strumenti elettronici in caso di prolungata assenza o impedimento dell'incaricato che renda indispensabile e indifferibile intervenire per esclusive necessità di operatività e di sicurezza del sistema. In tal caso la custodia delle copie delle credenziali è organizzata garantendo la relativa segretezza e individuando preventivamente per iscritto i soggetti incaricati della loro custodia, i quali devono informare tempestivamente l'incaricato dell'intervento effettuato. 11. Le disposizioni sul sistema di autenticazione di cui ai precedenti punti e quelle sul sistema di autorizzazione non si applicano ai trattamenti dei dati personali destinati alla diffusione. Sistema di autorizzazione 12. Quando per gli incaricati sono individuati profili di autorizzazione di ambito diverso è utilizzato un sistema di autorizzazione. 13. I profili di autorizzazione, per ciascun incaricato o per classi omogenee di incaricati, sono individuati e configurati anteriormente all'inizio del trattamento, in modo da limitare l'accesso ai soli dati necessari per effettuare le operazioni di trattamento. 14. Periodicamente, e comunque almeno annualmente, è verificata la sussistenza delle condizioni per la conservazione dei profili di autorizzazione. Altre misure di sicurezza 15. Nell'ambito dell'aggiornamento periodico con cadenza almeno annuale dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici, la lista degli incaricati può essere redatta anche per classi omogenee di incarico e dei relativi profili di autorizzazione. 16. I dati personali sono protetti contro il rischio di intrusione e dell'azione di programmi di cui all'art. 615-quinquies del codice penale, mediante l'attivazione di idonei strumenti elettronici da aggiornare con cadenza almeno semestrale. 17. Gli aggiornamenti periodici dei programmi per elaboratore volti a prevenire la vulnerabilità di strumenti elettronici e a correggerne difetti sono effettuati almeno annualmente. In caso di trattamento di dati sensibili o giudiziari l'aggiornamento è almeno semestrale. 18. Sono impartite istruzioni organizzative e tecniche che prevedono il salvataggio dei dati con frequenza almeno settimanale. Documento programmatico sulla sicurezza Artt. da 19 a 19.8 [soppressi] (¹) 74 Speciale Sicurezza ICT PROTEZIONE DEI DATI PERSONALI: AGGIORNAMENTI NORMATIVI. LE CONSEGUENZE SUGLI ADEMPIMENTI FORMALI E SUI SISTEMI INFORMATIVI. (PROTECTING PERSONAL DATA: LATEST REGULATORY UPDATES. THE FALL-OUT ON FORMAL PROCEDURES AND IT SYSTEMS.) Ulteriori misure in caso di trattamento di dati sensibili o giudiziari 20. I dati sensibili o giudiziari sono protetti contro l'accesso abusivo, di cui all'art. 615-ter del codice penale, mediante l'utilizzo di idonei strumenti elettronici. 21. Sono impartite istruzioni organizzative e tecniche per la custodia e l'uso dei supporti rimovibili su cui sono memorizzati i dati al fine di evitare accessi non autorizzati e trattamenti non consentiti. 22. I supporti rimovibili contenenti dati sensibili o giudiziari se non utilizzati sono distrutti o resi inutilizzabili, ovvero possono essere riutilizzati da altri incaricati, non autorizzati al trattamento degli stessi dati, se le informazioni precedentemente in essi contenute non sono intelligibili e tecnicamente in alcun modo ricostruibili. 23. Sono adottate idonee misure per garantire il ripristino dell'accesso ai dati in caso di danneggiamento degli stessi o degli strumenti elettronici, in tempi certi compatibili con i diritti degli interessati e non superiori a sette giorni. 24. Gli organismi sanitari e gli esercenti le professioni sanitarie effettuano il trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale contenuti in elenchi, registri o banche di dati con le modalità di cui all'articolo 22, comma 6, del codice, anche al fine di consentire il trattamento disgiunto dei medesimi dati dagli altri dati personali che permettono di identificare direttamente gli interessati. I dati relativi all'identità genetica sono trattati esclusivamente all'interno di locali protetti accessibili ai soli incaricati dei trattamenti ed ai soggetti specificatamente autorizzati ad accedervi; il trasporto dei dati all'esterno dei locali riservati al loro trattamento deve avvenire in contenitori muniti di serratura o dispositivi equipollenti; il trasferimento dei dati in formato elettronico è cifrato. Misure di tutela e garanzia 25. Il titolare che adotta misure minime di sicurezza avvalendosi di soggetti esterni alla propria struttura, per provvedere alla esecuzione riceve dall'installatore una descrizione scritta dell'intervento effettuato che ne attesta la conformità alle disposizioni del presente disciplinare tecnico. 26. [soppresso] (¹) Trattamenti senza l'ausilio di strumenti elettronici Modalità tecniche da adottare a cura del titolare, del responsabile, ove designato, e dell'incaricato, in caso di trattamento con strumenti diversi da quelli elettronici: 27. Agli incaricati sono impartite istruzioni scritte finalizzate al controllo ed alla custodia, per l'intero ciclo necessario allo svolgimento delle operazioni di trattamento, degli atti e dei documenti contenenti dati personali. Nell'ambito dell'aggiornamento periodico con cadenza almeno annuale dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati, la lista degli incaricati può essere redatta anche per classi omogenee di incarico e dei relativi profili di autorizzazione. 28. Quando gli atti e i documenti contenenti dati personali sensibili o giudiziari sono affidati agli incaricati del trattamento per lo svolgimento dei relativi compiti, i medesimi atti e documenti sono controllati e custoditi dagli incaricati fino alla restituzione in maniera che ad essi non accedano persone prive di autorizzazione, e sono restituiti al termine delle operazioni affidate. 29. L'accesso agli archivi contenenti dati sensibili o giudiziari è controllato. Le persone ammesse, a qualunque titolo, dopo l'orario di chiusura, sono identificate e registrate. Quando gli archivi non sono dotati di strumenti elettronici per il controllo degli accessi o di incaricati della vigilanza, le persone che vi accedono sono preventivamente autorizzate. (1) Paragrafi soppressi dall'art. 45, comma 1, lett. d), del decreto legge 9 febbraio 2012, n. 5, convertito, con modificazioni, dalla legge 4 aprile 2012, n. 35. Per completezza, si riporta di seguito il testo dei paragrafi soppressi. 19. Entro il 31 marzo di ogni anno, il titolare di un trattamento di dati sensibili o di dati giudiziari redige anche attraverso il responsabile, se designato, un documento programmatico sulla sicurezza contenente idonee informazioni riguardo: 19.1. l'elenco dei trattamenti di dati personali; 19.2. la distribuzione dei compiti e delle responsabilità nell'ambito delle strutture preposte al trattamento dei dati; 19.3. l'analisi dei rischi che incombono sui dati; 19.4. le misure da adottare per garantire l'integrità e la disponibilità dei dati, nonchè la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità; 19.5. la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento di cui al successivo punto 23; 19.6. la previsione di interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare. La formazione è programmata già al momento dell'ingresso in servizio, nonchè in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati personali; 19.7. la descrizione dei criteri da adottare per garantire l'adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformità al codice, all'esterno della struttura del titolare; 19.8. per i dati personali idonei a rivelare lo stato di salute e la vita sessuale di cui al punto 24, l'individuazione dei criteri da adottare per la cifratura o per la separazione di tali dati dagli altri dati personali dell'interessato. 26. Il titolare riferisce, nella relazione accompagnatoria del bilancio d'esercizio, se dovuta, dell'avvenuta redazione o aggiornamento del documento programmatico sulla sicurezza. Speciale Sicurezza ICT 75 Giancarlo Butti Tabella 4: casi di mancato rispetto delle misure di sicurezza Nella seguente tabella sono riportati i casi più frequentemente riscontrati di mancata applicazione delle misure minime di sicurezza o comunque di misure che impattano sulla sicurezza dei sistemi informativi. Tali dati derivano dalla attività di verifica e consulenza effettuata dall’autore negli ultimi 14 anni. CASI DI MANCATA APPLICAZIONE Codice in materia di protezione dei dati personali Decreto legislativo 30 giugno 2003, n. 196 RIFERIMENTO NORMATIVO A rt. 3. Principio di necessità nel trattamento dei dati VIOLAZIONE Mancato adeguamento dei sistemi informativi. L’obbligo di tale adempimento è richiamato dalle varie Autorizzazioni di carattere generale; si riporta come esempio: Autorizzazione n. 1/2009 al trattamento dei dati sensibili nei rapporti di lavoro 16 dicembre 2009 … il trattamento dei dati sensibili di cui all'art. 4, comma 1, lett. d), del Codice, finalizzato alla gestione dei rapporti di lavoro, secondo le prescrizioni di seguito indicate. Prima di iniziare o proseguire il trattamento i sistemi informativi e i programmi informatici sono configurati riducendo al minimo l'utilizzazione di dati personali e di dati identificativi, in modo da escluderne il trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante, rispettivamente, dati anonimi od opportune modalità che permettano di identificare l'interessato solo in caso di necessità, in conformità all'art. 3 del Codice. Codice in materia di protezione dei dati personali B. Disciplinare tecnico in materia di misure minime di sicurezza (Artt. da 33 a 36 del Codice) Istruzioni agli incaricati RIFERIMENTO NORMATIVO VIOLAZIONE 9. Sono impartite istruzioni agli incaricati … Mancata formalizzazione scritta delle istruzioni. 21. Sono impartite istruzioni organizzative e tecniche … Mancata formalizzazione scritta delle istruzioni. 10. … sono impartite idonee e preventive disposizioni scritte…individuando preventivamente per iscritto … Mancata formalizzazione scritta delle istruzioni. Mancata individuazione scritta preventiva dei custodi delle credenziali. RIFERIMENTO NORMATIVO VIOLAZIONE 4. Con le istruzioni impartite agli incaricati…. 18. Sono impartite istruzioni organizzative e tecniche … 27. Agli incaricati sono impartite istruzioni scritte … Misure di tutela e garanzia 25. …riceve dall'installatore una descrizione scritta dell'intervento effettuato che ne attesta la conformità … 76 Mancata formalizzazione scritta delle istruzioni. Mancata formalizzazione scritta delle istruzioni. Mancata formalizzazione scritta delle istruzioni. Mancata richiesta/rilascio della descrizione dell’intervento e della attestazione di conformità. Speciale Sicurezza ICT PROTEZIONE DEI DATI PERSONALI: AGGIORNAMENTI NORMATIVI. LE CONSEGUENZE SUGLI ADEMPIMENTI FORMALI E SUI SISTEMI INFORMATIVI. (PROTECTING PERSONAL DATA: LATEST REGULATORY UPDATES. THE FALL-OUT ON FORMAL PROCEDURES AND IT SYSTEMS.) Separazione dei ruoli e dei profili di accesso 12, 13, 14, 27 Non corretta profilazione sui sistemi informativi. Incoerenza nella gestione degli accessi alla stessa tipologia di dati quando questi sono presenti in archivi diversi ed accessibili con diverse applicazioni. Incoerenza nella gestione degli accessi alla stessa tipologia di dati quando questi sono presenti in archivi on line e storici. Presenza nei documenti di dati che richiedono autorizzazioni di accesso differenziate. Errata organizzazione e separazione dei documenti. Errata organizzazione e separazioni degli spazi fisici. Non corretta gestione degli strumenti di uso comune a più strutture. … La normativa prescrive, correttamente, che a ruoli diversi che comportino differenziazione nei trattamenti e differenziazione nell’accesso ai dati, corrispondano altrettanti profili abilitativi per l’accesso alle risorse dei sistemi informativi. Analoga differenziazione deve avvenire per i dati ed i trattamenti effettuati fuori dal sistema informativo. Questa semplice e corretta logica, applicabile nei casi più semplici, si scontra con enormi difficoltà oggettive allorquando il numero di applicazioni e sistemi aumenta notevolmente. Ad esempio, nel caso di una banca di medie dimensioni, si possono contare fino a 300 applicazioni, fino a 700 in una banca di grandi dimensioni. La stessa informazione (ad esempio i movimenti di un conto corrente) potrebbe essere disponibile su diverse applicazioni contemporaneamente, presenti in ambienti diversi e con livelli di profilatura non omogenei fra loro. Una corretta mappatura di processi, attività, dati, applicazioni, ruoli (prerequisito per una corretta profilatura), ed il solo mantenimento nel tempo, può risultare particolarmente oneroso e non praticabile. Ulteriore differenziazione nella possibilità di profilatura potrebbe riguardare i dati on line e quelli “storici”, disponibili su nastri o supporti ottici, la cui consultazione non necessariamente richiede l’uso delle applicazioni di origine. Ancor più complessa è la gestione dei dati contenuti nei documenti. Un documento può essere l’integrazione di dati provenienti da applicativi e fonti diverse e non necessariamente chi consulta il documento può essere autorizzato alla loro visione complessiva. Purtroppo i documenti non sono pensati per garantire livelli di accesso diversi dall’intero documento. Il fatto che molto spesso l’unico trattamento possibile su dati e documenti sia la semplice consultazione non esime il Titolare dalle sue responsabilità, come ben identificato nell’articolo 31 del Dlgs 196/03 e come il Garante per la protezione dei dati personali ha ribadito nelle sue: Prescrizioni in materia di circolazione delle informazioni in ambito bancario e di tracciamento delle operazioni bancarie - 12 maggio 2011 Ulteriore punto di attenzione, spesso di difficile applicazione, riguarda la separazione degli spazi fisici per quanti svolgono attività diverse o addirittura appartengono a diverse società (e quindi Titolari) dello stesso Gruppo. Anche in questo caso il rischio maggiore riguarda il possibile accesso in consultazione ad un dato da parte di che non è autorizzato. Con la “Semplificazione delle misure di sicurezza contenute nel disciplinare tecnico di cui all'Allegato B) al Codice in materia di protezione dei dati personali - 27 novembre 2008” le istruzioni relative alle misure minime 4, 9, 18, 21, 27 possono essere date anche oralmente da parte dei Titolari che rientrano fra i soggetti che possono avvalersi di tale semplificazione. Nessuna semplificazione è prevista relativamente alla misura minima 10. Speciale Sicurezza ICT 77 Giancarlo Butti Tabella 5: Semplificazioni alle misure minime di sicurezza Semplificazione delle misure di sicurezza contenute nel disciplinare tecnico di cui all'Allegato B) al Codice in materia di protezione dei dati personali - 27 novembre 2008 G.U. n. 287 del 9 dicembre 2008 2. Trattamenti effettuati con strumenti elettronici I soggetti di cui al paragrafo 1 possono applicare le misure minime di sicurezza prescritte dalla disciplina in materia di trattamenti realizzati con l'ausilio di strumenti elettronici (art. 34 del Codice e regole da 1 a 26 dell'Allegato B) osservando le modalità semplificate di seguito individuate. 2.1. Istruzioni agli incaricati del trattamento (modalità applicative delle regole di cui ai punti 4, 9, 18 e 21 dell'Allegato B)) Le istruzioni in materia di misure minime di sicurezza previste dall'Allegato B) possono essere impartite agli incaricati del trattamento anche oralmente, con indicazioni di semplice e chiara formulazione. 2.2. Sistema di autenticazione informatica (modalità applicative delle regole di cui ai punti 1, 2, 3, 5, 6, 7, 8, 10 e 11 dell'Allegato B)) Per l'accesso ai sistemi informatici si può utilizzare un qualsiasi sistema di autenticazione basato su un codice per identificare chi accede ai dati (di seguito, "username"), associato a una parola chiave (di seguito: "password"), in modo che: a) l'username individui in modo univoco una sola persona, evitando che soggetti diversi utilizzino codici identici; b) la password sia conosciuta solo dalla persona che accede ai dati. L'username deve essere disattivato quando l'incaricato non ha più la qualità che rende legittimo l'utilizzo dei dati (ad esempio, in quanto non opera più all'interno dell'organizzazione). Può essere adottata, quale procedura di autenticazione anche la procedura di login disponibile sul sistema operativo delle postazioni di lavoro connesse a una rete. In caso di prolungata assenza o impedimento dell'incaricato che renda indispensabile e indifferibile intervenire per esclusive necessità di operatività e di sicurezza del sistema, se l'accesso ai dati e agli strumenti elettronici è consentito esclusivamente mediante uso della password, il titolare può assicurare la disponibilità di dati o strumenti elettronici con procedure o modalità predefinite. Riguardo a tali modalità, sono fornite preventive istruzioni agli incaricati e gli stessi sono informati degli interventi effettuati (ad esempio, prescrivendo ai lavoratori che si assentino dall'ufficio per ferie l'attivazione di modalità che consentano di inviare automaticamente messaggi di posta elettronica ad un altro recapito accessibile: si vedano le Linee guida in materia di lavoro per posta elettronica e Internet approvate dal Garante e pubblicate nella Gazzetta ufficiale 10 marzo 2007 , n. 58 [doc. web n. 1387522]). 2.3. Sistema di autorizzazione (modalità applicative delle regole di cui ai punti 12, 13 e 14 dell'Allegato B)) Qualora sia necessario diversificare l'ambito del trattamento consentito, possono essere assegnati agli incaricati –singolarmente o per categorie omogenee corrispondenti profili di autorizzazione, tramite un sistema di autorizzazione o funzioni di autorizzazione incorporate nelle applicazioni software o nei sistemi operativi, così da limitare l'accesso ai soli dati necessari per effettuare le operazioni di trattamento. 2.3. Sistema di autorizzazione (modalità applicative delle regole di cui ai punti 12, 13 e 14 dell'Allegato B)) Qualora sia necessario diversificare l'ambito del trattamento consentito, possono essere assegnati agli incaricati –singolarmente o per categorie omogenee corrispondenti profili di autorizzazione, tramite un sistema di autorizzazione o funzioni di autorizzazione incorporate nelle applicazioni software o nei sistemi operativi, così da limitare l'accesso ai soli dati necessari per effettuare le operazioni di trattamento. 2.4. A ltre misure di sicurezza (modalità applicative delle regole di cui ai punti 15, 16, 17 e 18 dell'Allegato B)) I soggetti di cui al paragrafo 1 assicurano che l'ambito di trattamento assegnato ai singoli incaricati, nonché agli addetti alla gestione o alla manutenzione degli strumenti elettronici, sia coerente con i princìpi di adeguatezza, proporzionalità e necessità, anche attraverso verifiche periodiche, provvedendo, quando è necessario, ad aggiornare i profili di autorizzazione eventualmente accordati. Gli aggiornamenti periodici dei programmi per elaboratore volti a prevenire la vulnerabilità di strumenti elettronici (ad esempio, antivirus), anche con riferimento ai programmi di cui all'art. 615-quinquies del codice penale, nonché a correggerne difetti, sono effettuati almeno annualmente. Se il computer non è connesso a reti di comunicazione elettronica accessibili al pubblico (linee Adsl, accesso a Internet tramite rete aziendale, posta elettronica), l'aggiornamento deve essere almeno biennale. I dati possono essere salvaguardati anche attraverso il loro salvataggio con frequenza almeno mensile. Il salvataggio periodico può non riguardare i dati non modificati dal momento dell'ultimo salvataggio effettuato (dati statici), purché ne esista una copia di sicurezza da cui effettuare eventualmente il ripristino. 78 Speciale Sicurezza ICT PROTEZIONE DEI DATI PERSONALI: AGGIORNAMENTI NORMATIVI. LE CONSEGUENZE SUGLI ADEMPIMENTI FORMALI E SUI SISTEMI INFORMATIVI. (PROTECTING PERSONAL DATA: LATEST REGULATORY UPDATES. THE FALL-OUT ON FORMAL PROCEDURES AND IT SYSTEMS.) 2.5. Documento programmatico sulla sicurezza (modalità applicative delle regole di cui ai punti da 19.1 a 19.8 dell'Allegato B)) 2.5.1. Fermo restando che per alcuni casi è già previsto per disposizione di legge che si possa redigere un'autocertificazione in luogo del documento programmatico sulla sicurezza (vedi il precedente par. 1, lett. a); art. 29 d.l. n. 112/2008 cit.), i soggetti pubblici e privati che trattano dati personali unicamente per correnti finalità amministrative e contabili, in particolare presso liberi professionisti, artigiani e piccole e medie imprese, possono redigere un documento programmatico sulla sicurezza semplificato sulla base delle indicazioni di seguito riportate. Il documento deve essere redatto prima dell'inizio del trattamento e deve essere aggiornato entro il 31 marzo di ogni anno nel caso in cui, nel corso dell'anno solare precedente, siano intervenute modifiche rispetto a quanto dichiarato nel precedente documento. Il documento deve avere i seguenti contenuti: a) le coordinate identificative del titolare del trattamento, nonché, se designati, gli eventuali responsabili. Nel caso in cui l'organizzazione preveda una frequente modifica dei responsabili designati, potranno essere indicate le modalità attraverso le quali è possibile individuare l'elenco aggiornato dei responsabili del trattamento; b) una descrizione generale del trattamento o dei trattamenti realizzati, che permetta di valutare l'adeguatezza delle misure adottate per garantire la sicurezza del trattamento. In tale descrizione vanno precisate le finalità del trattamento, le categorie di persone interessate e dei dati o delle categorie di dati relativi alle medesime, nonché i destinatari o le categorie di destinatari a cui i dati possono essere comunicati; c) l'elenco, anche per categorie, degli incaricati del trattamento e delle relative responsabilità. Nel caso in cui l'organizzazione preveda una frequente modifica dei responsabili designati, potranno essere indicate le modalità attraverso le quali è possibile individuare l'elenco aggiornato dei responsabili del trattamento con le relative responsabilità; d) una descrizione delle altre misure di sicurezza adottate per prevenire i rischi di distruzione o perdita, anche accidentale, dei dati, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta. 3. Modalità applicative per i trattamenti realizzati senza l'ausilio di strumenti elettronici (modalità applicative delle regole di cui ai punti 27, 28 e 29 dell'Allegato B)) I soggetti di cui al paragrafo 1 possono adempiere all'obbligo di adottare le misure minime di sicurezza di cui all'art. 35 del Codice applicando le misure contenute nell'Allegato B) relativamente ai trattamenti realizzati senza l'ausilio di strumenti elettronici (regole da 27 a 29 dello stesso Allegato B)), con le modalità semplificate di seguito individuate. 3.1. Agli incaricati sono impartite, anche oralmente, istruzioni finalizzate al controllo e alla custodia, per l'intero ciclo necessario allo svolgimento delle operazioni di trattamento, degli atti e dei documenti contenenti dati personali. 3.2. Quando gli atti e i documenti contenenti dati personali sensibili o giudiziari sono affidati agli incaricati del trattamento per lo svolgimento dei relativi compiti, i medesimi atti e documenti sono controllati e custoditi dai medesimi incaricati fino alla restituzione in modo che a essi non accedano persone prive di autorizzazione, e sono restituiti al termine delle operazioni affidate. Speciale Sicurezza ICT 79 Giancarlo Butti Paradossi L’applicazione letterale della normativa privacy nel suo complesso porta al verificarsi di alcuni paradossi che in sede di redazione delle normativa difficilmente era facile prevedere. Per testare l’attenzione dei partecipanti durante una delle sessioni formative da me svolte sull’argomento pongo uno specifico quesito. Premesso che l’art. 7 del Dlgs 196/03 da ampi diritti all’interessato: Art. 7. Diritto di accesso ai dati personali ed altri diritti 1. L'interessato ha diritto di ottenere la conferma dell'esistenza o meno di dati personali che lo riguardano, anche se non ancora registrati, e la loro comunicazione in forma intelligibile. che in base all’art. 8 del Dlgs 196/03, tale richiesta può essere formulata: Art. 8. Esercizio dei diritti 1. I diritti di cui all'articolo 7 sono esercitati con richiesta rivolta senza formalità al titolare o al responsabile, anche per il tramite di un incaricato, alla quale è fornito idoneo riscontro senza ritardo. e che in base all’art. 9 del Dlgs 196/03 la richiesta può essere svolta: Art. 9. Modalità di esercizio 1. La richiesta rivolta al titolare o al responsabile può essere trasmessa anche mediante lettera raccomandata, telefax o posta elettronica. Il Garante può individuare altro idoneo sistema in riferimento a nuove soluzioni tecnologiche. Quando riguarda l'esercizio dei diritti di cui all'articolo 7, commi 1 e 2, la richiesta può essere formulata anche oralmente e in tal caso è annotata sinteticamente a cura dell'incaricato o del responsabile. Il quesito da me formulato è il seguente: “Il Titolare che riceve da un interessato una richiesta dell'esistenza o meno di dati personali che lo riguardano, anche se non ancora registrati, quale risposta deve dare?” La risposta corretta viene fornita dai partecipanti nella maggior parte dei casi. Tale risposta è SI; esistono dati personali che riguardano il soggetto richiedente. Tali dati sono stati forniti al Titolare dallo stesso richiedente al momento della sua richiesta. Senza questi dati il Titolare non potrebbe verificare se sta trattando eventuali altri dati che riguardano l’interessato. Questo non esclude il fatto che il Titolare ha comunque iniziato un trattamento sui dati personali del soggetto richiedente, anche se eventualmente in precedenza non lo stava facendo. Tale trattamento continuerà anche successivamente, dovendo mantenere traccia della richiesta e della risposta fornita. Si pone a questo punto anche il problema che per effettuare lecitamente tale trattamento il Titolare deve rilasciare un’apposita informativa all’interessato. Quindi, anche nel caso in cui il Titolare in precedenza non avesse mai gestito dati dell’interessato che ha effettuato tale richiesta, proprio in conseguenza di tale richiesta avrà nei suoi archivi i dati dell’interessato. Questo è solo uno dei tanti esempi di paradosso possibili… 80 Speciale Sicurezza ICT