Articoli e dottrina
 
   
 

PRIVACY: LE NUOVE MISURE MINIME

Firewall, autenticazione degli incaricati e rigore nelle password, le novità più importanti per le misure minime di sicurezza


In relazione alla tutela dei dati personali, il nuovo codice emanato nel luglio 2003 ha previsto nuove misure minime di sicurezza che dovranno essere adottate entro il 30 giugno 2004. In realtà il Codice sulla privacy rinvia ad un allegato tecnico ove vengono indicate in maniera analitica tutte le misure minime di sicurezza.

Incaricati del trattamento ed Autenticazione
In primo luogo si ricorda che il titolare del trattamento (o il responsabile, se nominato) devono incaricare per iscritto coloro che provvedono materialmente al trattamento dei dati, impartendo precise istruzioni sulle cautele da adottare per assicurare la segretezza della componente riservata della credenziale (ossia la password) e la diligente custodia dei dispositivi in possesso ed uso esclusivo dell’incaricato; nell’ambito delle istruzioni deve inoltre essere evidenziato di non lasciare incustodito e accessibile lo strumento elettronico durante una sessione di lavoro.
La normativa stabilisce espressamente che l’incaricato debba essere identificato da un codice a cui deve essere associata una parola chiave riservata, conosciuta solamente dal medesimo. L’autenticazione può anche avvenire mediante un dispositivo di autenticazione in possesso e ad uso esclusivo dell’incaricato, eventualmente associato a un codice identificativo o a una parola chiave, o, ancora, consistere in una caratteristica biometrica dell’incaricato, eventualmente associata a un codice identificativo o a una parola chiave.
La parola chiave deve essere di almeno otto caratteri, nel caso in cui lo strumento elettronico non permetta tale lunghezza, da un numero di caratteri pari al massimo consentito; non deve contenere
riferimenti agevolmente riconducibili all’incaricato e deve essere modificata da quest’ultimo al primo utilizzo e, successivamente, almeno ogni sei mesi. In caso di trattamento di dati sensibili e di dati giudiziari la parola chiave è modificata almeno ogni tre mesi.
Fra le istruzioni da impartire agli incaricati, notevole rilevanza assumono quelle volte a individuare le modalità con le quali il titolare può assicurare la disponibilità di dati o strumenti elettronici in caso di prolungata assenza o impedimento dell’incaricato, nel caso in cui si renda indispensabile intervenire per esclusive necessità di operatività e di sicurezza del sistema. In tal caso la custodia delle copie delle credenziali è organizzata garantendo la relativa segretezza e individuando preventivamente per iscritto i soggetti incaricati della loro custodia, i quali devono informare tempestivamente l’incaricato dell’intervento effettuato.
Le disposizioni appena citate non si applicano ai dati per i quali è stata ottenuta, dall’interessato, autorizzazione alla diffusione.

Documento programmatico sulla sicurezza
Anche la redazione del “documento programmatico sulla sicurezza” viene nuovamente indicato come obbligatorio per i titolari di trattamenti di dati sensibili o di dati giudiziari. Il documento dovrà contenere:
- l’elenco dei trattamenti di dati personali;
- la distribuzione dei compiti e delle responsabilità nell’ambito delle strutture preposte al trattamento dei dati;
- l’analisi dei rischi che incombono sui dati;
- le misure da adottare per garantire l’integrità e la disponibilità dei dati, nonché la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità;
- la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento;
- la previsione di interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare. Si rileva come la formazione debba essere programmata già al momento dell’ingresso in servizio, nonché in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati personali;
- la descrizione dei criteri da adottare per garantire l’adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformità al codice sulla privacy, all’esterno della struttura del titolare;
- per i dati personali idonei a rivelare lo stato di salute e la vita sessuale, l’individuazione dei criteri da adottare per la cifratura o per la separazione di tali dati dagli altri dati personali dell’interessato.

Ulteriore novità per il titolare del trattamento di dati personali, consiste nell’obbligo di riferire, nella relazione accompagnatoria del bilancio d’esercizio, dell’avvenuta redazione o aggiornamento del documento programmatico sulla sicurezza.

Altre misure di sicurezza
Come nella precedente edizione delle “misure minime di sicurezza”, la nuova normativa prevede l’obbligo di adozione di programmi antivirus da aggiornare almeno ogni 6 mesi. La novità consiste nell’obbligo di adottare programmi che prevengano la vulnerabilità di strumenti elettronici e per correggerne difetti. L’aggiornamento di tali programmi deve essere effettuata almeno annualmente, in caso di trattamento di dati sensibili o giudiziari l’aggiornamento deve essere –almeno- semestrale. E’ inoltre imposto il salvataggio dei dati almeno settimanale, mediante procedure oggetto di specifiche istruzioni. Chi tratta dati sensibili o giudiziari, deve, inoltre, prevedere “idonei strumenti elettronici” per prevenire accessi abusivi.
In riferimento al trattamento di dati personali senza l’ausilio di strumenti elettronici, si evidenzia la necessità di nominare per iscritto gli incaricati del trattamento e di impartire istruzioni scritte finalizzate al controllo ed alla custodia, per l’intero ciclo necessario allo svolgimento delle operazioni di trattamento, degli atti e dei documenti contenenti dati personali. Quando gli atti e i documenti contenenti dati personali sensibili o giudiziari sono affidati agli incaricati del trattamento per lo svolgimento dei relativi compiti, i medesimi atti e documenti devono essere controllati e custoditi dagli incaricati fino alla restituzione, in maniera che ad essi non accedano persone prive di autorizzazione, e devono essere restituiti al termine delle operazioni affidate