Dott.ssa Valentina Frediani
Il Consulente Legale Informatico
vfrediani@consulentelegaleinformatico.it
Le misure minime di
sicurezza nel nuovo Codice della Privacy
Dal
primo gennaio 2004 entrerà in vigore il nuovo Codice in materia di protezione
dei dati personali. Il Codice si basa
sul principio di necessità, secondo cui i sistemi informativi ed i
programmi informatici dovranno essere configurati riducendo al minimo
l’utilizzazione di dati personali e di dati identificativi al fine di escludere
il trattamento quando le finalità perseguite potranno essere realizzate
mediante dati anonimi o tecniche di identificazione del soggetto solo in caso
di necessità. Di rilevante interesse per coloro che trattano i dati mediante
strumenti elettronici, appare il titolo V del Codice che disciplina la
sicurezza dei dati e dei sistemi. In particolare, in relazione alle misure di
sicurezza, il Codice stabilisce che i dati personali oggetto di trattamento
debbono essere custoditi e controllati anche in relazione alle conoscenze
acquisiti in base al progresso tecniche nonché alla natura dei dati ed alle
specifiche caratteristiche del trattamento al fine di ridurre al minimo,
mediante l’adozione di idonee e preventive misure di sicurezza, i rischi di
distruzione o perdita dei dati, di accesso non autorizzato o di trattamento non
consentito o non conforme alla finalità della raccolta. Vige pertanto un
obbligo di adozione di misure minime di sicurezza. Ma cosa si intende con tale
espressione? È il Codice stesso che ci risponde, definendo misure minime quel
complesso di misure tecniche, informatiche, organizzative, logistiche e procedurali
di sicurezza che configurano il livello minimo di protezione normativamente
richiesto rispetto ai rischi sopraelencati. In pratica, il Codice identifica
tali misure in un elenco preciso, secondo cui il trattamento dei dati personali
effettuato con strumenti elettronici è subordinato all’adozione di specifiche
misure. Innanzi tutto occorre predisporre l’utilizzazione di un sistema di
autenticazione informatica, ovvero il trattamento dei dati personali deve
essere consentito solo agli incaricati muniti di credenziali di autenticazione,
cioè di un codice per l’identificazione dell’incaricato associato ad una parola
chiave riservata e conosciuta esclusivamente dall’incaricato stesso, sul quale
grava l’obbligo di adozione delle cautele necessarie al fine di assicurare la
segretezza della componente riservata della credenziale, nonché l’obbligo di
custodire diligentemente i dispositivi in suo possesso ed uso esclusivo. Peraltro, il legislatore stabilisce un
minimo di otto caratteri per quanto riguarda la parola chiave (salvo il caso in
cui lo strumento elettronico non lo consenta dovendo pertanto adottare una
parola chiave composta secondo il numero massimo di caratteri consentiti);
altra misura di sicurezza è identificata nell’obbligo di modifica della parola
chiave almeno ogni sei mesi, salvo tre nei casi in cui il trattamento con
strumenti elettronici abbia ad oggetto dati sensibili o giudiziari. Altro
obbligo imposto sta nel fatto che le credenziali di autenticazione non
utilizzate da almeno sei mesi debbono essere disattivate, derogando solo
nell’ipotesi di un utilizzo meramente finalizzato alla gestione tecnica, per
cui non è richiesta tale scadenza di modifica. Il Codice disciplina peraltro
l’utilizzazione di un sistema di autorizzazione, al quale si ricorre qualora
per gli incaricati siano individuati profili di autorizzazione di ambito
diverso. In tal caso i profili di
autorizzazione per ciascun incaricato o per classi omogenee di incaricati,
dovranno essere individuati e configurati anteriormente all’inizio del
trattamento: questo al fine di limitare l’accesso ai soli dati effettivamente
necessari alla realizzazione delle operazioni di trattamenti cui sono preposti
gli incaricati; la verifica in relazione alle condizioni sussistenti la
conservazione dei profili di autorizzazione deve avvenire almeno annualmente.
Centrale
appare inoltre l’obbligo di redazione del documento programmatico (peraltro
ereditato dal DPR 318/99) in quanto entro il 31 marzo di ogni anno, il titolare
di un trattamento di dati personali effettuato con strumenti elettronici, e
di dati sensibili o dati giudiziari sia
in formato cartaceo che elettronico, deve redigere tale documento sulla
sicurezza. Nel disciplinare tecnico allegato al Codice, sono stabiliti i
passaggi essenziali mediante cui stendere il documento. Innanzi tutto occorre
individuare l’elenco dei trattamenti di dati personali al quale deve
affiancarsi l’elenco inerente la distribuzione dei compiti e delle
responsabilità nell’ambito delle strutture preposte al trattamento dati. Segue
pertanto, coerentemente allo scopo del documento programmatico, l’analisi che
il titolare del trattamento deve fare in relazione ai rischi che incombono sui
dati, indicando conseguentemente anche le misure che sono adottate al fine di garantire
l’integrità e la disponibilità dei dati, nonché la protezione delle aree e dei
locali in relazione alla loro custodia ed accessibilità. Vige l’obbligo di
individuare anche le modalità che possono essere poste a favore del ripristino
della disponibilità dei dati qualora si verifichino episodi di distruzione o
danneggiamento (è il caso di ricordare che per il trattamento di dati sensibili
o giudiziari occorre garantire il ripristino dell’accesso entro 7 giorni).
Infine, gli incaricati del trattamento debbono essere resi edotti dei rischi
che incombono sui dati mediante interventi formativi. Qualora si verifichi
l’ipotesi di trattamenti di dati personali affidati all’esterno della
struttura, sul titolare grava l’obbligo di descrivere nel documento, i criteri
adottati per garantire la sussistenza delle misure minime di sicurezza per quei
dati.
Possiamo
dunque concludere che il nuovo Codice apporterà reali garanzie per la tutela
dei dati personali, pur lasciando qualche perplessità in relazione agli oneri che
molti titolari di trattamenti dati dovranno sostenere al fine di adempiere alle
prescrizioni normative.
Dott.ssa Valentina
Frediani
www.consulentelegaleinformatico.it
torna alla home page del COMMERCIALISTA TELEMATICO