LE MISURE MINIME DI SICUREZZA NEL NUOVO CODICE DELLA PRIVACY
Dal
primo gennaio 2004 entrerà in vigore il nuovo Codice in materia di protezione
dei dati personali. Il Codice si basa sul
principio di necessità, secondo cui i sistemi informativi ed i programmi
informatici dovranno essere configurati riducendo al minimo l’utilizzazione di
dati personali e di dati identificativi al fine di escludere il trattamento
quando le finalità perseguite potranno essere realizzate mediante dati anonimi
o tecniche di identificazione del soggetto solo in caso di necessità. Di
rilevante interesse per coloro che trattano i dati mediante strumenti
elettronici, appare il titolo V del Codice che disciplina la sicurezza dei dati
e dei sistemi. In particolare, in relazione alle misure di sicurezza, il Codice
stabilisce che i dati personali oggetto di trattamento debbono essere custoditi
e controllati anche in relazione alle conoscenze acquisiti in base al progresso
tecniche nonché alla natura dei dati ed alle specifiche caratteristiche del
trattamento al fine di ridurre al minimo, mediante l’adozione di idonee e
preventive misure di sicurezza, i rischi di distruzione o perdita dei dati, di
accesso non autorizzato o di trattamento non consentito o non conforme alla
finalità della raccolta. Vige pertanto un obbligo di adozione di misure minime
di sicurezza. Ma cosa si intende con tale espressione? È il Codice stesso che
ci risponde, definendo misure minime quel complesso di misure tecniche,
informatiche, organizzative, logistiche e procedurali di sicurezza che
configurano il livello minimo di protezione normativamente richiesto rispetto ai
rischi sopraelencati. In pratica, il Codice identifica tali misure in un elenco
preciso, secondo cui il trattamento dei dati personali effettuato con strumenti
elettronici è subordinato all’adozione di specifiche misure. Innanzi tutto
occorre predisporre l’utilizzazione di un sistema di autenticazione
informatica, ovvero il trattamento dei dati personali deve essere consentito
solo agli incaricati muniti di credenziali di autenticazione, cioè di un codice
per l’identificazione dell’incaricato associato ad una parola chiave
riservata e conosciuta esclusivamente dall’incaricato stesso, sul quale grava
l’obbligo di adozione delle cautele necessarie al fine di assicurare la
segretezza della componente riservata della credenziale, nonché l’obbligo di
custodire diligentemente i dispositivi in suo possesso ed uso esclusivo.
Peraltro, il legislatore stabilisce un minimo di otto caratteri per
quanto riguarda la parola chiave (salvo il caso in cui lo strumento elettronico
non lo consenta dovendo pertanto adottare una parola chiave composta secondo il
numero massimo di caratteri consentiti); altra misura di sicurezza è
identificata nell’obbligo di modifica della parola chiave almeno ogni sei
mesi, salvo tre nei casi in cui il trattamento con strumenti elettronici abbia
ad oggetto dati sensibili o giudiziari. Altro obbligo imposto sta nel fatto che
le credenziali di autenticazione non utilizzate da almeno sei mesi debbono
essere disattivate, derogando solo nell’ipotesi di un utilizzo meramente
finalizzato alla gestione tecnica, per cui non è richiesta tale scadenza di
modifica. Il Codice disciplina peraltro l’utilizzazione di un sistema di
autorizzazione, al quale si ricorre qualora per gli incaricati siano individuati
profili di autorizzazione di ambito diverso. In tal caso
i profili di autorizzazione per ciascun incaricato o per classi omogenee
di incaricati, dovranno essere individuati e configurati anteriormente
all’inizio del trattamento: questo al fine di limitare l’accesso ai soli
dati effettivamente necessari alla realizzazione delle operazioni di trattamenti
cui sono preposti gli incaricati; la verifica in relazione alle condizioni
sussistenti la conservazione dei profili di autorizzazione deve avvenire almeno
annualmente.
Centrale appare inoltre l’obbligo di redazione del documento programmatico
(peraltro ereditato dal DPR 318/99) in quanto entro il 31 marzo di ogni anno, il
titolare di un trattamento di dati personali effettuato con strumenti
elettronici, e di dati sensibili o
dati giudiziari sia in formato cartaceo che elettronico, deve redigere tale
documento sulla sicurezza. Nel disciplinare tecnico allegato al Codice, sono
stabiliti i passaggi essenziali mediante cui stendere il documento. Innanzi
tutto occorre individuare l’elenco dei trattamenti di dati personali al quale
deve affiancarsi l’elenco inerente la distribuzione dei compiti e delle
responsabilità nell’ambito delle strutture preposte al trattamento dati.
Segue pertanto, coerentemente allo scopo del documento programmatico,
l’analisi che il titolare del trattamento deve fare in relazione ai rischi che
incombono sui dati, indicando conseguentemente anche le misure che sono adottate
al fine di garantire l’integrità e la disponibilità dei dati, nonché la
protezione delle aree e dei locali in relazione alla loro custodia ed
accessibilità. Vige l’obbligo di individuare anche le modalità che possono
essere poste a favore del ripristino della disponibilità dei dati qualora si
verifichino episodi di distruzione o danneggiamento (è il caso di ricordare che
per il trattamento di dati sensibili o giudiziari occorre garantire il
ripristino dell’accesso entro 7 giorni). Infine, gli incaricati del
trattamento debbono essere resi edotti dei rischi che incombono sui dati
mediante interventi formativi. Qualora si verifichi l’ipotesi di trattamenti
di dati personali affidati all’esterno della struttura, sul titolare grava
l’obbligo di descrivere nel documento, i criteri adottati per garantire la
sussistenza delle misure minime di sicurezza per quei dati.
Possiamo dunque concludere che il nuovo Codice apporterà reali garanzie per la
tutela dei dati personali, pur lasciando qualche perplessità in relazione agli
oneri che molti titolari di trattamenti dati dovranno sostenere al fine di
adempiere alle prescrizioni normative.
Dott.ssa
Valentina Frediani
www.consulentelegaleinformatico.it