I.1 I soggetti preposti nei trattamenti di dati personali.

Transcript

1 SOGGETTI DELLA PRIVACY E AMMINISTRATORI DI SISTEMA I.1 I soggetti preposti nei trattamenti di dati personali. Una corretta identificazione dei soggetti, preposti al trattamento dei dati personali nel Codice privacy, è di primaria importanza, in quanto, dalla loro individuazione, discende una corretta applicazione del testo di legge.

2 I.1.1 Il titolare La figura attorno a cui ruota tutto il meccanismo del trattamento dei dati è quella del titolare che [ ] esercita un potere decisionale autonomo sulle finalità e sulle modalità del trattamento, ivi compreso il profilo della sicurezza.[ ] 1 Il titolare dovrà predisporre tutte le decisioni volte al concreto adempimento della normativa, attivandosi per le scadenze previste, predisponendo la modulistica richiesta, monitorando costantemente l attuazione delle prescrizioni impartite ai suoi collaboratori. Per l individuazione della figura del titolare ha aiutato tantissimo la giurisprudenza prodotta dal Garante prima del 2003 tanto che, i suoi indirizzi, sono stati recepiti nella formulazione del Codice privacy. Da questi indirizzi, per avere una migliore attuazione delle norme, si preferì evitare di associare la figura del titolare ad una persona fisica quando questa agiva in qualità di amministratore o di legale rappresentante di una figura giuridica in quanto la titolarità, in questo caso, era preferibile ascriverla all ente o alla società. Consentendola, invece, nel caso in cui il trattamento sarebbe stato effettuato da un imprenditore individuale, un libero professionista o un lavoratore autonomo. 1 D.Lgs 196/2003 Art. 28 (Titolare del trattamento) Quando il trattamento e' effettuato da una persona giuridica, da una pubblica amministrazione o da un qualsiasi altro ente, associazione od organismo, titolare del trattamento e' l'entità nel suo complesso o l'unità od organismo periferico che esercita un potere decisionale del tutto autonomo sulle finalità e sulle modalità del trattamento, ivi compreso il profilo della sicurezza.

3 Il titolare sarà tenuto a provvedere a tutte le decisioni volte al corretto adempimento della normativa, attivandosi per le scadenze previste, predisponendo la modulistica richiesta, aggiornando e monitorando concretamente l attuazione delle prescrizioni previste dalla norma. In caso di mancata o insufficiente protezione dei dati personali, oltre all eventuale responsabilità penale, 2 derivante da una mancata applicazione delle misure minime, il titolare del trattamento, può essere esposto anche alle conseguenze derivanti da una responsabilità civile, 3 dovuta alla mancata applicazione di misure idonee e preventive, di un trattamento illecito. Ciò significa che non è sufficiente adottare le misure di sicurezza descritte nell Allegato B del Codice privacy, ma sarà interesse del titolare del trattamento, 2 D.Lgs 196/2003 Art.169 (Misure di sicurezza) 1. Chiunque, essendovi tenuto, omette di adottare le misure minime previste dall'articolo 33 è punito con l'arresto sino a due anni o con l'ammenda da diecimila euro a cinquantamila euro. 2. All'autore del reato, all'atto dell'accertamento o, nei casi complessi, anche con successivo atto del Garante, e' impartita una prescrizione fissando un termine per la regolarizzazione non eccedente il periodo di tempo tecnicamente necessario, prorogabile in caso di particolare complessità o per l'oggettiva difficoltà dell'adempimento e comunque non superiore a sei mesi. Nei sessanta giorni successivi allo scadere del termine, se risulta l'adempimento alla prescrizione, l'autore del reato e' ammesso dal Garante a pagare una somma pari al quarto del massimo dell'ammenda stabilita per la contravvenzione. L'adempimento e il pagamento estinguono il reato. L'organo che impartisce la prescrizione e il pubblico ministero provvedono nei modi di cui agli articoli 21, 22, 23 e 24 del decreto legislativo 19 dicembre 1994, n. 758, e successive modificazioni, in quanto applicabili. 3 D.Lgs 196/2003 Art. 15 (Danni cagionati per effetto del trattamento) 1. Chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell'articolo 2050 del codice civile. 2. Il danno non patrimoniale e' risarcibile anche in caso di violazione dell'articolo 11.

4 monitorare continuamente quanto fatto ed apportare modifiche cicliche in un ottica di ottimizzazione della sicurezza delle informazioni. In particolari situazioni aziendali è possibile prevedere la contitolarità 4 del trattamento dei dati, qualora, [ ] due soggetti o organismi, autonomi fra loro, gestiscono in comune il trattamento e condividono interamente ed effettivamente i poteri decisionali in ordine alle finalità e modalità del trattamento dei dati.[ ] 5 I.1.2 Il responsabile Il titolare del trattamento, specialmente quando il vertice dell azienda non è in grado di attuare direttamente la corretta applicazione del Codice privacy, può designare il responsabile del trattamento disciplinato dall art del Codice stesso. 4 D.Lgs 196/2003 Art. 4 (Definizioni) comma 1 f) Titolare, la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalita', alle modalita' del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza; 5 Polacchini M. Tutela della privacy in azienda. Milano : Ipsoa, 2005, Cit. ripresa da pag D.Lgs 196/2003 Art. 29. (Responsabile del trattamento) 1. Il responsabile è designato dal titolare facoltativamente. 2. Se designato, il responsabile è individuato tra soggetti che per esperienza, capacità ed affidabilità forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza. 3. Ove necessario per esigenze organizzative, possono essere designati responsabili più soggetti, anche mediante suddivisione di compiti. 4. I compiti affidati al responsabile sono analiticamente specificati per iscritto dal titolare.

5 Qualora il titolare del trattamento ne ravveda la necessità, ha la facoltà di designare anche più di un responsabile del trattamento che sarà individuato fra soggetti che per esperienza, capacità ed affidabilità forniscano idonea garanzia nel pieno rispetto delle vigenti disposizioni in materia di privacy. La nomina, non di rado nei contesti aziendali, viene conferita in sede di Consiglio di Amministrazione o di Consiglio Direttivo, dopo aver fatto la designazione del responsabile del trattamento, seguita dalla conseguente accettazione effettuata in forma scritta. In concreto, nella nomina sarà necessario indicare: Le banche dati di riferimento che saranno oggetto del trattamento; le diverse tipologie di trattamenti da svolgere, considerate in base alle finalità e in considerazione del principio di necessità; le misure di sicurezza da adottare ed applicare; gli eventuali margini di autonomia decisionale attribuiti al responsabile del trattamento nell attività di gestione. Sarà importante, su questo punto, gestire un budget di spesa che dovrà far fronte agli adempimenti richiesti; le responsabilità, che derivano dalle operazioni di trattamento. Il responsabile del trattamento, in relazione dei compiti assegnati dal titolare, potrà essere chiamato a rispondere sia penalmente che civilmente per il suo operato. La nomina dei responsabili del trattamento, non consente al titolare di sottrarsi alle proprie responsabilità, in quanto, è lui a decidere sull idoneità dei soggetti preposti 5. Il responsabile effettua il trattamento attenendosi alle istruzioni impartite dal titolare il quale, anche tramite verifiche periodiche, vigila sulla puntuale osservanza delle disposizioni di cui al comma 2 e delle proprie istruzioni.

6 al trattamento (responsabilità in eligendo) tanto a quella di controllo (responsabilità in vigilando). Il titolare per parte sua è sempre tenuto a controllare l operato del responsabile. Il responsabile, pur avendo margini di autonomia, mantiene una posizione subordinata rispetto al titolare che dovrà verificarne l operato facendo in modo che ogni adempimento di legge trovi corretta applicazione. Sebbene la nomina del responsabile del trattamento non sia obbligatoria, è diffusa in molteplici realtà aziendali, in quanto, configura l assetto organizzativo più idoneo al rispetto della legge e delle relative prescrizioni. L esperienza, le capacità tecniche, l affidabilità e le conoscenze possedute dal responsabile del trattamento non lo portano a ricoprire un ruolo di mero esecutore delle istruzioni impartite dal titolare, ma, di soggetto in grado di integrare, da un punto di vista pratico, le scelte strategiche e la politica di sicurezza che il titolare ha deciso di intraprendere in ordine al trattamento dei dati personali 7. Non va dimenticato, infatti, che la nomina comporta l attribuzione di poteri e di doveri assai rilevanti dai quali discendono notevoli responsabilità giuridiche. I.1.3 L incaricato 7 Osservazione: non è necessario che i Responsabili siano necessariamente soggetti interni all azienda, potendo essere designati per questo ruolo anche soggetti esterni; può infatti essere utile e vantaggioso avere un supervisore esterno per motivi di ottimizzazione delle risorse o semplicemente perché vi si è costretti dal fatto di aver trasferito banche dati all esterno per ragioni diverse (operazioni di marketing, call center, contabilità, consulenza del lavoro).

7 Oltre alla figura del titolare e del responsabile del trattamento il Codice privacy individua la figura dell incaricato 8. Questi soggetti sono le persone che lavorano negli uffici, al centralino, in direzione, in magazzino, ecc.. tutti coloro che entrano in contatto con dei dati personali. Questi devono sapere come applicare in modo corretto la normativa sulla privacy mentre svolgono le proprie mansioni. Un punto di fondamentale importanza, per la corretta applicazione della normativa sulla privacy, è la formazione continua a cui dovranno sottoporsi gli incaricati, momento in cui saranno impartite le indicazioni necessarie, per la gestione del trattamento. Per effettuare il trattamento, l incaricato, dovrà ricevere un incarico formale per iscritto. La sua designazione, trattandosi di un ruolo meno rilevante rispetto a quello del responsabile del trattamento, può essere assegnata solo ad una persona fisica che può afferire ad un unità organizzata (Es: gli impiegati addetti all ufficio del personale), per cui, non è necessaria la nomina individuale di ciascun incaricato, ma può essere sufficiente poter documentare che, un incaricato, appartiene ad un unità organizzativa per la quale siano stati preventivamente definiti gli ambiti e le 8 D.Lgs 196/2003 Art.30 Incaricati del trattamento 1. Le operazioni di trattamento possono essere effettuate solo da incaricati che operano sotto la diretta autorita' del titolare o del responsabile, attenendosi alle istruzioni impartite. 2. La designazione e' effettuata per iscritto e individua puntualmente l'ambito del trattamento consentito. Si considera tale anche la documentata preposizione della persona fisica ad una unita' per la quale e' individuato, per iscritto, l'ambito del trattamento consentito agli addetti all'unita' medesima.

8 modalità dei trattamenti consentiti. La designazione in questi casi può avvenire attraverso un mansionario. 9 Il fatto che anche gli incaricati debbano essere individuati per iscritto, anche indirettamente, ha una importante valenza organizzativa. Per conformarsi a quanto previsto dal Codice, chiunque debba procedere ad un qualsiasi trattamento di dati personali deve essere correttamente incaricato, nella visione più ampia del termine, formalizzando l incarico a qualunque soggetto abbia, a qualsiasi titolo, accesso ai dati personali in possesso del titolare, compresi il personale di manutenzione e pulizie dei locali. Sotto il profilo operativo, quella dell incaricato è una figura esecutiva. E il soggetto che materialmente esegue le singole operazioni di trattamento, con un potere decisionale limitato. Le responsabilità dell incaricato sono quelle derivanti dalla violazione delle disposizioni ed istruzioni fornite nell ambito del documento di incarico. L incaricato risponderà, esclusivamente a titolo di inadempimento, nella misura in cui il suo operato non sia stato conforme a quanto richiesto dal titolare. 9 Provvedimento Generale del Garante del 19 giugno 2008 rubricato come Semplificazione di taluni adempimenti in ambito pubblico e privato rispetto a trattamenti per finalità amministrative e contabili.

9 I.2 Gli Amministratori di Sistema (AdS): requisiti e funzioni. Il primo tentativo nel definire la figura dell AdS fu fatto con il D.P.R. n.318 (oggi non più in vigore) del 28 luglio 1999 dove veniva definito come il soggetto a cui [ ] è conferito di sovrintendere alle risorse del sistema operativo di un elaboratore o di un sistema di basi dati e di consentirne l utilizzazione [ ]. Sotto il profilo formale, il DPR n. 318/99 considerava la figura dell AdS come un incaricato e non come un responsabile del trattamento; date le complesse problematiche affrontate nel campo informatico è opportuno che questo ruolo sia quello di un vero e proprio responsabile. 10 Con l entrata in vigore del Codice privacy la figura dell AdS, non scompare, la troviamo indirettamente nel Disciplinare tecnico. Infatti le funzioni tipiche dell AdS sono richiamate nell Allegato B del Codice. 11 Quando si parla della necessità, per i titolari, di assicurare la custodia delle credenziali riservate, quando vengono esplicitati i tempi entro i quali è necessario gestire l aggiornamento di un software antivirus, quando si parla di sicurezza informatica, quando vengono impartite le indicazioni per la gestione delle 10 Polacchini M. Tutela della privacy in azienda. Milano : Ipsoa, 2005, Cft. Pag. 60, L Amministratore di Sistema. 11 Gioffré Giovanni. 21. Il Garante della privacy e l'amministratore di sistema. [Online] [Riportato: ] Cft. Pag.5.

10 credenziali, quando vengono considerati dei tempi massimi per procedere alla creazione di backup, sono richiamate le funzioni tipiche dell AdS. La figura dell AdS, nel trattamento di dati personali con strumenti elettronici, ricopre un ruolo centrale, infatti, nel provvedimento del 27 novembre 2008, rubricato come misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema, il Garante colma una lacuna presente all interno del Codice privacy portando alla luce il ruolo dell AdS che assurge al rango delle altre figure fondamentali del Codice come quella del titolare, del responsabile al quale è equiparato e dell incaricato. 12 Nel provvedimento l AdS è la figura professionale, dedicata alla gestione e alla manutenzione di impianti di elaborazione, dove vengono effettuati trattamenti di dati personali. 12 Migliorini.G.,Scatolini.A., sistema.pdf. [Online] [Riportato: ]. Cft pag.2.

11 L AdS, oggi, può assumere vari ruoli: amministratore delle basi di dati (database administrator ), responsabile dell integrità dei dati stessi, dell efficienza e delle prestazioni del sistemadatabase; amministratore della rete (network administrator) che gestisce l infrastruttura di rete (apparati come hub, switch e router ) ed effettua le diagnosi dei problemi che i vari personal computer o server hanno con essa; amministratore della sicurezza (security administrator), compresa la gestione dei dispositivi tipo firewall e l adozione di misure di sicurezza generale; amministratore web (web administrator), che si preoccupa della gestione dei servizi web, ovvero servizi che permettono ad utenti interni o esterni di accedere ai siti web; E evidente che, a seconda della complessità della struttura, questi ruoli potranno essere coperti da una o più persone. Non rientrano, invece, in questa definizione, quei soggetti che solo occasionalmente intervengono sui sistemi di elaborazione e sui sistemi software per scopi di manutenzione a seguito di guasti o malfunzionamenti. Le funzioni principali dell AdS comportano un effettiva capacità di azione sulle informazioni, contenute all interno del sistema informatico, tanto da poter essere considerate a tutti gli effetti alla stregua di un trattamento di dati personali, anche quando le informazioni non sono consultate in chiaro. Il provvedimento si rivolge a tutti i soggetti pubblici e privati che trattano dati personali con sistemi di elaborazione elettronica. Sono esclusi i trattamenti effettuati in ambito pubblico e privato a fini amministrativo-contabili che, ponendo

12 minori rischi per gli interessati, sono stati oggetto delle misure di semplificazione introdotte nel corso del 2008 per legge. 13 I.2.1 Esempi nell individuazione degli AdS in contesti diversi Il provvedimento prevede per il titolare un diverso comportamento nella nomina dell AdS a seconda che questo operi o meno dentro l azienda. Poiché la casistica è molto ampia, si possono verificare i seguenti casi: Tutto il sistema informatico risiede in remoto e si accede alle applicazioni tramite interfaccia web (internet). In questo caso è preferibile che il titolare effettui la nomina a responsabile del trattamento la ditta esterna che gestisce il web server. Il sistema informatico è in casa dell azienda, l'ads interno fa la manutenzione ordinaria mentre la ditta esterna interviene solo occasionalmente. I questo caso è preferibile che il titolare proceda alla nomina dell'ads interno. Il sistema informatico è in casa dell azienda, l'ads interno governa parti del sistema informatico, mentre altre (server, database ) sono seguite da ditta 13 Ripreso dalle Risposte alle domande più frequenti (FAQ) del Garante posto alla fine del Provvedimento Amministratori di Sistema del 27 novembre Chiarire i casi di esclusione dall obbligo di adempiere al provvedimento: sono esclusi i trattamenti effettuati in ambito pubblico e privato a fini amministrativo-contabili che, ponendo minori rischi per gli interessati, sono stati oggetto delle misure di semplificazione introdotte nel corso del 2008 per legge (art. 29 d.l. 25 giugno 2008, n. 112, conv., con mod., con l. 6 agosto 2008, n. 133; art. 34 del Codice; Provv. Garante 27 novembre 2008).

13 esterna. In questo caso è preferibile che il titolare effettui due nomine la prima all AdS interno e la seconda alla ditta esterna in qualità di responsabile per le attività che gestisce. Il sistema informatico è in casa dell azienda, l'ads interno non c'è, la ditta esterna fa tutta la manutenzione, sia ordinaria che straordinaria. Il titolare nomina responsabile la ditta esterna che a sua volta andrà a nominare gli AdS. Il sistema informatico è in casa dell azienda, l'ads interno fa tutto quindi non c'è nessuna ditta esterna. Il titolare in questo caso nomina l'ads interno.

14 I.2.2 Requisiti e funzioni Oltre agli adempimenti contenuti nell Allegato B) del Codice che saranno trattati nel prossimo capitolo, il Garante, nel Provvedimento Generale del 27 Novembre 2008, fissa alcuni punti che il titolare del trattamento deve rispettare nei confronti dell AdS e precisamente:il titolare o il responsabile, all atto dell attribuzione delle funzioni di AdS, deve valutare preventivamente le caratteristiche personali del soggetto che deve possedere requisiti di esperienza, capacità e affidabilità. Altra garanzia importante è il rispetto, oltre che la conoscenza, delle disposizioni in materia di trattamento, sicurezza compresa. Questi requisiti richiedono valutazioni sia qualitative, fortemente soggettive, che quantitative. Per esempio un riscontro oggettivo può essere dato da esperienze lavorative, studi, corsi, master..; tuttavia molto dipende dalla discrezionalità del titolare o del responsabile che dovranno misurare le proprie scelte secondo la realtà in cui opera l azienda o l ente. È evidente che in questo campo il provvedimento non poteva stabilire criteri rigorosi; è comunque richiesto che i criteri di valutazione siano almeno equivalenti a quelli richiesti per la designazione dei responsabili. La designazione individuale dell AdS, fatta dal titolare o dal responsabile, deve essere fatta seguendo un preciso profilo di autorizzazione affidandogli specifici ambiti di operatività e facendo attenzione ad evitare ogni accesso ai dati eccedenti alle necessità. Quindi, il titolare o il responsabile dovranno predisporre una lettera di incarico per l amministratore di sistema che conterrà: attestazione che l incaricato ha le caratteristiche richieste dalla legge;

15 elencazione analitica degli ambiti di operatività richiesti e consentiti in base al profilo di autorizzazione assegnato; indicazione delle "verifiche" almeno annuali che il titolare dovrà svolgere sulle attività svolte dell amministratore di sistema; indicazione che la nomina ed il relativo nominativo sarà comunicato al personale ed eventualmente a terzi nei modi richiesti dalla legge. La lettera di incarico dovrà essere sottoscritta dall AdS per accettazione. Nell eventualità che l AdS sia esterno, o nel caso di interventi effettuati da ditte esterne sui sistemi, anche da remoto, si acceda ai trattamenti aziendali, sarà il responsabile esterno (e quindi la ditta che fornisce il servizio) a provvedere alla nomina dell AdS al proprio interno. Sarà, quindi, opportuno che il titolare del trattamento notifichi al responsabile esterno questa incombenza e che, a sua volta, quest ultimo confermi al titolare la nomina dell AdS. Gli estremi identificativi delle persone fisiche, che ricoprono il ruolo di AdS, dovrà essere contenuto in un elenco in cui siano riportate le funzioni ad essi attribuite. Il documento interno dovrà essere mantenuto aggiornato e disponibile in caso di accertamenti da parte del Garante. Nel caso di servizi di amministrazione di sistema affidati in outsourcing il titolare o il responsabile esterno devono conservare, per ogni eventuale evenienza, gli estremi identificativi delle persone fisiche preposte al ruolo di AdS. 14 Qualora l'attività degli AdS riguardi anche indirettamente servizi o sistemi che trattano informazioni di carattere personale di lavoratori, i titolari nella qualità di 14 Provvedimento Generale del Garante del 27 Novembre 2008 Punto 2 d) Servizi in outsourcing- Nel caso di servizi di amministrazione di sistema affidati in outsourcing il titolare o il responsabile esterno devono conservare direttamente e specificamente, per ogni eventuale evenienza, gli estremi identificativi delle persone fisiche preposte quali amministratori di sistema.

16 datori di lavoro sono tenuti a rendere nota o conoscibile l'identità degli AdS avvalendosi a seconda delle opportunità: dell informativa 15, della intranet aziendale, della pubblicazione all albo pretorio oppure della affissione presso le varie sedi di lavoro. Devono essere adottati sistemi idonei alla registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema. Le registrazioni (access log) devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo per cui sono richieste. Le registrazioni devono comprendere i riferimenti temporali e la descrizione dell'evento che le ha generate e devono essere conservate per un congruo periodo, non inferiore a sei mesi. Per quanto riguarda le registrazioni, di norma i requisiti richiesti possono essere soddisfatti da funzionalità già disponibili nei più diffusi sistemi operativi, senza richiedere necessariamente l'uso di strumenti software o hardware aggiuntivi. Gli eventi registrati che vengono generati dai sistemi di autenticazione contengono usualmente i riferimenti allo "username" utilizzato, alla data e all'ora dell'evento, una descrizione dell'evento (sistema di elaborazione o software utilizzato, se si tratti di un evento di log-in, di log-out, o di una condizione di errore, quale linea di comunicazione o dispositivo terminale sia stato utilizzato ). Le caratteristiche di mantenimento dell'integrità, dei dati raccolti dai sistemi di log, sono in genere disponibili nei più diffusi sistemi operativi, o possono esservi agevolmente integrate con apposito software. Il requisito può essere ragionevolmente soddisfatto con la strumentazione software in dotazione, nei casi 15 D.Lgs. n.196/03 Art. 13 (Informativa)

17 più semplici, e con l'eventuale esportazione periodica dei dati di log su supporti di memorizzazione non riscrivibili.

18 I.3 Responsabilità degli amministratori di sistema in materia di privacy L'operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, di un'attività di verifica da parte dei titolari del trattamento o dei responsabili, qualora designati. Sorge spontanea la domanda se queste verifiche possano essere fattibili ed attendibili, nel momento in cui, per gran parte delle misure in esame l unico esperto in materia torna ad essere l AdS che si trova a rivestire la figura duale di verificatore e verificato. Tuttavia è auspicabile che le attività da verificare, indicate nella lettera di incarico, siano scelte con sufficiente oculatezza in modo da non ingenerare false interpretazioni ed essere facilmente controllabili. Per quanto riguarda le conseguenze sanzionatorie di natura civilistica, è bene ricordare che l AdS è soggetto a responsabilità civile, rispetto alle mancate ottemperanze negli ambiti di operatività assegnati nella lettera d incarico. L AdS risulterà condannabile al risarcimento del danno qualora l omissione o la non perfetta adozione di misure di sicurezza arrivino a cagionare a terzi un danno ingiusto. Il trattamento dei dati personali, per sua natura, è considerato alla stessa stregua del trasporto di merci pericolose ai sensi dell art c.c in cui è prevista l inversione dell onere della prova.

19 L AdS dovrà dimostrare, rispetto al suo incarico, di aver posto in essere tutte quelle misure idonee e preventive 16 per evitare i rischi di un trattamento illecito di dati personali. Sotto l aspetto penale, invece, va ricordato che la violazione delle norme, sulle misure minime di sicurezza, è penalmente sanzionata con l arresto sino a due anni. C è da sottolineare che buona parte delle funzioni tecniche attribuite all AdS, possono rappresentare una circostanza aggravante, se svolte da chi commette reato. È il caso ad esempio dell accesso abusivo a sistema informatico o telematico (art. 615-ter c.p.) e di frode informatica (art. 640-ter c.p.), nonché per le fattispecie di danneggiamento di informazioni, dati e programmi informatici (articoli 635-bis e ter c.p.) e il danneggiamento di sistemi informatici e telematici (articoli 635-quater e quinques c.p.). 16 D.Lgs n.196/03 Art. 31 (Obblighi di sicurezza) 1. I dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.

20 I.4 Il Garante per la privacy e i provvedimenti sull attività degli Amministratori di Sistema Il Legislatore, nella formulazione del Codice privacy, è stato molto attento a creare una norma dinamica a passo con i tempi, infatti, come già visto, l Allegato B) del Codice può essere modificato attraverso un Decreto del Ministero della Giustizia di concerto con il Ministero per le Innovazioni e le Tecnologie e il Ministero per la semplificazione Normativa. La dinamicità della legge è espressa anche con i provvedimenti del Garante che, ai sensi dell art. 24 e 154 comma 1 let. B) e C), può prescrivere, ai titolari del trattamento, le misure necessarie o opportune al fine di renderlo conforme alle disposizioni vigenti. In virtù di questo, negli anni si sono succeduti una serie di provvedimenti che hanno modificato sostanzialmente la modalità del trattamento di dati personali nei confronti dell interessato. In questo contesto ci sono stati Provvedimenti del Garante che hanno sottolineato, in ambiti specifici, come quello della posta elettronica, di internet e della dismissione dei sistemi informatici, tutta una serie di indirizzi e prescrizioni che l AdS deve conoscere per poter svolgere la propria attività. Il sistema informatico, gestito dall AdS, può contenere informazioni di carattere personale attinenti la vita privata dei lavoratori. Con il Provvedimento del 01 marzo 2007, rubricato come Linee guida del Garante per la posta elettronica ed internet, si cerca di disciplinare l utilizzo dei sistemi elettronici nel rispetto dei diritti e delle libertà fondamentali degli interessati.

21 L obiettivo di questo Provvedimento è disciplinare l utilizzo delle informazioni contenute dentro gli strumenti elettronici, al fine di bilanciare gli interessi contrapposti fra il datore di lavoro e i suoi dipendenti, per quanto riguarda l uso della posta elettronica e della navigazione su internet. Il Garante struttura il provvedimento, sull utilizzo degli strumenti elettronici, ispirandosi al principio della correttezza, per cui, un eventuale trattamento di dati personali, dovrà essere trasparente e dovrà escludere, in modo categorico, il controllo informatico del lavoratore a sua insaputa. Da questo discende, la necessità per il titolare, di specificare le modalità di utilizzo di strumenti, come ad esempio la posta elettronica o la navigazione web, indicando in modo chiaro le modalità con cui devono essere usati i mezzi messi a disposizione, non trascurando di indicare anche le modalità attuative dei controlli. I datori di lavoro dovranno fornire le linee guida agli interessati: 1. L adozione di un disciplinare interno in cui vengano impartite le linee guida (navigazione su internet, download di file, utilizzo della posta elettronica, l indicazione di file di log eventualmente registrati, effetto di copie di backup gestite in rete, riserva del datore di lavoro per effettuare dei controlli, conseguenze di carattere disciplinare derivanti da un utilizzo improprio dei mezzi, soluzioni prefigurate per garantire la continuità lavorativa, misure adottate nel rispetto dell eventuale segreto professionale, gestione delle credenziali e degli accessi, ). 2. L adozione di misure organizzative volte a prevenire il rischio di utilizzi impropri. 3. L adozione di misure tecnologiche riguardanti la navigazione in internet quali: l individuazione dei siti correlati e non correlati con la prestazione lavorativa, l utilizzo di filtri che impediscano l accesso a siti web, la navigazione anonima

22 o al massimo riconducibile ad un aggregazione, la conservazione dei dati per un tempo strettamente limitato al perseguimento di finalità organizzative e la frequenza dei controlli. 4. L adozione di misure di tipo tecnologico nell utilizzo della posta elettronica come: predisporre l utilizzo degli indirizzi di posta elettronica condivisi tra più lavoratori, assegnare al lavoratore un indirizzo ad uso privato, attivare servizi di risposta automatica con il reindirizzamento della posta su altro indirizzo, individuare la figura fiduciaria per la verifica dei messaggi, inserire un avvertimento per i destinatari sulla natura non personale del messaggio e una graduale progressione dei controlli al crescere delle inosservanze. Da ciò discende il divieto per i datori di lavoro di effettuare trattamenti di dati personali mediante sistemi hardware e software che mirino al controllo a distanza dei lavoratori: per mezzo della lettura e registrazione dei messaggi di posta elettronica; memorizzazione sistematica delle pagine web visitate dal lavoratore; lettura e registrazione dei caratteri inseriti tramite la tastiera o analogo dispositivo; analisi accurata dei computer portatili affidati. Nell eventualità in cui vi sia un legittimo interesse da parte del titolare, sui presupposti di liceità del trattamento, con un bilanciamento degli interessi, su dati di natura non sensibile, possono essere effettuati accessi al sistema senza il consenso degli interessati. Con il Provvedimento del 13 ottobre 2008 rubricato come Rifiuti di apparecchiature elettroniche ed elettriche (RAAE) e misure di sicurezza dei dati personali, il Garante richiama all attenzione dei titolari il fatto che i sistemi o i supporti dismessi potrebbero contenere dati personali. Per cui si ravvisa la necessità di adottare idonei

23 accorgimenti, anche con l ausilio di terzi tecnicamente qualificati, per prevenire accessi non consentiti a dati personali memorizzati nelle apparecchiature reimpiegate o smaltite. Chi procede al reimpiego o al riciclaggio di rifiuti di apparecchiature elettriche o di loro componenti è comunque tenuto ad assicurarsi dell inesistenza e della non intelligibilità dei dati personali sui supporti, acquisendo, ove possibile, l autorizzazione a cancellarli o a renderli intellegibili. Per quanto riguarda la figura dell AdS c è da ricordare il provvedimento, di carattere generale, del 27 novembre 2008, rubricato come Misure e accorgimenti prescritti al titolare dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di Amministratore di Sistema. Se da un lato questo provvedimento ha messo in chiaro, nel suo complesso, la figura dell AdS, ci sono altri punti che devono essere messi in luce, in quanto, il provvedimento prevede l obbligo, in caso di Outsourcing, della compilazione di una lista identificativa dei soggetti che possono accedere in qualità di AdS. Al contrario, per gli AdS interni ci sono gli obblighi rigorosi della loggatura, producendo una sostanziale differenza nelle misure di sicurezza applicate al sistema. Un altro tema del provvedimento è la durata della conservazione dei Log degli AdS che per legge è di almeno 6 mesi e non viene specificata la sua durata massima. Le registrazioni (access log) devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità, adeguate al raggiungimento dello scopo per cui sono richieste. Le registrazioni devono comprendere i riferimenti temporali e la descrizione dell evento che le ha generate. Il provvedimento del 28 novembre 2008, dopo una serie di proroghe, è entrato in vigore dal 15 dicembre 2009, per cui, nel marzo 2010 è stato redatto il primo DPS dopo l entrata in vigore del Provvedimento.

24