Il nuovo codice in materia di protezione dei dati personali

Transcript

1 Il nuovo codice in materia di protezione dei dati personali

2 Si chiude il capitolo, dopo sette anni dalla sua emanazione, della legge 675 sulla privacy. Questa viene sostituita da un testo di legge unico (Decreto legge 196/2003) che raccoglie le esperienze maturate nell esercizio della 675 e del DPR 318 del Vediamo di seguito alcuni punti salienti di questo nuovo decreto che entrerà in vigore il 1 gennaio 2004 e per il quale sono previsti sei mesi di tempo per adeguarsi sul piano tecnico. Definizione dei dati La normativa è rivolta a tutti coloro, Pubblica Amministrazione, Enti Privati, Aziende, Circoli/ Associazioni, che sono in possesso di dati personali relativi a persone fisiche. Nel decreto si definiscono come dati personali (Art.4 lettera b): qualunque informazione relativa a persona fisica, persona giuridica, ente o associazione identificati o identificabili, anche indirettamente mediante riferimento a qualsiasi altra informazione. Sono dati personali ad esempio, NOME, COGNOME, INDIRIZZO, RAGIONE SOCIALE, TELEFONO, CODICE FISCALE, PARTITA IVA, FOTOGRAFIE, PROFILI CREDITIZI ecc Vengono invece definiti dati identificativi (Art. 4 lettera c) tutte quelle informazioni che permettono la correlazione tra i dati personali e le persone fisiche. Ad esempio dato identificativo è un codice che associa una fattura ad un cliente. I dati sensibili vengono invece definiti nell Art. 4 lettera d. In questa categoria ricadono tutti i dati che possono essere causa di discriminazioni, quindi ad esempio i dati relativi alla fede religiosa, militanza politica, stato di salute ecc.. Spesso questi dati sono desumibili da trattenute sindacali, cartelle cliniche, rivelazioni di presenze ecc Nell articolo 4 lettera e vengono invece definiti i dati giudiziari, che sono tutte le informazioni che rivelano la condizione giudiziaria, presente, passata o in fase di definizione delle persone fisiche. A chi è rivolta la normativa? L art. 5 punto 1 sancisce: Il presente codice disciplina il trattamento di dati personali, anche detenuti all estero, effettuato da chiunque è stabilito nel territorio dello Stato o in un luogo comunque soggetto alla sovranità dello Stato. Ovvero tutti coloro, Pubblica Amministrazione, Enti Privati, Circoli/ Associazioni, Aziende che sono in possesso in forma elettronica e non di informazioni o dati personali relativi a persone fisiche o giuridiche secondo la definizione che si è data precedentemente. Come si devono trattare i dati? Il decreto specifica che i dati devono essere il più possibile pertinenti alle finalità per le quali vengono raccolti. Ovvero tutte le informazioni necessarie allo scopo per il quale è stata creato l archivio, spiegando inoltre quale fine ci si prefigge, ad esempio: informazioni commerciali, selezione del personale ecc.. Inoltre i dati devono essere inventariati e archiviati separatamente a seconda della loro classifica (personali, sensibili, giudiziari). L interessato o la persona che raccoglie questi dati deve informare gli interessati sulle finalità, la modalità del trattamento, sui diritti che il titolare può esercitare, come indicato dall art 13 della legge 196.

3 Misure di protezione da adottare Il decreto, negli articoli 31, 33 e 34 descrive le misure di sicurezza da adottare. In questi articoli viene ribadito che si devono tutelare l integrità e la riservatezza dei dati con misure di sicurezza fisica (limitazione degli accessi ai locali, uso di armadi con chiave, controlli di accesso biometrico alle sale server ecc..), logiche (antivirus, firewall..) e organizzative (istruzione del personale e dei collaboratori, creazione di procedure, nomina di responsabili ecc ) Al decreto è stato inoltre aggiunto l allegato B (che verrà aggiornato in funzione dell evoluzione tecnologica) che ha il compito di analizzare nel dettaglio le misure di sicurezza sul piano tecnico. Vediamo di seguito i punti che caratterizzano gli articoli 31, 33 e 34. ARTICOLO 31 (Obblighi di sicurezza) I dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta. Qui il decreto descrive cosa si deve garantire rispetto alle informazioni, ovvero: riduzione dei rischi di perdita/distruzione (backup e procedure di salvataggio dei dati) riduzione del rischio di intrusione da parte di estranei non autorizzati al trattamento Si deve tutelare l integrità e la riservatezza dei dati con misure di sicurezza fisiche, logiche e organizzative. Viene anche sottolineato che le contromisure tecniche di protezione hanno sempre una validità temporale e vanno costantemente adeguate all evoluzione delle possibili fonti di minaccia. ARTICOLO 33 (Misure minime) Nel quadro dei più generali obblighi di sicurezza di cui all articolo 31, o previsti da speciali disposizioni, i titolari del trattamento sono comunque tenuti ad adottare le misure minime individuate nel presente capo o ai sensi dell articolo 58, comma 3, volte ad assicurare un livello minimo di protezione dei dati personali. In questo articolo il decreto sottolinea l obbligatorietà delle azioni menzionate nell articolo 31. Si noti che l applicazione di queste misure è da considerare come il minimo intervento necessario, quindi eventualmente da integrare con altre misure in funzione delle informazioni possedute.

4 ARTICOLO 34 (Trattamenti con strumenti elettronici) Il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell allegato B), le seguenti misure minime: Le password devono essere gestite da un responsabile e aggiornate periodicamente. Ogni sei mesi per i dati personali e ogni tre mesi per dati sensibili e giudiziari. a) autenticazione informatica; b) adozione di procedure di gestione delle credenziali di autenticazione; c) utilizzazione di un sistema di autorizzazione; d) aggiornamento periodico dell individuazione dell ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici; e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici; f) adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi; g) tenuta di un aggiornato documento programmatico sulla sicurezza; h) adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari. In questo articolo sono elencate, in linea generale, le misure di sicurezza minime da adottare in un sistema informatico. I dettagli tecnici sono contenuti all allegato B. Pertanto in un sistema informativo occorre inserire: Un sistema di autenticazione per l accesso ai dati, ovvero la gestione dei codici di accesso o password ai sistemi informativi che contengono i dati. Queste dovranno essere conformi a quanto descritto nell allegato B, quindi ad esempio essere gestite da un responsabile, aggiornate periodicamente (sei mesi per dati personali e tre mesi per dati sensibili/giudiziari). Le password inoltre dovranno essere di almeno otto caratteri e non contenere riferimenti riconducibili all incaricato. Per maggiori dettagli si veda l allegato B alla sezione Sistema di autorizzazione informatica. Un sistema di controllo dell accesso ai dati da parte del personale addetto alla manutenzione e gestione dei sistemi informativi, unito a misure che tendano a garantire l effettiva motivazione all accesso e la revoca al personale non più autorizzato.

5 La protezione che viene citata al punto (e), fa riferimento nel settore informatico a worm, virus informatici, attacchi da parte di pirati informatici. Ovvero situazioni che inserendosi nel sistema operativo rendano accessibili i computer all esterno per via telematica. In questo caso occorre adottare sistemi di protezione come Antivirus e Firewall correttamente installati e configurati con politiche di sicurezza aggiornate regolarmente. Sistemi di backup e disaster recovery che garantiscano l integrità dei dati programmando periodicamente il salvataggio dei dati, la custodia delle copie, le procedure di ripristino e così via. Stesura di un documento programmatico sulla sicurezza Tecniche di cifratura per i dati sensibili/giudiziari, ovvero, data la natura di questi dati (come specificato nell allegato B), non solo i locali dovranno essere protetti, ma anche il trasporto dei dati all esterno o per via telematica in formato elettronico dovrà essere cifrato. Oggi questo si può ottenere con l utilizzo ad esempio di IPSec, tecnologia presente in molti apparati firewall. Accertamenti e sanzioni Il decreto 196/2003 prevede inoltre la possibilità di effettuare delle ispezioni o verifiche nei luoghi ove si svolge il trattamento dei dati (Art. 158 Accertamenti). Il garante si avvarrà ove necessario della collaborazione di altri organi dello stato. Rimangono invece praticamente inalterate le sanzioni già previste nella precedente legge sulla privacy come ad esempio il richiamo all articolo 2050 del codice civile, che prevede, in caso di danni causati a terzi per effetto del trattamento dei dati personali, la prova (a volte impossibile da esibire) che tutte le precauzioni necessarie ad evitare il danno erano state prese. La mancata osservanza può portare all arresto sino a due anni e all ammenda da diecimila a cinquantamila euro (Art. 169). Occorre adottare sistemi di protezione come Antivirus e Firewall correttamente installati e con politiche di sicurezza aggiornate regolarmente Please Recycle