D.lgs. 196/03 e sicurezza dei dati I provvedimenti emanati dal garante nel 2008 29 Aprile 2009 Alessio L.R. Pennasilico mayhem@alba.st Pierluigi Perri info@pierluigiperri.it
Alessio L.R. Pennasilico Security Evangelist @ Board of Directors: Associazione Informatici Professionisti, CLUSIT Associazione Italiana Professionisti Sicurezza Informatica Italian Linux Society, LUGVR, Sikurezza.org Hacker s Profiling Project 3
Pierluigi Perri Avvocato Dottore di ricerca in Informatica Giuridica e Diritto dell Informatica Assegnista di ricerca in Informatica Giuridica Non-Residential Fellow presso l Università di Stanford National Expert per l European Certificate on Cybercrime and Electronic Evidence 4
Agenda mattutina D.Lgs. 196/2003 Quadro normativo Misure idonee di sicurezza Misure minime di sicurezza The Dark Side I provvedimenti del Garante Semplificazioni per le piccole imprese Cancellazione dei dati Amministratori di sistema 5
http://www.aisgroup.it/ D.Lgs. 196/2003
http://www.aisgroup.it/ Quadro Normativo
D.Lgs. 196/2003 Questa legge viene spesso percepita come una imposizione un inutile costo aggiuntivo 8
Capire Cosa vuole ottenere il legislatore con il D.Lgs. 196/2003? 9
Evoluzione (1) Warren e Brandeis: diritto a isolarsi, a non avere interferenze esterne. (2) Diritto di poter controllare tutte le informazioni personali raccolte da altri per godere di beni e servizi, non solo per fini di sorveglianza: cedo le mie informazioni in cambio di benefici, ma ciò non vuol dire che di questi miei dati possa essere fatto qualsiasi uso. (3) Concetto di privacy sempre più legato alla tutela della libertà personale, anche a seguito della diffusione delle nuove tecnologie, senza perdere qua e là pezzi della mia identità. 10
L era dell informazione Il non corretto trattamento delle informazioni può esporre il cittadino a rischi non previsti 11
Pretendo una corretta gestione dei dati che mi riguardano come cittadino Aziendalmente questa legge dovrebbe essere irrilevante: dice cose scontate 12
D.Lgs. 196/2003 trasforma le più comuni Best Practice in vincolo di legge 13
Paragoni La 626/1994 veniva inizialmente percepita come imposizione, intralcio, costo. I primi risultati, non solo nelle procedure, ma soprattutto nell'atteggiamento si iniziano a vedere solo oggi, dopo 10 anni (Bortolani, 2006) 14
http://www.aisgroup.it/ Misure Idonee
I principi La nuova normativa ha risentito, in particolare, dell'influsso di tre elementi: lo Standard BS7799, la Direttiva 2002/58/CE e le linee guida OCSE/OECD per la sicurezza dei sistemi informativi e delle reti di telecomunicazioni, per cui ha fissato quattro principi basilari: Pertinenza Custodia Controllo Separazione 16
L approccio BS-7799 Viene utilizzato un approccio definito Plan-Do-Check-Act L approccio per processi o Plan-Do-Check-Act può essere descritto nel seguente modo: Plan stabilire gli obiettivi e i processi necessari per fornire risultati in accordo con i requisiti del cliente e con le politiche dell organizzazione; Do dare attuazione ai processi; Check monitorare e misurare i processi ed i prodotti a fronte delle politiche, degli obiettivi e dei requisiti relativi ai prodotti e riportarne i risultati; Act adottare azioni per migliorare in modo continuativo le prestazioni dei processi 17
Obblighi di sicurezza I principi che stanno alla base delle misure di sicurezza sono racchiusi nell'art. 31 del Codice, che recita: I dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta. 18
I parametri 1) Progresso tecnico; 2) Natura dei dati; 3) Specifiche caratteristiche del trattamento. 19
Progresso tecnico Per progresso tecnico la dottrina dominante ha individuato che esso vada identificato come l insieme delle soluzioni concretamente disponibili sul mercato G. Buttarelli, Privacy e banche dati, Giuffrè, 1997 20
Natura dei dati La natura dei dati influisce molto sul livello di sicurezza che dovrà essere adottato. Se una struttura tratterà solo dati personali, potrà permettersi un attenzione minore nei confronti della sicurezza. Diversamente, in caso di trattamento di dati sensibili o giudiziari, l attenzione nei confronti della sicurezza deve essere massima. 21
Specifiche caratteristiche Come tratto i dati? Con l ausilio di strumenti elettronici? Senza l ausilio di strumenti elettronici? In maniera ibrida? 22
Scopi delle misure idonee Lo scopo finale delle misure di sicurezza è quello di garantire al dato: Integrità Confidenzialità Disponibilità 23
Le sanzioni Art. 15 Danni cagionati per effetto del trattamento 1. Chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell'articolo 2050 del codice civile. 2. (omissis) 24
Art. 2050 c.c. Chiunque cagiona danno ad altri nello svolgimento di un attività pericolosa, per sua natura o per natura dei mezzi adoperati, è tenuto al risarcimento, se non prova di avere adottato tutte le misure idonee a evitare il danno. Quindi trattare i dati è un attività pericolosa! 25
La responsabilità Contrariamente alla regola generale della responsabilità extracontrattuale, non è il danneggiato a dover portare la prova del danno subito; II danneggiato si può limitare ad indicare il danno subito e il nesso causale; Sarà il danneggiante a dover dimostrare di avere adottato le misure idonee ad evitare il danno. 26
Alcuni esempi Conduzione di autoveicoli Conduzione di aeromobili Gestione di impianti di idrocarburi Gestione di centrali nucleari 27
Prova Diabolica In caso di incident l azienda è tenuta a dimostrare di avere adottato tutte le misure adatte ad evitare che l incidente accadesse 28
Chi decide? Il CTU nominato dal giudice svolgerà la sua indagine e suggerirà la sua visione 29
AES 8192 Cloud 2.0 Non sono richieste tecnologie sperimentali Non sono richieste tecnologie militari Sono richieste le misure organizzative, formative e tecnologiche disponibili sul mercato 30
http://www.aisgroup.it/ Misure Minime
Misure Minime Il complesso delle misure tecniche, informatiche, organizzative, logistiche e procedurali di sicurezza che configurano il livello minimo di protezione richiesto in relazione ai rischi previsti dall art. 31 32
Le due famiglie Trattamento con strumenti elettronici art. 34 e Allegato B al D.Lgs. 196/03 Trattamento senza strumenti elettronici art. 35 e Allegato B al D.Lgs. 196/03 33
L Allegato B Sostituisce il D.P.R. 318/99 È il disciplinare tecnico che contiene la specificazione delle misure di sicurezza da adottare L elenco in esso contenuto è tassativo Dovrebbe essere aggiornato ogni tanto 34
Autenticazione Il trattamento dei dati è subordinato dalla legge al superamento di una procedura di autenticazione, con ciò significando che è necessaria una interazione tra l incaricato (persona fisica) e lo strumento elettronico; La credenziale di autorizzazione può consistere in qualcosa che l utente conosce (ad es. la coppia di identificativi userid/ password), possiede (ad es. un token USB) o è (ad es. una qualsiasi caratteristica biometrica del soggetto incaricato); 35
Assegnazione Ogni singola postazione dovrà adottare un sistema operativo in grado di delineare diversi profili utente non agevolmente soverchiabili (Windows NT, 2000, XP, 2003, Linux, *nix, ecc.); Le credenziali di autenticazione devono essere assegnate (nel caso di accoppiata userid/password) o associate (nel caso di dispositivo hardware o di chiave biometrica) singolarmente ad ogni incaricato; Devono essere impartite istruzioni in modo che l incaricato sia consapevole dell importanza della segretezza o della diligente custodia cui devono essere sottoposte le credenziali di autenticazione. 36
Password La password deve essere conforme alle prescrizioni previste dall allegato B (punto 5), ovvero: dovrà essere di almeno otto caratteri o, nel caso in cui il sistema non lo consenta, del massimo numero di caratteri consentito; non dovrà contenere riferimenti agevolmente riconducibili all incaricato; dovrà essere modificata dall incaricato al primo utilizzo; bisognerà predisporre un sistema di scadenza automatica della password che costringa l incaricato a cambiarla almeno una volta ogni sei mesi se si trattano dati personali comuni, ogni tre mesi se si trattano dati personali sensibili. 37
Altre disposizioni Le credenziali di autenticazione una volta utilizzate non potranno più essere adoperate per altri incaricati neppure decorso un margine di tempo; Il mancato utilizzo di una credenziale per un arco superiore ai sei mesi, così come la perdita della qualità di incaricato al trattamento dei dati, deve comportarne la disattivazione; La predetta scadenza non si applica alle credenziali di autorizzazione adoperate per la gestione tecnica. 38
Inaccessibilità A norma del punto 9 dell allegato B bisognerà impartire all incaricato istruzioni al fine di non lasciare incustodito e accessibile lo strumento elettronico durante una sessione di trattamento, qualora l incaricato debba allontanarsi dalla postazione per qualsiasi esigenza; 39
Autorizzazione Congiuntamente all autenticazione, il Codice prevede che per gli incaricati vengano individuati profili diversi di autorizzazione e che la sussistenza delle condizioni per la conservazione dei profili di autorizzazione in capo ad ogni incaricato sia verificata con cadenza annuale. 40
Antivirus Antivirus (punto 16) deve essere aggiornato con cadenza almeno semestrale e non deve più consistere esclusivamente in un programma per elaboratore, ma in qualsiasi strumento elettronico idoneo ; 41
Aggiornamenti Aggiornamenti software (punto 17): Particolare attenzione dovrà essere posta nei confronti degli aggiornamenti dei programmi per elaboratore, che dovranno essere aggiornati almeno annualmente. 42
Backup La procedura di backup dell intero sistema (per effettuare la quale sarebbe opportuno dotarsi di fileserver centrale ed evitare che ogni singola postazione conservi in locale copia dei documenti) deve effettuarsi con cadenza almeno settimanale (punto 18); In caso di trattamento di dati sensibili o giudiziari, il backup dovrà avvenire con filesystem cifrati, al fine di impedire i danni conseguenti allo smarrimento del supporto contenente il backup stesso (punto 21). 43
Disaster recovery Una copia del backup dovrà sempre essere asportata dal titolare o da un responsabile appositamente incaricato, al fine di evitare che fenomeni accidentali possano distruggere anche le copie di backup; E importante verificare periodicamente la reale ripristinabilità del backup, nonché le condizioni nelle quali si trovano i supporti (magnetici o ottici) demandati a questa attività. In caso di trattamento di dati sensibili o giudiziari il ripristino dell'accesso ai dati in caso di danneggiamento degli stessi o degli strumenti elettronici [deve avvenire] in tempi certi compatibili con i diritti degli interessati e non superiori a sette giorni. 44
Firewall? In caso di trattamento di dati sensibili o giudiziari, la natura stessa dei dati trattati impone l utilizzo di sistemi di firewalling, o comunque di sistemi di sicurezza atti ad impedire l accesso abusivo ai propri sistemi (punto 20). 45
Riutilizzo I supporti (floppy disk, hard disk, CD, DVD, memorie USB, etc.) adoperati nel trattamento di dati sensibili devono essere distrutti o resi inutilizzabili. 46
Outsourcing Il titolare di un trattamento effettuato con strumenti elettronici può demandare all esterno la gestione della sicurezza del proprio studio legale (c.d. outsourcing); In questo caso sarà compito dell installatore esterno rilasciare un certificato di conformità della struttura alle norme previste nell allegato B; In ogni caso, il titolare resta responsabile in caso di trattamento illecito, non consentito o non conforme dei dati sottoposti alla sua custodia. 47
Trattamento cartaceo Agli incaricati sono impartite istruzioni scritte finalizzate al controllo ed alla custodia, per l'intero ciclo necessario allo svolgimento delle operazioni di trattamento, degli atti e dei documenti contenenti dati personali. Nell'ambito dell'aggiornamento periodico con cadenza almeno annuale dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati, la lista degli incaricati può essere redatta anche per classi omogenee di incarico e dei relativi profili di autorizzazione. Quando gli atti e i documenti contenenti dati personali sensibili o giudiziari sono affidati agli incaricati del trattamento per lo svolgimento dei relativi compiti, i medesimi atti e documenti sono controllati e custoditi dagli incaricati fino alla restituzione in maniera che ad essi non accedano persone prive di autorizzazione, e sono restituiti al termine delle operazioni affidate. 48
Trattamento cartaceo 29. L'accesso agli archivi contenenti dati sensibili o giudiziari è controllato. Le persone ammesse, a qualunque titolo, dopo l'orario di chiusura, sono identificate e registrate. Quando gli archivi non sono dotati di strumenti elettronici per il controllo degli accessi o di incaricati della vigilanza, le persone che vi accedono sono preventivamente autorizzate. 49
Elementi pratici Le misure minime sono inadeguate nella maggior parte dei casi Non ci credete? :-) 50
http://www.aisgroup.it/ The dark side
Password Password alfanumeriche di almeno 8 caratteri Cambio trimestrale o semestrale delle password 52
Brute Force mayhem@coniglio:~$ hydra -L uid.txt -P pwd.txt / mail.miodominio.it pop3 -f Hydra v4.1 (c) 2004 by van Hauser / THC use allowed only for legal purposes. Hydra (http://www.thc.org) starting at 2004-06-26 13:21:37 [DATA] 16 tasks, 1 servers, 132 login tries (l:12/p:11), ~8 tries per task [DATA] attacking service pop3 on port 110 [21][ftp] host: mail.miodominio.it login: alessio password: pippo [STATUS] attack finished for mail.server.it (valid pair found) Hydra (http://www.thc.org) finished at 2004-06-26 13:21:44 53
Lockout Una buona politica di gestione delle password prevede la disabilitazione di account inutilizzati ed il lockout di account sotto brute-forcing 54
Password Caching Permettere il salvataggio delle password evita di doverle digitare ogni volta. Anche a chi sta usando il nostro computer :( Quello che appare come indecifrabili asterischi può essere facilmente d*cifr*to. 55
Password Decrypting 56
Local Brute Force 57
Rainbow Tables i tempi di password cracking si riducono drasticamente 58
Backup Non dovrebbe essere una legge ad imporlo E interesse dell azienda poter ripristinare l operatività in caso di incidents 59
Da considerare... Se il backup venisse distrutto assieme ai server? Se il supporto di backup fosse deteriorato? Se i supporti di backup venissero rubati? 60
Hints RAID Backup Se qualcosa può andare male lo farà! (Murphy) 61
Per la legge Perdita dei dati equivale a non corretto trattamento 62
Firewall Richiede competenza e cure continue Non è una magica scatola nera 63
Perimetro L avvento di VPN e tecnologie di telelavoro ha reso piuttosto labile il concetto di perimetro 64
Antivirus L aggiornamento semestrale è totalmente insufficiente Non è sempre sufficiente a mitigare tutti i rischi 65
Antivirus? Malware Worm Troyan Spyware Keylogger Dialer 66
Policy Navigazione USB Key Hard Disk esterni Floppy/CD/DVD 67
Virus Non è possibile prendere virus se non si naviga in Internet. Non prendo virus se non apro allegati. Non prendo virus se questa macchina non è configurata per internet. Non prendo virus se uso un Mac. FALSO 68
Patch L applicazione periodica delle patch è necessaria Spesso di parla di ore, non di mesi... 69
Target specifici Non è necessario essere un bersaglio interessante E sufficiente essere in rete! Molte volte i sistemi vulnerabili vengono usati come testa di ponte e poi bisogna spiegarlo agli inquirenti... 70
Testare periodicamente Repelling the wily hacker (with pentesting) L infrastruttura perfetta diventa obsoleta Simulare un attacco è l unica via per scoprire in anticipo cosa potrebbe accaderci! 71
Nessus 72
Wireshark 73
Wireless La tecnologia wireless è comoda La tecnologia wireless è economica La tecnologia wireless è utile La tecnologia wireless è sicura? 74
Kismet 75
AirSnort 76
WiFi senza confini Una rete wireless anche protetta è attaccabile dall esterno della struttura senza effrazione. Una rete wireless anche protetta è attaccabile aggirando i sistemi di firewall. 77
Responsabilità Anche in caso di mancato furto, chi sarà il responsabile di un attacco condotto dall interno della vostra rete? 78
Confiker.* Prevenzione: patch MS08-067 password non banali 11 Milioni di host in 2 mesi 79
Grazie alla 196... Quelli che vengono indicati come requisiti minimi spesso non sono rispettati quindi è positivo che la legge li richieda. 80
Sanzioni Te s t o d e l l a rt. 1 6 9 previgente 1. Chiunque, essendovi tenuto, omette di adottare le misure minime previste dall articolo 33 è punito con l arresto sino a due anni o con l ammenda da diecimila euro a cinquantamila euro. Testo dell art. 169 attuale 1. Chiunque, essendovi tenuto, omette di adottare le misure minime previste dall'articolo 33 è punito con l'arresto sino a due anni. 81
Sanzioni /2 Secondo comma vecchia formulazione All autore del reato, all atto dell accertamento o, nei casi complessi, anche con successivo atto del Garante, è impartita una prescrizione fissando un termine per la regolarizzazione non eccedente il periodo di tempo tecnicamente necessario, prorogabile in caso di particolare complessità o per l oggettiva difficoltà dell adempimento e comunque non superiore a sei mesi. Nei sessanta giorni successivi allo scadere del termine, se risulta l adempimento alla prescrizione, l autore del reato è ammesso dal Garante a pagare una somma pari al quarto del massimo dell ammenda stabilita per la contravvenzione. [ ] Secondo comma nuova formulazione All'autore del reato, all'atto dell'accertamento o, nei casi complessi, anche con successivo atto del Garante, è impartita una prescrizione fissando un termine per la regolarizzazione non eccedente il periodo di tempo tecnicamente necessario, prorogabile in caso di particolare complessità o per l'oggettiva difficoltà dell'adempimento e comunque non superiore a sei mesi. Nei sessanta giorni successivi allo scadere del termine, se risulta l'adempimento alla prescrizione, l'autore del reato è ammesso dal Garante a pagare una somma pari al quarto del massimo della sanzione stabilita per la violazione amministrativa. [ ] 82
Ma alla fine quant è? Art. 162 comma 2-bis In caso di trattamento di dati personali effettuato in violazione delle misure indicate nell'articolo 33 o delle disposizioni indicate nell'articolo 167 è altresì applicata in sede amministrativa, in ogni caso, la sanzione del pagamento di una somma da ventimila euro a centoventimila euro. Nei casi di cui all'articolo 33 è escluso il pagamento in misura ridotta. 83
Ipotesi aggravate Art. 164-bis 2. In caso di più violazioni di un'unica o di più disposizioni di cui al presente Capo, a eccezione di quelle previste dagli articoli 162, comma 2, 162-bis e 164, commesse anche in tempi diversi in relazione a banche di dati di particolare rilevanza o dimensioni, si applica la sanzione amministrativa del pagamento di una somma da cinquantamila euro a trecentomila euro. Non è ammesso il pagamento in misura ridotta. 3. In altri casi di maggiore gravità e, in particolare, di maggiore rilevanza del pregiudizio per uno o più interessati, ovvero quando la violazione coinvolge numerosi interessati, i limiti minimo e massimo delle sanzioni di cui al presente Capo sono applicati in misura pari al doppio. 4. Le sanzioni di cui al presente Capo possono essere aumentate fino al quadruplo quando possono risultare inefficaci in ragione delle condizioni economiche del contravventore. 84
Casi giudiziari Agenzia delle entrate di Catania La Corte Conti sez. giur. Sicilia con Sent. 2 marzo 2005 n. 390 ha evidenziato come integri sotto molteplici profili di responsabilità una condotta gravemente colposa quella posta in essere dal dipendente che lasci incustodita ed attiva la propria postazione informatica, con inserita la password personale assegnata, consentendo in tal modo un facile accesso a terzi e l eventuale compimento di operazioni riservate. 85
Casi giudiziari Cassazione, Sez. Lavoro, Sentenza 13.9.2006, n. 19554 La Suprema Corte ha ritenuto legittimo il licenziamento di un dipendente colpevole di aver comunicato a terzi una password aziendale riservata, mediante la quale un soggetto, ex dipendente della stessa azienda, aveva compiuto accessi dall esterno alla rete interna della società. La Cassazione ha ritenuto proporzionata la sanzione del licenziamento nei confronti del dipendente che ha messo in pericolo, col suo comportamento, una grande massa di informazioni attinenti l attività aziendale e destinate a restare riservate, anche se, di fatto, la password consentiva un mero accesso come utente del sistema, ovvero, come osservano gli stessi giudici, chi utilizzava quel tipo di credenziali non poteva interagire col sistema, non aveva accesso ai programmi, nè poteva fare copia di file o programmi residenti nel sistema. 86
http://www.aisgroup.it/ I provvedimenti del Garante
13.10.2008 Rifiuti di apparecchiature elettriche ed elettroniche (RAEE) e misure di sicurezza dei dati personali. 88
Il ciclo di vita Nell ottica del Legislatore, il dato ha un suo ciclo di vita al pari di un organismo biologico. Gli accorgimenti di sicurezza richiesti dalla legge riguardano qualsiasi porzione del ciclo di vita del dato. 89
Nascita Obblighi relativi alla corretta gestione delle credenziali di autenticazione e di autorizzazione, per consentire solo ai soggetti appositamente preposti di trattare determinati dati. (Autenticità) 90
Vita Obblighi relativi all adozione di sistemi antivirus, di sistemi idonei ad impedire accessi abusivi e di piani che prevedano una corretta procedura di disaster recovery, così da consentire sempre la disponibilità del dato. (Disponibilità) 91
Morte Obblighi relativi alla corretta cancellazione del dato, in modo da impedire che altri soggetti possano, in futuro, venirne a conoscenza, con conseguente violazione di legge. (Riservatezza) 92
Considerazioni Statisticamente, è proprio nella fase di morte o dismissione del dato che l attenzione verso la sicurezza è minima; Questo avviene sia per il dato cartaceo che per il dato elettronico/informatico. 93
Un esempio 94
Distruzione e sicurezza Art. 22 dell Allegato B al D.Lgs. 196/03 I supporti rimovibili contenenti dati sensibili o giudiziari se non utilizzati sono distrutti o resi inutilizzabili, ovvero possono essere riutilizzati da altri incaricati, non autorizzati al trattamento degli stessi dati, se le informazioni precedentemente in essi contenute non sono intelligibili e tecnicamente in alcun modo ricostruibili. 95
Attenzione Siamo nell ambito delle misure minime di sicurezza; Spesso normative di settore impongono cautele maggiori; Il ricambio delle risorse informatiche di un azienda avviene molto più velocemente rispetto al passato; 96
RAEE Identificare (per il diritto) correttamente cosa sia RAEE e cosa non lo sia non è così immediato; RAEE = Le apparecchiature elettriche ed elettroniche che sono considerate rifiuti ai sensi dell'articolo 6 comma 1, lettera a), del decreto legislativo 5 febbraio 1997, n. 22, e successive modificazioni (...), inclusi tutti i componenti, i sottoinsiemi ed i materiali di consumo che sono parte integrante del prodotto nel momento in cui si assume la decisione di disfarsene. 97
AEE Le apparecchiature che dipendono, per un corretto funzionamento, da correnti elettriche o da campi elettromagnetici e le apparecchiature di generazione, di trasferimento e di misura di questi campi e correnti, appartenenti alle categorie di cui all'allegato I A e progettate per essere usate con una tensione non superiore a 1.000 volt per la corrente alternata e a 1.500 volt per la corrente continua 98
Reimpiego e riciclaggio Onde evitare che, in fase di reimpiego o riciclaggio, possano essere trattati da soggetti non autorizzati dati personali dell azienda o di terzi, il Garante impone alcune misure in modalità tripartita. 99
Misure tecniche Cifratura dei singoli file o di gruppi di file presenti sull elaboratore, protetti con parole chiave riservate note al solo utente proprietario dei dati; Memorizzazione cifrata automatica dei documenti su supporti rimovibili protetti mediante parolechiave riservate note al solo utente. 100
Cancellazione sicura Utilizzo di sistemi di wiping Quanti cicli di riscrittura? Quante volte ripetere il procedimento? Formattazione a basso livello dell hard disk Degaussing del supporto 101
Ottici, magneto-ottici, SSD Sistemi di punzonatura o deformazione meccanica; Distruzione fisica o disintegrazione (?); Demagnetizzazione ad alta intensità. 102
09.12.2008 Semplificazione delle misure di sicurezza contenute nel disciplinare tecnico di cui all'allegato B al Codice in materia di protezione dei dati personali 103
Chi ne può beneficiare? Tutti i soggetti pubblici e privati che: a) utilizzano dati personali non sensibili o che trattano come unici dati sensibili riferiti ai propri dipendenti e collaboratori anche a progetto quelli costituiti dallo stato di salute o malattia senza indicazione della relativa diagnosi, ovvero dall'adesione a organizzazioni sindacali o a carattere sindacale; b) trattano dati personali unicamente per correnti finalità amministrative e contabili, in particolare presso liberi professionisti, artigiani e piccole e medie imprese (cfr. art. 2083 cod. civ. e d.m. 18 aprile 2005, recante adeguamento alla disciplina comunitaria dei criteri di individuazione di piccole e medie imprese, pubblicato nella Gazzetta Ufficiale 12 ottobre 2005, n. 238). 104
Istruzioni Le istruzioni in materia di misure minime di sicurezza previste dall'allegato B) possono essere impartite agli incaricati del trattamento anche oralmente, con indicazioni di semplice e chiara formulazione. 105
Autenticazione Scompare il numero minimo di caratteri della password. Gli unici due requisiti sono che l'username individui in modo univoco una sola persona, evitando che soggetti diversi utilizzino codici identici e che la password sia conosciuta solo dalla persona che accede ai dati. Anche i sistemi di login tipici dei S.O. rispondono a tutti i requisiti di legge. 106
Morte della credenziale Lo username deve essere disattivato quando l'incaricato non ha più la qualità che rende legittimo l'utilizzo dei dati (ad esempio, in quanto non opera più all'interno dell'organizzazione). In caso di prolungata assenza o impedimento dell'incaricato che renda indispensabile e indifferibile intervenire per esclusive necessità di operatività e di sicurezza del sistema, il titolare può assicurare la disponibilità di dati o strumenti elettronici con procedure o modalità predefinite. Riguardo a tali modalità, sono fornite preventive istruzioni agli incaricati e gli stessi sono informati degli interventi effettuati. 107
Autorizzazione Qualora sia necessario diversificare l'ambito del trattamento consentito, possono essere assegnati agli incaricati singolarmente o per categorie omogenee corrispondenti profili di autorizzazione, tramite un sistema di autorizzazione o funzioni di autorizzazione incorporate nelle applicazioni software o nei sistemi operativi, così da limitare l'accesso ai soli dati necessari per effettuare le operazioni di trattamento. 108
Aggiornamento dei profili I soggetti di cui al paragrafo 1 assicurano che l'ambito di trattamento assegnato ai singoli incaricati, nonché agli addetti alla gestione o alla manutenzione degli strumenti elettronici, sia coerente con i princìpi di adeguatezza, proporzionalità e necessità, anche attraverso verifiche periodiche, provvedendo, quando è necessario, ad aggiornare i profili di autorizzazione eventualmente accordati. 109
Antivirus Gli aggiornamenti periodici dei programmi per elaboratore volti a prevenire la vulnerabilità di strumenti elettronici (ad esempio, antivirus), anche con riferimento ai programmi di cui all'art. 615-quinquies del codice penale, nonché a correggerne difetti, sono effettuati almeno annualmente. Se il computer non è connesso a reti di comunicazione elettronica accessibili al pubblico (linee Adsl, accesso a Internet tramite rete aziendale, posta elettronica), l'aggiornamento deve essere almeno biennale. 110
Backup I dati possono essere salvaguardati anche attraverso il loro salvataggio con frequenza almeno mensile. Il salvataggio periodico può non riguardare i dati non modificati dal momento dell'ultimo salvataggio effettuato (dati statici), purché ne esista una copia di sicurezza da cui effettuare eventualmente il ripristino. 111
D.P.S. Ne parliamo dopo :-) 112
Trattamento cartaceo Agli incaricati sono impartite, anche oralmente, istruzioni finalizzate al controllo e alla custodia, per l'intero ciclo necessario allo svolgimento delle operazioni di trattamento, degli atti e dei documenti contenenti dati personali. Quando gli atti e i documenti contenenti dati personali sensibili o giudiziari sono affidati agli incaricati del trattamento per lo svolgimento dei relativi compiti, i medesimi atti e documenti sono controllati e custoditi dai medesimi incaricati fino alla restituzione in modo che a essi non accedano persone prive di autorizzazione, e sono restituiti al termine delle operazioni affidate. 113
24.12.2008 Il Garante decide di regolamentare in modo specifico le attività degli amministratori di sistema 114
Definire i ruoli Chi sono gli amministratori di sistema? 115
Art. 1 esigenza di valutare con particolare attenzione l'attribuzione di funzioni tecniche propriamente corrispondenti o assimilabili a quelle di amministratore di sistema (system administrator), amministratore di base di dati (database administrator) o amministratore di rete (network administrator), laddove tali funzioni siano esercitate in un contesto che renda ad essi tecnicamente possibile l'accesso, anche fortuito, a dati personali. 116
Art. 2b b. Designazioni individuali La designazione quale amministratore di sistema deve essere individuale e recare l'elencazione analitica degli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato. 117
Art. 2c c. Elenco degli amministratori di sistema Gli estremi identificativi delle persone fisiche amministratori di sistema, con l'elenco delle funzioni ad essi attribuite, devono essere riportati nel documento programmatico sulla sicurezza 118
Chi riguarda? L aggiornamento riguarda tutti: sia il personale interno sia i consulenti 119
Anche i consulenti? Oltre al personale interno devono essere designate le aziende che hanno le macchine in co-gestione Le aziende in questione dovranno fornire un elenco di incaricati 120
Art. 2d d. Servizi in outsourcing Nel caso di servizi di amministrazione di sistema affidati in outsourcing il titolare deve conservare direttamente e specificamente, per ogni eventuale evenienza, gli estremi identificativi delle persone fisiche preposte quali amministratori di sistema. 121
Qualità del sysadmin Per essere nominati amministratori di sistema non basta essere tecnicamente preparati E necessario garantire diverse qualità 122
Art. 1 Ciò, tenendo in considerazione l'opportunità o meno di tale attribuzione e le concrete modalità sulla base delle quali si svolge l'incarico, unitamente alle qualità tecniche, professionali e di condotta del soggetto individuato; 123
Art. 2a a. Valutazione delle caratteristiche soggettive L'attribuzione delle funzioni di amministratore di sistema deve avvenire previa valutazione delle caratteristiche di esperienza, capacità e affidabilità del soggetto designato, il quale deve fornire idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza. 124
Controllo e verifica L operato va verificato periodicamente Gli accessi vanno registrati e conservati 125
Art. 2e e. Verifica delle attività L'operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, di un'attività di verifica da parte dei titolari del trattamento, in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza riguardanti i trattamenti dei dati personali previste dalle norme vigenti. 126
Art. 2f f. Registrazione degli accessi Devono essere adottati sistemi idonei alla registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema. 127
Art. 2f Le registrazioni (access log) devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo per cui sono richieste. 128
Art. 2f Le registrazioni devono comprendere i riferimenti temporali e la descrizione dell'evento che le ha generate e devono essere conservate per un congruo periodo, non inferiore a sei mesi; 129
Hints Firma digitale Marca temporale 130
Capire Quali sono le intenzioni del Garante cosa vuole tutelare con questo aggiornamento? 131
Premesse Attività tecniche quali il salvataggio dei dati (backup/ recovery), l'organizzazione dei flussi di rete, la gestione dei supporti di memorizzazione e la manutenzione hardware comportano infatti, in molti casi, un'effettiva capacità di azione su informazioni che va considerata a tutti gli effetti alla stregua di un trattamento di dati personali; ciò, anche quando l'amministratore non consulti "in chiaro" le informazioni medesime. 132
Premesse La rilevanza, la specificità e la particolare criticità del ruolo dell'amministratore di sistema sono state considerate anche dal legislatore il quale ha individuato, con diversa denominazione, particolari funzioni tecniche che, se svolte da chi commette un determinato reato, integrano ad esempio una circostanza aggravante. Ci si riferisce, in particolare, all'abuso della qualità di operatore di sistema prevista dal codice penale per le fattispecie di accesso abusivo a sistema informatico o telematico (art. 615 ter) e di frode informatica (art. 640 ter), nonché per le fattispecie di danneggiamento di informazioni, dati e programmi informatici (artt. 635 bis e ter) e di danneggiamento di sistemi informatici e telematici (artt. 635 quater e quinques) di recente modifica1. 133
Agenda pomeridiana Carta? Security policies D.P.S. Informative Consensi Notificazione 134
http://www.aisgroup.it/ Carta?
Documenti? Informative D.P.S. 136
Cosa non sono? Non sono solo pezzi di carta 137
D.P.S. Può essere un utile documento che fotografa la realtà aziendale i suoi dati, i suoi operatori le procedure seguite 138
D.P.S. howto La redazione del D.P.S. (come misura minima) riguarda solo chi tratta dati sensibili o giudiziari con l ausilio di strumenti elettronici Nel momento in cui dovrà essere redatto, tuttavia, assorbirà anche gli altri trattamenti 139
Contenuto del D.P.S. Esso dovrà contenere sicuramente i seguenti elementi: elenco dei trattamenti; analisi valutativa del rischio; elenco dei soggetti designati quali responsabili o incaricati; procedure di sicurezza adottate; policy interne all azienda (ad es. utilizzo della posta elettronica, navigazione del Web, gestione delle password); interventi di formazione in merito alla sicurezza specifici per gli incaricati. 140
Pubblicità? Il DPS dovrà, una volta redatto, essere conservato dal titolare presso la struttura cui si riferisce, non essendo necessaria nessuna altra forma di pubblicità. 141
Termini Il DPS dovrà essere redatto o aggiornato entro il 31 marzo di ogni anno; Dell avvenuto aggiornamento o redazione dovrà esserne data comunicazione nella relazione accompagnatoria al bilancio d esercizio (se dovuta); In ogni caso, la legge non impone un limite all aggiornabilità del DPS, che può quindi subire delle revisioni anche più volte nel corso di un anno solare; Il DPS non richiede la data certa, seppure l apposizione di quest ultima sia consigliabile (basta farsi apporre un timbro dall ufficio postale). 142
Criteri Il DPS è a forma libera, in quanto l allegato B ne stabilisce, per sommi capi, solo i contenuti; Il Garante ha rilasciato sul suo sito alcune linee guida per la redazione del DPS La forma da preferire sarà ovviamente quella modulare, che consenta quindi di intervenire solo nel settore interessato, senza dover ogni volta stravolgere interamente il documento 143
Analisi dei singoli punti 19.1 Elenco dei trattamenti dei dati personali La legge prevede che, nel primo punto del DPS, vengano elencate tutte le operazioni che vengono effettuate dal soggetto titolare del trattamento, direttamente o attraverso collaborazioni esterne, con l indicazione della natura dei dati trattati e della rispettiva struttura che è incaricata del trattamento. 144
Analisi dei singoli punti 19.2 La distribuzione dei compiti e delle responsabilità nell ambito delle strutture preposte al trattamento dei dati La compilazione di questa voce nell ambito del DPS serve a disegnare una sorta di mappa, mediante la quale sia immediatamente enucleabile l associazione tra le strutture e i trattamenti da queste effettuati, nonché, in un ottica più generale, l organizzazione stessa della struttura. 145
Analisi dei singoli punti 19.3 L analisi dei rischi che incombono sui dati In questa sezione del DPS bisogna analizzare i principali eventi dannosi che possano comportare, nell ambito di una determinata struttura, la distruzione o perdita, anche accidentale, dei dati stessi, l accesso non autorizzato o il trattamento non consentito o non conforme alla finalità della raccolta, in modo da calibrare le misure di sicurezza da adottare per la tutela dei dati e giungendo, così, a definire un livello di sicurezza personalizzato. 146
Analisi dei singoli punti 19.4 Le misure da adottare per garantire l integrità e la disponibilità dei dati, nonché la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità Il contenuto di questa voce deve essere logica conseguenza dell analisi dei rischi individuati nella voce precedente. Il termine misura sta qui ad indicare, come ribadito dal Garante stesso, non solo lo specifico intervento tecnico o organizzativo posto in essere per prevenire, contrastare o ridurre gli effetti relativi ad una specifica minaccia, ma bensì anche quelle attività di verifica e controllo nel tempo, essenziali per assicurarne l efficacia. 147
Analisi dei singoli punti 19.5 La descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento di cui al successivo punto 23 Se nella voce precedente sono state indicate le misure preventive da adottare per ridurre al minimo i rischi gravanti sui dati, bisognerà ora indicare i criteri e le modalità da adottare nel caso in cui un incidente si sia comunque verificato. Per criteri si intenderanno le linee guida generali cui gli addetti dovranno attenersi, mentre per modalità le operazioni che, in pratica, dovranno essere messe in atto dal personale all uopo designato. Il ripristino dell accesso ai dati sensibili o giudiziari deve avvenire in tempi compatibili con i diritti degli interessati e non superiori ai sette giorni, per cui è bene sottolineare che il limite dei sette giorni non si riferisce alla completa risoluzione del danneggiamento, ma esclusivamente all accessibilità ai dati da parte degli aventi diritto. 148
Analisi dei singoli punti 19.6 La previsione di interventi formativi Il titolare del trattamento deve, per legge, prevedere interventi formativi tesi a rendere consapevoli gli incaricati, essenzialmente, su quanto viene disposto dalla legge in materia di protezione dei dati personali, nonché da quanto sia contenuto nei punti del DPS sinora analizzati. L utilizzo della parola previsione si deve interpretare nel senso che non è sufficiente che la formazione avvenga una tantum, ma è necessario che sia continua, ogniqualvolta avvengano cambiamenti di mansioni degli incaricati, vengano introdotti nuovi strumenti o modalità con cui i dati sono trattati, oppure vi sia il rischio che si verifichino gravi problemi in ordine alla sicurezza. 149
Analisi dei singoli punti 19.7 La descrizione dei criteri da adottare per garantire l adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformità al codice, all esterno della struttura del titolare. È facoltà del titolare demandare il trattamento dei dati personali a soggetti terzi estranei alla propria struttura. Nel caso in cui il titolare adotti questo tipo di soluzioni, quindi, bisognerà indicare nel DPS, sotto la voce in esame, l indicazione sintetica del quadro contrattuale in cui tale trasferimento si inserisce, ossia in virtù di quale accordo sia stato consentito il trattamento all esterno e, soprattutto, i criteri che possano garantire l adozione ed il rispetto delle misure minime di sicurezza. Non bisogna infatti dimenticare che, anche nel caso di trasferimento del trattamento dei dati a soggetti terzi, la responsabilità circa la sicurezza resta sempre in capo al titolare il quale, per cautelarsi, può indicare i criteri che i soggetti terzi dovranno adottare, ma dovrà anche esercitare un azione di controllo circa il rispetto dei criteri imposti. 150
Il D.P.S. semplificato Il d.l. 112/08 prevede, per i soggetti che trattano soltanto dati personali non sensibili e l'unico dato sensibile è costituito dallo stato di salute o malattia dei propri dipendenti senza indicazione della relativa diagnosi, che l'obbligo di redazione del D.P.S. sia sostituito dall'autocertificazione, resa dal titolare del trattamento: che sono trattati soltanto dati personali non sensibili; che l'unico dato sensibile e' costituito dallo stato di salute o malattia dei propri dipendenti senza indicazione della relativa diagnosi; che il trattamento di tale ultimo dato e' stato eseguito in osservanza delle misure di sicurezza richieste dal presente codice nonche' dall'allegato B 151
Altra semplificazione I soggetti pubblici e privati che trattano dati personali unicamente per correnti finalità amministrative e contabili, in particolare presso liberi professionisti, artigiani e piccole e medie imprese, possono redigere un documento programmatico sulla sicurezza semplificato che abbia i seguenti contenuti: a) le coordinate identificative del titolare del trattamento, nonché, se designati, gli eventuali responsabili. Nel caso in cui l'organizzazione preveda una frequente modifica dei responsabili designati, potranno essere indicate le modalità attraverso le quali è possibile individuare l'elenco aggiornato dei responsabili del trattamento; b) una descrizione generale del trattamento o dei trattamenti realizzati, che permetta di valutare l'adeguatezza delle misure adottate per garantire la sicurezza del trattamento. In tale descrizione vanno precisate le finalità del trattamento, le categorie di persone interessate e dei dati o delle categorie di dati relativi alle medesime, nonché i destinatari o le categorie di destinatari a cui i dati possono essere comunicati; c) l'elenco, anche per categorie, degli incaricati del trattamento e delle relative responsabilità. Nel caso in cui l'organizzazione preveda una frequente modifica dei responsabili designati, potranno essere indicate le modalità attraverso le quali è possibile individuare l'elenco aggiornato dei responsabili del trattamento con le relative responsabilità; d) una descrizione delle altre misure di sicurezza adottate per prevenire i rischi di distruzione o perdita, anche accidentale, dei dati, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta. 152
L informativa È quell attività mediante la quale si informa l interessato in merito a finalità e modalità del trattamento Ha un contenuto minimo obbligatorio fissato dalla legge Non è soggetto a particolari formalità È una delle principali prescrizioni di legge 153
Contenuto minimo a) le finalità e le modalità del trattamento cui sono destinati i dati; b) la natura obbligatoria o facoltativa del conferimento dei dati; c) le conseguenze di un eventuale rifiuto di rispondere; d) i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati, e l'ambito di diffusione dei dati medesimi; e) i diritti di cui all'articolo 7; f) gli estremi identificativi del titolare e, se designati, del rappresentante nel territorio dello Stato ai sensi dell'articolo 5 e del responsabile. Quando il titolare ha designato più responsabili è indicato almeno uno di essi, indicando il sito della rete di comunicazione o le modalità attraverso le quali è conoscibile in modo agevole l'elenco aggiornato dei responsabili. Quando è stato designato un responsabile per il riscontro all'interessato in caso di esercizio dei diritti di cui all'articolo 7, è indicato tale responsabile. 154
L informativa semplificata Diverse realtà, specie imprenditoriali di piccole e medie dimensioni, trattano dati, anche in relazione a obblighi contrattuali, precontrattuali o di legge, esclusivamente per finalità di ordine amministrativo e contabile 155
In questi casi si può: Fornire un informativa unica per più trattamenti, con linguaggio semplice e senza reiterare elementi già noti all interessato Redigere una prima informativa breve che rimandi a un testo più articolato (anche telematico) È invece necessario fornire un'informativa specifica o ad hoc quando il trattamento ha caratteristiche del tutto particolari perché coinvolge, ad esempio, peculiari informazioni (es. dati genetici) o prevede forme inusuali di utilizzazione di dati, specie sensibili, rispetto alle ordinarie esigenze amministrative e contabili, o può comportare rischi specifici per gli interessati (ad esempio, rispetto a determinate forme di uso di dati biometrici o di controllo delle attività dei lavoratori). 156
Il consenso È l atto mediante il quale l interessato conferma di aver preso visione dell informativa e accetta le condizioni del trattamento Consta generalmente di una parte obbligatoria e di una parte facoltativa Ha alcuni requisiti 157
Requisiti I. Il trattamento di dati personali da parte di privati o di enti pubblici economici è ammesso solo con il consenso espresso dell'interessato. 2. Il consenso può riguardare l'intero trattamento ovvero una o più operazioni dello stesso. 3. Il consenso è validamente prestato solo se è espresso liberamente e specificamente in riferimento ad un trattamento chiaramente individuato, se è documentato per iscritto, e se sono state rese all'interessato le informazioni di cui all'articolo 13. 4. Il consenso è manifestato in forma scritta quando il trattamento riguarda dati sensibili. 158
Casi di esclusione a) è necessario per adempiere ad un obbligo previsto dalla legge, da un regolamento o dalla normativa comunitaria; b) è necessario per eseguire obblighi derivanti da un contratto del quale è parte l'interessato o per adempiere, prima della conclusione del contratto, a specifiche richieste dell'interessato; c) riguarda dati provenienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque, fermi restando i limiti e le modalità che le leggi, i regolamenti o la normativa comunitaria stabiliscono per la conoscibilità e pubblicità dei dati; d) riguarda dati relativi allo svolgimento di attività economiche, trattati nel rispetto della vigente normativa in materia di segreto aziendale e industriale; e) è necessario per la salvaguardia della vita o dell'incolumità fisica di un terzo. Se la medesima finalità riguarda l'interessato e quest'ultimo non può prestare il proprio consenso per impossibilità fisica, per incapacità di agire o per incapacità di intendere o di volere, il consenso è manifestato da chi esercita legalmente la potestà, ovvero da un prossimo congiunto, da un familiare, da un convivente o, in loro assenza, dal responsabile della struttura presso cui dimora l'interessato. Si applica la disposizione di cui all'articolo 82, comma 2; f) con esclusione della diffusione, è necessario ai fini dello svolgimento delle investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397, o, comunque, per far valere o difendere un diritto in sede giudiziaria, sempre che i dati siano trattati esclusivamente per tali finalità e per il periodo strettamente necessario al loro perseguimento, nel rispetto della vigente normativa in materia di segreto aziendale e industriale; g) con esclusione della diffusione, è necessario, nei casi individuati dal Garante sulla base dei principi sanciti dalla legge, per perseguire un legittimo interesse del titolare o di un terzo destinatario dei dati, anche in riferimento all'attività di gruppi bancari e di società controllate o collegate, qualora non prevalgano i diritti e le libertà fondamentali, la dignità o un legittimo interesse dell'interessato; h) con esclusione della comunicazione all'esterno e della diffusione, è effettuato da associazioni, enti od organismi senza scopo di lucro, anche non riconosciuti, in riferimento a soggetti che hanno con essi contatti regolari o ad aderenti, per il perseguimento di scopi determinati e legittimi individuati dall'atto costitutivo, dallo statuto o dal contratto collettivo, e con modalità di utilizzo previste espressamente con determinazione resa nota agli interessati all'atto dell'informativa ai sensi dell'articolo 13; i) è necessario, in conformità ai rispettivi codici di deontologia di cui all'allegato A), per esclusivi scopi scientifici o statistici, ovvero per esclusivi scopi storici presso archivi privati dichiarati di notevole interesse storico ai sensi dell'articolo 6, comma 2, del decreto legislativo 29 ottobre 1999, n. 490, di approvazione del testo unico in materia di beni culturali e ambientali o, secondo quanto previsto dai medesimi codici, presso altri archivi privati. 159