ABILITA INFORMATICHE E TELEMATICHE Protezione dei dati e Privacy A.A. 2010-11 1 Introduzione al problema Contestualmente al progresso tecnologico che consente la conoscibilità, la conservazione e la elaborazione dei dati, si è fatta pressante: la esigenza di proteggere la sfera privata dell individuo, tutelando il suo diritto alla riservatezza e riconoscendogli la titolarità esclusiva delle informazioni che lo riguardano La facilità di accesso e manipolazione delle informazioni resa possibile dall ICT ha portato a legiferare sulla tutela del trattamento dei dati personali. 2 Obiettivi Sussistono due esigenze contrastanti: Tutela della riservatezza, controllo dell interessato sull utilizzo delle informazioni che lo riguardano da parte di terzi; Necessità di rendere sempre disponibili i dati per ragioni di legalità e trasparenza. Inammissibilità dell anonimato per questioni di sicurezza. Il Garante per la protezione dei dati personali è l autorità istituita per tutelare i diritti e le libertà fondamentali ed il rispetto della dignità nel trattamento dei dati personali. 3 1
Tutela della riservatezza Tutelare la riservatezza vuol dire: consentire all individuo di decidere in autonomia quale debba essere l ambito entro il quale i dati che rivelano la sua identità ed altri aspetti della sfera privata, possano essere portati a conoscenza di terzi; Mantenere il controllo sui trattamenti cui tali dati sono sottoposti. 4 Breve excursus normativo Direttiva Comunitaria n. 95/46/CEE del 24/10/1995; Legge n. 675 del 31/12/1996; D.Lgs. N. 196 del 30/06/2003 (Codice della Privacy); L.n. 48 del 18/03/2008; 5 Il Codice della Privacy Il Codice della Privacy è organizzato in tre parti Disposizioni generali: principi e regole generali per il trattamento dei dati, diritti dell interessato; Disposizioni di settore: disposizioni relative a settori specifici come Giustizia, Sanità, P.A., etc. Tutela dell interessato: modalità con cui l interessato può esercitare i propri diritti. L Allegato B al codice prescrive le misure minime di sicurezza; 6 2
Principi di base Principio di necessità Principio di finalità Principio di trasparenza Principio di legittimità Principio di proporzionalità Principio di conservazione Principio di sicurezza 7 Principio di necessità Le azioni di raccolta dati e monitoraggio devono essere giustificate dalla loro necessità ai fini della attività della organizzazione o della azienda; i sistemi informativi e i programmi informatici devono essere configurati in modo da ridurre al minimo l'utilizzo di dati personali e di dati identificativi escludendone il trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante dati anonimi; in pratica, la azione di raccolta dati deve essere giustificata dalla effettiva necessità legata al perseguimento del proprio fine istituzionale. 8 Principio di finalità Non è consentito il trattamento dei dati per finalità che vanno oltre quelle per le quali i dati sono stati raccolti (art. 6, comma 1, par. b Direttiva 95/46/CE; art 11 comma 1, par. b, D.Lgs. 30 giugno 2006, n. 196 La raccolta dei dato deve avvenire per uno scopo determinato, esplicito e legittimo; Non è possibile utilizzare successivamente tali dati per scopi diversi da quelli per cui sono stati raccolti. 9 3
Principio di trasparenza La attività di raccolta dati deve essere manifesta e dichiarata; Devono essere descritti i motivi e le finalità; Devono essere dichiarate le procedure adottate per il rispetto delle regole; Devono essere comunicate le modalità di contestazione. 10 Principio di legittimità La raccolta ed il trattamento possono essere consentiti solo se: perseguono fini legittimi non violano i diritti dell interessato 11 Principio di proporzionalità i dati personali raccolti devono essere adeguati, pertinenti e non eccedenti le finalità per cui sono raccolti; Essi devono essere accurati ed mantenuti aggiornati (articolo 6(1)(c) Direttiva 95/46/CE; articolo 11(1)(d) d.lgs. 30 giugno 2006, n. 196); Ad esempio non è consentito ad un datore di lavoro il controllo sistematico dei messaggi di posta elettronica dei dipendenti (finalizzato al controllo della attività lavorativa). 12 4
Principio di conservazione I dati raccolti devono essere accurati, aggiornati e conservati per un tempo non superiore al necessario per gli scopi per i quali sono raccolti (art. 6, comma 1, par. e, Direttiva 95/46/CE; art.11 comma 1, par. e, D.Lgs. 30 giugno 2006, n. 196). 13 Principio di sicurezza I dati devono essere conservati in modo sicuro e al riparo da intrusioni esterne; Sono obbligatorie misure di sicurezza come: Protezioni fisiche; Protezioni procedurali; Protezioni tecniche : Protezione da intrusioni Protezione da infezioni Protezione da perdite di dati 14 Allegato B Definisce le misure minime di sicurezza che le organizzazioni devono adottare nel trattamento dei dati personali attraverso strumenti elettronici; Prescrive l uso di un sistema di autenticazione un sistema di autorizzazione Richiede la predisposizione annuale di un Documento Programmatico della Sicurezza (DPS). 15 5
Sistema di autenticazione l autenticazione è il processo attraverso il quale si prova la propria identità; l allegato B specifica regole per la scelta e la gestione delle password: lunghezza minima: 8 caratteri; deve rimanere sempre riservata e ben conservata; non deve essere riconducibile al proprietario; deve essere modificata ogni 6 mesi; conseguenza diretta di una procedura di autenticazione è la possibilità di essere sempre a conoscenza delle risorse cui ha fatto accesso l'utente, quanto tempo è rimasto collegato ad un sistema e quali operazioni ha eseguito. 16 Autenticazione Il trattamento di dati personali con strumenti elettronici è consentito agli incaricati dotati di credenziali di autenticazione che consentano il superamento di una procedura di autenticazione relativa a uno specifico trattamento o a un insieme di trattamenti. Le credenziali di autenticazione consistono in un codice per l'identificazione dell'incaricato associato a una parola chiave riservata conosciuta solamente dal medesimo oppure in un dispositivo di autenticazione in possesso e uso esclusivo dell'incaricato, eventualmente associato a un codice identificativo o a una parola chiave, oppure in una caratteristica biometrica dell'incaricato, eventualmente associata a un codice identificativo o a una parola chiave. Ad ogni incaricato sono assegnate o associate individualmente una o più credenziali per l'autenticazione. Con le istruzioni impartite agli incaricati è prescritto di adottare le necessarie cautele per assicurare la segretezza della componente riservata della credenziale e la diligente custodia dei dispositivi in possesso ed uso esclusivo dell'incaricato. 17 Password La parola chiave, quando è prevista dal sistema di autenticazione, è composta da almeno otto caratteri oppure, nel caso in cui lo strumento elettronico non lo permetta, da un numero di caratteri pari al massimo consentito; essa non contiene riferimenti agevolmente riconducibili all'incaricato ed è modificata da quest'ultimo al primo utilizzo e, successivamente, almeno ogni sei mesi. In caso di trattamento di dati sensibili e di dati giudiziari la parola chiave è modificata almeno ogni tre mesi. Il codice per l'identificazione, laddove utilizzato, non può essere assegnato ad altri incaricati, neppure in tempi diversi. Le credenziali di autenticazione non utilizzate da almeno sei mesi sono disattivate, salvo quelle preventivamente autorizzate per soli scopi di gestione tecnica. Le credenziali sono disattivate anche in caso di perdita della qualità che consente all'incaricato l'accesso ai dati personali. Sono impartite istruzioni agli incaricati per non lasciare incustodito e accessibile lo strumento elettronico durante una sessione di trattamento. 18 6
Sistema di autorizzazione Si tratta di un meccanismo per abilitare gli utenti a compiere azioni o visualizzare dati in relazione al proprio ruolo e alle autorizzazioni che ne derivano; Quando per gli incaricati sono individuati profili di autorizzazione di ambito diverso viene utilizzato un sistema di autorizzazione; Ad ogni credenziale di accesso è associato l insieme di dati visualizzabile e di operazioni eseguibili. 19 Aggiornamento software I dati personali devono essere tutelati dalle possibili minacce alla riservatezza e, di conseguenza devono essere protetti contro malware e intrusioni; L allegato B prescrive la adozione di idonei strumenti elettronici quali possono essere antivirus, antispyware e firewall; Si richiede, inoltre, l aggiornamento di tali strumenti con cadenza almeno annuale (semestrale nel caso di trattamento di dati sensibili e/o giudiziari). 20 DPS Entro il 31 marzo di ogni anno, il titolare di un trattamento di dati sensibili o di dati giudiziari redige anche attraverso il responsabile, se designato, un documento programmatico sulla sicurezza contenente idonee informazioni riguardo: l'elenco dei trattamenti di dati personali; la distribuzione dei compiti e delle responsabilità nell'ambito delle strutture preposte al trattamento dei dati; l'analisi dei rischi che incombono sui dati; le misure da adottare per garantire l'integrità e la disponibilità dei dati, nonchè la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità; la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento di cui al successivo punto 23; la previsione di interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare. La formazione è programmata già al momento dell'ingresso in servizio, nonchè in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati personali; la descrizione dei criteri da adottare per garantire l'adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformità al codice, all'esterno della struttura del titolare; per i dati personali idonei a rivelare lo stato di salute e la vita sessuale di cui al punto 24, l'individuazione dei criteri da adottare per la cifratura o per la separazione di tali dati dagli altri dati personali dell'interessato. 21 7