UFFICIO NAZIONALE PER I PROBLEMI GIURIDICI
DELLA CONFERENZA EPISCOPALE ITALIANA

La sicurezza dei dati e dei sistemi nel Codice sulla Privacy

Il “Codice in materia di protezione dei dati personali” (decreto legislativo 30 giugno 2003, n. 196) nasce con l’obiettivo di razionalizzare il corpo normativo che si è venuto a stratificare nel corso di questi ultimi anni, semplificando al contempo alcuni adempimenti; in particolare, il provvedimento riunisce in unico ambito la legge n. 675/1996 e altri […]
8 Giugno 2004

Il “Codice in materia di protezione dei dati personali” (decreto legislativo 30 giugno 2003, n. 196) nasce con l’obiettivo di razionalizzare il corpo normativo che si è venuto a stratificare nel corso di questi ultimi anni, semplificando al contempo alcuni adempimenti; in particolare, il provvedimento riunisce in unico ambito la legge n. 675/1996 e altri decreti successivi e ne completa l’armonizzazione con le direttive dell’Unione Europea e con i codici deontologici che si sono succeduti negli anni recenti.
Il Codice si compone di tre parti (disposizioni generali, disposizioni particolari e disposizioni relative alle azioni di tutela dell’interessato e al sistema sanzionatorio) ed è completato da tre allegati, contenenti: i codici di deontologia (allegato A); il disciplinare tecnico in materia di misure minime di sicurezza (allegato B); l’elenco dei trattamenti non occasionali effettuati in ambito giudiziario o per fini di polizia (allegato C).
Tra le nuove disposizioni introdotte vanno segnalate quelle riguardanti le misure di sicurezza che gli operatori pubblici e privati sono tenuti ad adottare per la protezione dei dati personali. Le misure di sicurezza sono indicate negli artt, 31-36, mentre le restanti ventinove dettagliate prescrizioni sono riportate nell’allegato B.
Con le nuove norme il concetto di protezione dei dati deve essere inteso in modo più ampio: è stato introdotto infatti il “principio di necessità” del trattamento (art. 3), in base al quale i sistemi informativi devono essere predisposti in modo tale che i dati personali devono essere utilizzati solo se indispensabili per il raggiungimento delle finalità consentite, escludendo, quindi, il trattamento per il conseguimento di obiettivi che possono essere raggiunti mediante l’uso di dati anonimi ovvero organizzati in modo da consentire l’identificazione delle sole informazioni strettamente necessarie.
Nel Codice vengono definite unicamente le figure centrali del titolare e del responsabile del trattamento; rispetto al dPR n. 318/99, scompaiono alcune figure, quali ad esempio l’amministratore di sistema o il custode delle parole chiave.
L’art. 31 (obblighi di sicurezza) prevede che il titolare e il responsabile debbano disporre un apparato di sicurezza idoneo contro i rischi di distruzione, perdita, manipolazione, utilizzo improprio o illecito di tutti i dati personali trattati, indipendentemente dalla natura degli stessi (dati comuni, sensibili o giudiziari).
Il legislatore, pertanto, nell’indicare le misure di sicurezza idonee a garantire la protezione dei dati, definisce gli obiettivi da perseguire, lasciando al titolare la più completa autonomia nella scelta delle modalità e dei mezzi adatti al raggiungimento di tali obiettivi.
Gli artt. 33, 34 e 35 elencano le misure di sicurezza minime, distinguendo tra trattamenti effettuati con o senza l’ausilio degli strumenti elettronici e rimandando al disciplinare tecnico per la trasposizione degli stessi concetti in modalità operative.
Il soggetto che ha l’accesso al trattamento di determinate informazioni deve averne assoluta necessità in ragione della sua attività e deve superare un duplice controllo che consiste:
a) in una verifica di autenticazione, al fine di poter utilizzare l’apparecchiatura elettronica;
b) in una verifica di autorizzazione, al fine di poter utilizzare attraverso l’apparecchiatura una determinata applicazione informatica destinata al trattamento delle informazioni.
La verifica di autenticazione rappresenta un primo livello di controllo. Il disciplinare tecnico prevede infatti che un soggetto, per poter accedere a uno strumento informatico per trattare dati personali, deve essere in possesso delle cosiddette “credenziali di autenticazione”. Queste ultime possono essere costituite dalla combinazione di un’utenza individuale (user-id), associata a una parola chiave (password), per l’utilizzo della quale sono previste alcune caratteristiche: la password deve essere mantenuta segreta e deve constare almeno di otto caratteri (o del numero massimo di caratteri consentito nel sistema), di non facile codificazione e deve essere costantemente modificata a intervalli di tempo non superiori a sei mesi (novanta giorni in caso di trattamento dei dati sensibili o giudiziari).
L’autorizzazione, invece, consiste nella verifica della legittimità o meno di un soggetto ad accedere a una determinata applicazione che tratti dati personali nonché nella verifica del suo profilo di abilitazione. L’autorizzazione, quindi, deve essere costantemente controllata ed eventualmente revocata in caso di perdita delle condizioni che l’avevano resa necessaria.
Rispetto al dPR n. 318/99, per prevenire la distruzione o la perdita di dati, il nuovo disciplinare tecnico prevede l’adozione sia di programmi antivirus sia di programmi firewall in grado di proteggere tutte le infrastrutture della rete interna da possibili intrusioni provenienti da Internet o da altre reti esterne.
I dati personali devono essere salvati con frequenza almeno settimanale tramite la realizzazione di procedure di back-up e di disaster recovering, per garantire in ogni evenienza una copia aggiornata dei dati.
Rilevante inoltre è la novità introdotta in merito alla redazione di un documento programmatico sulla sicurezza (DPS), obbligatorio in tutti i casi in cui il titolare tratti dati personali sensibili o giudiziari mediante l’uso di strumenti elettronici, collegati o meno in rete.
Il DPS deve essere redatto entro il 31 marzo di ogni anno (per il 2004, il termine è stato prorogato al 30 giugno) e deve contenere, oltre all’elenco dei trattamenti di dati personali, la distribuzione dei compiti e delle responsabilità nell’ambito delle strutture preposte al trattamento dei dati e l’analisi dei rischi che incombono sugli stessi.
Debbono essere previsti interventi formativi per gli incaricati del trattamento per renderli edotti dei rischi che incombono sui dati e delle misure disponibili per prevenire eventi dannosi. La formazione dovrebbe essere programmata già al momento dell’ingresso in servizio, nonché in occasione di cambiamenti di mansioni o di introduzione di nuovi strumenti rilevanti rispetto al trattamento dei dati.
Il titolare deve procedere ad adottare il nuovo standard stabilito per le misure minime di sicurezza entro il 30 giugno 2004; in realtà, per quanto attiene alle misure di sicurezza contenute nel dPR n. 318/99, esse dovrebbero essere già in esercizio secondo le scadenze fissate dal decreto.
Le misure previste dal disciplinare richiedono invece un intervento del tutto nuovo o un adeguamento delle misure precedenti: solo in presenza di determinate circostanze la scadenza del 30 giugno 2004 potrà essere prorogata al 31 dicembre 2004 (art. 180). In ogni caso il mancato adeguamento dovrà essere riconducibile ad “obiettive ragioni tecniche”, che andranno descritte in un documento con data certa da conservare agli atti presso la propria struttura. Il titolare dovrà dunque adottare ogni misura idonea a evitare un incremento del rischio e adeguare entro il 1° gennaio 2005 i propri strumenti elettronici.
Per quanto attiene al profilo sanzionatorio, la mancata adozione delle misure minime di sicurezza costituisce illecito penale punibile con l’arresto o con l’ammenda. L’autore del reato potrà avvalersi del cosiddetto “ravvedimento operoso”, che dovrà essere adottato correttamente seguendo le prescrizioni impartite dal Garante. L’adempimento e il pagamento di un’ammenda ridotta estinguono il reato.