Le novità del Testo unico sulla Privacy. Le cui disposizioni devono essere applicate da tutti i soggetti che effettuano trattamento di dati personali
marzo 2005 Il termine ultimo è fissato per il 31 dicembre
2005. Entro quella data (salvo ulteriori proroghe, ormai all’ordine
del giorno) tutte le aziende pubbliche e private devono essere conformi alle
norme di sicurezza per la protezione dei dati personali contenute nel documento
programmatico sulla sicurezza (DPS, indicato anche con il nome di Testo
Unico sulla privacy).
Che cos’è il DPS? In generale quando si parla di DPS si intende
il resoconto in forma scritta delle misure di sicurezza adottate da chiunque
esegua il trattamento di dati personali per ridurre al minimo il rischio di
danneggiamento, perdita dei dati o il loro utilizzo fraudolento a seguito dell’azione
di virus, worm, spyware, trojan e problemi dell’hardware.
Questo documento va aggiornato ogni anno e citato nella relazione
consuntiva di bilancio (per i soggetti obbligati alla presentazione), nonché
conservato in occasione di controlli.
In pratica tutte le aziende che hanno un computer sul quale conservano
o elaborano dati personali, sensibili o giudiziari devono applicare
le norme.
È sufficiente avere sul computer un database dei clienti con indirizzo
e partita IVA per rientrare nella categoria di chi deve redigere il DPS.
Il documento, però è solo la parte finale della procedura: a
monte c’è l’adeguamento del computer alle misure minime (vedi
glossario) specificate nell’articolo 34 del Codice in materia di protezione
dei dati personali, un decreto legislativo del 30 giugno del 2003.
Le sanzioni per chi non le rispetta o non le applica sono
abbastanza pesanti; divise in illeciti penali e civili comportano il pagamento
di multe e persino tre anni di reclusione.
L‘articolo 34 del decreto legislativo riporta che “Il
trattamento di dati personali effettuato con strumenti elettronici è
consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico
contenuto nell’allegato B), le seguenti misure minime”:
a) autenticazione informatica;
b) adozione di procedure di gestione delle credenziali di autenticazione;
c) utilizzazione di un sistema di autorizzazione;
d) aggiornamento periodico dell’individuazione dell’ambito del trattamento
consentito ai singoli incaricati e addetti alla gestione o alla manutenzione
degli strumenti elettronici;
e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti
illeciti di dati, ad accessi non consentiti e a determinati programmi informatici;
f) adozione di procedure per la custodia di copie di sicurezza, il ripristino
della disponibilità dei dati e dei sistemi;
g) tenuta di un aggiornato documento programmatico sulla sicurezza;
h) adozione di tecniche di cifratura o di codici identificativi per determinati
trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale
effettuati da organismi sanitari.
Come si può notare, nel DPS vengono illustrate le direttive di sicurezza,
ma è compito della singola azienda tradurre queste disposizioni in procedure
di lavoro concrete e codificate.
In pratica per un piccola azienda con le caratteristiche citate all’inizio
dell’articolo si tratta di:
- proteggere il computer e i dati da accessi di persone non autorizzate tramite
password, cifratura dei dati o altri sistemi di autenticazione e dal furto
dei computer stessi (vedi credenziali di autenticazione); - proteggere il computer da virus, trojan, keylogger (programmi che registrano
la sequenza di tasti premuti, utilizzati per appropriarsi di password e codici
di carte di credito) e tutti i loro derivati tramite l’utilizzo di firewall
hardware o software o la combinazione di entrambi, antivirus e programmi specifici; - infine produrre un documento che riassume gli eventi dannosi che si possono
verificare e quali sono le misure di protezione adottate.
L’impostazione delle password deve seguire alcune regole:
le parole chiave devono avere una lunghezza minima di otto caratteri, o (se
il sistema non lo permette) la lunghezza massima possibile ammessa, e vanno
rinnovate ogni sei mesi (tre mesi per i dati sensibili e giudiziari).
Non devono essere composte da nomi comuni o collegati con la vita personale
o l’attività. Ogni settimana deve essere eseguito un salvataggio
dei dati (la copia di backup).
I programmi anti-intrusione e antivirus devono essere aggiornati
con una cadenza almeno semestrale, idem i sistemi operativi e i programmi per
la correzione delle falle di sicurezza rilevate successivamente al loro rilascio.
La sicurezza del sistema di password utilizzato da Windows
98 e ME non è paragonabile a quella offerta da 2000 e XP. I primi due
sono sistemi operativi realizzati con l’intento di rendere amichevole
l’uso del computer, l’efficacia della loro password è nulla.
Per esempio basta premere Annulla nella schermata di richiesta
della password per accedere al computer.
Con Windows 98 e ME è necessario ricorrere a dei sistemi di protezione
alternativi come i sistemi di rilevazione biometrica o chiavette USB di protezione.
Windows 2000 e XP sono invece sistemi operativi con un’architettura
decisamente più robusta, meno soggetta a malfunzionamenti e con sistemi
di protezione realmente funzionali.
Per quanto riguarda la compilazione del DPS, il Garante per
la protezione dei dati ha pensato alle piccole realtà aziendali in cui
il personale possiede solo alcune nozioni di base del computer e ha preparato
una guida semplificata per la compilazione del documento.
La guida è disponibile a questo
indirizzo Internet cliccando sul collegamento Guida operativa per redigere
il Documento programmatico sulla sicurezza – 11 giugno 2004.
