Proponiamo un viaggio nelle nuove norme di attuazione della legge 196/2003. Per districarsi nei meandri dei suoi vincoli, in attesa della scadenza dei termini per l’adeguamento, prevista per il prossimo 31 marzo.
Il Decreto Legislativo n. 196 del 30 giugno 2003 (Codice in materia di protezione dei dati personali) e il relativo Allegato B (Disciplinare Tecnico in materia di misure minime di sicurezza), entrati in vigore il 1° gennaio 2004, hanno introdotto numerose modifiche agli adempimenti a carico degli operatori professionali previste dalla precedente disciplina in materia di privacy (L. 675/1996 e D.P.R. 318/1999). Le nuove misure sono molto più stringenti di quelle previste dalla vecchia normativa, in particolare nei confronti dei profili di autorizzazione, dei sistemi di autenticazione, delle procedure di ripristino dell’accesso ai dati in caso di danneggiamento degli stessi, delle regole organizzative e della formazione degli incaricati.
Una proroga poco probabile
Con le “nuove” norme, il Documento Programmatico sulla Sicurezza (Dps) è diventato un obbligo per tutte le organizzazioni, pubbliche e private, che trattano dati personali e sensibili con l’uso di strumenti elettronici, anche se questi ultimi non sono collegati a una rete pubblica. Questo significa che è sufficiente che i dati risiedano su un singolo personal computer, anche se questo non è collegato ad alcuna rete, perché sia vincolante compilare il Dps. Unitamente ad altre misure di tipo tecnologico e organizzativo, questo documento rientra nel novero delle cosiddette “misure di sicurezza” che le aziende e le istituzioni soggette alla legge 196/2003 devono seguire per evitare gravi sanzioni, sia amministrative sia penali. Fino a poco tempo fa, l’applicazione del complesso di tutte le misure di sicurezza è stata prorogata di volta in volta, fino ad arrivare a una scadenza che sembra ormai definitiva, quella del 31 marzo 2006.
Farsi strada nella giungla delle misure di sicurezza
L’esperienza pratica presso le aziende porta a prendere atto di una circostanza ricorrente: la difficoltà di comprendere (accresciuta dalla vicinanza della scadenza, ormai imminente) quali siano le modalità di “raggiungimento della conformità” con la legge 196/2003. In questo articolo cercheremo di illustrare in maniera pratica i punti salienti di questo processo di messa in regola, unitamente ad alcuni suggerimenti sulle operazioni da compiere e sulla scelta del percorso da seguire.
Partiamo dalla legge. Il punto 19 del Disciplinare tecnico prescrive che il Dps debba contenere idonee informazioni riguardo:
L’elenco dei trattamenti di dati personali e sensibili
Si tratta di un’attività di acquisizione di informazioni, finalizzata alla cosiddetta “mappatura” dei dati personali e sensibili che vengono trattati all’interno dell’azienda. è un’attività non proprio semplicissima, ma comunque accessibile se pianificata con accortezza. Normalmente, questo avviene con l’ausilio di software dedicati, più o meno sofisticati. A tal proposito va chiarito, una volta per tutte, che la gestione della privacy in azienda non può ridursi esclusivamente al mero utilizzo del “software della privacy” tanto in voga nei negozi di cancelleria e di informatica. Questo è un appello destinato soprattutto alle piccole medie imprese, naturale oggetto di campagne pubblicitarie di questo tipo. Una volta effettuata la ricognizione delle informazioni, è il momento di mappare le stesse sugli oggetti It disponibili in azienda e di effettuare le operazioni che descriviamo di seguito.
La distribuzione dei compiti e delle responsabilità nell’ambito delle strutture preposte al trattamento dei dati
Ogni dato aziendale sul quale incombono i rischi che saranno analizzati (si veda il punto successivo) potrà essere aggregato in categorie omogenee, ma sarà necessaria la nomina di responsabili e incaricati del trattamento. Questi, in aggiunta alla responsabilità generale del titolare, avranno responsabilità ben definite, sia dal punto di vista della legge sulla privacy “pura” sia da quello del Codice Civile.
L’analisi dei rischi che incombono sui dati
Ogni categoria di dati, aggregata su una o una pluralità di risorse It, è potenzialmente esposta a un rischio sicurezza più o meno grave. Tale rischio deve essere analizzato con l’indicazione delle probabilità che l’evento si verifichi. Si tratta di un momento importante del processo di tutela della privacy in azienda. È sicuramente una delle poche occasioni per mettere ordine nella sicurezza informatica aziendale e, contestualmente, garantirsi la conformità con la legge. Esistono due modi per effettuare l’analisi del rischio. Uno di tipo “standard”, che comprende una serie di valutazioni generiche, e l’altro che si potrebbe definire “reale”, quantomeno in rapporto a una valutazione più o meno definita dei rischi medesimi. Il risultato di tale analisi viene inserito come parte integrante del Documento Programmatico sulla Sicurezza.
Le misure da adottare per garantire l’integrità e la disponibilità dei dati, nonché la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità
Come è possibile notare in questo punto, le misure di sicurezza devono riguardare sia il versante tecnologico sia quello fisico. E la ragione è semplice: la legge sulla privacy riguarda anche la gestione dei dati sensibili e giudiziari effettuata su supporto cartaceo. Le contromisure, pertanto, non riguardano soltanto la protezione logica, ma anche la difesa fisica dei locali all’interno dei quali le informazioni vengono conservate.
La descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati, in seguito a distruzione o danneggiamento
In questo caso il riferimento diretto è al piano di disaster recovery. Va comunque detto che, specie negli ultimi 18 mesi, molte aziende di grandi dimensioni hanno preferito identificare con questo punto un concetto più ampio di continuità operativa. Al suo interno, viene incluso sia il recupero dei dati sia la gestione degli incidenti (incident management). A ogni modo, in termini pratici le aziende devono dotarsi di un piano e di tecnologie appropriate per il ripristino dei dati a seguito di un qualsivoglia incidente informatico.
La previsione di interventi formativi degli incaricati del trattamento
Si tratta di un’operazione necessaria a rendere edotti gli operatori incaricati del trattamento in merito ai rischi che incombono sui dati, alle misure disponibili per prevenire eventi dannosi, ai profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, alle responsabilità che ne derivano e alle modalità per aggiornarsi sulle misure minime adottate dal titolare. La formazione deve essere programmata già al momento dell’ingresso in servizio, nonché in occasione di cambiamenti di mansioni o dell’introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati personali.
Outsourcing
Si tratta della descrizione dei criteri da adottare per garantire l’adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformità al codice, all’esterno della struttura del titolare.
Encryption
Per i dati personali idonei a rivelare lo stato di salute e la vita sessuale, è obbligatoria l’individuazione dei criteri da adottare per la cifratura o la separazione di tali informazioni dagli altri dati personali dell’interessato. Questo tipo di incombenza riguarda soprattutto studi medici e attività correlate alla sanità (cliniche e ospedali), ma non solo. Anche i laboratori di analisi e, talvolta, le farmacie e i negozi di articoli sanitari. Particolare attenzione va prestata ai database e agli applicativi degli studi medici. La verifica diretta effettuata su aziende di questo tipo ha dimostrato che si tratta di una delle categorie meno conformi ai dettami di legge tra quelle esaminate.
Le norme collegate alla “legge privacy”
La legge di cui stiamo parlando conferma il regime di responsabilità civile e richiama le disposizioni dell’articolo 2050 del Codice Civile (disciplina relativa alle attività pericolose) qualora si cagionino danni a terzi a seguito del non conforme trattamento di dati personali. Questo significa che si è comunque responsabili, a meno che non si dimostri di aver attuato tutto il necessario a evitare il danno (ovvero quanto previsto dalla medesima disciplina). Sulla base della normativa, quindi, gli imprenditori, per forza di cose, sono equiparati agli operatori che gestiscono gli esplosivi. In particolare, i principali adempimenti imposti dalla normativa possono essere sinteticamente riassunti nei seguenti punti:
1) Notificazione al Garante per il trattamento dei dati sensibili
Questo tipo di incombenza dovrebbe essere già stata da tempo soddisfatta, vista altresì la pericolosa evidenza di una sanzione per l’inosservanza.
2) Informativa agli interessati (clienti, dipendenti, fornitori, promotori)
In questo momento storico, questa parte documentale è ancora generalmente incompleta, specie in aziende che hanno nella loro organizzazione agenti di commercio e/o rappresentanti di vario genere.
3) Raccolta e gestione del consenso degli interessati (utenti finali di un servizio)
In termini pratici, si tratta delle informative “per la privacy” che vengono presentate, e che devono obbligatoriamente essere sottoscritte e accettate dall’interessato, in qualsiasi caso in cui sia richiesta la raccolta di dati personali.
4) Istituzione di uno specifico modello organizzativo che prevede:
A) Nomina dei responsabili, interni ed esterni, e relativi mansionari
Dal punto di vista pratico, questo può rappresentare un collo di bottiglia, specie nell’ambito di specifiche categorie manageriali (responsabili di alcune categorie di trattamenti). Si potrebbero, infatti, verificare possibili ritardi nell’accettazione degli incarichi, dovuti alla scarsa informazione sui termini di responsabilità di legge. Lo stesso dicasi per gli outsourcer che fanno parte dell’impianto consulenziale del cliente. Questa categoria di operatori, infatti, conosce bene i doveri relativi alla legge 196/2003, anche se cerca di limitare l’assunzione della propria responsabilità per vari motivi, come ad esempio l’assenza di una corrispondente indennità di rischio.
B) Individuazione per iscritto degli incaricati del trattamento e della manutenzione dei sistemi
Questo è un compito che va valutato con la massima attenzione, in quanto i destinatari sono gli utenti di postazione e gli addetti alla manutenzione dei sistemi. I primi sono generalmente interni, ma anche esterni all’azienda qualora le aziende stesse si servano di outsourcer, ad esempio per la gestione dei call center.
C) Nomina per iscritto dell’amministratore dei sistemi
Il system administrator ha funzioni importanti, anche per quanto concerne l’aggiornamento dei dati stessi. Questo, infatti, è sicuramente uno dei punti cruciali per l’applicazione delle misure di sicurezza.
D) Nomina per iscritto del gestore delle password
Tale figura è responsabile della gestione delle credenziali di accesso. In alcune realtà molto grandi si occupa di gestire le applicazioni che, a loro volta, hanno questa incombenza. Il responsabile di progetti e applicazioni di gestione delle identità (Id management) è un esempio pratico di questa categoria.
E) Formalizzazione di specifiche policy (regole) e relative procedure operative
Questo è uno dei compiti più delicati di tutto l’impianto. Esistono due vie percorribili. La prima è data dall’utilizzo di policy esclusivamente formali, stilate per “essere formalmente in regola”. Si tratta di una possibilità comunque poco percorribile dal punto di vista pratico, per il semplice motivo che, in caso di accertamento o di contenzioso, uno dei primi passi dell’organo accertatore sarà quello di verificare la reale corrispondenza tra quanto dichiarato nel Documento Programmatico per la Sicurezza, il reale impianto organizzativo e il recepimento dello stesso anche dal punto di vista procedurale. La seconda alternativa prevede una revisione dell’impianto organizzativo. Di solito basato su standard come BS 7799 o, meglio ancora, ISO 17799 (quest’ultimo appena modificato e in via di ulteriore revisione nel prossimo triennio), questo approccio è quello che valorizza realmente gli investimenti. Ha una duplice valenza positiva: da un lato garantisce un impianto procedurale effettivo, dall’altro anche la sua reale applicazione nel mondo aziendale. È utile se segue a una vera fase di acquisizione delle informazioni e all’analisi del rischio di una certa classificazione delle informazioni. Entrambe le attività danno come ulteriore beneficio una completa visibilità sui processi e i punti critici. è consigliabile, inoltre, attuare questo modello organizzativo con il supporto di un legale, che sia in grado di garantire la massima integrazione tra politiche tecniche e principi di legge.
F) Clausole per il trasferimento all’estero dei dati
Si tratta di un problema afferente soprattutto alle aziende multinazionali con presenza in Italia, nonché alle aziende italiane che intrattengono relazioni di business con stati esteri, anche all’interno dell’Unione europea. Questo tema viene trattato solitamente da un legale e da un tavolo di tecnici esperti della questione.
G) Autorizzazioni al trattamento di dati sensibili
Il regime delle autorizzazioni deriva da alcuni dei punti citati poc’anzi. Evidentemente riguarda, in questo caso, anche la modulistica da approntare e i diagrammi di flusso relativi alle varie autorizzazioni, specie se devono provenire da gruppi di titolari differenti.
H) Implementazione di misure minime di sicurezza fisiche e informatiche
Qui si arriva al dunque. La parola implementazione chiarisce che la legge sulla privacy va presa sul serio. Significa che tutto ciò che viene dichiarato sulla documentazione ufficiale (si ricorda che il Dps deve essere quantomeno menzionato nella relazione di bilancio) deve corrispondere a un’implementazione tecnica delle misure di sicurezza tecniche e fisiche. Questo è uno dei concetti più difficili da far comprendere al management aziendale, specie nelle realtà medio-piccole.
I) Definizione di specifiche procedure per garantire i diritti di accesso degli interessati
Identificata ormai dalla maggioranza degli operatori come identity management, questa disciplina è, di fatto, appannaggio delle aziende più grandi, sia per complessità di progettazione sia per questioni di budget. La definizione delle procedure specifiche deve, comunque, essere effettuata anche dalle aziende che non hanno le possibilità economiche per investire su tecnologie dedicate.
L) Evidenza delle verifiche periodiche
Ogni azienda deve garantire l’esecuzione di un’attivita dettagliata di verifica della conformità con le normative di cui stiamo parlando. Detta verifica viene, di solito, effettuata su due punti. Il primo riguarda la corretta preparazione della parte documentale, il secondo è teso a costruire un impianto minimo di vulnerability assessment (verifica delle vulnerabilità), finalizzato a dimostrare l’applicazione delle misure tecniche di sicurezza e, contestualmente, quella delle soluzioni di difesa.
E se non seguo le regole?
L’omissione degli adempimenti imposti dall’Allegato Tecnico, che definisce le misure minime di sicurezza, è sanzionata penalmente dall’articolo 169 del Codice, che prevede la possibilità di commutare la sanzione penale in una sanzione amministrativa che può arrivare fino a 50.000 euro. La società è il soggetto giuridico responsabile dell’archiviazione e della gestione di tutti i documenti (informatici e non, di natura amministrativa, contabile o aventi altre finalità) prodotti dalle proprie sedi. Agisce, inoltre, quale titolare del trattamento dei dati personali ai sensi e per gli effetti di cui al Codice, relativamente alle norme generali di protezione dei dati personali. La nuova disciplina normativa richiede che una precisa documentazione venga redatta e mantenuta aggiornata nel tempo. Prevede, inoltre, verifiche ispettive periodiche e la conseguente redazione di appositi verbali, oltre a regolamentare le caratteristiche che gli archivi fisici e i sistemi informativi debbono rispettare per garantire la tutela dei dati personali. Infine, introduce la necessità di formazione del personale. Tale modello normativo è chiaramente ispirato ai migliori standard internazionali di sicurezza delle informazioni. Questo, in pratica, significa che più l’azienda è grande, più la complessità aumenta, e il concetto di misura “minima” si trasforma praticamente in quello di “misura adeguata”.
Cosa chiedere ai fornitori di consulenza
Le aziende di un certo livello si affidano a professionisti in grado di fornire un servizio completo di auditing e messa a norma, sia dal punto di vista legale che tecnico.
Di solito, il team di consulenza è composto da un legale, da alcuni consulenti senior e da un gruppo di tecnici specializzati, che avrà cura di verificare la situazione del cliente, preparare tutta la documentazione richiesta dalla legge e proporre soluzioni alle eventuali carenze riscontrate sotto il profilo della sicurezza dei dati e della tutela della privacy.
Il servizio deve essere praticato con la massima riservatezza e, di solito, comprende anche una parte di formazione sugli utenti e sulle figure interessate dal nuovo Testo Unico. Alcuni consulenti sono in grado di fornire la formazione su più livelli, sia per quanto riguarda i responsabli che gli incaricati. In alcuni casi, è disponibile anche un piano di formazione online.
