Ancora novità sulla tutela della privacy
pubblicato su La Clessidra di Maggio-Giugno 2000

Copertina

LA FAMIGERATA E TEMUTA LEGGE STA PROSEGUENDO INESORABILMENTE IL SUO ITER APPLICATIVO. ENTRATA IN VIGORE DA TRE ANNI, LA LEGGE 675/96 SI È ANCHE RECENTEMENTE ARRICCHITA DI UN ULTERIORE IMPORTANTE ELEMENTO, COSTITUITO DALLE COSIDDETTE "MISURE MINIME DI SICUREZZA".

Come è noto, la legge prevede tutta una serie di obblighi e di cautele poste a difesa della riservatezza sui dati e le informazioni personali a qualunque titolo detenute e trattate.

L'articolo 15 della legge prevedeva, tra l'altro, la necessità di porre in essere alcune misure dirette ad evitare che i dati personali potessero entrare in possesso di soggetti non autorizzati. Tale prescrizione ha trovato risposta nel DPR 28/7/99, pubblicato il 29/9/99 ed entrato in vigore il 29 marzo scorso. Questo decreto individua appunto le misure minime che i gestori di qualunque banca dati devono obbligatoriamente adottare per garantire la sicurezza dei dati raccolti, evitare rischi di dispersione o perdita, diffusione non autorizzata, trattamento illegittimo. In sintesi si tratta di individuare password di accesso ai dati riservate ai responsabili del trattamento nominativamente individuati per iscritto e verificare periodicamente l'efficacia dei software di protezione.

La scadenza di fine marzo ha prodotto, come era prevedibile, notevole confusione ed incertezza tra le aziende. Senza parlare delle molte aziende che non hanno fatto nulla per rispettare i (troppi) adempimenti previsti dalla legge 675/96, si deve dire che anche coloro che volevano porsi in regola non hanno potuto fare affidamento su indicazioni operative certe e comprensibili.

È così che si è fatta largo l'ipotesi di un intervento legislativo che ha introdotto una serie di correttivi.

Le nuove disposizioni, che avranno efficacia il giorno successivo alla pubblicazione in G.U., stabiliscono che non si applicano le sanzioni connesse all'omessa adozione delle misure minime di sicurezza (reclusione fino ad 1 anno e, in caso di danno, reclusione da due mesi a due anni):

  • fino al 30 aprile 2000 per tutti;
  • fino al 29 marzo 2001 limitatamente a quei soggetti che avendo avviato un programma di adeguamento delle procedure di trattamento dei dati abbiano formato e sottoscritto prima del 30 aprile un documento, avente data certa, da cui risultino:

    • tutti i dati del titolare e del responsabile del trattamento nonché, se esistente, dell'amministratore di sistema;
    • la sintetica esposizione degli elementi caratterizzanti il programma in corso di attuazione e delle singole fasi in cui lo stesso è eventualmente ripartito;
    • la specificazione degli accorgimenti già adottati e della parte del programma o della parte delle eventuali singole fasi già completate;
    • l'indicazione degli indirizzi di intervento individuati per l'adozione delle più ampie misure di sicurezza previste dall'articolo 15, comma 1, della citata legge 675/96.

Indipendentemente dai nuovi obblighi in materia di misure minime, si deve ricordare che già la modulistica per la notificazione al Garante (che le aziende avrebbero dovuto a suo tempo presentare) conteneva il quadro d) relativo alla descrizione generale delle misure di sicurezza adottate, avendo cura di non indicare misure non riscontrabili in caso di verifiche.

Su quest'ultimo aspetto si richiama l'attenzione sulla circostanza che, anche in assenza del DPR sulle misure minime di sicurezza previsto dalla legge 675/96, il titolare:

  • aveva comunque il dovere di "ridurre al minimo" (cfr. art. 15, comma 1) i rischi di distruzione o perdita accidentale dei dati;
  • doveva prevenire accessi non autorizzati;
  • doveva adottare allo scopo delle misure di sicurezza adeguate all'importanza dei dati custoditi negli archivi e in linea con le conoscenze acquisite in base al progresso tecnologico.

Erano cioè certamente già necessari i seguenti elementi minimi: un sistema di identificazione degli utenti, la predisposizione di accessi che fossero associati a meccanismi logici e meccanici di protezione dell'integrità dei dati ed un momento di "formazione" degli operatori (ad esempio sulla scelta della password, la sua trascrizione o comunicazione, ecc.). Si ribadisce anzitutto la necessità che l'azienda abbia proceduto alla nomina di "incaricati del trattamento" nei confronti del personale che tratta i dati inclusi nella banche dati a disposizione dell'azienda. Tale nomina consente la circolazione dei dati all'interno dell'azienda in quanto ai sensi dell'articolo 19 della legge 675/96 non si considera comunicazione la conoscenza dei dati personali da parte delle persone incaricate per iscritto di compiere le operazioni del trattamento dal titolare o dal responsabile e che operano sotto la loro diretta autorità. Si ricorda a questo proposito che costituisce dato personale qualunque informazione relativa a persone fisiche o giuridiche (nome, ragione sociale, indirizzo, partita IVA, codice fiscale, ecc.).

Per quanto riguarda le misure minime di sicurezza previste nel DPR 318/99, è opportuno riassumere alcune indicazioni operative:

TRATTAMENTI NON AUTOMATIZZATI

Gli atti e i documenti contenenti dati personali sensibili o non sensibili dovranno essere conservati in contenitori muniti di serratura. Nel caso di trattamento di dati sensibili l'accesso ai locali archivio dovrà essere controllato e dovrà essere prevista la registrazione dei soggetti che vengano ammessi in orari diversi dall'orario di ufficio.

TRATTAMENTO DI DATI AUTOMATIZZATO

Dovrà essere individuato per iscritto l'amministratore di sistema, cioè il soggetto cui è conferito il compito di sovrintendere alle risorse del sistema operativo di un elaboratore o di un sistema di base di dati e di consentirne l'utilizzazione. Dovrà essere prevista una parola chiave da fornire agli incaricati del trattamento per l'accesso ai dati. Dovranno essere individuati per iscritto i soggetti preposti alla custodia delle parole chiave o che hanno accesso alle informazioni che concernono le medesime (i cosiddetti "custodi", cioè i soggetti con il compito di rilasciare o revocare le parole stesse ciò sia nel caso che la gestione della parola chiave venga effettuata attraverso strumenti automatici sia nel caso che venga effettuata manualmente).

Dovrà essere redatto e reso disponibile l'elenco degli incaricati a cui è stata fornita la parola chiave. Nel caso di elaboratori accessibili in rete, dovrà essere attribuito a ciascun incaricato del trattamento un codice identificativo personale (CIP) per l'utilizzazione dell'elaboratore. Il C.I.P. dovrà essere assegnato individualmente ad utenti personalmente identificati con esclusione della possibilità di usare uno stesso C.I.P. da parte di più persone. Prima del rilascio del C.I.P. dovrà essere accertato che il richiedente abbia effettiva necessità di accesso ai dati e dovrà essere prevista la disattivazione del C.I.P. in caso venga meno la necessità di accedere ai dati o dopo 6 mesi di mancato utilizzo.

Dovrà essere escluso che lo stesso C.I.P. possa, anche in tempi diversi, essere assegnato a persone diverse. Gli elaboratori dovranno essere protetti da programmi anti virus nonché contro i rischi di intrusione, la cui efficacia ed aggiornamento sono soggetti a verifica semestrale. Non si tratta di oneri di poco conto, soprattutto se si considera che riguardano aziende di qualunque dimensione. Restano tutte le perplessità relative ad adempimenti che, pur presupponendo di fatto dimensioni aziendali ragguardevoli, si rivolgono indiscriminatamente all'intera platea delle imprese italiane, anche piccole o piccolissime.

Occorrerebbe probabilmente interrogarsi sulla reale compatibilità tra esigenze di tutela più o meno fondate e la sopravvivenza dei soggetti economici interessati.

Stampa questa pagina