.jpg){kind=logo}
Il documento programmatico sulla sicurezza (*)
Filippo
Bianchi
LLM - Diritto della Rete
Premessa
Il “documento programmatico sulla sicurezza” costituisce, fondamentalmente, la carta d’identità con cui il soggetto preposto al trattamento dei dati, dichiara di aver adottato (o di aver predisposto di adottare entro i termini di legge) tutte le misure di sicurezza – minime o idonee – così come richiesto dal D. lgs. 196/03.
Il D.P.S. rappresenta una misura opportuna per analizzare la situazione dell’impresa ed organizzare le procedure a garanzia della sicurezza nei trattamenti; costituisce, soprattutto, una misura minima da adottare obbligatoriamente e da aggiornare entro la scadenza prevista dal punto 19 del disciplinare tecnico allegato al d.lgs. n. 196/2003, esclusivamente nel caso di trattamento di dati particolari (sensibili e giudiziari), ovvero nel caso di trattamento di dati personali con l’ausilio di strumenti elettronici.
Il Codice sulla privacy impone a chiunque, persone fisiche e giuridiche, tratti informazioni relative ad altre persone, imprese, enti od associazioni di rispettare alcuni principi fondamentali a garanzia della riservatezza dei dati stessi.
Il Codice prescrive precisi obblighi e comportamenti da attuare nel trattare dati personali
La finalità del D.P.S. è quella di definire i criteri e le procedure per garantire la sicurezza nel trattamento di dati stessi.
Il Codice entrato in vigore il 1° gennaio 2004 ha confermato e aggiornato la disciplina in materia di sicurezza dei dati personali e dei sistemi informatici e telematici introdotta dalla l. 675 del 1996.
In particolare è stato confermato il principio (evidenziato con maggiore chiarezza dalle nuove disposizioni) secondo cui le "misure minime", di importanza tale da indurre il legislatore a prevedere anche una sanzione penale, sono solo una parte degli accorgimenti obbligatori in materia di sicurezza[1].
In materia, si distinguono due distinti obblighi:
a) l’obbligo più generale di ridurre al minimo determinati rischi.
Occorre custodire e controllare i dati personali oggetto di trattamento per contenere nella misura più ampia possibile il rischio che i dati siano distrutti, dispersi anche accidentalmente, conoscibili fuori dei casi consentiti o altrimenti trattati in modo illecito.
Resta in vigore, oltre alle cosiddette "misure minime", l’obbligo di adottare ogni altra misura di sicurezza idonea a fronteggiare le predette evenienze, avuto riguardo alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle caratteristiche del trattamento, di cui si devono valutare comunque i rischi [2].
Come in passato, l’inosservanza di questo obbligo rende il trattamento illecito anche se non si determina un danno per gli interessati; viola inoltre i loro diritti, compreso il diritto fondamentale alla protezione dei dati personali che può essere esercitato nei confronti del titolare del trattamento[3], ed espone a responsabilità civile per danno anche non patrimoniale qualora, davanti al giudice ordinario, non si dimostri di aver adottato tutte le misure idonee ad evitarlo[4];
b) nell’ambito del predetto obbligo più generale, il dovere di adottare in ogni caso le "misure minime".
Nel quadro degli accorgimenti più ampi da adottare per effetto dell’obbligo ora richiamato, occorre assicurare comunque un livello minimo di protezione dei dati personali.
Pertanto, in aggiunta alle conseguenze appena ricordate, il Codice conferma l’impianto secondo il quale l’omessa adozione di alcune misure indispensabili ("minime"), le cui modalità sono specificate tassativamente nell’Allegato B) del Codice, costituisce anche reato[5].
1. I termini per l’adozione delle misure di sicurezza
1.1. Premessa
Il Codice, come già previsto dalla legge n. 675/1996 e come dovrà avvenire periodicamente in base all’evoluzione tecnologica [6], ha aggiornato l’elenco delle "misure minime" le cui modalità di applicazione, sulla base di alcune prescrizioni di ordine generale[7], sono indicate analiticamente nelle 29 regole incluse nell’Allegato B) del medesimo Codice.
Analogamente a quanto avveniva in passato, le misure minime sono diverse a seconda che il trattamento sia effettuato o meno con strumenti elettronici, oppure riguardi dati sensibili o giudiziari.
Per alcune di esse sono previste scadenze periodiche, ma le “misure minime” che erano già obbligatorie in passato devono essere adottate ancora oggi senza attendere il decorso di termini transitori.
1.2. Le “nuove misure”
Il termine transitorio che permette di adottare le misure entro la scadenza prevista dal D.Lgs. 196/03[8], riguarda solo le nuove misure[9].
É previsto un periodo più ampio per l’adeguamento solo se, in un caso del tutto particolare, ricorrano obiettive ragioni di natura tecnica.
Si tratta dell’ipotesi specifica (che riguarda solo i trattamenti effettuati con strumenti elettronici) in cui il titolare del trattamento disponeva di strumenti elettronici che, per le predette obiettive ragioni esclusivamente tecniche, (in ogni caso documentate) non consentono di applicare immediatamente, in tutto o in parte, le nuove misure minime. Sempre in questo circoscritto caso, nel quale si è obbligati a prevenire comunque un incremento dei rischi[10], occorre conservare il documento a data certa il quale non va trasmesso al Garante, che può però richiederne l’esibizione in sede di accertamento anche ispettivo[11].
Per quanto riguarda le modalità per far risultare una "data certa" si dovrà applicare la disciplina civilistica in materia di prova documentale[12] e si potranno tenere presenti i suggerimenti formulati dal Garante in un parere del 2000 redatto a proposito di un analogo documento previsto in tema di sicurezza [13] .
In materia di "misure minime", anche quando si rediga il documento a data certa, non va pertanto effettuata alcuna comunicazione al Garante; dalla circostanza che l’Autorità abbia ricevuto eventuali note in proposito, spesso peraltro succinte, il titolare del trattamento non potrà inoltre desumere, anche in caso di mancato riscontro, alcun assenso o autorizzazione del Garante a proseguire il trattamento dei dati con le modalità dichiarate.
2. Il documento programmatico sulla sicurezza
2.1 Premessa
Anche la redazione del D.P.S., come già detto, è una "misura minima", prevista dall’Allegato B).
Si tratta di una misura non nuova, sebbene sia aumentato il numero dei soggetti che deve redigere il D.P.S. e sia parzialmente diverso il suo necessario contenuto.
Infatti, la precedente disciplina prevedeva già l’obbligo di predisporre e aggiornare il D.P.S., almeno annualmente, in caso di trattamento di dati sensibili o relativi a determinati provvedimenti giudiziari effettuato mediante elaboratori accessibili mediante una rete di telecomunicazioni disponibili al pubblico[14].
I soggetti tenuti a predisporre il D.P.S. hanno potuto redigerlo per la prima volta entro il 29 marzo 2000 o, al più tardi, entro il 31 dicembre 2000[15]; dovendo rispettare l’obbligo di revisione almeno annuale, hanno dovuto aggiornare il D.P.S. negli anni successivi, anche nel 2003.
2.2. Contenuto del D.P.S.
In base al nuovo Codice, la misura minima del D.P.S. deve essere ora adottata dal titolare di un trattamento di dati sensibili o giudiziari ovvero effettuato con strumenti elettronici, attraverso l’organo, ufficio o persona fisica a ciò legittimata in base all’ordinamento aziendale o della pubblica amministrazione interessata [16].
Come accennato, il D.P.S. deve essere redatto anche da alcuni soggetti che non vi erano precedentemente tenuti (ad esempio, da chi trattava dati sensibili o giudiziari, ma con elaboratori non accessibili mediante una rete di telecomunicazioni disponibili al pubblico).
Inoltre, a differenza del passato, la categoria dei dati giudiziari è oggi rappresentata anche da altri dati personali, riferiti ad esempio a provvedimenti giudiziari non definitivi o alla semplice qualità di imputato o indagato [17].
Infine, il contenuto stesso del D.P.S. è arricchito da nuovi elementi che si aggiungono a quelli necessari in base alla precedente disciplina o ne specificano alcuni aspetti. Ad esempio, nel D.P.S. occorre descrivere ora i criteri e le modalità per ripristinare la disponibilità dei dati in caso di distruzione o danneggiamento delle informazioni o degli strumenti elettronici; occorre individuare poi i criteri da adottare per cifrare o per separare i dati idonei a rivelare lo stato di salute e la vita sessuale trattati da organismi sanitari ed esercenti le professioni sanitarie [18].
Il D.P.S. va aggiornato ogni anno entro il 31 marzo (salvo eventuali e, fino ad ora, frequenti proroghe). Per redigere suddetto documento programmatico occorre, in via preliminare, individuare l'elenco dei trattamenti dei dati personali, l'elenco dei compiti e delle responsabilità nell'ambito delle strutture preposte. Il titolare deve quindi compiere una analisi dei rischi che incombono su tali dati, indicando le misure adottate per garantirne l'integrità. Solo il Documento Programmatico sulla Sicurezza comprova l'avvenuto adeguamento alle misure minime di sicurezza. Esso va, infatti, tenuto all'interno della struttura lavorativa nella quale è stato effettuato il rilevamento dei dati ed esibito in caso di ispezione da parte della Guardia di Finanza; ne deve, inoltre, essere fatta menzione nella relazione accompagnatoria al bilancio d'esercizio [19].
ADEMPIMENTI ANNUALI AL 1 GENNAIO DI OGNI ANNO:
1. Aggiornare l’individuazione dell’ambito di trattamento consentito ai singoli incaricati, ove variato, anche parzialmente.
2. Verificare la sussistenza delle condizioni per la conservazione delle autorizzazioni per l’accesso ai dati particolari per gli incaricati.
3. Fornire istruzioni organizzative e tecniche affinché il salvataggio dei dati sia effettuato settimanalmente.
4. Programmare interventi di formazione per gli incaricati del trattamento.
5. Provvedere all’aggiornamento delle "patch" dei programmi per computer, nel caso di trattamento di dati comuni [20].
ADEMPIMENTI ANNUALI AL 31 MARZO DI OGNI ANNO :
1. Aggiornare il Documento Programmatico sulla Sicurezza.
2. All’interno del Documento Programmatico sulla Sicurezza, deve essere previsto un piano di formazione per gli incaricati, che dovrà pertanto essere rivisto annualmente. Il piano impone che siano fatte previsioni effettive sui tempi di formazione e sulle strutture che gestiranno tali attività, nell’arco dell’anno. La formazione è programmata al momento dell’ingresso in servizio, nonché in occasione di cambiamenti di mansioni, o introduzione di nuovi significativi strumenti, rilevanti per il trattamento dei dati personali.
ADEMPIMENTI SEMESTRALI AL 1° GENNAIO E 1° LUGLIO DI OGNI ANNO
1. Aggiornare i software antivirus, per tutti i tipi di dati [21].
2. Provvedere all’aggiornamento delle "patch" dei programmi per computer, nel caso di trattamento di dati sensibili [22].
3. La relazione accompagnatoria al bilancio d’esercizio
3.1. Oggetto
Le scelte di fondo sulle modalità di trattamento sotto il profilo della sicurezza competono alle persone e agli organi legittimati ad adottare decisioni ed esprimere a vari livelli, in base al proprio ordinamento interno, la volontà della società, ente o altro organismo titolare del trattamento.
In questo quadro, il Codice ha introdotto una nuova regola per rendere meglio edotti gli organi di vertice del titolare del trattamento e responsabilizzarli in materia di sicurezza, attraverso l’obbligo di riferire nella relazione di accompagnamento a ciascun bilancio di esercizio circa l’avvenuta redazione o aggiornamento del D.P.S. che sia obbligatorio come misura "minima" o che sia stato comunque adottato [23].
Anche questa menzione rappresenta una misura "minima" nuova, indicata tra quelle di "tutela e garanzia" [24].
Fonti normative
Le disposizioni di legge principali concernenti la corretta gestione di sistemi informatici sono:
- R.D. 22.4.1941 n. 633 e D.Lgs. 29.12.1992 n. 518 (tutela del diritto di autore sul software);
- L. 23.12.1993 n. 547 (reati legati all’informatica - modifiche al Codice penale);
- D.Lgs. 30.6.2003 n. 196 (recante il Codice in materia di protezione dei dati personali) e suo Disciplinare Tecnico (Allegato B).
4. I compiti delle singole figure previste dalla normativa
4.1. Il Titolare del trattamento[25]
E’ onere del Titolare del trattamento[26] individuare, nominare e incaricare per iscritto uno o più Responsabili del trattamento dei dati, che assicurino e garantiscano che vengano adottate le misure di sicurezza [27]. Il Titolare del trattamento affida al Responsabile del trattamento dei dati il compito di adottare le misure tese a ridurre al minimo il rischio di distruzione dei dati, l’accesso non autorizzato o il trattamento non consentito, previe idonee istruzioni fornite per iscritto.
4.2. Il responsabile del trattamento dei dati [28]
Il Titolare del trattamento dei dati deve informare ciascun Responsabile del trattamento dei dati, così come individuato nel Regolamento, delle responsabilità che gli sono affidate in relazione a quanto disposto dalle normative in vigore [29]. A ciascun Responsabile del trattamento il Titolare del trattamento deve consegnare una copia di tutte le norme che riguardano la sicurezza del trattamento dei dati in vigore al momento della nomina. La nomina del Responsabile del trattamento è a tempo indeterminato, e decade per revoca o dimissioni dello stesso. La nomina del Responsabile del trattamento può essere revocata in qualsiasi momento dal Titolare del trattamento dei dati senza preavviso, ed eventualmente affidata ad altro soggetto.
In relazione all’attività del Titolare del trattamento, è prevista, quindi, la nomina di uno o più Responsabili del trattamento[30], con compiti diversi a seconda delle funzioni svolte. Il Titolare del trattamento affida ai singoli Responsabili del trattamento l’onere di individuare,nominare ed indicare per iscritto uno o più Incaricati del trattamento. Il Responsabile del trattamento dei dati ha il compito di:
- Redigere ed aggiornare ad ogni variazione l’elenco dei sistemi di elaborazione connessi in rete pubblica, nonché l’elenco delle tipologie dei trattamenti effettuati;
- Attribuire, con l’ausilio degli Amministratori di sistema, ad ogni Utente (USER) o incaricato un Codice identificativo personale (USER-ID) per l’utilizzazione dell’elaboratore, che deve essere individuale e non riutilizzabile;
- Autorizzare i singoli incaricati del trattamento e della manutenzione, nel caso di trattamento di dati sensibili e giudiziari, qualora si utilizzino elaboratori accessibili in rete; per gli stessi dati, qualora il trattamento sia effettuato tramite elaboratori accessibili in rete disponibili al pubblico, saranno oggetto di autorizzazione anche gli strumenti da utilizzare;
- Verificare, con l’ausilio degli amministratori di sistema, con cadenza almeno semestrale,l’efficacia dei programmi di protezione ed antivirus, nonché definire le modalità di accesso ai locali e le misure di sicurezza (idonee e minime);
- Garantire che tutte le misure di sicurezza riguardanti i dati in possesso del Titolare del trattamento siano applicate all’interno della struttura e, solo eventualmente, al di fuori della stessa qualora siano cedute a soggetti terzi quali Responsabili del trattamento tutte o parte delle attività di trattamento (cd. Outsourcing);
- Informare il Titolare nella eventualità che si siano rilevati dei rischi.
4.3. Gli incaricati del trattamento [31]
Ai Responsabili del trattamento[32] è affidato il compito di nominare, con comunicazione scritta,uno o più Incaricati del trattamento dei dati. La nomina di ciascun Incaricato del trattamento dei dati deve essere effettuata con una lettera di incarico in cui sono specificati i compiti che gli sono affidati. Gli Incaricati del trattamento devono ricevere idonee ed analitiche istruzioni scritte, anche per gruppi omogenei di lavoro, sulle mansioni loro affidate e sugli adempimenti cui sono tenuti. Agli incaricati deve essere assegnata una parola chiave, ed un codice identificativo personale [33]. La nomina degli Incaricati del trattamento deve essere controfirmata dall’interessato per presa visione e copia della stessa e deve essere conservata a cura del Responsabile del trattamento per la sicurezza dei dati in luogo sicuro. Agli Incaricati del trattamento il Responsabile del trattamento per la sicurezza dei dati deve consegnare una copia di tutte le norme che riguardano la sicurezza del trattamento dei dati in vigore al momento della nomina. La nomina degli Incaricati è a tempo indeterminato, e decade per revoca, per sue dimissioni, o con il venir meno dei compiti che giustificavano il trattamento dei dati personali.
4.4. Il custode delle password
L’Amministratore di sistema nomina uno o più Custodi delle password[34] a cui è conferito il compito di custodire le parole chiave o password per l’accesso ai dati archiviati nei sistemi di elaborazione dei dati. La nomina di ciascun Custode delle password deve essere effettuata con una lettera di incarico. La nomina del Custode delle password deve essere controfirmata dall’interessato per accettazione e copia della lettera di nomina accettata deve essere conservata a cura dell’Amministratore di sistema in luogo sicuro. L’Amministratore di sistema deve informare ciascun Custode delle password della responsabilità che gli è stata affidata in relazione a quanto disposto dalle normative in vigore. A ciascun Custode delle password l’Amministratore di sistema deve consegnare una copia di tutte le norme che riguardano la sicurezza del trattamento dei dati in vigore al momento della nomina. La nomina del Custode delle password è a tempo indeterminato, e decade per revoca o dimissioni dello stesso. La nomina del Custode delle password può essere revocata in qualsiasi momento dall’Amministratore di sistema senza preavviso, ed essere affidata ad altro soggetto.
E’ compito del Custode delle password, quindi, gestire e custodire le password per l’accesso ai dati da parte degli Incaricati. Il Custode delle password deve predisporre, per ogni Incaricato del trattamento, una busta sulla quale è indicato lo USER-ID utilizzato: all’interno della busta deve essere indicata la password usata per accedere alla banca di dati.
Le buste con le password debbono essere conservate in luogo chiuso e protetto.
4.5. Gli amministratori di sistema
L’Amministratore di sistema sovrintende alle risorse del sistema operativo di un elaboratore o di un sistema di banche dati. Il Titolare del trattamento dei dati può nominare ulteriori Amministratori di sistema,specificando gli elaboratori o le banche dati che è chiamato a sovrintendere, informandolo delle responsabilità che gli sono state affidate in relazione a quanto disposto dal Codice. La lettera di incarico deve essere controfirmata dall’interessato per presa visione e copia della stessa deve essere conservata a cura del Titolare del trattamento dei dati in luogo sicuro. Agli Amministratori di sistema il Titolare del trattamento deve consegnare una copia di tutte le norme che riguardano la sicurezza del trattamento dei dati in vigore al momento della nomina.
E’ quindi compito degli Amministratori di sistema:
- Individuare, nominare e incaricare per iscritto un Custode delle password, qualora vi siano più incaricati del trattamento effettuato con mezzi informatici;
- Prendere tutti i provvedimenti necessari ad evitare la perdita o la distruzione dei dati e provvedere al ricovero periodico degli stessi con copie di back-up;
- Assicurarsi della qualità delle copie di back-up dei dati e della loro conservazione in luogo adatto e sicuro;
- Fare in modo che sia prevista la disattivazione dei Codici identificativi personali (USER-ID), in caso di perdita della qualità che consentiva all’utente o incaricato l’accesso all’elaboratore, oppure nel caso di mancato utilizzo dei Codici identificativi personali (USER-ID) per oltre 6 mesi;
- Proteggere gli elaboratori dal rischio di intrusione e dal rischio di virus mediante idonei software.
5. Dati affidati a trattamento esterno
5.1 Trattamento dei dati in outsourcing
Il Titolare del trattamento, come anticipato, può decidere di affidare il trattamento dei dati in tutto o in parte a soggetti terzi, in outsourcing, nominandoli Responsabili del trattamento.
In questo caso debbono essere specificati i soggetti interessati e i luoghi dove fisicamente avviene il trattamento dei dati stessi.
Nel caso in cui questi non vengano espressamente nominati, i Responsabili del trattamento in outsourcing [35] devono intendersi autonomi titolari del trattamento e quindi soggetti ai corrispettivi obblighi, e pertanto rispondono direttamente ed invia esclusiva per le eventuali violazioni alla legge. Il Titolare del trattamento o uno dei Responsabili del trattamento, cui è affidato tale specifico incarico, deve redigere e aggiornare ad ogni variazione l’elenco dei soggetti che effettuano il trattamento dei dati in qualità di Responsabile del trattamento, con particolare attenzione a quei soggetti terzi in outsourcing, ed indicare per ognuno di essi il tipo di trattamento effettuato. Per l’inventario dei soggetti terzi, in outsourcing, deve essere utilizzato apposito modulo, che deve essere conservato a cura del Responsabile del trattamento in luogo sicuro.
6. Metodologie operative relative al trattamento dei dati
6.1. Individuazione delle banche di dati oggetto del trattamento
Al Responsabile del trattamento dei dati è affidato il compito di redigere e di aggiornare ad ogni variazione l’elenco delle tipologie di trattamenti effettuati. Ogni banca di dati o archivio deve essere classificato in relazione alle informazioni in essa contenute indicando se si tratta di:
- Dati personali comuni
- Dati personali sensibili
- Dati personali giudiziari
Per l’individuazione degli archivi dei dati oggetto del trattamento deve essere utilizzato apposito modulo, che deve essere conservato a cura del Responsabile del trattamento dei dati in luogo sicuro.
6.2. Sedi in cui vengono trattati i dati
Al Responsabile del trattamento dei dati è affidato il compito di redigere e di aggiornare ad ogni variazione l’elenco delle sedi in cui viene effettuato il trattamento dei dati. Per redigere l’inventario delle sedi in cui vengono trattati i dati deve essere utilizzato apposito modulo che deve essere conservato a cura del Responsabile del trattamento dei dati in luogo sicuro. A questi è, altresì, affidato il compito di redigere e di aggiornare ad ogni variazione l’elenco degli uffici in cui viene effettuato il trattamento dei dati. In particolare, per ogni ufficio deve essere indicata la sede, e se l’accesso è controllato. Per l’inventario degli uffici deve essere utilizzato apposito modulo che deve essere conservato a cura del Responsabile del trattamento della sicurezza dei dati in luogo sicuro.
6.3. I sistemi di elaborazione
Al Responsabile del trattamento dei dati, in collaborazione con l’Amministratore di sistema, se è diverso dallo stesso, è affidato il compito di redigere ed aggiornare ad ogni variazione l’elenco dei sistemi di elaborazione con cui viene effettuato il trattamento dei dati. Per ogni sistema debbono essere descritte le caratteristiche e se si tratta di sistema di elaborazione:
- Non accessibile da altri elaboratori (stand-alone)
- In rete non accessibile al pubblico
- In rete accessibile al pubblico
Per ogni sistema deve essere specificato il nome dell’Incaricato o degli Incaricati che lo utilizzano nonché del Custode delle password. Per l’inventario dei sistemi di elaborazione deve essere utilizzato apposito modulo che deve essere conservato a cura del Responsabile del trattamento dei dati in luogo sicuro.
7.1. Premessa
Le misure di sicurezza richieste dal Codice sono articolate in due gruppi:
- quelle “minime”, la cui mancata adozione comporta sanzioni penali per il responsabile legale dell’azienda e/o se designato per il responsabile del trattamento (solitamente l’amministratore delegato o una figura di alto livello), ma anche per chiunque essendovi tenuto omette di adottarle;
- quelle più ampie, o “idonee”, decise in autonomia dal titolare in relazione alle proprie specificità che, se non adottate, in caso di danno dovuto a trattamenti di dati non protetti adeguatamente concorreranno all’individuazione delle responsabilità e del conseguente risarcimento economico.
Sono previste, inoltre, misure per titolari particolari quali i fornitori di un servizio di comunicazione elettronica accessibile al pubblico o gli organismi e gli esercenti le professioni sanitarie.
Le misure minime di sicurezza richieste dalla legge sono tecniche, informatiche, organizzative, logistiche e procedurali e sono tutte orientate a ridurre i rischi che incombono sui dati personali trattati. Le misure da adottare per la protezione dei trattamenti elettronici dei dati sono:
Alla base delle nuove misure minime sono poste le modalità per l’accesso ai dati che devono avvenire solo da parte delle persone autorizzate ed esplicitamente incaricate; ad esse dovranno essere assegnate o associate “credenziali di autenticazione”, cioè parole chiave, codici identificativi, carte a microprocessore, token, certificati digitali, o dispositivi che riconoscono le caratteristiche biometriche. Tali credenziali dovranno consentire “l’autenticazione informatica” delle persone incaricate del trattamento di dati. Inoltre, quando più persone incaricate accedono ai dati, è necessario associare ad ogni soggetto uno specifico profilo per l’accesso. Il profilo identifica dei trattamenti di dati che possono essere svolti e costituisce “l’ambito del trattamento consentito”; l’intero processo è definito “sistema di autorizzazione” per l’accesso ai trattamenti consentiti e preventivamente individuati.
La legge definisce anche i criteri con cui le credenziali devono essere scelte; ad esempio la parola chiave usata in un sistema di autenticazione deve essere composta da almeno otto caratteri oppure, nel caso in cui lo strumento elettronico non lo permetta, da un numero di caratteri pari al massimo consentito; essa non deve contenere riferimenti agevolmente riconducibili all’incaricato e deve essere modificata da quest’ultimo al primo utilizzo e, successivamente, almeno ogni sei mesi. In caso di trattamento di dati sensibili e di dati giudiziari la parola chiave dovrà essere modificata almeno ogni tre mesi.
Alcune misure previste dal codice sono rivolte a tutelare la sicurezza di tutte le tipologie di dati personali dalle nuove emergenti criticità:
- i dati personali devono essere protetti contro il rischio di intrusione e dell’azione di virus, internet worm, programmi maligni, ecc., mediante l’attivazione di idonei strumenti elettronici, (ad esempio antivirus, firewall, ed altri adeguati sistemi) da tenere aggiornati;
- gli strumenti elettronici – nel caso di trattamenti di dati sensibili e giudiziari[36] - devono essere aggiornati periodicamente con programmi volti a prevenire le vulnerabilità e a correggere i difetti [37];
- i dati devono essere salvati su copie di riserva almeno settimanalmente nel rispetto di apposite disposizioni tecniche e organizzative.
Se si trattano i cosiddetti dati sensibili o giudiziari questi dati dovranno essere protetti da ulteriori misure di sicurezza, quali:
- strumenti elettronici che evitano gli accessi abusivi (intrusioni);
- procedure per la generazione e la custodia di copie di sicurezza dei dati (back up);
- istruzioni organizzative e tecniche per la custodia e l’uso dei supporti rimovibili su cui sono memorizzati i dati al fine di evitare accessi non autorizzati e trattamenti non consentiti;
- disposizioni per riutilizzare o distruggere i supporti rimovibili sui quali sono registrati tali dati;
- strumenti per il ripristino della disponibilità dei dati e dei sistemi entro tempi certi e compatibili con i diritti degli interessati, non superiori a sette giorni.
Le misure da adottare sono molte e potrebbe accadere che in azienda si preferisca avvalersi di installatori esterni, soprattutto nei casi in cui non si abbiano tutte le competenze necessarie. In tali circostanze, i titolari hanno il diritto di farsi rilasciare dall’installatore una descrizione scritta dell’intervento effettuato che ne attesti la conformità alle disposizioni del decreto legislativo.
Il Codice, infatti, prevede questa circostanza e prescrive che chi adotta misure minime di sicurezza avvalendosi di soggetti esterni alla propria struttura, riceve dall’installatore una descrizione scritta dell’intervento effettuato che ne attesta la conformità alle disposizioni del Disciplinare tecnico allegato al Codice.
Le misure di sicurezza “minime", come anticipato, sono solo una parte degli accorgimenti obbligatori in materia di sicurezza [38]. Infatti, come già previsto dalla legge n. 675/1996, esiste un obbligo più generale di ridurre al minimo determinati rischi, per cui occorre custodire e controllare i dati personali oggetto di trattamento per limitare le probabilità che i dati siano distrutti, dispersi anche accidentalmente, conoscibili fuori dei casi consentiti o altrimenti trattati in modo illecito.
Ciò va fatto adottando misure idonee anche in base al progresso tecnico, alla natura dei dati ed alla caratteristiche del trattamento.
L’inosservanza di questo obbligo rende il trattamento illecito anche se non si determina un danno per gli interessati violando, peraltro, il diritto fondamentale alla protezione dei dati personali che può essere esercitato nei confronti del titolare del trattamento [39], ed esponendo a responsabilità civile per danno anche non patrimoniale (art. 2050 c.c.) qualora, davanti al giudice ordinario, non si dimostri di aver adottato tutte le misure idonee ad evitarlo [40].
Prendendo in esame le misure c.d. “idonee”, va osservato che esse sono disciplinate dall’art. 31 del Codice., articolo che impone al titolare del trattamento dei dati personali di predisporre tutte le misure di sicurezza idonee a ridurre al minimo “i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta”.
Quindi, se l’adeguamento alle “misure minime” implica l’assenza di responsabilità penali, tale adeguamento non risulta essere sufficiente per affrancarsi da responsabilità civile qualora l’evoluzione tecnologica renda disponibili accorgimenti ulteriori che soddisfino le misure dichiarate “idonee”.
Ciò perché [41] “chiunque cagiona danno ad altri per effetto del trattamento dei dati personali è tenuto al risarcimento ai sensi dell’art. 2050 c.c.”.
L’art. 2050 c.c. , infatti, (norma alquanto rigorosa, dettata in tema di esercizio di attività pericolose) prevede che l’esercente l’attività pericolosa – e quindi, nel nostro caso, il titolare del trattamento - vada esente da responsabilità solo se riesca a dimostrare di aver adottato tutte le misure idonee ad evitare il danno.
In caso contrario [42], egli dovrà rispondere anche del danno non patrimoniale[43].
Secondo la giurisprudenza, può provare di aver adottato ogni misura idonea chi dimostri di aver rispettato “tutte le tecniche note” – anche solo astrattamente possibili – all’epoca del fatto [44].
Da altro punto di vista, è opportuno precisare che nell’ambito dei danni da risarcire non sarà incluso il solo pregiudizio patrimoniale (nelle note forme del “danno emergente” e “lucro cessante”), ma anche il danno morale, come si desume dal tenore dell’art. 15 D.Lgs. 196/03.
L’espressa estensione al trattamento di dati personali della risarcibilità del danno non patrimoniale pare essere sintomatica relativamente alla particolare attenzione che il Legislatore ha voluto rivolgere ai danneggiati, dal momento che il danno che ricorre più frequentemente è proprio quello relativo alla sfera morale dell’individuo, di cui sarebbe stata, altrimenti, esclusa la risarcibilità [45].
Il titolare e il responsabile, perciò, oltre a quelle minime previste, devono anche adottare misure di prevenzione “idonee” a ridurre - per quanto possibile - i rischi, prevenibili e prevedibili, che incombono sui dati oggetto del trattamento.
Riassumendo, al fine di “ridurre i rischi”, si dovrà:
- osservare il livello di sicurezza minimo di legge (per evitare conseguenze penali);
- approntare le misure di sicurezza ulteriori, che in base al caso concreto si potevano predisporre (altrimenti dovrà risarcire i danni eventualmente cagionati a terzi).
Tali misure di sicurezza “idonee” sono individuate dal Titolare sulla base di una analisi specifica delle caratteristiche tecnologiche, organizzative e di processo proprie della attività lavorativa svolta, tenuto conto delle “innovazioni tecnologiche” e delle soluzioni di sicurezza offerte dal mercato.
Sotto questo profilo, pare così opportuno segnalare la particolare attenzione che il Legislatore riserva alla nozione di “autenticazione informatica” [46]: la definizione è nuova [47] e comprende i mezzi – siano essi programmi software o componenti hardware – deputati alla verifica ed alla convalidazione dell’identità di un dato soggetto.
E’una misura di particolare importanza, dato che essa, se posta in essere correttamente, può garantire il controllo di chi ha accesso agli elaboratori. L’autenticazione informatica, infatti, ha il fine di verificare l’identità di chi andrà a trattare i dati personali, e di convalidarla dopo averla verificata.
Ciò è possibile grazie all’utilizzo delle c.d. “credenziali di autenticazione” [48], le quali consistono in quei “dati e dispositivi, in possesso di una persona, da questa conosciuti o ad essa univocamente correlati, utilizzati per l’autenticazione informatica”.
Al di là della definizione[49], va precisato che le moderne tecnologie informatiche, per il riconoscimento dell’identità dell’utente, adoperano si i tradizionali codici di accesso e le parole chiave, ma anche altri dispositivi non mnemonici, i quali ultimi, peraltro, già oggi utilizzati su larga scala.
Nella moderna accezione del controllo degli accessi, pertanto, le credenziali altro non sono se non qualcosa che il soggetto incaricato “conosce” (ad esempio: un codice identificativo o una parola chiave), “possiede” (ad esempio: una smart card, un token), oppure “è” (ad esempio: una caratteristica biometrica, come l’impronta di un dito, del volto, della retina).
Al punto 3 del Disciplinare Tecnico è espressamente previsto che ad ogni incaricato siano assegnate o associate individualmente una o più credenziali per l’autenticazione. I termini “assegnate” o “associate” sono relativi alla differenza tra le diverse tipologie di credenziali: una password può essere assegnata, ma non altrettanto un tratto biometrico, che è già patrimonio fisico ed esclusivo dell’individuo: per queste credenziali è quindi riservato il concetto di associazione e non di assegnazione.
Data la particolare delicatezza che rivestono, le credenziali devono essere custodite gelosamente, come si preoccupa di ricordare il punto 4 del Disciplinare.
La credenziale ad oggi più utilizzata è la parola chiave. A nessuno, infatti, sfugge il significato della c.d. “password”, stringa di caratteri alfanumerici, liberamente scelta da un dato soggetto, e ad esso associata.
Nonostante il fatto che essa, in concreto, possa contenere ogni segno presente sulla tastiera di un PC, variamente unito ad altro significante, la casistica insegna che l’utente del sistema, quando viene lasciato libero di scegliere la propria parola chiave, di fatto tenderà a sceglierne una facile da ricordare, come il nome di un familiare.
Ecco, quindi, che la Legge si premura di specificare in uno specifico punto (il 5) le caratteristiche che deve avere una password per essere realmente tale. Sono così prescritte regole di composizione e di uso, che garantiscono un livello di sicurezza minimo.
A norma del Disciplinare Tecnico, infatti, la parola-chiave dovrà essere composta da almeno otto caratteri oppure, nel caso in cui lo strumento elettronico non lo permetta, da un numero di caratteri pari al massimo consentito. Essa, inoltre, non dovrà contenere riferimenti agevolmente riconducibili all’interessato e sarà modificata da quest’ultimo al primo utilizzo e, successivamente, almeno ogni sei mesi, che diventano tre in caso di trattamento avente ad oggetto dati sensibili o giudiziari.
Le combinazioni basate su credenziali esclusivamente mnemoniche sono però in genere meno sicure delle altre. Ciò spiega il favore sempre crescente delle credenziali c.d. biometriche, all’opposto considerate le più affidabili. Il Garante della Privacy, chiamato a pronunciarsi sul punto, è in ogni caso intervenuto con un provvedimento dettato dalla prudenza [50], secondo il quale l’utilizzo generalizzato ed indiscriminato di tali sistemi non è consentito in quanto esso viola il principio di proporzionalità tra gli strumenti impiegati e le finalità prospettate.
Successivamente al riconoscimento (e, quindi, successivamente all’identificazione) dell’incaricato, un “sistema di autorizzazione” [51] permetterà al soggetto, verificato attraverso le credenziali ad esso associate, di trattare i dati.
E’necessario, a tal fine, che l’incaricato sia stato previamente autorizzato dal titolare (o, se designato, dal responsabile) a trattare determinati dati, ai sensi dell’art. 30 del Codice. Si tratta, non è chi non veda, di un adempimento preliminare di particolare importanza, che deve essere effettuato per iscritto, con una puntuale specificazione dell’ambito del trattamento consentito.
L’individuazione dei singoli trattamenti consentiti (ad un soggetto, ad esempio, sarà permesso unicamente prendere visione dei dati, e non anche cancellarli o modificarli; un altro incaricato, invece, potrà aver accesso solo ai dati comuni, e non anche a quelli sensibili, ecc.) andrà a costituire il c.d. “profilo di autorizzazione” del singolo incaricato, profilo che sarà sottoposto a verifica almeno una volta all’anno [52].
Correlata alla misura esaminata è, in un certo senso, quella prevista alla lettera successiva del medesimo art. 34, la lettera d).
Questa misura di sicurezza è finalizzata ad una periodica revisione delle autorizzazioni per il trattamento dei dati, nonché delle operazioni consentite agli addetti alla manutenzione ed agli addetti alla gestione degli strumenti hardware e software. La lista degli incaricati ed i relativi profili di autorizzazione – viene precisato al punto 15 del Disciplinare – può essere redatta anche per classi omogenee di incarico.
7.4. Protezione da attacchi informatici
Particolarmente significativa, poi, è l’indicazione contenuta alla lettera e) dell’art 34.
La norma, che prescrive la protezione degli strumenti elettronici e dei dati da accessi non consentiti e programmi maligni, tende ad impedire che i dati siano trattati illecitamente (ossia in spregio delle prescrizioni di legge), che si verifichino accessi non consentiti nonché azioni distruttive causate da virus, worm e, in generale, da ogni altro codice pericoloso per l’integrità e la confidenzialità del dato stesso.
Sotto questo profilo è importante notare che ogni accesso al sistema informatico compiuto da soggetti non autorizzati è considerato “accesso abusivo” [53]. Detta violazione, perciò, potrà essere posta in essere non solo da persone estranee all’impresa/studio professionale, ma anche – e più frequentemente – dai dipendenti stessi, che accedono a determinati dati per i quali non possiedono profilo di autorizzazione e di incarico.
Evidentemente, capire come avviene un attacco è di fondamentale importanza per prevenire l’attacco stesso. Non è questa la sede per una disamina, seppur frettolosa, dell’argomento. Basti sul punto sapere che l’attacco viene di norma preceduto da alcune azioni “preparatorie”, articolate in 2 componenti: la prima comportamentale, la seconda tecnica.
La parte comportamentale si avvale di tecniche operative definite di “ingegneria sociale” [54] e di fatto consiste nel reperire informazioni sul bersaglio da colpire sfruttando la naturale propensione delle persone a rispondere a domande dirette ed impreviste, ad aiutare qualcuno che sembra in difficoltà o, all’opposto, che ricopre una carica di prestigio.
I soggetti che connettano il proprio sistema informatico alla rete Internet, quindi, devono proteggersi (in una rete ben protetta, infatti, solo le aggressioni più sofisticate – e quindi, statisticamente, le meno probabili – possono realmente mettere in crisi il sistema). Ecco, allora, che pare opportuno seguire la prescrizione contenuta al punto 20 del Disciplinare [55] qualunque sia il tipo di dato personale oggetto di trattamento, e non solo – come invece prevede l’allegato B – quando venga in rilievo un dato classificato come sensibile o giudiziario. Come noto, il più diffuso strumento di difesa delle reti informatiche è chiamato firewall: dall’adozione di esso, pertanto, non si può prescindere, qualunque sia la grandezza e l’importanza dell’impresa/studio professionale da proteggere.
Per altro verso, giova osservare che gli attacchi sono favoriti, oltre che dalle possibili debolezze delle misure di sicurezza poste a protezione del sistema, anche dalle vulnerabità del software.
E’ noto, infatti, che i software utilizzati presentino dei bug, ossia delle imperfezioni e, mentre alcuni di risultano innocui, altri, d’altro canto, facilitano gli attacchi informatici.
Consapevoli di ciò, pertanto, ogni qual volta dette vulnerabilità vengono individuate, i produttori del software interessato rilasciano appositi programmi volti ad ovviare al malfunzionamento dell’applicativo stesso [56].
Le misure di sicurezza comprendono inoltre, nell’ ambito delle loro previsioni, la criticità più ricorrente per i sistemi informatici, rappresentata dall’azione dei virus e loro derivati[57], genericamente accomunati sotto l’etichetta di “malware”, parola anglosassone derivante dalla crasi tra “malicious” e “software”.
La “periodicità minima di aggiornamento” di programmi anti-virus (fissata dalla legge in sei mesi [58]) è però motivo di ilarità, dato che – come noto a chiunque abbia un minimo di dimestichezza con apparecchiature informatiche – se un software antivirus non viene aggiornato almeno giornalmente esso non è realmente efficace.
Un’ulteriore disposizione[59] ripresa in dettaglio ai punti 18 e 23 del Disciplinate Tecnico, riguarda l’obbligatorietà di effettuare, almeno ogni settimana, copie di back-up dei dati contenuti nei propri sistemi informatici. Il precetto – non contemplato dalla L. 675/96 – è senza dubbio importante, ma, a ben guardare, la previsione della legge citata appare incompleta, dato che la stessa dimentica di abbinare alla procedura di “salvataggio dei dati” la non meno necessaria procedura di verifica del “restore” dei dati, al fine di salvaguardare l’effettività di un “disaster recovery”.
Non basta, infatti, effettuare copie di sicurezza, senza constatare periodicamente che il dato ivi contenuto sia realmente disponibile ed integro. Il processo di disaster recovery (ossia quel processo che consente di ripristinare il normale funzionamento del trattamento dei dati in seguito ad una inaspettata interruzione del trattamento stesso) va quindi sempre condotto, sebbene la legge ne prescriva l’obbligatorietà con riferimento ai soli trattamenti aventi ad oggetto dati sensibili o giudiziari.
8. CONCLUSIONI
La predisposizione del documento programmatico annuo sulla sicurezza, pur essendo una misura già prevista dal d.P.R. 318/99, è stata innovata sensibilmente dal Disciplinare Tecnico, dato che nella previgente normativa il D.P.S. doveva essere obbligatoriamente stilato solo in caso di trattamento di dati sensibili e/o giudiziari effettuati mediante elaboratori accessibili in Rete.
Con l’impianto normativo attuale detto documento assume un’importanza fondamentale nella pianificazione di ogni scelta di sicurezza aziendale ed entra a far parte delle documentazioni “obbligatorie” per quei soggetti che trattano dati personali.
Volendo, a questo punto, tracciare un giudizio globale sugli adempimenti imposti, in tema di misure minime, al soggetto che tratti dati personali, va detto che l’adozione delle nuove misure potrebbe creare notevoli problemi applicativi a migliaia di studi professionali ed imprese medio-piccole, che non hanno alle proprie dipendenze persone con le necessarie competenze tecniche.
Il legislatore, in considerazione del fatto che i titolari potrebbero così assumere responsabilità per interventi eseguiti da altri (segnatamente, da consulenti informatici) ha ritenuto opportuno tutelarli, prevedendo l’obbligo[60] per l’installatore di rilasciare una “dichiarazione scritta” dell’intervento effettuato, che ne attesti la conformità alle disposizioni indicate nel Disciplinare Tecnico.
Va ricordato che le sanzioni per chi ignori la legge ci sono, ed esse – specie in tema di omessa adozione delle misure minime – sono rigorose.
Mi sembra che già questo sia un motivo perché l’azienda/lo studio professionale prenda coscienza delle indicazioni di legge e vi si conformi.
I soggetti devono pertanto sì “proteggersi”, ma senza mai dimenticare che la sicurezza informatica sarà sempre una chimera finché esisterà il fattore umano, l’anello più debole della catena.
Chiunque pensi che i prodotti da soli offrano “vera sicurezza” si sta cullando nella sua illusione.
La sicurezza non è un prodotto, ma un processo: è pertanto un’attività fatta di risorse e di persone, che riguarda la sfera organizzativa e non solo quella tecnica.
E’indubbio che tutto ciò richieda uno sforzo, che spesso viene visto con sfavore dagli operatori. Tuttavia credo che siano maturi i tempi perché l’azienda/ lo studio professionale possa capire che la tutela della sicurezza non è un valore antagonista alle esigenze di mercato.
La privacy, insomma, da “costo” deve essere vista come “risorsa”: è questo il salto culturale che oggi ci attende. La scommessa, in altre parole, è passare da un’interpretazione pedante e formalistica della privacy all’impostazione di una politica integrata in tema di sicurezza. E’ – credetemi – una scommessa vincente e, tra l’altro, molto remunerativa, dato che l’adottare politiche di riservatezza dei dati rappresenta un valore aggiunto al proprio prodotto o servizio. Una ragione in più, dunque, per adoperarsi in questo senso.
L’adozione delle misure minime di sicurezza e di quelle più ampie per gli strumenti elettronici deve essere dichiarata nella “notificazione[61]”.
|
Termini |
Adempimenti |
|
31 dicembre 2004 prorogato al 31 dicembre 2005 |
Termine per l’adozione di tutte le "misure minime" non previste dalla precedente normativa.
|
|
31 marzo 2005 prorogato al 30 settembre 2005 |
Termine per l’adozione di tutte le "misure minime" non previste dalla precedente normativa per quei soli titolari che possono dimostrare obiettive ragioni tecniche che non consentono in tutto o in parte l’immediata applicazione delle misure minime e che, allo scopo, hanno compilato un documento a data certa (da conservare presso la propria struttura) con la descrizione delle ragioni del rinvio ed hanno comunque adottato ogni possibile misura per evitare un incremento dei rischi di cui all’art.31 del dlgs.196/2003.
|
[1] Cfr. art. 33 del Codice.
[2] Cfr. art. 31 del codice.
[3] Cfr. artt. 1 e 7, comma 3, del Codice.
[4] Cfr. artt. 15 e 152 del Codice.
[5] Cfr. art. 169 del Codice, che prevede l’arresto sino a due anni o l’ammenda da 10 mila euro a 50 mila euro, e l’eventuale "ravvedimento operoso" di chi adempie puntualmente alle prescrizioni impartite dal Garante una volta accertato il reato ed effettua un pagamento in sede amministrativa, ottenendo così l’estinzione del reato.
[6] Cfr. art. 36 del Codice.
[7] Cfr. artt. 33-35 del Codice.
[8] Cfr. art. 180, comma 1 del Codice.
[9] Cfr. per la precedente disciplina, v. gli artt. 15, comma 2 e 41 l. n. 675/1996, il d.P.R. n. 318/1999 e la l. n. 325/2000.
[10] Cfr. art. 180, comma 3, del Codice.
[11] Cfr. artt. 157 ss. del Codice.
[12] Si vedano, in particolare, gli artt. 2702-2704 del codice civile.
[13] Cfr. art. 1 l. n. 325/2000.
[14] Cfr. artt. 22 e 24 l. n. 675/1996; art. 6 d. P.R. n. 318/1999.
[15] Cfr. artt. 15, comma 2 e 41, comma 3 l. n. 675/1996; l. n. 325/2000.
[16] Cfr. art. 34, comma 1, lett. g), del Codice; regola 19 dell’Allegato B).
[17] Cfr. v. art. 4 del Codice.
[18] Cfr. regole 19.8 e 24 dell’Allegato B).
[19] Cfr. cap. 3 par. 3.1.
[20] Cfr. punto 17, Allegato B).
[21] Cfr. punto 16, Allegato B).
[22] Cfr. punto 17, Allegato B).
[23] Cfr. regola 26 Allegato B).
[24] Cfr. regole 25 e 26.
[25] Cfr. art. 4 comma I lett. f) del Codice: “la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza”.
[26] Cfr. art. 28 del Codice.
[27] Cfr. già ai sensi dell’art. 15, commi 1 e 2, della legge 675/1996.
[28] Cfr. art. 4 lett. comma I g) del Codice: “la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali”;
[29] Cfr. già previsto dal D.P.R. 318/1999.
[30] Cfr. art. 29 del Codice.
[31] Cfr. art. 4 comma I lett. h) del Codice: “le persone fisiche autorizzate a compiere operazioni di trattamento dal titolare o dal responsabile”;
[32] Cfr. art. 30 del Codice.
[33] Cfr. nei casi di cui all’art. 4 del D.P.R. 318/1999.
[34] Figura già contemplata nel D.P.R. 318/1999.
[35] Cfr. già ai sensi dell’art. 8 della legge 657/96.
[36] Per una definizione di dato sensibile o giudiziario si veda il glossario riportato in allegato
[37] Ex pluribus: patch, hot fix, service pack.
[38] Cfr. art. 33 del Codice.
[39] Cfr. artt. 1 e 7, comma 3, del Codice.
[40] Cfr. artt. 15 e 152 del Codice.
[41] Cfr. art. 15 del Codice.
[42] Cfr. art. 15, II comma del Codice.
[43] Così come accaduto nel caso deciso dal Tribunale di Orvieto con sentenza 22.11.02 n. 254: fattispecie in tema di risarcimento dei danni morali sofferti da alcuni clienti di un Istituto bancario
[44] Cfr. Tribunale di Milano, 19 novembre 1987, in Foro Italiano, 1988, I, 144.
[45] stante il precetto dell’art. 2059 c.c.
[46] Cfr. art. 34, lett .a).
[47] ossia sconosciuta alla L.675/96.
[48] prescritte alla successiva lettera b) del medesimo art. 34.
[49] Cfr. art.4, comma 3, lett. d).
[50] Cfr. newsletter n. 182 dell’8-14 settembre 2003 del Garante.
[51] Altra misura “minima”, contemplata all’art. 34 lett. c).
[52] Cfr. Punto 14 del D.T.
[53] Cfr. art. 615 ter c.p.
[54] Cd. social engineering.
[55] il quale prescrive l’adozione di “idonei strumenti elettronici” a protezione dei dati sensibili o giudiziari dagli accessi abusivi.
[56] Il punto 17 del D.T. precisa inoltre che è consigliabile ricercare frequentemente gli aggiornamenti dei programmi impiegati; detta operazione, in ogni caso, va effettuata almeno una volta all’anno.
[57] Per es. Ex pluribus: script virus, stealth virus, worm, trojan horse.
[58] Cfr. punto 16 D.T.
[59] Cfr. art. 34 lettera f) del codice.
[60] Cfr. punto 25 D.T.
[61] La notificazione è una dichiarazione con la quale un soggetto pubblico o privato rende nota al Garante per la protezione dei dati personali l’esistenza di un’attività di raccolta e di utilizzazione dei dati personali, svolta quale autonomo titolare del trattamento.
(*)Abstract
Privacy and
Data Protection Day, Cesena, 31 maggio 2005