Privacy: aggiornare il DPS per l’anno 2009 – seconda parte – novità normative di cui tener conto

(aggiornamento 16 novembre 2009: questo articolo fa parte dell'ebook "Sei lezioni sulla privacy")  

Nella prima parte di questa nuova serie di articoli dedicati al Documento Programmatico sulla Sicurezza (DPS) abbiamo analizzato le tipologie di DPS (completo, semplificato, autocertificazione) previste dal "Codice in materia di protezione dei dati personali" e dalle "semplificazioni" che si sono succedute negli ultimi mesi.
In questa seconda parte elencheremo le principali novità normative ed i relativi adempimenti di cui bisogna tener conto nell’aggiornamento del DPS per il 2009.
Nella terza ed ultima parte vedremo le verifiche (due diligence) che il titolare deve effettuare per assolvere alle sue responsabilità in vigilando nei confronti del responsabili (interni ed esterni) dei trattamenti.

I nuovi adempimenti

  • Amministratore di sistema
  • Semplificazione delle misure di sicurezza
  • Semplificazione notificazione
  • Rottamazione PC ed affini
  • Legge 18 marzo 2008 sui crimini informatici

Amministratore di sistema

Si tratta del provvedimento "Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema" del 27 novembre 2008, in G.U. n. 300 del 24 dicembre 2008 di cui abbiamo già ampiamente parlato in varie articoli su questo sito:

Per quanto riguarda l’aggiornamento del DPS occorre allegare a quest’ultimo la lista degli amministratori già nominati cioè gli amministratori di trattamenti iniziati dopo il 25 gennaio 2009. Per i trattamenti iniziati prima di tale data la lista va prodotta entro il 30 giugno 2009.
Ricordiamo che la "lista degli amministratori di sistema" è a sua volta un trattamento e quindi va inserito nel censimento allegato al DPS.
Analogamente va aggiornato il paragrafo "Distribuzione dei compiti e delle responsabilità nell'ambito delle strutture preposte al trattamento dei dati" con indicazione di quanto attuato in relazione a tale adempimento (nuove nomine, aggiornamento delle lettere di incarico, ecc.).
Se sono state adottate nuove misure di sicurezza non già indicate nella precedente versione del DPS (ad esempio nuovi log in relazione agli adempimenti richiesti per l’amministratore di sistema) questa vanno riportate nel paragrafo del DPS a ciò deputato.
Nel paragrafo dedicato alla "Previsione di interventi formativi degli incaricati del trattamento"è opportuno indicare i corsi sulla sicurezza o sulla privacy che i famosi amministratori di sistema (se necessario) seguiranno (ohanno già seguito) per "dimostrare" che essi sono "idonei" a ricoprire tale incarico.
Infine nel capitolo relativo alla "Descrizione dei criteri adottati (…) per i di trattamenti di dati personali affidati all'esterno della struttura del titolare" vanno indicati quali outsourcer hanno (già) nominato e comunicato la lista degli amministratori.

Semplificazione delle misure di sicurezza

Si tratta del provvedimento "Semplificazione delle misure di sicurezza contenute nel disciplinare tecnico di cui all'Allegato B) al Codice in materia di protezione dei dati personali" del 27 novembre 2008, in G.U. n. 287 del 9 dicembre 2008  che riguarda:

  • amministrazioni pubbliche e società private che utilizzano dati personali non sensibili (nome, cognome, indirizzo, codice fiscale, numero di telefono) o che trattano come unici dati sensibili dei dipendenti quelli relativi allo stato di salute o all'adesione a organizzazioni sindacali;
  • piccole e medie imprese, liberi professionisti o artigiani che trattano dati solo per fini amministrativi e contabili.

Misure di sicurezza

In base al provvedimento del Garante, le categorie interessate:

  • possono impartire agli incaricati le istruzioni in materia di misure minime anche oralmente;
  • possono utilizzare per l'accesso ai sistemi informatici un qualsiasi sistema di autenticazione basato su un username e una password; lo username deve essere disattivato quando viene meno il diritto di accesso ai dati (es. non si opera più all'interno dell'organizzazione);
  • in caso di assenze prolungate o di impedimenti del dipendente possono mettere in atto procedure o modalità che consentano comunque l'operatività e la sicurezza del sistema ( ad es. l'invio automatico delle mail ad un altro recapito accessibile);
  • devono aggiornare i programmi di sicurezza (antivirus) almeno una volta l'anno, e effettuare backup dei dati almeno una volta al mese.

DPS semplificato

Con il provvedimento, inoltre, il Garante ha fornito a piccole e medie imprese, artigiani, liberi professioni, soggetti pubblici e privati che trattano dati solo a fini amministrativi e contabili, alcune indicazioni per la redazione di un documento programmatico per la sicurezza semplificato: questo deve essere redatto prima dell'inizio del trattamento e deve essere aggiornato entro il 31 marzo di ogni anno nel caso in cui, nel corso dell'anno solare precedente, siano intervenute modifiche rispetto a quanto dichiarato nel precedente documento.

Il DPS semplificato deve avere i seguenti contenuti:

  • le coordinate identificative del titolare del trattamento, nonché, se designati, gli eventuali responsabili. Nel caso in cui l'organizzazione preveda una frequente modifica dei responsabili designati, potranno essere indicate le modalità attraverso le quali è possibile individuare l'elenco aggiornato dei responsabili del trattamento;
  • una descrizione generale del trattamento o dei trattamenti realizzati, che permetta di valutare l'adeguatezza delle misure adottate per garantire la sicurezza del trattamento. In tale descrizione vanno precisate le finalità del trattamento, le categorie di persone interessate e dei dati o delle categorie di dati relativi alle medesime, nonché i destinatari o le categorie di destinatari a cui i dati possono essere comunicati;
  • l'elenco, anche per categorie, degli incaricati del trattamento e delle relative responsabilità. Nel caso in cui l'organizzazione preveda una frequente modifica dei responsabili designati, potranno essere indicate le modalità attraverso le quali è possibile individuare l'elenco aggiornato dei responsabili del trattamento con le relative responsabilità;
  • una descrizione delle altre misure di sicurezza adottate per prevenire i rischi di distruzione o perdita, anche accidentale, dei dati, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.

Modalità applicative "semplificate " per i trattamenti realizzati senza l'ausilio di strumenti elettronici

  • Agli incaricati sono impartite, anche oralmente, istruzioni finalizzate al controllo e alla custodia, per l'intero ciclo necessario allo svolgimento delle operazioni di trattamento, degli atti e dei documenti contenenti dati personali.
  • Quando gli atti e i documenti contenenti dati personali sensibili o giudiziari sono affidati agli incaricati del trattamento per lo svolgimento dei relativi compiti, i medesimi atti e documenti sono controllati e custoditi dai medesimi incaricati fino alla restituzione in modo che a essi non accedano persone prive di autorizzazione, e sono restituiti al termine delle operazioni affidate.

Semplificazione notificazione

Si tratta del provvedimento "Semplificazione al modello per la notificazione al Garante" del 22 ottobre 2008 , G.U. n. 287 del 9 dicembre 2008 .

Senza entrare nel merito di chi e per quali trattamenti deve fare la notifica qui si sottolinea semplicemente che le nuove "indicazioni" del provvedimento di cui sopra richiedono al punto f) una descrizione generale che permetta di valutare in via preliminare l'adeguatezza delle misure adottate per garantire la sicurezza del trattamento.
È ovvio che, per chi fa la notifica, tale "descrizione generale" deve essere coerente cion quanto riportato nel DPS.

Rottamazione PC ed affini

Si tratta del provvedimento "Rifiuti di apparecchiature elettriche ed elettroniche (Raae) e misure di sicurezza dei dati personali" del 13 ottobre 2008, in G.U. n. 287 del 9 dicembre 2008. Il Garante richiede che ogni titolare del trattamento deve adottare appropriate misure organizzative e tecniche volte a garantire la sicurezza dei dati personali trattati e la loro protezione anche nei confronti di accessi non autorizzati che possono verificarsi in occasione della dismissione dei menzionati apparati elettrici ed elettronici (artt. 31 ss. del Codice); ciò, considerato anche che, impregiudicati eventuali accordi che prevedano diversamente, produttori, distributori e centri di assistenza di apparecchiature elettriche ed elettroniche non risultano essere soggetti, in base alla particolare disciplina di settore, a specifici obblighi di distruzione dei dati personali eventualmente memorizzati nelle apparecchiature elettriche ed elettroniche a essi consegnate.

In pratica il Garante vuole che siano prevenuti accessi non consentiti ai dati personali memorizzati nelle apparecchiature elettriche ed elettroniche destinate a essere:

  • reimpiegate o riciclate
  • smaltite.

mediante l’adozione delle misure da lui indicate (allegato A  e allegato B  rispettivamente) nello stesso provvedimento

Legge 18 marzo 2008 sui crimini informatici

Si tratta della "Legge 18 marzo 2008, n. 48 - "Ratifica ed esecuzione della Convenzione del Consiglio d’Europa sulla criminalità informatica, fatta a Budapest il 23 novembre 2001, e norme di adeguamento dell’ordinamento interno" che ha introdotto nuovi adempimenti per la sicurezza informatica in quanto ha modificato (art. 10) sia il "Codice in materia di protezione dei dati personali" sia (art. 7) il decreto legislativo 8 giugno 2001, n. 231 (la cosiddetta "Responsabilità amministrativa delle imprese").
Di seguito l’elenco dei reati informatici trattati da questa legge.

  • 420: attentato a impianti di pubblica utilità compreso il danneggiamento o la distruzione  di sistemi informatici o telematici di pubblica utilità
  • 491-bis: falsità in un documento informatico pubblico o privato
  • 615-ter: accesso abusivo ad un sistema informatico o telematico
  • 615-quater: detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici
  • 615-quinquies:  diffusione di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico
  • 617-quater: intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche
  • 617-quinquies: installazione di apparecchiature atte ad intercettare, impedire o interrompere comunicazioni informatiche o telematiche
  • 635-bis: danneggiamento di informazioni, dati e programmi informatici
  • 635-ter: danneggiamento di informazioni, dati e programmi informatici utilizzati dallo Stato o da altro ente pubblico o comunque di pubblica utilità
  • 635-quater: danneggiamento di sistemi informatici o telematici
  • 640-quinquies:  truffa del certificatore di firma elettronica

Vediamo in dettaglio alcuni di questi reati.

Art. 615 ter  Accesso abusivo ad un sistema informatico o telematico
Chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo, è punito con la reclusione fino a tre anni.
La pena è della reclusione da uno a cinque anni se il fatto è commesso (…) con abuso della qualità di operatore del sistema.

Art. 615-quinquies: diffusione di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico
"Chiunque, allo scopo di danneggiare illecitamente un sistema informatico o telematico, le informazioni, i dati o i programmi in esso contenuti o ad esso pertinenti ovvero di favorire l’interruzione, totale o parziale, o l’alterazione del suo funzionamento, si procura, produce, riproduce, importa, diffonde, comunica, consegna o, comunque, mette a disposizione di altri apparecchiature, dispositivi o programmi informatici, e` punito con la reclusione fino a due anni e con la multa sino a euro 10.329".

Nota: la norma quindi include non solo il software, ma anche l'hardware, comprendendo tutte quelle apparecchiature e dispositivi il cui funzionamento sia idoneo a danneggiare un sistema informatico, ovvero ad alterarne il funzionamento.
In pratica il "delitto" di cui all'art. 615 quinquies scatta non solo quando ci si procura virus e malware in genere, ma anche nel caso di la produzione, importazione, acquisto di dongle, smart card, skimmer e così via, laddove, naturalmente, si prestino ad un utilizzo illecito, al fine appunto di danneggiare o alterare un sistema informatico, ovvero i dati e programmi ivi contenuti.

Articolo 635 – bis: danneggiamento di informazioni, dati e programmi informatici
"Salvo che il fatto costituisca più grave reato, chiunque distrugge, deteriora, cancella, altera o sopprime informazioni, dati o programmi informatici altrui è punito, a querela della persona offesa, con la reclusione da sei mesi a tre anni. Se ricorre la circostanza di cui al numero 1) del secondo comma dell’articolo 635 ovvero se il fatto e` commesso con abuso della qualità di operatore del sistema, la pena è della reclusione da uno a quattro anni e si procede d’ufficio"

È opportuno che nel capitolo del DPS dedicato alle "Misure da adottare per garantire l'integrità e la disponibilità dei dati, nonché la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità" siano indicati, se già non presenti, per ciascuna di tale tipologia di possibile "crimine informatico" quali misure di sicurezza sono state (o saranno) adottate.

Chi è Panfilo Marcelli?

L’ingegner Panfilo Marcelli ha lavorato per oltre vent’anni presso primarie aziende informatiche e di consulenza (IPACRI, Euros Consulting, OASI) con incarichi, anche direttivi, in ambito Information Technology, Privacy e Protezione dei dati personali, Qualità e Certificazione ISO9000 e ISO27001, Workflow Management e Business Process Reengineering, Internet, Intranet e gestione di siti con sistemi CMS. Attualmente é socio di CMa Consulting società specializzata in servizi, consulenza e formazione in ambito Compliance, Privacy, Qualità e Sicurezza. Può essere contattato via email: p.marcelli@cmaconsulting.it 

Altri articoli di Panfilo Marcelli

ComplianceNet: