UNINFO: La gestione della sicurezza delle informazioni e della privacy nelle PMI (2 ottobre 2012)

UNINFO  è una libera associazione a carattere tecnico che ha lo scopo di promuovere e di partecipare allo sviluppo della normativa nel settore delle tecniche informatiche. UNINFO è un ente federato all'UNI, opera con delega UNI, a livello nazionale ed internazionale e rappresenta l'Italia presso l'ISO, l'ISO/IEC JTC 1 e il CEN.
Il 27 Settembre 2012 l' associazione ha pubblicato sul proprio sito web l'edizione 1.0  del volume "La gestione della sicurezza delle informazioni e della privacy nelle PMI" (qui in pdf  , 824 K, pp. 41). Il testo è pubblicato con licenza Creative Commons "Attribuzione  -  Non opere derivate 3.0"  .
Nel seguito l'Introduzione e l'indice completo del testo.

1 Introduzione

La tutela dei dati personali è regolamentata in Italia dal Decreto Legislativo 196 del 2003 "Codice in materia di protezione dei dati personali" (indicato anche come "Codice privacy") e dalla normativa secondaria ad esso collegata ed emessa dal Garante per la protezione dei dati personali (indicato anche come Garante privacy). Il Codice privacy italiano costituisce il recepimento della Direttiva Europea 95/46/CE.
Le norme più importanti in quest'area e a cui questo Quaderno fa riferimento sono le seguenti:

  • D.lgs. 196/03 (Codice in materia di protezione dei dati personali);
  • Allegato B del D.lgs. 196/03;
  • Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema  –  Provvedimento del Garante per la protezione dei dati personali del  27  novembre 2008  (con modifiche introdotte dai Provvedimenti del 12 febbraio 2009 e 25 giugno 2009).

Nell'ultima parte del 2011 e nei primi mesi del 2012, la normativa italiana è stata investita da modifiche che hanno cambiato e cambieranno, almeno in parte, le modalità di trattamento dei dati personali e la valutazione della loro liceità. Si prevede che ulteriori modifiche saranno apportate nel corso del 2012 e 2013. Non ci soffermiamo sulle motivazioni che hanno indotto il legislatore ad introdurre queste modifiche; possiamo però affermare che sono orientate alla semplificazione, a una maggiore armonizzazione a livello UE e all'adeguamento allo sviluppo tecnologico.
Le principali modifiche introdotte sono:

  • nuova definizione di dato personale, ora applicabile alle sole persone fisiche;
  • eliminazione dell'obbligo di redigere e aggiornare periodicamente il  Documento programmatico per la sicurezza (DPS).

Per quanto riguarda gli scenari futuri, la  Commissione europea  ha presentato la proposta di  un Regolamento generale sulla protezione dei dati, che andrà a sostituire, oltre alla direttiva 95/46/CE, lo stesso Codice privacy; introducendo identiche regole nei Paesi che compongono  la UE.  Infatti,  i Regolamenti UE,  a differenza delle direttive,  sono immediatamente esecutivi  e non necessitano  di recepimento da parte degli Stati membri.
Il nuovo Regolamento, al momento solo in bozza, non è previsto che apporterà riduzioni o stravolgimenti dei requisiti rispetto all'attuale Codice privacy, ma semplificazioni nell'applicazione e miglioramenti degli effetti generali.
La normativa privacy si occupa, come è noto, di sicurezza delle informazioni, anche se limitatamente a quelle di carattere  personale. E' quindi naturale volerla associare allo standard internazionale ISO/IEC 27001,  che definisce i requisiti di un Sistema di gestione per la sicurezza delle informazioni (SGSI). Questo standard è applicabile in modo generale ad aziende di qualsiasi dimensione e riguarda la sicurezza di qualunque tipo di dato e informazione.
Questo Quaderno ha l'obiettivo  di  facilitare la realizzazione di un  Sistema di gestione  per la sicurezza delle informazioni  (SGSI) che integri al suo interno le misure di sicurezza, incluse le procedure documentate o non documentate, previste dalla normativa italiana sulla  tutela dei dati personali e costituisca un quadro di riferimento per mantenerle e migliorarle nel tempo.

Un secondo obiettivo, non meno importante, è quello di mostrare come la costruzione di un SGSI, anche in contesti aziendali di ridotte dimensioni  (piccole e medie imprese, PMI), preponderanti nel tessuto economico del nostro Paese, sia un obiettivo raggiungibile con uno sforzo modesto . Tale sforzo, se correttamente indirizzato, può trasformare da costo a valore l'impegno per l'adeguamento al Codice privacy e la realizzazione e manutenzione delle misure di sicurezza delle informazioni.
La realizzazione di un SGSI e la sua integrazione con quanto descritto  nel  presente  Quaderno  non assicura la completa conformità al Codice privacy né ai diversi Provvedimenti emanati dal Garante;  può tuttavia costituire un valido modo per dimostrare di aver affrontato in modo coerente e sistematico l'individuazione e la gestione delle misure di sicurezza minime e idonee (di cui agli artt. 31-36 del Codice).
È importante ricordare che  la protezione dei dati personali, come regolata dalle disposizioni contenute nel  D.lgs.  196/03,  non attiene solamente alla gestione della sicurezza dei dati personali per garantirne riservatezza, integrità e disponibilità, ma anche alla definizione di specifiche modalità di trattamento che ne determinano la liceità. In  questo  Quaderno  sono presi in considerazione ed approfonditi gli aspetti che riguardano la sicurezza dei dati personali.
In questo documento è utilizzato il termine "azienda" al posto di altri termini più generali (quali "organizzazione", "ente" o "impresa") perché ritenuto di più facile comprensibilità. Questo non deve indicare una limitazione d'uso del Quaderno per le sole aziende private.

Indice

0  Premessa  
1  Introduzione  
2  Sistemi di gestione della sicurezza delle informazioni  
2.1  Introduzione ai sistemi di gestione  
2.2  Elementi fondamentali per la gestione dei dati personali
2.3  Sistema di gestione  
2.3.1  Plan
2.3.2  Do  
2.3.3  Check
2.3.4  Act  
3  Bibliografia e autori  
4  Allegati  
4.1  Workflow
4.2  Corrispondenze tra ISO/IEC 27002 e Normativa privacy

Link

  • Sito UNINFO
  • UNINFO, "La gestione della sicurezza delle informazioni e della privacy nelle PMI" (pdf  , 824 K, pp. 41)
ComplianceNet: