Dr. Riccardo Làrese Gortigo
Le misure di sicurezza non interessate
dalle semplificazioni
Le misure di sicurezza in generale
Testo Unico – Art. 1
“Chiunque ha diritto alla protezione dei dati personali che
lo riguardano”
Qualsiasi trattamento di dati personali origina dei rischi
che possono causare danni ai soggetti interessati o che
possono configurare illeciti sanzionati anche penalmente.
La protezione dei dati personali è quindi per un verso un
principio base del testo unico e per l’altro una necessità
per ogni titolare del trattamento.
Le misure di sicurezza come opportunità
Le misure di sicurezza sono gli strumenti (tecnici, organizzativi) che
vengono posti in essere per diminuire la possibilità che i rischi si
manifestino.
I dati personali trattati da un titolare del trattamento, in particolare da
un’azienda, costituiscono una parte di tutti i dati trattati all’interno
della struttura per la gestione delle attività.
Pertanto l’adozione delle misure di sicurezza relative ai dati personali
si inserisce nel più ampio contesto della protezione delle informazioni
aziendali; in quest’ottica deve essere considerata una opportunità di
miglioramento organizzativo piuttosto che un obbligo stabilito dalla
legge.
L’obbligo generale di adozione di misure di sicurezza
Art. 31 – Obblighi di sicurezza
“I dati personali oggetto di trattamento sono custoditi e controllati, anche in
relazione alle conoscenze acquisite in base al progresso tecnico, alla natura
dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al
minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i
rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso
non autorizzato o di trattamento non consentito o non conforme alle finalità
della raccolta.”
Esiste pertanto un obbligo generale di adozione di adeguate misure di
sicurezza, secondo i criteri definiti dal titolare del trattamento, allo scopo di
assicurare un adeguato livello di protezione.
Tali misure non sono predefinite, ma, se viene originato un danno da
trattamento, ed il giudice valuta che l’insieme delle misure di protezione
adottate non erano sufficienti, il titolare è obbligato ad un risarcimento al
soggetto interessato e danneggiato.
Le Misure Minime di Sicurezza
Art. 33 – Misure Minime
Nel quadro dei più generali obblighi di sicurezza di cui all'articolo 31, o previsti da
speciali disposizioni, i titolari del trattamento sono comunque tenuti ad adottare le
misure minime individuate nel presente capo o ai sensi dell'articolo 58, comma 3, volte
ad assicurare un livello minimo di protezione dei dati personali.
Art 169 – Misure di sicurezza
1. Chiunque, essendovi tenuto, omette di adottare le misure minime previste
dall'articolo 33 è punito con l'arresto sino a due anni o con l'ammenda da diecimila euro
a cinquantamila euro.
2. All'autore del reato, all'atto dell'accertamento o, nei casi complessi, anche con
successivo atto del Garante, è impartita una prescrizione fissando un termine per la
regolarizzazione non eccedente il periodo di tempo tecnicamente necessario,
prorogabile in caso di particolare complessità o per l'oggettiva difficoltà
dell'adempimento e comunque non superiore a sei mesi. Nei sessanta giorni successivi
allo scadere del termine, se risulta
l'adempimento alla prescrizione, l'autore del reato è ammesso dal Garante a pagare
una somma pari al quarto del massimo dell'ammenda stabilita per la contravvenzione.
L'adempimento e il pagamento estinguono il reato.
Le Misure Minime di Sicurezza - Osservazioni
• L’adozione delle Misure Minime di Sicurezza è sempre
obbligatoria
• La mancata adozione delle Misure Minime di Sicurezza
può configurare un reato sanzionato penalmente, anche
se non derivano danni dalla mancata adozione
• Le Misure Minime di Sicurezza si applicano sia ai
trattamenti effettuati mediante strumenti elettronici, sia
mediante la gestione di documenti cartacei
• La definizione delle Misure Minime di Sicurezza è
contenuta nel Disciplinare Tecnico (Allegato “B” del Testo
Unico”)
Cosa è cambiato con la legge 133/08?
L’entrata in vigore della legge 133 ha modificato i
contenuti del Disciplinare Tecnico per quello che riguarda
la definizione delle Misure Minime di Sicurezza?
LA RISPOSTA E’ NO!
Il primo comma dell’art. 29 della legge 133 si limita a
ridurre i casi di obbligo di redazione del Documento
Programmatico sulla Sicurezza, che è solo una delle
molteplici misure di sicurezza che devono essere
adottate.
Cosa è cambiato con la legge 133/08?
Deve essere quindi chiaro che:
LE MISURE DI SICUREZZA COME DEFINITE DAL
DISCIPLINARE TECNICO VANNO COMUNQUE
SEMPRE ADOTTATE, NELLE MODALITA’ APPLICABILI
NELLE DIVERSE SITUAZIONI DI TRATTAMENTO IN
QUANTO LA LEGGE 133/08 NON LE HA MODIFICATE
DEVE ESSERE SVOLTA UNA ATTENTA VALUTAZIONE
PER VERIFICARE SE SI E’ NELLE CONDIZIONI DI
ESENZIONE DALL’OBBLIGO DI REDAZIONE DEL
DOCUMENTO PROGRAMMATICO SULLA SICUREZZA
La Misure Minime di Sicurezza
Applicazione:
Trattamenti eseguiti mediante strumenti informatici
Dati personali di tipo comune
Dati personali di tipo sensibile o giudiziario
Trattamenti eseguiti mediante la gestione di
documenti
Dati personali di tipo comune
Dati personali di tipo sensibile o giudiziario
Trattamenti informatici – Dati “di tipo comune”
Le misure di sicurezza di seguito indicate devono essere
SEMPRE adottate quando si trattano dati personali
mediante strumenti informatici.
Ad esempio:
-
Sistemi contabili e/o gestionali
Posta elettronica
Office automation
CRM
E-business (B-to-B o B-to-C)
Trattamenti informatici – Dati “di tipo comune”
Autenticazione informatica
Utilizzo di credenziali di autenticazione
Codice identificativo e parola chiave
Dispositivi di autenticazione (es. badge!)
Riconoscimento biometrico (in teoria!)
Nomina dei custodi delle credenziali
Procedure di accesso ai dati in assenza dell’incaricato (in particolare la posta)
Criticità:
Riservatezza password
Individuazione del sistema di autenticazione più
opportuno
Trattamenti informatici – Dati “di tipo comune”
Gestione del profilo di autorizzazione
-
-
Individuazione degli strumenti (programmi, dati)
utilizzabili dagli incaricati (individualmente o per
gruppo)
Documentazione dei diritti di accesso
Verifica periodica (annuale)
Trattamenti informatici – Dati “di tipo comune”
Protezione mediante backup
-
Tutti i dati trattati (gestionale, posta, documenti)
Esecuzione almeno settimanale
Assegnazione responsabilità
Procedure tecniche ed organizzative
Trattamenti informatici – Dati “di tipo comune”
Protezione antivirus
-
Tutti i sistemi di elaborazione
Aggiornamento almeno semestrale (sic!)
Aggiornamento del software
-
(Tutti i software rilevanti per la protezione)
Aggiornamento almeno annuale (semestrale per i
dati sensibili)
Trattamenti informatici – Dati “di tipo comune”
Misure di tutela e garanzia
-
Dichiarazione di conformità al Disciplinare Tecnico
da parte dei fornitori esterni a cui è affidata la
gestione delle (o di alcune) misure di sicurezza
Trattamenti informatici – Dati sensibili o giudiziari
Il Documento Programmatico sulla Sicurezza
Il Dps è quindi (da sempre) richiesto solo se viene
eseguito un trattamento di dati sensibili o giudiziari
mediante strumenti informatici
Il caso tipico è quello della gestione di paghe e stipendi,
anche se la stampa del “cedolino” e le relative
elaborazioni viene affidata a terzi, se la raccolta delle
informazioni relative avviene mediante strumenti
informatici (ad es. raccolta dati presenze mediante badge)
Il Dps e la Legge 133/08
Art. 29 – Comma 1
1. All’articolo 34 del codice in materia di protezione dei dati personali, di cui al decreto
legi-slativo 30 giugno 2003, n. 196, dopo il comma 1 è aggiunto il seguente:
« 1-bis. Per i soggetti che trattano soltanto dati personali non sensibili e che trattano
come unici dati sensibili quelli costituiti dallo stato di salute o malattia dei propri
dipendenti e collaboratori anche a progetto, senza indicazione della relativa diagnosi,
ovvero dall’adesione ad organizzazioni sindacali o a carattere sindacale, la tenuta di un
aggiornato documento programmatico sulla sicurezza è sostituita dall’obbligo di
autocertificazione, resa dal titolare del trattamento ai sensi dell’articolo 47 del testo
unico di cui al decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, di
trattare soltanto tali dati in osservanza delle altre misure di sicurezza prescritte. In
relazione a tali trattamenti, nonché a trattamenti comunque effettuati per correnti finalità
amministrative e contabili, in particolare presso piccole e medie imprese, liberi
professionisti e artigiani, il Garante, sentito il Ministro per la semplificazione normativa,
individua con proprio provvedimento, da aggiornare periodicamente, modalità
semplificate di applicazione del disciplinare tecnico di cui all’Allegato B) in ordine
all’adozione delle misure minime di cui al comma 1 ».
Il Dps e la Legge 133/08
Il Dps è sostituito da una certificazione solo se
Vengono trattati unicamente dati personali non sensibili e che trattano come unici
dati sensibili quelli costituiti dallo stato di salute o malattia dei propri dipendenti e
collaboratori anche a progetto, senza indicazione della relativa diagnosi, ovvero
dall’adesione ad organizzazioni sindacali o a carattere sindacale
E’ quindi innanzitutto necessario verificare se questi sono i soli dati sensibili (e
giudiziari) trattati mediante strumenti informatici!
Nelle slide successive sono indicati alcuni altri tipi di dati (di natura sensibile o
giudiziaria) che potrebbero essere trattati in azienda mediante l’utilizzo di strumenti
informatici
SE CIO’ DOVESSE AVVENIRE PERMANE L’OBBLIGO DI STESURA DEL DPS
Dati che richiedono la stesura del Dps
1.
Dati relativi allo stato di salute o malattia dei propri
dipendenti e collaboratori a progetto, comprensivi
dell’indicazione della diagnosi:
a.
b.
gestione di pratiche relative a malattie professionali
od infortuni, qualora gestite mediante strumenti
informatici, e nella previsione che tra i dati trattati
siano comprese informazioni relative alla prognosi e
la diagnosi (pratiche INAIL);
Gestione di pratiche di assicurazione integrativa in
caso di malattia od incidente sul lavoro che
prevedano il trattamento di informazioni relative a
prognosi e diagnosi;
Dati che richiedono la stesura del Dps
2.
Dati relativi allo stato di salute o malattia di soggetti
diversi da dipendenti e collaboratori, anche se non
comprensivi dell’indicazione della diagnosi
a.
b.
c.
Dati relativi a professionisti che operano in azienda
mediante un rapporto regolato da fattura (Nota: è infatti non
definito se il termine “collaboratori a progetto” possa o
meno essere inteso in senso estensivo)
Dati relativi a clienti, fornitori od altri soggetti esterni
all’azienda
i.
incidenti sul luogo di lavoro
Dati relativi allo stato di salute di parenti di dipendenti
i.
Colonie estive dei dipendenti (richieste di
informazioni relative allo stato di salute)
ii.
Richieste di aspettativa per condizioni di salute di
parenti conviventi
Dati che richiedono la stesura del Dps
3.
Dati relativi all’origine razziale od etnica
a.
4.
Dati anagrafici di dipendenti extracomunitari
Altri dati sensibili
a.
b.
Dati relativi alle convinzioni religiose od all’appartenenza ad
associazioni od organizzazioni di carattere religioso
i.
Godimento di festività religiose
ii.
Indicazioni relative a particolari prescrizioni
alimentari all’intero della gestione delle mense
aziendali
Adesione a partiti
ii.
Richieste di godimento di periodi di aspettativa a
seguito di cariche politiche od amministrative
Dati che richiedono la stesura del Dps
5.
Dati giudiziari
a.
b.
Dati relativi alla posizione di indagato o imputato
i.
Dichiarazioni relative alla normativa antimafia
Dati relativi al casellario giudiziale
i.
Dichiarazioni relative alla normativa antimafia
ii.
Particolari mansioni (guardie giurate)
E’ opportuno interrompere la stesura del Dps?
1. La stesura del Dps non è particolarmente complessa,
se gli adempimenti privacy sono correttamente svolti,
ed in particolare le Mms sono correttamente adottate
2. La stesura del Dps è comunque un importante
momento di verifica interna
3. Vi è il rischio di fare una “autocertificazione” falsa!
4. Il Dps è frequentemente richiesto e comunque utile per
le aziende che dispongono di un Sistema Qualità
certificato
5. Il Dps è comunque “obbligatorio” per le aziende che si
adeguano al D.Lgs. 231/01 (Responsabilità
amministrativa)
Il consiglio finale
Il consiglio finale è quindi quello di valutare con estrema
attenzione se ci si trova in realtà nelle condizioni di
semplificazione, e di continuare comunque a redigere il
Dps, vista la sua utilità.
Il vero problema, infatti, non è quello della redazione
del Dps ma quello della adozione delle previste
misure di sicurezza, che non sono state modificate
dalla legge 133.
Il Dps in realtà non ha altro scopo che documentare la
regolarità dei trattamenti e dell’adozione delle previste
misure di sicurezza obbligatorie.
Trattamenti informatici – Dati sensibili o giudiziari
Protezione dalle intrusioni
-
Utilizzo di un sistema di firewall
Dispositivi portatili (dischi, unità USB, nastri backup)
-
Regolamentazione dell’uso
Distruzione o cancellazione dati dopo l’uso
Misure di “disaster recovery”
-
L’accesso ai dati deve avvenire in tempo certi e non superiori ad una
settimana
Trattamenti cartacei – Dati di “tipo comune”
1. Istruzioni scritte agli incaricati (ex art. 30 Testo Unico)
2. Verifica annuale degli ambiti di trattamento degli
incaricati
3. Conservazione “ordinata” dei documenti per non
permettere l’accesso a chi non è un incaricato
Trattamenti cartacei – Dati di sensibili o giudiziari
1. Custodia dei documenti in archivi chiusi a chiave
2. Restituzione dei documenti da parte degli incaricati a
conclusione delle operazioni di trattamento
3. Registro degli accessi ai locali in cui sono custoditi i
documenti fuori dall’orario di lavoro
Domande e Risposte
Grazie per l’attenzione
Dr. Riccardo Làrese Gortigo
Presidente – Sùnapsis s.r.l.
[email protected]