Dr. Riccardo Làrese Gortigo Le misure di sicurezza non interessate dalle semplificazioni Le misure di sicurezza in generale Testo Unico – Art. 1 “Chiunque ha diritto alla protezione dei dati personali che lo riguardano” Qualsiasi trattamento di dati personali origina dei rischi che possono causare danni ai soggetti interessati o che possono configurare illeciti sanzionati anche penalmente. La protezione dei dati personali è quindi per un verso un principio base del testo unico e per l’altro una necessità per ogni titolare del trattamento. Le misure di sicurezza come opportunità Le misure di sicurezza sono gli strumenti (tecnici, organizzativi) che vengono posti in essere per diminuire la possibilità che i rischi si manifestino. I dati personali trattati da un titolare del trattamento, in particolare da un’azienda, costituiscono una parte di tutti i dati trattati all’interno della struttura per la gestione delle attività. Pertanto l’adozione delle misure di sicurezza relative ai dati personali si inserisce nel più ampio contesto della protezione delle informazioni aziendali; in quest’ottica deve essere considerata una opportunità di miglioramento organizzativo piuttosto che un obbligo stabilito dalla legge. L’obbligo generale di adozione di misure di sicurezza Art. 31 – Obblighi di sicurezza “I dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.” Esiste pertanto un obbligo generale di adozione di adeguate misure di sicurezza, secondo i criteri definiti dal titolare del trattamento, allo scopo di assicurare un adeguato livello di protezione. Tali misure non sono predefinite, ma, se viene originato un danno da trattamento, ed il giudice valuta che l’insieme delle misure di protezione adottate non erano sufficienti, il titolare è obbligato ad un risarcimento al soggetto interessato e danneggiato. Le Misure Minime di Sicurezza Art. 33 – Misure Minime Nel quadro dei più generali obblighi di sicurezza di cui all'articolo 31, o previsti da speciali disposizioni, i titolari del trattamento sono comunque tenuti ad adottare le misure minime individuate nel presente capo o ai sensi dell'articolo 58, comma 3, volte ad assicurare un livello minimo di protezione dei dati personali. Art 169 – Misure di sicurezza 1. Chiunque, essendovi tenuto, omette di adottare le misure minime previste dall'articolo 33 è punito con l'arresto sino a due anni o con l'ammenda da diecimila euro a cinquantamila euro. 2. All'autore del reato, all'atto dell'accertamento o, nei casi complessi, anche con successivo atto del Garante, è impartita una prescrizione fissando un termine per la regolarizzazione non eccedente il periodo di tempo tecnicamente necessario, prorogabile in caso di particolare complessità o per l'oggettiva difficoltà dell'adempimento e comunque non superiore a sei mesi. Nei sessanta giorni successivi allo scadere del termine, se risulta l'adempimento alla prescrizione, l'autore del reato è ammesso dal Garante a pagare una somma pari al quarto del massimo dell'ammenda stabilita per la contravvenzione. L'adempimento e il pagamento estinguono il reato. Le Misure Minime di Sicurezza - Osservazioni • L’adozione delle Misure Minime di Sicurezza è sempre obbligatoria • La mancata adozione delle Misure Minime di Sicurezza può configurare un reato sanzionato penalmente, anche se non derivano danni dalla mancata adozione • Le Misure Minime di Sicurezza si applicano sia ai trattamenti effettuati mediante strumenti elettronici, sia mediante la gestione di documenti cartacei • La definizione delle Misure Minime di Sicurezza è contenuta nel Disciplinare Tecnico (Allegato “B” del Testo Unico”) Cosa è cambiato con la legge 133/08? L’entrata in vigore della legge 133 ha modificato i contenuti del Disciplinare Tecnico per quello che riguarda la definizione delle Misure Minime di Sicurezza? LA RISPOSTA E’ NO! Il primo comma dell’art. 29 della legge 133 si limita a ridurre i casi di obbligo di redazione del Documento Programmatico sulla Sicurezza, che è solo una delle molteplici misure di sicurezza che devono essere adottate. Cosa è cambiato con la legge 133/08? Deve essere quindi chiaro che: LE MISURE DI SICUREZZA COME DEFINITE DAL DISCIPLINARE TECNICO VANNO COMUNQUE SEMPRE ADOTTATE, NELLE MODALITA’ APPLICABILI NELLE DIVERSE SITUAZIONI DI TRATTAMENTO IN QUANTO LA LEGGE 133/08 NON LE HA MODIFICATE DEVE ESSERE SVOLTA UNA ATTENTA VALUTAZIONE PER VERIFICARE SE SI E’ NELLE CONDIZIONI DI ESENZIONE DALL’OBBLIGO DI REDAZIONE DEL DOCUMENTO PROGRAMMATICO SULLA SICUREZZA La Misure Minime di Sicurezza Applicazione: Trattamenti eseguiti mediante strumenti informatici Dati personali di tipo comune Dati personali di tipo sensibile o giudiziario Trattamenti eseguiti mediante la gestione di documenti Dati personali di tipo comune Dati personali di tipo sensibile o giudiziario Trattamenti informatici – Dati “di tipo comune” Le misure di sicurezza di seguito indicate devono essere SEMPRE adottate quando si trattano dati personali mediante strumenti informatici. Ad esempio: - Sistemi contabili e/o gestionali Posta elettronica Office automation CRM E-business (B-to-B o B-to-C) Trattamenti informatici – Dati “di tipo comune” Autenticazione informatica Utilizzo di credenziali di autenticazione Codice identificativo e parola chiave Dispositivi di autenticazione (es. badge!) Riconoscimento biometrico (in teoria!) Nomina dei custodi delle credenziali Procedure di accesso ai dati in assenza dell’incaricato (in particolare la posta) Criticità: Riservatezza password Individuazione del sistema di autenticazione più opportuno Trattamenti informatici – Dati “di tipo comune” Gestione del profilo di autorizzazione - - Individuazione degli strumenti (programmi, dati) utilizzabili dagli incaricati (individualmente o per gruppo) Documentazione dei diritti di accesso Verifica periodica (annuale) Trattamenti informatici – Dati “di tipo comune” Protezione mediante backup - Tutti i dati trattati (gestionale, posta, documenti) Esecuzione almeno settimanale Assegnazione responsabilità Procedure tecniche ed organizzative Trattamenti informatici – Dati “di tipo comune” Protezione antivirus - Tutti i sistemi di elaborazione Aggiornamento almeno semestrale (sic!) Aggiornamento del software - (Tutti i software rilevanti per la protezione) Aggiornamento almeno annuale (semestrale per i dati sensibili) Trattamenti informatici – Dati “di tipo comune” Misure di tutela e garanzia - Dichiarazione di conformità al Disciplinare Tecnico da parte dei fornitori esterni a cui è affidata la gestione delle (o di alcune) misure di sicurezza Trattamenti informatici – Dati sensibili o giudiziari Il Documento Programmatico sulla Sicurezza Il Dps è quindi (da sempre) richiesto solo se viene eseguito un trattamento di dati sensibili o giudiziari mediante strumenti informatici Il caso tipico è quello della gestione di paghe e stipendi, anche se la stampa del “cedolino” e le relative elaborazioni viene affidata a terzi, se la raccolta delle informazioni relative avviene mediante strumenti informatici (ad es. raccolta dati presenze mediante badge) Il Dps e la Legge 133/08 Art. 29 – Comma 1 1. All’articolo 34 del codice in materia di protezione dei dati personali, di cui al decreto legi-slativo 30 giugno 2003, n. 196, dopo il comma 1 è aggiunto il seguente: « 1-bis. Per i soggetti che trattano soltanto dati personali non sensibili e che trattano come unici dati sensibili quelli costituiti dallo stato di salute o malattia dei propri dipendenti e collaboratori anche a progetto, senza indicazione della relativa diagnosi, ovvero dall’adesione ad organizzazioni sindacali o a carattere sindacale, la tenuta di un aggiornato documento programmatico sulla sicurezza è sostituita dall’obbligo di autocertificazione, resa dal titolare del trattamento ai sensi dell’articolo 47 del testo unico di cui al decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, di trattare soltanto tali dati in osservanza delle altre misure di sicurezza prescritte. In relazione a tali trattamenti, nonché a trattamenti comunque effettuati per correnti finalità amministrative e contabili, in particolare presso piccole e medie imprese, liberi professionisti e artigiani, il Garante, sentito il Ministro per la semplificazione normativa, individua con proprio provvedimento, da aggiornare periodicamente, modalità semplificate di applicazione del disciplinare tecnico di cui all’Allegato B) in ordine all’adozione delle misure minime di cui al comma 1 ». Il Dps e la Legge 133/08 Il Dps è sostituito da una certificazione solo se Vengono trattati unicamente dati personali non sensibili e che trattano come unici dati sensibili quelli costituiti dallo stato di salute o malattia dei propri dipendenti e collaboratori anche a progetto, senza indicazione della relativa diagnosi, ovvero dall’adesione ad organizzazioni sindacali o a carattere sindacale E’ quindi innanzitutto necessario verificare se questi sono i soli dati sensibili (e giudiziari) trattati mediante strumenti informatici! Nelle slide successive sono indicati alcuni altri tipi di dati (di natura sensibile o giudiziaria) che potrebbero essere trattati in azienda mediante l’utilizzo di strumenti informatici SE CIO’ DOVESSE AVVENIRE PERMANE L’OBBLIGO DI STESURA DEL DPS Dati che richiedono la stesura del Dps 1. Dati relativi allo stato di salute o malattia dei propri dipendenti e collaboratori a progetto, comprensivi dell’indicazione della diagnosi: a. b. gestione di pratiche relative a malattie professionali od infortuni, qualora gestite mediante strumenti informatici, e nella previsione che tra i dati trattati siano comprese informazioni relative alla prognosi e la diagnosi (pratiche INAIL); Gestione di pratiche di assicurazione integrativa in caso di malattia od incidente sul lavoro che prevedano il trattamento di informazioni relative a prognosi e diagnosi; Dati che richiedono la stesura del Dps 2. Dati relativi allo stato di salute o malattia di soggetti diversi da dipendenti e collaboratori, anche se non comprensivi dell’indicazione della diagnosi a. b. c. Dati relativi a professionisti che operano in azienda mediante un rapporto regolato da fattura (Nota: è infatti non definito se il termine “collaboratori a progetto” possa o meno essere inteso in senso estensivo) Dati relativi a clienti, fornitori od altri soggetti esterni all’azienda i. incidenti sul luogo di lavoro Dati relativi allo stato di salute di parenti di dipendenti i. Colonie estive dei dipendenti (richieste di informazioni relative allo stato di salute) ii. Richieste di aspettativa per condizioni di salute di parenti conviventi Dati che richiedono la stesura del Dps 3. Dati relativi all’origine razziale od etnica a. 4. Dati anagrafici di dipendenti extracomunitari Altri dati sensibili a. b. Dati relativi alle convinzioni religiose od all’appartenenza ad associazioni od organizzazioni di carattere religioso i. Godimento di festività religiose ii. Indicazioni relative a particolari prescrizioni alimentari all’intero della gestione delle mense aziendali Adesione a partiti ii. Richieste di godimento di periodi di aspettativa a seguito di cariche politiche od amministrative Dati che richiedono la stesura del Dps 5. Dati giudiziari a. b. Dati relativi alla posizione di indagato o imputato i. Dichiarazioni relative alla normativa antimafia Dati relativi al casellario giudiziale i. Dichiarazioni relative alla normativa antimafia ii. Particolari mansioni (guardie giurate) E’ opportuno interrompere la stesura del Dps? 1. La stesura del Dps non è particolarmente complessa, se gli adempimenti privacy sono correttamente svolti, ed in particolare le Mms sono correttamente adottate 2. La stesura del Dps è comunque un importante momento di verifica interna 3. Vi è il rischio di fare una “autocertificazione” falsa! 4. Il Dps è frequentemente richiesto e comunque utile per le aziende che dispongono di un Sistema Qualità certificato 5. Il Dps è comunque “obbligatorio” per le aziende che si adeguano al D.Lgs. 231/01 (Responsabilità amministrativa) Il consiglio finale Il consiglio finale è quindi quello di valutare con estrema attenzione se ci si trova in realtà nelle condizioni di semplificazione, e di continuare comunque a redigere il Dps, vista la sua utilità. Il vero problema, infatti, non è quello della redazione del Dps ma quello della adozione delle previste misure di sicurezza, che non sono state modificate dalla legge 133. Il Dps in realtà non ha altro scopo che documentare la regolarità dei trattamenti e dell’adozione delle previste misure di sicurezza obbligatorie. Trattamenti informatici – Dati sensibili o giudiziari Protezione dalle intrusioni - Utilizzo di un sistema di firewall Dispositivi portatili (dischi, unità USB, nastri backup) - Regolamentazione dell’uso Distruzione o cancellazione dati dopo l’uso Misure di “disaster recovery” - L’accesso ai dati deve avvenire in tempo certi e non superiori ad una settimana Trattamenti cartacei – Dati di “tipo comune” 1. Istruzioni scritte agli incaricati (ex art. 30 Testo Unico) 2. Verifica annuale degli ambiti di trattamento degli incaricati 3. Conservazione “ordinata” dei documenti per non permettere l’accesso a chi non è un incaricato Trattamenti cartacei – Dati di sensibili o giudiziari 1. Custodia dei documenti in archivi chiusi a chiave 2. Restituzione dei documenti da parte degli incaricati a conclusione delle operazioni di trattamento 3. Registro degli accessi ai locali in cui sono custoditi i documenti fuori dall’orario di lavoro Domande e Risposte Grazie per l’attenzione Dr. Riccardo Làrese Gortigo Presidente – Sùnapsis s.r.l. [email protected]