Il Documento Programmatico sulla Sicurezza dei dati Ilaria Zerilli nozione Il DPS (Documento Programmatico sulla Sicurezza) è misura “minima” di sicurezza, attualmente disciplinata dal Codice Privacy, d. lgs. n. 196/2003, precisamente dagli artt. 33 ss. e dall’allegato B. Il DPS, in realtà, altro non è che un resoconto delle misure di sicurezza adottate da chiunque (imprese, singoli ed istituzioni) sia titolare di un trattamento di dati personali altrui per evitare (o meglio per ridurre al minimo il verificarsi di) qualsiasi tipo di evento dannoso o pericoloso a carico degli stessi dati personali. nozione Il Dps (acronimo della sigla "Documento Programmatico per la Sicurezza") è strumento specificativo del generale obbligo di sicurezza posto dal Codice Privacy, e assume, per diretta volontà legislativa, assieme alle altre misure di sicurezza, il ruolo di ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta. Fonti normative l’art. 33 D.lgs 196/2003 stabilisce che: “Nel quadro dei più generali obblighi di sicurezza di cui all'articolo 31 […] i titolari del trattamento sono comunque tenuti ad adottare le misure minime individuate nel presente capo […] volte ad assicurare un livello minimo di protezione dei dati personali.” È però l’art. art. 34 comma 1, lettera g) del D.lg. 196/03 a prevedere la “tenuta di un aggiornato documento programmatico sulla sicurezza”. Fonti normative Le misure minime, fra cui il Dps, ex art. 33 del Codice, specificano, grazie al contenuto spesso prescrittivo, il detto generale obbligo di sicurezza, e assumono, per diretta volontà legislativa, il ruolo di “ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita […] di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.” Fonti normative Va evidenziato che, proprio in quanto misura “minima”, la mancata predisposizione o l’inadeguato aggiornamento del Dps impedisce al titolare un qualsiasi trattamento dei dati. Fonti normative L'art. 34 D.LGS 196/2003 prevede che Il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell'allegato B), le seguenti misure minime: ... g) tenuta di un aggiornato documento programmatico sulla sicurezza; Fonti normative La regola 19 dell'allegato B “Disciplinare tecnico in materia di misure minime di sicurezza” dispone che: Entro il 31 marzo di ogni anno, il titolare di un trattamento di dati sensibili o di dati giudiziari redige anche attraverso il responsabile, se designato, un documento programmatico sulla sicurezza. Fonti normative Il D.P.S. dovrà contenere idonee informazioni riguardo: 19.1. l'elenco dei trattamenti di dati personali; 19.2. la distribuzione dei compiti e delle responsabilità nell'ambito delle strutture preposte al trattamento dei dati; 19.3. l'analisi dei rischi che incombono sui dati; 19.4. le misure da adottare per garantire l'integrità e la disponibilità dei dati, nonchè la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità; 19.5. la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento di cui al successivo punto 23; Fonti normative 19.6. la previsione di interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare. La formazione è programmata già al momento dell'ingresso in servizio, nonchè in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati personali; 19.7. la descrizione dei criteri da adottare per garantire l'adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformità al codice, all'esterno della struttura del titolare; Fonti normative 19.8. per i dati personali idonei a rivelare lo stato di salute e la vita sessuale di cui al punto 24, l'individuazione dei criteri da adottare per la cifratura o per la separazione di tali dati dagli altri dati personali dell'interessato. Regole pratiche di redazione Il Garante ha fornito una guida operativa utile ai fini della redazione del documento. Regole pratiche di redazione Regola 19.1 Elenco dei trattamenti di dati personali.: in questa sezione devono essere individuati i trattamenti effettuati dal titolare, direttamente o attraverso collaborazioni esterne, con l'indicazione della natura dei dati e della struttura (uffici, area etc...) interna o esterna operativamente preposta e degli strumenti elettronici impiegati. Regole pratiche di redazione Per ciascun trattamento vanno individuati i seguenti contenutui essenziali: descrizione sintetica : menzionare il trattamento dei dati personali attraverso l'indicazione della finalità perseguita o dell'attività svolta e delle categorie di persone cui i dati si riferiscono; natura dei dati trattati: indicare se tra i dati personali trattati vi sono dati sensibili e giudiziari; struttura di riferimento: indicare la struttura (ufficio, servizio, area) all'interno della quale viene effettuato il trattamento. Nel caso di strutture complesse, è possibile indicare la macro struttura (direzione, dipartimento, area) oppure gli uffici specifici all'interno della stessa (ufficio contratti, ufficio protocollo etc.); Regole pratiche di redazione Altre strutture che concorrono al trattamento: nel caso in cui un trattamento per essere completato comporta l'attività di diverse strutture è opportuno indicare, oltre quella che cura primariamente l'attività, le altre principali strutture che concorrono al trattamento dall'esterno. Descrizione degli strumenti elettronici utilizzati: deve essere indicata la tipologia di strumenti elettronici utilizzata (elaboratori o pc portatili collegati a rete locale etc..); Banca dati: deve essere indicata la banca dati, con le relative applicazioni, in cui sono contenuti i dati. Regole pratiche di redazione Regola 19.2 DISTRIBUZIONE DEI COMPITI E DELLE RESPONSABILITA' In tale sezione devono essere descritte sinteticamente l'organizzazione della struttura di riferimento, i compiti, e le relative responsabilità in relazione ai trattamenti effettuati. Regole pratiche di redazione le informazioni essenziali da riportare in tale sezione sono struttura: riportare le indicazioni relative alle strutture indicate nella precedente sezione; trattamenti effettuati dalla struttura compiti e responsabilità della struttura: descrizione dei compiti e delle responsabilità della struttura rispetto ai trattamenti di competenza. Es. Acquisizione e caricamento dei dati, consultazione, comunicazione a terzi, Regole pratiche di redazione Regola 19.3 Analisi dei rischi che incombono sui dati in questa sezione vengono descritti i principali eventi potenzialmente dannosi per la sicurezza e la valutazione circa le possibili conseguenze e la gravità in relazione al contesto fisico – ambientale di riferimento e agli strumenti elettronici utilizzati. Regole pratiche di redazione Le informazioni essenziali relative a questa sezione sono: elenco degli eventi: individuare ed elencare gli eventi che possono generare danni e che comportano, quindi, rischi per la sicurezza dei dati personali. Ad esempio vanno indicati: 1) gli eventuali comportamenti degli operatori: - sottrazione di credenziali dia utenticazione; - carenza di consapevolezza, disattenzione o incuria; - comportamenti sleali o fraudolenti; - errore materiale Regole pratiche di redazione 2) eventi relativi agli strumenti: - azione di virus informatici o di programmi suscettibili di recare danno; - spamming o tecniche di sabotaggio, - malfunzionamento, indisponibilità o degrado degli strumenti; - accessi esterni non autorizzati; - intercettazione di informazioni in rete. Regole pratiche di redazione 3) eventi relativi al contesto fisico ambientale: - ingressi non autorizzati a locali/aree ad accesso ristretto; - sottrazione di strumenti contenneti dati; - eventi distruttivi, naturali o artificiali (movimenti tellurici, scariche atmosferiche, incendi, allagamenti, condizioni ambientali...); - guasto a sistemi complementari (impianto elettrico etc..); - errori umani nella gestione della sicurezza fisica; Regole pratiche di redazione Deve essere indicato in questa sezione anche l'impatto sulla sicurezza devono essere descritte le principali conseguenze individuate per la sicurezza dei dati in relazione a ciascun evento, e valutare la loro gravità anche in trelazione alla rilevanza e alla probabilità stimata dell'evento (es alta media bassa). In questo modo è possibile formulare un primo indicatore omogeneo per i diversi rischi da contrastare. Regole pratiche di redazione regola 19,.4 Misure in essere e da adottare In questa sezione vanno riportate le misure in essere e da adottare per contratsare i rischi individuati. Deve essere indicato lo specifico intevento tecnico od organizzativo posto in essere per prevenire, contrastare o ridurre gli effetti relativi ad una specifica minaccia come pure quelle attività di controllo e verifica nel tempo essenzilai per assicurarne l'efficacia. Regole pratiche di redazione I contenuti essenziali di questa sezione sono: misure descrizione dei rischi da contrastare trattamenti interessati struttura o pesrone addette all'adozione Regole pratiche di redazione Criteri e modalità di ripristino della disponibilità dei dati – regola 19.5 in questa sezione vengono descritti i criteri e le procedure adotati per il ripristino dei dati in caso di loro danneggiamento o di inaffidabilità della base dati. Regole pratiche di redazione Le informazioni essenziali relative al ripristino dei dati da indicare in questa sezione sono: - banca dati/data base/archivio; - criteri e procedure per il salvataggio e il rispristino dei dati - pianificazione delle prove di ripristino Regole pratiche di redazione Pianificazione degli interventi formativi – regola 19.6 in questa sezione vengono riportate le informazioni necessarie per individuare il quadro sintetico degli interventi formativi che si prevede di svolgere. Regole pratiche di redazione Le informazioni essenziali di questa sezione sono: descrizione sintetica degli interventi formativi: descrizione degli obiettivi e delle modalità dell'interventio formativo in relazione ad eventuali prese di servizio, mutamento di mansioni, introduzione di nuovi programmi informatici etc..) classi di incarico o tipologie di incaricati interessati: individuazione delle classi omogenee di incarico cui l'intervento è destinato e/o le tipologie di incaricati interessati anche in riferimento alle strutture di appartenenza; tempi previsti: indicare i tempi previsti per lo svolgimento degli interventi formativi Regole pratiche di redazione Trattamenti affidati all'esterno – regola 19.7 In tale sezione deve essere indicato un quadro sintetico delle attività affidate a terzi che comportano il trattamento di dati, con l’indicazione sintetica del quadro giuridico o contrattuale (nonché organizzativo e tecnico) in cui tale trasferimento si inserisce, in riferimento agli impegni assunti, anche all’esterno, per garantire la protezione dei dati stessi. Regole pratiche di redazione I contenuti essenziali di tale sezione sono: Descrizione dell’attività “esternalizzata”: indicare sinteticamente l’attività affidata all’esterno. Trattamenti di dati interessati: indicare i trattamenti di dati, sensibili o giudiziari, effettuati nell’ambito della predetta attività. Soggetto esterno : indicare la società, l’ente o il consulente cui è stata affidata l’attività, e il ruolo ricoperto agli effetti della disciplina sulla protezione dei dati personali (titolare o responsabile del trattamento). Regole pratiche di redazione Descrizione dei criteri: perché sia garantito un adeguato trattamento dei dati è necessario che la società a cui viene affidato il trattamento rilasci specifiche dichiarazioni o documenti, oppure assuma alcuni impegni anche su base contrattuale, con particolare riferimento, ad esempio, a: 1. trattamento di dati ai soli fini dell’espletamento dell’incarico ricevuto; 2. adempimento degli obblighi previsti dal Codice per la protezione dei dati personali; 3. rispetto delle istruzioni specifiche eventualmente ricevute per il trattamento dei dati personali o integrazione delle procedure già in essere; 4. impegno a relazionare periodicamente sulle misure di sicurezza adottate –anche mediante eventuali questionari e liste di controlloe ad informare immediatamente il titolare del trattamento in caso di situazioni anomale o di emergenze. Regole pratiche di redazione Cifratura dei dati o separazione dei dati identificativi (regola 19.8) In questa sezione vanno rappresentate le modalità di protezione adottate in relazione ai dati per cui è richiesta la cifratura -o la separazione fra dati identificativi e dati sensibili-, nonché i criteri e le modalità con cui viene assicurata la sicurezza di tali trattamenti. Questo punto riguarda solo organismi sanitari e esercenti professioni sanitarie (regola 24). Regole pratiche di redazione i contenuti essenziali di questa sezione sono: Trattamenti di dati: descrivere i trattamenti (le banche o le basi di) dati oggetto della protezione Protezione scelta: riportare la tipologia di protezione adottata, scelta fra quelle indicate dal Codice o in base a considerazioni specifiche del titolare. Tecnica adottata: descrivere sinteticamente, in termini tecnici ed eventualmente organizzativi, la misura adottata. Ad esempio, in caso di utilizzo di cifratura, le modalità di conservazione delle chiavi e le procedure di utilizzo. sanzioni Sono previste due tipologie di sanzioni: 1. Ammnistrativa 2. Penale sanzioni Sanzione di natura amministrativa: Art. 162 d.lgs 196/2003: In caso di trattamento di dati personali effettuato in violazione delle misure indicate nell'articolo 33 … è altresì applicata in sede amministrativa, in ogni caso, la sanzione del pagamento di una somma da diecimila euro a centoventimila euro. Nei casi di cui all'articolo 33 è escluso il pagamento in misura ridotta. sanzioni Art. 169 D.lgs 196/2003 Chiunque, essendovi tenuto, omette di adottare le misure minime previste dall'articolo 33 è punito con l'arresto sino a due anni. • a leggerle formalmente e senza possedere una cultura della sicurezza, queste disposizioni sembrano essere un’accozzaglia di formalità burocratiche ma certamente utilizzare questo documento ci permeterà di capire come funziona la nostra “università”, quali trattamenti effettua, quanto investiamo per difendere noi stessi e i nostri utenti e soprattutto ci permetterà di tutelare noi stessi da sanzioni penali e da pretestuose richieste di risarcimento danni provenienti da chi ritiene che abbiamo in qualche modo violato la sua privacy e non è poco… Competenze e ruoli I soggetti del trattamento Nozioni generali Il titolo IV del codice privacy contiene la disciplina che regola l’attività dei soggetti che effettuano il trattamento. In particolare, i soggetti che effettuano il trattamento si dividono in tre categorie: il titolare, il responsabile e l’incaricato. Soggetti del trattamento Titolare Responsabili Incaricati I soggetti del trattamento Questa struttura si fonda su un chiaro rapporto di subordinazione gerarchica che lega rispettivamente, il responsabile al titolare e l’incaricato al titolare ed, eventualmente, al responsabile. Il Titolare L’art. 4 lett. f) del D.lgs 196/2003dispone che debba intendersi per titolare: la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalita', alle modalita' del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza. Il Titolare L’art. 1 del Regolamento d’Ateneo in materia di trattamento dei dati personali stabilisce che Titolare del trattamento è l’UNIVERSITA’ nel suo complesso. Il Titolare L’art. 28 del codice dispone che: Quando il trattamento e' effettuato da una persona giuridica, da una pubblica amministrazione o da un qualsiasi altro ente, associazione od organismo, titolare del trattamento e' l'entita' nel suo complesso o l'unita' od organismo periferico che esercita un potere decisionale del tutto autonomo sulle finalita' e sulle modalita' del trattamento, ivi compreso il profilo della sicurezza. Il Titolare Il titolare ha il compito di scegliere, laddove lo ritenga necessario, il responsabile e di vigilare sull’operato di quest’ultimo e degli incaricati del trattamento. Il Titolare La responsabilità del titolare per eventuali violazioni della normativa in materia di trattamento dei dati, persiste anche se si serve di questi altri soggetti ed anche se costoro sono esterni rispetto alla struttura dell’ente. Ciò significa che egli dovrà vigilare sull’operato di questi soggetti, rispondendo degli eventuali illeciti, laddove responsabili ed incaricati si siano attenuti alle disposizioni loro impartite. Di contro, saranno ritenuti colpevoli gli incaricati o i responsabili che abbiano commesso violazioni della normativa in materia di privacy discostandosi dalle direttive che siano state loro impartite dal titolare. Il Responsabile Ai sensi dell’art. 4 lett. g) del D.lgs 196/2003 si intende per responsabile: la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali; Il Responsabile Le funzioni e le regole che disciplinano l’attività del responsabile sono contenute nell’art. 29 del codice, il quale dispone che: 1. Il responsabile e' designato dal titolare facoltativamente. 2. Se designato, il responsabile e' individuato tra soggetti che per esperienza, capacita' ed affidabilita' forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza. 3. Ove necessario per esigenze organizzative, possono essere designati responsabili piu' soggetti, anche mediante suddivisione di compiti. 4. I compiti affidati al responsabile sono analiticamente specificati per iscritto dal titolare. 5. Il responsabile effettua il trattamento attenendosi alle istruzioni impartite dal titolare il quale, anche tramite verifiche periodiche, vigila sulla puntuale osservanza delle disposizioni di cui al comma 2 e delle proprie istruzioni. Il Responsabile Il responsabile verrà nominato con atto scritto del titolare, il quale sarà tenuto, altresì, ad individuare in modo analitico le competenze che intende attribuirgli. La forma scritta sia della delega che della attribuzione dei compiti è richiesta dal legislatore non a pena di nullità ma a titolo probatorio. Il Responsabile I responsabili saranno, quindi, sottoposti a verifiche periodiche, da parte del titolare, volte ad accertare la correttezza e conformità del loro operato alla normativa in materia di trattamento dei dati. I Responsabili Il Regolamento D’Ateneo dispone che sono soggetti responsabili: Il Rettore per i dati trattati da Segreteria del Rettorato, Servizio di Prevenzione e Protezione, Ufficio di collegamento Università Impresa Industrial Liason Office, Servizio Stampa e Servizio di Radioprotezione; Il Direttore Amministrativo relativamente ai dati trattati dallo staff di direzione; I Responsabili I Dirigenti di Dipartimenti e Aree; Il Direttore del SIA; I Presidi di Facoltà; I Direttori di Dipartimento; Il Direttore della Sissis; Il direttore del Centro di Orientamento e tutorato; I Direttori dei centri interdipartimentali. I Responsabili I responsabili del trattamento individuano con proprio provvedimento formale gli incaricati con indicazione nominativa della persona fisica, del ruolo ricoperto e dell’ambito del trattamento consentito. Gli Incaricati L’art. 4 lett. h) del d.lgs 196/2003 stabilisce che sono da intendersi quali incaricati, le persone fisiche autorizzate a compiere operazioni di trattamento dal titolare o dal responsabile. Gli Incaricati L’art. 30 del codice, poi, dispone che: 1. Le operazioni di trattamento possono essere effettuate solo da incaricati che operano sotto la diretta autorita' del titolare o del responsabile, attenendosi alle istruzioni impartite. 2. La designazione e' effettuata per iscritto e individua puntualmente l'ambito del trattamento consentito. Si considera tale anche la documentata preposizione della persona fisica ad una unita' per la quale e' individuato, per iscritto, l'ambito del trattamento consentito agli addetti all'unita' medesima. Gli incaricati L’incaricato costituisce la base della struttura piramidale sopra indicata. Esso è il soggetto che materialmente effettua il trattamento. Gli incaricati Tra incaricato e titolare esiste un rapporto di stretta dipendenza poiché il primo agisce sotto la diretta autorità del secondo ed attenendosi alle istruzioni impartitegli. Gli Incaricati la designazione e l’individuazione dei compiti da attribuire agli incaricati devono essere effettuate per per atto scritto. Gli Incaricati Non è ammissibile che siano preposti alle operazioni di trattamento soggetti diversi da quelli designati. Nel caso in cui i dati personali vengano trattati da soggetti che non siano stati appositamente nominati quali incaricati o responsabili, quest’ultimi risponderanno personalmente per gli eventuali danni prodotti al cosiddetto interessato. La responsabilità dei soggetti del trattamento L’art. 15 del codice, rubricato Danni cagionati per effetto del trattamento, prescrive che: 1. Chiunque cagiona danno ad altri per effetto del trattamento di dati personali e' tenuto al risarcimento ai sensi dell'articolo 2050 del codice civile. 2. Il danno non patrimoniale e' risarcibile anche in caso di violazione dell'articolo 11. La responsabilità dei soggetti del trattamento l’art. 2050 c.c. (Responsabilità per l'esercizio di attività pericolose) dispone che: chiunque cagiona danno ad altri nello svolgimento di un'attività pericolosa, per sua natura o per la natura dei mezzi adoperati, e’ tenuto al risarcimento, se non prova di avere adottato tutte le misure idonee a evitare il danno. La responsabilità dei soggetti del trattamento La scelta operata dal legislatore è quella di disciplinare l’attività di trattamento dei dati personali come attività pericolosa ed in quanto tale potenzialmente idonea a cagionare un danno nei confronti del soggetto per il quale è posta in essere. La responsabilità dei soggetti del trattamento Il richiamo espresso all’art. 2050 c.c. collega il risarcimento del danno allo schema codicistico sia per quanto riguarda l’an che il quantum. Ed infatti, sul piano processuale dell’accertamento dell’an il titolare o il responsabile del trattamento saranno tenuti a provare non solo di avere adottato tutte le misure minime per evitare il danno ma anche che quest’ultimo si è verificato per cause a loro non imputabili. La responsabilità dei soggetti del trattamento Il giudizio in ordine alla responsabilità del soggetto che, trattando i dati, abbia arrecato pregiudizio all’interessato dovrà vertere sulla circostanza secondo cui, se le misure adottate fossero state idonee, il danno non si sarebbe prodotto. La responsabilità dei soggetti del trattamento La disposizione normativa è, poi, generica nell’individuare i soggetti che potenzialmente possano essere ritenuti come responsabili (si parla di “chiunque”). La responsabilità dei soggetti del trattamento All’obbligo risarcitorio non sarà tenuto soltanto chi è a contatto diretto con i dati dell’interessato ovvero il titolare, il responsabile o l’incaricato del trattamento ma anche soggetti che, eventualmente od anche occasionalmente, si trovino a trattare dati personali a prescindere dalla loro riconducibilità ad una delle qualifiche tipizzate dal codice. La responsabilità dei soggetti del trattamento La sussistenza del danno, quindi, si configura automaticamente per il solo fatto della violazione degli obblighi di “correttezza e liceità” sanciti in materia di trattamento dei dati personali. La responsabilità dei soggetti del trattamento Per quanto, invece, riguarda la quantificazione del danno subito soccorrono i principi ausiliari di liquidazione di cui al combinato disposto degli artt. 1226 e 2056 c.c. Art. 1226 Valutazione equitativa del danno Se il danno non può essere provato nel suo preciso ammontare, è liquidato dal giudice con valutazione equitativa (2056 e seguenti). Art. 2056 Valutazione dei danni Il risarcimento dovuto al danneggiato si deve determinare secondo le disposizioni degli artt. 1223, 1226 e 1227. Il lucro cessante è valutato dal giudice con equo apprezzamento delle circostanze del caso. BUON APPETITO