Le Misure Minime di Sicurezza
secondo il Testo Unico sulla Privacy
Dr. Riccardo Larese Gortigo
Consulente - Ass. Industriali di Vicenza
© R. Larese 2003-2004
Obblighi di sicurezza
• Art. 31 del Testo Unico:
I dati personali oggetto di trattamento sono custoditi e
controllati, anche in relazione alle conoscenze acquisite in
base al progresso tecnico, alla natura dei dati ed alle
specifiche caratteristiche del trattamento, in modo da
ridurre al minimo, mediante l’adozione di idonee e
preventive misure di sicurezza, i rischi di distruzione o
perdita, anche accidentale, dei dati stessi, di accesso non
autorizzato o di trattamento non consentito o non conforme
alle finalità della raccolta.
© R. Larese 2003-2004
Obblighi e misure di sicurezza
Misure Minime di Sicurezza
• Art. 33 del Testo Unico:
Nel quadro dei più generali obblighi di sicurezza di cui
all’articolo 31, o previsti da speciali disposizioni, i titolari del
trattamento sono comunque tenuti ad adottare le misure
minime individuate nel presente capo o ai sensi dell’articolo
58, comma 3, volte ad assicurare un livello minimo di
protezione dei dati personali.
L’adozione delle Misure Minime di Sicurezza è obbligatorio
per tutti coloro che effettuano trattamenti di dati personali.
© R. Larese 2003-2004
Obblighi e misure di sicurezza
Sanzioni
• Art. 169 del Testo Unico:
Chiunque, essendovi tenuto, omette di adottare il misure
minime previste dall’art. 33 è punito con l’arresto sino a due
anni o con l’ammenda da diecimila euro a cinquantamila
euro
© R. Larese 2003-2004
Obblighi e misure di sicurezza
“Ravvedimento operoso”
• Prescrizione del Garante
• Termine massimo per la regolarizzazione non eccedente
sei mesi
• Verifica dell’adempimento da parte del Garante
• Pagamento di una somma pari al quarto del massimo
dell’ammendo stabilita per la contravvenzione
• Estinzione del reato
© R. Larese 2003-2004
Obblighi e misure di sicurezza
Entrata in vigore
• Il Testo Unico è in vigore dal 1° Gennaio 2004.
• Le nuove Misure Minime di Sicurezza devono essere
adottate entro il 30 Giugno 2004 (art. 180 comma1)
• Se esistono obiettive ragioni tecniche che non
permettono l’adozione delle nuove misure entro il 30
giugno:
– Entro il 30 giugno il titolare predispone un documento avente
data certa per descrivere i motivi della mancata adozione
– Adotta ogni misura atta a ridurre i rischi
– Entro il 31 dicembre 2004 provvede ad aggiornare i sistemi per
garantire l’adeguamento
© R. Larese 2003-2004
Obblighi e misure di sicurezza
Misure Minime di Sicurezza
per trattamenti eseguiti
mediante strumenti elettronici
( i numeri tra parentesi rimandano ai punti del Disciplinare
tecnico)
© R. Larese 2003-2004
Autenticazione informatica (1-11)
• Il trattamento di dati personali è consentito agli incaricati
dotati di credenziali di autenticazione che consentano il
superamento di una procedura di autenticazione relativa a
uno specifico trattamento o a un insieme di trattamenti.
• Credenziali di autenticazione (2):
– Codice per l’identificazione dell’incaricato associato ad una
parola chiave riservata conosciuta solamente dal medesimo
– Dispositivo di autenticazione in possesso ed uso esclusivo
(badge, smart card), anche associato a codice identificativo o parola
chiave
– Caratteristica biometrica dell’interessato (iride, impronta digitale ),
anche associato a codice identificativo o parola chiave
© R. Larese 2003-2004
Misure minime di sicurezza per trattamenti mediante strumenti elettronici
Autenticazione informatica
ELABORATORE
SISTEMA DI AUTENTICAZIONE
CODICE
+
PAROLA
CHIAVE
DISPOSITIVO
DI
AUTENTICANZIONE
UTENTI
© R. Larese 2003-2004
CARATTER.
BIOMETRICA
Gestione delle credenziali di autenticazione
• Le credenziali di autenticazione non utilizzate da almeno 6
mesi devono essere disattivate (tranne quelle usate per
soli scopi di gestione tecnica) (7)
• Le credenziali devono essere disattivate in caso di perdita
della qualità che consente l’accesso ai dati (8)
© R. Larese 2003-2004
Il sistema di autenticazione
Codice per l’identificazione
• Ogni codice può essere utilizzato da un solo incaricato e
non può essere assegnato ad altri incaricati, neppure in
tempi diversi (6)
• Ad ogni incaricato possono eventualmente essere
assegnati più codici per l’identificazione (ad esempio per
funzioni diverse) (3)
© R. Larese 2003-2004
Il sistema di autenticazione
Parola chiave (2-3-4-5-10)
•
•
•
•
Riservata e conosciuta solamente dall’incaricato (2)
L’incaricato deve assicurarne la riservatezza (4)
La lunghezza minima è di otto caratteri (5)
Non contiene riferimenti agevolmente riconducibili
all’incaricato (5)
• Modificata al primo utilizzo (5)
• Modificata ogni sei mesi od ogni tre mesi (trattamento di
dati sensibili o giudiziari) (5)
© R. Larese 2003-2004
Il sistema di autenticazione
Gestione della riservatezza
• L’incaricato deve assicurare la riservatezza delle parole
chiave (4)
• Gli incaricati devono ricevere istruzioni che indichino in
quale modo il computer non deve essere lasciato
incustodito durante le sessioni di lavoro (screen saver, logoff) (9)
• Devono essere individuati per iscritto soggetti incaricati e
modalità per l’accesso a dati o sistemi di elaborazione in
caso di assenza dell’interessato per esclusive necessità di
operatività o sicurezza del sistema (nomina del custode
delle parole chiave) (10)
© R. Larese 2003-2004
Il sistema di autenticazione
Cos’è cambiato dal DPR 318/99?
• Eliminata la classificazione dei sistemi di elaborazione: il
sistema di autenticazione deve essere sempre utilizzato in
modo integrale
• Rinforzata la definizione delle parole chiave
• Le parole chiave non devono essere conosciute nemmeno
dal custode
• Responsabilizzazione maggiore degli incaricati
© R. Larese 2003-2004
Il sistema di autenticazione
Sistema di autorizzazione (12-14)
• Profilo di autorizzazione: l’insieme delle informazioni,
univocamente associate ad una persona, che consente di
individuare a quali dati essa può accedere, nonché i
trattamenti ad essa consentiti
• Sistema di autorizzazione: l’insieme degli strumenti e
delle procedure che abilitano l’accesso ai dati ed alle
modalità di trattamento degli stessi, in funzione del profilo di
autorizzazione del richiedente
© R. Larese 2003-2004
Il sistema di autorizzazione
Il sistema di autorizzazione
• E’ una necessità organizzativa, in quanto regola l’accesso
alle informazioni in base ad un corretto criterio di necessità
delle stesse per svolgere le diverse attività lavorative
• Riguarda, ad esempio:
– Utilizzo di applicazioni o funzioni applicative
– Accesso alle informazioni mediante applicazioni, definendone le
modalità (lettura o scrittura)
– Accesso diretto alle informazioni (database)
– Accesso agli archivi (documenti, posta elettronica, ecc.)
© R. Larese 2003-2004
Il sistema di autorizzazione
I profili di autorizzazione
• Devono essere definiti precedentemente all’inizio del
trattamento (13)
• Devono essere verificati almeno annualmente (14)
• Possono essere definiti per singolo incaricato o per classi
omogenee di incaricati (ad es. uffici o reparti) (13)
• Devono essere completi considerando quindi programmi,
funzioni, archivi (12)
© R. Larese 2003-2004
Il sistema di autorizzazione
Definizione dei profili
• E’ indispensabile definire il livello di dettaglio dei profili:
– Un dettaglio insufficiente non consente selettività nell’accesso ai
dati
– Un dettaglio eccessivo genera un sistema complesso e difficilmente
gestibile
• E’ indispensabile la collaborazione dei responsabili
funzionali e del settore HR
• E’ indispensabile un frequente aggiornamento (nuovi
incaricati, cambiamenti di mansioni, ecc.)
• E’ consigliabile disporre di uno strumento informatico per la
gestione dei profili
© R. Larese 2003-2004
Il sistema di autorizzazione
Cos’è cambiato dal DPR 318/99?
• Nel DPR/318 non era prevista la definizione dei profili di
autorizzazione se non, parzialmente, per gli incaricati che
eseguissero trattamenti di dati sensibili o giudiziari
mediante sistemi informatici
© R. Larese 2003-2004
Il sistema di autorizzazione
Individuazione degli ambiti di trattamento
(15)
• Ambiti di trattamento dei dati personali:
– Finalità
– Modalità
– Ambiti di comunicazione o diffusione
• Devono essere definiti ed aggiornati almeno annualmente
• Devono essere documentati in forma scritta
• Possono essere definiti per incaricato o per classi
omogenee (ad es. uffici o reparti)
© R. Larese 2003-2004
Gli ambiti di trattamento
Cos’è cambiato dal DPR 318/99?
• Gli ambiti possono essere definiti per classi omogenee di
incaricati
© R. Larese 2003-2004
Gli ambiti di trattamento
Protezione antivirus (16)
• Tutti i sistemi di elaborazione (server, client) devono essere
protetti dal rischio costituito da virus informatici e simili
• La protezione deve essere attiva anche per i sistemi non
connessi in rete o che non accedono a internet
• Gli utenti non devono poter disattivare l’antivirus
• L’aggiornamento deve essere obbligatoriamente almeno
semestrale, ma è necessario – per la sicurezza del
sistema informatico aziendale – che sia quotidiano o al
massimo settimanale!
• Nulla è cambiato rispetto al DPR/318
© R. Larese 2003-2004
Protezione antivirus
Aggiornamenti dei programmi (17)
• Aggiornamenti di programmi per elaboratore volti a:
– Prevenire la vulnerabilità si strumenti elettronici
– Correggere difetti
• Devono essere eseguiti con cadenza almeno annuale
• In caso di trattamento di dati sensibili o giudiziari con
cadenza almeno semestrale
© R. Larese 2003-2004
L’aggiornamento dei programmi per elaboratore
Aggiornamenti: i problemi
• Quali programmi?
– Sistema operativo
– Programmi applicativi
– Programmi per il trattamento dei dati personali
• Quali aggiornamenti?
– Service pack
– Nuove versioni a pagamento
• In alcune condizioni un aggiornamento può non essere
possibile, può non essere consigliabile, può essere molto
costoso (ad es. può richiedere implementazioni
dell’hardware)
© R. Larese 2003-2004
L’aggiornamento dei programmi per elaboratore
Cos’è cambiato dal DPR 318/99?
• La misura minima di sicurezza non era prevista nel
DPR/318
© R. Larese 2003-2004
L’aggiornamento dei programmi per elaboratore
Salvataggio dei dati (18)
• E’ obbligatorio il salvataggio dei dati personali (backup)
• La frequenza di salvataggio deve essere almeno
settimanale, ma è opportuno che sia quotidiana
• Devono essere protetti tutti i dati:
–
–
–
–
Sistemi gestionali o ERP
Documenti degli utenti
Posta elettronica
…
• Devono essere impartite istruzioni (scritte) di carattere
tecnico ed organizzativo per definirne le modalità di
esecuzione
© R. Larese 2003-2004
Il salvataggio dei dati
Istruzioni tecniche (18)
•
•
•
•
Individuazione dei dispositivi
Individuazione degli archivi
Definizione delle frequenze
Definizione delle modalità (backup completo, incrementale,
differenziale)
• Definizione dei criteri di rotazione dei dispositivi
• Definizione dei criteri di archiviazione dei dispositivi
• Definizione delle procedure di controllo
© R. Larese 2003-2004
Il salvataggio dei dati
Istruzioni organizzative (18)
• Definizione delle responsabilità
• Definizione delle procedure in caso di incidente
• Definizione delle modalità di aggiornamento delle
procedure
© R. Larese 2003-2004
Il salvataggio dei dati
Cos’è cambiato dal DPR 318/99?
• La misura di sicurezza non era regolamentata nel DPR/318
ma esisteva l’obbligo di descrivere le modalità di
salvataggio nel Documento Programmatico per i titolari che
erano soggetti alla relativa stesura
© R. Larese 2003-2004
Il salvataggio dei dati
Misure Minime di Sicurezza
per trattamenti riguardanti dati
personali di tipo sensibile o giudiziario
eseguiti
mediante strumenti elettronici
© R. Larese 2003-2004
Dati sensibili o giudiziari (art. 4 lett. d ed e)
• Dati sensibili sono i dati personali idonei a rivelare:
–
–
–
–
L’origine razziale od etnica;
Le convinzioni religiose, filosofiche o di altro genere;
Le opinioni politiche;
L’adesione a partiti, sindacati, associazioni od organizzazioni a
carattere religioso, filosofico, politico o sindacale
– Lo stato di salute
– La vita sessuale
• Dati giudiziari:
– Provvedimenti di cui all’art.3 comma 1 lett. Da a) a o) ed r) del
d.P.R. 14 nov 2002 n. 313
– La qualità di imputato o indagato
© R. Larese 2003-2004
Dati personali di tipo sensibile o giudiziario
Il Documento Programmatico (19)
• Descrive in maniera completa tutte le misure di sicurezza
poste in essere nel caso di trattamento di dati personali
sensibili o giudiziari
• Deve essere redatto ed aggiornato annualmente entro il 31
marzo di ogni anno (19)
• Se è richiesta la relazione accompagnatoria del bilancio
di esercizio, deve esserne riferito dell’avvenuta redazione
od aggiornamento (26)
• Non deve essere inviato al Garante, ma deve essere
trattenuto presso il titolare del trattamento
• Non è richiesto che abbia data certa
© R. Larese 2003-2004
Il Documento Programmatico sulla Sicurezza
Il Documento Programmatico
• La redazione del Documento Programmatico è
obbligatoria solamente nel caso di trattamento di dati
sensibili o giudiziari mediante sistemi informatici, ma è
consigliabile in ogni caso in quanto:
– Documenta l’applicazione delle misure minime di sicurezza
– Fornisce una “check-list” per tutte le misure di sicurezza in essere
– Permette la verifica periodica delle procedure di sicurezza
© R. Larese 2003-2004
Il Documento Programmatico
Significato del Documento Programmatico
• Per tutte le organizzazioni che, in base al Testo Unico, non
sono più soggette alla Notifica dei trattamenti al Garante, il
Documento Programmatico diviene il più importante
documento che descrive le modalità dei trattamenti dei dati
personali.
• Per questo motivo è opportuno che sia completo, chiaro e
costantemente aggiornato
© R. Larese 2003-2004
Il Documento Programmatico
Contenuti del Documento Programmatico
•
•
•
•
•
•
•
•
L’elenco dei trattamenti dei dati personali (19.1)
La distribuzione dei compiti e delle responsabilità (19.2)
L’analisi dei rischi che incombono sui dati (19.3)
Le misure da adottare per garantire l’integrità e la disponibilità dei
dati e la protezione delle aree e dei locali rilevanti ai fini della loro
custodia ed accessibilità (19.4)
La descrizione dei criteri e delle modalità per il ripristino della
disponibilità dei dati (19.5)
La previsione degli interventi formativi (19.6)
La descrizione dei criteri da adottare per garantire l’adozione delle
misure minime di sicurezza dei dati affidati all’esterno della struttura
del titolare (19.7)
I criteri di cifratura o separazione dei dati sensibili o giudiziari (19.8)
© R. Larese 2003-2004
Il Documento Programmatico
L’elenco dei trattamenti (19.1)
• Database
• Modalità di trattamento
– Applicazioni
– Archivi
• Finalità di trattamento
• Ambiti di comunicazione
• Profili di autorizzazione degli incaricati
© R. Larese 2003-2004
Il Documento Programmatico
Distribuzione di compiti e responsabilità
(19.2)
•
•
•
•
•
•
•
Gestione sistema di autenticazione
Gestione sistema di autorizzazione
Gestione del sistema antivirus
Gestione del sistema anti-intrusione
Gestione del sistema di backup/restore
Aggiornamento del Documento Programmatico
Possibili allegati:
– Istruzioni agli incaricati;
– Nomine di responsabili e custodi delle parole chiave
– Modalità di accesso ai sistemi in assenza dell’incaricato
© R. Larese 2003-2004
Il Documento Programmatico
Analisi dei rischi (19.3)
• Elenco dei rischi individuati e delle possibili conseguenze
in termini di:
– Distruzione o perdita dei dati
– Accesso non autorizzato alle informazioni o esecuzione di
trattamenti non autorizzati
– Indisponibilità dei sistemi
– Presenza di informazioni errate
• Elenco delle contromisure che, per ogni rischio individuato
sono poste in essere come misura di protezione, tenendo
conto che le misure possono essere graduate per classi di
dati, e che la medesima misura può avere effetto su rischi
diversi.
© R. Larese 2003-2004
Il Documento Programmatico
Criteri per garantire integrità e disponibilità
(19.4)
•
•
•
•
•
•
•
Sistema di autenticazione ed autorizzazione
Sistema antivirus
Sistema anti-intrusione informatica
Procedure di sviluppo e avviamento di nuove applicazioni
Gestione degli aggiornamenti dei programmi
Organizzazione degli archivi degli utenti
Protezione delle aree e dei locali (generali o specifici ai
locali informatici)
– Sistemi anti-intrusione
– Vigilanza e controllo accessi
– Sistemi anti-incendio
© R. Larese 2003-2004
Il Documento Programmatico
Criteri e modalità per il ripristino dei dati
(19.5)
• Sistema di backup
–
–
–
–
–
–
–
Dispositivi
Archivi protetti
Modalità di esecuzione
Frequenza
Criteri di rotazione e archiviazione
Modalità di verifica
Strumenti di segnalazione di eventuali errori
• Sistemi per assicurare la continuità di alimentazione
• Sistemi ridondanti o ad alta affidabilità
– RAID / Cluster / SAN …
• Disaster recovery
© R. Larese 2003-2004
Il Documento Programmatico
Interventi formativi (19.6)
• Riguardano:
– Conoscenza dei rischi
– Conoscenza delle misure di sicurezza e dei comportamenti da
adottare
– Responsabilità
• Devono essere erogati:
– Al momento dell’ingresso in servizio
– In occasione di cambio di mansioni
– In occasione dell’introduzione di nuovi strumenti
• E’ opportuno che siano documentati
© R. Larese 2003-2004
Il Documento Programmatico
Criteri per i trattamenti all’esterno (19.7)
• Documento di specifica di finalità, modalità, ed ambiti di
comunicazione autorizzati per il trattamento
• Dichiarazione dell’ente esterno a cui vengono affidati i dati
di adozione delle misure di sicurezza
• Copia del Documento Programmatico del soggetto esterno,
se dovuto o comunque disponibile
• Piani di controllo, se disponibili
© R. Larese 2003-2004
Il Documento Programmatico
Cifratura o separazione dei dati sensibili
(19.8)
• Cifratura: i dati sono archiviati utilizzando criteri di
criptazione che ne rendono impossibile la lettura ai soggetti
non autorizzati
– Tecnicamente complesso
– Normalmente non necessario
• Separazione: i dati sensibili o giudiziari sono memorizzati
unicamente in archivi a cui – utilizzando i profili di
autorizzazione – possono avere accesso solo i soggetti
abilitati
– Applicazioni dotate di parola chiave
– Archivi ad accesso limitato
© R. Larese 2003-2004
Il Documento Programmatico
Ulteriori misure nel caso di trattamenti
di dati sensibili o giudiziari
© R. Larese 2003-2004
Protezione anti-intrusione (20)
• I sistemi di elaborazione devono essere protetti contro il
rischio di intrusione mediante firewall
• Un firewall controlla il traffico da e verso l’esterno della rete,
in particolare con internet, bloccando quello indesiderato e
potenzialmente pericoloso
• Possono essere utilizzati
– Firewall software
– Firewall hardware
• E’ necessario un costante aggiornamento del firewall, che
in caso contrario diventa velocemente vulnerabile
• In aggiunta al firewall, può essere opportuno utilizzare un
IDS (Intrusion Detection System)
© R. Larese 2003-2004
Ulteriori misure per il trattamento di dati sensibili o giudiziari
Supporti removibili (21-22)
• Devono essere impartite istruzioni organizzative e tecniche
per regolare (21):
– Le modalità d’uso
– Le modalità di custodia
• Quando non più utilizzati devono essere (22):
– Distrutti o resi inutilizzabili
oppure
– Resi non intelleggibili e in alcun modo ricostruibili
© R. Larese 2003-2004
Ulteriori misure per il trattamento di dati sensibili o giudiziari
Sistema di “Disaster recovery” (23)
• Deve essere garantito l’accesso ai dati in caso di incidente
(danneggiamento dei dati o degli strumenti) in tempi certi e
comunque non superiori a sette giorni
© R. Larese 2003-2004
Ulteriori misure per il trattamento di dati sensibili o giudiziari
Misure di tutela e garanzia
© R. Larese 2003-2004
Dichiarazione di conformità (25)
• Il titolare che adotta misure minime di sicurezza
avvalendosi di soggetti esterni alla propria struttura per
provvedere alla esecuzione riceve dall’installatore una
descrizione scritta dell’intervento che ne attesta la
conformità alle disposizioni del Disciplinare Tecnico
• Riguarda, ad esempio:
–
–
–
–
Installazione della rete locale
Installazione del sistema antivirus
Installazione del firewall
Installazione di software per il trattamento di dati sensibili o giusiziari
(paghe e stipendi)
© R. Larese 2003-2004
Misure di tutela e garanzia
Relazione di bilancio (26)
• Il titolare riferisce, nella relazione accompagnatoria del
bilancio di esercizio, se dovuta, dell’avvenuta redazione
o aggiornamento del documento programmatico sulla
sicurezza
© R. Larese 2003-2004
Misure di tutela e garanzia
Trattamenti senza l’ausilio di strumenti
elettronici
© R. Larese 2003-2004
Istruzioni agli incaricati (27)
• Modalità di controllo e custodia di atti e documenti
• La lista degli incaricati può essere redatta per classi
omogenee di incarico e dei relativi profili di autorizzazione
© R. Larese 2003-2004
Trattamenti senza l’ausilio di strumenti elettronici
Custodia (dati sensibili o giudiziari) (28)
• Custoditi dagli incaricati fino alla conclusione dei
trattamenti, assicurando che non vi sia accesso da parte di
soggetti non autorizzati
• Consegnati a conclusione dei trattamenti
© R. Larese 2003-2004
Trattamenti senza l’ausilio di strumenti elettronici
Archiviazione (dati sensibili o giudiziari) (29)
• Accessi controllati agli archivi
• Identificazione e registrazione degli accessi fuori
dall’orario di chiusura
• Autorizzazione agli incaricati, in caso di accesso controllato
mediante strumenti elettronici
© R. Larese 2003-2004
Il Documento Programmatico
Le Misure Minime di Sicurezza
secondo il Testo Unico sulla Privacy
Domande e risposte
Dr. Riccardo Larese Gortigo
Consulente - Ass. Industriali di Vicenza
© R. Larese 2003-2004
Allegato – Scadenzario obblighi
Misura
Scadenza/periodicità
Tipologia dati
Disattivazione
credenziali
Entro sei mesi dal mancato
utilizzo
Tutti
Disattivazione
credenziali
Subito, in caso di perdita della
qualità
Tutti
Sostituzione autonoma
parola chiave
Ogni sei mesi
Ogni tre mesi
Comuni
Sensibili o giud.
Verifica profili
Ogni anno
Tutti
Redazione lista
incaricati
Ogni anno
Tutti
Aggiornamento
antivirus
Ogni sei mesi ( consigliabile
max. ogni settimana)
Tutti
© R. Larese 2003-2004
Allegato – Scadenzario obblighi
Misura
Scadenza/periodicità
Tipologia dati
Aggiornamento
programmi
Annualmente
Ogni sei mesi
Comuni
Sensibili giud.
Backup
Settimanalmente (consigliabile
ogni giorno)
Tutti
Aggiornamento DPS
Ogni anno entro il 31 marzo
Sensibili o
giudiziari
© R. Larese 2003-2004