RELAZIONE SERATA DI STUDIO 04/12/2000

ASSOCIAZIONE DOTTORI COMMERCIALISTI EMPOLESE VALDELSA

GLI ADEMPIMENTI PRIVACY RELATIVI ALLE MISURE DI SICUREZZA

RIFERIMENTI NORMATIVI

*   L. 675/96

*   L. 676/96

*   DLVO 123/97

*   DL.VO 255/97

*   DL.VO 135/98

*   DL.VO 171/98

*   DL.VO 389/98

*   DL.VO 135/99

*   DL.VO 281/99

*   DL.VO 282/99

*   DPR 318 del 28 LUGLIO 1999

*   RELAZIONE GARANTE DEL 29-2-2000

*   DISPOSIZIONI INERENTI ALL’ADOZIONE DELLE MISURE DI SICUREZZA MINIME DEL 10-10-2000 CONVERTITO IN LEGGE 325/2000

 

OGGETTO DELLA NORMA

Le citate disposizioni intendono integrare e regolare quanto previsto all’articolo 15 della L. 675/96 in tema di misure minime di sicurezza. La stessa norma prevedeva che entro 180 giorni dalla data di entrata in vigore della Legge fossero emanate dall’Autorità Garante le misure di sicurezza per ridurre al minimo i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alla finalità della raccolta. La norma prevede poi che tali misure dovranno essere adeguate entro 2 anni dalla data in vigore della legge e successivamente con cadenza biennale, mediante l’emanazione di appositi regolamenti in relazione all’evoluzione tecnica del settore ed all’esperienza maturata.

Le misure di sicurezza degli organismi che trattano dati coperti dal segreto di Stato dovranno essere stabilite con decreto del Presidente del Consiglio dei ministri con l’osservanza delle norme che regolano la materia.

Successivamente con un DPR 318/99 è stato emanato il citato regolamento che ha gettato le basi per una più articolata disciplina della sicurezza specie nell’informatica e nella telematica, la cui importanza emerge anche dalla circostanza che le disposizioni dell’articolo 15 si applicano anche ai trattamenti pubblici in materia di polizia, giustizia, difesa e sicurezza dello Stato, ai quali la legge 675/96 si applica solo in parte (vedi art. 4).

Inoltre un richiamo all’art. 15 è contenuto nell’art. 17, comma 4, del Dl.vo 135/99 recante Disposizioni integrative della legge 31 dicembre 1996, n. 675, sul trattamento dei dati sensibili da parte dei soggetti pubblici, in effetti anche qui si parla di "misure minime" di sicurezza per il trattamento.

Sulla base delle esigenze manifestate, il Governo ha ritenuto necessario individuare categorie omogenee di modalità di trattamento dei dati, al fine di correlare la soglia minima di sicurezza da un lato alla tipologia dei dati e, dall’altro allo strumento tecnico utilizzato per l’elaborazione. Inoltre è stato necessario distinguere tra dati "comuni" e "dati sensibili" dovendo considerare la diversa valenza di questi ultimi nel quadro di una differente intensità del grado di tutela per essi previsto.

Una prima grande distinzione operata dal regolamento ha avuto riguardo alle modalità delle operazioni svolte per effettuare il trattamento:

*   da una parte quelle effettuate in sostanza con l’ausilio di supporti cartacei;

*   dall’altra quelle poste in essere anche in parte mediante strumenti elettronici o comunque automatizzati ulteriormente suddivisa in

1.     trattamenti mediante elaboratori NON accessibili da altri elaboratori o terminali (art. 2 dpr 318/99)

2.     trattamenti mediante elaboratori accessibili in rete (art. 3 e 7 dpr 318/99) tra cui:

*   elaboratori accessibili da altri elaboratori solo attraverso reti non disponibili al pubblico (art 3, comma 1, lett. a)

*   elaboratori accessibili mediante una rete di telecomunicazioni disponibili al pubblico (art. comma 1, lett. b)

1.     trattamenti di dati personali effettuati per fini esclusivamente personali (art. 3 L 675/96) mediante elaboratori stabilmente accessibili da altri elaboratori.

Si rileva che poiché la logica del provvedimento è quella di proteggere i dati personali, piuttosto che i sistemi o le trasmissioni, il livello di sicurezza si modifica in relazione alla presenza o meno di alcuni dati a più alto rischio, ed anzi in caso di contemporanea presenza di dati "ordinari" e di dati "sensibili" dovranno essere generalmente adottate le misure previste per la categoria più elevata.

In termini di misure di sicurezza il regolamento prevede:

*   misure minime ovvero un complesso di misure tecniche, informatiche, organizzative, logistiche e procedurali di sicurezza che configurano il livello minimo di protezione richiesto in relazione ai rischi a cui fa riferimento l’art. 15 comma 1 tra cui:

*   identificazione utente

*   autorizzazione agli accessi a funzioni, servizi, locali e dati

*   registrazione degli ingressi

*   limiti al riutilizzo di supporti

*   strumenti ovvero i mezzi elettronici ed automatizzati con cui si effettua il trattamento

*   amministratori di sistema ovvero soggetti con il compito di sovraintendere alle risorse del sistema operativo di un elaboratore.

In termini di sanzionabilità penale dei comportamenti omissivi, si rileva che il Governo ha previsto la sua applicazione soltanto ai trattamenti effettuati mediante elaboratori accessibili da altri elaboratori, escludendo così i computer stand alone, ovvero ad unica postazione per i quali unica misura di sicurezza è l’utilizzo di una password di accesso di bios.

Per quanto riguarda i trattamenti manuali (art. 9 e 10) questi sono svolti su supporti cartacei ed inseriti in archivi per i quali devono essere adottate le seguenti modalità:

*   la designazione per iscritto degli incaricati del trattamento che devono seguire specifiche istruzioni e che possono accedere ai soli dati necessari per eseguire i compiti assegnati

*   la conservazione in archivi ad accesso selezionato degli atti e dei documenti contenenti i dati

*   la chiusura e la consegna controllata dei documenti contenenti dati sensibili

*   il controllo, l’identificazione e la registrazione dei soggetti ammessi alla consultazione dopo l’orario di chiusura degli archivi.

DPSS E IL MANSIONARIO

Per un corretto adeguamento alle misure sopraindicate è necessario affiancare alla documentazione in termini di modulistica di informativa, consenso e nomina di incaricati e responsabili, almeno due documenti fondamentali che possano servire da guida sia agli incaricati che allo stesso titolare o responsabile.

Si tratta pertanto di predisporre:

*   Un mansionario per gli incaricati (utile soprattutto nei trattamenti manuali) nel quale siano indicate in modo dettagliato le istruzioni necessarie per l’esecuzione del trattamento e dei relativi adempimenti Privacy, specie sul fronte della sicurezza (art. 9 del Regolamento).

*   Un documento programmatico sulla sicurezza (DPSS) contenente la definizione dei criteri tecnici ed organizzativi adottati per la protezione ed il mantenimento dei dati sia in fase di elaborazione che di conservazione nel caso di utilizzo di strumentazione informatica e telematica (art. 6 del Regolamento). Al suo interno sulla base dell'analisi dei rischi e della distribuzione dei compiti nell'ambito delle strutture preposte al trattamento dei dati stessi vengono definiti:

a.     i criteri tecnici e organizzativi per la protezione delle aree e dei locali interessati dalle misure di sicurezza nonchè le procedure per controllare l'accesso delle persone autorizzate ai locali medesimi;

b) i criteri e le procedure per assicurare l'integrità dei dati;

c) i criteri e le procedure per la sicurezza delle trasmissioni dei dati, ivi compresi quelli per le restrizioni di accesso per via telematica;

d) l'elaborazione di un piano di formazione per rendere edotti gli incaricati del trattamento dei rischi individuati e dei modi per prevenire danni.

L'efficacia delle misure di sicurezza adottate ai sensi del comma 1 deve essere oggetto di controlli periodici, da eseguirsi con cadenza almeno annuale

 

Sarebbe inoltre consigliabile, dove non sia ancora stato effettuato, che venisse previsto un piano di formazione per rendere edotti sia i soggetti titolari o responsabili che gli incaricati del trattamento sui rischi di una cattiva gestione degli adempimenti privacy e sulle misure di sicurezza necessarie a fronteggiarli (art. 6 del Regolamento comma 2).

IL TERMINE ULTIMO PER PREDISPORRE LE MISURE ERA FISSATO A 6 MESI DALL’ENTRATA IN VIGORE DEL REGOLAMENTO (29-9-2000) E SCADEVA IL 29-3-2000

LE RECENTI DISPOSIZIONI

Premesso quanto sopra, il legislatore e l’Autorità Garante hanno dovuto fronteggiare gli estremi ritardi nell’adeguamento da parte di numerosi enti ed organi pubblici prevedendo una sorta di sanatoria.

In effetti, le misure di sicurezza ricordate possono essere adottate entro il 31-12-2000 dai soggetti che documentino per iscritto le particolare esigenze tecniche ed organizzative che rendono necessario avvalersi di un termine più ampio.

TALE DOCUMENTO

*   DEVE ESSERE REDATTO ENTRO 1 MESE DALLA DATA DI ENTRATA IN VIGORE DELLA LEGGE (9 NOVEMBRE) OVVERO ENTRO IL 9 DICEMBRE

*   DEVE RIPORTARE DATA CERTA (basta un timbro postale di raccomandata a/r in plico senza busta, infatti la Cassazione con sentenza del 1990 ha riconosciuto che il timbro postale sul foglio contenente le informazioni richieste può comprovare in modo sicuro l’anteriorità della formazione del documento)

*   DEVE CONTENERE UN’ESPOSIZIONE SINTETICA DELLE INFORMAZIONI DA CUI RISULTINO:

*   Gli accorgimenti da adottare o adottati e gli elementi che caratterizzano il programma di adeguamento e le sue fasi

*   Le linee guida previste (una specie di DPSS in sintesi)

*   DEVE ESSERE CONSERVATO PRESSO L’EMITTENTE e non spedito al Garante.

IN CASO DI VIOLAZIONE ALLE DISPOSIZIONI DELLA LEGGE NON SI APPLICA LA PROROGA.

SANZIONI PER MANCATO ADEGUAMENTO

*   AMMINISTRATIVE   inapplicabile l’oblazione???

*   PENALI        reclusione

*   nell’ipotesi colposa fino a 1 anno con pubblicazione della sentenza

*   nell’ipotesi dolosa fino a 2 anni con pubblicazione della sentenza

E’ inoltre previsto il risarcimento ai sensi dell’art. 2050 (responsabilità per l’esercizio di attività pericolosa)

OSSERVAZIONI

La precedente normativa non prevedeva una data certa che giustificasse il rispetto dei termini, per cui se il DPSS è stato fatto entro il 29-3-2000, può essere consigliabile di provvedere a datarlo, affinché non ne venga contestata la reale emissione entro la prima scadenza.

In ogni caso oltre alla predisposizione del documento la Legge parla di effettiva applicazione delle norme sulla sicurezza, per cui dovrebbero esistere fatture, ricevute o altri documenti comprovanti la reale effettuazione delle misure stesse. (es. acquisto antivirus, acquisto armadi ignifughi, casseforti, dispositivi di zippaggio per il backup, etc. anteriori al 29-3-00).

Se così non fosse, e se gli acquisti sono successivi alla data del 29-3-2000, nel caso di mancata applicazione delle misure potrebbe essere consigliabile usufruire della proroga, specie se è stato recato un danno a qualche interessato.

Infatti la redazione del documento di adeguamento sana qualsiasi irregolarità anche se la stessa è già stata oggetto di contestazione e di accertamento.

Dal momento che la Legge richiede di indicare nel documento di adeguamento:

1.     gli accorgimenti da adottare o già adottati e gli elementi che caratterizzano il programma di adeguamento e le singole fasi

2.     le linee guida previste per dare piena attuazione alla misure di sicurezza minime ed a quelle più ampie

Si ritiene che al documento dovrebbe essere allegata una sintesi del dpss, in quanto le linee guida del documento di adeguamento non sono altro che una sintesi del documento programmatico stesso. Per i soggetti che non trattano dati in forma elettronica, non è prevista la redazione del dpss, ma si ritiene sia sufficiente una piena applicazione delle misure minime, per cui sarà sufficiente indicare nel documento nella parte in cui si tratta degli accorgimenti e delle linee guida una frase del tipo "si ritiene che la corretta adozione delle misure minime di sicurezza sia sufficiente anche ai fini dell’adozione delle misure idonee di sicurezza, previste dall’art. 1 della 675/96".

Per quanto riguarda le particolari esigenze tecniche ed organizzative che hanno causato il bisogno di avvalersi della proroga si ritiene che non sia corretto limitarsi a generiche giustificazioni , ma sia opportuno fare riferimento a circostanze concrete che, in rapporto alle dimensioni del soggetto ed alle misure da adottare, hanno reso necessario un maggior periodo di tempo per procedere all’adeguamento.

Ad esempio potremo riferirci a ragioni di carattere economico, qualora le misure in corso di adozione abbiano comportato il sostenimento di spese rilevanti, che è stato necessario diluire nel corso del tempo; oppure potremo affidarci all’evoluzione della tecnica che aveva in programma a breve la realizzazione di misure di sicurezza molto più efficienti di quelle esistenti.

CONCLUSIONI

Una volta esaminata la questione possiamo trarre le seguenti considerazioni conclusive:

1.     la Legge sulla Privacy è relativamente poco considerata in quanto al momento non si sono verificati particolari accertamenti o controlli. In realtà la sanzionabilità dei comportamenti sembra più correlata ad un’effettiva denuncia da parte di un interessato danneggiato che ad un accertamento da parte dei funzionari dell’Autorità Garante.

2.     Le misure richieste sia in termini di adempimenti documentali che di applicazione effettiva delle misure di sicurezza richieste appaiono pesanti e potrebbero tendenzialmente essere trascurati. Tuttavia la Legge è severa in materia e prevede la sanzionabilità penale dei comportamenti omissivi.

3.     Il nostro sistema di trattamento dati sia privato che, e soprattutto, pubblico è in ritardo rispetto agli adeguamenti previsti, per cui l’Autorità Garante ha predisposto questa proroga nella quale ha però chiarito che non si tratta di una sanatoria vera e propria, per cui gli adeguamenti devono essere fatti CON URGENZA.

4.     La redazione del documento di adeguamento è importante per garantire il titolare del trattamento dalle denunce relative al periodo 20-3 31-12, e comunque oltre il 31-12 non sono previste ulteriori proroghe per i trattamenti già in essere prima di quella data. Unica soluzione potrebbe essere quella di redigere degli aggiornamenti dei dpss già prodotti nei termini per adeguarli alle nuove modalità di trattamento esistenti.

5.     La lettura della Legge potrebbe tuttavia erroneamente spaventare gli interessati, inducendoli ad individuare misure di sicurezza eccessivamente onerose ed inutili. A tale proposito, ricordo citando anche le parole del legislatore che le misure devono essere idonee ovvero proporzionate all’effettivo danno provocabile, per cui attenzione a non "adeguarvi troppo" con costi eccessivi.