| |
PRIVACY:
LE NUOVE MISURE MINIME
Firewall, autenticazione degli incaricati
e rigore nelle password, le novità più
importanti per le misure minime di sicurezza
In relazione alla tutela dei dati personali, il nuovo
codice emanato nel luglio 2003 ha previsto nuove misure
minime di sicurezza che dovranno essere adottate entro
il 30 giugno 2004. In realtà il Codice sulla
privacy rinvia ad un allegato tecnico ove vengono
indicate in maniera analitica tutte le misure minime
di sicurezza.
Incaricati
del trattamento ed Autenticazione
In primo luogo si ricorda che il titolare del trattamento
(o il responsabile, se nominato) devono incaricare
per iscritto coloro che provvedono materialmente al
trattamento dei dati, impartendo precise istruzioni
sulle cautele da adottare per assicurare la segretezza
della componente riservata della credenziale (ossia
la password) e la diligente custodia dei dispositivi
in possesso ed uso esclusivo dell’incaricato;
nell’ambito delle istruzioni deve inoltre essere
evidenziato di non lasciare incustodito e accessibile
lo strumento elettronico durante una sessione di lavoro.
La normativa stabilisce espressamente che l’incaricato
debba essere identificato da un codice a cui deve
essere associata una parola chiave riservata, conosciuta
solamente dal medesimo. L’autenticazione può
anche avvenire mediante un dispositivo di autenticazione
in possesso e ad uso esclusivo dell’incaricato,
eventualmente associato a un codice identificativo
o a una parola chiave, o, ancora, consistere in una
caratteristica biometrica dell’incaricato, eventualmente
associata a un codice identificativo o a una parola
chiave.
La parola chiave deve essere di almeno otto caratteri,
nel caso in cui lo strumento elettronico non permetta
tale lunghezza, da un numero di caratteri pari al
massimo consentito; non deve contenere
riferimenti agevolmente riconducibili all’incaricato
e deve essere modificata da quest’ultimo al
primo utilizzo e, successivamente, almeno ogni sei
mesi. In caso di trattamento di dati sensibili e di
dati giudiziari la parola chiave è modificata
almeno ogni tre mesi.
Fra le istruzioni da impartire agli incaricati, notevole
rilevanza assumono quelle volte a individuare le modalità
con le quali il titolare può assicurare la
disponibilità di dati o strumenti elettronici
in caso di prolungata assenza o impedimento dell’incaricato,
nel caso in cui si renda indispensabile intervenire
per esclusive necessità di operatività
e di sicurezza del sistema. In tal caso la custodia
delle copie delle credenziali è organizzata
garantendo la relativa segretezza e individuando preventivamente
per iscritto i soggetti incaricati della loro custodia,
i quali devono informare tempestivamente l’incaricato
dell’intervento effettuato.
Le disposizioni appena citate non si applicano ai
dati per i quali è stata ottenuta, dall’interessato,
autorizzazione alla diffusione.
Documento
programmatico sulla sicurezza
Anche la redazione del “documento programmatico
sulla sicurezza” viene nuovamente indicato come
obbligatorio per i titolari di trattamenti di dati
sensibili o di dati giudiziari. Il documento dovrà
contenere:
- l’elenco dei trattamenti di dati personali;
- la distribuzione dei compiti e delle responsabilità
nell’ambito delle strutture preposte al trattamento
dei dati;
- l’analisi dei rischi che incombono sui dati;
- le misure da adottare per garantire l’integrità
e la disponibilità dei dati, nonché
la protezione delle aree e dei locali, rilevanti ai
fini della loro custodia e accessibilità;
- la descrizione dei criteri e delle modalità
per il ripristino della disponibilità dei dati
in seguito a distruzione o danneggiamento;
- la previsione di interventi formativi degli incaricati
del trattamento, per renderli edotti dei rischi che
incombono sui dati, delle misure disponibili per prevenire
eventi dannosi, dei profili della disciplina sulla
protezione dei dati personali più rilevanti
in rapporto alle relative attività, delle responsabilità
che ne derivano e delle modalità per aggiornarsi
sulle misure minime adottate dal titolare. Si rileva
come la formazione debba essere programmata già
al momento dell’ingresso in servizio, nonché
in occasione di cambiamenti di mansioni, o di introduzione
di nuovi significativi strumenti, rilevanti rispetto
al trattamento di dati personali;
- la descrizione dei criteri da adottare per garantire
l’adozione delle misure minime di sicurezza
in caso di trattamenti di dati personali affidati,
in conformità al codice sulla privacy, all’esterno
della struttura del titolare;
- per i dati personali idonei a rivelare lo stato
di salute e la vita sessuale, l’individuazione
dei criteri da adottare per la cifratura o per la
separazione di tali dati dagli altri dati personali
dell’interessato.
Ulteriore novità per il titolare
del trattamento di dati personali, consiste nell’obbligo
di riferire, nella relazione accompagnatoria del bilancio
d’esercizio, dell’avvenuta redazione o
aggiornamento del documento programmatico sulla sicurezza.
Altre
misure di sicurezza
Come nella precedente edizione delle “misure
minime di sicurezza”, la nuova normativa prevede
l’obbligo di adozione di programmi antivirus
da aggiornare almeno ogni 6 mesi. La novità
consiste nell’obbligo di adottare programmi
che prevengano la vulnerabilità di strumenti
elettronici e per correggerne difetti. L’aggiornamento
di tali programmi deve essere effettuata almeno annualmente,
in caso di trattamento di dati sensibili o giudiziari
l’aggiornamento deve essere –almeno- semestrale.
E’ inoltre imposto il salvataggio dei dati almeno
settimanale, mediante procedure oggetto di specifiche
istruzioni. Chi tratta dati sensibili o giudiziari,
deve, inoltre, prevedere “idonei strumenti elettronici”
per prevenire accessi abusivi.
In riferimento al trattamento di dati personali senza
l’ausilio di strumenti elettronici, si evidenzia
la necessità di nominare per iscritto gli incaricati
del trattamento e di impartire istruzioni scritte
finalizzate al controllo ed alla custodia, per l’intero
ciclo necessario allo svolgimento delle operazioni
di trattamento, degli atti e dei documenti contenenti
dati personali. Quando gli atti e i documenti contenenti
dati personali sensibili o giudiziari sono affidati
agli incaricati del trattamento per lo svolgimento
dei relativi compiti, i medesimi atti e documenti
devono essere controllati e custoditi dagli incaricati
fino alla restituzione, in maniera che ad essi non
accedano persone prive di autorizzazione, e devono
essere restituiti al termine delle operazioni affidate
|
|
