Sicurezza nel nuovo Codice della Privacy

di Valentina Frediani (consulentelegaleinformatico.it) - Le misure minime imposte dal Codice parlano di autenticazione, password, elenco delle autorizzazioni e altro ancora. Garanzie per l'utente, oneri per le aziende

Sicurezza nel nuovo Codice della PrivacyRoma - Dal primo gennaio 2004 entrerà in vigore il nuovo Codice in materia di protezione dei dati personali. Il Codice si basa sul principio di necessità, secondo cui i sistemi informativi ed i programmi informatici dovranno essere configurati riducendo al minimo l'utilizzazione di dati personali e di dati identificativi al fine di escludere il trattamento quando le finalità perseguite potranno essere realizzate mediante dati anonimi o tecniche di identificazione del soggetto solo in caso di necessità.

Di rilevante interesse per coloro che trattano i dati mediante strumenti elettronici, appare il titolo V del Codice che disciplina la sicurezza dei dati e dei sistemi. In particolare, in relazione alle misure di sicurezza, il Codice stabilisce che i dati personali oggetto di trattamento debbono essere custoditi e controllati anche in relazione alle conoscenze acquisite in base al progresso tecnico nonché alla natura dei dati ed alle specifiche caratteristiche del trattamento al fine di ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita dei dati, di accesso non autorizzato o di trattamento non consentito o non conforme alla finalità della raccolta.

Vige pertanto un obbligo di adozione di misure minime di sicurezza.
Ma cosa si intende con tale espressione? È il Codice stesso che ci risponde, definendo misure minime quel complesso di misure tecniche, informatiche, organizzative, logistiche e procedurali di sicurezza che configurano il livello minimo di protezione normativamente richiesto rispetto ai rischi sopraelencati.

In pratica, il Codice identifica tali misure in un elenco preciso, secondo cui il trattamento dei dati personali effettuato con strumenti elettronici è subordinato all'adozione di specifiche misure.
Innanzi tutto occorre predisporre l'utilizzazione di un sistema di autenticazione informatica, ovvero il trattamento dei dati personali deve essere consentito solo agli incaricati muniti di credenziali di autenticazione, cioè di un codice per l'identificazione dell'incaricato associato ad una parola chiave riservata e conosciuta esclusivamente dall'incaricato stesso, sul quale grava l'obbligo di adozione delle cautele necessarie al fine di assicurare la segretezza della componente riservata della credenziale, nonché l'obbligo di custodire diligentemente i dispositivi in suo possesso ed uso esclusivo.

Peraltro, il legislatore stabilisce un minimo di otto caratteri per quanto riguarda la parola chiave (salvo il caso in cui lo strumento elettronico non lo consenta dovendo pertanto adottare una parola chiave composta secondo il numero massimo di caratteri consentiti); altra misura di sicurezza è identificata nell'obbligo di modifica della parola chiave almeno ogni sei mesi, salvo tre nei casi in cui il trattamento con strumenti elettronici abbia ad oggetto dati sensibili o giudiziari. Altro obbligo imposto sta nel fatto che le credenziali di autenticazione non utilizzate da almeno sei mesi debbono essere disattivate, derogando solo nell'ipotesi di un utilizzo meramente finalizzato alla gestione tecnica, per cui non è richiesta tale scadenza di modifica.

Il Codice disciplina peraltro l'utilizzazione di un sistema di autorizzazione, al quale si ricorre qualora per gli incaricati siano individuati profili di autorizzazione di ambito diverso. In tal caso i profili di autorizzazione per ciascun incaricato o per classi omogenee di incaricati, dovranno essere individuati e configurati anteriormente all'inizio del trattamento: questo al fine di limitare l'accesso ai soli dati effettivamente necessari alla realizzazione delle operazioni di trattamenti cui sono preposti gli incaricati; la verifica in relazione alle condizioni sussistenti la conservazione dei profili di autorizzazione deve avvenire almeno annualmente.

Centrale appare inoltre l'obbligo di redazione del documento programmatico (peraltro ereditato dal DPR 318/99) in quanto entro il 31 marzo di ogni anno, il titolare di un trattamento di dati personali effettuato con strumenti elettronici, e di dati sensibili o dati giudiziari sia in formato cartaceo che elettronico, deve redigere tale documento sulla sicurezza.

Nel disciplinare tecnico allegato al Codice, sono stabiliti i passaggi essenziali mediante cui stendere il documento.
Innanzi tutto occorre individuare l'elenco dei trattamenti di dati personali al quale deve affiancarsi l'elenco inerente alla distribuzione dei compiti e delle responsabilità nell'ambito delle strutture preposte al trattamento dati. Segue pertanto, coerentemente allo scopo del documento programmatico, l'analisi che il titolare del trattamento deve fare in relazione ai rischi che incombono sui dati, indicando conseguentemente anche le misure che sono adottate al fine di garantire l'integrità e la disponibilità dei dati, nonché la protezione delle aree e dei locali in relazione alla loro custodia ed accessibilità.
Vige l'obbligo di individuare anche le modalità che possono essere poste a favore del ripristino della disponibilità dei dati qualora si verifichino episodi di distruzione o danneggiamento (è il caso di ricordare che per il trattamento di dati sensibili o giudiziari occorre garantire il ripristino dell'accesso entro 7 giorni).
Infine, gli incaricati del trattamento debbono essere resi edotti dei rischi che incombono sui dati mediante interventi formativi. Qualora si verifichi l'ipotesi di trattamenti di dati personali affidati all'esterno della struttura, sul titolare grava l'obbligo di descrivere nel documento i criteri adottati per garantire la sussistenza delle misure minime di sicurezza per quei dati.

Possiamo dunque concludere che il nuovo Codice apporterà reali garanzie per la tutela dei dati personali, pur lasciando qualche perplessità in relazione agli oneri che molti titolari di trattamenti dati dovranno sostenere al fine di adempiere alle prescrizioni normative.

Dott.ssa Valentina Frediani
www.consulentelegaleinformatico.it


dello stesso autore:
Lo spamming, reato in Italia
Sempre più videosorvegliati
Le garanzie sui prodotti informatici
TAG: privacy
36 Commenti alla Notizia Sicurezza nel nuovo Codice della Privacy
Ordina
  • Se voglio informazioni su un soggetto gli intercetto semplicemente i dati trasmessi e ricevuti in Internet.
    Ora mi leggero' la legge completa, voglio vedere se hanno messo le modalita' di gettare documenti con contenuti sensibili. Dopo tutte queste imposizioni, alcune assurde alcune giuste, devono aver necessariamente regolato anche il metodo di distruzione documenti.
    Paranoie a parte, nella legge si richiede competenza e professionalita'. Il paradosso e' che la legge sembra scritta da incompetenti.
    O fa parte, come paiono le ultime leggi da un po' di tempo a questa parte, di un progetto che mira a togliere di mezzo le aziende piu' piccole ed economicamente meno dotate in favore delle grandi, obbligandole ad adeguarsi in tempi velocissimi a regole che comportano ingenti spese.
    non+autenticato
  • cioè tutti quelli che usano outlook express con una rubrica di email non potranno più collegarsi ad internet.
    (sarebbe anche una buona cosa)
    non+autenticato
  • mi sembra che le idee siano piuttosto confuse e pertanto, prima di tutto vi consiglio di fare un salto qui

    http://www.studiocelentano.it/codici/privacy/1.htm

    dove trovate il codice commentato e spiegato.

    le regole devono servire a garantire i diritti/doveri delle persone e in questo caso i diritti sono la tutela di informazioni (sensibili) che riguardano la persona; i doveri sono le misure minime che devono essere adottate da chi tratta quelle informazioni, per garantirne la riservatezza, disponibilita', integrita'.
    non+autenticato
  • ciccio
    se non argomenti la tua sembra solo pubblicita'
    non+autenticato
  • ciccio, guarda che qui nessuno è fesso: se vuoi farti pubblicità gratis, ci sono tanti altri modi per farlo, e soprattutto lo puoi fare senza coprirti di ridicolo.

    Le problematiche toccate nell'articolo riguardano per il 99% l'ALLEGATO B, il disciplinare tecnico: peccato che riguardo all'allegato B) tu non abbia fatto nemmeno un nemmeno un commento. E perchè ? Dimenticanza ? Ignoranza ? Quindi prima di farti portatore del Verbo, rileggiti meglio l'articolo, commenta l'allegato B) e poi ne riparliamo.

    Il fatto che in sede di prima applicazione di una legge ci siano dubbi interpretativi e punti di vista differenti, è ovvio e giusto, e nessuno ha il diritto di bollare come poco preparati o "con poca chiarezza" i partecipanti a questa discussione. Per cortesia cerchiamo di non far ridere i polli, che accà nisciuno è fesso.
    Un cordiale saluto.
    non+autenticato
  • cosa sarebbe coda di paglia la tua risposta ???

    non ho niente a che vedere con il link che ho scritto e il motivo per cui l'ho segnalato, e' perche' mi sembrava che in diversi thread che si facesse confusione sulle tematiche di discussione e pertanto, ho ritenuto opportuno segnalare questo link !

    se ne hai di meglio fatti sotto, segnalali e potranno contribuire alla discussione !

    se stai cercando di fare censura alle opinioni, visto che oggi va molto di moda in italia ad iniziare dai nostri politici/tv pubblica direi di farti indietro e di andare in mozambico (con tutto il rispetto) !
    non+autenticato
  • Come ti ho già detto, il fatto che ci sia una certa confusione alla vigilia dell'andata in onda di una nuova legge è una cosa assolutamente ovvia e comprensibile.

    Nessun problema a segnalare link, basta però che i link siano in tema: se l'articolo verte tutto sull'allegato B), mi spieghi che senso ha segnalare un sito che non fornisce nessun commento all'allegato B) ? Ce lo puoi spiegare, per cortesia ?

    Se poi l'hai fatto in buona fede e non sai che cosa rispondere, questo scambio di opinioni non è stato vano: almeno è servito a evidenziare che il sito segnalato non c'entra un piffero con il tema dell'articolo.

    Stammi bene
    non+autenticato
  • evidentemente quello confuso sei proprio tu, in quanto l'articolo fa riferimento a (proprio vicino a dove ci sono i forum):

    Titolo V: SICUREZZA DEI DATI E DEI SISTEMI
    CAPO I: MISURE DI SICUREZZA

    da art. 31 a 36 compresi

    e il link era diretto a questa parte di articolo ben commentato come vedi !

    poi ad articolo inoltrato si cita anche il "disciplinare tecnico allegato".

    e con questo direi che da parte mia, il thread e' consluso

    ciao
    non+autenticato
  • ma qui siamo alla follia pura !! Ho cliccato sul commento realtivo all'articolo 32, e mi è apparsa una finestra alla fine della quale c'è un banner che mi ha portato a un sito di modelle e transessuali, con tanto di dialer allegato. Roba da denuncia e reclusione perpetua.
    Cose da pazzi ...
    non+autenticato
  • E come se non bastasse poi ti si riempie il video di banner pubblicitari !!!!!! Da ridere per non piangere
    non+autenticato
  • MI sa che chi è prevenuto con studiocelentano sei proprio tu, caro utente non registrato! ...l'hai letto almeno l'articolo di Iaselli? Hai visto che è effettivamente relativo alle misure di sicurezza o no? e adesso per favore l'intelligenza ti dovrebbe portare a chiedere scusa, senza andare in giro a guardare siti pornografici!Sorride
    A me sia quello della Frediani sia quello del Iaselli sembrano articoli scritti bene e ovviamente di prima lettura della normativa...nulla di più... poi criticare criticare urlare urlare fa ormai parte del costume della nostra società e forse aiuta a sentirsi più bravi...chissà...
    o sarà solo invidia?
    bye! Andrea
    non+autenticato
  • E chi ha mai detto che l'articolo della Frediani è scritto male ?
    Che cosa ti fa pensare che abbia detto o implicato qualcosa di simile ? Nelle mie osservazioni sono sempre stato molto preciso e circostanziato.

    Okkio a no fare di ogni erba un fascio.

    Buona serata
    non+autenticato
  • a me iaselli piace. seguo anche studiocelentano.it e per me il commento di iaselli è fatto bene. per chi non seguisse quegli aggiornamenti ricordo che che il commento al codice è diviso in parti (articoli). a fine anno dovrebbe esserci tutto: ed il giorno dopo entra in vigore il codice. premessa l'idoneità della,,, operazione, se mi è consentito, *commerciale*, non vedo che ca**o c'entrano i banner eros. intendo dire, onde evitare ogni dubbio, che cacchio c'entra ogni disquisizione IN MERITO alla opportunità, o meno, di promuovere banner che puntano a siti eros o dialer (per restare in tema, diceva brass,,, cosi fan tutti: msn, virgilio, yahoo, excite, altavista, supereva,,, ovvero un sito si discrimina da che banner espone? dai, non diciamo ca**ate anche in questa sede. c'è una discussione annosa e polemica in tema su questo forum dai tempi dei 709. ben vengano commenti in merito al codice della privacy, dunque ed agli scritti degli autori al commento. ma non continuiamo con la solita menata dei dialer. appare prima facie ben più promozionale la crociata anti dialer qui pubblicata che non i dialer stessi e tutte le povere vittime di bollette astronomiche iscritte al club mille seg*e. cà nisciun è fess. ed io manco.
    non+autenticato
  • E con i dati in locale come la mettiamo ?
    Un caso molto frequente è costituito da dati pesonali e/o sensibili memorizzati in locale, sull'hard disk di un singolo PC, che magari è stand-alone (non in rete).

    Se sul PC in questione gira Windows 95 o 98 (e ce ne sono ancora in giro a migliaia), il meccanismo di autenticazione è facilmente bypassabile, nel senso che posso accedere ai dati locali senza dover inserire una user-id (e tantomeno una password).

    Quindi strettamente parlando è possibile accedere ai dati senza doversi autenticare. Quindi strettamente parlando tale modalità di accesso è fuorilegge.

    Vorrei sapere dall'autrice dell'articolo se tale interpretazione è corretta o meno, ed eventualmente quali sono le opzioni percorribili, da un punto di vista tecnologico e/o organizzativo, per sanare la situazione.

    Grazie
    non+autenticato
  • direi che hai sostanzialmente ragione quando dici che l'uso di win95/98 e' illegale per la custodia di dati sensibili in locale, ma forse la custodia in locale (su una macchina client) non e' contemplata neppure per altri sistemi operativi.

    infatti, ad esempio, deve essere limitata anche la possibilita' di accedere fisicamente alla macchina che custodisce i dati.

    non+autenticato
  • non ho trovato nessun punto del D.Lgs. 196/2003 dove si faccia distinzione tra server e client, quindi direi che la memorizzazione in locale non risulta esclusa. Tanto più che la distinzione tra "locale" e "remoto", tra client e server è abbastanza labile e sfuggente. Ti faccio un esempio: inizialmente memorizzo dei dati personali sul mio hard disk, quindi i dati sono in locale. Poi però condivido la directory dove sono contenuti i dati personali con un mio collega: quello che per me è locale, per lui è remoto; quello che per me è su client, per lui risulta su "server" (si può sempre essere "server" di qualcuno).

    Per farla breve, posto che non ho trovato da nessuna parte il divieto di memorizzare i dati su client, mi chiedo quanto segue: se il PC client lo chiudo sotto chiave in una stanzetta, e con una policy di sicurezza dico che alla stanzetta e al PC ivi contenuto può accedere solo Valentina Frediani, a me sembra un accettabile livello di sicurezza, tuttavia applicando alla lettera la legge, non sono in regola. Quindi la mia domanda é: nello scenario che ho appena ipotizzato, sono in regola oppure no non con le prescrizioni del D.Lgs. 196/2003 ???

    Grazie in anticipo.

    non+autenticato
  • ovviamente quello che dici di locale e remoto e' vero ! forse mi sono espresso in modo troppo sintetico.

    quando parlo di server e di client intendo ad esempio la centralizzazione dei servizi oppure l'autonomia del personale nel gestire ad esempio il backup delle informazioni, la formazione degli operatori che devono trattare i dati sensibili (rispettando le misure minime), dove per misure minime del trattamento si intendono tutte le misure necessarie (organizzative, legali, tecnologiche).

    in un'architettura client/server si possono introdurre ad esempio:

    1) policy per la gestione degli utenti attraverso dei profili (autenticazione) che permettano la condivisione delle informazioni anche sensibili a incaricati (con lettera)
    2) centralizzazione del backup e verifica delle informazioni salvate da parte dell'amministratore di sistema (ad esempio)

    in ogni caso, tutte queste regole devono essere descritte e implementate nel DPS.
    non+autenticato
  • Ti ringrazio delle considerazioni di carattere generale. Tuttavia la mia domanda era (e rimane) molto specifica:

    se il PC client con su Windows 98 e la password del BIOS attivata lo chiudo sotto chiave in una stanzetta, e con una policy di sicurezza dico che alla stanzetta e al PC ivi contenuto può accedere solo Valentina Frediani, a me sembra un accettabile livello di sicurezza, tuttavia applicando alla lettera la legge, non sono in regola. Quindi la mia domanda é: nello scenario che ho appena ipotizzato, sono in regola oppure no non con le prescrizioni del D.Lgs. 196/2003 ???

    Sono in regola oppure no ?

    A domanda specifica, chi è in grado, please risposta specifica. Grazie anticipatamente
    non+autenticato
  • Per me la regola generale per verificare la validità è semplice, applicando tutte le misure di sicurezza che hai predisposto è possibile per qualcuno non autorizzato accedere ai dati in qualche modo, se la risposta è no sei a posto. Se esistono casistiche che ti portano a rispondere di no allora devi definirle ed implementare un ulteriore livello di sicurezza integrativo dei precedenti.


    ps. ma se il computer nella stanzetta è isolato dal resto del mondo di chi è client? se è in rete ha delle risorse condivise? Sono protette da un'accesso non autorizzato?
  • Manca l'educazione alla sicurezza!
    Manca personale preparato!
    Mancano soldi!
    Manca tempo!
    Manca voglia!
    Mancano aziende in grado di fornire consulenze a prezzi ragionevoli!
    Manca la sensibilità per capire la necessità di investimenti a lungo termine nel campo della produzione .... figuriamoci in quello della sicurezza dei dati!
    Mancano i controllori delle norme!
    Manca la capacità giudiziaria di infliggere sanzioni!
    Manca la capacità di fare leggi chiare e precise!
    Mancano la preparazione e l'intelligenza necessarie a capire come affrontare il problema tutela dei dati!
    Manca la volontà di affrontare realmente il problema!

    Il risultato sarà:
    soldi e tempo buttati, quasi nessun effetto pratico, molti faranno quello che vorranno, qualche sfortunato finirà (forse) sul banco degli imputati ..... in attesa di nuove norme più intelligenti e più applicabili ..... FORSE!!!!
    KCM
    201
  • Che manchino tante cose mi sembra fuori di dubbio. Che le misure di sicurezza prescritte siano poco intelligenti e poco applicabili, non ne sarei così sicuro.

    Tieni presente che i controlli sono e saranno sempre più capillari (aiutati dalla Guardia di Finanza e dall Polizia Postale) e approfonditi, e le sanzioni hanno cominciato a fioccare sia per il pubblico che per il privato, e vedrai che quando la gente viene toccata nel portafoglio o nella credibilità personale, magicamente come per incanto tante cose cominceranno ad essere a disposizione: budget, persone, progetti, interesse aziendale, corsi di formazione. Magicamente, come per incanto.
    non+autenticato

  • - Scritto da: Anonimo
    > Che manchino tante cose mi sembra fuori di
    > dubbio. Che le misure di sicurezza
    > prescritte siano poco intelligenti e poco
    > applicabili, non ne sarei così sicuro.
    >
    > Tieni presente che i controlli sono e
    > saranno sempre più capillari (aiutati dalla
    > Guardia di Finanza e dall Polizia Postale) e
    > approfonditi, e le sanzioni hanno cominciato
    > a fioccare sia per il pubblico che per il
    > privato, e vedrai che quando la gente viene
    > toccata nel portafoglio o nella credibilità
    > personale, magicamente come per incanto
    > tante cose cominceranno ad essere a
    > disposizione: budget, persone, progetti,
    > interesse aziendale, corsi di formazione.
    > Magicamente, come per incanto.

    Sicuramente in caso di sanzioni molte cose son destinate a modificarsi nel cervello di chi amministra un'azienda, cmq, io che per lavoro mi occupo di PC non ho ancora visto nulla di multe e controlli. Quando avverto un cliente sui rischi e sulle responsabilità inerenti privacy e tutele varie la risposta è sempre la solita..."costa troppo e poi non controllano mai nessuno!".
    Mi auguro quindi che tu abbia ragione sul futuro.
    KCM
    201
  • > disposizione: budget, persone, progetti,
    > interesse aziendale, corsi di formazione.
    ottimista quindi
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 9 discussioni)