IL DOCUMENTO PROGRAMMATICO DELLA SICUREZZA

Ritorniamo sul tema del nuovo Codice della privacy il cui ultimo termine è il 31 marzo, con ulteriore margine al 30 giugno per chi non riesce a mettersi in regola per quella data purché per certificati motivi. Quindi, per la maggior parte delle aziende e degli operatori interessati dal provvedimento, l’ora di mettersi in regola è già scattata.

IL D. LGS. 196103
Il Codice della Privacy ha previsto all’art. 33 l’obbligo di predisposizione di misure di sicurezza e protezione dei dati personali trattati, individuando un livello minimo di protezione al di sotto del quale si è a rischio sanzione.

Il Codice all’art.34 ha previsto tra gli adempimenti minimi il Documento Programmatico della Sicurezza, più comunemente detto DPS, indicandone il contenuto nella regola 19 del disciplinare tecnico. Regola che, seguita dettagliatamente consente di cogliere lo spirito della legge e capire se la propria organizzazione necessita di correttivi o nuovi accorgimenti.

Infatti, già in apertura, la regola presenta i criteri per individuare i soggetti tenuti al DPS. Perché è vero che al riguardo si parla di un obbligo dalla diffusione estesa, ma è anche vero che si tratta di un obbligo che la legge pone a carico di chi utilizza e tratta con strumenti elettronici dati sensibili e giudiziari. Il che significa che chiunque (soggetto pubblico o privato) utilizzi o conservi con computer o altri strumenti informatici (inclusi i palmari) dati “sensibili” e dati giudiziari, è soggetto all’obbligo di predisporre il DPS.

I DATI SENSIBILI
I dati sensibili secondo l’art.4 del Codice sono i dati “idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o d’altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni o organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale”. A tanto sono tenuti coloro che hanno in corso rapporto di lavoro o di collaborazione, dal momento che la gestione di tali rapporti può comportare l’uso di quei dati. Per non parlare delle eventuali situazioni di malattia o invalidità del personale.

IL DPS
Il contenuto del documento seguirà una analisi sullo stato di rischio e di pericolo di perdita o sottrazione di dati in funzione dell’organizzazione interna ed esterna del soggetto che li tratta.

Le indicazioni della regola 19 conducono il soggetto obbligato attraverso un percorso che parte dall’individuazione del tipo di dati e di trattamento effettuato. Si dovrà cioè indicare la natura dei dati di cui il soggetto effettua il trattamento e la natura del trattamento stesso.

Quanto al primo aspetto occorre indicare se si tratta di dati di dipendenti, di collaboratori o di altri ancora, di dati sensibili o giudiziari. Quanto al secondo, la tipologia del trattamento (rapporto di lavoro, fornitura, adempimenti di legge ecc.), la tipologia del sistema operativo, l’eventuale trasmissione a terzi (accennando ai motivi) e le relative modalità di trasmissione, l’uso di internet o altro simile. A questo punto si impone l’esame delle strutture interne affidatarie di quel trattamento; ad esempio ufficio commerciale, acquisti, addetti alla contabilità, alle paghe ecc. Si tratterà di individuare compiti e ruoli dei soggetti coinvolti nelle procedure di trattamento e per ogni struttura individuare un responsabile. Diversamente, il responsabile è il titolare, é opportuno che il trattamento sia specificato per ogni singola struttura, interna o esterna.

RISCHI, STRUMENTI E CAUTELE
Il rischio cui intende riferirsi la legge è sia quello di una violazione della riservatezza, per un accesso non autorizzato, sia il rischio della violazione dell’integrità dei dati per una modifica o una distruzione non autorizzata; c’e poi il rischio di perdita accidentale e quello di trattamento non autorizzato.

Il Documento dovrà illustrare le soluzioni ipotizzate per fronteggiare quei rischi; si tratta anche di adottare cautele atte a prevedere soluzioni riparatorie. Quanto alle prime soluzioni si va da scelte che impongono l’identificazione e l’autorizzazione dei soggetti che hanno titolo per accedere a quei dati, all’introduzione di vere e proprie credenziali di autenticazione per costoro dalla password personale alle registrazioni di accesso.

Con la scelta della password si deve rispettare il vincolo del numero minimo di 8 caratteri o del numero massimo di caratteri consentito dal sistema; non deve contenere riferimenti riconducibili all’operatore e deve essere modificata ogni tre/sei mesi.

Con la scelta delle registrazioni di accesso si può ricorrere alle carte a microprocessore, a un certificato digitale o altro.

Si va dagli strumenti di protezione della rete e dei sistemi informatici dagli attacchi di virus o programmi pericolosi per l’integrità dello stesso sistema, oltre che dei dati, agli strumenti volti a proteggere anche solo dalle intrusioni illecite di soggetti esterni, dal rischio di danneggiamento all’interruzione del sistema informatico.

Non si tratta solo di indicare nel DPS l’installazione dei diversi antivirus, antispamming e/o firewall, ma è necessario indicare le condizioni e la cadenza dell’aggiornamento.

Quanto alle cautele si va dalla descrizione delle misure a protezione dei locali ove sono custoditi gli archivi, alla pianificazione degli interventi per ripristinare la disponibilità dell’accesso ai dati per le ipotesi di perdita o distruzione.

Per le prime il DPS richiede l’indicazione delle modalità di chiusura dei locali (porte, serrature, disponibilità delle chiavi) e dell’eventuale controllo degli accessi.

Per gli interventi di ripristino, è certamente utile il salvataggio periodico dei dati che dovrà essere riportato nel documento in termini di modalità e di frequenza. Obbligatori sono formazione ed aggiornamento del personale.

La legge individua come momenti essenziali per la verifica di tale aggiornamento, l’inizio dell’attività, l’eventuale cambio di mansioni, e l’introduzione di nuove tecnologie di trattamento. Quanto ai rapporti con i soggetti esterni il Documento dovrà prevedere la descrizione di criteri e impegni assunti dal soggetto esterno per le misure di sicurezza.

Il Documento, una volta redatto deve essere conservato in azienda e richiamato nella relazione al bilancio.

LE SANZIONI
La mancata predisposizione del documento fa scattare a carico del titolare del trattamento la pena dell’arresto fino a due anni o l’ammenda da 10 a 50 mila euro. È tuttavia prevista una possibilità di “ravvedimento”, ovvero di regolarizzazione successiva all’accertamento dell’inadempienza, ma ciò comporta comunque il pagamento di 12.500,00 euro.