CIRCOLARE N. 10 GEN2000

PRIVACY: DPR 28 LUGLIO 1999 N. 318 “regolamento recante norme per l’individuazione delle misure minime di sicurezza per il trattamento dei dati personali, a norma dell’art.15, comma 2 , della legge 31/12/96, n.675″

Premessa

Facendo seguito alle precedenti circolari informative in materia, come a Voi ben noto a far data dall’8 maggio 1997 è entrata in vigore la legge nr. 675/96, disciplinante il c.d “trattamento dei dati personali “.

L’esigenza di tale normativa si era resa necessaria al fine di garantire che l’ormai usuale scambio, svolto con o senza l’ausilio di mezzi elettronici, di informazioni aventi ad oggetto i cd.”dati personali”, si svolgesse nel rigoroso rispetto dei diritti riconosciuti dal nostro ordinamento , quali il diritto di riservatezza e dell’identità personale.

Per effetto della nuova normativa, dal maggio ‘97, la riservatezza nel trattamento dei dati entra anche nelle relazioni commerciali e pertanto anche le società sono state chiamate ad assolvere gli adempimenti previsti dalla Legge n. 675/96 per non incorrere nelle gravi sanzioni penali, civili e amministrative, dalla stessa previste

Per far fronte a tali obblighi senza “congestionare” le proprie attività, le società hanno avuto la possibilità di creare al proprio interno una struttura organica, di forma piramidale, composta dal titolare, dal responsabile e dagli incaricati.

Il titolare è il soggetto a cui competono le decisioni in ordine alla finalità e alle modalità del trattamento dei dati personali, compreso il profilo della sicurezza; il titolare ha la facoltà di designare uno o più responsabili che procedano al trattamento, elaborando i dati raccolti e attenendosi alle istruzioni impartite dallo stesso titolare ; il titolare e i responsabili possono a loro volta nominare, in forma scritta ed attraverso il conferimento di un mansionario, uno o più incaricati, i quali svolgeranno le attività connesse al trattamento come una delle mansioni a loro spettanti e saranno, pertanto soggetti alla direzione ed al controllo del loro datore di lavoro.

L’art. 15 della Legge 675/96, prevedeva inoltre, in modo generico, che i dati dovessero essere trattati adottando misure di sicurezza ( codici di accesso, sistemi crittografici etc..) idonee a ridurre al minimo i rischi di distruzione, di accesso non autorizzato o di trattamento non consentito, garantendo, in questo modo, l’integrità e la confidenzialità del trattamento stesso.

Ai sensi del 2° comma dell’art. 15, avrebbe dovuto essere emanato, entro 180 giorni dall’entrata in vigore della legge 675/96, il regolamento individuante, in modo specifico, le misure minime di sicurezza da adottare in via preventiva.

Il regolamento

Con notevole ritardo, rispetto a quanto previsto dall’art. 15 2° comma della Legge 675/96, è stato emanato in data 28/7/99 il regolamento disciplinante le misure minime di sicurezza per il trattamento dei dati personali.

Detto regolamento, entrato in vigore in data 28/9/99, “impone a tutti i titolari”, Pubblica Amministrazione compresa ( esso è infatti applicabile erga omnes), di adottare tutte le misure minime di sicurezza in esso contenute entro 6 mesi dalla sua entrata in vigore .

Tale adeguamento si rende necessario per non incorrere nella sanzione penale dell’art 36 della legge 675/96, che prevede, in caso di inosservanza del regolamento, la reclusione da 2 mesi a 2 anni, a seconda che dal fatto derivi o meno nocumento.

Resta comunque a carico del titolare, nonostante il rispetto del regolamento, una responsabilità civile ex art. 2050 c.c., in caso di procurato danno, salva la possibilità di dimostrare ( prova quantomai difficile) di aver attuato tutte le misure cautelative.

Si segnala, inoltre, che la stessa Legge 675/96 prevede una revisione periodica di tale regolamentazione in quanto, ogni due anni, dovrà essere emanato un nuovo regolamento, che tenga conto delle precedenti esperienze e dell’evoluzione tecnologica dei sistemi informativi, al quale i “titolari” dovranno adeguarsi sempre entro 6 mesi dall’entrata in vigore di quest’ultimo.

La prima novità del regolamento è rappresentata dall’introduzione di due nuove figure, oltre al titolare, ai responsabili e agli incaricati.

E’ prevista infatti la figura del preposto ( soggetti preposti alla custodia della parola chiave) e dell’amministratore del sistema ( coloro che sovrintendono alle risorse del sistema operativo di un elaboratore o di un sistema di basi dati e ne consentono l’utilizzazione).

La struttura del regolamento prevede l’attuazione di misure minime di sicurezza in scala crescente in considerazione del tipo di dati trattati ( personali o particolari ) e del collegamento degli apparati informatici su reti aperte o chiuse. A) se i dati oggetto di trattamento sono personali ed il trattamento è effettuato da persone fisiche per fini esclusivamente personali ( elaboratori domestici, portatili) non è prescritta nessuna misura minima di sicurezza se non una comune diligenza. Se vengono invece trattati dati particolari ( c.d. dati sensibili), sempre per fini esclusivamente personali, e sono organizzati in banche dati , la misura minima richiesta è l’adozione di una parola chiave per accedere ai dati stessi. B) Se il trattamento dei dati personali è effettuato mediante elaboratori non accessibili da altri elaboratori o terminali ( cd. sistemi off line:es. computer non in rete in uno stesso ufficio) sarà necessario adottare le seguenti misure minime di sicurezza: - Prevedere una parola chiave per l’accesso ai dati e fornirla agli incaricati del trattamento ( se la tecnologia dell’elaboratore lo permette, consentire l’autonoma sostituzione della parola chiave) - individuazione per iscritto , quando vi è più di un incaricato al trattamento e sono in uso più parole chiave, dei preposti alla custodia della parola chiave; C) Se il trattamento dei dati personali è effettuato mediante elaboratori accessibili da altri elaboratori o terminali solo attraverso reti non disponibili al pubblico (es. più elaboratori collegati in rete nello stesso ufficio, oltre all’adozione delle misure già previste al punto B) sarà necessario: - consegna ad ogni incaricato di un codice identificativo personale, di tipo esclusivo; - possibilità di disattivazione del codice identificativo personale, in caso di perdita della necessità di accesso da parte di un incaricato o di inattività per più di 6 mesi; Le due disposizioni di cui sopra non si applicano ai trattamenti dei dati personali di cui è consentita la diffusione . - Installazione, comunque, di antivirus con aggiornamento almeno semestrale; In caso di trattamento di dati particolari bisogna inoltre osservare oltre a quanto previsto al precedente punto B) e a quanto appena sopra indicato, anche le seguenti prescrizioni: - creazione di un profilo ( autorizzazione) di accesso per ogni singolo incaricato del trattamento ordinario, con criteri restrittivi, e per ogni singolo incaricato della manutenzione; - verifica annuale della sussistenza delle ragioni del rilascio dell’autorizzazione; - impossibilità di utilizzo del medesimo codice identificativo personale per accedere contemporaneamente alla stessa applicazione da diverse stazioni di lavoro; Le due disposizioni di cui sopra non si applicano ai trattamenti dei dati personali di cui è consentita la diffusione . D) In caso di trattamento dei dati personali effettuato mediante elaboratori accessibili da altri elaboratori o terminali attraverso reti disponibili al pubblico, oltre alle misure minime previste sub C) si devono adottare le misure più prudenziali con particolare riguardo agli specifici sistemi con i quali è possibile interagire. In questo caso la misura più idonea allo scopo è, secondo alcuni primi commentatori, la protezione crittografica, in quanto capace di ricondurre un collegamento su reti disponibili al pubblico in uno su rete non disponibile al pubblico. Qualora, invece, vengano trattati dati particolari all’interno di un sistema di cui sopra, oltre alle prescrizioni di cui al punto C) e a quelle appena sopra indicate , il titolare dovrà provvedere alla: - compilazione di un elenco degli elaboratori tramite i quali è possibile accedere a dati particolari, degli strumenti tramite i quali è possibile interconnettersi alla rete disponibile al pubblico per lo scambio di dati particolari; - compilazione del documento programmatico sulla sicurezza ; E) Se il trattamento dei dati personali è gestito con strumenti diversi da quelli elettronici o comunque non automatizzati il titolare dovrà adottare le seguenti misure minime di sicurezza: - allestimento di un archivio per atti e documenti con dati personali e definizione di procedure di consegna, restituzione e compartimentazione dei dati stessi; - indicazione per iscritto degli incaricati con privilegi di accesso a dati e programmi; - creazione di una procedura e strumenti per la conservazione della documentazione relativa al trattamento; - allestimento di separato archivio per la raccolta di atti e documenti relativi a dati particolari, definizione di procedure di controllo degli accessi, durante e fuori orario, della consegna , restituzione e compartimentazione dei dati stessi; - fornitura agli incaricati, che trattano dati particolari, di contenitori con lucchetti o serrature e definizione di una procedura di gestione delle chiavi. L’articolo 7 del Dpr 318/99,inoltre, disciplina, nel caso di trattamento di dati particolari ( c.d. dati sensibili), il delicato problema del reimpiego dei supporti di memorizzazione (floppy disc etc…) ammettendone il riutilizzo solo quando le informazioni precedentemente contenute non siano tecnicamente recuperabili; in caso contrario detti supporti devono essere distrutti in quanto sugli stessi potrebbero rimanere tracce di dati particolari che sfuggirebbero alla rete delle misure minime di sicurezza sopra elencate. Sarà dunque necessario compiere un inventario e una ricognizione di tutti i supporti di memoria che possono essere riutilizzati, emanare idonee istruzioni di comportamento a tutti gli incaricati ed esaminare ogni singolo nuovo supporto per individuare i relativi rischi in tal senso e agire di conseguenza impartendo anche in questo caso adeguate istruzioni agli incaricati Si evidenzia, infine , che il responsabile di un sistema informativo automatizzato dovrà comunque prestare attenzione anche alla conservazione di tutta la documentazione non archiviata su supporti informatici ( stampate degli elaboratori, fotografie, nastri magnetici) adottando tutte le misure minime di sicurezza previste sub E).

In conclusione, anche in questo caso e come già avvenuto in occasione della Legge 675/96, il legislatore si è distinto per la sua incapacità di risolvere in modo chiaro e semplice la problematica inerente l’individuazione delle misure di sicurezza nei sistemi informatici e non. Il regolamento, come ben potete constatare è farraginoso, poco chiaro e comporterà, per una sua effettiva applicazione, l’impiego di considerevoli risorse umane ed economiche. Tuttavia non posso sottrarmi dal segnalarVi l’opportunità di un tempestivo ed analitico approccio con il presente regolamento, da poco entrato in vigore, anche con l’ausilio dei Vostri consulenti informatici e ciò anche in considerazione della severità della norma penale prevista, della responsabilità civile ex art. 2050 c.c. che potrebbe comunque derivare dal trattamento dei dati personali non conforme ai principi sopra delineati. Da ultimo, mi permetto, altresì di ricordarVi che l’adeguamento alle prescrizioni previste dal Dpr n.318/99 deve essere effettuato entro il 29/3/2.000 e che comunque , nell’ambito della legge n. 675/96, il Legislatore, ha previsto, come già accennato, un aggiornamento biennale del regolamento stesso. Considerata la complessità e le continue innovazioni in relazione alla materia trattata, lo studio rimane a disposizione per qualsiasi ulteriore approfondimento o chiarimento che si dovesse rendere necessario.

Milano ,Aprile 2000

Studio Legale GGM