Mercoledì 19 Dicembre 2018 | 04:55

GDM.TV

i più visti della sezione

Nuovo codice Privacy - I RIFERIMENTI DEL CODICE E DEL DISCIPLINARE TECNICO

Tornando all'esame delle misure minime, vediamo come si intrecciano i riferimenti del codice con quelli del disciplinare tecnico.
Disciplinare tecnico (Allegato B)
§ Trattamenti con strumenti elettronici
§ Sistemi di autenticazione informatica (punti da 1 a 11);
§ Sistema di autorizzazione (punti da 12 a 14);
§ Altre misure di sicurezza (punti da 15 a 18);
§ Documento programmatico sulla sicurezza (punto 19)
§ Ulteriori misure in caso di trattamento di dati sensibili o giudiziari (punti da 20 a 24);
§ Misure di tutela e garanzia (punti 25 e 26);
§ Trattamenti senza l'ausilio di strumenti elettronici (punti da 27 a 29)


a) autenticazione informatica ai Punti 1, 2

1. Il trattamento di dati personali con strumenti elettronici è consentito agli incaricati dotati di credenziali di autenticazione che consentano il superamento di una procedura di autenticazione relativa a uno specifico trattamento o a un insieme di trattamenti.
2. Le credenziali di autenticazione consistono in un codice per l'identificazione dell'incaricato associato a una parola chiave riservata conosciuta solamente dal medesimo oppure in un dispositivo di autenticazione in possesso e uso esclusivo dell'incaricato, eventualmente associato a un codice identificativo o a una parola chiave, oppure in una caratteristica biometrica dell'incaricato, eventualmente associata a un codice identificativo o a una parola chiave.


b) adozione di procedure di gestione delle credenziali di autenticazione ai Punti da 3 a 10

3. Ad ogni incaricato sono assegnate o associate individualmente una o più credenziali per l'autenticazione.
4. Con le istruzioni impartite agli incaricati è prescritto di adottare le necessarie cautele per assicurare la segretezza della componente riservata della credenziale e la diligente custodia dei dispositivi in possesso ed uso esclusivo dell'incaricato.
5. La parola chiave, quando è prevista dal sistema di autenticazione, è composta da almeno otto caratteri oppure, nel caso in cui lo strumento elettronico non lo permetta, da un numero di caratteri pari al massimo consentito; essa non contiene riferimenti agevolmente riconducibili all'incaricato ed è modificata da quest'ultimo al primo utilizzo e, successivamente, almeno ogni sei mesi. In caso di trattamento di dati sensibili e di dati giudiziari la parola chiave è modificata almeno ogni tre mesi.
6. Il codice per l'identificazione, laddove utilizzato, non può essere assegnato ad altri incaricati, neppure in tempi diversi.
7. Le credenziali di autenticazione non utilizzate da almeno sei mesi sono disattivate, salvo quelle preventivamente autorizzate per soli scopi di gestione tecnica.
8. Le credenziali sono disattivate anche in caso di perdita della qualità che consente all'incaricato l'accesso ai dati personali.
9. Sono impartite istruzioni agli incaricati per non lasciare incustodito e accessibile lo strumento elettronico durante una sessione di trattamento.
10. Quando l'accesso ai dati e agli strumenti elettronici è consentito esclusivamente mediante uso della componente riservata della credenziale per l'autenticazione, sono impartite idonee e preventive disposizioni scritte volte a individuare chiaramente le modalità con le quali il titolare può assicurare la disponibilità di dati o strumenti elettronici in caso di prolungata assenza o impedimento dell'incaricato che renda indispensabile e indifferibile intervenire per esclusive necessità di operatività e di sicurezza del sistema. In tal caso la custodia delle copie delle credenziali è organizzata garantendo la relativa segretezza e individuando preventivamente per iscritto i soggetti incaricati della loro custodia, i quali devono informare tempestivamente l'incaricato dell'intervento effettuato.


c) utilizzazione di un sistema di autorizzazione ai Punti 12,13,14

12. Quando per gli incaricati sono individuati profili di autorizzazione di ambito diverso è utilizzato un sistema di autorizzazione.
13. I profili di autorizzazione, per ciascun incaricato o per classi omogenee di incaricati, sono individuati e configurati anteriormente all'inizio del trattamento, in modo da limitare l'accesso ai soli dati necessari per effettuare le operazioni di trattamento.
14. Periodicamente, e comunque almeno annualmente, è verificata la sussistenza delle condizioni per la conservazione dei profili di autorizzazione.

Considerazioni e possibili misure (relative ai punti a,b,c)

In questi tre punti (14 nell'allegato B) viene definita la necessità di riconoscere l'incaricato (identificazione), accertandosi della sua identità attraverso una informazione (credenziale) che l'incaricato può conoscere (password), possedere (token, smart card, etc) o appartenergli (caratteristica biometrica). Viene riposta molta enfasi anche sui comportamenti e sulle caratteristiche delle credenziali e dell'eventuale sistema di autorizzazione.
Come si traduce in pratica?
L'intervento e su due livelli:
a) identificazione a livello sistema operativo (di rete)
b) identificazione a livello applicativo

PUNTO a) si intende la classica identificazione dei sistemi operativi, dove in ambienti in rete viene fatta dal server di rete (generalmente) con un sistema LDAP (quale Active Directory di Windows 2000/3 ad esempio) con tutte le misure di controllo disponibili sul sistema per la gestione e il rispetto delle caratteristiche delle credenziali e delle autorizzazioni nei modi su esposti;
PUNTO b) li dove l'accesso al dato avviene attraverso l'interfaccia di un programma gestionale (quindi non solo con l'accesso in rete al file che contiene i dati), e questo programma si interfaccia a diversi trattamenti (clienti, fornitori, etc.) verso i quali è necessaria una discriminazione per gli incaricati, occorre che questo filtro sia operato anche dal software gestionale (quindi che ci si profili anche sul gestionale e che siano predisposti ad esempio dei menu personalizzati per l'accesso ai soli trattamenti consentiti per ciascun profilo, oltre chiaramente ad un effettivo filtro a livello dati li dove necessario)

E' evidente che l'impatto organizzativo imposto è alto in realtà in cui i sistemi attuali non sono predisposti a questi controlli, specie in considerazione del termine del 30/06/2004 per la loro adozione.

Nei casi in cui vi è l'impossibilità temporanea ad adempiere, (perché ad esempio si utilizzano ancora computer di vecchia generazione), nell'Art.180 al comma 2 viene data la possibilità di una proroga di altri sei mesi (quindi entro il 31/12/2004) per l'adozione delle misure per le quali si è impossibilitati ad una immediata adozione, purché:
§ le ragioni dell'impossibilità siano obiettive e dimostrabili
§ si rediga un documento a data certa(*) che descriva le ragioni per le quali tutte o parte delle misure minime non possono essere immediatamente adottate (al 30/06) e conservato presso la propria struttura
§ si intraprendano tutte le possibili azioni correttive atte a limitare il rischio

(*) Per la determinazione della "data certa" è sufficiente inviare a se stessi una raccomandata del suddetto documento, in modo da testimoniare la data certa con un timbro postale.


d) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici ai Punti 15,14

15. Nell'ambito dell'aggiornamento periodico con cadenza almeno annuale dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici, la lista degli incaricati può essere redatta anche per classi omogenee di incarico e dei relativi profili di autorizzazione.

Considerazioni:
Annualmente va verificato il profilo di ciascun incaricato per verificare la persistenza dei requisiti (ad esempio se un incaricato cambia mansione, dovranno essere rivisti i suoi diritti di accesso ai trattamenti)


e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici ai Punti 16,17,20,21,22

16. I dati personali sono protetti contro il rischio di intrusione e dell'azione di programmi di cui all'art. 615-quinquies del codice penale, mediante l'attivazione di idonei strumenti elettronici da aggiornare con cadenza almeno semestrale.
17. Gli aggiornamenti periodici dei programmi per elaboratore volti a prevenire la vulnerabilità di strumenti elettronici e a correggerne difetti sono effettuati almeno annualmente. In caso di trattamento di dati sensibili o giudiziari l'aggiornamento è almeno semestrale.
20. I dati sensibili o giudiziari sono protetti contro l'accesso abusivo, di cui all' art. 615-ter del codice penale, mediante l'utilizzo di idonei strumenti elettronici.
21. Sono impartite istruzioni organizzative e tecniche per la custodia e l'uso dei supporti rimovibili su cui sono memorizzati i dati al fine di evitare accessi non autorizzati e trattamenti non consentiti.
22. I supporti rimovibili contenenti dati sensibili o giudiziari se non utilizzati sono distrutti o resi inutilizzabili, ovvero possono essere riutilizzati da altri incaricati, non autorizzati al trattamento degli stessi dati, se le informazioni precedentemente in essi contenute non sono intelligibili e tecnicamente in alcun modo ricostruibili.

Considerazioni:

Il punto e) dell'Art.34 richiede la protezione degli strumenti (PC, Server, etc.) con cui trattiamo i dati, oltre che dei dati stessi, e dei relativi supporti (nastri, Cdrom, floppy).
Oltre a proteggere fisicamente questi strumenti (da furto, vandalismo, etc.), vanno sostanzialmente protetti da Virus e intrusioni informatiche.
Verifichiamo i vari punti dell'allegato:
16) richiede un antivirus su ogni PC/Server o sistema in genere; se la rete è connessa ad Internet, l'infezione può avvenire anche attraverso sistemi di Istant Messaging, P2P, etc (es. WinMX, Kazaa, ICQ, Messanger, etc) che andrebbero bloccati anche a livello rete (con un Firewall di rete).
17) richiede che si prevengano vulnerabilità dalla semplice applicazione di patch (aggiornamenti/correzioni) al sistema operativo e al software in genere, fino ad una verifica manuale (o automatica) dell'esistenza di vulnerabilità
20) questo punto richiede l'utilizzo di strumenti quali Firewall di rete, IDS (Intrusion detection system) per proteggere le reti in cui si trovano i calcolatori; la legge obbliga questi strumenti per i dati sensibili o giudiziari, è comunque ovvio che li dove ci sono reti con PC/Server collegati ad Internet, non si può ottenere protezione né da attacchi, né da infezioni virali tramite particolari software senza una barriera al confine tra la rete aziendale ed Internet, pertanto l'adozione di un Firewall è fondamentale.
21) (Si commenta da solo)
22) Vanno resi non riutilizzabili i supporti o se destinati a riciclo, evitare la ricostruzione dei dati (ad esempio operando diverse volte la formattazione, anche a basso livello)


f) adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi ai Punti 18,23

18. Sono impartite istruzioni organizzative e tecniche che prevedono il salvataggio dei dati con frequenza almeno settimanale.
23. Sono adottate idonee misure per garantire il ripristino dell'accesso ai dati in caso di danneggiamento degli stessi o degli strumenti elettronici, in tempi certi compatibili con i diritti degli interessati e non superiori a sette giorni.

Considerazioni:
Altra misura dettata dal buon senso, che richiede però non la semplice pianificazione settimanale di un salvataggio (che sarebbe già una gran cosa), ma anche la descrizione dettagliata delle varie operazioni, in ordine cronologico, da effettuare per il salvataggio (e per il ripristino) non tralasciando nulla al caso (es.: uscire dai programmi, far scollegare tutti i terminali tranne quello utilizzato per il salvataggio, utilizzare un profilo con le autorizzazioni sufficienti alla riuscita dell'operazione, inserire il nastro dl tipo "xxx" con etichetta "zzz" nell'unità "yyy", formattare/ripulire il nastro, etc…), in modo tale che, sia in situazioni di tranquillità, sia in situazioni di emegenza, sia disponibile una guida puntuale che consenta a chiunque di portare a termine l'operazione seguendo le istruzioni.
Il punto 23 impone un termine di 7 (sette) giorni per ritornare a regime in caso di perdita di dati, se si trattano dati sensibili.


g) tenuta di un aggiornato documento programmatico sulla sicurezza al Punto 19

19. Entro il 31 marzo di ogni anno, il titolare di un trattamento di dati sensibili o di dati giudiziari redige anche attraverso il responsabile, se designato, un documento programmatico sulla sicurezza contenente idonee informazioni riguardo:
19.1. l'elenco dei trattamenti di dati personali;
19.2. la distribuzione dei compiti e delle responsabilità nell'ambito delle strutture preposte al trattamento dei dati;
19.3. l'analisi dei rischi che incombono sui dati;
19.4. le misure da adottare per garantire l'integrità e la disponibilità dei dati, nonché la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità;
19.5. la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento di cui al successivo punto 23;
19.6. la previsione di interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare. La formazione è programmata già al momento dell'ingresso in servizio, nonché in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati personali;
19.7. la descrizione dei criteri da adottare per garantire l'adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformità al codice, all'esterno della struttura del titolare;
19.8. per i dati personali idonei a rivelare lo stato di salute e la vita sessuale di cui al punto 24, l'individuazione dei criteri da adottare per la cifratura o per la separazione di tali dati dagli altri dati personali dell'interessato.

Considerazioni:
Il Documento Programmatico della Sicurezza, è uno strumento molto utile per garantire la sicurezza dei sistemi e per una adeguata valutazione del rischio e la relativa adozione di misure idonee.
Come si può notare dal punto 19, esso contiene tutte le informazioni che governano il sistema privacy e la sua sicurezza.
Questa misura è obbligatoria solo per il "trattamento di dati sensibili con strumenti elettronici"; tuttavia, è doveroso sottolineare che la corretta e completa compilazione del DPS, costituisce lo strumento migliore per dimostrare, in casi di richieste di risarcimento per danni subiti, la propria massima possibile corretta condotta e per individuare gli elementi utili all'inversione dell'onere della prova (Rif. Art. 15 DL 196 e Art. 2050 c.c.)

Art. 2050 c.c. (Responsabilità per l'esercizio di attività pericolosa)
Chiunque cagiona danno ad altri nello svolgimento di un'attività pericolosa, per sua natura o per la natura dei mezzi adoperati, è tenuto al risarcimento, se non prova di avere adottato tutte le misure idonee ad evitare il danno


h) adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari.

24. Gli organismi sanitari e gli esercenti le professioni sanitarie effettuano il trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale contenuti in elenchi, registri o banche di dati con le modalità di cui all'articolo 22, comma 6, del codice, anche al fine di consentire il trattamento disgiunto dei medesimi dati dagli altri dati personali che permettono di identificare direttamente gli interessati. I dati relativi all'identità genetica sono trattati esclusivamente all'interno di locali protetti accessibili ai soli incaricati dei trattamenti ed ai soggetti specificatamente autorizzati ad accedervi; il trasporto dei dati all'esterno dei locali riservati al loro trattamento deve avvenire in contenitori muniti di serratura o dispositivi equipollenti; il trasferimento dei dati in formato elettronico è cifrato.

Art. 22 comma 6. I dati sensibili e giudiziari contenuti in elenchi, registri o banche di dati, tenuti con l'ausilio di strumenti elettronici, sono trattati con tecniche di cifratura o mediante l'utilizzazione di codici identificativi o di altre soluzioni che, considerato il numero e la natura dei dati trattati, li rendono temporaneamente inintelligibili anche a chi è autorizzato ad accedervi e permettono di identificare gli interessati solo in caso di necessità.

Lascia il tuo commento

Condividi le tue opinioni su

Caratteri rimanenti: 400

MULTIMEDIA

Raf e Umberto Tozzi si raccontano: segui la diretta

Raf e Umberto Tozzi, la strana coppia si racconta alla Gazzetta Rivedi la diretta

 
"Grazie per quello che fate e che avete fatto"Gli auguri di Rosso  capo di stato Maggiore

"Grazie per quello che fate e che avete fatto"
Gli auguri di Rosso capo di stato Maggiore

 
Frecce tricolori, parla il nuovo comandante Farina: «Essere pugliese per me è un orgoglio»

Frecce tricolori, parla il nuovo comandante Farina: «Essere pugliese? Un orgoglio»

 
Gazzetta, la Procura di Catania a settembre: faremo l'impossibile per occupazione e rilancio

Gazzetta, la Procura di Catania a settembre: faremo l'impossibile per occupazione e rilancio

 
Kids: torna a Lecce il festival per i più piccoli in nome dell'inclusione

Kids: torna a Lecce il festival per i più piccoli in nome dell'inclusione

 
pranzo

pranzo

 
Inaugura il Villaggio di Babbo Natale: luci, musica e file di un'ora per incontrarlo

Luci, musica e lunghe file per incontrare Babbo Natale: inaugurato il Villaggio

 
"Cane Secco" si lancia col paracadutelo youtuber tra le braccia dei Carabinieri

"Cane Secco" si lancia col paracadute
lo youtuber tra le braccia dei Carabinieri

 
Afghanistan, il ministro Trentaporta il saluto di tutto il Paese

Afghanistan, il ministro Trenta
porta il saluto di tutto il Paese

 
Afghanistan, i bersaglieri della Pinerolosul set dello sceneggiato "I due soldati"

Afghanistan, i bersaglieri della Pinerolo
sul set dello sceneggiato "I due soldati"

 
Afghanistan, le immagini del ministro Trentain occasione del saluto della Brigata Pinerolo

Afghanistan, le immagini del ministro Trenta
in occasione del saluto della Brigata Pinerolo