Allegato B del Codice privacy: cosa significano le sue regole?
Molti sanno che la protezione dei dati personali (o privacy) in Italia, è normata dal Decreto legislativo 196/2003, conosciuto ai più come Codice privacy. Pochi, purtroppo, sanno che il Codice è completato da alcuni allegati.
Tra questi, l’Allegato B è quello che è di interesse più generale, in quanto gli altri si riferiscono esplicitamente a determinati settori di attività. La mancata applicazione delle misure minime di sicurezza comporta sanzioni amministrative e penali, che si traducono in multe salate, spese per i procedimenti processuali e, in alcuni casi, la reclusione.
L’Allegato B, con le sue 29 regole, pone le basi per assicurare le misure minime di sicurezza che ogni organizzazione deve adottare per garantire la protezione di una delle più preziose risorse strategiche che un’azienda possa avere a disposizione: i dati personali che quotidianamente tratta durante la sua attività. Esse sono diverse a seconda che il trattamento sia effettuato con o senza l’impiego di strumenti elettronici (PC, tablet, smartphone, sistemi di videosorveglianza…). Vediamole insieme.
Il sistema di autenticazione elettronica.
Le prime undici regole riguardano il trattamento con strumenti elettronici e indicano i criteri per un efficace sistema di autenticazione elettronica, ossia il procedimento con cui l’operatore assicura la propria identità al sistema informatico. In pratica è quello che si fa ogni volta che si decide di accedere a Gmail, o alle proprie pagine personali sui siti di e-commerce, per esempio.
Innanzi tutto, il titolare del trattamento deve identificare gli incaricati e deve determinare a priori il loro ambito di operatività, ossia decidere quali dati sia autorizzato a trattare.
Questi incaricati dovranno avere ognuno le proprie credenziali di autenticazione, costituite da un codice identificativo (per esempio il nominativo dell’incaricato, o il suo numero di matricola) e da una password. Alternativamente, si può utilizzare un dispositivo di autenticazione che deve essere detenuto e usato esclusivamente dall’incaricato (per esempio un token o una tessera magnetica) o tecniche di autenticazione biometrica (per esempio le impronte digitali o la scansione retinica o vocale), associato a un’eventuale password o codice identificativo. La prima è una soluzione che usiamo correntemente per effettuare operazioni di internet banking o per prelevare denaro dai distributori bancomat, mentre la seconda è più facile trovarla in ambiti in cui è richiesto un elevato livello di sicurezza.
Per quanto riguarda il codice identificativo, questo deve essere associato solo ed esclusivamente a un singolo incaricato e non è necessario che sia segreto. Ciò significa che un codice non potrà mai essere assegnato a più di una persona, nemmeno in momenti o in ambiti differenti.
Viceversa, ogni password deve essere mantenuta segreta e, se il sistema lo permette (dal punto di vista tecnologico), deve essere formata da almeno 8 caratteri, magari utilizzando lettere maiuscole e minuscole, numeri e caratteri speciali. Di sicuro la parola chiave non deve avere collegamenti diretti con l’interessato e non deve essere troppo intuibile o banale: per esempio, scegliere “P@55w0rd” è una soluzione soddisfacente dal punto di vista del numero e tipo di caratteri, ma è palesemente troppo scontata. La password, infine, deve essere immediatamente modificata al primo utilizzo (la prima password, solitamente, è scelta dall’amministratore di sistema) e successivamente, con cadenza almeno semestrale.
Le credenziali di autenticazione devono essere disattivate se inutilizzate da almeno sei mesi o se l’incaricato perde i requisiti su cui si fonda la sua designazione da parte del titolare (per esempio una variazione delle sue mansioni o un licenziamento).
E in caso di necessità o prolungata assenza dell’incaricato, come si fa? È importante notare che, sebbene le credenziali di autenticazione siano e debbano essere segrete e personali, in caso di prolungata assenza o esclusivamente per ragioni di sicurezza e operatività del sistema informatico, il titolare è legittimato a forzare la procedura utilizzando le credenziali di qualcun altro. Per farlo, è necessario che si prendano le idonee misure di sicurezza nominando un custode delle password e inserendo una copia delle parola chiave all’interno di una busta sigillata e tenuta sotto chiave.
Il sistema di autorizzazione.
Oltre al sistema di autenticazione (che serve all’incaricato per farsi riconoscere dal sistema informatico) il titolare deve adottare anche un sistema di autorizzazione, che limiti l’operatività dei singoli incaricati sui dati personali, con criteri stabiliti precedentemente alla loro nomina e che siano in linea con le finalità per cui i dati sono trattati nelle singole attività. Queste regole si rifanno concretamente al principio di separazione dei compiti (in inglese segregation of duties, conosciuta con l’acronimo SOD) richiamate anche dalle norme ISO. Queste regole vanno dalla 12 alla 14.
Lo scopo è quello di assicurare che ogni ambito di trattamento abbia un diverso profilo di autorizzazione, in modo che l’accesso ai dati compiuto dei singoli incaricati sia limitato solo ed esclusivamente a quelli necessari per espletare il loro compito. In tale ottica, il sistema può essere profilato su ciascun incaricato (per esempio l’amministratore delegato, il direttore generale, l’internal auditor o l’amministratore di sistema) o per classi omogenee di incaricati (per esempio tutti gli incaricati dell’Assistenza clienti, tutti gli incaricati dell’Ufficio Marketing, tutti gli incaricati dell’Ufficio risorse umane…).
Tali profili di autorizzazione, similarmente alle credenziali di autenticazione, devono essere periodicamente rivisti e verificati, in modo da intervenire confermando, modificando o eliminando i profili già determinati o creandone di nuovi, secondo le necessità.
In molte realtà il sistema di autorizzazione è presente ed è una caratteristica intrinseca dei loro software gestionali.
Altre misure di sicurezza.
Oltre a quelle di tipo organizzativo, l’Allegato B impone l’adozione di misure di sicurezza a livello tecnico, attraverso l’impiego di soluzioni antimalware e di protezione in generale, che garantiscano la protezione, il ripristino o l’accesso ai dati. Si fa riferimento alle regole dalla 15 alla 18.
Sono misure idonee a questi scopi, per esempio, i software antivirus, antispyware o firewall; soluzioni hardware come i proxy server; salvataggio completo dei dati (back-up).
Ovviamente, ciascuna delle soluzioni adottate deve essere mantenuta efficace e aggiornata con cadenza periodica, secondo le evoluzioni della tecnologia disponibile al momento.
Ulteriori misure in caso di trattamento di dati sensibili o giudiziari.
Le regole dalla 20 alla 24, rafforzano quanto già detto nelle precedenti, avendo come specifico oggetto i dati personali sensibili o giudiziari.
Tra esse, spiccano l’obbligo di limitare l’accesso ai dati contenuti su supporti mobili in modo da impedire trattamenti non autorizzati (per esempio utilizzando memorie esterne crittografate o protette da un sistema di autenticazione) e gli obblighi specifici per gli esercenti le professioni sanitarie, che devono adottare misure tali per cui i dati identificativi siano trattati disgiuntamente da quelli sensibili.
Le misure di tutela e di garanzia.
La regola 25 impone la collaborazione dei soggetti esterni alla struttura del titolare, a cui sono affidati lavori inerenti una qualsiasi misura di sicurezza. Questi soggetti devono fornire idonee garanzie al titolare, attraverso una descrizione scritta dell’intervento che hanno realizzato e che sia in grado di attestarne la conformità alle regole dell’Allegato B.
Questo punto è molto importante nei casi in cui si installino impianti di videosorveglianza, o quando ci si avvale di un tecnico esterno per la manutenzione e la programmazione dei propri computer o della propria rete informatica.
I trattamenti compiuti senza l’ausilio di strumenti elettronici.
Le ultime tre regole, dalla 27 alla 29, disciplinano le modalità tecniche da adottare a cura del titolare, del responsabile, ove designato, e dell’incaricato, in caso di trattamento con strumenti diversi da quelli elettronici come, per esempio, moduli cartacei, archivi fisici, fotografie…
Innanzi tutto, agli incaricati devono essere impartite chiare istruzioni scritte, finalizzate al controllo ed alla custodia degli atti e dei documenti che contengono dati personali. Anche in questo caso, è necessario definire preventivamente un sistema di autorizzazione, da aggiornare con cadenza almeno annuale, che individui precisamente l’ambito del trattamento consentito ai singoli incaricati. Come visto già precedentemente, il sistema di autorizzazione può prevedere classi omogenee di incarico e dei relativi profili di autorizzazione; inoltre, sarà necessario predisporre una lista che indichi i singoli incaricati e il relativo ambito di autorizzazione.
Inoltre, nel caso in cui i documenti contenenti dati personali sensibili o giudiziari siano affidati agli incaricati del trattamento per lo svolgimento dei relativi compiti, essi devono controllarli e custodirli fino alla restituzione in maniera che a quelle informazioni sia impedito l’accesso a persone prive di autorizzazione.
Infine, l’accesso agli archivi contenenti dati sensibili o giudiziari deve essere controllato. In particolare, è necessario che tutti coloro che vi accedono dopo l’orario di chiusura (per esempio gli addetti alle pulizie o i manutentori) siano identificati e registrati. In questo caso, è possibile avvalersi di personale per la vigilanza, oppure di un sistema elettronico per il controllo degli accessi.
Conclusioni.
Ma allora, concretamente, di cosa ha bisogno un’organizzazione per essere conforme alla normativa?
Sinteticamente, deve seguire pochi ma importanti accorgimenti:
- Deve avere un sistema documentato di policy sul trattamento dei dati, che discende da un’adeguata organizzazione che identifica chiaramente il titolare, i responsabili, gli incaricati e gli amministratori di sistema;
- Deve pensare prima di cominciare il trattamento dei dati al perché li deve o li vuole trattare e da chi li vuole far trattare;
- Deve garantire che gli strumenti e le persone siano sempre aggiornati in modo da garantire la massima efficacia della protezione;
- Deve permettere il ripristino dei dati nel più breve tempo possibile attraverso un sistema di back-up.
- Deve scegliere con cura i propri collaboratori esterni e i fornitori che possono entrare in contatto, anche accidentalmente, con i dati personali.
- Dovrebbe garantirsi un costante ed efficace controllo sull’argomento, attraverso risorse interne e/o affidandosi alle competenze di un consulente esperto in materia.