http://www.compliancenet.it/ http://www.cmaconsulting.it/ Panfilo Marcelli Sei lezioni sulla privacy corso di formazione per le aziende con casi pratici ed esercitazioni Aggiornato ai nuovi adempimenti per le funzioni di amministratore di sistema versione 2.0 5 ottobre 2009 (Introduzione, Lezione 1, Lezione 2, Lezione 3) Creative Commons Attribuzione - Non commerciale 2.5 Italia License http://creativecommons.org/licenses/by-nc/2.5/it/ Creative Commons Attribuzione - Non commerciale 2.5 Italia License http://creativecommons.org/licenses/by-nc/2.5/it/ Commons Deed Tu sei libero: di riprodurre, distribuire, comunicare al pubblico, esporre in pubblico, rappresentare, eseguire e recitare quest'opera di modificare quest'opera Alle seguenti condizioni: Attribuzione. Devi attribuire la paternità dell'opera nei modi indicati dall'autore o da chi ti ha dato l'opera in licenza e in modo tale da non suggerire che essi avallino te o il modo in cui tu usi l'opera. Non commerciale. Non puoi usare quest'opera per fini commerciali. Ogni volta che usi o distribuisci quest'opera, devi farlo secondo i termini di questa licenza, che va comunicata con chiarezza. In ogni caso, puoi concordare col titolare dei diritti utilizzi di quest'opera non consentiti da questa licenza ([email protected]). Questa licenza lascia impregiudicati i diritti morali. Limitazione di responsabilità Le utilizzazioni consentite dalla legge sul diritto d'autore e gli altri diritti non sono in alcun modo limitati da quanto sopra. Questo è un riassunto in linguaggio accessibile a tutti del Codice Legale (la licenza integrale)1. 1 http://creativecommons.org/licenses/by-nc/2.5/it/legalcode Indice Indice INDICE ..........................................................................................................................I INTRODUZIONE ....................................................................................................... 1 LEZIONE 1 – INTRODUZIONE ALLA PRIVACY .............................................. 7 CASO DI STUDIO A – ARCOBALENI196 E LA PRIVACY .................................................. 9 UNITÀ DIDATTICA 1.1 – IL DIRITTO ALLA PROTEZIONE DEI DATI PERSONALI ............. 15 Modulo 1.1.1 – Mini glossario ............................................................................. 16 Modulo 1.1.2 – Sintesi delle norme sulla privacy ................................................ 17 Modulo 1.1.3 – Quadro normativo ....................................................................... 18 DOMANDE DI VERIFICA 1.1 ........................................................................................ 19 UNITÀ DIDATTICA 1.2 – IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI ........ 21 Modulo 1.2.1 – L’ufficio del Garante................................................................... 22 Modulo 1.2.2 – Ispezioni del Garante .................................................................. 24 Modulo 1.2.3 – Nucleo speciale funzione pubblica e privacy della Guardia di Finanza ................................................................................................................. 25 DOMANDE DI VERIFICA 1.2 ........................................................................................ 26 UNITÀ DIDATTICA 1.3 – LE PRINCIPALI NORME SULLA PRIVACY................................ 27 Modulo 1.3.1 – Codice in materia di protezione dei dati personali .................... 28 Modulo 1.3.2 – Allegati al Codice ....................................................................... 31 Modulo 1.3.3 – Allegato B - Disciplinare tecnico in materia di misure minime di sicurezza ............................................................................................................... 32 Modulo 1.3.4 – Le “semplificazioni” del 2008 sulla sicurezza e la notificazione .............................................................................................................................. 37 Modulo 1.3.5 – I nuovi adempimenti per le funzioni di “amministratore di sistema” ................................................................................................................ 39 Modulo 1.3.6 – Gli “inasprimenti” delle sanzioni del 30 dicembre 2008 ........... 41 DOMANDE DI VERIFICA 1.3 ........................................................................................ 43 RISPOSTE ALLE DOMANDE DI VERIFICA DELLA LEZIONE 1 ......................................... 44 LEZIONE 2 – ORGANIZZAZIONE DELLA PRIVACY .................................... 47 CASO DI STUDIO B ARCOBALENI196 SI ORGANIZZA ...................................................... 49 UNITÀ DIDATTICA 2.1 – PRINCIPALI ADEMPIMENTI PREVISTI DAL CODICE ................ 57 Modulo 2.1.1 – L’informativa .............................................................................. 58 Modulo 2.1.2 – Il consenso................................................................................... 61 Modulo 2.1.3 – La notificazione ........................................................................... 66 Modulo 2.1.4 – Il trasferimento dei dati in paesi terzi ......................................... 71 Modulo 2.1.5 – Le lettere di incarico ................................................................... 72 Modulo 2.1.6 – Le misure di sicurezza................................................................. 74 I Creative Commons Attribuzione - Non commerciale 2.5 Italia License Indice Modulo 2.1.7 – La formazione ............................................................................. 76 Modulo 2.1.8 – I diritti degli interessati .............................................................. 78 Modulo 2.1.9 – Check list di verifica degli adempimenti .................................... 80 DOMANDE DI VERIFICA 2.1 ........................................................................................ 82 UNITÀ DIDATTICA 2.2 – PROVVEDIMENTI PIÙ RILEVANTI PER LE AZIENDE ................ 83 Modulo 2.2.1 – Iniziative e provvedimenti del Garante ....................................... 84 Modulo 2.2.2 – I nuovi adempimenti per le funzioni di “amministratore di sistema” ................................................................................................................ 86 Modulo 2.2.3 – Semplificazioni degli adempimenti ............................................. 87 Modulo 2.2.4 – Banche: la “guida” del Garante per l'uso dei dati dei clienti ... 90 Modulo 2.2.5 – Privacy e pubblico impiego: le “linee guida” del Garante ....... 91 Modulo 2.2.6 – Linee guida del Garante per posta elettronica e internet .......... 92 Modulo 2.2.7 – Linee guida per il trattamento di dati dei dipendenti privati ..... 93 Modulo 2.2.8 – Impronte digitali e altri sistemi biometrici ................................. 94 Modulo 2.2.9 – Videosorveglianza ....................................................................... 97 Modulo 2.2.10 – Altri provvedimenti e pubblicazioni .......................................... 98 DOMANDE DI VERIFICA 2.2 ...................................................................................... 100 UNITÀ DIDATTICA 2.3 – ORGANIZZAZIONE DELLA PRIVACY.................................... 101 Modulo 2.3.1 – Il censimento dei dati personali ................................................ 102 Modulo 2.3.2 – Il censimento dei dati personali – elementi da catalogare ....... 103 Modulo 2.3.3 – I soggetti che effettuano il trattamento ..................................... 105 Modulo 2.3.4 – Titolare, contitolare o responsabile esterno ............................. 107 Modulo 2.3.5 – Nomina del responsabile interno .............................................. 108 Modulo 2.3.6 – Nomina del responsabile esterno .............................................. 109 DOMANDE DI VERIFICA 2.3 ...................................................................................... 110 RISPOSTE ALLE DOMANDE DI VERIFICA DELLA LEZIONE 2 ....................................... 111 LEZIONE 3 – PROTEZIONE DEI DATI PERSONALI ................................... 113 CASO DI STUDIO C ARCOBALENI196 E LA SICUREZZA INFORMATICA........................... 115 UNITÀ DIDATTICA 3.1 – LA SICUREZZA INFORMATICA ............................................ 123 Modulo 3.1.1 – Privacy e sicurezza ................................................................... 124 Modulo 3.1.2 – Il quadro normativo della sicurezza informatica ..................... 126 Modulo 3.1.3 – Cos’è la sicurezza informatica? ............................................... 131 Modulo 3.1.4 – Standard di sicurezza ................................................................ 132 Modulo 3.1.5 – Analisi dei rischi – la teoria...................................................... 134 Modulo 3.1.6 – Analisi dei rischi – metodologie disponibili in italiano ........... 135 Modulo 3.1.7 – Analisi dei rischi – un approccio semplificato ......................... 136 Modulo 3.1.8 – Siti utili ed approfondimenti sulla sicurezza informatica ......... 138 DOMANDE DI VERIFICA 3.1 ...................................................................................... 139 UNITÀ DIDATTICA 3.2 – IL DOCUMENTO PROGRAMMATICO SULLA SICUREZZA ...... 141 Modulo 3.2.1 – Domande frequenti sul DPS ..................................................... 142 Modulo 3.2.2 – Un esempio di DPS (con licenza aperta) .................................. 154 II Creative Commons Attribuzione - Non commerciale 2.5 Italia License Indice Modulo 3.2.3 – Analisi preliminare dell’azienda .............................................. 156 Modulo 3.2.4 – Elenco dei trattamenti di dati personali (regola 19.1) ............. 157 Modulo 3.2.5 – Distribuzione dei compiti e delle responsabilità (regola 19.2) 158 Modulo 3.2.6 – Analisi dei rischi che incombono sui dati (regola 19.3) ........... 160 Modulo 3.2.7 – Misure in essere (regola 19.4) .................................................. 164 Modulo 3.2.8 – Criteri e modalità di ripristino della disponibilità dei dati (regola 19.5) .................................................................................................................... 165 Modulo 3.2.9 – Pianificazione degli interventi formativi previsti (regola 19.6)166 Modulo 3.2.10 – Trattamenti affidati all’esterno (regola 19.7) ........................ 167 Modulo 3.2.11 – Adempimenti per la funzione di amministratore di sistema ... 168 DOMANDE DI VERIFICA 3.2 ...................................................................................... 171 UNITÀ DIDATTICA 3.3 – LA PROTEZIONE DEI DATI PERSONALI IN PRATICA .............. 173 Modulo 3.3.1 – Regolamento per l’uso delle risorse informatiche aziendali .... 174 Modulo 3.3.2 – Regolamento su posta elettronica e internet ............................ 176 Modulo 3.3.3 – Le verifiche interne ................................................................... 178 Modulo 3.3.4 – Le verifiche sull’amministratore di sistema ............................. 180 DOMANDE DI VERIFICA 3.3 ...................................................................................... 189 RISPOSTE ALLE DOMANDE DI VERIFICA DELLA LEZIONE 3 ....................................... 190 III Creative Commons Attribuzione - Non commerciale 2.5 Italia License Indice Pagina lasciata intenzionalmente bianca IV Creative Commons Attribuzione - Non commerciale 2.5 Italia License Introduzione Introduzione Questo testo è un corso di formazione sulle tematiche della privacy rivolto a coloro che lavorano in azienda. Come è noto il “Codice in materia di protezione dei dati personali” 2 prevede, tra gli obblighi di sicurezza, la programmazione di interventi formativi per “rendere edotti” gli incaricati del trattamento di dati personali dei rischi che incombono sui dati e delle relative contromisure di sicurezza; è inoltre necessario che la pianificazione della formazione sia riportata nel Documento Programmatico sulla Sicurezza, se redatto. Per rispondere anche a tali esigenze è stato realizzato questo corso che si articola in sei lezioni. 1. 2. 3. 4. 5. 6. Introduzione alla privacy. Organizzazione aziendale per la privacy. Protezione dei dati personali. Diritto di accesso. Videosorveglianza. Marketing e comunicazioni commerciali. Gli argomenti vengono proposti ed approfonditi attraverso casi pratici simulando di operare all’interno di una media impresa manifatturiera, la Arcobaleni1963 srl. 2 3 http://www.garanteprivacy.it/garante/doc.jsp?ID=1311248 http://www.arcobaleni196.it 1 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Introduzione Percorsi formativi È opportuno che la formazione sulla privacy non venga svolta in maniera indifferenziata per tutti gli incaricati ma che, viceversa, sia predisposta una “struttura formativa modulare” in relazione alle tipologie di incarico al trattamento dei dati personali. Le sei lezioni del testo si rivolgono, dunque, ad interlocutori diversi, come di seguito specificato. 1. Introduzione alla privacy: illustra il quadro normativo della privacy sottolineando i principi di base e gli adempimenti di maggior rilievo; la lezione si rivolge a tutti gli incaricati dei trattamenti e a coloro che hanno necessità di una overview generale. 2. Organizzazione aziendale per la privacy: descrive le misure organizzative che occorre adottare, in azienda, per garantire il rispetto delle norme in ambito privacy; la lezione si rivolge ai dirigenti e quadri aziendali e a coloro che hanno responsabilità aziendali, anche non esclusive, in ambito privacy, controlli e sicurezza. 3. Protezione dei dati personali: approfondisce il tema delle misure di sicurezza, minime ed idonee, che devono essere applicate nel trattamento dei dati personali; la lezione si rivolge ai Responsabili privacy aziendale e a coloro che hanno responsabilità aziendali, anche non esclusive, in ambito privacy, controlli e sicurezza. 4. Diritto di accesso: contiene le linee guida per la corretta gestione, in azienda, dei diritti in relazione al trattamento dei dati personali; la lezione si rivolge ai Responsabili privacy aziendali, ai responsabili ed incaricati dei trattamenti degli uffici che si occupano di aspetti legali, contenzioso, reclami, customer satisfaction. 5. Videosorveglianza: contiene le indicazioni per la corretta gestione, in azienda, dei sistemi di videosorveglianza; la lezione si rivolge ai Responsabili privacy aziendali ed ai responsabili dei trattamenti di videosorveglianza. 6. Marketing e comunicazioni commerciali: contiene il quadro di riferimento per gli adempimenti privacy da rispettare nelle attività di commerciali; la lezione si rivolge ai Responsabili privacy aziendali, ai responsabili ed incaricati dei trattamenti di marketing, commerciale, vendite, comunicazione. 2 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Introduzione Le sei lezioni possono essere combinate secondo veri e propri “percorsi formativi” quali quelli di seguito proposti. Corso per incaricati al trattamento dei dati personali lezione 1 Introduzione alla privacy Corso per Direzione lezione 1 Introduzione alla privacy lezione 2 Organizzazione aziendale per la privacy Corso per Responsabile dei trattamenti lezione 1 Introduzione alla privacy lezione 2 Organizzazione aziendale per la privacy lezione 3 Protezione dei dati personali lezione 4 Diritto di accesso Corso per Responsabile dei trattamenti con video sorveglianza lezione 1 Introduzione alla privacy lezione 2 Organizzazione aziendale per la privacy lezione 3 Protezione dei dati personali lezione 4 Diritto di accesso lezione 5 Videosorveglianza Corso per Responsabile dei trattamenti di marketing lezione 1 Introduzione alla privacy lezione 2 Organizzazione aziendale per la privacy lezione 3 Protezione dei dati personali lezione 4 Diritto di accesso lezione 6 Marketing e comunicazioni commerciali È ovviamente possibile far svolgere a particolari classi di incaricati l’intero corso per dare una formazione ed informazione più ampia. 3 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Introduzione Organizzazione dei contenuti Ogni lezione si compone di unità didattiche; ogni unità didattica è suddivisa in moduli. Lezioni, unità e moduli sono numerati così da facilitare sia i percorsi didattici sia il reperimento delle informazioni. Ogni lezione inizia con la descrizione di un “caso di studio” concreto che serve ad introdurre gli argomenti di seguito trattati. Dopo ogni unità didattica ci sono “domande di verifica” sugli argomenti trattati le cui soluzioni sono fornite in allegato al testo. L1 Introduzione alla privacy CS1 Arcobaleni196 e la privacy Caso di studio U11 Il diritto alla protezione dei dati personali Domande di verifica Lezioni U12 Il Garante per la protezione dei dati personali …. Unità Didattiche DV11 Verifica la tua comprensione M111 La privacy in Italia M112 Quadro normativo … 4 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Moduli Introduzione Il sito web collegato al libro Questo testo viene diffuso attraverso i siti ComplianceNet4 e CMa Consulting5. Al corso è inoltre collegato il sito Arcobaleni1966 dal nome (fittizio) della società che è protagonista dei nostri casi di studio ed esercitazioni. Ringraziamenti Si ringrazia ComplianceNet e CMa Consulting per l’aiuto e l’assistenza nella redazione di questo corso; in particolare: Cristina Cellucci per l’entusiasmo che mette in tutte le sue iniziative (questo corso non avrebbe visto luce senza il suo aiuto); Cristina può essere contattata al seguente indirizzo email: [email protected] Manlio Torquato per la revisione, correzione, puntualizzazione dei contenuti del testo (questo corso ha rischiato, per colpa sua, più di una volta di non vedere la luce...); Manlio può essere contattato al seguente indirizzo email: [email protected] Limitazione di responsabilità ComplianceNet, CMA Consulting, Panfilo Marcelli, Cristina Cellucci, Manlio Torquato e tutti coloro che hanno contribuito a tale documento non forniscono nessuna assicurazione né garanzia che l’uso di questo documento, delle relative linee guida, dei suggerimenti, delle check list e degli strumenti indicati in questa pubblicazione possano garantire di per sé la conformità alle norme. 4 http://www.compliancenet.it/ http://www.cmaconsulting.it/ 6 http://www.arcobaleni196.it 5 5 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Introduzione Panfilo Marcelli si presenta Mi sono laureato in Ingegneria all’Università de l’Aquila. Ho lavorato per oltre vent’anni presso primarie aziende informatiche e di consulenza (IPACRI, Euros Consulting, OASI) con incarichi, anche direttivi, in ambito Information Technology, Privacy e Protezione dei dati personali, Qualità e Certificazione ISO9000 e ISO27001, Workflow Management e Business Process Reengineering, Internet, Intranet e gestione di siti con sistemi CMS. Attualmente sono partner di CMa Consulting7 società specializzata in servizi, consulenza e formazione in ambito Compliance, Privacy, Qualità e Sicurezza. Se volete contattarmi la mia email è [email protected] 7 http://www.cmaconsulting.it/ 6 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 1 – Introduzione alla privacy Lezione 1 – Introduzione alla privacy Caso di studio a – Arcobaleni196 e la privacy Unità Didattica 1.1 - Il diritto alla protezione dei dati personali Unità Didattica 1.2 - Il Garante per la protezione dei dati personali Unità Didattica 1.3 - Le principali norme sulla privacy Risposte alle domande di verifica della lezione 1 7 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 1 – Introduzione alla privacy Obiettivi di apprendimento Cos’è la Privacy? Quale sono le norme più importanti in ambito privacy? Cos’è il Garante per la protezione dei dati personali e che poteri ha? A chi si rivolge questa lezione? A tutti gli incaricati. Percorsi formativi Corso per incaricati al trattamento dei dati personali. Corso per Direzione. Corso per Responsabile dei trattamenti. Corso per Responsabile dei trattamenti con video sorveglianza. Corso per Responsabile dei trattamenti di marketing. Concetti chiave: Codice in materia di protezione dei dati personali. Allegati al Codice. Ufficio del Garante. 8 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 1 – Caso di studio A Lezione 1 – Caso di studio A – Arcobaleni196 e la privacy 9 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 1 – Caso di studio A Le lezioni di questo corso sono basate su una serie di casi di studio concreti. Simuleremo di trovarci presso Arcobaleni196 srl8 una società che produce e commercializza vernici speciali per la carrozzeria di veicoli. Sono stato convocato dal cavalier Pinco Arcobaleni, fondatore e Direttore Generale dell’azienda. “Ho bisogno di una consulenza sulla privacy” mi ha detto telefonicamente. E così vado a trovarlo. Primo incontro con il cavalier Arcobaleni “Voglio mettere telecamere ovunque!” ha esordito il cavalier Arcobaleni non appena mi sono accomodato nel suo ufficio. “Come mai?” ho chiesto cercando di rimanere imperturbabile. “Ieri è stato rubato un altro computer portatile! È il terzo dall’inizio dell’anno adesso basta! Voglio sapere chi è che ruba in azienda. Inoltre il mese scorso, nonostante il divieto di fumo in tutti gli uffici, qualcuno ha acceso una sigaretta in uno dei bagni facendo suonare l’allarme antincendio.” “Le telecamere non sono vietate di per sé” gli ho spiegato “ma la legge sulla privacy impone di seguire delle regole.” “Regole, sempre regole! In Italia è diventato impossibile condurre un’azienda” ha sbuffato Arcobaleni “l’ho chiamata proprio per questo, caro ingegnere. Il mio assistente, dottor Marroni, ha letto su Internet i suoi articoli9 sulla privacy e ha consigliato di avere un suo parere prima di installare le telecamere. Ma mi dica subito: cosa c’entra la legge sulla privacy con le telecamere? Posso installarle sì o no?” 8 9 http://www.arcobaleni196.it/ http://www.compliancenet.it/category/compliancenet/privacy 10 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 1 – Caso di studio A “In Italia esistono norme precise, ed in alcuni casi anche severe, sui trattamenti di dati personali. Le riprese effettuate con sistemi di videosorveglianza sono considerati trattamenti di dati personali. Dal primo gennaio 2004 l’intera materia è stata riordinata e precisata dal Codice in materia di protezione dei dati personali” ho spiegato. “Le dico subito che in azienda non trattiamo dati personali!” mi ha interrotto con un sorriso trionfante Arcobaleni. “Come fa ad esserne così sicuro?” gli ho chiesto non poco sorpreso. “Legga qua” mi dice il cavaliere allungandomi un foglio. Comunicazione del Direttore Generale del 15 settembre 2008 Si comunica a tutto il personale che a far data da oggi è vietato il trattamento di qualsiasi dato personale in azienda. Firmato Pinco Arcobaleni Direttore Generale Sono sempre più preoccupato. “Perché ha scritto questa comunicazione?” gli chiedo. “Me lo ha consigliato la dottoressa Rossetti. Mi ha detto che nel giugno 2008 è stato abrogato l’obbligo delle misure di sicurezza per le aziende che non trattano dati sensibili.” 11 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 1 – Caso di studio A “Nessuno ha abrogato l’obbligo di adottare le misure di sicurezza” chiarisco “il Decreto Legge 25 giugno 2008 n.11210 del giugno 2008, poi tradotto in un provvedimento11 del Garante nel dicembre 2008, ha semplicemente abrogato l’obbligo della redazione del Documento Programmatico sulla sicurezza per tutte le aziende che non trattano dati sensibili o che trattano solo dati sensibili inerenti salute e malattia dei propri dipendenti, senza indicazione della diagnosi”. “Mi scusi mi sono espresso male. Intendevo dire che non trattiamo dati sensibili! Sa con tutte queste definizioni … Adesso però dovrò rifare la comunicazione a tutto il personale … Non è che mi darebbe una mano? Avrei bisogno che qualcuno mi chiarisse un po’ meglio le idee sulla privacy. Ma mi dica subito: posso installare o no le telecamere?” “Solo se segue le indicazioni del Garante.” “Mi può riepilogare quali sono queste indicazioni?” “Certamente cavaliere. Ma il mio consiglio è di fare un po’ di ordine sia sulle norme sia sugli adempimenti privacy. Temo che ci siano numerosi obblighi che avete sottovalutato. Le posso fare una proposta? Convochi i suoi principali collaboratori ed in un paio d’ore le farò un quadro completo della normativa e di quello che serve per fare il censimento dei trattamenti.” “Ingegnere, sarò franco: fino ad oggi non ci siamo curati di questi aspetti e non abbiamo mai avuto problemi … Non siamo una grande azienda che può spendere migliaia di euro su questi temi. Io la ringrazio per essere venuto a trovarmi ma vorrei essere onesto con lei: ho altre priorità!” “Tocca a lei decidere, cavaliere. Le ricordo però che le sanzioni previste per il mancato rispetto delle norme sulla privacy sono sia penali sia amministrative.” “Ohibò, si rischia il carcere?” “Le sanzioni penali possono comportare anche pene detentive oltre che pecuniarie. Le sanzioni amministrative possono essere pecuniarie o a fronte di gravi irregolarità arrivare anche al blocco del trattamento dei dati.” “Che significa?” “Significa che Arcobaleni196 non potrebbe più operare e sarebbe costretta a chiudere… Cavaliere si fidi di me! Facciamo così: mi accordi due ore con i suoi collaboratori più stretti. E poi decida lei se andare avanti con il mio aiuto o continuare a fare tutto da solo.” 10 11 http://www.camera.it/parlam/leggi/decreti/08112d.htm http://www.garanteprivacy.it/garante/doc.jsp?ID=1571218 12 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 1 – Caso di studio A Sanzioni per gli adempimenti privacy prima degli inasprimenti introdotti con il D.L. n. 207 del 30 dicembre 2008 (articolo 4412) Illeciti penali Sanzioni amministrative Trattamento illecito di dati Omessa o inidonea informativa Da € 3.000,00 a € 18.000,00 Omessa o inidonea informativa (dati sensibili, giudiziari, trattamenti che presentano rischi specifici) Da € 5.000,00 a € 30.000,00 Cessione illecita di dati Da € 5.000,00 a € 30.000,00 Violazione relativa ai dati personali idonei a rilevare lo stato di salute Da € 500,00 a € 3.000,00 Omessa o incompleta notificazione Da € 10.000,00 a € 60.000,00 Omessa informazione o esibizione al Garante dei documenti richiesti Da € 4.000,00 a € 24.000,00 Reclusione da 6 a 24 mesi Trattamento illecito di dati (dati sensibili, giudiziari, trattamenti che presentano rischi specifici) Reclusione da 1 a 3 anni Falsità nelle dichiarazioni e notificazioni al Garante Reclusione da 6 mesi a 3 anni Omessa adozione delle misure minime di sicurezza Arresto fino a 2 anni Sanzione pecuniaria da € 10.000,00 a € 50.000,00 Violazione da parte dei datori di lavoro del divieto di Effettuare indagini su opinioni politiche, Controllo attraverso luso di impianti audiovisivi, o altre apparecchiature art.4 Legge n.300/1970 Arresto da 15 giorni a 1 anno L’articolo 44 del D.L. 30.12.2008 n. 207 ha inasprito le sanzioni previste dal “Codice in materia di protezione dei dati personali”. Il trattamento di dati personali in violazione delle misure di sicurezza, oltre ad essere punito con l’arresto sino a due anni, viene punito con una sanzione amministrativa da 20.000 a 120.000 euro; vengono inoltre previsti casi di minore e maggiore gravità, rispettivamente con diminuzione ed aumento delle sanzioni. “Okay ingegnere. Faccio venire immediatamente i miei principali collaboratori: Carmela Rossetti della qualità e controlli, Giuseppina Nerucci delle risorse umane, Ercole Marroni della produzione, Mariuccia Nerini della Contabilità.” 12 http://www.gazzettaufficiale.it/guridb/dispatcher?service=1&datagu=2008-1231&task=testoArticolo&progressivoarticolo=0&versionearticolo=1&subarticolo=1&numeroarticolo=44&redaz=008G0 232&tmstp=1232193077977 13 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 1 – Caso di studio A Introduzione alla privacy (Alcuni minuti dopo: presenti tutti i collaboratori.) “Bene. Vi farò una breve introduzione alla privacy affrontando tre argomenti: 1. Il diritto alla protezione dei dati personali 2. Il Garante per la protezione dei dati personali 3. Le principali norme sulla privacy” Inizia il corso… 14 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 1 – Unità didattica 1.1 Lezione 1 – Unità didattica 1.1 – Il diritto alla protezione dei dati personali Modulo 1.1.1 – Mini glossario Modulo 1.1.2 – Sintesi delle norme sulla privacy Modulo 1.1.3 – Quadro normativo Domande di verifica 1.1 15 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 1 – Unità didattica 1.1 Modulo 1.1.1 – Mini glossario Tratto dalla brochure del Garante per la protezione dei dati personali: “La tutela dei dati personali: il primo Garante sei tu”13. Dato personale: qualunque informazione relativa ad un individuo, ad una persona giuridica, ad un ente o associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, compreso un numero di identificazione personale. Dato sensibile: qualunque dato che può rivelare l’origine razziale, l’appartenenza etnica, le convinzioni religiose o di altra natura, le opinioni politiche, l’appartenenza a partiti o sindacati, lo stato di salute e la vita sessuale. Trattamento dei dati personali: qualunque operazione o complesso di operazioni, effettuate anche senza mezzi elettronici o automatizzati (raccolta, registrazione, organizzazione, conservazione, elaborazione, modificazione, selezione, estrazione, raffronto, utilizzo, interconnessione, blocco, comunicazione, diffusione, cancellazione e distruzione). Titolare del trattamento: la pubblica amministrazione, la persona giuridica o fisica cui competono le decisioni in ordine alle finalità ed alle modalità del trattamento dei dati personali. Interessato: la persona fisica, la persona giuridica, l’ente o l’associazione cui si riferiscono i dati. Informativa: contiene le informazioni che il titolare del trattamento deve fornire all’interessato per chiarire, in particolare, se quest’ultimo è obbligato o meno a rilasciare i dati, quali sono gli scopi e le modalità del trattamento, come circolano i dati e in che modo esercitare i diritti riconosciuti dalla legge. Consenso: la libera manifestazione della volontà con la quale l’interessato accetta – in modo espresso e, se vi sono dati sensibili, per iscritto - un determinato trattamento di dati che lo riguardano, sul quale è stato preventivamente informato da chi utilizza i dati. Il Garante: un’Autorità indipendente composta da quattro membri eletti dal Parlamento. È stata istituita per la tutela dei diritti, delle libertà fondamentali e della dignità delle persone rispetto al trattamento dei dati personali. Controlla se il trattamento di dati personali da parte di privati e pubbliche amministrazioni è lecito e corretto. Esamina reclami, segnalazioni e ricorsi, svolge accertamenti anche su richiesta del cittadino, esegue ispezioni e verifiche. Prescrive modifiche necessarie od opportune per far adeguare i trattamenti alla disciplina vigente. Segnala al Parlamento e al Governo l’opportunità di interventi normativi per tutelare gli interessati. Esprime pareri su regolamenti e atti amministrativi di alcune amministrazioni pubbliche. Presenta al Parlamento e al Governo una relazione annuale sullo stato di attuazione della normativa che regola la materia. 13 http://www.garanteprivacy.it/garante/document?ID=1382763 16 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 1 – Unità didattica 1.1 Modulo 1.1.2 – Sintesi delle norme sulla privacy Dal 1996 in Italia vige il “diritto alla protezione dei dati personali” a cui comunemente ci si riferisce come “Legge sulla Privacy”: infatti il 31 dicembre 1996 è entrata in vigore la legge n. 675 “Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali”. Nel 2003 tale legge è stata abrogata e sostituita dal decreto legislativo 196/03 noto come “Codice in materia di protezione dei dati personali” 14 entrato in vigore il primo gennaio 2004. Il primo articolo del Codice chiarisce cosa si intende per privacy nell’ordinamento italiano; recita infatti tale articolo: “chiunque ha diritto alla protezione dei dati personali che lo riguardano”. Tale protezione consiste nella garanzia che il trattamento dei dati personali si svolga nel rispetto dei diritti e delle libertà fondamentali, nonché della dignità dell'interessato, con particolare riferimento alla riservatezza, all'identità personale ed al diritto alla protezione dei dati personali. Va chiarito che lo spirito della legge non è impedire il trattamento dei dati personali ma evitare che questo avvenga contro la volontà dell'avente diritto, ovvero secondo modalità “pregiudizievoli”. Il Codice, in pratica, definisce la modalità di raccolta dei dati, gli obblighi di chi raccoglie, detiene o tratta dati personali e le responsabilità e sanzioni in caso di danni. Nel 1997 è stato costituito il “Garante per la protezione dei dati personali”, un organo collegiale composto da quattro membri eletto dal Parlamento che ha il compito di vigilare sul rispetto delle norme sulla privacy. Alle dipendenze del Garante è posto un Ufficio con un organico di circa 100 unità. Il Garante ha sintetizzato15 i contenuti delle norme sulla privacy come segue. I dati personali sono una proiezione della persona. La legge tutela la riservatezza, l’identità personale, la dignità e gli altri nostri diritti e libertà fondamentali. Il trattamento dei dati che ci riguardano deve rispettare le garanzie previste dalla legge. La prima garanzia è la trasparenza. Ognuno di noi ha il diritto di “sapere”. Il diritto di conoscere se un soggetto detiene informazioni, di apprenderne il contenuto, di farle rettificare se erronee, incomplete o non aggiornate. Conoscere i nostri diritti e il modo per farli valere è semplice. 14 http://www.garanteprivacy.it/garante/doc.jsp?ID=1311248 Brochure “La tutela dei dati personali: il primo Garante sei tu” http://www.garanteprivacy.it/garante/document?ID=1382763 15 17 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 1 – Unità didattica 1.1 Modulo 1.1.3 – Quadro normativo Il “Codice in materia di protezione dei dati personali” 16 è il testo principale di riferimento per la privacy. Si tratta di una sorta di “testo unico” che a far data dal primo gennaio 2004 sostituisce, integra ed accorpa tutte le precedenti normative in materia (in particolare sostituisce la legge 675/96). Il Codice contiene le definizioni ed i principi di riferimento. Le misure pratiche per adempiere ai principi sono contenute negli allegati; tra questi uno dei più importanti è l’allegato B sulle misure minime di sicurezza. Infine occorre tener presente i diversi provvedimenti17, con valore di legge, che il Garante ha emanato. Periodicamente il Garante pubblica anche linee guida e modelli di riferimento per il rispetto degli adempimenti. Mentre il Codice, gli allegati al codice ed i provvedimenti hanno valore di legge e sono dunque obbligatori le linee guida ed i modelli sono opzionali. Tutti i testi di legge sono disponibili sul sito del Garante18. Il 24 febbraio 2009 il Garante per la protezione dei dati personali ha predisposto sul proprio sito una nuova area “Indice per materia”19che raccoglie i principali provvedimenti dell'Autorità suddivisi per materia e affianca quella cronologica. Codice Obblighi normativi Allegati Provvedimenti Best practices 16 17 Linee guida Modelli http://www.garanteprivacy.it/garante/doc.jsp?ID=1311248 http://www.garanteprivacy.it/garante/navig/jsp/index.jsp?folderpath=Provvedimenti 18 http://www.garanteprivacy.it/garante/navig/jsp/index.jsp?folderpath=Normativa%2FItaliana%2FIl+Codice+in+materia+di+protezione+dei+dati+personali 19 http://www.garanteprivacy.it/garante/doc.jsp?ID=1592067 18 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 1 – Unità didattica 1.1 Domande di verifica 1.1 Domanda Il Codice in materia di protezione dei dati personali è in vigore dal primo gennaio 2001. Quando è stata abrogata la legge sulla privacy del 1996? La legge sulla privacy riguarda solo le persone fisiche e non le aziende. Prima risposta Falso, il Codice in materia di protezione dei dati personali è in vigore dal primo gennaio 2004 e sostituisce la precedente legge n.675 del 1996. Non è stata abrogata. Dal 2003 è stata integrata dal Codice in materia di protezione dei dati personali. Vero. Le aziende però possono appellarsi al Garante per la protezione dei dati personali. Seconda risposta Falso. Dal 2001 è in vigore la legge n.675 sulla privacy poi abrogata dal Codice nel 2003. Terza risposta Vero. Il primo gennaio 2001 è entrato il vigore il nuovo Codice che ha abrogato la legge n.675 sulla privacy. Non è stata abrogata. È ancora in vigore. Nel 2004 dal Codice in materia di protezione dei dati personali. Vero. Le aziende fanno riferimento ad altre norme. Falso. Le norme sulla privacy si applicano sia a persone fisiche che ad aziende. 19 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 1 – Unità didattica 1.1 Pagina lasciata intenzionalmente bianca 20 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 1 – Unità didattica 1.2 Lezione 1 – Unità didattica 1.2 – Il Garante per la protezione dei dati personali Modulo 1.2.1 – L’Ufficio del Garante Modulo 1.2.2 – Ispezioni del Garante Modulo 1.2.3 – Nucleo speciale funzione pubblica e privacy della Guardia di Finanza Domande di verifica 1.2 21 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 1 – Unità didattica 1.2 Modulo 1.2.1 – L’ufficio del Garante Il Garante per la protezione dei dati personali è un’autorità indipendente, istituita dalla legge sulla privacy del 31 dicembre 1996 per assicurare la tutela dei diritti e delle libertà fondamentali ed il rispetto della dignità nel trattamento dei dati personali. Si tratta di un organo collegiale, composto da quattro membri eletti dal Parlamento, i quali rimangono in carica per un mandato di quattro anni rinnovabile una volta sola. Il Codice del 200320 ha confermato ruoli e compiti di tale authority. L’attuale collegio21 si è insediato il 18 aprile 2005 ed è così composto: Presidente Francesco Pizzetti Vicepresidente Giuseppe Chiaravalloti Componenti Mauro Paissan Giuseppe Fortunato Fonte immagini22 zzzz Il Segretario generale dell’Ufficio del Garante è Filippo Patroni Griffi23. 20 http://www.garanteprivacy.it/garante/doc.jsp?ID=1311248 Alla data del 17 gennaio 2009 22 http://www.garanteprivacy.it/garante/doc.jsp?ID=1116178 23 http://www.garanteprivacy.it/garante/doc.jsp?ID=1596831 21 22 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 1 – Unità didattica 1.2 Il primo Presidente dell’Ufficio del Garante è stato il professor Stefano Rodotà24 considerato il “padre” fondatore della legge. Rodotà è stato “Garante” della privacy dal 2000 al 2004. Fonte immagine25 Il primo Segretario generale dell’Ufficio del Garante è stato Giovanni Buttarelli26 che il 23 dicembre 2008 è stato nominato Garante europeo aggiunto dei dati personali27 (EDPS) ed ha lasciato l’Autorità28. Fonte immagine29 I principali compiti del Garante sono: controllo della conformità dei trattamenti di dati personali a leggi e regolamenti e la segnalazione ai titolari o ai responsabili dei trattamenti delle modifiche da adottare per conseguire tale conformità; esame delle segnalazioni, dei ricorsi e dei reclami degli interessati; adozione dei provvedimenti previsti dalla normativa in materia tra cui, in particolare, le autorizzazioni generali per il trattamento dei dati sensibili; promozione, nell’ambito delle categorie interessate, della sottoscrizione dei codici di deontologia e di buona condotta; divieto, in tutto od in parte, ovvero il blocco del trattamento di dati personali quando per la loro natura, oppure per le modalità o gli effetti di tale trattamento, vi sia il rischio concreto di un rilevante pregiudizio per l’interessato. Per rivolgersi al Garante ci si può recare presso l’Autorità, Ufficio per le relazioni con il pubblico, Piazza di Monte Citorio, 123, Lunedì - Venerdì ore 10.00 - 13.00, e-mail: [email protected] Immagine tratta da Google Maps30 24 http://it.wikipedia.org/wiki/Stefano_Rodot%C3%A0 http://commons.wikimedia.org/wiki/Image:Stefano_Rodot%C3%A0_Trento_2007.jpg?uselang=it 26 http://www.garanteprivacy.it/garante/doc.jsp?ID=1127990 27 http://europa.eu/institutions/others/edps/index_it.htm 28 http://www.garanteprivacy.it/garante/doc.jsp?ID=1581546 29 http://www.garanteprivacy.it/garante/doc.jsp?ID=1127990 30 http://maps.google.it/ 25 23 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 1 – Unità didattica 1.2 Modulo 1.2.2 – Ispezioni del Garante Ogni anno, attraverso il proprio sito web e la sua newsletter31, il Garante rende noto il piano ispettivo previsto per i successivi mesi. Nella newsletter n. 326 del 27 luglio 200932 il Garante ha comunicato il piano ispettivo per il secondo semestre 2009. Tre i settori interessati dall'attività di accertamento del Garante per la privacy: 1. sistema informativo del fisco 2. enti previdenziali 3. commercializzazione di banche dati per finalità di marketing. Il piano prevede sia nel settore pubblico che in quello privato, specifici controlli anche riguardo all'adozione delle misure di sicurezza, all'informativa da fornire ai cittadini, al consenso da richiedere nei casi previsti dalla legge. Oltre 200 gli accertamenti ispettivi previsti che verranno effettuati anche in collaborazione con le Unità Speciali della Guardia di Finanza - Nucleo Privacy. A questi accertamenti si affiancheranno, come di consueto, quelli che si renderanno necessari in ordine a segnalazioni e reclami presentati. 31 32 http://www.garanteprivacy.it/garante/navig/jsp/index.jsp?folderpath=Newsletter http://www.garanteprivacy.it/garante/doc.jsp?ID=1634378 24 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 1 – Unità didattica 1.2 Modulo 1.2.3 – Nucleo speciale funzione pubblica e privacy della Guardia di Finanza Per le attività ispettive il Garante si avvale di un reparto speciale della Guardia di Finanza noto “Nucleo Speciale Funzione Pubblica e Privacy33” che collabora all'attività ispettiva attraverso: il reperimento di dati ed informazioni sui soggetti da controllare; l'assistenza nei rapporti con le Autorità Giudiziarie; la partecipazione di proprio personale agli accessi alle banche dati, ispezioni, verifiche e alle altre rilevazioni nei luoghi ove si svolge il trattamento; lo sviluppo delle attività delegate o sub-delegate per l'accertamento delle violazioni di natura penale o amministrativa; la contestazione delle sanzioni amministrative rilevate nell'ambito delle attività delegate; l'esecuzione di indagini conoscitive sullo stato di attuazione della citata Legge in settori specifici; la segnalazione all'Autorità di tutte le situazioni rilevanti ai fini dell'applicazione del Codice, di cui venga a conoscenza nel corso dell'esecuzione delle ordinarie attività di servizio. Fonte immagine34 33 34 http://www.gdf.it/reparti/reparto.asp?idreparto=RM083&idcomune=&provincia=&denominazione=&catastale = http://www.gdf.it/organizzazione/dove_siamo/comando_dei_reparti_speciali/info-407534563.html 25 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 1 – Unità didattica 1.2 Domande di verifica 1.2 Domanda L’Autorità Garante per la protezione dei dati personali non ha reali poteri ma può semplicemente “consigliare” i comportamenti corretti. La nomina dei componenti dell’Autorità Garante per la privacy è di tipo “politica”. Prima risposta Vero. Il garante può solo effettuare una “moral suasion”. I cittadini, e le imprese, possono appellarsi direttamente al garante per far valere i propri diritti. Falso. I membri dell’autorità sono nominati dai rappresentanti delle associazioni di categoria. Vero. Solo però dopo aver fatto prima ricorso attraverso la magistratura. Tra gli incarichi del Garante vi sono le ispezioni nelle aziende per valutare il rispetto degli adempimenti di legge. Vero. Ogni anno il Garante presenta pubblicamente il piano delle ispezioni previste. Seconda risposta Falso. Pur non avendo reali poteri può richiedere l’intervento della magistratura o delle forze di polizia per imporre i propri provvedimenti. Vero. I membri dell’autorità sono nominati dal Governo. Terza risposta Falso. Il Garante può infliggere sanzioni ed imporre le proprie decisioni fino al blocco dei trattamenti. Vero. Sul sito del Garante sono disponibili anche suggerimenti e modelli per esercitare tale diritto. Vero. Il Garante può fare ispezioni solo in seguito a denunce o ricorsi da parte di cittadini o imprese. Falso. Occorre fare ricorso alla magistratura per far valere i propri diritti in ambito privacy. Falso. Solo le forse di polizia possono fare ispezioni nelle aziende. Vero. I membri dell’autorità sono nominati dal Parlamento. 26 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 1 – Unità didattica 1.3 Lezione 1 – Unità didattica 1.3 – Le principali norme sulla privacy Modulo 1.3.1 – Codice in materia di protezione dei dati personali Modulo 1.3.2 – Allegati al Codice Modulo 1.3.3 – Allegato B - Disciplinare tecnico in materia di misure minime di sicurezza Modulo 1.3.4 – Le “semplificazioni” del 2008 sulla sicurezza e la notificazione Modulo 1.3.5 – I nuovi adempimenti per le funzioni di “amministratore di sistema” Modulo 1.3.6 – Gli “inasprimenti” delle sanzioni del 30 dicembre 2008 Domande di verifica 1.3 27 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 1 – Unità didattica 1.3 Modulo 1.3.1 – Codice in materia di protezione dei dati personali Il primo gennaio 2004 è entrato in vigore il “Codice in materia di protezione dei dati personali35” che ha abrogato e sostituito la precedente legge n. 675/96 sulla privacy e successive modifiche. Il Codice è diviso in tre parti: 1. disposizioni generali; 2. disposizioni relative a specifici settori; 3. norme relative alle forme di tutela, alle sanzioni ed all’ufficio del Garante per la protezione dei dati personali. Diritti fondamentali L’articolo 1 spiega chiaramente lo spirito della norma: “chiunque ha diritto alla protezione dei dati personali che lo riguardano”. L’articolo 2 recita che il Codice “garantisce che il trattamento dei dati personali si svolga nel rispetto dei diritti e delle libertà fondamentali, nonché della dignità dell’interessato, con particolare riferimento alla riservatezza, all’identità personale e al diritto alla protezione dei dati personali”. Trattamenti e dati Le disposizioni del Codice si applicano al trattamento di dati personali cioè a “qualunque operazione o complesso di operazioni, effettuati anche senza l’ausilio di strumenti elettronici, concernenti: la raccolta, la registrazione, l’organizzazione, la conservazione, la consultazione, l’elaborazione, la modificazione, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione, 35 http://www.garanteprivacy.it/garante/doc.jsp?ID=1311248 28 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 1 – Unità didattica 1.3 la distruzione di dati anche se non registrati in una banca di dati”. L’articolo 4 definisce i dati personali come “qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale”. I dati personali si dividono in: dati identificativi, ossia “dati personali che permettono l’identificazione diretta dell'interessato”; dati sensibili,ossia “dati personali idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale”. I soggetti che effettuano il trattamento Gli obblighi in materia di Privacy sono a carico del “titolare del trattamento” cioè di norma la persona fisica (si pensi all’imprenditore individuale) o giuridica (ad esempio, la società) che tratta i dati personali (con la raccolta, la registrazione, la comunicazione o la diffusione). Il “responsabile del trattamento” (ma possono essere più d’uno) è una figura che può essere designata a propria discrezione dal titolare del trattamento con un atto scritto nel quale vanno indicati i compiti affidati. Occorre scegliere persone fisiche od organismi che per esperienza, capacità ed affidabilità, forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza (art. 29 del Codice). La nomina del responsabile è utile o in presenza di imprese con organizzazione articolata (ad es., possono essere designati responsabili del trattamento i dirigenti di funzioni aziendali, quali quelle del personale o del settore marketing) o rispetto a soggetti esterni all’impresa, per svariate forme di outsourcing che comportino un trattamento di dati personali (ad es., per i centri di elaborazione dati contabili, per i servizi di postalizzazione, per le società di recupero crediti, etc.). Gli “incaricati del trattamento” sono soggetti (solo persone fisiche) che effettuano materialmente le operazioni di trattamento dei dati personali e operano sotto la diretta autorità del titolare (o del responsabile) attenendosi a istruzioni scritte (art. 30 del Codice); in pratica sono i dipendenti o collaboratori dell'azienda. Il "titolare del trattamento" è tenuto a designarli cioè a nominarli per iscritto incaricati specificando quali dati può trattare. In pratica è sufficiente "assegnare un dipendente ad una unità organizzativa, a condizione che risultino per iscritto le categorie di dati cui può avere accesso e gli ambiti del trattamento. Così, in un’azienda nella quale ad una unità organizzativa sono stati assegnati un determinato numero di dipendenti, si potrà ovviare ad una formale designazione (ad esempio, mediante consegna di apposita comunicazione scritta), qualora si individuino gli ambiti di competenza (in ordine ai trattamenti di dati consentiti) di quella unità mediante una previsione scritta (ad es. nell’organigramma, nel contratto, nei mansionari, ecc.) e risulti inoltre che tali dipendenti sono stati assegnati stabilmente a tale unità". Principi Il Codice fissa alcuni principi generali che devono esser seguiti nel trattamento di dati personali; in particolare: in applicazione del principio di necessità (articolo 3), i sistemi informativi e i programmi informatici devono essere configurati, già in origine, in modo da ridurre al minimo l'utilizzo di informazioni relative a clienti identificabili. Il trattamento di dati personali relativi a clienti non è lecito se le finalità del trattamento, in particolare di profilazione, possono essere perseguite con dati anonimi o solo indirettamente identificativi; 29 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 1 – Unità didattica 1.3 nel rispetto del principio di proporzionalità nel trattamento (articolo 11, comma 1, lett. d), tutti i dati personali e le varie modalità del loro trattamento devono essere pertinenti e non eccedenti rispetto alle finalità perseguite; il trattamento dei dati è possibile solo se è fondato su uno dei presupposti di liceità che il Codice prevede espressamente per gli organi pubblici da un lato (svolgimento di funzioni istituzionali: articoli 18-22) e, dall’altro, per soggetti privati ed enti pubblici economici (adempimento ad un obbligo di legge, provvedimento del Garante di c.d. “bilanciamento di interessi” o consenso libero ed espresso: articoli 23-27); le finalità perseguite dal trattamento devono essere determinati, espliciti e legittimi (articolo 11, comma 1, lett. b); ciò comporta che il titolare possa perseguire solo finalità di sua pertinenza. Diritti degli interessati La disciplina di protezione dei dati personali attribuisce a ciascun interessato il diritto di accedere ai dati personali a sé riferiti e di esercitare gli altri diritti previsti dall'art. 7 del Codice. Se l'interessato esercita il proprio diritto d'accesso ai dati che lo riguardano o uno degli altri diritti che gli sono riconosciuti, il titolare del trattamento (o il responsabile) deve fornire riscontro (di regola) entro quindici giorni dal ricevimento dell'istanza (art. 146 del Codice). In caso di omesso o incompleto riscontro, i predetti diritti possono essere fatti valere dinanzi all'autorità giudiziaria o con ricorso al Garante (art. 145 del Codice). L’inversione dell’onere della prova L’articolo 15 del Codice recita “chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell’art. 2050 del codice civile”, il quale a sua volta dispone che “chiunque cagiona danno ad altri nello svolgimento di un’attività pericolosa, per sua natura o per la natura dei mezzi adoperati, è tenuto al risarcimento, se non prova di avere adottato tutte le misure idonee a evitare il danno”. Nella pratica, l’art. 2050 del Codice Civile obbliga, in caso di contenzioso, il titolare a dimostrare di aver adottato tutte le misure idonee ad evitare il possibile danno. Sanzioni Il Codice prevede sia sanzioni di carattere amministrativo sia illeciti penali. Le sanzioni di carattere amministrativo sono causate da: omessa o inidonea informativa all’interessato (articolo 161); illecita cessione di dati personali (articolo 162); omessa o incompleta notificazione (articolo 163); omessa informazione o esibizione al Garante (articolo 164). Gli illeciti penali sono causati da: trattamento illecito di dati (articolo 167); falsità nelle dichiarazioni e notificazioni al Garante (articolo 168); omissione delle misure minime di sicurezza (articolo 169); inosservanza di provvedimenti del Garante (articolo 170). 30 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 1 – Unità didattica 1.3 Modulo 1.3.2 – Allegati al Codice Gli allegati sono: Allegato A.6. Codice di deontologia e di buona condotta per i trattamenti di dati personali effettuati per svolgere investigazioni difensive36 Allegato A.5. Codice di deontologia e di buona condotta per i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilità e puntualità nei pagamenti37 Allegato A.4. Codice di deontologia e di buona condotta per i trattamenti di dati personali per scopi statistici e scientifici38 Allegato A.1. Codice di deontologia - Trattamento dei dati personali nell'esercizio dell'attività giornalistica39 Allegato A.2. Codici di deontologia - Trattamento dei dati personali per scopi storici40 Allegato A.3. Codice di deontologia - Trattamento dei dati personali a scopi statistici in ambito Sistan41 Allegato B. Disciplinare tecnico in materia di misure minime di sicurezza42 Allegato C. Trattamenti non occasionali effettuati in ambito giudiziario o per fini di polizia43 36 http://www.garanteprivacy.it/garante/doc.jsp?ID=1565171 http://www.garanteprivacy.it/garante/doc.jsp?ID=1556693 38 http://www.garanteprivacy.it/garante/doc.jsp?ID=1556635 39 http://www.garanteprivacy.it/garante/doc.jsp?ID=1556386 40 http://www.garanteprivacy.it/garante/doc.jsp?ID=1556419 41 http://www.garanteprivacy.it/garante/doc.jsp?ID=1556573 42 http://www.garanteprivacy.it/garante/doc.jsp?ID=1557184 43 http://www.garanteprivacy.it/garante/doc.jsp?ID=1557209 37 31 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 1 – Unità didattica 1.3 Modulo 1.3.3 – Allegato B - Disciplinare tecnico in materia di misure minime di sicurezza Il “Disciplinare tecnico in materia di misure minime di sicurezza” (allegato B44) specifica le modalità tecniche da adottare a cura del titolare, del responsabile ove designato e dell'incaricato, in caso di trattamenti di dati con strumenti elettronici o senza strumenti elettronici. Tali modalità vanno “lette” a partire da quanto indicato negli articoli da 33 a 36 del Codice in materia di protezione dei dati personali” 45 relative alla cosiddette “Misure minime di sicurezza” che indicano che, “nel quadro dei più generali obblighi di sicurezza”, i titolari del trattamento sono comunque tenuti ad adottare le misure minime di seguito indicate (suddivise tra misure da adottare per i trattamenti effettuati con strumenti elettronici e misure da adottare per trattamenti effettuati senza strumenti elettronici). Trattamenti con strumenti elettronici (articolo 34 del Codice) Il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell'allegato B), le seguenti misure minime: a) b) c) d) e) f) g) h) autenticazione informatica; adozione di procedure di gestione delle credenziali di autenticazione; utilizzazione di un sistema di autorizzazione; aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici; protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici; adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi; tenuta di un aggiornato documento programmatico sulla sicurezza; adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari. Con le semplificazioni adottate nel dicembre 2008 è stato aggiunto all’articolo 34 il comma 1-bis di seguito riportato. Per i soggetti che trattano soltanto dati personali non sensibili e che trattano come unici dati sensibili quelli costituiti dallo stato di salute o malattia dei propri dipendenti e collaboratori anche a progetto, senza indicazione della relativa diagnosi, ovvero dall'adesione ad organizzazioni sindacali o a carattere sindacale, la tenuta di un 44 45 http://www.garanteprivacy.it/garante/doc.jsp?ID=1557184 http://www.garanteprivacy.it/garante/doc.jsp?ID=1311248 32 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 1 – Unità didattica 1.3 aggiornato documento programmatico sulla sicurezza è sostituita dall'obbligo di autocertificazione, resa dal titolare del trattamento ai sensi dell'articolo 47 del testo unico di cui al decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, di trattare soltanto tali dati in osservanza delle altre misure di sicurezza prescritte. In relazione a tali trattamenti, nonché a trattamenti comunque effettuati per correnti finalità amministrative e contabili, in particolare presso piccole e medie imprese, liberi professionisti e artigiani, il Garante, sentito il Ministro per la semplificazione normativa, individua con proprio provvedimento, da aggiornare periodicamente, modalità semplificate di applicazione del disciplinare tecnico di cui all'Allegato B) in ordine all'adozione delle misure minime di cui al comma 1. Trattamenti senza l'ausilio di strumenti elettronici (articolo 35 del Codice) Il trattamento di dati personali effettuato senza l'ausilio di strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell'allegato B), le seguenti misure minime: a) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati o alle unità organizzative; b) previsione di procedure per un'idonea custodia di atti e documenti affidati agli incaricati per lo svolgimento dei relativi compiti; c) previsione di procedure per la conservazione di determinati atti in archivi ad accesso selezionato e disciplina delle modalità di accesso finalizzata all'identificazione degli incaricati. Allegato B Il “Disciplinare tecnico in materia di misure minime di sicurezza” (allegato B46) specifica le modalità con cui attuare le misure minime di sicurezza indicate nel Codice. Sistema di autenticazione informatica 1. Il trattamento di dati personali con strumenti elettronici è consentito agli incaricati dotati di credenziali di autenticazione che consentano il superamento di una procedura di autenticazione relativa a uno specifico trattamento o a un insieme di trattamenti. 2. Le credenziali di autenticazione consistono in un codice per l'identificazione dell'incaricato associato a una parola chiave riservata conosciuta solamente dal medesimo oppure in un dispositivo di autenticazione in possesso e uso esclusivo dell'incaricato, eventualmente associato a un codice identificativo o a una parola chiave, oppure in una caratteristica biometrica dell'incaricato, eventualmente associata a un codice identificativo o a una parola chiave. 3. Ad ogni incaricato sono assegnate o associate individualmente una o più credenziali per l'autenticazione. 4. Con le istruzioni impartite agli incaricati è prescritto di adottare le necessarie cautele per assicurare la segretezza della componente riservata della credenziale e la diligente custodia dei dispositivi in possesso ed uso esclusivo dell'incaricato. 5. La parola chiave, quando è prevista dal sistema di autenticazione, è composta da almeno otto caratteri oppure, nel caso in cui lo strumento elettronico non lo permetta, da un numero di caratteri pari al massimo consentito; essa non contiene riferimenti agevolmente riconducibili all'incaricato ed è modificata da quest'ultimo al primo utilizzo e, 46 http://www.garanteprivacy.it/garante/doc.jsp?ID=1557184 33 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 1 – Unità didattica 1.3 successivamente, almeno ogni sei mesi. In caso di trattamento di dati sensibili e di dati giudiziari la parola chiave è modificata almeno ogni tre mesi. 6. Il codice per l'identificazione, laddove utilizzato, non può essere assegnato ad altri incaricati, neppure in tempi diversi. 7. Le credenziali di autenticazione non utilizzate da almeno sei mesi sono disattivate, salvo quelle preventivamente autorizzate per soli scopi di gestione tecnica. 8. Le credenziali sono disattivate anche in caso di perdita della qualità che consente all'incaricato l'accesso ai dati personali. 9. Sono impartite istruzioni agli incaricati per non lasciare incustodito e accessibile lo strumento elettronico durante una sessione di trattamento. 10. Quando l'accesso ai dati e agli strumenti elettronici è consentito esclusivamente mediante uso della componente riservata della credenziale per l'autenticazione, sono impartite idonee e preventive disposizioni scritte volte a individuare chiaramente le modalità con le quali il titolare può assicurare la disponibilità di dati o strumenti elettronici in caso di prolungata assenza o impedimento dell'incaricato che renda indispensabile e indifferibile intervenire per esclusive necessità di operatività e di sicurezza del sistema. In tal caso la custodia delle copie delle credenziali è organizzata garantendo la relativa segretezza e individuando preventivamente per iscritto i soggetti incaricati della loro custodia, i quali devono informare tempestivamente l'incaricato dell'intervento effettuato. 11. Le disposizioni sul sistema di autenticazione di cui ai precedenti punti e quelle sul sistema di autorizzazione non si applicano ai trattamenti dei dati personali destinati alla diffusione. Sistema di autorizzazione 12. Quando per gli incaricati sono individuati profili di autorizzazione di ambito diverso è utilizzato un sistema di autorizzazione. 13. I profili di autorizzazione, per ciascun incaricato o per classi omogenee di incaricati, sono individuati e configurati anteriormente all'inizio del trattamento, in modo da limitare l'accesso ai soli dati necessari per effettuare le operazioni di trattamento. 14. Periodicamente, e comunque almeno annualmente, è verificata la sussistenza delle condizioni per la conservazione dei profili di autorizzazione. Altre misure di sicurezza 15. Nell'ambito dell'aggiornamento periodico con cadenza almeno annuale dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici, la lista degli incaricati può essere redatta anche per classi omogenee di incarico e dei relativi profili di autorizzazione. 16. I dati personali sono protetti contro il rischio di intrusione e dell'azione di programmi di cui all'art. 615-quinquies del codice penale, mediante l'attivazione di idonei strumenti elettronici da aggiornare con cadenza almeno semestrale. 17. Gli aggiornamenti periodici dei programmi per elaboratore volti a prevenire la vulnerabilità di strumenti elettronici e a correggerne difetti sono effettuati almeno annualmente. In caso di trattamento di dati sensibili o giudiziari l'aggiornamento è almeno semestrale. 18. Sono impartite istruzioni organizzative e tecniche che prevedono il salvataggio dei dati con frequenza almeno settimanale. 34 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 1 – Unità didattica 1.3 Documento programmatico sulla sicurezza 19. Entro il 31 marzo di ogni anno, il titolare di un trattamento di dati sensibili o di dati giudiziari47 redige anche attraverso il responsabile, se designato, un documento programmatico sulla sicurezza contenente idonee informazioni riguardo: 19.1.l'elenco dei trattamenti di dati personali; 19.2.la distribuzione dei compiti e delle responsabilità nell'ambito delle strutture preposte al trattamento dei dati; 19.3.l'analisi dei rischi che incombono sui dati; 19.4.le misure da adottare per garantire l'integrità e la disponibilità dei dati, nonchè la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità; 19.5.la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento di cui al successivo punto 23; 19.6.la previsione di interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare. La formazione è programmata già al momento dell'ingresso in servizio, nonchè in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati personali; 19.7.la descrizione dei criteri da adottare per garantire l'adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformità al codice, all'esterno della struttura del titolare; 19.8.per i dati personali idonei a rivelare lo stato di salute e la vita sessuale di cui al punto 24, l'individuazione dei criteri da adottare per la cifratura o per la separazione di tali dati dagli altri dati personali dell'interessato. Ulteriori misure in caso di trattamento di dati sensibili o giudiziari 20. I dati sensibili o giudiziari sono protetti contro l'accesso abusivo, di cui all'art. 615-ter del codice penale, mediante l'utilizzo di idonei strumenti elettronici. 21. Sono impartite istruzioni organizzative e tecniche per la custodia e l'uso dei supporti rimovibili su cui sono memorizzati i dati al fine di evitare accessi non autorizzati e trattamenti non consentiti. 22. I supporti rimovibili contenenti dati sensibili o giudiziari se non utilizzati sono distrutti o resi inutilizzabili, ovvero possono essere riutilizzati da altri incaricati, non autorizzati al trattamento degli stessi dati, se le informazioni precedentemente in essi contenute non sono intelligibili e tecnicamente in alcun modo ricostruibili. 23. Sono adottate idonee misure per garantire il ripristino dell'accesso ai dati in caso di danneggiamento degli stessi o degli strumenti elettronici, in tempi certi compatibili con i diritti degli interessati e non superiori a sette giorni. 24. Gli organismi sanitari e gli esercenti le professioni sanitarie effettuano il trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale contenuti in elenchi, registri o banche di 47 Con le semplificazioni adottate nel dicembre 2008 per i titolari che trattano soltanto dati personali non sensibili e che trattano come unici dati sensibili quelli costituiti dallo stato di salute o malattia dei propri dipendenti e collaboratori anche a progetto, senza indicazione della relativa diagnosi, ovvero dall'adesione ad organizzazioni sindacali o a carattere sindacale, la tenuta di un aggiornato documento programmatico sulla sicurezza è sostituita dall'obbligo di autocertificazione 35 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 1 – Unità didattica 1.3 dati con le modalità di cui all'articolo 22, comma 6, del codice, anche al fine di consentire il trattamento disgiunto dei medesimi dati dagli altri dati personali che permettono di identificare direttamente gli interessati. I dati relativi all'identità genetica sono trattati esclusivamente all'interno di locali protetti accessibili ai soli incaricati dei trattamenti ed ai soggetti specificatamente autorizzati ad accedervi; il trasporto dei dati all'esterno dei locali riservati al loro trattamento deve avvenire in contenitori muniti di serratura o dispositivi equipollenti; il trasferimento dei dati in formato elettronico è cifrato. Misure di tutela e garanzia 25. Il titolare che adotta misure minime di sicurezza avvalendosi di soggetti esterni alla propria struttura, per provvedere alla esecuzione riceve dall'installatore una descrizione scritta dell'intervento effettuato che ne attesta la conformità alle disposizioni del presente disciplinare tecnico. 26. Il titolare riferisce, nella relazione accompagnatoria del bilancio d'esercizio, se dovuta, dell'avvenuta redazione o aggiornamento del documento programmatico sulla sicurezza. Trattamenti senza l'ausilio di strumenti elettronici Modalità tecniche da adottare a cura del titolare, del responsabile, ove designato, e dell'incaricato, in caso di trattamento con strumenti diversi da quelli elettronici: 27. Agli incaricati sono impartite istruzioni scritte finalizzate al controllo ed alla custodia, per l'intero ciclo necessario allo svolgimento delle operazioni di trattamento, degli atti e dei documenti contenenti dati personali. Nell'ambito dell'aggiornamento periodico con cadenza almeno annuale dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati, la lista degli incaricati può essere redatta anche per classi omogenee di incarico e dei relativi profili di autorizzazione. 28. Quando gli atti e i documenti contenenti dati personali sensibili o giudiziari sono affidati agli incaricati del trattamento per lo svolgimento dei relativi compiti, i medesimi atti e documenti sono controllati e custoditi dagli incaricati fino alla restituzione in maniera che ad essi non accedano persone prive di autorizzazione, e sono restituiti al termine delle operazioni affidate. 29. L'accesso agli archivi contenenti dati sensibili o giudiziari è controllato. Le persone ammesse, a qualunque titolo, dopo l'orario di chiusura, sono identificate e registrate. Quando gli archivi non sono dotati di strumenti elettronici per il controllo degli accessi o di incaricati della vigilanza, le persone che vi accedono sono preventivamente autorizzate. 36 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 1 – Unità didattica 1.3 Modulo 1.3.4 – Le “semplificazioni” del 2008 sulla sicurezza e la notificazione Il 9 dicembre 2008 il Garante per la protezione dei dati personali ha reso noto48 un provvedimento49 sulla semplificazione di alcuni adempimenti in materia di protezione dei dati personali. Le nuove garanzie, adottate sentito il Ministro per la semplificazione normativa, interessano: amministrazioni pubbliche e società private che utilizzano dati personali non sensibili (nome, cognome, indirizzo, codice fiscale, numero di telefono) o che trattano come unici dati sensibili dei dipendenti quelli relativi allo stato di salute o all'adesione a organizzazioni sindacali; piccole e medie imprese, liberi professionisti o artigiani che trattano dati solo per fini amministrativi e contabili. Obiettivo dell'Autorità è quello di mantenere un adeguato livello per le misure minime di sicurezza venendo però incontro alle esigenze prospettate da imprese, soprattutto di piccole dimensioni, volte a snellire le procedure, graduare le cautele a seconda della delicatezza dei trattamenti e a contenere i costi. In base al provvedimento del Garante, le categorie interessate: possono impartire agli incaricati le istruzioni in materia di misure minime anche oralmente; possono utilizzare per l'accesso ai sistemi informatici un qualsiasi sistema di autenticazione basato su un username e una password; lo username deve essere disattivato quando viene meno il diritto di accesso ai dati (es. non si opera più all'interno dell'organizzazione); in caso di assenze prolungate o di impedimenti del dipendente possono mettere in atto procedure o modalità che consentano comunque l'operatività e la sicurezza del sistema ( ad es. l'invio automatico delle mail ad un altro recapito accessibile); devono aggiornare i programmi di sicurezza (antivirus) almeno una volta l'anno, e effettuare backup dei dati almeno una volta al mese. Con il provvedimento, inoltre, il Garante ha fornito a piccole e medie imprese, artigiani, liberi professioni, soggetti pubblici e privati che trattano dati solo a fini amministrativi e contabili, alcune indicazioni per la redazione di un documento programmatico per la sicurezza semplificato. Procedure semplificate sono state indicate anche per chi tratta dati senza l'impiego di sistemi informatici. Insieme a quello sulle misure minime di sicurezza, il Garante ha adottato anche un provvedimento che semplifica il modello utilizzato per effettuare le notificazioni, ossia le dichiarazioni da fare 48 49 http://www.garanteprivacy.it/garante/doc.jsp?ID=1573203 http://www.garanteprivacy.it/garante/doc.jsp?ID=1571218 37 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 1 – Unità didattica 1.3 all'Autorità quando si avvia un trattamento di particolari tipi di dati (genetici, biometrici, procreazione assistita, ecc.). Il provvedimento sulle misure di sicurezza è immediatamente applicabile senza necessità di istanze o comunicazioni al Garante, mentre quello sulla notificazione sarà operativo entro 60 giorni dalla pubblicazione in Gazzetta e non comporterà l'obbligo di notificare di nuovo o modificare le notificazioni a carico di chi lo abbia già fatto. 38 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 1 – Unità didattica 1.3 Modulo 1.3.5 – I nuovi adempimenti per le funzioni di “amministratore di sistema” Sulla Gazzetta Ufficiale n. 300 del 24 dicembre 200850 è stato pubblicato il testo del provvedimento del 27 novembre 2008 del Garante per la protezione dei dati personali dal titolo “Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema”51. Il Garante ha rilevata l'esigenza di intraprendere una specifica attività rispetto ai soggetti preposti ad attività riconducibili alle mansioni tipiche dei cosiddetti “amministratori di sistema” nonché di coloro che svolgono mansioni analoghe in rapporto a sistemi di elaborazione e banche di dati, evidenziandone la rilevanza rispetto ai trattamenti di dati personali anche allo scopo di promuovere presso i relativi titolari e nel pubblico la consapevolezza della delicatezza di tali peculiari mansioni nella "Società dell'informazione" e dei rischi a esse associati. Di conseguenza il Garante impone nuovi adempimenti ai titolari di trattamenti effettuati (anche parzialmente) con strumenti elettronici. I nuovi adempimenti non riguardano i titolari destinatari delle recenti “semplificazioni” sugli obblighi privacy. Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici 1. Valutazione delle caratteristiche soggettive. L'attribuzione delle funzioni di amministratore di sistema deve avvenire previa valutazione dell'esperienza, della capacità e dell'affidabilità del soggetto designato, il quale deve fornire idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento ivi compreso il profilo relativo alla sicurezza. Anche quando le funzioni di amministratore di sistema o assimilate sono attribuite solo nel quadro di una designazione quale incaricato del trattamento ai sensi dell'art. 30 del Codice, il titolare e il responsabile devono attenersi comunque a criteri di valutazione equipollenti a quelli richiesti per la designazione dei responsabili ai sensi dell'art. 29. 2. Designazioni individuali. La designazione quale amministratore di sistema deve essere in ogni caso individuale e recare l'elencazione analitica degli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato. 3. Elenco degli amministratori di sistema. Gli estremi identificativi delle persone fisiche amministratori di sistema, con l'elenco delle funzioni ad essi attribuite, devono essere riportati nel Documento Programmatico sulla Sicurezza, oppure, nei casi in cui il titolare non è tenuto a redigerlo, annotati comunque in un documento interno da mantenere aggiornato e disponibile in caso di accertamenti anche da parte del Garante. Qualora l'attività degli amministratori di sistema riguardi anche indirettamente servizi o sistemi che trattano o che permettono il trattamento di informazioni di carattere personale di lavoratori, i titolari pubblici e privati nella qualità di datori di lavoro sono tenuti a rendere nota o conoscibile l'identità degli amministratori di sistema nell'ambito delle proprie organizzazioni, secondo le caratteristiche dell'azienda o del servizio, in relazione ai diversi 50 http://www.gazzettaufficiale.it/guridb/dispatcher?service=1&datagu=2008-1224&task=dettaglio&numgu=300&redaz=08A09816&tmstp=1230659946972 51 http://www.garanteprivacy.it/garante/doc.jsp?ID=1580831 39 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 1 – Unità didattica 1.3 servizi informatici cui questi sono preposti. Ciò, avvalendosi dell'informativa resa agli interessati ai sensi dell'art. 13 del Codice nell'ambito del rapporto di lavoro che li lega al titolare, oppure tramite il disciplinare tecnico la cui adozione è prevista dal provvedimento del Garante n. 13 del 1° marzo 2007 (in Gazzetta Ufficiale 10 marzo 2007, n. 58); in alternativa si possono anche utilizzare strumenti di comunicazione interna (a es., intranet aziendale, ordini di servizio a circolazione interna o bollettini). Ciò, salvi i casi in cui tale forma di pubblicità o di conoscibilità non sia esclusa in forza di un'eventuale disposizione di legge che disciplini in modo difforme uno specifico settore. Nel caso di servizi di amministrazione di sistema affidati in outsourcing il titolare deve conservare direttamente e specificamente, per ogni eventuale evenienza, gli estremi identificativi delle persone fisiche preposte quali amministratori di sistema. 4. Verifica delle attività. L'operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, di un'attività di verifica da parte dei titolari del trattamento, in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza rispetto ai trattamenti dei dati personali previste dalle norme vigenti. 5. Registrazione degli accessi. Devono essere adottati sistemi idonei alla registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema. Le registrazioni (access log) devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo di verifica per cui sono richieste. Le registrazioni devono comprendere i riferimenti temporali e la descrizione dell'evento che le ha generate e devono essere conservate per un congruo periodo, non inferiore a sei mesi. 6. Tempi di adozione delle misure e degli accorgimenti. Per tutti i titolari dei trattamenti già iniziati o che avranno inizio entro trenta giorni dalla data di pubblicazione nella Gazzetta Ufficiale del presente provvedimento, le misure e gli accorgimenti (…) dovranno essere introdotti al più presto e comunque entro, e non oltre, il termine che è congruo stabilire, in centoventi giorni dalla medesima data. Per tutti gli altri trattamenti che avranno inizio dopo il predetto termine di trenta giorni dalla pubblicazione, gli accorgimenti e le misure dovranno essere introdotti anteriormente all'inizio del trattamento dei dati. Il 26 giugno 2009 il Garante per la protezione dei dati personali, attraverso un “comunicato stampa”52 ha integrato e parzialmente modificato il provvedimento relativo agli "amministratori di sistema", recependo alcune indicazioni pervenute, anche da associazioni di categoria, nel corso della consultazione pubblica conclusasi il 31 maggio. Con le nuove disposizioni53 il Garante intende facilitare il corretto adempimento alle prescrizioni impartite, mantenendo comunque elevato il livello di protezione dei dati personali e le garanzie per i cittadini. L’autorità, in particolare, ha consentito che gli adempimenti connessi all'individuazione degli amministratori di sistema e alla tenuta dei relativi elenchi possano essere effettuati, oltre che dai titolari, anche dai responsabili del trattamento. Ciò allo scopo di rendere tali obblighi più agevoli per quelle realtà aziendali nelle quali determinati servizi informatici vengono svolti da società esterne. Di conseguenza - limitatamente alle misure tecniche e organizzative necessarie per quanto richiesto - il termine per l'adozione delle prescrizioni è stato prorogato al 15 dicembre prossimo. 52 53 http://www.garanteprivacy.it/garante/doc.jsp?ID=1626716 http://www.garanteprivacy.it/garante/doc.jsp?ID=1626595 40 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 1 – Unità didattica 1.3 Modulo 1.3.6 – Gli “inasprimenti” delle sanzioni del 30 dicembre 2008 Con l’articolo 4454 del D.L. 30.12.2008 n. 207 sono state inasprite le sanzioni previste dal “Codice in materia di protezione dei dati personali”55. In particolare il trattamento in violazione delle misure di sicurezza, oltre ad essere punito con l’arresto sino a due anni, viene punito con una sanzione amministrativa da 20.000 a 120.000 euro; vengono inoltre previsti casi di minore e maggiore gravità, rispettivamente con diminuzione ed aumento delle sanzioni. Le sanzioni prima del D.L. 30.12.2008 n. 207 Illeciti penali Sanzioni amministrative Trattamento illecito di dati Omessa o inidonea informativa Da € 3.000,00 a € 18.000,00 Omessa o inidonea informativa (dati sensibili, giudiziari, trattamenti che presentano rischi specifici) Da € 5.000,00 a € 30.000,00 Cessione illecita di dati Da € 5.000,00 a € 30.000,00 Violazione relativa ai dati personali idonei a rilevare lo stato di salute Da € 500,00 a € 3.000,00 Omessa o incompleta notificazione Da € 10.000,00 a € 60.000,00 Omessa informazione o esibizione al Garante dei documenti richiesti Da € 4.000,00 a € 24.000,00 Reclusione da 6 a 24 mesi Trattamento illecito di dati (dati sensibili, giudiziari, trattamenti che presentano rischi specifici) Reclusione da 1 a 3 anni Falsità nelle dichiarazioni e notificazioni al Garante Reclusione da 6 mesi a 3 anni Omessa adozione delle misure minime di sicurezza Arresto fino a 2 anni Sanzione pecuniaria da € 10.000,00 a € 50.000,00 Violazione da parte dei datori di lavoro del divieto di Effettuare indagini su opinioni politiche, Controllo attraverso luso di impianti audiovisivi, o altre apparecchiature art.4 Legge n.300/1970 Arresto da 15 giorni a 1 anno Gli inasprimenti delle sanzioni già previste Sanzioni amministrative Omessa od inidonea informativa all’interessato Cessione illecita dei dati Violazioni relative ai dati personali idonei a rivelare lo stato di salute Omessa o incompleta notificazione Omessa informazione o esibizione di documenti al Garante Prima del DL 207/2008 Da 3.000 a 18.000 euro Da 5.000 a 30.000 euro Da 500 a 3.000 euro DOPO il DL 207/2008 Da 6.000 a 36.000 euro Da 10.000 a 60.000 euro Da 1.000 a 6.000 euro Da 10.000 a 60.000 euro Da 4.000 a 24.000 euro 54 Da 20.000 a 120.000 euro Da 10.000 a 60.000 euro http://www.gazzettaufficiale.it/guridb/dispatcher?service=1&datagu=2008-1231&task=testoArticolo&progressivoarticolo=0&versionearticolo=1&subarticolo=1&numeroarticolo=44&redaz=008G0 232&tmstp=1232193077977 55 http://www.garanteprivacy.it/garante/doc.jsp?ID=1311248 41 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 1 – Unità didattica 1.3 Le nuove sanzioni Nuovo comma 2 bis all’articolo 162 In caso di “trattamento di dati in violazione delle misure di sicurezza (misure di cui all’art. 33 e dell’allegato B al Dlgs. 196/2003 incluso il DPS)” si applica in sede amministrativa in ogni caso la sanzione da 20.000 a 120.000 euro. L’articolo 169 prevede inoltre l’arresto sino a due anni ‐ nel caso di regolarizzazione delle omissioni nei 60 giorni successivi l’autore della violazione è ammesso a definire la violazione con il pagamento del quarto del massimo; l’adempimento ed il pagamento estinguono il reato. Introduzione dell’articolo 164 bis c. 1 (Casi di minore gravità) Se taluna delle violazioni di cui agli articoli 161‐162‐163‐164 è di minore gravità avuto riguardo anche alla natura economica e sociale dell’attività svolta i limiti minimi e massimi delle sanzioni sono applicati in misura pari a 2/5 (due quinti) Introduzione dell’articolo 164 bis c. 2 (Cumulo delle sanzioni) In caso di violazione di più disposizioni ad eccezione di quelle di cui all’art. 162 c. 2 ‐162 bis e 164, commesse anche in tempi diversi in relazione a banche dati di particolare rilevanza o dimensioni si applica la sanzione amministrativa da 50.000 a 300.000 euro Introduzione dell’articolo 164 bis c. 3 (Casi di maggiore gravità) Nei casi di maggiore gravità e di maggiore rilevanza del pregiudizio per uno o più interessati, o quando la violazione coinvolge numerosi interessati, i limini minimo e massimo delle sanzioni sono applicati in misura pari al doppio Introduzione dell’articolo 164 bis c. 4 (Casi di maggiore gravità) Le sanzioni possono essere aumentate sino al quadruplo quando possono risultare inefficaci in ragione delle condizioni economiche del trasgressore. 42 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 1 – Unità didattica 1.3 Domande di verifica 1.3 Domanda L’allegato B al Codice contiene l’elenco delle misure minime di sicurezza da adottare per i trattamenti di dati personali. Prima risposta Vero. L’allegato contiene le disposizioni tecniche relative alla misure minime di sicurezza già enunciate nel Codice. L’allegato A5 riguarda Vero. Questo allegato le centrali rischi fissa le regole su come private. trattare i dati delle persone ed aziende registrate come cattivi (o buoni) pagatori. L’allegato A3 contiene Vero. il codice deontologico Il codice deontologico sul marketing. fissa le regole da adottare nel trattamento di dati personali per finalità di marketing e commerciali. Seconda risposta Falso. L’allegato B indica come garantire i diritti dei cittadini in ambito privacy. Terza risposta Parzialmente vero L’allegato B faceva parte della precedente legge 675 sulla privacy. Oggi è in vigore il d.lgs. 231/01. Vero. L’allegato contiene anche un codice di condotta da far sottoscrivere al consumatore. Falso. L’allegato contiene le modalità per inviare la notificazione dei trattamenti al Garante. Parzialmente vero. È l’allegato A4 che contiene il codice deontologico sul marketing. Falso. Il codice deontologico sul marketing non è ancora stato emanato. 43 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 1 – Risposte alle domande di verifica Risposte alle domande di verifica della lezione 1 Domande di verifica 1.1 e risposte corrette Domanda Il Codice in materia di protezione dei dati personali è in vigore dal primo gennaio 2001. Falso, il Codice in materia di protezione dei dati personali è in vigore dal primo gennaio 2004 e sostituisce la precedente legge n.675 del 1996. Quando è stata abrogata la legge sulla privacy del 1996? Nel 2004 dal Codice in materia di protezione dei dati personali. Falso. Le norme sulla privacy si applicano sia a persone fisiche che ad aziende. La legge sulla privacy riguarda solo le persone fisiche e non le aziende. Domande di verifica 1.2 e risposte corrette Domanda L’Autorità Garante per la protezione dei dati personali non ha reali poteri ma può semplicemente “consigliare” i comportamenti corretti. La nomina dei componenti dell’Autorità Garante per la privacy è di tipo “politica”. I cittadini, e le imprese, possono appellarsi direttamente al garante per far valere i propri diritti. Falso. Il Garante può infliggere sanzioni ed imporre le proprie decisioni fino al blocco dei trattamenti. Vero. I membri dell’autorità sono nominati dal Parlamento. Vero. Sul sito del Garante sono disponibili anche suggerimenti e modelli 44 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 1 – Risposte alle domande di verifica per esercitare tale diritto Tra gli incarichi del Garante vi sono le ispezioni nelle aziende per valutare il rispetto degli adempimenti di legge. Vero. Ogni anno il Garante presenta pubblicamente il piano delle ispezioni previste. Domande di verifica 1.3 e risposte corrette Domanda L’allegato B al Codice contiene l’elenco delle misure minime di sicurezza da adottare per i trattamenti di dati personali. L’allegato A5 riguarda le centrali rischi private. Vero. L’allegato contiene le disposizioni tecniche relative alla misure minime di sicurezza già enunciate nel Codice. Vero. Questo allegato fissa le regole su come trattare i dati delle persone ed aziende registrate come cattivi (o buoni) pagatori. L’allegato A3 contiene il codice deontologico sul marketing. Falso. Il codice deontologico sul marketing non è ancora stato emanato. 45 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 1 – Risposte alle domande di verifica Pagina lasciata intenzionalmente bianca 46 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 2 – Organizzazione della privacy Lezione 2 – Organizzazione della privacy Caso di studio a – Arcobaleni196 si organizza Unità Didattica 2.1 – Principali adempimenti previsti dal Codice Unità Didattica 2.2 – Provvedimenti più rilevanti per le aziende Unità Didattica 2.3 – Organizzazione della privacy Risposte alle domande di verifica della lezione 2 47 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 2 – Organizzazione della privacy Obiettivi di apprendimento Cosa sono i provvedimenti del Garante? Informativa, consenso, notificazione Misure di sicurezza A chi si rivolge questa lezione? Direzione aziendale, Responsabili dei trattamenti Percorsi formativi Corso per Direzione. Corso per Responsabile dei trattamenti. Corso per Responsabile dei trattamenti con video sorveglianza. Corso per Responsabile dei trattamenti di marketing. Concetti chiave: Organizzazione per la privacy. Adempimenti privacy. Titolare, Responsabile, incaricato. 48 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 2 – Caso di studio B Lezione 2 – Caso di studio B Arcobaleni196 si organizza 49 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 2 – Caso di studio B Nel primo incontro con il Direttor Generale della società Arcobaleni196 (il cavalier Arcobaleni!) ho fatto, a lui ed ai suoi collaboratori, un riepilogo delle principali norme in ambito privacy. Adesso sono di nuovo a colloquio con il cavalier Arcobaleni per decidere cosa deve fare l’azienda per essere “conforme” alla normativa sulla privacy. “Caro ingegnere” esordisce il cavalier Arcobaleni non appena mi sono accomodato nel suo ufficio “la sua lezione di introduzione alla Privacy è stata molto interessante però fin’ora ho sentito solo teoria … Capisce, noi siamo una piccola impresa e dobbiamo essere concreti! Mi ha convinto che Arcobaleni196 deve organizzarsi meglio rispetto alla privacy. Ci dica dunque: cosa dobbiamo fare, in concreto? Quanto tempo ci vuole per mettere tutto a posto? E specialmente quanto mi costerà tutto ciò?” “Risponderò tra un attimo a tutte le sue domande, caro cavaliere. Per indicarle in modo chiaro e completo gli adempimenti a cui siete soggetti ho bisogno di qualche altra informazione. Dunque le chiedo una ulteriore cortesia. Mi spiega in breve di cosa si occupa Arcobaleni196?” “Molto volentieri ingegnere. Ho fondato io quest’azienda vent’anni fa!” Presentazione di Arcobaleni196 srl La storia Arcobaleni196 srl è una società specializzata nella produzione di vernici speciali per la carrozzeria di veicoli. La società è stata fondata agli inizi degli anni 80 da Pinco Arcobaleni, attuale Direttore Generale, ed è detentrice di numerosi brevetti nazionali ed internazionali. I prodotti non sono venduti direttamente al pubblico ma alle principali case automobilistiche mondiali. La sede unica dell’azienda è ubicata presso Colleazzurro, vicino Roma. I dipendenti sono circa 60. La società è certificata secondo la norma UNI EN ISO 9001:2000 per tutte le proprie attività. Struttura organizzativa La maggior parte dei dipendenti lavora nell’area “produzione”, area a cui fanno riferimento 4 reparti: 1. logistica; 2. impianti; 3. ricerca e sviluppo; 50 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 2 – Caso di studio B 4. informatica. Il resto dei dipendenti lavora nelle funzioni amministrative: contabilità, risorse umane, qualità. Canali distributivi Arcobaleni196 si avvale, per la commercializzazione dei propri prodotti, di una rete di distributori internazionali. Negli ultimi cinque anni ha cominciato ad utilizzare anche il canale Internet e si è dotata di un sito web56 che fungere da vetrina elettronica dei prodotti della società e permette: ai distributori di fare gli ordini ad Arcobaleni196 via web; ai clienti di trovare il fornitore di riferimento per zona geografica o tipo di prodotto; alla società di pubblicizzare eventi commerciali. Funzioni e processi esternalizzati Sono affidati a ditte esterne: gestione paghe e contributi; aspetti fiscali, legali e di diritto del lavoro; sicurezza fisica e vigilanza; sicurezza 626 sul posto di lavoro. “Bene cavaliere, adesso ho le idee più chiare. Un’ultima domanda. In questa azienda non c’è un responsabile per la privacy?” “Assolutamente no! Le ho già detto che non trattiamo dati personali! Anzi mi scusi non trattiamo dati sensibili … Perché me lo chiede? Lei mi consiglia di nominare un responsabile?” 56 http://www.arcobaleni196.it/ 51 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 2 – Caso di studio B “La nomina del responsabile dei trattamenti non è obbligatoria ma di solito è utile in quanto concentra su una figura aziendale il rispetto degli adempimenti. Adesso cercherò di riassumerle quali sono questi adempimenti nel caso di Arcobaleni196. Le dico subito che parte di essi nascono dal tipo di trattamenti di dati personali che sono effettuati in azienda. Chi è che ha un quadro completo di essi?” “Non so …” medita Arcobaleni “Qualcosa posso dirle io stesso. Poi occorre chiedere al responsabile dei sistemi informativi. Inoltre dobbiamo verificare anche con il responsabile amministrativo …” “Dobbiamo censire i trattamenti elettronici ed anche quelli cartacei” ricordo al cavaliere. “Allora riconvochiamo tutti i miei collaboratori e facciamoci indicare i trattamenti direttamente da loro!” esclama il Arcobaleni sollevando il telefono. Al lavoro! Eccoci di nuovo tutti intorno al tavolo. Spiego ancora una volta che per operare in modo efficace rispetto agli adempimenti della privacy occorre in primo luogo partire dal censimento dei trattamenti dei dati personali. Propongo dunque un “esercizio collettivo”. “Proviamo a censire tutti i trattamenti di dati personali che sono svolti in Arcobaleni196. Ciascuno scriva i trattamenti che conosce e poi confrontiamo i risultati Subito nascono i dubbi. “Mi scusi può ripetere la definizione di trattamento? Sarebbero i database?” “Abbiamo anche applicazioni informatiche senza database!” “Dobbiamo anche elencare i tabulati?” “Cosa facciamo per gli archivi cartacei del personale?” 52 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 2 – Caso di studio B “Calma, calma! Dobbiamo fare solo un simulazione. Riepilogo le regole di questo gioco 1) ciascuno di voi scriva sul proprio block notes un semplice elenco dei dati che tratta per la propria attività lavorativa 2) con trattamento intendiamo letteralmente l’uso, manuale o informatizzato, di dati ed informazioni 3) per semplificare consideriamo tutti i dati e le informazioni, anche quelle pubbliche, come dati personali 4) indicate se il trattamento è completamento cartaceo (non automatizzato) o mediante sistemi informatici 5) abbiamo 10 minuti.” 10 minuti dopo abbiamo i risultati. Mi faccio consegnare gli elenchi e metto tutto insieme in una unica lista eliminando i doppioni. Ecco il risultato: Paghe e contributi Gestione personale Fatturazione attiva Clienti Fornitori Contabilità Ciclo di produzione Gestione Qualità, cartaceo Adempimenti societari, cartaceo Guardiania, Prototipi “Bene, grazie a tutti per la collaborazione. A mio avviso, però, sulla base di quanto il cavalier Arcobaleni mi ha raccontato prima del vostro arrivo dovremmo aggiungere i seguenti trattamenti: sicurezza sul posto di lavoro 626, cartaceo corrispondenza e protocollo posta entrata ed uscita videosorveglianza ordini via web posta elettronica curricula aspiranti collaboratori e dipendenti, cartaceo comunicazioni commerciali adempimenti e consulenza fiscale, cartaceo adempimenti e consulenza legale, cartaceo adempimenti e consulenza giuslavoristica, cartaceo” Poi chiedo ai presenti di aiutarmi ad individuare dove si trovano i dati sensibili e giudiziari nei trattamenti che abbiamo censito. Ricordo le definizioni. Dati sensibili: i dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale. 53 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 2 – Caso di studio B Dati giudiziari: i dati personali idonei a rivelare provvedimenti di cui all'articolo 3, comma 1, lettere da a) a o) e da r) a u), del d.P.R. 14 novembre 2002, n. 313, in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualità di imputato o di indagato ai sensi degli articoli 60 e 61 del codice di procedura penale. Ecco il risultato. Trattamento Paghe e contributi Gestione personale Fatturazione attiva Clienti Fornitori Contabilità Ciclo di produzione Gestione Qualità Adempimenti societari Guardania, Prototipi Sicurezza sul posto di lavoro 626 corrispondenza e protocollo posta entrata ed uscita videosorveglianza ordini via web posta elettronica curricula aspiranti collaboratori e dipendenti, cartaceo comunicazioni commerciali adempimenti e consulenza fiscale adempimenti e consulenza legale adempimenti e consulenza giuslavoristica Automatizzato Dato sensibile Sì Sì No No No No No No Dato giudiziario Sì Sì Sì Sì Sì Sì Sì Sì Sì Sì Sì Sì Infine inseriamo una nuova colonna per indicare se il trattamento è svolto internamento all’azienda o esternalizzato ad un fornitore. 54 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 2 – Caso di studio B Trattamento Paghe e contributi Gestione personale Fatturazione attiva Clienti Fornitori Contabilità Ciclo di produzione Gestione Qualità Adempimenti societari Guardania, Prototipi Sicurezza sul posto di lavoro 626 corrispondenza e protocollo posta entrata ed uscita videosorveglianza ordini via web posta elettronica curricula aspiranti collaboratori e dipendenti, cartaceo comunicazioni commerciali adempimenti e consulenza fiscale adempimenti e consulenza legale adempimenti e consulenza giuslavoristica Automatizzato Dato sensibile Sì Sì Dato giudiziario Sì Sì No No Esternalizzato Sì Sì Sì No No No No Sì Sì Sì Sì Sì Sì Sì Sì Sì Sì Sì Sì Sì Sì Sì È il momento delle conclusioni. “Bene signori, grazie a questo esercizio comune siamo giunti al punto che ci premeva. Quali sono gli adempimenti privacy che Arcobaleni196 deve rispettare?” 1) Come tutte le aziende che trattano dati personali Arcobaleni196 deve dare l’informativa su tali trattamenti a tutti gli interessati (clienti, fornitori, dipendenti) e nei casi previsti dalla legge ottenere da questi il consenso al trattamento. 2) Tutti coloro che in azienda trattano dati personali devono ricevere dal titolare una lettera di incarico scritta che specifichi ambiti e modalità del trattamento. 3) Arcobaleni196 tratta anche dati sensibili e giudiziari, dunque deve adottare le relative misure di sicurezza di tipo organizzativo e tecnologico tra cui la redazione e l’aggiornamento annuale del Documento Programmatico della Sicurezza (DPS). 4) Arcobaleni effettua trattamenti di videosorveglianza dunque deve adottare gli adempimenti indicati dal Garante per tali casi. 5) È opportuno dare ulteriori istruzioni scritte a tutti gli utilizzatori sull’uso di sistemi quali Internet e posta elettronica. 6) Infine, in relazione al provvedimento del Garante del novembre 2008, occorre provvedere a nominare gli “amministratori di sistema” interni e censire quelli esterni. “Per concludere” sottolineo “per garantire il rispetto di tutti questi adempimenti, che non vanno svolti una tantum ma periodicamente, è fortemente consigliato, specie a garanzia del titolare dell’azienda, nominare un responsabile aziendale della privacy.” Dopo qualche secondo di silenzio prende la parola il cavalier Arcobaleni. “Bene ingegner Marcelli. Mi ha convinto. Mettiamoci al lavoro. Da dove cominciamo?” 55 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 2 – Caso di studio B “Cominciamo a vedere più in dettaglio gli adempimenti richiesti dalle norme privacy. Siete tutti pronti? Si parte con la seconda lezione.” Vi parlerò di tre argomenti 1. I provvedimenti più rilevanti 2. Principali adempimenti 3. Organizzazione della privacy Inizia il corso… 56 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 2 – Unità didattica 2.1 Lezione 2 – Unità didattica 2.1 – Principali adempimenti previsti dal Codice Modulo 2.1.1 – L’informativa Modulo 2.1.2 – Il consenso Modulo 2.1.3 – La notificazione Modulo 2.1.4 – Il trasferimento dei dati in paesi terzi Modulo 2.1.5 – Le lettere di incarico Modulo 2.1.6 – Le misure di sicurezza Modulo 2.1.7 – La formazione Modulo 2.1.8 – I diritti degli interessati Modulo 2.1.9 – Check list di verifica degli adempimenti Domande di verifica 2.1 57 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 2 – Unità didattica 2.1 Modulo 2.1.1 – L’informativa L’informativa contiene le informazioni che il titolare del trattamento deve fornire all’interessato per chiarire, in particolare, se quest’ultimo è obbligato o meno a rilasciare i dati, quali sono gli scopi e le modalità del trattamento, come circolano i dati e in che modo esercitare i diritti riconosciuti dalla legge. Tratto dalla brochure del Garante per la protezione dei dati personali: “La tutela dei dati personali: il primo Garante sei tu”57. In maniera più formale il “Codice in materia di protezione dei dati personali”58 all’articolo 13 recita come segue. Art. 13. Informativa 1. L'interessato o la persona presso la quale sono raccolti i dati personali sono previamente informati oralmente o per iscritto circa: a) b) c) d) le finalità e le modalità del trattamento cui sono destinati i dati; la natura obbligatoria o facoltativa del conferimento dei dati; le conseguenze di un eventuale rifiuto di rispondere; i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati, e l'ambito di diffusione dei dati medesimi; e) i diritti di cui all'articolo 7; f) gli estremi identificativi del titolare e, se designati, del rappresentante nel territorio dello Stato ai sensi dell'articolo 5 e del responsabile. Quando il titolare ha designato più responsabili è indicato almeno uno di essi, indicando il sito della rete di comunicazione o le modalità attraverso le quali è conoscibile in modo agevole l'elenco aggiornato dei responsabili. Quando è stato designato un responsabile per il riscontro all'interessato in caso di esercizio dei diritti di cui all'articolo 7, è indicato tale responsabile. 2. L'informativa di cui al comma 1 contiene anche gli elementi previsti da specifiche disposizioni del presente codice e può non comprendere gli elementi già noti alla persona che fornisce i dati o la cui conoscenza può ostacolare in concreto l'espletamento, da parte di un soggetto pubblico, di funzioni ispettive o di controllo svolte per finalità di difesa o sicurezza dello Stato oppure di prevenzione, accertamento o repressione di reati. 57 58 http://www.garanteprivacy.it/garante/document?ID=1382763 http://www.garanteprivacy.it/garante/doc.jsp?ID=1311248 58 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 2 – Unità didattica 2.1 3. Il Garante può individuare con proprio provvedimento modalità semplificate per l'informativa fornita in particolare da servizi telefonici di assistenza e informazione al pubblico. 4. Se i dati personali non sono raccolti presso l'interessato, l'informativa di cui al comma 1, comprensiva delle categorie di dati trattati, è data al medesimo interessato all'atto della registrazione dei dati o, quando è prevista la loro comunicazione, non oltre la prima comunicazione. 5. La disposizione di cui al comma 4 non si applica quando: a) i dati sono trattati in base ad un obbligo previsto dalla legge, da un regolamento o dalla normativa comunitaria; b) i dati sono trattati ai fini dello svolgimento delle investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397, o, comunque, per far valere o difendere un diritto in sede giudiziaria, sempre che i dati siano trattati esclusivamente per tali finalità e per il periodo strettamente necessario al loro perseguimento; c) l'informativa all'interessato comporta un impiego di mezzi che il Garante, prescrivendo eventuali misure appropriate, dichiari manifestamente sproporzionati rispetto al diritto tutelato, ovvero si riveli, a giudizio del Garante, impossibile. In pratica L’azienda deve predisporre un documento59 denominato “informativa” che contenga almeno le seguenti informazioni: finalità e modalità del trattamento; natura obbligatoria o facoltativa del conferimento dei dati e conseguenze di un eventuale rifiuto di rispondere; soggetti o categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza; diritti riconosciuti all’interessato dall'articolo 7 del Codice; estremi identificativi del titolare e, se designato, del responsabile del trattamento. Il Garante ha precisato60 che: Se taluno di questi elementi è già noto all’interessato, non è necessario farlo presente nuovamente. In caso di dati raccolti presso l’interessato, l’informativa deve essere resa, anche in forma orale, prima delle operazioni del trattamento. Nel rapporto con fornitori, clienti, dipendenti e collaboratori non è necessario ripeterla in occasione di ogni contatto: è sufficiente fornirla con una formula generale una tantum, all’inizio delle operazioni di trattamento (che potranno anche protrarsi nel tempo). È possibile fornire l’informativa anche oralmente, in modo sintetico e colloquiale, senza includere elementi già noti all’interessato (art. 13 comma 2, del Codice). Si può utilizzare anche uno spazio all’interno dell’ordinario materiale cartaceo e della corrispondenza Ove possibile in forma scritta; ma si possono usare anche “informative” sotto forma di voce preregistrata (operatori telefonici) o forma analoghe. 60 http://www.garanteprivacy.it/garante/doc.jsp?ID=1412271#par3 59 59 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 2 – Unità didattica 2.1 Esempio di informativa per clienti e fornitori (senza consenso) Informativa al trattamento dei dati personali al sensi del d. lgs. 196/2003 “Codice in materia di protezione dei dati personali” Ai sensi dell'art. 13 del d. lgs. 196/2003 “Codice in materia di protezione dei dati personali” ed in relazione al rapporto contrattuale in essere con la nostra azienda, si informa che i Vostri dati personali formeranno oggetto di trattamento, e più precisamente che: le finalità del trattamento sono relative all’esecuzione degli obblighi derivanti dal rapporto contrattuale e ad ogni incombenza ad esso strettamente correlata nonché a obblighi derivanti da leggi, regolamenti e normativa comunitaria; le modalità del trattamento possono prevedere l’utilizzo di mezzi cartacei e informatici atti a memorizzare e gestire i dati stessi, mediante strumenti idonei a garantire la loro sicurezza e la riservatezza; i dati da Voi forniti potranno essere oggetto di comunicazione, nel pieno rispetto delle prescrizioni di legge, per finalità strettamente correlate all’esecuzione dei nostri obblighi contrattuali. possono venire a conoscenza dei dati, in qualità di incaricati o responsabili, i dipendenti e i collaboratori esterni addetti alla Funzione Contabilità Fornitori nonché soggetti, interni ed esterni, che svolgono per conto della società compiti tecnici, di supporto (in particolare, servizi legali, servizi informatici, spedizioni) e di controllo aziendale. Vi ricordiamo che l’art. 7 del D.Lgs. 196 del 2003 Vi riconosce taluni diritti. In particolare Voi potrete: ottenere la conferma della esistenza o meno di dati personali che Vi riguardano, e che tali dati Vi vengano comunicati in forma intelligibile; ottenere l’indicazione dell’origine dei dati, delle finalità e modalità del trattamento, della logica applicata nel caso di trattamento con l’ausilio di strumenti elettronici, degli estremi identificativi del titolare e del responsabile, dei soggetti o delle categorie di soggetti ai quali i dati possono essere comunicati o che possono venirne a conoscenza; ottenere l’aggiornamento, la rettifica o, quando vi avete interesse, l’integrazione dei dati; la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge; l’attestazione che tali operazioni sono state portate a conoscenza di coloro ai quali i dati sono stati comunicati o diffusi (quando ciò non si riveli impossibile o sproporzionato rispetto al diritto tutelato); opporVi in tutto o in parte, per motivi legittimi, al trattamento dei Vostri dati personali ancorché pertinenti allo scopo della raccolta, o quando siano trattati ai fini di invio di materiale pubblicitario o di vendita diretta o di ricerche di mercato o di comunicazione commerciale. Per l’esercizio di tali diritti, potrete rivolgerVi al responsabile del trattamento di Arcobaleni196 domiciliato per le funzioni presso la sede legale della società al quale ci si può rivolgere via email privacy@arcobaleni196. 60 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 2 – Unità didattica 2.1 Modulo 2.1.2 – Il consenso Il consenso è la libera manifestazione della volontà con la quale l’interessato accetta – in modo espresso e, se vi sono dati sensibili, per iscritto - un determinato trattamento di dati che lo riguardano, sul quale è stato preventivamente informato da chi utilizza i dati. Tratto dalla brochure del Garante per la protezione dei dati personali: “La tutela dei dati personali: il primo Garante sei tu”61. In maniera più formale il “Codice in materia di protezione dei dati personali”62 agli articoli 23 e 24 recita come segue. Art. 23. Consenso 1. Il trattamento di dati personali da parte di privati o di enti pubblici economici è ammesso solo con il consenso espresso dell'interessato. 2. Il consenso può riguardare l'intero trattamento ovvero una o più operazioni dello stesso. 3. Il consenso è validamente prestato solo se è espresso liberamente e specificamente in riferimento ad un trattamento chiaramente individuato, se è documentato per iscritto, e se sono state rese all'interessato le informazioni di cui all'articolo 13. 4. Il consenso è manifestato in forma scritta quando il trattamento riguarda dati sensibili. Art. 24. Casi nei quali può essere effettuato il trattamento senza consenso 1. Il consenso non è richiesto, oltre che nei casi previsti nella Parte II, quando il trattamento: a. è necessario per adempiere ad un obbligo previsto dalla legge, da un regolamento o dalla normativa comunitaria; b. è necessario per eseguire obblighi derivanti da un contratto del quale è parte l'interessato o per adempiere, prima della conclusione del contratto, a specifiche richieste dell'interessato; c. riguarda dati provenienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque, fermi restando i limiti e le modalità che le leggi, i regolamenti o la normativa comunitaria stabiliscono per la conoscibilità e pubblicità dei dati; 61 62 http://www.garanteprivacy.it/garante/document?ID=1382763 http://www.garanteprivacy.it/garante/doc.jsp?ID=1311248 61 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 2 – Unità didattica 2.1 d. e. f. g. h. d) riguarda dati relativi allo svolgimento di attività economiche, trattati nel rispetto della vigente normativa in materia di segreto aziendale e industriale; è necessario per la salvaguardia della vita o dell'incolumità fisica di un terzo. Se la medesima finalità riguarda l'interessato e quest'ultimo non può prestare il proprio consenso per impossibilità fisica, per incapacità di agire o per incapacità di intendere o di volere, il consenso è manifestato da chi esercita legalmente la potestà, ovvero da un prossimo congiunto, da un familiare, da un convivente o, in loro assenza, dal responsabile della struttura presso cui dimora l'interessato. Si applica la disposizione di cui all'articolo 82, comma 2; con esclusione della diffusione, è necessario ai fini dello svolgimento delle investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397, o, comunque, per far valere o difendere un diritto in sede giudiziaria, sempre che i dati siano trattati esclusivamente per tali finalità e per il periodo strettamente necessario al loro perseguimento, nel rispetto della vigente normativa in materia di segreto aziendale e industriale; con esclusione della diffusione, è necessario, nei casi individuati dal Garante sulla base dei principi sanciti dalla legge, per perseguire un legittimo interesse del titolare o di un terzo destinatario dei dati, anche in riferimento all'attività di gruppi bancari e di società controllate o collegate, qualora non prevalgano i diritti e le libertà fondamentali, la dignità o un legittimo interesse dell'interessato; con esclusione della comunicazione all'esterno e della diffusione, è effettuato da associazioni, enti od organismi senza scopo di lucro, anche non riconosciuti, in riferimento a soggetti che hanno con essi contatti regolari o ad aderenti, per il perseguimento di scopi determinati e legittimi individuati dall'atto costitutivo, dallo statuto o dal contratto collettivo, e con modalità di utilizzo previste espressamente con determinazione resa nota agli interessati all'atto dell'informativa ai sensi dell'articolo 13; è necessario, in conformità ai rispettivi codici di deontologia di cui all'allegato A), per esclusivi scopi scientifici o statistici, ovvero per esclusivi scopi storici presso archivi privati dichiarati di notevole interesse storico ai sensi dell'articolo 6, comma 2, del decreto legislativo 29 ottobre 1999, n. 490, di approvazione del testo unico in materia di beni culturali e ambientali o, secondo quanto previsto dai medesimi codici, presso altri archivi privati. Per sintetizzare Nella maggior parte dei trattamenti effettuati in azienda in relazione a clienti e fornitori non è necessario avere il consenso della persona o ente a cui si riferiscono i dati (attenzione: l'informativa va invece sempre data almeno una volta). Infatti il consenso non è richiesto nei seguenti casi i dati vengono trattati nell’esecuzione di un contratto o in fase pre-contrattuale (art. 24, comma 1, lett. b), del Codice); il trattamento viene posto in essere per dare esecuzione a un obbligo legale (art. 24, comma 1, lett. a) del Codice); i dati provengono da registri ed elenchi pubblici (art. 24, comma 1, lett. c), del Codice); 62 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 2 – Unità didattica 2.1 i dati sono relativi allo svolgimento di attività economiche da parte dell’interessato (art. 24, comma 1, lett. d), del Codice). Nei casi restanti, l'interessato deve aver manifestato un consenso libero, specifico e informato in relazione al trattamento effettuato. Il consenso deve essere documentato per iscritto (art. 23 del Codice). Quando si trattano dati “sensibili” (ad esempio. per gli adempimenti amministrativi, busta paga, gestione malattie di collaboratori e dipendenti) serve il consenso dell'interessato che deve essere dato per iscritto (art. 23 del Codice) 63 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 2 – Unità didattica 2.1 Esempio di informativa per dipendenti (con consenso) Informativa e consenso al trattamento dei dati personali al sensi del d. lgs. 196/2003 “Codice in materia di protezione dei dati personali” (per i dipendenti) Arcobaleni196, con sede in via Multicolori 123, ColleAzzurro (Roma), effettua trattamenti di Suoi dati personali nel pieno rispetto delle norme di legge secondo principi di correttezza, liceità e trasparenza e per finalità strettamente connesse e strumentali alla gestione del rapporto di lavoro, ivi comprese le finalità previdenziali, e in particolare: per adempiere ad un obbligo previsto dalla legge, da un regolamento o dalla normativa comunitaria; per eseguire obblighi derivanti dal Suo contratto di lavoro. Può accadere che per l’adempimento di specifici obblighi relativi alla gestione del rapporto di lavoro, anche in materia di igiene e sicurezza del lavoro e di previdenza e assistenza, Arcobaleni196 tratti i dati che la legge definisce come sensibili e cioè quelli idonei a rilevare l’origine razziale o etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rilevare lo stato di salute e la vita sessuale. Rispetto al trattamento di tali dati, Le ricordiamo che non è richiesto dalla legge il Suo consenso nel caso di trattamento necessario per adempiere a specifici obblighi o compiti previsti dalla legge, da un regolamento o dalla normativa comunitaria. Il Suo consenso al trattamento dei dati sensibili è invece richiesto dalla legge nel caso di trattamento necessario per adempiere ad obblighi previsti da contratti collettivi, anche aziendali (ad esempio, trattenute sindacali, corresponsioni di liberalità o benefici accessori). Senza il Suo consenso non potranno essere eseguite le conseguenti operazioni. Il trattamento dei Suoi dati personali avviene mediante strumenti informatici, telematici e manuali, con logiche strettamente correlate alle finalità stesse e, comunque, in modo da garantire la sicurezza degli stessi e sempre nel rispetto delle previsioni di cui all’art. 11 del D.Lgs. 196 del 2003. Per lo svolgimento, per nostro conto, di talune delle attività relative al trattamento dei Suoi dati personali, la società effettua comunicazioni a società o enti esterni di fiducia, nostri diretti collaboratori che operano in totale autonomia come distinti “titolari” del trattamento. Si tratta, in modo particolare, di soggetti che svolgono servizi di paghe e contributi, gestione di forme di previdenza e assistenza, erogazioni dei buoni pasto ed altri servizi affini. Il loro elenco è costantemente aggiornato e può conoscerlo agevolmente e gratuitamente chiedendolo al Responsabile del trattamento. Firmato Il Responsabile del trattamento 64 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 2 – Unità didattica 2.1 Consenso al trattamento dei dati personali Spett.le Arcobaleni196 srl Premesso che – come rappresentato nell’informativa che mi è stata fornita ai sensi del D.Lgs. 30/6/2003 n. 196 – può accadere che il trattamento di taluni dei miei dati sensibili derivi dall’adempimento di obblighi previsti dal contratto collettivo, anche aziendale • do il consenso • nego il consenso (marcare la scelta) Sono consapevole che, in mancanza di consenso, non potranno essere eseguite le conseguenti operazioni. Data __________________ Firma _______________________________ 65 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 2 – Unità didattica 2.1 Modulo 2.1.3 – La notificazione La notificazione è una dichiarazione con la quale il titolare del trattamento, prima di iniziarlo, rende nota al Garante (che la inserisce nel registro pubblico dei trattamenti consultabile da chiunque sul sito web dell'Autorità) l'esistenza di un'attività di raccolta e di utilizzazione dei dati personali. Tratto da “Guida pratica e misure di semplificazione per le piccole e medie imprese - 24 maggio 2007 (G.U. 21 giugno 2007 n. 142)”63 In maniera più formale il “Codice in materia di protezione dei dati personali”64 agli articoli 37 e 38 recita come segue. Art. 37. Notificazione del trattamento 1. Il titolare notifica al Garante il trattamento di dati personali cui intende procedere, solo se il trattamento riguarda: a. dati genetici, biometrici o dati che indicano la posizione geografica di persone od oggetti mediante una rete di comunicazione elettronica; b. dati idonei a rivelare lo stato di salute e la vita sessuale, trattati a fini di procreazione assistita, prestazione di servizi sanitari per via telematica relativi a banche di dati o alla fornitura di beni, indagini epidemiologiche, rilevazione di malattie mentali, infettive e diffusive, sieropositività, trapianto di organi e tessuti e monitoraggio della spesa sanitaria; c. dati idonei a rivelare la vita sessuale o la sfera psichica trattati da associazioni, enti od organismi senza scopo di lucro, anche non riconosciuti, a carattere politico, filosofico, religioso o sindacale; d. dati trattati con l'ausilio di strumenti elettronici volti a definire il profilo o la personalità dell'interessato, o ad analizzare abitudini o scelte di consumo, ovvero a monitorare l'utilizzo di servizi di comunicazione elettronica con esclusione dei trattamenti tecnicamente indispensabili per fornire i servizi medesimi agli utenti; e. dati sensibili registrati in banche di dati a fini di selezione del personale per conto terzi, nonché dati sensibili utilizzati per sondaggi di opinione, ricerche di mercato e altre ricerche campionarie; f. dati registrati in apposite banche di dati gestite con strumenti elettronici e relative al rischio sulla solvibilità economica, alla situazione patrimoniale, 63 64 http://www.garanteprivacy.it/garante/doc.jsp?ID=1412271#par2 http://www.garanteprivacy.it/garante/doc.jsp?ID=1311248 66 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 2 – Unità didattica 2.1 al corretto adempimento di obbligazioni, a comportamenti illeciti o fraudolenti. 1-bis. La notificazione relativa al trattamento dei dati di cui al comma 1 non è dovuta se relativa all'attività dei medici di famiglia e dei pediatri di libera scelta, in quanto tale funzione è tipica del loro rapporto professionale con il Servizio sanitario nazionale. 2. Il Garante può individuare altri trattamenti suscettibili di recare pregiudizio ai diritti e alle libertà dell'interessato, in ragione delle relative modalità o della natura dei dati personali, con proprio provvedimento adottato anche ai sensi dell'articolo 17. Con analogo provvedimento pubblicato sulla Gazzetta Ufficiale della Repubblica italiana il Garante può anche individuare, nell'ambito dei trattamenti di cui al comma 1, eventuali trattamenti non suscettibili di recare detto pregiudizio e pertanto sottratti all'obbligo di notificazione. 3. La notificazione è effettuata con unico atto anche quando il trattamento comporta il trasferimento all'estero dei dati. 4. Il Garante inserisce le notificazioni ricevute in un registro dei trattamenti accessibile a chiunque e determina le modalità per la sua consultazione gratuita per via telematica, anche mediante convenzioni con soggetti pubblici o presso il proprio Ufficio. Le notizie accessibili tramite la consultazione del registro possono essere trattate per esclusive finalità di applicazione della disciplina in materia di protezione dei dati personali. Art. 38. Modalità di notificazione 1. La notificazione del trattamento è presentata al Garante prima dell'inizio del trattamento ed una sola volta, a prescindere dal numero delle operazioni e della durata del trattamento da effettuare, e può anche riguardare uno o più trattamenti con finalità correlate. 2. La notificazione è validamente effettuata solo se è trasmessa attraverso il sito del Garante, utilizzando l'apposito modello, che contiene la richiesta di fornire tutte e soltanto le seguenti informazioni: a. le coordinate identificative del titolare del trattamento e, eventualmente, del suo rappresentante, nonché le modalità per individuare il responsabile del trattamento se designato; b. la o le finalità del trattamento; c. una descrizione della o delle categorie di persone interessate e dei dati o delle categorie di dati relativi alle medesime; d. i destinatari o le categorie di destinatari a cui i dati possono essere comunicati; e. i trasferimenti di dati previsti verso Paesi terzi; f. una descrizione generale che permetta di valutare in via preliminare l'adeguatezza delle misure adottate per garantire la sicurezza del trattamento. 3. Il Garante favorisce la disponibilità del modello per via telematica e la notificazione 67 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 2 – Unità didattica 2.1 anche attraverso convenzioni stipulate con soggetti autorizzati in base alla normativa vigente, anche presso associazioni di categoria e ordini professionali. 4. Una nuova notificazione è richiesta solo anteriormente alla cessazione del trattamento o al mutamento di taluno degli elementi da indicare nella notificazione medesima. 5. Il Garante può individuare altro idoneo sistema per la notificazione in riferimento a nuove soluzioni tecnologiche previste dalla normativa vigente. 6. Il titolare del trattamento che non è tenuto alla notificazione al Garante ai sensi dell'articolo 37 fornisce le notizie contenute nel modello di cui al comma 2 a chi ne fa richiesta, salvo che il trattamento riguardi pubblici registri, elenchi, atti o documenti conoscibili da chiunque. Semplificazione del dicembre 2008 (vedi anche Modulo 1.3.4 – Le “semplificazioni” del 2008 sulla sicurezza e la notificazione) Il 9 dicembre 2008 il Garante per la protezione dei dati personali ha reso noto65 un provvedimento66 sulla semplificazione di alcuni adempimenti in materia di protezione dei dati personali. Le nuove garanzie, adottate sentito il Ministro per la semplificazione normativa, interessano: amministrazioni pubbliche e società private che utilizzano dati personali non sensibili (nome, cognome, indirizzo, codice fiscale, numero di telefono) o che trattano come unici dati sensibili dei dipendenti quelli relativi allo stato di salute o all'adesione a organizzazioni sindacali; piccole e medie imprese, liberi professionisti o artigiani che trattano dati solo per fini amministrativi e contabili. Con tale provvedimento il Garante ha semplificato anche il modello utilizzato per effettuare le notificazioni; il provvedimento sulla notificazione sarà operativo entro 60 giorni dalla pubblicazione in Gazzetta e non comporterà l'obbligo di notificare di nuovo o modificare le notificazioni a carico di chi lo abbia già fatto. Per sintetizzare La notificazione è una dichiarazione fatta via Internet con la quale il titolare comunica al Garante di effettuare trattamenti di dati facenti parte di una delle sette categorie considerate "a rischio": dati relativi al rischio sulla solvibilità economica, alla situazione patrimoniale, al corretto adempimento di obbligazioni, a comportamenti illeciti o fraudolenti; come esclusi i dati relativi agli inadempimenti dei propri clienti tenuti da ciascuna impresa dati genetici o biometrici dati volti a definire il profilo o la personalità dell'interessato, o ad analizzare abitudini o scelte di consumo (c.d. profilazione) 65 66 http://www.garanteprivacy.it/garante/doc.jsp?ID=1573203 http://www.garanteprivacy.it/garante/doc.jsp?ID=1571218 68 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 2 – Unità didattica 2.1 dati sensibili registrati in banche di dati a fini di selezione del personale per conto terzi (non, quindi, quelli trattati direttamente dall’imprenditore) dati sensibili utilizzati per sondaggi di opinione, ricerche di mercato e altre ricerche campionarie. Figura tratta dal sito del Garante67 Domande frequenti sulla notificazione Tratto da “Guida pratica e misure di semplificazione per le piccole e medie imprese - 24 maggio 2007 (G.U. 21 giugno 2007 n. 142)”68 È sempre necessario notificare il trattamento dei dati al Garante? In linea di principio i trattamenti ordinari svolti presso piccole realtà produttive non vanno notificati: si pensi ai trattamenti di dati relativi ai dipendenti, ai fornitori o alla clientela69. In particolare, non devono essere notificati i dati relativi agli inadempimenti dei propri clienti tenuti da ciascuna impresa. In questo quadro la notificazione deve essere effettuata in ipotesi particolari (indicate all'art. 37 del Codice). Con specifico riguardo all'attività di impresa, i trattamenti soggetti a notificazione sono quelli relativi a: dati registrati in apposite banche di dati gestite con strumenti elettronici e relative al rischio sulla solvibilità economica, alla situazione patrimoniale, al corretto adempimento di obbligazioni, a comportamenti illeciti o fraudolenti; come detto, non rientrano in quest'ambito, i dati relativi agli inadempimenti dei propri clienti tenuti da ciascuna impresa. dati genetici70, biometrici o dati che indicano la posizione geografica di persone od oggetti mediante una rete di comunicazione elettronica (ad esempio, dati trattati mediante sistemi di geolocalizzazione installati su veicoli al fine di individuarne la posizione); 67 https://web.garanteprivacy.it/rgt/NotificaTelematica.php http://www.garanteprivacy.it/garante/doc.jsp?ID=1412271#par2 69 Specifiche indicazioni sono contenute anche nel provvedimento del Garante del 31 marzo 2004 Provvedimento relativo ai casi da sottrarre all'obbligo di notificazione, in G.U. del 6 aprile 2004, n. 81 e in www.garanteprivacy.it, doc. web 852561. V. pure, Chiarimenti sui trattamenti da notificare al Garante, 23 aprile 2004, doc. web. n. 993385. 70 V. in materia Provv. 22 febbraio 2007, doc. web n. 1389918 68 69 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 2 – Unità didattica 2.1 dati trattati con l'ausilio di strumenti elettronici volti a definire il profilo o la personalità dell'interessato, o ad analizzare abitudini o scelte di consumo (c.d. profilazione), ovvero a monitorare l'utilizzo di servizi di comunicazione elettronica con esclusione dei trattamenti tecnicamente indispensabili per fornire i servizi medesimi agli utenti; dati sensibili registrati in banche di dati a fini di selezione del personale per conto terzi (non, quindi, quelli trattati direttamente dall'imprenditore), nonché dati sensibili utilizzati per sondaggi di opinione, ricerche di mercato e altre ricerche campionarie. Come si effettua la notificazione al Garante? Solo utilizzando l'interfaccia disponibile71 sul sito web dell'Autorità e seguendo le istruzioni ivi indicate (v. art. 38 del Codice). Quando occorre fare una nuova notificazione? Solo in caso di cessazione del trattamento o di mutamento di alcuni elementi dell'originaria notificazione. Esiste un facsimile di notificazione? Sì, è disponibile presso il sito del Garante a questo link72 (pdf, 895 K, 12 pp.) È possibile consultare le notificazioni effettuate da altri titolari? Sì. Le notificazioni sono conservate in un registro pubblico accessibile via internet al seguente link73. 71 https://web.garanteprivacy.it/rgt/NotificaTelematica.php https://web.garanteprivacy.it/rgt/FacSimile_Modello_Notificazione_2008.pdf 73 https://web.garanteprivacy.it/rgt/NotificaEsplora.php 72 70 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 2 – Unità didattica 2.1 Modulo 2.1.4 – Il trasferimento dei dati in paesi terzi Nello svolgimento dell'attività di impresa può risultare necessario trasferire dati personali fuori dell'Unione europea (ad esempio relativi alla clientela o ai dipendenti). Il Codice prevede specifiche regole al riguardo. Tratto da “Guida pratica e misure di semplificazione per le piccole e medie imprese - 24 maggio 2007 (G.U. 21 giugno 2007 n. 142)”74 Per il trasferimento di dati personali in paesi situati all’interno dell’Ue non sussistono ulteriori obblighi in quanto, in ossequio alla direttiva 95/46/Ce (qui in pdf75, 2.1 M, 20 pp.) , tutte le nazioni dell'Unione hanno specifiche normative in materia di protezione dei dati personali che sono tra loro simili. In pratica la conformità alla norma italiana assicura la conformità a livello UE (art. 42 del Codice). Per il trasferimento di dati personali in paesi situati fuori dall'Unione europea il Codice prevede specifiche regole, tra cui il consenso dell'interessato espresso, se si tratta di dati sensibili, in forma scritta; il trasferimento è però possibile se: è necessario per eseguire obblighi derivanti da un contratto del quale è parte l'interessato o per adempiere, prima della conclusione del contratto, a specifiche richieste dell'interessato, ovvero per la conclusione o per l'esecuzione di un contratto stipulato a favore dell'interessato; è necessario per la salvaguardia di un interesse pubblico rilevante individuato con legge o con regolamento; è necessario ai fini dello svolgimento delle investigazioni difensive (legge 7 dicembre 2000, n. 397), o, comunque, per far valere o difendere un diritto in sede giudiziaria; il trattamento concerne dati riguardanti persone giuridiche, enti o associazioni. 74 75 http://www.garanteprivacy.it/garante/doc.jsp?ID=1412271#par6 http://www.garanteprivacy.it/garante/document?ID=432175 71 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 2 – Unità didattica 2.1 Modulo 2.1.5 – Le lettere di incarico Gli “incaricati del trattamento” sono soggetti (solo persone fisiche) che effettuano materialmente le operazioni di trattamento dei dati personali e operano sotto la diretta autorità del titolare (o del responsabile) attenendosi a istruzioni scritte (art. 30 del Codice), le cosiddette “lettere di incarico”. Il titolare del trattamento è tenuto a designare gli incaricati. È sufficiente assegnare un dipendente ad una unità organizzativa, a condizione che risultino per iscritto le categorie di dati cui può avere accesso e gli ambiti del trattamento. Tratto da “Guida pratica e misure di semplificazione per le piccole e medie imprese - 24 maggio 2007 (G.U. 21 giugno 2007 n. 142)”76 con alcune modifiche al testo In maniera più formale il “Codice in materia di protezione dei dati personali”77 all’articolo 30 recita come segue. Art. 30. Incaricati del trattamento 1. Le operazioni di trattamento possono essere effettuate solo da incaricati che operano sotto la diretta autorità del titolare o del responsabile, attenendosi alle istruzioni impartite. 2. La designazione è effettuata per iscritto e individua puntualmente l'ambito del trattamento consentito. Si considera tale anche la documentata preposizione della persona fisica ad una unità per la quale è individuato, per iscritto, l'ambito del trattamento consentito agli addetti all'unità medesima. In pratica Il Garante suggerisce78 per le piccole e medie aziende di effettuare le lettere di incarico come segue. “In un'azienda nella quale ad una unità organizzativa sono stati assegnati un determinato numero di dipendenti, si potrà ovviare ad una formale designazione (ad esempio, mediante consegna di apposita comunicazione scritta), qualora si individuino gli ambiti di competenza (in ordine ai trattamenti di dati consentiti) di quella unità mediante una previsione scritta (ad es. nell'organigramma, nel contratto, nei mansionari, ecc.) e risulti inoltre che tali dipendenti sono stati assegnati stabilmente a tale unità.” 76 http://www.garanteprivacy.it/garante/doc.jsp?ID=1412271#par1 http://www.garanteprivacy.it/garante/doc.jsp?ID=1311248 78 http://www.garanteprivacy.it/garante/doc.jsp?ID=1412271#4 77 72 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 2 – Unità didattica 2.1 Esempio di ambito di competenza e di lettera di incarico Ambito di competenza Unità Organizzativa Direzione Generale Qualità e Controlli Risorse Umane Risorse Umane Risorse Umane Contabilità Contabilità Contabilità … Cognome Arcobaleni Rossetti Nerucci Bianchi Rossi Nerini Neretti Nerucci … Nome Pino Carmela Giuseppina Walter Paolino Mariuccia Aldo Erika … Lettera di incarico con istruzioni per il trattamento dei dati personali Ai sensi dell’art. 30 d. lgs. 196/2003 “Codice in materia di protezione dei dati personali” (il “Codice”) di seguito Le sono fornite le istruzioni per il trattamento dei dati personali a cui Lei è incaricato. Nel trattare i dati personali, sia se riferiti a persone fisiche, sia se riferiti a soggetti giuridici e indipendentemente dalla natura ordinaria o particolare dei dati, si deve operare garantendo la massima riservatezza delle informazioni, considerando tutti i dati personali confidenziali e, di norma, soggetti al segreto d’ufficio; fatta eccezione per i soli dati anonimi, generalmente trattati per elaborazioni statistiche, e quelli acquisibili da chiunque perché contenuti in atti, liste ed elenchi pubblici (seguendo comunque le prescrizioni di legge). La procedura di lavoro e la condotta tenuta nello svolgimento delle operazioni di trattamento, dovranno evitare che i dati personali siano soggetti a rischi di distruzione e perdita anche accidentale; che ai dati possano accedere persone non autorizzate; che vengano svolte operazioni di trattamento non consentite o non conformi ai fini per i quali i dati sono stati raccolti. Si deve dunque operare con la massima diligenza ed attenzione in tutte le fasi di trattamento, dalla esatta acquisizione dei dati, all’eventuale loro aggiornamento, così per la conservazione ed eventuale cancellazione o distruzione. Non possono essere eseguite operazioni di trattamento per fini non previsti tra i compiti assegnati dal responsabile diretto, comunque riferiti alle disposizioni e regolamenti vigenti. I dati personali particolari possono essere trattati esclusivamente dagli incaricati, ivi compresi i diretti superiori degli incaricati stessi, secondo l’appartenenza alle seguenti classi omogenee: Direzione Generale Qualità e Controlli Risorse Umane Contabilità Produzione Ricerca e Sviluppo 73 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 2 – Unità didattica 2.1 Modulo 2.1.6 – Le misure di sicurezza Il profilo della sicurezza e dell'integrità delle informazioni oggetto di legittimo trattamento è un elemento qualificante delle discipline di protezione dei dati personali (artt. 31 ss. del Codice e disciplinare tecnico di cui all'All. B al Codice). Tratto da “Guida pratica e misure di semplificazione per le piccole e medie imprese - 24 maggio 2007 (G.U. 21 giugno 2007 n. 142)79 Misure di sicurezza Il titolare del trattamento è tenuto ad adottare tutte le misure idonee, valutate alla luce delle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle caratteristiche del trattamento, a ridurre i rischi di distruzione o di perdita anche accidentale dei dati o di accesso non autorizzato o non consentito ai dati (art. 31 del Codice). In questo quadro vanno anche attuate le misure minime, applicabili a piccole e medie imprese (artt. 33-35 e all. B del Codice). L'obbligo generale di adottare idonee misure di sicurezza è posto dal Codice. Il titolare del trattamento può adempiervi avvalendosi anche di un responsabile (art. 29, comma 2, del Codice). Misure minime di sicurezza Le misure minime di sicurezza contenute nell'allegato B) del Codice riguardano anzitutto i trattamenti effettuati con strumenti elettronici. Esse comprendono: un sistema di autenticazione informatica con credenziali di autenticazione (cioè, un codice per l'identificazione dell'incaricato associato a una parola chiave), programmi per elaboratore volti a prevenirne la vulnerabilità (ad esempio, antivirus), procedure per realizzare il salvataggio periodico dei dati (c.d. procedure di back up ) la redazione di un documento programmatico sulla sicurezza in caso di trattamento di dati sensibili. Per i trattamenti effettuati senza l'ausilio di strumenti elettronici rientrano tra le misure minime: le istruzioni scritte finalizzate al controllo ed alla custodia dei dati impartite agli incaricati l'uso di contenitori o locali con idonea serratura per custodire i dati personali. Il Documento Programmatico sulla Sicurezza (DPS) In base alla vigente disciplina, in caso di trattamento di dati sensibili e giudiziari attraverso sistemi informatici deve essere redatto il documento programmatico sulla sicurezza (art. 34, comma 1, lett. g) e regola 19 dell'Allegato B al Codice). Si può tener conto dei suggerimenti già formulati dal Garante che – recependo le esigenze e le istanze peculiari di professionisti e piccoli operatori, con 79 http://www.garanteprivacy.it/garante/doc.jsp?ID=1412271#par5 74 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 2 – Unità didattica 2.1 particolare riguardo alle piccole e medie imprese – ha già reso disponibile on-line, a far data dal 11 giugno 2004, una “Guida operativa”80. Il DPS: va redatto o aggiornato entro il 31 marzo di ciascun anno; non deve essere comunicato al Garante, ma semplicemente conservato dal titolare presso la propria struttura per essere esibito in occasione di eventuali accertamenti ispettivi (art. 34, comma 1, lett. g) del Codice e regola 19 dell'Allegato B) al Codice); deve essere redatto dal "[...] titolare di un trattamento di dati sensibili o giudiziari anche attraverso il responsabile, se designato [...]" (regola 19 dell'All. B) cit.). Semplificazioni del dicembre 2008 Il 9 dicembre 2008 il Garante per la protezione dei dati personali ha reso noto81 un provvedimento82 sulla semplificazione di alcuni adempimenti in materia di protezione dei dati personali. Le nuove garanzie, adottate sentito il Ministro per la semplificazione normativa, interessano: amministrazioni pubbliche e società private che utilizzano dati personali non sensibili (nome, cognome, indirizzo, codice fiscale, numero di telefono) o che trattano come unici dati sensibili dei dipendenti quelli relativi allo stato di salute o all'adesione a organizzazioni sindacali; piccole e medie imprese, liberi professionisti o artigiani che trattano dati solo per fini amministrativi e contabili. In base al provvedimento del Garante, le categorie interessate: possono impartire agli incaricati le istruzioni in materia di misure minime anche oralmente; possono utilizzare per l'accesso ai sistemi informatici un qualsiasi sistema di autenticazione basato su un username e una password; lo username deve essere disattivato quando viene meno il diritto di accesso ai dati (es. non si opera più all'interno dell'organizzazione); in caso di assenze prolungate o di impedimenti del dipendente possono mettere in atto procedure o modalità che consentano comunque l'operatività e la sicurezza del sistema ( ad es. l'invio automatico delle mail ad un altro recapito accessibile); devono aggiornare i programmi di sicurezza (antivirus) almeno una volta l'anno, e effettuare backup dei dati almeno una volta al mese. Con il provvedimento, inoltre, il Garante ha fornito a piccole e medie imprese, artigiani, liberi professioni, soggetti pubblici e privati che trattano dati solo a fini amministrativi e contabili, alcune indicazioni per la redazione di un documento programmatico per la sicurezza semplificato. Procedure semplificate sono state indicate anche per chi tratta dati senza l'impiego di sistemi informatici. 80 http://www.garanteprivacy.it/garante/document?ID=1007740 http://www.garanteprivacy.it/garante/doc.jsp?ID=1573203 82 http://www.garanteprivacy.it/garante/doc.jsp?ID=1571218 81 75 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 2 – Unità didattica 2.1 Modulo 2.1.7 – La formazione Il “Disciplinare tecnico in materia di misure minime di sicurezza” (allegato B83) prevede al punto 19.6. che il titolare effettui una previsione di interventi formativi degli incaricati del trattamento, per renderli edotti: dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano, delle modalità per aggiornarsi sulle misure minime adottate dal titolare. La formazione è programmata già al momento dell'ingresso in servizio, nonché in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati personali; La previsione degli interventi formativi va riportato sul Documento Programmatico sulla Sicurezza, se redatto. Già nella precedente legge 675/96 (nel d.p.r. 318/99) era indicato che il DPS dovesse contenere il piano di formazione per gli incaricati del trattamento; l’allegato B84 è molto più preciso nell'esigere che il titolare del trattamento provveda a fornire ai propri dipendenti e collaboratori interventi formativi specifici. 83 84 http://www.garanteprivacy.it/garante/doc.jsp?ID=1557184 http://www.garanteprivacy.it/garante/doc.jsp?ID=1557184 76 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 2 – Unità didattica 2.1 Esempio di pianificazione di interventi formativi Ambito di competenza Descrizione sintetica degli interventi formativi Corso base privacy (autoformazione e online) Corso privacy per Risorse Umane (autoformazione e online) Classi di incarico o tipologie di incaricati interessati: Nuovi assunti Tempi previsti Risorse Umane Secondo semestre 2008 Prima di iniziare i trattamenti Legenda Descrizione sintetica degli interventi formativi: sono descritti sinteticamente gli obiettivi e le modalità dell’intervento formativo, in relazione a quanto previsto dalla regola 19.6 (ingresso in servizio o cambiamento di mansioni degli incaricati, introduzione di nuovi elaboratori, programmi o sistemi informatici, ecc) . Classi di incarico o tipologie di incaricati interessati: sono individuati le classi omogenee di incarico a cui l’intervento è destinato e/o le tipologie di incaricati interessati, anche in riferimento alle strutture di appartenenza. Tempi previsti: sono indicati i tempi previsti per lo svolgimento degli interventi formativi. 77 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 2 – Unità didattica 2.1 Modulo 2.1.8 – I diritti degli interessati La disciplina di protezione dei dati personali attribuisce a ciascun interessato il diritto di accedere ai dati personali a sé riferiti e di esercitare gli altri diritti previsti dall'art. 7 del Codice. Tratto da “Guida pratica e misure di semplificazione per le piccole e medie imprese - 24 maggio 2007 (G.U. 21 giugno 2007 n. 142)85 In maniera più formale il “Codice in materia di protezione dei dati personali”86 all’articolo 7 recita come segue. Art. 7. Diritto di accesso ai dati personali ed altri diritti 1. L'interessato ha diritto di ottenere la conferma dell'esistenza o meno di dati personali che lo riguardano, anche se non ancora registrati, e la loro comunicazione in forma intelligibile. 2. L'interessato ha diritto di ottenere l'indicazione: a. dell'origine dei dati personali; b. delle finalità e modalità del trattamento; c. della logica applicata in caso di trattamento effettuato con l'ausilio di strumenti elettronici; d. degli estremi identificativi del titolare, dei responsabili e del rappresentante designato ai sensi dell'articolo 5, comma 2; e. dei soggetti o delle categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di rappresentante designato nel territorio dello Stato, di responsabili o incaricati. 3. L'interessato ha diritto di ottenere: a. l'aggiornamento, la rettificazione ovvero, quando vi ha interesse, l'integrazione dei dati; b. la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge, compresi quelli di cui non è necessaria la conservazione in relazione agli scopi per i quali i dati sono stati raccolti o successivamente trattati; c. l'attestazione che le operazioni di cui alle lettere a) e b) sono state portate a conoscenza, anche per quanto riguarda il loro contenuto, di coloro ai quali i dati sono stati comunicati o diffusi, eccettuato il caso in cui tale 85 86 http://www.garanteprivacy.it/garante/doc.jsp?ID=1412271#par7 http://www.garanteprivacy.it/garante/doc.jsp?ID=1311248 78 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 2 – Unità didattica 2.1 adempimento si rivela impossibile o comporta un impiego di mezzi manifestamente sproporzionato rispetto al diritto tutelato. 4. L'interessato ha diritto di opporsi, in tutto o in parte: a. per motivi legittimi al trattamento dei dati personali che lo riguardano, ancorché pertinenti allo scopo della raccolta; b. al trattamento di dati personali che lo riguardano a fini di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale. All’articolo 7 sono inoltre collegati: Art. 8. Esercizio dei diritti Art. 9. Modalità di esercizio Art. 10. Riscontro all'interessato Art. 145. Ricorsi Art. 146. Interpello preventivo In pratica: Esercizio del diritto d'accesso Se l'interessato esercita il proprio diritto d'accesso ai dati che lo riguardano o uno degli altri diritti che gli sono riconosciuti, il titolare del trattamento (o il responsabile) deve fornire riscontro (di regola) entro quindici giorni dal ricevimento dell'istanza (art. 146 del Codice). Sanzioni per il mancato riscontro all'interessato In caso di omesso o incompleto riscontro, i predetti diritti possono essere fatti valere dinanzi all'autorità giudiziaria o con ricorso al Garante (art. 145 del Codice). 79 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 2 – Unità didattica 2.1 Modulo 2.1.9 – Check list di verifica degli adempimenti Tratto da “Guida pratica e misure di semplificazione per le piccole e medie imprese - 24 maggio 2007 (G.U. 21 giugno 2007 n. 142)”87 Quesito SI 1. I soggetti che effettuano il trattamento È stata effettuata una valutazione circa le operazioni di trattamento di dati personali, anche sensibili, effettuate dall'impresa? I dati trattati sono pertinenti e non eccedenti rispetto alle legittime finalità del trattamento, oltre che esatti e aggiornati? Le persone fisiche che all'interno dell'impresa trattano dati personali sono state designate tutte quali "incaricate del trattamento"? Sono state fornite a tutti gli "incaricati del trattamento" istruzioni scritte circa i propri compiti? Se all'interno dell'impresa sono stati individuati soggetti che hanno ambiti di autonomia nel trattamento dei dati personali, sono stati designati per iscritto "responsabili del trattamento"? Se fuori dell'impresa enti o persone fisiche trattano dati personali nel suo interesse, obbligati a seguirne le istruzioni (come accade per i casi di outsourcing), sono stati designati per iscritto quali "responsabili del trattamento"? 2. La notificazione del trattamento Si è verificato, prima di intraprendere operazioni di trattamento, se l'impresa effettua i trattamenti da notificare al Garante? Se sono intervenute modificazioni relativamente ai trattamenti già eventualmente notificati, è stato curato il loro aggiornamento in una nuova notificazione? Se cessano i trattamenti, ciò ha formato oggetto di specifica notificazione? 3. L'informativa È stata fornita l'informativa agli interessati in caso di dati raccolti presso di essi? È stata fornita l'informativa agli interessati in caso di dati raccolti presso soggetti diversi dagli interessati stessi? 4. Il consenso dell'interessato Il trattamento dei dati personali viene effettuato in presenza di uno dei presupposti di liceità indicati all'art. 24 del Codice? Se non ricorre uno dei presupposti di liceità indicati all'art. 24 del Codice, è stato raccolto il consenso dell'interessato? Se sono trattati dati sensibili è stato raccolto il consenso scritto degli interessati? Se sono trattati dati sensibili, è stato verificato se il trattamento rientra tra quelli già autorizzati dal Garante con le autorizzazioni generali? Se il trattamento di dati sensibili non rientra tra quelli previsti dalle autorizzazioni generali, è stata richiesta al Garante un'autorizzazione ad hoc? 5. La sicurezza dei dati Sono state adottate idonee misure di sicurezza per proteggere i dati personali? Sono state adottate le misure minime di sicurezza previste per proteggere i dati personali? Se sono trattati dati sensibili e giudiziari, è stato redatto, quando è necessario, il documento programmatico per la sicurezza e ne vengono osservate le previsioni? 87 http://www.garanteprivacy.it/garante/doc.jsp?ID=1412271#par8 80 Creative Commons Attribuzione - Non commerciale 2.5 Italia License NO Lezione 2 – Unità didattica 2.1 Periodicamente, e comunque entro il 31 marzo di ciascun anno, formano oggetto di rinnovata valutazione le misure di sicurezza individuate con il documento programmatico per la sicurezza? 6. Il trasferimento dei dati in paesi terzi Se i dati personali trattati dall'impresa sono soggetti a trasferimento verso Paesi terzi (esterni all'Unione europea e all'area economica europea), il trasferimento avviene: in presenza di una delle condizioni previste dall'art. 43 del Codice? oppure verso uno dei paesi che assicurano un livello adeguato di protezione (Svizzera, Argentina, Isola di Man, Baliato di Guernsey)? oppure verso un'impresa statunitense che aderisce al Safe Harbor? oppure in presenza di clausole contrattuali standard tra esportatore e importatore? oppure in presenza di un'autorizzazione ad hoc da parte del Garante? 7. I doveri del titolare del trattamento in caso di esercizio dei diritti degli interessati ai sensi dell'art. 7 del Codice In presenza dell'esercizio del diritto d'accesso, viene dato riscontro all'interessato secondo le modalità previste dalla legge? 81 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 2 – Unità didattica 2.1 Domande di verifica 2.1 Domanda Le misure minime di sicurezza sono uguali per tutti i titolari. Falso. Con le “semplificazioni” del 2008 artigiani e PMI non sono più tenute al rispetto delle misure minime di sicurezza. La formazione sulla privacy è obbligatoria e va riportata sul DPS. Vero. L’allegato B del Codice indica chiaramente tale obbligo. Con diritto d’accesso si intende il diritto dell’interessato a conoscere quali suoi dati personali sono trattati dal titolare. Vero. Tale diritto è indicato all’articolo 7 del Codice. Seconda risposta Vero. Anche con le “semplificazioni” del 2008 artigiani e PMI sono più tenute al rispetto delle misure minime di sicurezza che tuttavia sono state semplificate in alcuni aspetti.. Vero. La formazione è obbligatoria e deve essere svolta da “docenti” certificati presso il Garante. Vero. Tale diritto è indicato all’articolo 77 del Codice. Terza risposta Vero. Le “semplificazioni” del 2008 riguardano solo banche e assicurazioni.. Falso. La formazione è opzionale e dipende dalla valutazione dei rischi svolta dal titolare. Falso. Il diritto d’accesso consiste nella possibilità del Garante di entrare nelle aziende per fare le verifiche. 82 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 2 – Unità didattica 2.2 Lezione 2 – Unità didattica 2.2 – Provvedimenti più rilevanti per le aziende Modulo 2.2.1 – Iniziative e provvedimenti del Garante Modulo 2.2.2 – I nuovi adempimenti per le funzioni di “amministratore di sistema” Modulo 2.2.3 – Semplificazioni degli adempimenti Modulo 2.2.4 – Banche: la “guida” del Garante per l'uso dei dati dei clienti Modulo 2.2.5 – Privacy e pubblico impiego: le “linee guida” del Garante Modulo 2.2.6 – Linee guida del Garante per posta elettronica e internet Modulo 2.2.7 – Linee guida per il trattamento di dati dei dipendenti privati Modulo 2.2.8 – Impronte digitali e altri sistemi biometrici Modulo 2.2.9 – Videosorveglianza Modulo 2.2.10 – Altri provvedimenti e pubblicazioni Domande di verifica 2.2 83 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 2 – Unità didattica 2.2 Modulo 2.2.1 – Iniziative e provvedimenti del Garante Il quadro normativo italiano sulla privacy non si limita al Codice ed ai suoi allegati perché il Garante per la protezione dei dati personali può adottare provvedimenti che assumono valore normativo. Inoltre, spesso il Garante, attraverso il suo sito, pubblica linee guida, modelli o anticipa contenuti su iniziative legislative in corso. L’elenco completo88 dei provvedimenti è disponibile presso il sito del Garante. Il 24 febbraio 2009 il Garante per la protezione dei dati personali ha predisposto sul proprio sito una nuova area “Indice per materia”89che raccoglie i principali provvedimenti dell'Autorità suddivisi per materia e affianca quella cronologica. Di seguito riportiamo, in ordine cronologico90, i provvedimenti e le “pubblicazioni” più importanti che approfondiremo nei moduli di questa unità didattica. Data 25 giugno 2009 25 giugno 2009 12 marzo 2009 24 dicembre 2008 27 novembre 2008 Argomento Prescrizioni ai fornitori di servizi di comunicazione elettronica accessibili al pubblico che svolgono attività di profilazione - 25 giugno 200991 Modifiche del provvedimento del 27 novembre 2008 recante prescrizioni ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni di amministratore di sistema e proroga dei termini per il loro adempimento - 25 giugno 200992 Prescrizioni ai titolari di banche dati costituite sulla base di elenchi telefonici formati prima del 1° agosto 2005 a seguito della deroga introdotta dall'art. 44 d.l. n. 207/2008 - 12 marzo 200993 Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema Semplificazione delle misure di sicurezza contenute nel disciplinare tecnico di cui all'Allegato B) al Codice in materia di protezione dei dati personali Obbligatorio Sì Nota Solo per gli ISP (Internet Service Provider) Sì Sì Sì Sì 88 http://www.garanteprivacy.it/garante/navig/jsp/index.jsp?folderpath=Provvedimenti http://www.garanteprivacy.it/garante/doc.jsp?ID=1592067 90 Scritto in data 5 ottobre 2009 91 http://www.garanteprivacy.it/garante/doc.jsp?ID=1629107 92 http://www.garanteprivacy.it/garante/doc.jsp?ID=1626595 93 http://www.garanteprivacy.it/garante/doc.jsp?ID=1598808 89 84 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Modulo 1.3.5 della Lezione 1 Lezione 2 – Unità didattica 2.2 novembre 2007 luglio 2007 marzo 2007 novembre 2006 ottobre 2005 aprile 2004 Banche: la ”Guida'' del Garante privacy per l'uso dei dati dei clienti” Privacy e pubblico impiego: le linee guida del Garante Linee guida del Garante per posta elettronica e internet Linee guida del Garante per il trattamento dei dati dei dipendenti privati Impronte digitali ed altri sistemi biometrici Videosorveglianza No No No No Sì Sì Altri provvedimenti e pubblicazioni di rilievo (che non approfondiremo) sono: Obbligatorio Sì Data 30 dicembre 2008 Argomento Inasprimento delle sanzioni privacy94 13 ottobre 2008 Rifiuti di apparecchiature elettriche ed elettroniche (Raae) e misure di sicurezza dei dati personali95 Sicurezza dei dati di traffico telefonico e telematico96 Sì Comunicato stampa del Garante del 3 settembre 2003 che sintetizza chiaramente il quadro di riferimento per le comunicazioni commerciali indesiderate (spamming)97 Sì gennaio 2008 settembre 2003 94 Nota D.L. n. 207 del 30 dicembre 2008 (articolo 44 ) Sì http://www.gazzettaufficiale.it/guridb/dispatcher?service=1&datagu=2008-12-31&task=dettaglio&numgu=304&redaz=008G0232&tmstp=1231080653127 95 http://www.garanteprivacy.it/garante/doc.jsp?ID=1571960 http://www.garanteprivacy.it/garante/doc.jsp?ID=1482111 97 http://www.garanteprivacy.it/garante/doc.jsp?ID=272444 96 85 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 2 – Unità didattica 2.2 Modulo 2.2.2 – I nuovi adempimenti per le funzioni di “amministratore di sistema” Questo argomento è già stato affrontato nel “Modulo 1.3.5 – I nuovi adempimenti per le funzioni di “amministratore di sistema”” della Lezione 1. Esempi pratici di applicazione nel “Modulo 3.3.4 – Le verifiche sull’amministratore di sistema” della Lezione 3. 86 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 2 – Unità didattica 2.2 Modulo 2.2.3 – Semplificazioni degli adempimenti Tra giugno e dicembre 2008 si sono susseguite una serie di “semplificazioni” in relazione agli adempimenti privacy: semplificazione delle misure di sicurezza contenute nel disciplinare tecnico di cui all'Allegato B) al Codice in materia di protezione dei dati personali - 27 novembre 2008 G.U. n. 287 del 9 dicembre 2008 (questo argomento è già stato affrontato nel modulo 1.3.4 della Lezione 1); semplificazioni di taluni adempimenti in ambito pubblico e privato rispetto a trattamenti per finalità amministrative e contabili - 19 giugno 2008 - Gazzetta Ufficiale 1° luglio 2008, n. 152. Semplificazioni degli adempimenti per le PMI del giugno 2008 Il Decreto Legge 25 giugno 2008 n.11298 ha abrogato l’obbligo della redazione del Documento Programmatico sulla sicurezza (DPS) per tutte le aziende che non trattano dati sensibili o che trattano solo dati sensibili inerenti salute e malattia dei propri dipendenti, senza indicazione della diagnosi. Tale decreto ha messo in atto quanto anticipato dal Garante il 19 giugno 200899 in relazione ad una serie di significative semplificazioni degli adempimenti per l'intero settore pubblico e privato ed in particolare nei riguardi di piccole e medie imprese, liberi professionisti e artigiani. In sintesi le semplificazioni riguardano: informativa; consenso; designazione degli incaricati; comunicazioni pubblicitarie; notificazione dei trattamenti. Informativa Sulla base delle nuove disposizioni, i titolari possono: fornire un'unica informativa per il complesso dei trattamenti, anziché per singoli aspetti del rapporto con gli interessati; fornire a questi ultimi una ricostruzione organica dei trattamenti e con linguaggio semplice, senza frammentarla o reiterarla inutilmente; indicare le informazioni essenziali in un quadro adeguato di lealtà e correttezza; 98 99 http://www.camera.it/parlam/leggi/decreti/08112d.htm http://www.garanteprivacy.it/garante/doc.jsp?ID=1526724 87 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 2 – Unità didattica 2.2 redigere, per quanto possibile, una prima informativa breve. All'interessato, anche oralmente, andrebbero indicate sinteticamente alcune prime notizie chiarendo subito, con immediatezza, le principali caratteristiche del trattamento. utilizzare per l'informativa, specie per quella breve, gli spazi utili nel materiale cartaceo e nella corrispondenza che si impiegano già, ordinariamente, per finalità amministrative e contabili. Inoltre: l'informativa breve può rinviare a un testo più articolato, disponibile agevolmente senza oneri per gli interessati, in luoghi e con modalità facilmente accessibili anche con strumenti informatici e telematici (in particolare, tramite reti Intranet o siti Internet, affissioni in bacheche o locali, avvisi e cartelli agli sportelli per la clientela, messaggi preregistrati disponibili digitando un numero telefonico gratuito); è possibile non inserire nell'informativa più articolata gli elementi noti all'interessato (art. 13, commi 2 e 4). (...) Se è prevista la raccolta di dati presso terzi è possibile formulare una sola informativa per i dati forniti direttamente dall'interessato e per quelli che saranno acquisiti presso terzi. Per questi ultimi dati, l'informativa può non essere fornita quando vi è un obbligo normativo di trattarli (art. 13, comma 5); è opportuno che l'informativa più articolata sia basata su uno schema tendenzialmente uniforme per il settore di attività del titolare del trattamento; è invece necessario fornire un'informativa specifica o ad hoc quando il trattamento ha caratteristiche del tutto particolari perché coinvolge, ad esempio, peculiari informazioni (es. dati genetici) o prevede forme inusuali di utilizzazione di dati, specie sensibili, rispetto alle ordinarie esigenze amministrative e contabili, o può comportare rischi specifici per gli interessati (ad esempio, rispetto a determinate forme di uso di dati biometrici o di controllo delle attività dei lavoratori). Se il titolare del trattamento è un soggetto pubblico devono essere inserite le indicazioni che la legge prevede per i dati sensibili e giudiziari. Consenso Il Garante ai sensi degli artt. 2, comma 2, 24 e 154, comma 1, lett. c), del Codice ha invitato tutti i titolari del trattamento pubblici e privati a non chiedere il consenso degli interessati quando il trattamento dei dati è svolto, anche in relazione all'adempimento di obblighi contrattuali, precontrattuali o normativi, esclusivamente per correnti finalità amministrative e contabili, nonché quando i dati provengono da pubblici registri ed elenchi pubblici conoscibili da chiunque, o sono relativi allo svolgimento di attività economiche o sono trattati da un soggetto pubblico. Designazione incaricati Il Garante ha richiamato l'attenzione dei titolari del trattamento sulla circostanza che la designazione degli incaricati del trattamento può avvenire in modo semplificato evitando singoli atti circostanziati relativi distintamente a ciascun incaricato, individuando i trattamenti di dati e le relative modalità che sono consentiti all'unità cui sono addetti gli incaricati stessi (art. 30 del Codice). Comunicazioni pubblicitarie In applicazione del principio del bilanciamento degli interessi (art. 24, comma 1, lett. g), il Garante ha disposto che i titolari del trattamento in ambito privato che hanno venduto un prodotto o prestato un servizio, nel quadro del perseguimento di ordinarie finalità amministrative e contabili, possono utilizzare senza il consenso i recapiti (oltre che di posta elettronica come già previsto per legge) di 88 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 2 – Unità didattica 2.2 posta cartacea forniti dall'interessato, ai fini dell'invio diretto di proprio materiale pubblicitario o di propria vendita diretta o per il compimento di proprie ricerche di mercato o di comunicazione commerciale. Ciò, rispettando anche le garanzie previste per le attività di profilazione degli interessati (Provv. 24 febbraio 2005, doc. web n. 1103045), a condizione che: tale attività promozionale riguardi beni e servizi del medesimo titolare e analoghi a quelli oggetto della vendita; l'interessato, al momento della raccolta e in occasione dell'invio di ogni comunicazione effettuata per le menzionate finalità, sia informato della possibilità di opporsi in ogni momento al trattamento, in maniera agevole e gratuitamente, anche mediante l'utilizzo della posta elettronica o del fax o del telefono e di ottenere un immediato riscontro che confermi l'interruzione di tale trattamento (art. 7, comma 4); l'interessato medesimo, così adeguatamente informato già prima dell'instaurazione del rapporto, non si opponga a tale uso, inizialmente o in occasione di successive comunicazioni. Notificazioni dei trattamenti Il Garante ha ricordato che la notificazione telematica al Garante non è necessaria per perseguire finalità amministrative e contabili, salvo che per eventuali casi eccezionali indicati per legge (art. 37 Codice) 89 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 2 – Unità didattica 2.2 Modulo 2.2.4 – Banche: la “guida” del Garante per l'uso dei dati dei clienti Il 25 ottobre 2007 il Garante ha emesso provvedimento a carattere generale che fissa le garanzie per il corretto uso dei dati personali dei clienti da parte degli istituti bancari e degli operatori postali, quando operano nell'ambito bancario e finanziario. Il provvedimento affronta diversi aspetti che regolano il rapporto tra banca e cliente: i casi specifici nei quali è lecito comunicare a terzi informazioni bancarie, gli obblighi di riservatezza da rispettare, le modalità con le quali le banche devono soddisfare le richieste di accesso dei clienti ai propri dati personali o quelle per informarli sull'uso che viene fatto di questi dati. A tutela dei clienti, il Garante ha stabilito, in particolare, che: le comunicazioni di informazioni bancarie a terzi devono essere effettuate solo nei casi espressamente previsti dalla legge, dal Codice della privacy o nel caso in cui sia l'interessato ad autorizzare terzi (familiari, coniuge, professionisti legati da una rapporto di lavoro) ad effettuare operazioni per suo conto o a conoscere il tipo di rapporto intrattenuto con la banca; le banche possono registrare le telefonate effettuate dalla clientela per dare particolari ordini e istruzioni o nei servizi di “telephone banking”, ma devono informare gli interessati. È necessario adottate misure di sicurezza contro alterazione o uso indebito del contenuto delle conversazioni; il personale deve evitare le telefonate e i colloqui ad alta voce con la clientela e occorre predisporre distanze di cortesia agli sportelli; le informazioni dei clienti trattati dalle banche devono essere sempre esatte ed aggiornate; il cliente ha diritto a ottenere la comunicazione in forma intelligibile dei dati che lo riguardano (comprese operazioni effettuate, registrazioni telefoniche, ordini di investimento), ma non quelli riferiti ad altre persone (se presenti, nella copia dei documenti da consegnare al cliente devono essere oscurati); nel caso in cui dare l'informativa singolarmente a ciascun cliente comporti un impiego sproporzionato di mezzi (es. operazioni di cessione di sportelli), la banca può assolvere tale obbligo pubblicando l'informativa sulla Gazzetta Ufficiale. 90 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 2 – Unità didattica 2.2 Modulo 2.2.5 – Privacy e pubblico impiego: le “linee guida” del Garante Le “Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro in ambito pubblico”100 del 14 giugno 2007 contengono le misure e gli accorgimenti che il Garante ha individuato nel quadro dei rapporti di lavoro in ambito pubblico. Tali “Linee guida” seguono quelle già adottate di recente per i lavoratori privati. Di seguito i punti principali del provvedimento. 100 Assenze per malattia, certificati e visite mediche: in caso di assenza per malattia all'amministrazione vanno consegnati certificati medici privi di diagnosi e con la sola indicazione dell'inizio e della durata dell'infermità. Se il lavoratore produce documentazione in cui è presente anche la diagnosi, l'ufficio deve astenersi dall'utilizzare queste informazioni e deve invitare il personale a non produrre altri certificati con le stesse caratteristiche. Particolari cautele devono essere adottate dall'ente pubblico quando tratta dati sulla salute dei dipendenti nei casi di visite medico legali, denunce di infortunio all'Inail, abilitazioni al porto d'armi e alla guida. Diffusione dei dati in Internet: le amministrazioni devono assicurare l'esattezza, l'aggiornamento e la pertinenza dei dati pubblicati in rete e garantire il "diritto all'oblio", cioè una tutela dinamica della riservatezza delle persone (trascorso un certo periodo dalla pubblicazione è opportuno spostare i nominativi in un parte del sito dove non siano più rintracciabili dai motori di ricerca esterni). Nelle graduatorie relative a concorsi o selezioni vanno riportati solo dati pertinenti (elenchi nominativi abbinati ai risultati, elenchi di ammessi alle prove scritte o orali, no a recapiti telefonici, codice fiscale ecc.) É sempre vietata la diffusione di informazioni sulla salute del lavoratore o dei familiari interessati. Dati biometrici dei lavoratori pubblici: anche nell'ambito del pubblico impiego non è consentito un uso generalizzato dei dati biometrici dei dipendenti (impronte digitali, iride) per controllare le presenze o gli accessi sul luogo di lavoro. Il Garante può autorizzare l'attivazione di tali sistemi di rilevazione solo in presenza di particolari esigenze (aree adibite alla sicurezza dello Stato, torri di controllo, conservazione di oggetti di particolare valore) e con precise garanzie (verifica preliminare dell'Autorità, no ad archivi centralizzati, codice cifrato dell'impronta memorizzato solo nel badge del dipendente). Comunicazioni tra amministrazione e lavoratore: per prevenire la conoscenza ingiustificata di dati da parte di persone non autorizzate, l'amministrazione deve adottare forme di comunicazione con il dipendente protette e individualizzate: inoltrando le note in busta chiusa, inviandole all'e-mail personale o invitandolo a ritirare personalmente la documentazione. http://www.garanteprivacy.it/garante/doc.jsp?ID=1417809 91 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 2 – Unità didattica 2.2 Modulo 2.2.6 – Linee guida del Garante per posta elettronica e internet Le “Linee guida” del Garante per posta elettronica e internet101 del marzo 2007 forniscono concrete indicazioni in ordine all'uso dei computer sul luogo di lavoro. L'Autorità prescrive innanzitutto ai datori di lavoro di informare con chiarezza e in modo dettagliato i lavoratori sulle modalità di utilizzo di Internet e della posta elettronica e sulla possibilità che vengano effettuati controlli. Il Garante vieta poi la lettura e la registrazione sistematica delle e-mail così come il monitoraggio sistematico delle pagine web visualizzate dal lavoratore, perché ciò realizzerebbe un controllo a distanza dell'attività lavorativa vietato dallo Statuto dei lavoratori. Viene inoltre indicata tutta una serie di misure tecnologiche e organizzative per prevenire la possibilità, prevista solo in casi limitatissimi, dell'analisi del contenuto della navigazione in Internet e dell'apertura di alcuni messaggi di posta elettronica contenenti dati necessari all'azienda. Il provvedimento raccomanda l'adozione da parte delle aziende di un disciplinare interno, definito coinvolgendo anche le rappresentanze sindacali, nel quale siano chiaramente indicate le regole per l'uso di Internet e della posta elettronica. Il datore di lavoro è inoltre chiamato ad adottare ogni misura in grado di prevenire il rischio di utilizzi impropri, così da ridurre controlli successivi sui lavoratori. Per quanto riguarda Internet è opportuno ad esempio: individuare preventivamente i siti considerati correlati o meno con la prestazione lavorativa; utilizzare filtri che prevengano determinate operazioni, quali l'accesso a siti inseriti in una sorta di black list o il download di file musicali o multimediali. Per quanto riguarda la posta elettronica, è opportuno che l'azienda: renda disponibili anche indirizzi condivisi tra più lavoratori ([email protected]; [email protected]; [email protected]), rendendo così chiara la natura non privata della corrispondenza; valuti la possibilità di attribuire al lavoratore un altro indirizzo (oltre quello di lavoro), destinato ad un uso personale; preveda, in caso di assenza del lavoratore, messaggi di risposta automatica con le coordinate di altri lavoratori cui rivolgersi; metta in grado il dipendente di delegare un altro lavoratore (fiduciario) a verificare il contenuto dei messaggi a lui indirizzati e a inoltrare al titolare quelli ritenuti rilevanti per l'ufficio, ciò in caso di assenza prolungata o non prevista del lavoratore interessato e di improrogabili necessità legate all'attività lavorativa. Qualora queste misure preventive non fossero sufficienti a evitare comportamenti anomali, gli eventuali controlli da parte del datore di lavoro devono essere effettuati con gradualità. In prima battuta si dovranno effettuare verifiche di reparto, di ufficio, di gruppo di lavoro, in modo da individuare l'area da richiamare all'osservanza delle regole. Solo successivamente, ripetendosi l'anomalia, si potrebbe passare a controlli su base individuale. Il Garante ha chiesto infine particolari misure di tutela in quelle realtà lavorative dove debba essere rispettato il segreto professionale garantito ad alcune categorie, come ad esempio i giornalisti. 101 http://www.garanteprivacy.it/garante/doc.jsp?ID=1387522 92 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 2 – Unità didattica 2.2 Modulo 2.2.7 – Linee guida per il trattamento di dati dei dipendenti privati Con le “Linee-guida per il trattamento di dati dei dipendenti privati”102 del novembre 2006 il Garante ha definito, per la prima volta in un quadro unitario, misure ed accorgimenti per disciplinare la raccolta e l'uso dei dati personali nella gestione del rapporto di lavoro. Questi in sintesi i punti principali delle linee guida. Principi generali Il datore di lavoro può trattare informazioni di carattere personale strettamente indispensabili per dare esecuzione al rapporto di lavoro. Deve individuare il personale che può trattare tali dati e assicurare idonee misure di sicurezza per proteggerli da indebite intrusioni o illecite divulgazioni. Il lavoratore deve essere informato in modo puntuale sull'uso che verrà fatto dei suoi dati e gli deve essere consentito di esercitare agevolmente i diritti che la normativa sulla privacy gli riconosce (accesso ai dati, aggiornamento, rettifica, cancellazione etc). Entro 15 giorni dalla richiesta il datore di lavoro è tenuto a comunicare in modo chiaro tutte le informazioni in suo possesso Cartellini identificativi, Intranet, bacheche aziendali Nelle aziende private può essere eccessivo indicare sul cartellino identificativo del dipendente dati anagrafici o generalità: a seconda dei casi può bastare un codice identificativo o il solo nome o solo il ruolo professionale. Senza consenso non si possono comunicare informazioni ad associazioni di datori di lavoro, di ex dipendenti o a conoscenti, familiari, parenti. Il consenso è necessario anche per pubblicare informazioni personali (foto, curricula) nella Intranet aziendale e a maggior ragione in Internet. Nella bacheca aziendale possono essere affissi solo ordini di servizio, turni lavorativi o feriali. Non si possono invece diffondere emolumenti percepiti, sanzioni disciplinari, assenze per malattia, adesione ad associazioni. Dati sanitari I dati sanitari vanno conservati in fascicoli separati. Il lavoratore assente per malattia è tenuto a consegnare al proprio ufficio un certificato senza la diagnosi ma con la sola indicazione dell'inizio e della durata presunta dell'infermità.Il datore di lavoro non può accedere alle cartelle sanitarie dei dipendenti sottoposti ad accertamenti dal medico del lavoro. Nel caso di denuncia di infortuni o malattie professionali all'Inail, il datore di lavoro deve limitarsi a comunicare solo le informazioni connesse alla patologia denunciata. Dati biometrici Non è lecito l'uso generalizzato e incontrollato di dati biometrici, specie se ricavati dalle impronte digitali. L'uso può essere giustificato solo in casi particolari, per presidiare, ad esempio, accessi ad "aree sensibili" (processi produttivi pericolosi, locali destinati a custodia di beni, documenti riservati). Anche quando l'uso è consentito non è ammessa la costituzione di banche dati centralizzate: è infatti sufficiente la memorizzazione su una smart card in uso esclusivo del dipendente. 102 http://www.garanteprivacy.it/garante/doc.jsp?ID=1364099 93 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 2 – Unità didattica 2.2 Modulo 2.2.8 – Impronte digitali e altri sistemi biometrici I provvedimenti più importanti in tale ambito sono: 1. parere del 28 settembre 2001103 “Videosorveglianza e dati biometrici - Rilevazioni biometriche presso istituti di credito”; 2. provvedimento del 27 ottobre 2005104 sulla rilevazione di impronte digitali in combinazione con trattamenti di immagini. Parere del 28 settembre 2001 “Videosorveglianza e dati biometrici Rilevazioni biometriche presso istituti di credito” Fonte immagine105 In questo parere, il Garante nel ribadire il proprio orientamento circa il divieto di utilizzazione generalizzata di sistemi di rilevazione biometrica all'ingresso delle banche, fissa altresì alcune condizioni che in attesa di un puntuale intervento legislativo, e a fronte di eccezionali ed acclarate situazioni di rischio inerenti alla specificità della realtà bancaria, consentono una temporanea installazione di detti sistemi (rilevazione automatica di una impronta digitale, eventualmente associabile all'immagine a seguito di decrittazione effettuata dall'autorità giudiziaria) nel rispetto di alcune imprescindibili garanzie per gli interessati individuati dal provvedimento. Tali condizioni sono ribadite e chiarite nel successivo provvedimento del 2005 a cui rimandiamo. Provvedimento del 27 ottobre 2005 sulla rilevazione di impronte digitali in combinazione con trattamenti di immagini Il provvedimento, tenuto conto di quanto già indicato nel provvedimento generale 29 aprile 2004 sulla videosorveglianza 106 e nel provvedimento del 28 settembre 2001 relativo alle rilevazioni biometriche107 presso gli istituti di credito, mira ad individuare le misure e gli accorgimenti a garanzia degli interessati che dovranno essere posti in essere da tutti gli istituti di credito operanti sul territorio nazionale che intendano avvalersi di sistemi di rilevazione di impronte digitali combinati ad altri sistemi (immagini). I principi fissati dal Garante sono: l'utilizzo generalizzato ed indiscriminato di sistemi che consentono l'identificazione degli interessati mediante la combinazione di diversi sistemi di rilevazione dati non è consentito 103 http://www.garanteprivacy.it/garante/doc.jsp?ID=39704 http://www.garanteprivacy.it/garante/doc.jsp?ID=1246675 105 http://www.garanteprivacy.it/garante/doc.jsp?ID=1246675 106 http://www.garanteprivacy.it/garante/doc.jsp?ID=1003482 107 http://www.garanteprivacy.it/garante/doc.jsp?ID=39704 104 94 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 2 – Unità didattica 2.2 in quanto contrasta con il principio di necessità che impone di configurare i sistemi informativi e i programmi informatici escludendo il trattamento di dati personali non necessari - nel caso di specie, biometrici - in rapporto alle finalità che si intende perseguire (art. 3 del Codice); tale trattamento di tali dati personali è consentito, con l'osservanza di adeguate garanzie, soltanto quando debba essere perseguita l'esclusiva finalità di elevare il grado di sicurezza di beni e persone (segnatamente, del personale dipendente degli istituti di credito e della clientela); informativa: o gli interessati devono essere informati adeguatamente della presenza dei sistemi di acquisizione delle impronte digitali e dell'associazione di queste ultime con immagini raccolte (art. 13 del Codice); ciò, prima che i dati siano rilevati e, comunque, prima dell'accesso a varchi a doppia porta o bussole; o l'informativa deve fornire gli elementi previsti dal Codice (art. 13) anche con formule sintetiche, ma chiare e senza ambiguità.; deve essere ben evidenziata la libertà di accedere in banca senza consentire il rilevamento dell'impronta digitale, sulla base di un procedimento alternativo basato anche su un'identificazione del cliente eventualmente necessaria; o il Garante ha individuato un modello di informativa “minima” che i titolari del trattamento potranno utilizzare in corrispondenza dei varchi di accesso alle strutture della banca, che dovrà essere integrato con un'informativa più ampia esposta all'interno della dipendenza bancaria. consenso: o il trattamento dei dati personali è da ritenersi lecito anche in assenza del consenso degli interessati, ai sensi dell'art. 24, comma 1, lett. g), del Codice. misure di sicurezza: o i sistemi per la raccolta delle immagini (fisse o in movimento) e delle impronte digitali devono prevedere l'immediata cifratura dei dati, prima della loro registrazione in una banca dati comunque configurata, e devono garantire un livello elevato di sicurezza; o deve essere assicurata l'associazione univoca tra le immagini e le impronte digitali, per evitare errori di identificazione; conservazione dei dati: o i dati cifrati relativi alle impronte e alle eventuali immagini devono essere conservati per un periodo non superiore ad una settimana e devono essere registrati cronologicamente in modo tale da consentire il loro pronto reperimento anche sulla base di un' opportuna organizzazione per giorni di rilevazione; o devono essere predisposti meccanismi di integrale cancellazione automatica delle informazioni allo scadere del termine previsto; resta fermo che la banca, in presenza di una richiesta di accesso da parte dell'interessato, oppure di eventi criminosi verificatisi o, ancora, di una richiesta da parte dell'autorità giudiziaria, potrà assicurare la disponibilità dei dati raccolti, evitandone l'automatica cancellazione alla scadenza del periodo di conservazione previsto. altri adempimenti: o resta l'obbligo di notificare al Garante il trattamento dei dati secondo le modalità previste (art. 37, comma 1, lett. a) del Codice). o ogni istituto di credito che intenda installare nuove apparecchiature, oppure modificare quelle esistenti, dovrà inoltrare Garante, una specifica richiesta di 95 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 2 – Unità didattica 2.2 verifica preliminare108 utilizzando i modelli riprodotti in allegato109, verifica da svolgere una tantum ai sensi dell'art. 17 del Codice, prima dell'inizio del trattamento; a tal fine potrà essere effettuata un'unica comunicazione riguardante tutti gli sportelli della banca, indicando l'elenco di quelli per i quali intende attivare i dispositivi menzionati e le condizioni di concreto rischio poste a fondamento della loro installazione valutate in rapporto alle altre misure adottabili; o presso ogni sportello bancario dovrà essere comunque conservata e tenuta aggiornata, anche in previsione di verifiche disposte da questa Autorità, la seguente documentazione: a) copia della richiesta di verifica preliminare inviata al Garante; b) eventuale documentazione dalla quale si possa desumere l'esistenza di condizioni di rischio concreto dello sportello; c) documentazione tecnica relativa all'installazione dei sistemi biometrici e di videosorveglianza adottati, dal quale risulti la conformità dei medesimi alle condizioni indicate nel presente provvedimento; dalla medesima devono evincersi: le caratteristiche dell'impianto di ripresa (ad esempio, localizzazione della/e telecamera/e con l'indicazione delle caratteristiche tecniche); le caratteristiche dell'impianto di raccolta del dato biometrico; le caratteristiche del sistema informatico di gestione delle immagini e dei dati biometrici, con particolare riguardo alle fasi del processo crittografico; l'indicazione del tempo massimo di conservazione dei dati; d) copia dell'informativa resa alla clientela; e) documentazione dalla quale si possano desumere le modalità alternative di accesso alla struttura della banca. 108 109 http://www.garanteprivacy.it/garante/doc.jsp?ID=1247352 http://www.garanteprivacy.it/garante/doc.jsp?ID=1246675#Allegato 96 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 2 – Unità didattica 2.2 Modulo 2.2.9 – Videosorveglianza fonte immagine110 Tra i provvedimenti più importanti va ricordato il provvedimento generale 29 aprile 2004 sulla videosorveglianza 111 che fissa le regole da seguire quando si adottano sistemi di video sorveglianza. Le regole variano a seconda che le immagini siano registrate o meno. Il Garante ha inoltre pubblicato il 20 maggio 2004 una "guida alla videosorveglianza"112 che sintetizza i contenuti del più ampio provvedimento del 29 aprile. Al tema della videosorveglianza è dedicata l’intera lezione 4. Qui ci limitiamo al riepilogo delle disposizioni più importanti. L’informativa è sempre necessaria. Chiunque transiti in una zona soggetta a videosorveglianza, quindi anche un semplice cittadino, deve essere informato che sta per accedere o che si trova in una zona videosorvegliata e dell’eventuale registrazione. Il Garante ha predisposto un modello semplificato di informativa minima sotto forma di “cartello” con un simbolo ad indicare l’area video sorvegliata; questo cartello deve essere chiaramente visibile ed indicare chi effettua la rilevazione delle immagini e per quali scopi. In presenza di più telecamere, in relazione alla vastità dell’area e alle modalità delle riprese, vanno installati più cartelli. Si possono installare telecamere senza il consenso degli interessati, sulla base delle prescrizioni indicate dal Garante, quando chi intende rilevare le immagini deve perseguire un interesse legittimo a fini di tutela di persone e beni rispetto a possibili aggressioni, furti, rapine, danneggiamenti, atti di vandalismo, prevenzione incendi, sicurezza del lavoro ecc. Se i sistemi di videosorveglianza prevedono la raccolta delle immagini collegata e/o incrociata e/o confrontata con altri particolari dati personali (ad esempio dati biometrici) oppure con codici identificativi di carte elettroniche o con dispositivi che rendono identificabile la voce è necessaria una autorizzazione preliminare da parte del Garante. 110 http://www.garanteprivacy.it/garante/doc.jsp?ID=1003482 http://www.garanteprivacy.it/garante/doc.jsp?ID=1003482 112 http://www.garanteprivacy.it/garante/doc.jsp?ID=1006052 111 97 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 2 – Unità didattica 2.2 Modulo 2.2.10 – Altri provvedimenti e pubblicazioni Altri provvedimenti significativi sono: Inasprimento delle sanzioni privacy, 30 dicembre 2008113 (D.L. n. 207 del 30 dicembre 2008, articolo 44 ) Rifiuti di apparecchiature elettriche ed elettroniche (Raae) e misure di sicurezza dei dati personali, 13 ottobre 2008114 Sicurezza dei dati di traffico telefonico e telematico, 17 gennaio 2008115; Comunicato stampa del Garante del 3 settembre 2003 che sintetizza chiaramente il quadro di riferimento per le comunicazioni commerciali indesiderate (spamming)116. Inasprimento delle sanzioni privacy Questo argomento è stato affrontato nel modulo 1.3.6 della Lezione 1 Rifiuti di apparecchiature elettriche ed elettroniche (Raae) e misure di sicurezza dei dati personali Il Garante ha messo a punto una serie di indicazioni per evitare che, al momento di dismettere apparecchiature elettriche ed elettroniche (anzitutto pc, ma anche cd rom o dvd), rimangano in memoria nomi, indirizzi mail, rubriche telefoniche, foto, filmati, numero di conto bancario, dati personali in generale, anche di tipo sensibile come quelli sanitari, riferiti non solo all'utilizzatore, ma anche a terzi. Da oggi in poi, privati cittadini, professionisti, ma anche aziende pubbliche che intendono dismettere il proprio “usato” o consegnarlo ai punti di raccolta per lo smaltimento dovranno preoccuparsi di cancellare in maniera definitiva - anche con l'aiuto degli stessi rivenditori o se proprio necessario di tecnici specializzati - i dati personali memorizzati. Questo innanzitutto allo scopo di non esporsi e non esporre altri a rischi anche gravi, come ad esempio la manipolazione di dati e il furto di identità. Misure tecniche preventive È bene proteggere i file usando una password di cifratura, oppure memorizzare i dati su hard disk o su altri supporti magnetici usando sistemi di cifratura automatica al momento della scrittura. Misure tecniche di cancellazione sicura La cancellazione sicura delle informazioni su disco fisso o su altri supporti magnetici è ottenibile con programmi informatici di “riscrittura” che provvedono - una volta che l'utente abbia eliminato 113 http://www.gazzettaufficiale.it/guridb/dispatcher?service=1&datagu=2008-12-31&task=dettaglio&numgu=304&redaz=008G0232&tmstp=1231080653127 114 http://www.garanteprivacy.it/garante/doc.jsp?ID=1571960 http://www.garanteprivacy.it/garante/doc.jsp?ID=1482111 116 http://www.garanteprivacy.it/garante/doc.jsp?ID=272444 115 98 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 2 – Unità didattica 2.2 dei file dall'unità disco con i normali strumenti previsti dai sistemi operativi (ad es., con l'uso del “cestino” o con comandi di cancellazione) - a scrivere ripetutamente nelle aree vuote del disco. Si possono anche utilizzare sistemi di formattazione a basso livello degli hard disk o di “demagnetizzazione”, in grado di garantire la cancellazione rapida delle informazioni. Smaltimento di rifiuti elettrici ed elettronici Per la distruzione degli hard disk e di supporti magnetici non riscrivibili, come cd rom e dvd, è consigliabile l'utilizzo di sistemi di punzonatura o deformazione meccanica o di demagnetizzazione ad alta intensità o di vera e propria distruzione fisica. Sicurezza dei dati di traffico telefonico e telematico Il provvedimento fissa le regole di base per la messa in sicurezza dei dati del traffico telefonico e di Internet, conservati dai gestori per finalità di accertamento e repressione dei reati e per le altre finalità ammesse dalla normativa. Le prescrizioni impartite riguardano in particolare i seguenti ambiti: Accesso ai dati; Accesso ai locali; Sistemi di autorizzazione Tracciamento dell'attività del personale incaricato; Conservazione separata dei dati; Cancellazione dei dati; Controlli interni; Sistemi di cifratura. Comunicato stampa del Garante del 3 settembre 2003 sulle comunicazioni commerciali indesiderate (spamming) L’argomento “spamming” è affrontato più in dettaglio nella lezione 5 “Marketing e comunicazioni commerciali”. Qui possiamo sintetizzare l’argomento riassumendo quanto dice il Garante nel comunicato stampa del 3 settembre. Inviare e-mail pubblicitarie senza il consenso del destinatario è vietato dalla legge; se questa attività, specie se sistematica, è effettuata a fini di profitto si viola anche una norma penale e il fatto può essere denunciato all’autorità giudiziaria. Sono previste varie sanzioni e, nei casi più gravi, la reclusione. La normativa sulla privacy non permette di utilizzare indirizzi di posta elettronica per inviare messaggi indesiderati a scopo promozionale o pubblicitario anche quando si omette di indicare in modo chiaro il mittente del messaggio e l’indirizzo fisico presso il quale i destinatari possono rivolgersi per chiedere che i propri dati personali non vengano più usati. 99 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 2 – Unità didattica 2.2 Domande di verifica 2.2 Domanda Nel 2007 il Garante ha pubblicato le proprie linee guida per la posta elettronica ed Internet Nel 2006 il Garante ha pubblicato le lineeguida per il trattamento di dati dei dipendenti privati L’informativa in caso di videosorveglianza è necessaria solo nel caso che le immagini siano registrate Prima risposta Vero. L'Autorità prescrive ai datori di lavoro di informare con chiarezza e in modo dettagliato i lavoratori sulle modalità di utilizzo di Internet e della posta elettronica e sulla possibilità che vengano effettuati controlli. Vero. Mancano però le analoghe linee guida per il settore pubblico. Vero. L’informativa va data solo se le immagini videoregistrate sono effettivamente registrate. Seconda risposta Vero. L'Autorità prescrive ai datori di lavoro di informare con chiarezza e in modo dettagliato i lavoratori sulle modalità di utilizzo di Internet e della posta elettronica ma vieta che vengano effettuati controlli.. Terza risposta Falso. Il documento più volte annunciato non è stato ancora pubblicato. Vero. Con tale provvedimento il Garante ha definito misure ed accorgimenti per disciplinare la raccolta e l'uso dei dati personali nella gestione del rapporto di lavoro. Falso. L’informativa va data in ogni caso. Se si tratta di trattamenti di videosorveglianza essi vanno anche notificati al Garante. Vero. Le linee guida del 2006 si riferiscono al settore pubblico, non a quello privato. Falso. In caso di videosorveglianza l’informativa va sempre data. Se non vi è registrazione di immagini può essere fornita una informativa minima sotto forma di cartello. 100 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 2 – Unità didattica 2.3 Lezione 2 – Unità didattica 2.3 – Organizzazione della privacy Modulo 2.3.1 – Il censimento dei dati personali Modulo 2.3.2 – Il censimento dei dati personali – elementi da catalogare Modulo 2.3.3 – I soggetti che effettuano il trattamento Modulo 2.3.4 – Titolare, contitolare o responsabile esterno Modulo 2.3.5 – Nomina del responsabile interno Modulo 2.3.6 – Nomina del responsabile esterno Domande di verifica 2.3 101 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 2 – Unità didattica 2.3 Modulo 2.3.1 – Il censimento dei dati personali Approccio Il censimento dei trattamenti è l’attività più importante per una corretta ed efficace gestione degli adempimenti privacy in azienda. Riepiloghiamo, con parole semplici, qual è l’approccio migliore per affrontare tale attività. La definizione di dato personale è così ampia che conviene partire dal presupposto che tutti i dati e le informazioni che trattiamo in azienda sono personali. Con trattamento è opportuno intendere “qualsiasi uso” di dati personali e dunque, per quanto detto al punto precedente, qualsiasi utilizzo di qualsiasi dato è un trattamento (compresa la cancellazione o distruzione di informazioni). Quanto detto si riferisce sia ai trattamenti di dati personali effettuati con strumenti elettronici (sistemi informativi aziendali, pc in rete e stand alone per l’office automation e la produttività personale, strumenti mobili quali notebook, subnotebook, cellulari evoluti, ipod e similia) sia ai trattamenti senza l’ausilio di strumenti elettronici (documenti cartacei vergati a mano o prodotti da strumenti meccanici quali macchine da scrivere e fotocopiatrici o telematici quali fax); esiste poi una categoria di trattamenti che nasce da elaborazioni con strumenti elettronici e il cui risultato viene poi riprodotto su carta: ad esempio un report di stampa; in questo caso scegliamo di identificare nel censimento solo il trattamento originario mentre demandiamo ai regolamenti organizzativi e alle misure di sicurezza la gestione delle copie cartacee; in modo analogo ci comportiamo per i trattamenti che a partire da una certa fonte vengono poi duplicati, distribuiti o rielaborati su supporti diversi (ad esempio un elenco di clienti creato dal pc della contabilità, poi inviato per posta elettronica alla funzione marketing e da questa stampato in 100 copie per la forza di vendita). Vanno censiti i trattamenti effettuati dal titolare, direttamente o attraverso collaborazioni esterne, con l’indicazione della natura dei dati e della struttura (ufficio, funzione, ecc.) interna od esterna operativamente preposta, nonché degli strumenti elettronici impiegati. Useremo, per quanto possibile, il buon senso nei casi non contemplati ai punti precedenti. Cos’è un trattamento di dati personali? Al di là della definizione formale di trattamento, la definizione pratica che useremo in questo corso è “utilizzo di dati personali per una attività o finalità nota”; si tratta di una definizione logica alla quale devono corrispondere ovviamente i comportamenti (e le elaborazioni) reali svolte in azienda. In pratica un trattamento è una riga di una tabella ideale comprendente le informazioni richieste dal Garante come nell’esempio di seguito fornito. Le finalità in questo caso sono le principali attività di business o di supporto al business aziendale. Usando l’organigramma (fotografia più o meno aggiornata dell’operatività d’impresa) individua diamo le principali aree di attività e per ciascuna di queste le attività corrispondenti. 102 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 2 – Unità didattica 2.3 Modulo 2.3.2 – Il censimento dei dati personali – elementi da catalogare Le norme sulla privacy forniscono indicazioni di principio sugli elementi da catalogare nel censimento dei dati personali. È possibile usare per il censimento una catalogazione già presente in azienda per altri scopi. Nel seguito noi faremo riferimento alle indicazioni riportate dal Garante nella sua “Guida operativa per redigere il Documento programmatico sulla sicurezza”117 del marzo 2004. Elementi minimi Descrizione sintetica: definizione del trattamento dei dati personali attraverso l’indicazione della finalità perseguita o dell’attività svolta (es., fornitura di beni o servizi, gestione del personale, ecc.) e delle categorie di persone cui i dati si riferiscono (clienti o utenti, dipendenti e/o collaboratori, fornitori, eccetera). Natura dei dati trattati: indicazione se, tra i dati personali, sono presenti dati sensibili (S) o giudiziari (G). Struttura di riferimento: indica la struttura (ufficio, funzione, ecc.) all’interno della quale viene effettuato il trattamento. Altre strutture che concorrono al trattamento: nel caso in cui un trattamento, per essere completato, comporta l’attività di diverse strutture va indicata, oltre quella che cura primariamente l’attività, le altre principali strutture che concorrono al trattamento anche dall’esterno. Descrizione degli strumenti elettronici utilizzati: va indicata la tipologia di strumenti elettronici impiegati (elaboratori o p.c. anche portatili, collegati o meno in una rete locale, geografica o Internet; sistemi informativi più complessi). Ulteriori elementi, opzionali, per descrivere gli strumenti Identificativo del trattamento: alla descrizione del trattamento, se ritenuto utile, può essere associato un codice, facoltativo, per favorire un’identificazione univoca e più rapida di ciascun trattamento nella compilazione delle altre tabelle. Banca dati: indicare eventualmente la banca dati (ovvero il data base o l’archivio informatico), con le relative applicazioni, in cui sono contenuti i dati. Uno stesso trattamento può richiedere l’utilizzo di dati che risiedono in più di una banca dati. In tal caso le banche dati potranno essere elencate. Luogo di custodia dei supporti di memorizzazione: indicare il luogo in cui risiedono fisicamente i dati, ovvero dove si trovano (in quale sede, centrale o periferica, o presso quale fornitore di servizi, ecc.) gli elaboratori sui cui dischi sono memorizzati i dati, i luoghi di conservazione dei supporti magnetici utilizzati per le copie di sicurezza (nastri, CD, ecc.) ed ogni altro supporto rimovibile. Il punto può essere approfondito meglio in occasione di aggiornamenti. 117 http://www.garanteprivacy.it/garante/document?ID=1007740&DOWNLOAD=true 103 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 2 – Unità didattica 2.3 Tipologia di dispositivi di accesso: elenco e descrizione sintetica degli strumenti utilizzati dagli incaricati per effettuare il trattamento: pc, terminale non intelligente, palmare, telefonino, ecc. Tipologia di interconnessione: descrizione sintetica e qualitativa della rete che collega i dispositivi d’accesso ai dati utilizzati dagli incaricati: rete locale, geografica, Internet, ecc. Le predette informazioni possono essere completate o sostituite da schemi, tabelle, disegni di architettura del sistema informativo o da altri. Descrizione sintetica del trattamento Finalità perseguita Categorie di o attività svolta interessati Natura dei dati trattati S G Struttura di riferimento Altre strutture (anche esterne) che concorrono al trattamento X Risorse Umane Società Software 1 PC collegati in Lan, Internet X Risorse Umane Società Software 1 PC collegati in Lan, Internet Risorse Umane Società Sicurezza1 Internet, PC stand Alone Descrizione degli strumenti utilizzati Paghe e contributi Personale dipendente Gestione personale Personale dipendente X Legge 626 e sicurezza del personale Personale dipendente X Fatturazione attiva Clienti Contabilità PC collegati in Lan, Internet Acquisti e gestione fornitori Fornitori Contabilità PC collegati in Lan, Internet Clienti, fornitori Personale dipendente Personale dipendente Produzione Qualità e Controlli Qualità e Controlli Ciclo di produzione Gestione Qualità Adempimenti societari Personale dipendente, Visitatori, Clienti, Guardania, visitatori Fornitori Clienti, Prototipi fornitori X X Qualità e Controlli Ricerca e Sviluppo Società Software 2 PC collegati in Lan, Internet PC collegati in Lan Studi legali 1 e2 PC collegati in Lan Società Sorveglianza1 PC collegati in Lan PC Stand Alone 104 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 2 – Unità didattica 2.3 Modulo 2.3.3 – I soggetti che effettuano il trattamento Tratto da “Guida pratica e misure di semplificazione per le piccole e medie imprese - 24 maggio 2007 (G.U. 21 giugno 2007 n. 142)”118 Nello svolgimento dell'attività di impresa è normale che vengano trattati dati personali, vale a dire informazioni riferibili a soggetti identificati o identificabili (ad esempio, dipendenti, clienti e fornitori). I dati devono essere pertinenti e non eccedenti rispetto a finalità legittime, esatti e aggiornati (art. 11 del Codice). Le operazioni di trattamento (quali la raccolta, comunicazione o diffusione di dati personali) sono effettuate anche a cura del responsabile (se designato) e degli incaricati del trattamento. Il titolare del trattamento Il “titolare del trattamento”, è la “[...] entità che esercita un potere decisionale del tutto autonomo sulle finalità e sulle modalità del trattamento, ivi compreso il profilo della sicurezza” (art. 28 del Codice). In particolare, nell'ambito dello svolgimento dell'attività economica, “titolare del trattamento” può essere la persona fisica (si pensi all'imprenditore individuale) o giuridica (ad esempio, la società) che tratta i dati (con la raccolta, la registrazione, la comunicazione o la diffusione). Il “titolare del trattamento” è chiamato ad attuare gli obblighi in materia (riassunti nella presente Guida) e, se ritiene di designare uno o più responsabili del trattamento, è tenuto a vigilare sulla puntuale osservanza delle istruzioni da impartire loro. I responsabili del trattamento Il “responsabile del trattamento” (possono essere più d'uno), è una figura che può essere designata a propria discrezione dal titolare del trattamento con un atto scritto nel quale vanno indicati i compiti affidati. Occorre scegliere persone fisiche od organismi che per esperienza, capacità ed affidabilità, forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza (art. 29 del Codice). Tale figura, la cui designazione da parte del “titolare del trattamento” è quindi facoltativa, ricorre frequentemente in presenza di articolazioni interne delle realtà produttive dotate di una certa autonomia (ad es., possono essere designati responsabili del trattamento i dirigenti di funzioni aziendali, quali quelle del personale o del settore marketing) o, rispetto a soggetti esterni all'impresa, per svariate forme di outsourcing che comportino un trattamento di dati personali (ad es., per i centri di elaborazione dati contabili, per i servizi di postalizzazione, per le società di recupero crediti119, etc.) 118 119 http://www.garanteprivacy.it/garante/doc.jsp?ID=1412271#par1 In materia v. il provvedimento generale del 30 novembre 2005, doc. web n. 1213644. 105 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 2 – Unità didattica 2.3 Gli incaricati del trattamento Gli “incaricati del trattamento” sono soggetti (solo persone fisiche) che effettuano materialmente le operazioni di trattamento dei dati personali e operano sotto la diretta autorità del titolare (o del responsabile) attenendosi a istruzioni scritte (art. 30 del Codice). Il “titolare del trattamento” è tenuto a designarli. È sufficiente assegnare un dipendente ad una unità organizzativa, a condizione che risultino per iscritto le categorie di dati cui può avere accesso e gli ambiti del trattamento120. 120 Così, in un'azienda nella quale ad una unità organizzativa sono stati assegnati un determinato numero di dipendenti, si potrà ovviare ad una formale designazione (ad esempio, mediante consegna di apposita comunicazione scritta), qualora si individuino gli ambiti di competenza (in ordine ai trattamenti di dati consentiti) di quella unità mediante una previsione scritta (ad es. nell'organigramma, nel contratto, nei mansionari, ecc.) e risulti inoltre che tali dipendenti sono stati assegnati stabilmente a tale unità. 106 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 2 – Unità didattica 2.3 Modulo 2.3.4 – Titolare, contitolare o responsabile esterno Alcuni trattamenti potrebbero essere gestiti in parte o totalmente con strutture terze. I casi possibili sono. 1. Il trattamento ricade nei poteri decisionali dei titolare dell’azienda che semplicemente esternalizza alcuni aspetti del trattamento ad un terzo o outsourcer. Esempio tipico potrebbe essere la conservazione delle copie di sicurezza di nastri o tabulati presso una società specializzata. In questo caso la società terza deve essere nominata “responsabile esterno” del trattamento in questione mediante forma scritta. Il titolare ha l’obbligo di dare istruzioni sulle misure, anche di sicurezza, che il responsabile esterno deve adottare e di vigilare che queste siano effettivamente adottate. 2. Il trattamento è in contitolarità cioè è gestito da più titolari: è il caso in cui due o più titolari, autonomi fra loro, gestiscono in comune il trattamento e condividono i poteri decisionali sulle relative finalità e modalità. Esempio tipico: un trattamento, quale una banca dati, in comune tra due professionisti. Nessuna nomina formale deve essere fatta. 3. Infine se il titolare non affida all’esterno nessun trattamento ma si limita semplicemente a comunicare dei dati personali a soggetti terzi, in virtù di quanto previsto nell’informativa, allora tale terzo è a sua volta un “titolare autonomo del trattamento”. Nessuna nomina formale deve essere fatta anche in questo caso. La differenza fra titolare e responsabile esterno è facilmente deducibile da una serie di considerazioni. Il titolare è l’ente con cui l’interessato contrae un “rapporto contrattuale” in virtù del quale il titolare raccoglie i dati personali dell’interessato. È facoltà del titolare esternalizzare tale trattamento ad un terzo (il responsabile esterno) che in tal caso va nominato per iscritto. Un interessante approfondimento sul tema del “Responsabile esterno” è disponibile nell’articolo “ “Il responsabile esterno privacy”121 di Eric Falzone del 5 maggio 2008. 121 http://www.overlex.com/leggiarticolo.asp?id=1667 107 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 2 – Unità didattica 2.3 Modulo 2.3.5 – Nomina del responsabile interno Esempio di lettera di nomina a Responsabile (interno) dei trattamenti (Delibera del Consiglio di Amministrazione) Ai sensi dell’art.29 del decreto legislativo 30 giugno 2003 n. 196 “Codice in materia di trattamento dei dati personali”, il Consiglio delibera la nomina del Direttore Generale della società quale “Responsabile del trattamento dei dati”, concedendo allo stesso la delega a nominare, per conto del Titolare, ulteriori responsabili (anche esterni) di specifici trattamenti. La nomina avviene dopo aver constatato che il Direttore Generale, in relazione al grado ricoperto in azienda che gli permette di avvalersi della collaborazione di tutte le strutture e le risorse interne, nonché dei poteri di firma e di spesa, possiede i requisiti di esperienza, capacità ed affidabilità idonei a fornire garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento. Il “Responsabile interno” avvalendosi dei responsabili delle altre unità operative e, ove necessario, dei consulenti esterni (legale, fiscale, del lavoro): redige, aggiorna almeno annualmente, conserva il Documento Programmatico della Sicurezza; censisce ed aggiorna l'elenco dei trattamenti dei dati personali in azienda e garantisce il diritto d’accesso come previsto dalle norme sulla privacy; con l’assistenza del responsabile “Sistemi e Reti” individua, predispone, verifica, documenta e rende note le misure di sicurezza (minime e più ampie) necessarie per la protezione dei dati personali. 108 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 2 – Unità didattica 2.3 Modulo 2.3.6 – Nomina del responsabile esterno Esempio di lettera di nomina a Responsabile esterno dei trattamenti Spettabile Società Software1 Arcobaleni196 srl, è “Titolare” di trattamenti di dati personali che sono esternalizzati presso la Vs. Azienda, per effetto del contratto stipulato il 21 settembre 2005, rif. ABC1230. Con la presente Arcobaleni196 designa la Vs. Azienda quale “Responsabile del trattamento” ai sensi dell'art. 29 del d. lgs. 196/2003 “Codice in materia di protezione dei dati personali” (il “Codice”) in relazione ai trattamenti previsti nel contratto suddetto. In relazione a tale nomina la Vs. Azienda dovrà seguire le seguenti istruzioni: garantire che i trattamenti siano svolti nel pieno rispetto delle norme e di ogni prescrizione contenuta nel Codice, nei relativi allegati compresi i codici deontologici, delle future modificazioni ed integrazioni nonché informarsi e tenere conto dei provvedimenti, dei comunicati ufficiali, delle autorizzazioni generali emessi dall'Autorità Garante per la Protezione dei Dati Personali (il “Garante”); verificare la costante adeguatezza delle misure di sicurezza per la protezione dei trattamenti alle misure minime di sicurezza di cui agli artt. da 33 a 35 del Codice, da adottarsi nei modi previsti dal Disciplinare Tecnico allegato B al Codice e secondo le previsioni dell’art. 180, e delle eventuali modificazioni o integrazioni che dovessero intervenire ai sensi dell’art. 36 nonché a quelle idonee e preventive di cui all’art. 31 così da ridurre al minimo i rischi di perdita e distruzione, anche accidentale, dei dati stessi, di accesso non autorizzato, di trattamento non consentito o non conforme alle finalità della raccolta; segnalare tempestivamente qualsiasi eventuale carenza sulle misure di sicurezza adottate o su qualunque altro aspetto relativo ai trattamenti conferiti che dovesse comportare responsabilità civili e penali del Titolare; curare l’aggiornamento periodico, almeno annuale, del Documento Programmatico sulla sicurezza previsto dalla regola 19 del Disciplinare Tecnico citato, relativamente ai trattamenti di dati personali conferiti col contratto suddetto, consegnandone copia in tempo utile affinché Arcobaleni196 possa provvedere all’adempimento rispettando la scadenza prevista dalla normativa in questione; comunicare tempestivamente qualsiasi richiesta ricevuta ai sensi dell'art. 7 del Codice, per consentirne l'evasione nei termini previsti dalla legge e, in particolare, disporre l'organizzazione interna per l'eventuale modifica, rettifica, integrazione e cancellazione dei dati, nonché il blocco del trattamento ove venisse disposto dal Garante o dall'Autorità Giudiziaria. Ci riserviamo, ai sensi dell'art. 29 comma 5 del Codice, la facoltà di effettuare verifiche periodiche per vigilare sulla puntuale osservanza delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza, e delle istruzioni suddette. Cordiali saluti 109 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 2 – Unità didattica 2.3 Domande di verifica 2.3 Domanda Il censimento dei trattamenti va fatto solo in caso di dati sensibili o giudiziari. Prima risposta Vero. I dati personali comuni non vanno censiti. Seconda risposta Falso. I dati sensibili e giudiziario vanno notificati al Garante. La nomina del “Responsabile” dei trattamenti è obbligatoria. Falso Solo i responsabili “esterni” vanno nominati obbligatoriamente; quelli interni solo se il titolare lo ritiene opportuno. Gli incaricati possono essere solo persone fisiche. Vero. È possibile nominare le persone giuridiche quali “responsabili esterne” del trattamento. Falso. La nomina del responsabile è in generale una facoltà del titolare; tuttavia la nomina del responsabile del diritto d’accesso è obbligatoria. Vero. È possibile nominare le persone giuridiche quali “cotitolari” del trattamento. Terza risposta Falso. Il censimento va fatto per qualsiasi trattamento di dati personali indipendentemente che si tratti di dati sensibili o giudiziari. Falso. La nomina del responsabile è una facoltà del titolare ma non è obbligatoria. Falso. Anche le persone giuridiche possono essere nominate incaricati. 110 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 2 – Risposte alle domande di verifica Risposte alle domande di verifica della lezione 2 Domande di verifica 2.1 e risposte corrette Domanda Le misure minime di sicurezza sono uguali per tutti i titolari. Prima risposta La formazione sulla privacy è obbligatoria e va riportata sul DPS. Vero. L’allegato B del Codice indica chiaramente tale obbligo. Vero. Tale diritto è indicato all’articolo 7 del Codice. Con diritto d’accesso si intende il diritto dell’interessato a conoscere quali suoi dati personali sono trattati dal titolare. Seconda risposta Vero. Anche con le “semplificazioni” del 2008 artigiani e PMI sono più tenute al rispetto delle misure minime di sicurezza che tuttavia sono state semplificate in alcuni aspetti.. Terza risposta Seconda risposta Terza risposta Domande di verifica 2.2 e risposte corrette Domanda Nel 2007 il Garante ha pubblicato le proprie linee guida per la posta elettronica ed Internet Prima risposta Vero. L'Autorità prescrive ai datori di lavoro di informare con chiarezza e in modo dettagliato i lavoratori sulle modalità di utilizzo di Internet e della posta elettronica e sulla possibilità che 111 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 2 – Risposte alle domande di verifica vengano effettuati controlli. Nel 2006 il Garante ha pubblicato le lineeguida per il trattamento di dati dei dipendenti privati Vero. Con tale provvedimento il Garante ha definito misure ed accorgimenti per disciplinare la raccolta e l'uso dei dati personali nella gestione del rapporto di lavoro. L’informativa in caso di videosorveglianza è necessaria solo nel caso che le immagini siano registrate Falso. In caso di videosorveglianza l’informativa va sempre data. Se non vi è registrazione di immagini può essere fornita una informativa minima sotto forma di cartello. Domande di verifica 2.3 e risposte corrette Domanda Prima risposta Il censimento dei trattamenti va fatto solo in caso di dati sensibili o giudiziari. Seconda risposta La nomina del “Responsabile” dei trattamenti è obbligatoria. Gli incaricati possono essere solo persone fisiche. Terza risposta Falso. Il censimento va fatto per qualsiasi trattamento di dati personali indipendentemente che si tratti di dati sensibili o giudiziari. Falso. La nomina del responsabile è una facoltà del titolare ma non è obbligatoria. Vero. È possibile nominare le persone giuridiche quali “responsabili esterne” del trattamento. 112 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 3 – Protezione dei dati personali Lezione 3 – Protezione dei dati personali Caso di studio C – Arcobaleni196 e la sicurezza informatica Unità Didattica 3.1 – La sicurezza informatica Unità Didattica 3.2 – Il Documento Programmatico sulla Sicurezza Unità Didattica 3.3 – La protezione dei dati personali in pratica Risposte alle domande di verifica della lezione 3 113 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 3 – Protezione dei dati personali Obiettivi di apprendimento Cos’è la sicurezza informatica? Cos’è il Documento Programmatico sulla Sicurezza? Come va regolamentata la sicurezza informatica in azienda? A chi si rivolge questa lezione? Direzione aziendale, Responsabili dei trattamenti Percorsi formativi Corso per Direzione. Corso per Responsabile dei trattamenti. Corso per Responsabile dei trattamenti con video sorveglianza. Corso per Responsabile dei trattamenti di marketing. Concetti chiave: Sicurezza informatica, analisi dei rischi, protezione dei dati. Documento Programmatico sulla Sicurezza. Minacce, rischi, contromisure. Regolamenti aziendali sulla sicurezza, Internet, email. 114 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 3 – Caso di studio C Lezione 3 – Caso di studio C Arcobaleni196 e la sicurezza informatica 115 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 3 – Caso di studio C Nei primi due incontri che ho avuto con il cavalier Arcobaleni, Direttor Generale della società Arcobaleni196, ho avuto modo di spiegare, a lui ed ai suoi principali collaboratori, i principi fondamentali del “Codice in materia di protezione dei dati personali” e di fare un riepilogo dei principali adempimenti richiesti alle aziende in ambito privacy. Adesso sono di nuovo a colloquio con il cavalier Arcobaleni per affrontare il tema della sicurezza informatica. “Ingegnere” esordisce immediatamente Arcobaleni “lei mi ha convinto della necessità di riorganizzarci per rispondere meglio agli adempimenti della privacy. Credo anche che provvederemo alla nomina del responsabile della privacy. Ma il Documento Programmatico sulla Sicurezza, dobbiamo proprio farlo? Non possiamo trovare qualche esimente? Non possiamo sfruttare le semplificazioni del Garante?” “Caro cavaliere, il DPS è uno strumento estremamente utile in azienda” gli rispondo. “Inoltre il Documento Programmatico, se ci si organizza bene, non richiede notevoli investimenti in quanto fotografa lo stato delle misure di sicurezza già adottate e programma, cioè fa una previsione, sulle misure che si intende adottare in futuro.” “Ma ho visto esempi di DPS formati da centinaia di pagine e decine di allegati … Non vorrei distogliere qualcuno dal suo vero lavoro per costringerlo a trasformarsi in uno scrittore …” “Nelle aziende con una struttura organizzativa molto complessa in effetti c’è il rischio che il Documento Programmatico diventi voluminoso e difficile da gestire. Nel caso di Arcobaleni196, una media impresa, possiamo partire dal facsimile di DPS consigliato dal Garante per la protezione dei dati personali.” Documento Programmatico sulla Sicurezza “Cosa dobbiamo fare, allora?” mi chiede rassegnato Arcobaleni. “Per prima cosa facciamo un esercizio tutti insieme. Elenchiamo le misure di sicurezza che sono adottate in azienda. Per facilitare le cose partiamo dall’elenco dei trattamenti che abbiamo realizzato nella scorsa <<esercitazione>>. Infatti il censimento dei trattamenti di dati personali è il primo elemento da inserire nel DPS. Ma non ce l’abbiamo già!” 116 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 3 – Caso di studio C Trattamento Paghe e contributi Gestione personale Fatturazione attiva Clienti Fornitori Contabilità Ciclo di produzione Gestione Qualità Adempimenti societari Guardania, Prototipi Sicurezza sul posto di lavoro 626 corrispondenza e protocollo posta entrata ed uscita videosorveglianza ordini via web posta elettronica curricula aspiranti collaboratori e dipendenti, cartaceo comunicazioni commerciali adempimenti e consulenza fiscale adempimenti e consulenza legale adempimenti e consulenza giuslavoristica Automatizzato Dato sensibile Sì Sì No No Dato giudiziario Sì Sì Esternalizzato Sì Sì Sì No No No No Sì Sì Sì Sì Sì Sì Sì Sì Sì Sì Sì Sì Sì Sì Sì 1) Trattamenti di dati personali Documento Programmatico sulla Sicurezza “Vorrei fare una osservazione” dice Pino White della funzione “Sistemi e Reti” “Prego, dica pure” “In Arcobaleni196 sono io che mi occupo delle misure di sicurezza informatica: posso garantirle che tutta una serie di misure (password, antivirus, firewall) sono già applicate a tutte le applicazioni 117 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 3 – Caso di studio C informatiche, indipendentemente dagli obblighi della legge sulla privacy. Inoltre facciamo (ovviamente!) le copie di sicurezza dei dati presenti sia sui server aziendali sia sui pc individuali.” 1) Trattamenti di dati personali 2) Misure di sicurezza Documento Programmatico sulla Sicurezza “Perfetto!” esclamo io “Questo ci mette in una situazione molto vantaggiosa. Si tratta semplicemente di elencare le misure di sicurezza e verificare che “comprendano” le misure minime (e obbligatorie) indicate dal Codice. Vorrei farle però, signor White, tre domande” “Dica pure” “La prima domanda è: ci sono particolari sistemi informativi o applicazioni software che proteggete in maniera particolare con misure di sicurezza speciali?” “Certamente “ risponde White “i sistemi ed i programmi dell’area Ricerca e Sviluppo. Abbiamo un sistema di crittografia per impedire che qualcuno possa intercettare o copiare i nostri progetti.” “E perché avete deciso di proteggere proprio i sistemi ed i programmi dell’area Ricerca e Sviluppo?” “Oh bella questa!” esclama Arcobaleni “perché ci potrebbe essere qualche concorrente interessato alle nostre idee, mi sembra chiaro!” “Perfetto cavaliere. Questa è quella che in gergo si definisce l’analisi dei rischi: i dati esposti a rischi maggiori devono essere protetti con maggiori misure di sicurezza. Anche l’analisi dei rischi va riportata sul DPS” 118 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 3 – Caso di studio C 1) Trattamenti di dati personali 2) Misure di sicurezza 3) Analisi dei rischi Documento Programmatico sulla Sicurezza “Quindi si tratta solo di scrivere in bella copia ciò che già facciamo?” chiede White “Risponderò tra un attimo alla sua osservazione. Primo ecco la seconda domanda: avete fatto corsi di formazione negli ultimi 12 mesi che hanno a che fare con la privacy, la sicurezza, le infrastrutture tecnologiche o temi simili?” “Certamente!” sbotta Cavalieri “mi fanno spendere un sacco di soldi per la formazione…” “Abbiamo fatto il corso sulla nuova Intranet” dice White. “E il corso su Windows Vista” ricorda il signor Marroni. “E quello sugli antivirus” sbotta Arcobaleni. “Perfetto! Avrete sicuramente un elenco dei corsi già sostenuti e che pensate di sostenere nei prossimi mesi. Anche questo elenco va inserito nel DPS” “Gli elenchi sulla formazione sono compilati e conservati da me” conferma Carmela Rossetti della funzione “Qualità e Controlli”. 119 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 3 – Caso di studio C 1) Trattamenti di dati personali 2) Misure di sicurezza 3) Analisi dei rischi Documento Programmatico sulla Sicurezza 4) Piano di formazione “Infine la terza ed ultima domanda: nei prossimi mesi pensate di adottare nuovi sistemi di sicurezza? Di modificare in maniera sistematica la vostra architettura software o hardware? Di cessare o iniziare nuovi trattamenti di dati personali?” “Beh ci sarebbe il progetto relativo alla nuova intranet” osserva il sig. Marroni. “E sostituiremo tutti i vecchi pc della contabilità” aggiunge White. “Io ho chiesto di avere un sistema di posta elettronica certificata” dice Arcobaleni. “Ecco tutte queste informazioni vanno inserite nel DPS” dico “perché si tratta di programmazioni relative ai prossimi mesi su tematiche che hanno a che fare con il trattamento dei dati personali!” 120 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 3 – Caso di studio C 1) Trattamenti di dati personali 2) Misure di sicurezza 3) Analisi dei rischi Documento Programmatico sulla Sicurezza 4) Piano di formazione 5) Piano di miglioramento “Recuperando, aggiornando o realizzando questi 5 elementi: 1. 2. 3. 4. 5. censimento dei trattamenti di dati personali elenco delle misure di sicurezza analisi dei rischi piano di formazione piano di miglioramento il DPS praticamente è già fatto!” esclamo con soddisfazione. “Allora che ci rimane da fare? Sciogliamo la riunione?” borbotta Arcobaleni. “Dato che siamo tutti gli riuniti vorrei spiegarvi più in dettaglio quali sono gli adempimenti privacy in ambito protezione dei dati personali ed approfondire alcuni punti. Affronterò tre argomenti: 1. cos’è la sicurezza informatica 2. il Documento Programmatico sulla Sicurezza 3. regole pratiche per la protezione dei dati personali” 121 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 3 – Caso di studio C Inizia il corso… 122 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 3 – Unità didattica 3.1 Lezione 3 – Unità didattica 3.1 – La sicurezza informatica Modulo 3.1.1 – Privacy e sicurezza Modulo 3.1.2 – Il quadro normativo della sicurezza informatica Modulo 3.1.3 – Cos’è la sicurezza informatica? Modulo 3.1.4 – Standard di sicurezza Modulo 3.1.5 – Analisi dei rischi – la teoria Modulo 3.1.6 – Analisi dei rischi – metodologie disponibili in italiano Modulo 3.1.7 – Analisi dei rischi – un approccio semplificato Modulo 3.1.8 – Siti utili ed approfondimenti sulla sicurezza informatica Domande di verifica 3.1 123 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 3 – Unità didattica 3.1 Modulo 3.1.1 – Privacy e sicurezza Il “Codice in materia di protezione dei dati personali” 122 entrato in vigore il 1° gennaio 2004 ha confermato, aggiornato e reso più precisa la disciplina in materia di sicurezza dei dati personali e dei sistemi informatici e telematici già introdotta nel 1996. L’articolo 31 del Codice prescrive gli obblighi di sicurezza che devono essere osservati dal titolare del trattamento, dal responsabile, se designato, e dagli incaricati. I dati personali oggetto di trattamento devono essere “custoditi e controllati”, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta. “Codice in materia di protezione dei dati personali”123 articolo 31. Le misure di sicurezza per i dati personali sono indicate in più articoli del Codice e dell’allegato B. In particolare, nel Codice: l’articolo 1 sancisce il “diritto alla protezione dei dati personali”; l’articolo 31 fissa gli obblighi di sicurezza (custodia e controllo); l’articolo 32 fissa obblighi di sicurezza particolari per i fornitori di un servizio di comunicazione elettronica accessibile al pubblico; l’articolo 34 indica le misure minime di sicurezza per i trattamenti con strumenti elettronici; l’articolo 35 indica le misure minime di sicurezza per i trattamenti senza strumenti elettronici. L’elenco delle misure minime contenute nel Codice agli articoli 34 e 35 è completato dalle indicazioni contenute nell’allegato B124 - Disciplinate tecnico – ai punti da 1 a 29. Tra i “provvedimenti”125 più significativi emanati dal Garante per la protezione dei dati personali in relazione agli aspetti di sicurezza vanno infine ricordati. 122 http://www.garanteprivacy.it/garante/doc.jsp?ID=1311248 http://www.garanteprivacy.it/garante/doc.jsp?ID=1311248 124 http://www.garanteprivacy.it/garante/doc.jsp?ID=1557184 125 Per la definizione di “provvedimento” si veda la lezione L1 di questo corso 123 124 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 3 – Unità didattica 3.1 Data 24 dicembre 2008 27 novembre 2008 marzo 2007 novembre 2006 ottobre 2005 aprile 2004 13 ottobre 2008 gennaio 2008 Argomento Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema Semplificazione delle misure di sicurezza contenute nel disciplinare tecnico di cui all'Allegato B) al Codice in materia di protezione dei dati personali Linee guida del Garante per posta elettronica e internet Linee guida del Garante per il trattamento dei dati dei dipendenti privati Impronte digitali ed altri sistemi biometrici Videosorveglianza Rifiuti di apparecchiature elettriche ed elettroniche (Raae) e misure di sicurezza dei dati personali126 Sicurezza dei dati di traffico telefonico e telematico127 Interessante anche quanto riportato dal Garante nella sua Newsletter n. 327 del 9 settembre128. Il Garante ha scritto che tra gli obblighi di protezione dei dati dei clienti di una banca vi è anche quello di comunicare, al titolare del conto corrente, eventuali accessi non autorizzati allo stesso. 126 http://www.garanteprivacy.it/garante/doc.jsp?ID=1571960 http://www.garanteprivacy.it/garante/doc.jsp?ID=1482111 128 http://www.garanteprivacy.it/garante/doc.jsp?ID=1648935 127 125 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 3 – Unità didattica 3.1 Modulo 3.1.2 – Il quadro normativo della sicurezza informatica Occorre custodire e controllare i dati personali oggetto di trattamento per contenere nella misura più ampia possibile il rischio che i dati siano distrutti, dispersi anche accidentalmente, conoscibili fuori dei casi consentiti o altrimenti trattati in modo illecito. Tratto da “Obblighi di sicurezza e documento programmatico”129, indicazioni del Garante a Confindustria del 22 marzo 2004 In Italia è obbligatorio assicurare costantemente un adeguato livello di sicurezza dei sistemi informativi e delle reti di telecomunicazioni aziendali. Tale obbligo nasce da una serie di norme emanate nel tempo tra le quali: la legge 23 dicembre 1993 n. 547 “Modificazioni ed integrazioni alle norme del codice penale e del codice di procedura penale in tema di criminalità informatica130”; la legge 3 agosto 1998, n. 269 “Norme contro lo sfruttamento della prostituzione, della pornografia, del turismo sessuale in danno di minori, quali nuove forme di riduzione in schiavitù131” volta al contrasto della detenzione, scambio e commercio di materiale pedopornografico in rete; la legge 18 agosto 2000, n. 248 “Nuove norme di tutela del diritto d'autore132” volta a reprimere i comportamenti illeciti di pirateria informatica; Il Decreto Legislativo 8 giugno 2001, n. 231 “Disciplina della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica, a norma dell'articolo 11 della legge 29 settembre 2000, n. 300133” per gli aspetti relativi ai crimini informatici; il “Codice in materia di protezione dei dati personali134”, entrato in vigore il primo gennaio 2004, che impone misure di sicurezza nel trattamento dei dati personali; la legge n.48/2008135 sulla “criminalità informatica” entrata in vigore il 5 aprile 2008 che ha modificato il Codice Penale, introdotto nuove fattispecie di reati informatici inasprendo le pene ed estendendo la responsabilità amministrativa delle imprese (d.lgsl 231/01) anche ai reati informatici. In particolare il d.lgsl. 231/01 viene periodicamente aggiornato con l’inclusione di nuovi reati; nel 2008 è stato aggiornato per tener conto della legge n.48/2008136, nel luglio 2009 per tener conto di nuovi delitti in relazione alla violazione del diritto d’autore. 129 http://www.garanteprivacy.it/garante/doc.jsp?ID=771307 http://www.interlex.it/Testi/l547_93.htm 131 http://www.camera.it/parlam/leggi/98269l.htm 132 http://www.parlamento.it/leggi/00248l.htm 133 http://www.complianceaziendale.com/2008/02/struttura-del-d-lgs-8-giugno-2001-n.html 134 http://www.garanteprivacy.it/garante/doc.jsp?ID=1311248 135 http://www.senato.it/service/PDF/PDFServer/BGT/00298813.pdf 136 http://www.senato.it/service/PDF/PDFServer/BGT/00298813.pdf 130 126 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 3 – Unità didattica 3.1 Queste norme valgono per tutte le imprese. Per la pubblica amministrazione sono inoltre da considerare ulteriori norme specifiche137 così come per le aziende che operano nel comparto finanziario ed assicurativo e delle telecomunicazioni. La legge n.48/2008 sulla “criminalità informatica” Questa legge ha introdotto nuovi adempimenti per la sicurezza informatica in quanto ha modificato (art. 10) sia il “Codice in materia di protezione dei dati personali” sia (art. 7) il decreto legislativo 8 giugno 2001, n. 231 (la cosiddetta “Responsabilità amministrativa delle imprese). Di seguito l’elenco dei reati informatici trattati da questa legge: 420: attentato a impianti di pubblica utilità compreso il danneggiamento o la distruzione di sistemi informatici o telematici di pubblica utilità 491-bis: falsità in un documento informatico pubblico o privato 615-ter: accesso abusivo ad un sistema informatico o telematico 615-quater: detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici 615-quinquies: diffusione di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico 617-quater: intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche 617-quinquies: installazione di apparecchiature atte ad intercettare, impedire o interrompere comunicazioni informatiche o telematiche. 635-bis: danneggiamento di informazioni, dati e programmi informatici 635-ter: danneggiamento di informazioni, dati e programmi informatici utilizzati dallo Stato o da altro ente pubblico o comunque di pubblica utilità 635-quater: danneggiamento di sistemi informatici o telematici 640-quinquies: truffa del certificatore di firma elettronica Vediamo in dettaglio alcuni di questi reati. Art. 615 ter Accesso abusivo ad un sistema informatico o telematico Chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo, è punito con la reclusione fino a tre anni. La pena è della reclusione da uno a cinque anni: 1) se il fatto è commesso (…) con abuso della qualità di operatore del sistema; Art. 615-quinquies: diffusione di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico. “Chiunque, allo scopo di danneggiare illecitamente un sistema informatico o telematico, le informazioni, i dati o i programmi in esso contenuti o ad esso pertinenti ovvero di favorire l’interruzione, totale o parziale, o l’alterazione del suo funzionamento, si procura, produce, riproduce, importa, diffonde, comunica, consegna o, comunque, mette a disposizione di altri Una buona sintesi delle norme di sicurezza per la PA è disponibile in “La sicurezza delle reti - dall’analisi del rischio alle strategie di protezione” in http://www.isticom.it/index.php/archivio-news/3-articoli/15-news-pub2 a cura dell’Istituto Superiore delle Comunicazioni e delle Tecnologie dell'Informazione (ISCOM) pag. 75 e seguenti 137 127 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 3 – Unità didattica 3.1 apparecchiature, dispositivi o programmi informatici, è punito con la reclusione fino a due anni e con la multa sino a euro 10.329”. Nota: la norma quindi include non solo il software, ma anche l'hardware, comprendendo tutte quelle apparecchiature e dispositivi il cui funzionamento sia idoneo a danneggiare un sistema informatico, ovvero ad alterarne il funzionamento. In pratica il “delitto” di cui all'art. 615 quinquies scatta non solo quando ci si procura virus e malware in genere, ma anche nel caso di la produzione, importazione, acquisto di dongle, smart card, skimmer e così via, laddove, naturalmente, si prestino ad un utilizzo illecito, al fine appunto di danneggiare o alterare un sistema informatico, ovvero i dati e programmi ivi contenuti. Articolo 635 – bis: danneggiamento di informazioni, dati e programmi informatici. “Salvo che il fatto costituisca più grave reato, chiunque distrugge, deteriora, cancella, altera o sopprime informazioni, dati o programmi informatici altrui è punito, a querela della persona offesa, con la reclusione da sei mesi a tre anni. Se ricorre la circostanza di cui al numero 1) del secondo comma dell’articolo 635 ovvero se il fatto e` commesso con abuso della qualità di operatore del sistema, la pena è della reclusione da uno a quattro anni e si procede d’ufficio” La responsabilità amministrativa delle imprese (d.lgsl 231/01) Il D. lgs. n. 231/2001 – “Disciplina della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica, a norma dell'articolo 11 della legge 29 settembre 2000, n.300”, si applica a tutte le persone giuridiche e alle società e associazioni anche prive di personalità giuridica, ad esclusione dello Stato, degli enti pubblici territoriali, degli altri enti pubblici non economici, nonché agli enti che svolgono funzioni di rilievo costituzionale. Tale decreto introduce nell'ordinamento italiano il concetto di responsabilità delle società nei casi in cui persone fisiche commettano dei reati anche nell'interesse o a vantaggio della società stessa. Le aziende devono in poche parole predisporre preventive ed idonee misure di sicurezza e di controllo per prevenire ed impedire che il management o i dipendenti commettano reati informatici quali quelli previsti dalla legge n.48/2008 sulla “criminalità informatica”. In mancanza di tali misure, nel caso il reato sia commesso e porti un vantaggio diretto o indiretto all’azienda, l’azienda ne risponde. I nuovi reati introdotti nel luglio 2009 in materia di violazione del diritto di autore Nel luglio 2009 il D. lgs. n. 231/2001 è stato modificato con l’introduzione dell’art 25-novies in materia di violazione del diritto di autore che riguarda i seguenti reati138. art. 171, l. 633/1941 comma 1 lett a) bis: messa a disposizione del pubblico, in un sistema di reti telematiche, mediante connessioni di qualsiasi genere, di un'opera dell'ingegno protetta, o di parte di essa; art. 171, l. 633/1941 comma 3: reati di cui al punto precedente commessi su opere altrui non destinate alla pubblicazione qualora ne risulti offeso l’onore o la reputazione; art. 171-bis l. 633/1941 comma 1: abusiva duplicazione, per trarne profitto, di programmi per elaboratore; importazione, distribuzione, vendita o detenzione a scopo commerciale o imprenditoriale o concessione in locazione di programmi contenuti in supporti non 138 tratto da: http://www.complianceaziendale.com/2009/07/ddl-s1195-b-disposizioni-per-lo.html 128 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 3 – Unità didattica 3.1 contrassegnati dalla SIAE; predisposizione di mezzi per rimuovere o eludere i dispositivi di protezione di programmi per elaboratori; art. 171-bis l. 633/1941 comma 2: riproduzione, trasferimento su altro supporto, distribuzione, comunicazione, presentazione o dimostrazione in pubblico, del contenuto di una banca dati; estrazione o reimpiego della banca dati; distribuzione, vendita o concessione in locazione di banche di dati; art. 171-ter l. 633/1941: abusiva duplicazione, riproduzione, trasmissione o diffusione in pubblico con qualsiasi procedimento, in tutto o in parte, di opere dell'ingegno destinate al circuito televisivo, cinematografico, della vendita o del noleggio di dischi, nastri o supporti analoghi o ogni altro supporto contenente fonogrammi o videogrammi di opere musicali, cinematografiche o audiovisive assimilate o sequenze di immagini in movimento; opere letterarie, drammatiche, scientifiche o didattiche, musicali o drammatico musicali, multimediali, anche se inserite in opere collettive o composite o banche dati; riproduzione, duplicazione, trasmissione o diffusione abusiva, vendita o commercio, cessione a qualsiasi titolo o importazione abusiva di oltre cinquanta copie o esemplari di opere tutelate dal diritto d'autore e da diritti connessi; immissione in un sistema di reti telematiche, mediante connessioni di qualsiasi genere, di un'opera dell'ingegno protetta dal diritto d'autore, o parte di essa; art. 171-septies l. 633/1941: mancata comunicazione alla SIAE dei dati di identificazione dei supporti non soggetti al contrassegno o falsa dichiarazione; art. 171-octies l. 633/1941: fraudolenta produzione, vendita, importazione, promozione, installazione, modifica, utilizzo per uso pubblico e privato di apparati o parti di apparati atti alla decodificazione di trasmissioni audiovisive ad accesso condizionato effettuate via etere, via satellite, via cavo, in forma sia analogica sia digitale. Il “Codice in materia di protezione dei dati personali” Il “Codice in materia di protezione dei dati personali” entrato in vigore il 1° gennaio 2004 ha confermato, aggiornato e reso più precisa la disciplina in materia di sicurezza dei dati personali e dei sistemi informatici e telematici già introdotta nel 1996. In particolare è stato confermato il principio (evidenziato con maggiore chiarezza dalle nuove disposizioni) secondo cui tutti i titolari di trattamenti di dati personali devono adottare “misure minime di sicurezza”, la cui importanza è tale che il legislatore ha previsto anche una sanzione penale in caso di inadempimento. Le “misure minime” sono però solo una parte degli accorgimenti obbligatori in materia di sicurezza (art. 33 del Codice). In materia di sicurezza delle informazioni il “Codice” distingue infatti due distinti obblighi. a) l’obbligo più generale di ridurre al minimo determinati rischi. Occorre custodire e controllare i dati personali oggetto di trattamento per contenere nella misura più ampia possibile il rischio che i dati siano distrutti, dispersi anche accidentalmente, conoscibili fuori dei casi consentiti o altrimenti trattati in modo illecito. Resta in vigore, oltre alle cosiddette “misure minime”, l’obbligo di adottare ogni altra misura di sicurezza idonea a fronteggiare le predette evenienze, avuto riguardo alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle caratteristiche del trattamento, di cui si devono valutare comunque i rischi (art. 31). 129 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 3 – Unità didattica 3.1 L’inosservanza di questo obbligo rende il trattamento illecito anche se non si determina un danno per gli interessati; viola inoltre i loro diritti, compreso il diritto fondamentale alla protezione dei dati personali che può essere esercitato nei confronti del titolare del trattamento (artt. 1 e 7, comma 3, del Codice), ed espone a responsabilità civile per danno anche non patrimoniale qualora, davanti al giudice ordinario, non si dimostri di aver adottato tutte le misure idonee ad evitarlo (artt. 15 e 152 del Codice); b) nell’ambito del predetto obbligo più generale, il dovere di adottare in ogni caso le “misure minime”. Nel quadro degli accorgimenti più ampi da adottare per effetto dell’obbligo ora richiamato, occorre assicurare comunque un livello minimo di protezione dei dati personali. Pertanto, in aggiunta alle conseguenze appena ricordate, il Codice conferma l’impianto secondo il quale l’omessa adozione di alcune misure indispensabili (“minime”), le cui modalità sono specificate tassativamente nell’Allegato B) del Codice, costituisce anche reato (art. 169 del Codice, che prevede l’arresto sino a due anni o l’ammenda da 10 mila euro a 50 mila euro, e l’eventuale “ravvedimento operoso” di chi adempie puntualmente alle prescrizioni impartite dal Garante una volta accertato il reato ed effettua un pagamento in sede amministrativa, ottenendo così l’estinzione del reato). Tra le misure minime rientra anche la redazione del Documento Programmatico sulla Sicurezza. Scrive infatti il Garante: “Anche la redazione del DPS è una misura minima, prevista dall’Allegato B).” Inoltre come ha ribadito più volte il Garante “le scelte di fondo sulle modalità di trattamento sotto il profilo della sicurezza competono alle persone e agli organi legittimati ad adottare decisioni ed esprimere a vari livelli, in base al proprio ordinamento interno, la volontà della società, ente o altro organismo titolare del trattamento (art. 4, comma 1, lett. f), del Codice).” In questo quadro, il Codice ha introdotto l’obbligo di riferire nella relazione di accompagnamento a ciascun bilancio di esercizio circa l’avvenuta redazione o aggiornamento del DPS che sia obbligatorio come misura “minima” o che sia stato comunque adottato (regola 26 Allegato B). 130 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 3 – Unità didattica 3.1 Modulo 3.1.3 – Cos’è la sicurezza informatica? Nell’ambito dei sistemi informativi con “sicurezza” si intende l’insieme delle misure di carattere organizzativo e tecnologico atte a garantire la riservatezza (o confidenzialità), l'integrità e la disponibilità delle informazioni gestite. Riservatezza L’informazione deve essere accessibile solo a chi è autorizzato a conoscerla. Le informazioni riservate devono essere protette sia durante la trasmissione che durante la memorizzazione. I dati memorizzati devono essere protetti mediante crittografia o utilizzando un controllo d’accesso, mentre per le informazioni riservate trasmesse è necessaria la crittografia. Integrità Le informazioni devono essere trattate in modo che siano difese da manomissioni e modifiche non autorizzate. Solo il personale autorizzato può modificare la configurazione di un sistema o l’informazione trasmessa su una rete. Per garantire l’integrità dei dati è necessario che il sistema sia preparato ad individuare eventuali modifiche apportate ai dati durante la trasmissione, sia intenzionalmente in seguito ad un attacco, sia involontariamente in seguito ad un errore di trasmissione. Disponibilità L’informazione deve essere sempre disponibile alle persone autorizzate quando necessario. Una varietà di attacchi possono comportare la perdita o la riduzione parziale della disponibilità di un sistema informatico; alcuni di questi attacchi sono evitabili tramite contromisure automatizzate come l’autenticazione e la crittografia, mentre altri richiedono speciali azioni fisiche per prevenire o ridurre la perdita di dati o di risorse in un sistema distribuito. In azienda, l’adozione delle misure di sicurezza va modulata in relazione ai beni da proteggere ed alle minacce possibili a tali beni, dunque in base ad una preliminare analisi dei rischi. 131 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 3 – Unità didattica 3.1 Modulo 3.1.4 – Standard di sicurezza Esistono numerose metodologie e standard di sicurezza informatica139 quali: la famiglia ISO 27000, che ha sostituito i British Standard BS 7799:1 e BS 7799:2 i manuali operativi del NIST statunitense; il BSI IT Baseline Protection Manual (manuale per la protezione di base IT) dell'istituto federale Ufficio Federale per la sicurezza informatica della Repubblica tedesca; i Common Criteria (anche ISO 15408). L’ISO 27002 (già BS ISO/IEC 17799:2005 BS 7799-1:2005) ad esempio propone un modello di “Sistema di Gestione della Sicurezza delle Informazioni” (SGSI), in inglese Information Security Management System (ISMS), articolato nelle seguenti componenti140: Gestione dei rischi (Risk Assessment and Treatment) Politiche di sicurezza (Security Policy) Struttura organizzativa (Organization of Information Security) Inventario e classificazione dei beni aziendali (Asset Management) Sicurezza nella gestione delle risorse umane (Human Resources Security) Sicurezza fisica (Physical and Environmental Security) Gestione delle comunicazioni e delle procedure (Communications and Operations Management) Controllo accessi (Access Control) Acquisizione, sviluppo e manutenzione dei sistemi informativi (Information Systems Acquisition, Development, Maintenance) Gestione degli incidenti di sicurezza (Information Security Incident Management) Continuità del servizio (Business Continuity) Conformità alle norme ed ai regolamenti (Compliance) Il concetto di ISMS è mutuato dal mondo della qualità come strumento per tenere sotto controllo (in modo sistematico e nel tempo) i processi legati alla sicurezza, tramite la definizione di ruoli, responsabilità, procedure formali (sia per l'operatività aziendale che per la gestione delle emergenze) e canali di comunicazione. Definire un sistema di gestione è di fondamentale importanza nell’ambito della sicurezza in quanto non è sufficiente progettare una soluzione tecnica sicura, ma è altrettanto importante mantenerne la sicurezza nel tempo. ISO 27000 individua tre elementi fondamentali per una corretta gestione dell’ ISMS: 1. le politiche aziendali (è necessario il coinvolgimento della direzione sia per avere una visione globale e strategica del problema della sicurezza che per dedicare risorse); 2. gli strumenti tecnologici; 139 http://it.wikipedia.org/wiki/Standard_di_sicurezza_informatica Non esiste una traduzione italiana ufficiale di ISO 27000; nel seguito, ove si ritiene utile, si riporteranno tra parentesi i termini originali inglesi 140 132 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 3 – Unità didattica 3.1 3. gli atteggiamenti individuali (formazione e sensibilizzazione del personale, creazione di canali di comunicazione). In sintesi, BS 7799-1 fornisce un insieme coerente di controlli comprensivi di best practices per l’ information security; tali controlli possono essere utilizzati, in particolare, per implementare un ISMS; BS 7799-2 specifica il processo per scegliere, implementare e mantenere l’ISMS usando i controlli indicati nella parte 1. 133 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 3 – Unità didattica 3.1 Modulo 3.1.5 – Analisi dei rischi – la teoria Una corretta gestione dei rischi informatici è il punto di partenza per progettare e mantenere nel tempo il sistema di sicurezza aziendale. Esistono numerosi standard e modelli di riferimento per l’IT Risk Assessment che occorre conoscere per valutare e scegliere la soluzione più adatta alla propria realtà aziendale. ISO 27001:2005, ad esempio, suddivide la gestione del rischio IT in due fasi: 1. analisi del rischio, in cui a partire dalla classificazione delle informazioni/beni da proteggere e dell’identificazione delle relative minacce, si identifica il livello di rischio esistente; 2. controllo del rischio, in cui si identificano le modalità con le quali eliminare, ridurre o controllare tale rischio rilevato. Al di là del modello prescelto, le attività di risk assessment prevedono sempre una serie di fasi ormai standardizzate: identificazione e classificazione delle risorse da proteggere (i cosiddetti asset); analisi dei danni che si possono subire; identificazione delle minacce, delle possibilità cioè di compromissione accidentale, o deliberata, della sicurezza del sistema; identificazione delle vulnerabilità , cioè delle modalità in cui le minacce possono concretizzarsi; misurazione del rischio, potenziale ed effettivo, di ogni asset. Misurazione del rischio Il rischio può essere definito come una funzione che lega la probabilità di accadimento di una minaccia con l’impatto sugli asset aziendali che essa produrrebbe al suo verificarsi. L’impatto può essere espresso in termini quantitativi (ad esempio valore a bilancio del cespite) o in maniera qualitativa, tenendo conto di più fattori (importanza per il business, requisiti normativi, problemi di immagine ed altro). Dopo aver individuato e misurato il rischio occorre prendere delle decisioni sulla base di un’analisi costi/benefici e valutare se è possibile accettare il rischio o se conviene adottare nuove misure di sicurezza per ridurre il rischio evidenziato. È ovvio che i rischi non possono mai essere del tutto eliminati per cui ci si trova sempre di fronte ad un rischio residuo che va gestito attraverso delle opportune contromisure. 134 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 3 – Unità didattica 3.1 Modulo 3.1.6 – Analisi dei rischi – metodologie disponibili in italiano ISCOM - Istituto Superiore delle Comunicazioni e delle Tecnologie dell'Informazione L’ISCOM ha pubblicato una serie di guida sui temi della sicurezza informatica, liberamente scaricabili in formato pdf, tra cui: “Linee guida sulla sicurezza delle reti, dall’analisi del rischio alle strategie di protezione” (pdf 141) – è un testo a taglio “teorico” che traccia una completa ricognizione dello stato dell’arte dell’analisi dei rischi; “Risk analysis approfondimenti” (pdf142) – è un testo più “pratico” che fornisce esempi di applicazioni pratiche in ambito business in particolare per liberi professionisti, studi professionali, piccole e medie imprese. MAGERIT MAGERIT è una metodologia sviluppata dal governo spagnolo a partire dal '97. In italiano è liberamente scaricabile il testo “Metodologia di analisi e gestione dei rischi dei sistemi informativi, parte 1 - Metodo” in formato pdf 143) ove sono descritti tutti i concetti e i passaggi chiave di una metodologia per l'analisi e la gestione dei rischi, conforme con gli standard della famiglia 27000 144. MEHARI MEHARI (MÉthode HArmonisée d’analyse des RIsques), un approccio di analisi e gestione del rischio informatico compatibile con le norme ISO 17799 e ISO 27001 che si deve a CLUSIF il Club de la Sécurité de l’Information Français, cugina dell’italiana CLUSIT145 . Sul sito di CLUSIF è disponibile una vasta documentazione146 su MEHARI in Francese ed Inglese, mentre in Italiano è disponibile una presentazione generale della metodologia (pdf147). CNIPA: analisi dei rischi per il DPS L’ing. Gianfranco Pontevolpe del CNIPA (Centro Nazionale per l’Informatica nella Pubblica Amministrazione) ha realizzato una presentazione in formato pdf148 sulla tematica specifica dell’analisi dei rischi nell’ambito della redazione del Documento Programmatico sulla Sicurezza. 141 http://www.isticom.it/documenti/news/pub_002_ita.pdf http://www.isticom.it/documenti/news/linee_guida_rischi_due.pdf 143 http://www.sgsi.net/Mageritv2%20-%20Libro%20I%20-%20Metodo.pdf 144 Segnalato da http://blog.clusit.it/sicuramente/2009/09/it-risk-management-metodologia-tradotta.html 145 http://www.clusit.it/ 146 https://www.clusif.asso.fr/fr/production/ouvrages/type.asp?id=METHODES 147 https://www.clusif.asso.fr/fr/production/ouvrages/pdf/MEHARI-2007-Introduzione-metodo.pdf 148 http://www2.cnipa.gov.it/site/_contentfiles/01380000/1380039_Analisi dei rischi DPS.pdf 142 135 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 3 – Unità didattica 3.1 Modulo 3.1.7 – Analisi dei rischi – un approccio semplificato Il Garante per la protezione dei dati personali ha pubblicato, nel marzo 2004, una “Guida operativa per redigere il Documento programmatico sulla sicurezza”149 che propone un approccio semplificato per l’analisi dei rischi da riportare nel DPS. Occorre: descrivere i principali eventi potenzialmente dannosi per la sicurezza dei dati, e valutarne le possibili conseguenze e la gravità in relazione al contesto fisico-ambientale di riferimento e agli strumenti elettronici utilizzati. descrivere l’impatto sulla sicurezza degli eventi precedentemente censiti; la valutazione di impatto va fatta anche in relazione alla rilevanza e alla probabilità stimata dell’evento (anche in termini sintetici: es., alta/media/bassa). In questo modo è possibile formulare un primo indicatore omogeneo per i diversi rischi da contrastare. Eventi pregiudizievoli Il Garante propone la seguente lista di eventi potenzialmente dannosi. Contesto fisico-ambientale: Ingressi non autorizzati a locali/aree ad accesso ristretto sottrazione di strumenti contenenti dati eventi distruttivi, naturali o artificiali (movimenti tellurici, scariche atmosferiche, incendi, allagamenti, condizioni ambientali, ...), nonché dolosi, accidentali o dovuti ad incuria guasto a sistemi complementari (impianto elettrico, climatizzazione, ecc.) errori umani nella gestione della sicurezza fisica Comportamenti degli operatori: Sottrazione di credenziali di autenticazione; carenza di consapevolezza; disattenzione o incuria; comportamenti sleali o fraudolenti; errore materiale. Eventi relativi agli strumenti: 149 http://www.garanteprivacy.it/garante/document?ID=1007740&DOWNLOAD=true 136 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 3 – Unità didattica 3.1 Azione di virus informatici o di programmi suscettibili di recare danno; spamming o tecniche di sabotaggio; malfunzionamento, indisponibilità o degrado degli strumenti; accessi esterni non autorizzati; intercettazione di informazioni in rete. 137 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 3 – Unità didattica 3.1 Modulo 3.1.8 – Siti utili ed approfondimenti sulla sicurezza informatica Per approfondimenti, in lingua italiana, sul tema della sicurezza informatica possono essere consultati i siti degli enti e delle associazioni più significative in questo ambito. Tra gli altri: ISCOM150 - Istituto Superiore delle Comunicazioni e delle Tecnologie dell'Informazione CLUSIT151 - Associazione Italiana per la Sicurezza Informatica AIPSI152 - Associazione Italiana di Professionisti della Sicurezza Informatica ISACA-Roma153 ed AIEA154, capitoli italiani dell’ISACA, l’associazione internazionale degli IS Auditor e Security Manager ANSSAIF155 Associazione Nazionale Specialisti Sicurezza in Aziende di Intermediazione Finanziaria Elenco dei migliori security blog italiani156 a cura di Feliciano Intini157 Chief Security Advisor di Microsoft Italia ComplianceNet158, sito dedicato ai temi della Compliance, Sicurezza e Privacy specie in ambito bancario. ENISA159, l’European Network and Information Security Agency (sito in lingua inglese). 150 http://www.isticom.it/ http://www.clusit.it/ 152 http://aipsi.org/ 153 http://isacaroma.it/ 154 http://www.aiea.it/ 155 http://www.anssaif.com/ 156 http://blogs.technet.com/feliciano_intini/pages/recensioni-dei-security-blog-italiani.aspx 157 http://blogs.technet.com/feliciano_intini/default.aspx 158 http://www.compliancenet.it/ 159 http://www.enisa.europa.eu/ 151 138 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 3 – Unità didattica 3.1 Domande di verifica 3.1 Domanda Le misure minime di sicurezza sono obbligatorie; tutte le altre sono facoltative Vero. Solo le misure minime di sicurezza sono obbligatorie. È tuttavia possibile (opzionalmente) adottare ulteriori misure di sicurezza Nel DPS è obbligatorio inserire l’analisi dei rischi sui dati personali. Vero. Si tratta di uno degli elementi obbligatori del DPs. Una azienda certificata ISO 27002 (qualità) non ha bisogno di redigere il DPS. Vero. I requisiti per la certificazione sono più stringenti degli obblighi del Codice. Seconda risposta Falso. Le “misure minime” sono solo una parte degli accorgimenti obbligatori in materia di sicurezza in quanto vi è anche l’obbligo di adottare ogni altra misura di sicurezza idonea alla protezione dei dati (art. 31). Terza risposta Falso. Anche le misure minime di sicurezza sono opzionali. Parzialmente vero. L’analisi dei rischi è obbligatoria solo se si trattano dati sensibili con elaboratori accessibili al pubblico Falso. I requisiti per la certificazione sono meno stringenti degli obblighi del Codice. Falso. Le “semplificazioni” del Garante hanno eliminato l’obbligatorietà dell’analisi dei rischi. Falso. La certificazione ISO 27002 è volontaria e non ha nulla a che fare con gli obblighi di legge. 139 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 3 – Unità didattica 3.1 Pagina lasciata intenzionalmente bianca 140 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 3 – Unità didattica 3.2 Lezione 3 – Unità didattica 3.2 – Il Documento Programmatico sulla Sicurezza Modulo 3.2.1 – Domande frequenti sul DPS Modulo 3.2.2 – Tipologie di DPS Modulo 3.2.3 – DPS – le novità normativa del 2009 Modulo 3.2.4 – Un esempio di DPS (con licenza aperta) Modulo 3.2.5 – Analisi preliminare dell’azienda Modulo 3.2.6 – Elenco dei trattamenti di dati personali Modulo 3.2.7 – Distribuzione dei compiti e delle responsabilità Modulo 3.2.8 – Analisi dei rischi che incombono sui dati Modulo 3.2.9 – Misure in essere Modulo 3.2.10 – Criteri e modalità di ripristino della disponibilità dei dati Modulo 3.2.11 – Pianificazione degli interventi formativi previsti Modulo 3.2.12 – Trattamenti affidati all’esterno Modulo 3.2.13 – Adempimenti per la funzione di amministratore di sistema Domande di verifica 3.2 141 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 3 – Unità didattica 3.2 Modulo 3.2.1 – Domande frequenti sul DPS Cos’è il Documento Programmatico sulla Sicurezza (DPS)? Qualunque azienda, PA, ente o associazione che sia titolare di un trattamento di dati sensibili o giudiziari effettuato con strumenti elettronici deve redigere ed aggiornare per iscritto entro il 31 marzo di ogni anno un documento che riporti le misure di sicurezza adottate o che si programma di adottare per la tutela di tali trattamenti. L’obbligo della redazione del DPS è stato abrogato, mediante il Decreto Legge 25 giugno 2008 n.112, per tutte le aziende che non trattano dati sensibili o che trattano solo dati sensibili inerenti salute e malattia dei propri dipendenti, senza indicazione della diagnosi. Chi deve redigere il DPS? Il DPS cade sotto la responsabilità del titolare (cioè del legale rappresentante dell’azienda o ente); questi può farsi coadiuvare nella redazione del Documento da un organo, ufficio o persona fisica a ciò legittimata in base all’ordinamento aziendale o della pubblica amministrazione interessata (art. 34, comma 1, lett. g), del Codice; regola 19 dell’Allegato B)). Quando va redatto o aggiornato il DPS? Annualmente, e non oltre il 31 marzo di ogni anno, l'azienda deve aggiornare il proprio “Documento Programmatico sulla Sicurezza”. Che contenuti deve avere il DPS? Il DPS deve contenere, al minimo (regola 19 dell’allegato B, “Disciplinare tecnico in materia di misure minime di sicurezza”160, del D. Lgs. n.196): l'elenco dei trattamenti di dati personali; la distribuzione dei compiti e delle responsabilità nell'ambito delle strutture preposte al trattamento dei dati; l'analisi dei rischi che incombono sui dati; le misure da adottare per garantire l'integrità e la disponibilità dei dati, nonché la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità; la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento (...); la previsione di interventi formativi degli incaricati del trattamento (...); la descrizione dei criteri da adottare per garantire l'adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformità al codice, all'esterno della struttura del titolare; 160 http://www.garanteprivacy.it/garante/doc.jsp?ID=488497 142 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 3 – Unità didattica 3.2 Inoltre a seguito della pubblicazione del provvedimento del Garante relativo agli “Amministratori di sistema” del novembre 2008occorre allegare al DPS: l’elenco degli amministratori di sistema. Dove posso trovare un facsimile di DPS? Nel giugno 2004 il Garante per la protezione dei dati personali ha pubblicato una “Guida operativa per redigere il Documento programmatico sulla sicurezza”161 che può essere utilizzato come fac-simile. È obbligatorio utilizzare il fac-simile di DPS del Garante? No, l'Ufficio del Garante ha posto a disposizione degli operatori una guida per redigere e aggiornare il documento programmatico sulla sicurezza, soprattutto nelle realtà piccole e medie dimensioni. La guida è stata semplificata sulla base dei commenti pervenuti all'esito della consultazione pubblica ed è utilizzabile facoltativamente. Posso adottare solo le misure minime di sicurezza? Il Garante rispondendo nel marzo 2004 ad un quesito formulato da Confindustria (“Obblighi di sicurezza e documento programmatico”162) scrive: “In particolare è stato confermato il principio (evidenziato con maggiore chiarezza dalle nuove disposizioni) secondo cui le misure minime, di importanza tale da indurre il legislatore a prevedere anche una sanzione penale, sono solo una parte degli accorgimenti obbligatori in materia di sicurezza (art. 33 del Codice). In materia, come già previsto dalla legge n. 675/1996, si distinguono due distinti obblighi: a. l’obbligo più generale di ridurre al minimo determinati rischi. Occorre custodire e controllare i dati personali oggetto di trattamento per contenere nella misura più ampia possibile il rischio che i dati siano distrutti, dispersi anche accidentalmente, conoscibili fuori dei casi consentiti o altrimenti trattati in modo illecito. Resta in vigore, oltre alle cosiddette "misure minime", l’obbligo di adottare ogni altra misura di sicurezza idonea a fronteggiare le predette evenienze, avuto riguardo alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle caratteristiche del trattamento, di cui si devono valutare comunque i rischi (art. 31). Come in passato, l’inosservanza di questo obbligo rende il trattamento illecito anche se non si determina un danno per gli interessati; viola inoltre i loro diritti, compreso il diritto fondamentale alla protezione dei dati personali che può essere esercitato nei confronti del titolare del trattamento (artt. 1 e 7, comma 3, del Codice), ed espone a responsabilità civile per danno anche non patrimoniale qualora, davanti al giudice ordinario, non si dimostri di aver adottato tutte le misure idonee ad evitarlo (artt. 15 e 152 del Codice); b. nell’ambito del predetto obbligo più generale, il dovere di adottare in ogni caso le "misure minime". Cosa si rischia nel non adottare le "misure minime"? Il Codice conferma l’impianto secondo il quale l’omessa adozione di alcune misure indispensabili (“minime”), le cui modalità sono specificate tassativamente nell’Allegato B) del Codice, costituisce 161 162 http://www.garanteprivacy.it/garante/document?ID=1007740&DOWNLOAD=true http://www.garanteprivacy.it/garante/doc.jsp?ID=771307 143 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 3 – Unità didattica 3.2 anche reato; l’art. 169 del Codice prevede l’arresto sino a due anni o l’ammenda da 10 mila euro a 50 mila euro; è possibile l’eventuale “ravvedimento operoso” di chi adempie puntualmente alle prescrizioni impartite dal Garante una volta accertato il reato ed effettua un pagamento in sede amministrativa, ottenendo così l’estinzione del reato. Il DPS va inviato al Garante? No, va conservato presso il Titolare (o il Responsabile se nominato). Il DPS è una misura minima per chi vi è tenuto? Sì. Scrive il Garante: 2.1 Anche la redazione del DPS è una "misura minima", prevista dall’Allegato B). Si tratta di una misura non nuova, sebbene sia aumentato il numero dei soggetti che deve redigere il DPS e sia parzialmente diverso il suo necessario contenuto. 2.2. In base al nuovo Codice, la misura minima del DPS deve essere ora adottata dal titolare di un trattamento di dati sensibili o giudiziari effettuato con strumenti elettronici, attraverso l’organo, ufficio o persona fisica a ciò legittimata in base all’ordinamento aziendale o della pubblica amministrazione interessata (art. 34, comma 1, lett. g), del Codice; regola 19 dell’Allegato B)). Come accennato, il DPS deve essere redatto da alcuni soggetti che non vi erano precedentemente tenuti (ad esempio, da chi trattava dati sensibili o giudiziari, ma con elaboratori non accessibili mediante una rete di telecomunicazioni disponibili al pubblico). Inoltre, a differenza del passato, la categoria dei dati giudiziari è oggi rappresentata anche da altri dati personali, riferiti ad esempio a provvedimenti giudiziari non definitivi o alla semplice qualità di imputato o indagato (v. art. 4 del Codice). Infine, il contenuto stesso del DPS è arricchito da nuovi elementi che si aggiungono a quelli necessari in base alla precedente disciplina o ne specificano alcuni aspetti. Ad esempio, nel DPS occorre descrivere ora i criteri e le modalità per ripristinare la disponibilità dei dati in caso di distruzione o danneggiamento delle informazioni o degli strumenti elettronici; occorre individuare poi i criteri da adottare per cifrare o per separare i dati idonei a rivelare lo stato di salute e la vita sessuale trattati da organismi sanitari ed esercenti le professioni sanitarie (regole 19.8 e 24 dell’Allegato B)). Perché va citato il DPS nella relazione accompagnatoria al bilancio d’esercizio? Scrive il Garante: "Premesso che le scelte di fondo sulle modalità di trattamento sotto il profilo della sicurezza competono alle persone e agli organi legittimati ad adottare decisioni ed esprimere a vari livelli, in base al proprio ordinamento interno, la volontà della società, ente o altro organismo titolare del trattamento (art. 4, comma 1, lett. f), del Codice), il Codice ha introdotto una nuova regola per rendere meglio edotti gli organi di vertice del titolare del trattamento e responsabilizzarli in materia di sicurezza, attraverso l’obbligo di riferire nella relazione di accompagnamento a ciascun bilancio di esercizio circa l’avvenuta redazione o aggiornamento del DPS che sia obbligatorio come misura "minima" o che sia stato comunque adottato (regola 26 Allegato B)). Anche questa menzione rappresenta una misura "minima" nuova, indicata tra quelle di "tutela e garanzia" (regole 25 e 26)." 144 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 3 – Unità didattica 3.2 Modulo 3.2.2 – Tipologie di DPS Il primo gennaio 2004 è entrato in vigore il “Codice in materia di protezione dei dati personali”163. Il “Codice” all’articolo 34, punto g) recita che il titolare di “Trattamenti con strumenti elettronici” è obbligato alla “tenuta di un aggiornato documento programmatico sulla sicurezza”. Il Documento Programmatico sulla Sicurezza (DPS) deve contenere, al minimo (regola 19 dell’allegato B, “Disciplinare tecnico in materia di misure minime di sicurezza”164 , del D. Lgs. n.196: l'elenco dei trattamenti di dati personali; la distribuzione dei compiti e delle responsabilità nell'ambito delle strutture preposte al trattamento dei dati; l'analisi dei rischi che incombono sui dati; le misure da adottare per garantire l'integrità e la disponibilità dei dati, nonché la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità; la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento (...); la previsione di interventi formativi degli incaricati del trattamento (...); la descrizione dei criteri da adottare per garantire l'adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformità al codice, all'esterno della struttura del titolare. L’11 giugno 2004 il Garante per la protezione dei dati personali ha pubblicato una “Guida operativa per redigere il Documento programmatico sulla sicurezza” (pdf165, 232 K, 17 pp). Dice il Garante nella premessa al facsimile: “La presente guida mira a facilitare l’adempimento dell’obbligo di redazione del documento programmatico sulla sicurezza (DPS) nelle organizzazioni di piccole e medie dimensioni o, comunque, non dotate al proprio interno di competenze specifiche (nota 1). La guida può essere di ausilio nella redazione del DPS, ma non è obbligatorio utilizzarla per adempiere all’obbligo. Nota 1) Nelle strutture di piccole dimensioni dove possono mancare specifiche competenze, si può anche chiedere consultare per alcuni profili tecnici il fornitore/installatore degli strumenti elettronici e del relativo software.” Il 24 maggio 2007 Il Garante ha pubblicato una “Guida pratica e misure di semplificazione per le piccole e medie imprese”166 (G.U. 21 giugno 2007 n. 142) che per quanto riguarda il DPS recita: “In base alla vigente disciplina, in caso di trattamento di dati sensibili e giudiziari attraverso sistemi informatici deve essere redatto il documento programmatico sulla sicurezza (art. 34, 163 http://www.garanteprivacy.it/garante/doc.jsp?ID=1311248 http://www.garanteprivacy.it/garante/doc.jsp?ID=1557184 165 http://www.garanteprivacy.it/garante/document?ID=1007740&DOWNLOAD=true 166 http://www.garanteprivacy.it/garante/doc.jsp?ID=1412271 164 145 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 3 – Unità didattica 3.2 comma 1, lett. g) e regola 19 dell'Allegato B al Codice). Si può tener conto dei suggerimenti già formulati dal Garante che –recependo le esigenze e le istanze peculiari di professionisti e piccoli operatori, con particolare riguardo alle piccole e medie imprese– ha già reso disponibile on-line, a far data dal 11 giugno 2004, una Guida operativa”. Con l’articolo numero 29 della legge 6 agosto 2008, n. 133, “Conversione in legge, con modificazioni, del decreto-legge 25 giugno 2008, n. 112, recante disposizioni urgenti per lo sviluppo economico, la semplificazione, la competitività, la stabilizzazione della finanza pubblica e la perequazione tributaria”167 , GU n. 195 del 21 agosto 2008 - Suppl. Ordinario n. 196 (entrata in vigore il giorno successivo a quello della sua pubblicazione nella Gazzetta Ufficiale.) viene però modificato il “Codice” proprio all’articolo 34 (richiamato sopra) semplificando gli “adempimenti” relativi al DPS per alcune categorie di titolari. Recita l’articolo 29 della legge 6 agosto 2008, n. 133: "Trattamento dei dati personali 1. All'articolo 34 del codice in materia di protezione dei dati personali, di cui al decreto legislativo 30 giugno 2003, n. 196, dopo il comma 1 è aggiunto il seguente: « 1-bis. Per i soggetti che trattano soltanto dati personali non sensibili e che trattano come unici dati sensibili quelli costituiti dallo stato di salute o malattia dei propri dipendenti e collaboratori anche a progetto, senza indicazione della relativa diagnosi, ovvero dall'adesione ad organizzazioni sindacali o a carattere sindacale, la tenuta di un aggiornato documento programmatico sulla sicurezza è sostituita dall'obbligo di autocertificazione, resa dal titolare del trattamento ai sensi dell'articolo 47 del testo unico di cui al decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, di trattare soltanto tali dati in osservanza delle altre misure di sicurezza prescritte. In relazione a tali trattamenti, nonché a trattamenti comunque effettuati per correnti finalità amministrative e contabili, in particolare presso piccole e medie imprese, liberi professionisti e artigiani, il Garante, sentito il Ministro per la semplificazione normativa, individua con proprio provvedimento, da aggiornare periodicamente, modalità semplificate di applicazione del disciplinare tecnico di cui all'Allegato B) in ordine all'adozione delle misure minime di cui al comma 1». Infine il 27 novembre 2008 con un provvedimento a carattere generale dal titolo “Semplificazione delle misure di sicurezza contenute nel disciplinare tecnico di cui all'Allegato B) al Codice in materia di protezione dei dati personali”168, pubblicato in Gazzetta Ufficiale il 9 dicembre 2008, il Garante ha individuato modalità semplificate di applicazione delle misure minime di sicurezza contenute nel disciplinare tecnico di cui all'Allegato B) al Codice in materia di protezione dei dati personali. Tra le modalità semplificate vi è anche una "semplificazione" per il DPS. Recita il provvedimento: 2.5. Documento programmatico sulla sicurezza (modalità applicative delle regole di cui ai punti da 19.1 a 19.8 dell'Allegato B)) 2.5.1. Fermo restando che per alcuni casi è già previsto per disposizione di legge che si possa redigere un'autocertificazione in luogo del documento programmatico sulla sicurezza (…), i soggetti pubblici e privati che trattano dati personali unicamente per correnti finalità amministrative e contabili, in particolare presso liberi professionisti, artigiani e piccole e medie imprese, possono 167 168 http://www.interlex.it/testi/l08_133.htm http://www.garanteprivacy.it/garante/doc.jsp?ID=1571218 146 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 3 – Unità didattica 3.2 redigere un documento programmatico sulla sicurezza semplificato sulla base delle indicazioni di seguito riportate. Il documento deve essere redatto prima dell'inizio del trattamento e deve essere aggiornato entro il 31 marzo di ogni anno nel caso in cui, nel corso dell'anno solare precedente, siano intervenute modifiche rispetto a quanto dichiarato nel precedente documento. Il documento deve avere i seguenti contenuti: le coordinate identificative del titolare del trattamento, nonché, se designati, gli eventuali responsabili; nel caso in cui l'organizzazione preveda una frequente modifica dei responsabili designati, potranno essere indicate le modalità attraverso le quali è possibile individuare l'elenco aggiornato dei responsabili del trattamento; una descrizione generale del trattamento o dei trattamenti realizzati, che permetta di valutare l'adeguatezza delle misure adottate per garantire la sicurezza del trattamento; in tale descrizione vanno precisate le finalità del trattamento, le categorie di persone interessate e dei dati o delle categorie di dati relativi alle medesime, nonché i destinatari o le categorie di destinatari a cui i dati possono essere comunicati; l'elenco, anche per categorie, degli incaricati del trattamento e delle relative responsabilità; nel caso in cui l'organizzazione preveda una frequente modifica dei responsabili designati, potranno essere indicate le modalità attraverso le quali è possibile individuare l'elenco aggiornato dei responsabili del trattamento con le relative responsabilità; una descrizione delle altre misure di sicurezza adottate per prevenire i rischi di distruzione o perdita, anche accidentale, dei dati, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta. In sintesi In sintesi, rispetto all’obbligo di redazione, ed aggiornamento, del Documento Programmatico sulla Sicurezza alla data odierna (5 ottobre 2009) le casistiche possibili sono (in ordine crescente di adempimenti richiesti). Tipo di titolare Soggetti che trattano dati personali senza l’ausilio di strumenti elettronici Per i soggetti che trattano soltanto dati personali non sensibili e che trattano come unici dati sensibili quelli costituiti dallo stato di salute o malattia dei propri dipendenti e collaboratori anche a progetto, senza indicazione della relativa diagnosi, ovvero dall'adesione ad organizzazioni sindacali o a carattere sindacale. Tipologia di DPS Non è richiesta la tenuta del DPS Riferimento normativo Codice in materia di protezione dei dati personali (D. Lgs. n.196), articolo 34 Decade l’obbligo della tenuta Articolo numero 29 della del DPS che viene sostituito legge 6 agosto 2008, n. da una autocertificazione, 133 recepito come comma resa dal titolare del 1-bis all’articolo 34 del trattamento ai sensi "Codice in materia di dell'articolo 47 del testo unico protezione dei dati di cui al decreto del personali" Presidente della Repubblica 28 dicembre 2000, n. 445, di trattare soltanto tali dati in osservanza delle altre misure 147 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 3 – Unità didattica 3.2 Soggetti pubblici e privati che trattano dati personali unicamente per correnti finalità amministrative e contabili, in particolare presso liberi professionisti, artigiani e piccole e medie imprese e non rientranti nella tipologia di cui al punto precedente. Organizzazioni di piccole e medie dimensioni o, comunque, non dotate al proprio interno di competenze specifiche e non rientranti nelle tipologie di cui al punto precedente. Tutti gli altri titolari non rientranti nelle tipologie di cui al punto precedente. di sicurezza prescritte Tali soggetti possono redigere un documento programmatico sulla sicurezza semplificato sulla base delle indicazioni riportate nel provvedimento a carattere generale dal titolo "Semplificazione delle misure di sicurezza contenute nel disciplinare tecnico di cui all'Allegato B) al Codice in materia di protezione dei dati personali" del 27 novembre 2008 Facsimile di DPS come illustrato nella "Guida operativa per redigere il Documento programmatico sulla sicurezza". Nota bene: non è obbligatorio utilizzare tale facsimile. Documento Programmatico sulla Sicurezza completo secondo le indicazioni riportate nel Codice e nell’allegato B. "Semplificazione delle misure di sicurezza contenute nel disciplinare tecnico di cui all'Allegato B) al Codice in materia di protezione dei dati personali" del 27 novembre 2008 "Guida operativa per redigere il Documento programmatico sulla sicurezza" dell’11 giugno 2004 Codice in materia di protezione dei dati personali (D. Lgs. n.196), articolo 34, punto g. regola 19 dell’allegato B, "Disciplinare tecnico in materia di misure minime di sicurezza, del D. Lgs. n.196 148 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 3 – Unità didattica 3.2 Modulo 3.2.3 –DPS – le novità normativa del 2009 Nel corso del 2009 il corpus normativo sulla privacy è stato modificato in modo significativo. Le principali novità normative ed i relativi adempimenti di cui bisogna tener conto nell’aggiornamento del DPS per il 2009 sono: amministratore di sistema; semplificazione delle misure di sicurezza; semplificazione notificazione; rottamazione PC ed affini; legge 18 marzo 2008 sui crimini informatici; i nuovi reati introdotti nel d. lgs. 231/01 in materia di violazione del diritto di autore. Amministratore di sistema Si tratta del provvedimento “Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema”169 del 27 novembre 2008, in G.U. n. 300 del 24 dicembre 2008 di cui abbiamo già ampiamente parlato. Per quanto riguarda l’aggiornamento del DPS occorre allegare a quest’ultimo la lista degli amministratori già nominati cioè gli amministratori di trattamenti iniziati dopo il 25 gennaio 2009. Per i trattamenti iniziati prima di tale data la lista va prodotta entro il 15 dicembre 2009. Ricordiamo che la “lista degli amministratori di sistema” è a sua volta un trattamento e quindi va inserito nel censimento allegato al DPS. Analogamente va aggiornato il paragrafo “Distribuzione dei compiti e delle responsabilità nell'ambito delle strutture preposte al trattamento dei dati” con indicazione di quanto attuato in relazione a tale adempimento (nuove nomine, aggiornamento delle lettere di incarico, ecc.). Se sono state adottate nuove misure di sicurezza non già indicate nella precedente versione del DPS (ad esempio nuovi log in relazione agli adempimenti richiesti per l’amministratore di sistema) questa vanno riportate nel paragrafo del DPS a ciò deputato. Nel paragrafo dedicato alla "Previsione di interventi formativi degli incaricati del trattamento"è opportuno indicare i corsi sulla sicurezza o sulla privacy che i famosi amministratori di sistema (se necessario) seguiranno (o hanno già seguito) per "dimostrare" che essi sono “idonei” a ricoprire tale incarico. Infine nel capitolo relativo alla “Descrizione dei criteri adottati (…) per i di trattamenti di dati personali affidati all'esterno della struttura del titolare” vanno indicati quali outsourcer hanno (già) nominato e comunicato la lista degli amministratori. 169 http://www.garanteprivacy.it/garante/doc.jsp?ID=1577499 149 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 3 – Unità didattica 3.2 Semplificazione delle misure di sicurezza Si tratta del provvedimento “Semplificazione delle misure di sicurezza contenute nel disciplinare tecnico di cui all'Allegato B) al Codice in materia di protezione dei dati personali”170 del 27 novembre 2008, in G.U. n. 287 del 9 dicembre 2008 che riguarda: amministrazioni pubbliche e società private che utilizzano dati personali non sensibili (nome, cognome, indirizzo, codice fiscale, numero di telefono) o che trattano come unici dati sensibili dei dipendenti quelli relativi allo stato di salute o all'adesione a organizzazioni sindacali; piccole e medie imprese, liberi professionisti o artigiani che trattano dati solo per fini amministrativi e contabili. Misure di sicurezza In base al provvedimento del Garante, le categorie interessate: possono impartire agli incaricati le istruzioni in materia di misure minime anche oralmente; possono utilizzare per l'accesso ai sistemi informatici un qualsiasi sistema di autenticazione basato su un username e una password; lo username deve essere disattivato quando viene meno il diritto di accesso ai dati (es. non si opera più all'interno dell'organizzazione); in caso di assenze prolungate o di impedimenti del dipendente possono mettere in atto procedure o modalità che consentano comunque l'operatività e la sicurezza del sistema ( ad es. l'invio automatico delle mail ad un altro recapito accessibile); devono aggiornare i programmi di sicurezza (antivirus) almeno una volta l'anno, e effettuare backup dei dati almeno una volta al mese. DPS semplificato Con il provvedimento, inoltre, il Garante ha fornito a piccole e medie imprese, artigiani, liberi professioni, soggetti pubblici e privati che trattano dati solo a fini amministrativi e contabili, alcune indicazioni per la redazione di un documento programmatico per la sicurezza semplificato: questo deve essere redatto prima dell'inizio del trattamento e deve essere aggiornato entro il 31 marzo di ogni anno nel caso in cui, nel corso dell'anno solare precedente, siano intervenute modifiche rispetto a quanto dichiarato nel precedente documento. Il DPS semplificato deve avere i seguenti contenuti: 170 le coordinate identificative del titolare del trattamento, nonché, se designati, gli eventuali responsabili. Nel caso in cui l'organizzazione preveda una frequente modifica dei responsabili designati, potranno essere indicate le modalità attraverso le quali è possibile individuare l'elenco aggiornato dei responsabili del trattamento; una descrizione generale del trattamento o dei trattamenti realizzati, che permetta di valutare l'adeguatezza delle misure adottate per garantire la sicurezza del trattamento. In tale descrizione vanno precisate le finalità del trattamento, le categorie di persone interessate e http://www.garanteprivacy.it/garante/doc.jsp?ID=1571218 150 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 3 – Unità didattica 3.2 dei dati o delle categorie di dati relativi alle medesime, nonché i destinatari o le categorie di destinatari a cui i dati possono essere comunicati; l'elenco, anche per categorie, degli incaricati del trattamento e delle relative responsabilità. Nel caso in cui l'organizzazione preveda una frequente modifica dei responsabili designati, potranno essere indicate le modalità attraverso le quali è possibile individuare l'elenco aggiornato dei responsabili del trattamento con le relative responsabilità; una descrizione delle altre misure di sicurezza adottate per prevenire i rischi di distruzione o perdita, anche accidentale, dei dati, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta. Modalità applicative “semplificate” per i trattamenti realizzati senza l'ausilio di strumenti elettronici Agli incaricati sono impartite, anche oralmente, istruzioni finalizzate al controllo e alla custodia, per l'intero ciclo necessario allo svolgimento delle operazioni di trattamento, degli atti e dei documenti contenenti dati personali. Quando gli atti e i documenti contenenti dati personali sensibili o giudiziari sono affidati agli incaricati del trattamento per lo svolgimento dei relativi compiti, i medesimi atti e documenti sono controllati e custoditi dai medesimi incaricati fino alla restituzione in modo che a essi non accedano persone prive di autorizzazione, e sono restituiti al termine delle operazioni affidate. Semplificazione notificazione Si tratta del provvedimento “Semplificazione al modello per la notificazione al Garante”171 del 22 ottobre 2008 , G.U. n. 287 del 9 dicembre 2008 . Senza entrare nel merito di chi e per quali trattamenti deve fare la notifica qui si sottolinea semplicemente che le nuove “indicazioni” del provvedimento di cui sopra richiedono al punto f) una descrizione generale che permetta di valutare in via preliminare l'adeguatezza delle misure adottate per garantire la sicurezza del trattamento. È ovvio che, per chi fa la notifica, tale “descrizione generale” deve essere coerente con quanto riportato nel DPS. Rottamazione PC ed affini Si tratta del provvedimento “Rifiuti di apparecchiature elettriche ed elettroniche (Raae) e misure di sicurezza dei dati personali”172 del 13 ottobre 2008, in G.U. n. 287 del 9 dicembre 2008. Il Garante richiede che ogni titolare del trattamento deve adottare appropriate misure organizzative e tecniche volte a garantire la sicurezza dei dati personali trattati e la loro protezione anche nei confronti di accessi non autorizzati che possono verificarsi in occasione della dismissione dei menzionati apparati elettrici ed elettronici (artt. 31 ss. del Codice); ciò, considerato anche che, impregiudicati eventuali accordi che prevedano diversamente, produttori, distributori e centri di assistenza di apparecchiature elettriche ed elettroniche non risultano essere soggetti, in base alla particolare disciplina di settore, a specifici obblighi di distruzione dei dati personali eventualmente memorizzati nelle apparecchiature elettriche ed elettroniche a essi consegnate. 171 172 http://www.garanteprivacy.it/garante/doc.jsp?ID=1571196 http://www.garanteprivacy.it/garante/doc.jsp?ID=1571514 151 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 3 – Unità didattica 3.2 In pratica il Garante vuole che siano prevenuti accessi non consentiti ai dati personali memorizzati nelle apparecchiature elettriche ed elettroniche destinate a essere: reimpiegate o riciclate smaltite. mediante l’adozione delle misure da lui indicate (allegato A e allegato B rispettivamente) nello stesso provvedimento. Legge 18 marzo 2008 sui crimini informatici Si tratta della “Legge 18 marzo 2008, n. 48 - "Ratifica ed esecuzione della Convenzione del Consiglio d’Europa sulla criminalità informatica, fatta a Budapest il 23 novembre 2001, e norme di adeguamento dell’ordinamento interno”173 che ha introdotto nuovi adempimenti per la sicurezza informatica in quanto ha modificato (art. 10) sia il “Codice in materia di protezione dei dati personali” sia (art. 7) il decreto legislativo 8 giugno 2001, n. 231 (la cosiddetta “Responsabilità amministrativa delle imprese”). Di seguito l’elenco dei reati informatici trattati da questa legge. 420: attentato a impianti di pubblica utilità compreso il danneggiamento o la distruzione di sistemi informatici o telematici di pubblica utilità 491-bis: falsità in un documento informatico pubblico o privato 615-ter: accesso abusivo ad un sistema informatico o telematico 615-quater: detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici 615-quinquies: diffusione di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico 617-quater: intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche 617-quinquies: installazione di apparecchiature atte ad intercettare, impedire o interrompere comunicazioni informatiche o telematiche 635-bis: danneggiamento di informazioni, dati e programmi informatici 635-ter: danneggiamento di informazioni, dati e programmi informatici utilizzati dallo Stato o da altro ente pubblico o comunque di pubblica utilità 635-quater: danneggiamento di sistemi informatici o telematici 640-quinquies: truffa del certificatore di firma elettronica I nuovi reati introdotti nel d. lgs. 231/01 in materia di violazione del diritto di autore Nel luglio 2009 il D. lgs. n. 231/2001 è stato modificato con l’introduzione dell’art 25-novies in materia di violazione del diritto di autore che riguarda i seguenti reati174. 173 174 http://www.parlamento.it/parlam/leggi/08048l.htm tratto da: http://www.complianceaziendale.com/2009/07/ddl-s1195-b-disposizioni-per-lo.html 152 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 3 – Unità didattica 3.2 art. 171, l. 633/1941 comma 1 lett a) bis: messa a disposizione del pubblico, in un sistema di reti telematiche, mediante connessioni di qualsiasi genere, di un'opera dell'ingegno protetta, o di parte di essa; art. 171, l. 633/1941 comma 3: reati di cui al punto precedente commessi su opere altrui non destinate alla pubblicazione qualora ne risulti offeso l’onore o la reputazione; art. 171-bis l. 633/1941 comma 1: abusiva duplicazione, per trarne profitto, di programmi per elaboratore; importazione, distribuzione, vendita o detenzione a scopo commerciale o imprenditoriale o concessione in locazione di programmi contenuti in supporti non contrassegnati dalla SIAE; predisposizione di mezzi per rimuovere o eludere i dispositivi di protezione di programmi per elaboratori; art. 171-bis l. 633/1941 comma 2: riproduzione, trasferimento su altro supporto, distribuzione, comunicazione, presentazione o dimostrazione in pubblico, del contenuto di una banca dati; estrazione o reimpiego della banca dati; distribuzione, vendita o concessione in locazione di banche di dati; art. 171-ter l. 633/1941: abusiva duplicazione, riproduzione, trasmissione o diffusione in pubblico con qualsiasi procedimento, in tutto o in parte, di opere dell'ingegno destinate al circuito televisivo, cinematografico, della vendita o del noleggio di dischi, nastri o supporti analoghi o ogni altro supporto contenente fonogrammi o videogrammi di opere musicali, cinematografiche o audiovisive assimilate o sequenze di immagini in movimento; opere letterarie, drammatiche, scientifiche o didattiche, musicali o drammatico musicali, multimediali, anche se inserite in opere collettive o composite o banche dati; riproduzione, duplicazione, trasmissione o diffusione abusiva, vendita o commercio, cessione a qualsiasi titolo o importazione abusiva di oltre cinquanta copie o esemplari di opere tutelate dal diritto d'autore e da diritti connessi; immissione in un sistema di reti telematiche, mediante connessioni di qualsiasi genere, di un'opera dell'ingegno protetta dal diritto d'autore, o parte di essa; art. 171-septies l. 633/1941: mancata comunicazione alla SIAE dei dati di identificazione dei supporti non soggetti al contrassegno o falsa dichiarazione; art. 171-octies l. 633/1941: fraudolenta produzione, vendita, importazione, promozione, installazione, modifica, utilizzo per uso pubblico e privato di apparati o parti di apparati atti alla decodificazione di trasmissioni audiovisive ad accesso condizionato effettuate via etere, via satellite, via cavo, in forma sia analogica sia digitale. 153 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 3 – Unità didattica 3.2 Modulo 3.2.4 – Un esempio di DPS (con licenza aperta) Nei moduli che seguono, in questa unità didattica, redigeremo il “Documento Programmatico sulla Sicurezza” di un’azienda “fittizia”: si tratta di una media impresa manifatturiera, la Arcobaleni196175 srl che abbiamo già conosciuto grazie ai nostri casi di studio. Questo DPS era già stato realizzato per un articolo176 pubblicato sul sito ComplianceNet nel marzo 2009. Questo DPS si basa sulla “Guida operativa per redigere il Documento programmatico sulla sicurezza”177 pubblicata nel giugno 2004 dal Garante per la protezione dei dati personali. “La presente guida” scrive il Garante “mira a facilitare l’adempimento dell’obbligo di redazione del documento programmatico sulla sicurezza (DPS) nelle organizzazioni di piccole e medie dimensioni o, comunque, non dotate al proprio interno di competenze specifiche. La guida può essere di ausilio nella redazione del DPS, ma non è obbligatorio utilizzarla per adempiere all’obbligo. La guida è strutturata in due parti: la prima contiene istruzioni per sviluppare il DPS negli aspetti descrittivi oppure nella compilazione di alcune tabelle riportate nella seconda parte. Nella guida sono anche evidenziati altri elementi utilizzabili facoltativamente - comprese alcune tabelle - che si ritengono utili per una più approfondita definizione del DPS.” Guida alla lettura Il “modello” di DPS è articolato in capitoli seguendo il modello proposto dal Garante. Ogni capitolo si riferisce ad uno dei punti indicati come obbligatori alla regola 19 dell’allegato B, “Disciplinare tecnico in materia di misure minime di sicurezza”178, al “Codice in materia di protezione dei dati personali179” (si noti che il punto 19.8 non è però applicabile in quanto si riferisce alle aziende esercenti professioni sanitarie). Oltre a tali capitoli sono stati inseriti: un capitolo iniziale (non numerato) che riporta le principali variazioni rispetto alla precedente edizione del DPS un secondo capitolo (non numerato) che descrive brevemente la società; 175 http://www.arcobaleni196.it http://www.compliancenet.it/content/privacy-aggiornamento-2009-esempio-dps-per-pmi-con-licenza-aperta 177 http://www.garanteprivacy.it/garante/document?ID=1007740&DOWNLOAD=true 178 http://www.garanteprivacy.it/garante/doc.jsp?ID=488497 179 http://www.garanteprivacy.it/garante/doc.jsp?ID=1311248 176 154 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 3 – Unità didattica 3.2 un capitolo finale (numerato) che comprende allegati, modulistica e documenti di approfondimento. Contenuti fondamentali del DPS Il DPS deve contenere, al minimo (regola 19 dell’allegato B, “Disciplinare tecnico in materia di misure minime di sicurezza”180, del D. Lgs. n.196: l'elenco dei trattamenti di dati personali; la distribuzione dei compiti e delle responsabilità nell'ambito delle strutture preposte al trattamento dei dati; l'analisi dei rischi che incombono sui dati; le misure da adottare per garantire l'integrità e la disponibilità dei dati, nonché la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità; la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento (...); la previsione di interventi formativi degli incaricati del trattamento (...); la descrizione dei criteri da adottare per garantire l'adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformità al codice, all'esterno della struttura del titolare. Tabella 1: Contenuti fondamentali del DPS Anche il modello di DPS è rilasciato con licenza aperta “Creative Commons Attribuzione - Non commerciale 2.5 Italia License181” 180 http://www.garanteprivacy.it/garante/doc.jsp?ID=488497 181 http://creativecommons.org/licenses/by-nc/2.5/it/legalcode 155 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 3 – Unità didattica 3.2 Modulo 3.2.5 – Analisi preliminare dell’azienda Nella redazione “ex novo” del DPS il punto di partenza consiste in una “analisi preliminare”, volta a fare “il punto della situazione” rispetto agli adempimenti privacy. È opportuno predisporre una breve descrizione sintetica della società (ed eventualmente, se opportuno, del “gruppo” di appartenenza). A riguardo è possibile utilizzare documenti già redatti per altre finalità quali redazione del bilancio, verifiche di qualità, eccetera. Documenti utili per l’analisi preliminare e la redazione del DPS organigramma; breve descrizione dei sistemi informativi; nota integrativa al bilancio che descrive mission ed il business aziendale; notificazione al Garante (eventualmente anche relativa alla precedente legge 675/96) se effettuata; documenti predisposti dal servizio “Qualità”; relazioni scritte da enti interni o esterni di verifica e controllo (revisori dei conti, enti certificatori, ecc.); pubblicazioni aziendali (brochure, listino prodotti, newsletter); sito web aziendale. Tabella 2: Documenti utili per l’analisi preliminare e la redazione del DPS È ovviamente opportuno visitare l’azienda, i reparti produttivi, gli uffici più importanti. 156 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 3 – Unità didattica 3.2 Modulo 3.2.6 – Elenco dei trattamenti di dati personali I contenuti di questo modulo sono disponibili nella Lezione 2 - Unità didattica 2.3 – Organizzazione della privacy nei seguenti moduli: Modulo 2.3.1 – Il censimento dei dati personali Modulo 2.3.2 – Il censimento dei dati personali – elementi da catalogare 157 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 3 – Unità didattica 3.2 Modulo 3.2.7 – Distribuzione dei compiti e delle responsabilità In questa sezione devono essere descritte sinteticamente l’organizzazione della struttura di riferimento, i compiti e le relative responsabilità, in relazione ai trattamenti effettuati. Struttura Risorse Umane Risorse Umane Risorse Umane Contabilità Contabilità Produzione Qualità e Controlli Qualità e Controlli Qualità e Controlli Ricerca e Sviluppo Contabilità Risorse Umane Trattamenti effettuati dalla struttura Descrizione dei compiti e delle responsabilità della struttura Legge 626 e sicurezza del personale acquisizione e caricamento dei dati, consultazione, comunicazione a terzi acquisizione e caricamento dei dati, consultazione, comunicazione a terzi acquisizione e caricamento dei dati, consultazione, comunicazione a terzi Fatturazione attiva acquisizione e caricamento dei dati, consultazione, comunicazione a terzi, manutenzione tecnica dei programmi, gestione tecnica operativa della base dati (salvataggi, ripristini, ecc Acquisti e gestione fornitori acquisizione e caricamento dei dati, consultazione, comunicazione a terzi, manutenzione tecnica dei programmi, gestione tecnica operativa della base dati (salvataggi, ripristini, ecc Ciclo di produzione acquisizione e caricamento dei dati, consultazione, comunicazione a terzi, manutenzione tecnica dei programmi, gestione tecnica operativa della base dati (salvataggi, ripristini, ecc Gestione Qualità acquisizione e caricamento dei dati, consultazione, comunicazione a terzi, manutenzione tecnica dei programmi, gestione tecnica operativa della base dati (salvataggi, ripristini, ecc Paghe e contributi Gestione personale Guardania, visitatori acquisizione e caricamento dei dati, consultazione, comunicazione a terzi, manutenzione tecnica dei programmi, gestione tecnica operativa della base dati (salvataggi, ripristini, ecc acquisizione e caricamento dei dati, consultazione, comunicazione a terzi Prototipi acquisizione e caricamento dei dati, consultazione, comunicazione a terzi, manutenzione tecnica dei programmi, gestione tecnica operativa della base dati (salvataggi, ripristini, ecc Adempimenti societari Gestione Contratti Intranet acquisizione e caricamento dei dati, consultazione, comunicazione a terzi, manutenzione tecnica dei programmi, gestione tecnica operativa della base dati (salvataggi, ripristini, ecc acquisizione e caricamento dei dati, consultazione, comunicazione a terzi 158 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 3 – Unità didattica 3.2 Sistemi IT Lista "Amministratori" di sistema acquisizione e caricamento dei dati, consultazione, comunicazione a terzi Legenda Struttura: riporta le indicazioni delle strutture già menzionate nel censimento dei trattamenti. Trattamenti effettuati dalla struttura: indica i trattamenti di competenza di ciascuna struttura. Compiti e responsabilità della struttura: descrive sinteticamente i compiti e le responsabilità della struttura rispetto ai trattamenti di competenza. Ad esempio: acquisizione e caricamento dei dati, consultazione, comunicazione a terzi, manutenzione tecnica dei programmi, gestione tecnica operativa della base dati (salvataggi, ripristini, ecc.). Anche in questo caso è possibile utilizzare, nei termini predetti, altri documenti già predisposti. 159 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 3 – Unità didattica 3.2 Modulo 3.2.8 – Analisi dei rischi che incombono sui dati È possibile usare un “approccio semplificato” come già indicato nel Modulo 3.1.5 – Analisi dei rischi – un approccio semplificato nell’Unità Didattica 3.1 di questa stessa lezione. In pratica i passi da compiere sono tre: 1. elencare gli eventi potenzialmente pregiudizievoli; 2. valutare il rischio per tali eventi; 3. indicare le contromisure per mitigare, eliminare o gestire tale rischio. Elencare gli eventi potenzialmente pregiudizievoli Lo stesso Garante ha proposto una lista di eventi potenzialmente dannosi. Contesto fisico-ambientale Ingressi non autorizzati a locali/aree ad accesso ristretto sottrazione di strumenti contenenti dati eventi distruttivi, naturali o artificiali (movimenti tellurici, scariche atmosferiche, incendi, allagamenti, condizioni ambientali, ...), nonché dolosi, accidentali o dovuti ad incuria guasto a sistemi complementari (impianto elettrico, climatizzazione, ecc.) errori umani nella gestione della sicurezza fisica Comportamenti degli operatori Sottrazione di credenziali di autenticazione; carenza di consapevolezza; disattenzione o incuria; comportamenti sleali o fraudolenti; errore materiale. Eventi relativi agli strumenti Azione di virus informatici o di programmi suscettibili di recare danno; spamming o tecniche di sabotaggio; malfunzionamento, indisponibilità o degrado degli strumenti; accessi esterni non autorizzati; intercettazione di informazioni in rete. valutare il rischio per tali eventi indicare le contromisure per mitigare, eliminare o gestire tale rischio. 160 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 3 – Unità didattica 3.2 Valutare il rischio Per valutare il rischio degli eventi potenzialmente pregiudizievoli occorre usare una scala di “gravità” ad esempio quella che si ispira alla metodologia Mehari182 Livello 4: rischio gravissimo (vitale per l’azienda); Livello 3: rischio molto grave; Livello 2: rischio importante; Livello 1: rischio non significativo. Il risultato è una tabella di questo tipo: Ambito Evento Rischio Ingressi non autorizzati a locali/aree ad accesso ristretto 3 sottrazione di strumenti contenenti dati 2 eventi distruttivi, naturali o artificiali (movimenti tellurici, scariche atmosferiche, incendi, allagamenti, condizioni ambientali, ...), nonché dolosi, accidentali o dovuti ad incuria 3 guasto a sistemi complementari (impianto elettrico, climatizzazione, ecc.) 2 errori umani nella gestione della sicurezza fisica 2 Sottrazione di credenziali di autenticazione; 4 carenza di consapevolezza; 2 disattenzione o incuria; 3 comportamenti sleali o fraudolenti; 3 errore materiale. 2 Azione di virus informatici o di programmi suscettibili di recare danno; 4 spamming o tecniche di sabotaggio; 2 malfunzionamento, indisponibilità o degrado degli strumenti; 3 accessi esterni non autorizzati; 3 Contesto fisicoambientale Comportamenti degli operatori Eventi relativi agli strumenti 182 http://www.oneitsecurity.it/03/04/2008/mehari-un-approccio-alla-gestione-del-rischio-it/ 161 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 3 – Unità didattica 3.2 intercettazione di informazioni in rete. 2 Indicazione delle contromisure per mitigare, eliminare o gestire tale rischio Per ciascuno dei “possibili rischi” indichiamo le misure di sicurezza adottate (che attenzione non devono essere necessariamente quelle “minime” indicate dal Garante). Ambito Evento Rischio Contromisura Ingressi non autorizzati a locali/aree ad accesso ristretto 3 Videosorveglianza alla reception, badge per l’ingresso al piano sottrazione di strumenti contenenti dati 2 Videosorveglianza alla reception, badge per l’ingresso al piano eventi distruttivi, naturali o artificiali (movimenti tellurici, scariche atmosferiche, incendi, allagamenti, condizioni ambientali, ...), nonché dolosi, accidentali o dovuti ad incuria 3 Piano di Disaster Recovery; back-up dei dati in rete guasto a sistemi complementari (impianto elettrico, climatizzazione, ecc.) 2 Back-up errori umani nella gestione della sicurezza fisica 2 Formazione Sottrazione di credenziali di autenticazione; 4 Gestione credenziali carenza di consapevolezza; 2 Formazione e sensibilizzazione disattenzione o incuria; 3 Formazione e sensibilizzazione comportamenti sleali o fraudolenti; 3 Controlli automatici e manuali errore materiale. 2 Formazione, sensibilizzazione, controlli automatici e manuali Contesto fisicoambientale Comportamenti degli operatori Eventi relativi 162 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 3 – Unità didattica 3.2 agli strumenti Azione di virus informatici o di programmi suscettibili di recare danno; 4 Antivirus, gestione patch spamming o tecniche di sabotaggio; 2 Antivirus, gestione patch malfunzionamento, indisponibilità o degrado degli strumenti; 3 Sistemi ridondanti e ad alta affidabilità accessi esterni non autorizzati; 3 Firewal intercettazione di informazioni in rete. 2 Firewal 163 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 3 – Unità didattica 3.2 Modulo 3.2.9 – Misure in essere In questa sezione devono essere riportate, in forma sintetica, le misure di sicurezza adottate per contrastare i rischi individuati. Per misura si intende lo specifico intervento tecnico od organizzativo posto in essere (per prevenire, contrastare o ridurre gli effetti relativi ad una specifica minaccia), come pure quelle attività di verifica e controllo nel tempo, essenziali per assicurarne l’efficacia. Misure Videosorveglianza alla reception, badge per l’ingresso al piano Piano di Disaster Recovery; back-up dei dati in rete Formazione Formazione Formazione Controlli automatici e manuali Antivirus, gestione patch Antivirus, gestione patch Firewal Firewal Descrizione dei rischi contrastati Trattamenti Struttura o persone addette interessati all’adozione Ingressi non autorizzati a locali/aree ad accesso ristretto sottrazione di strumenti contenenti dati Tutti Guardiania, Gestione Risorse Umane eventi distruttivi, naturali o artificiali (movimenti tellurici, scariche atmosferiche, incendi, allagamenti, condizioni ambientali, ...), nonché dolosi, accidentali o dovuti ad incuria errori umani nella gestione della sicurezza fisica carenza di consapevolezza; disattenzione o incuria; comportamenti sleali o fraudolenti; Tutti Sistemi e Reti Tutti Tutti Tutti Tutti Tutti Tutti Tutti Tutti Tutti Tutti Tutti Tutti Tutti Tutti Tutti Tutti Azione di virus informatici o di programmi suscettibili di recare danno; spamming o tecniche di sabotaggio; accessi esterni non autorizzati; accessi esterni non autorizzati; Legenda Misure: descrive sinteticamente le misure adottate (seguendo anche le indicazioni contenute nelle altre regole dell’Allegato B del Codice). Descrizione dei rischi: per ciascuna misura indica sinteticamente i rischi che si intende contrastare (anche qui, si possono utilizzare le indicazioni fornite dall’Allegato B). Trattamenti interessati: indica i trattamenti interessati per ciascuna delle misure adottate. Determinate misure possono non essere riconducibili a specifici trattamenti o banche di dati (ad esempio, con riferimento alle misure per la protezione delle aree e dei locali). Struttura o persone addette all’adozione: indica la struttura o la persona responsabili o preposte all’adozione delle misure indicate. 164 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 3 – Unità didattica 3.2 Modulo 3.2.10 – Criteri e modalità di ripristino della disponibilità dei dati In questa sezione devono essere descritti i criteri e le procedure adottati per il ripristino dei dati in caso di loro danneggiamento o di inaffidabilità della base dati. Ripristino Banca /data base/archivio di dati Criteri e procedure per il salvataggio e il ripristino dei dati Trattamenti Lan Amministrazione Trattamenti Lan Produzione Trattamenti Lan Ricerca e Sviluppo Back-up giornaliero su server Back-up giornaliero su server Back-up giornaliero su server Pianificazione delle prove di ripristino Mensili Mensili Mensili Legenda Banca dati/Data base/Archivio: indica la banca dati, il data base o l’archivio interessati. Criteri e procedure per il salvataggio e il ripristino dei dati: descrive sinteticamente le procedure e i criteri individuati per il salvataggio e il ripristino dei dati. Pianificazione delle prove di ripristino: indica i tempi previsti per effettuare i test di efficacia delle procedure di salvataggio/ripristino dei dati adottate. 165 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 3 – Unità didattica 3.2 Modulo 3.2.11 – Pianificazione degli interventi formativi previsti In questa sezione occorre riportare le informazioni necessarie per individuare il quadro sintetico degli interventi formativi che si prevede di svolgere. Descrizione sintetica degli interventi formativi Corso base privacy (autoformazione e online) Corso privacy per Risorse umane (auto-formazione e online) Classi di incarico o tipologie di incaricati interessati Nuovi assunti Tempi previsti Prima di iniziare i trattamenti Risorse umane secondo semestre 2009 Legenda Descrizione sintetica degli interventi formativi: sono descritti sinteticamente gli obiettivi e le modalità dell’intervento formativo, in relazione a quanto previsto dalla regola 19.6 (ingresso in servizio o cambiamento di mansioni degli incaricati, introduzione di nuovi elaboratori, programmi o sistemi informatici, ecc) . Classi di incarico o tipologie di incaricati interessati: sono individuati le classi omogenee di incarico a cui l’intervento è destinato e/o le tipologie di incaricati interessati, anche in riferimento alle strutture di appartenenza. Tempi previsti: sono indicati i tempi previsti per lo svolgimento degli interventi formativi. 166 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 3 – Unità didattica 3.2 Modulo 3.2.12 – Trattamenti affidati all’esterno In questa sezione occorre è riportato il quadro sintetico delle attività affidate a terzi che comportano il trattamento di dati, con l’indicazione sintetica del quadro giuridico o contrattuale (nonché organizzativo e tecnico) in cui tale trasferimento si inserisce, in riferimento agli impegni assunti, anche all’esterno, per garantire la protezione dei dati stessi. Descrizione dei criteri e degli impegni assunti per l’adozione delle misure Descrizione sintetica dell’attività Trattamenti di Soggetto esternalizzata dati interessati esterno Outsourcing paghe Outsourcing logistica Gestione paghe Società SW1 Gestione produzione Società SW2 Nomina a Responsabile Nomina a Responsabile Legenda Descrizione dell’attività “esternalizzata”: è indicata sinteticamente l’attività affidata all’esterno. Trattamenti di dati interessati: è indicato se i trattamenti sono relativi a dati, sensibili o giudiziari, effettuati nell’ambito della predetta attività. Soggetto esterno: è indicata la società, l’ente o il consulente cui è stata affidata l’attività, e il ruolo ricoperto agli effetti della disciplina sulla protezione dei dati personali (titolare o responsabile del trattamento). Descrizione dei criteri: il tipo di dichiarazione che la società a cui viene affidato il trattamento rilascia o il tipo di impegno assunto anche su base contrattuale: 1. trattamento di dati ai soli fini dell’espletamento dell’incarico ricevuto; 2. adempimento degli obblighi previsti dal Codice per la protezione dei dati personali; 3. rispetto delle istruzioni specifiche eventualmente ricevute per il trattamento dei dati personali o integrazione delle procedure già in essere; 4. impegno a relazionare periodicamente sulle misure di sicurezza adottate –anche mediante eventuali questionari e liste di controllo- e ad informare immediatamente il titolare del trattamento in caso di situazioni anomale o di emergenze. 167 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 3 – Unità didattica 3.2 Modulo 3.2.13 – Adempimenti per la funzione di amministratore di sistema Come già indicato nel Modulo 1.3.5 – I nuovi adempimenti per le funzioni di “amministratore di sistema” della Lezione 1, Unità didattica 1.3 , il Garante ha imposto183 che, a partire dal 2009, sia predisposto un “Elenco degli amministratori di sistema e loro caratteristiche”. Dice il Garante: “Ciascuna azienda o soggetto pubblico dovrà inserire nel documento programmatico della sicurezza o in un documento interno (disponibile in caso di accertamenti da parte del Garante) gli estremi identificativi degli amministratori di sistema e l'elenco delle funzioni loro attribuite. Dovranno infine essere valutate con attenzione esperienza, capacità, e affidabilità della persona chiamata a ricoprire il ruolo di amministratore di sistema, che deve essere in grado di garantire il pieno rispetto della normativa in materia di protezione dei dati personali, compreso il profilo della sicurezza.” L’elenco può essere predisposto aggiungendo, ad esempio, una nuova colonna nella tabella dei trattamenti ed aggiungendo il nominativo della persona (nel caso di trattamento interno) o della società (nel caso di trattamento esternalizzato) che è l’amministratore del sistema. Natura dei dati trattati Descrizione sintetica del trattamento Finalità perseguita o attività svolta Paghe e contributi Gestione personale Legge 626 e sicurezza del personale 183 Categorie di interessati Personale dipendente Personale dipendente Personale dipendente S X X X G X X Struttura di riferimento Risorse Umane Risorse Umane Risorse Umane Altre strutture (anche esterne) che concorrono al trattamento Società Software 1 Società Software 1 Società Sicurezza1 Descrizione degli strumenti utilizzati Amministratori sistema PC collegati in Lan, Internet • Società Software 1 (esterno) • Pino White Responsabile Sistemi e Reti (interno) PC collegati in Lan, Internet • Società Software 1 (esterno) • Pino White Responsabile Sistemi e Reti (interno) Internet, PC stand Alone • Società Sicurezza1 (esterno) • Pino White Responsabile Sistemi e Reti (interno) http://www.garanteprivacy.it/garante/doc.jsp?ID=1580831 168 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 3 – Unità didattica 3.2 Fatturazione attiva Acquisti e gestione fornitori Clienti Fornitori Contabilità PC collegati in Lan, Internet Pino White Responsabile Sistemi e Reti Contabilità PC collegati in Lan, Internet Pino White Responsabile Sistemi e Reti PC collegati in Lan, Internet • Società Software 2 (esterno) • Pino White Responsabile Sistemi e Reti (interno) PC collegati in Lan Pino White Responsabile Sistemi e Reti PC collegati in Lan • Società Studio legale 1 (esterno) • Società Studio legale 2 (esterno) • Pino White Responsabile Sistemi e Reti (interno) Società PC collegati in Sorveglianza1 Lan • Società sorveglianza 1 (esterno) • Pino White Responsabile Sistemi e Reti (interno) Ciclo di produzione Clienti, fornitori Produzione Gestione Qualità Personale dipendente Qualità e Controlli Adempimenti societari Personale dipendente Guardania, visitatori Personale dipendente, Visitatori, Clienti, Fornitori Qualità e Controlli Clienti, fornitori Ricerca e Sviluppo Prototipi X Qualità e Controlli Società Software 2 Studi legali 1 e2 PC Stand Alone 169 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Pino White Responsabile Sistemi e Reti Lezione 3 – Unità didattica 3.2 Nomina ad amministratore di sistema Egr. Sig. Pino White Oggetto: Nomina ad “amministratore del sistema” Ai sensi del “provvedimento” del Garante per la protezione dei dati personali del 27 novembre 2008 recepito nella Gazzetta Ufficiale. n. 300 del 24 dicembre 2008 dato il rapporto di lavoro con Lei in essere, considerando che si è valutato che la sua esperienza, capacità e affidabilità forniscono idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento ivi compreso il profilo relativo alla sicurezza con la presente La nominiamo “Amministratore del sistema” per i trattamenti svolti internamente in azienda il cui dettaglio è allegato alla presente (e disponibile nella versione corrente del Documento programmatico sulla Sicurezza). In tale contesto i suoi compiti consistono in: assicurare la custodia delle credenziali per la gestione dei sistemi di autenticazione e di autorizzazione in uso in azienda; predisporre e rendere funzionanti le copie di sicurezza (operazioni di backup e recovery) dei dati e delle applicazioni; predisporre sistemi idonei alla registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici da parte Sua (nella sua qualità di “amministratore di sistema”); tali registrazioni (access log) devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo di verifica per cui sono richieste. Le ricordiamo, che il provvedimento del Garante già citato, obbliga l’azienda alla “verifica” almeno annuale delle attività svolte dall’amministratore di sistema in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza rispetto ai trattamenti dei dati personali previste dalle norme vigenti. La preghiamo di restituirci copia della presente, firmata per accettazione e per ricevuta della documentazione di cui sopra. Distinti saluti. Data, __________________ Firma della Società/Titolare del trattamento ---------------------------------------------------------Per ricevuta ed accettazione: (data e firma) ---------------------------------------170 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 3 – Unità didattica 3.2 Domande di verifica 3.2 Domanda La redazione del DPS cade sotto la responsabilità del titolare, cioè del legale rappresentante dell’azienda o ente. Prima risposta Vero. Il titolare può farsi coadiuvare nella redazione del Documento da un organo, ufficio o persona fisica a ciò legittimata, ad esempio il responsabile dei trattamenti. L’analisi dei rischi prevede tre fasi che nell’ordine sono: 1) elencare gli eventi potenzialmente pregiudizievoli 2) valutare il rischio per tali eventi 3) indicare le contromisure per mitigare, eliminare o gestire tale rischio. Falso. Le fasi sono corrette ma l’ordine giusto è: 1) elencare gli eventi potenzialmente pregiudizievoli 3) indicare le contromisure per mitigare, eliminare o gestire tale rischio. 2) valutare il rischio per tali eventi Il DPS deve contenere sia il consuntivo delle attività formative già svolte sia la pianificazione delle attività formative che si intende svolgere in futuro. Vero. IL DPS deve contenere consuntivo e pianificazione della formazione. Seconda risposta Vero. Solo il titolare può redigere il DPS e non può farsi coadiuvare nella redazione del Documento da un organo, ufficio o persona fisica a ciò legittimata, ad esempio il responsabile dei trattamenti. Vero. Fasi e ordine delle fasi sono corrette. Terza risposta Falso. La redazione del DPS è una responsabilità del Responsabile dei trattamenti. Solo in mancanza della nomina del Responsabile tocca al Titolare redigere il DPS. Vero. Tuttavia ciò non sarà più vero dal 30 giugno 2009 in seguito alle “semplificazioni” decise dal Garante. Falso. Nel DPS va riportata solo la “programmazione” dei piani formativi. Falso. Le fasi e l’ordine corretto sono: 1) valutare il rischio per gli eventi potenzialmente pregiudizievoli 2) indicare le contromisure per mitigare, eliminare o gestire tale rischio 3) elencare gli eventi che rimangono potenzialmente rischiosi anche dopo l’adozione delle contromisure 171 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 3 – Unità didattica 3.2 Pagina bianca 172 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 3 – Unità didattica 3.3 Lezione 3 – Unità didattica 3.3 – La protezione dei dati personali in pratica Modulo 3.3.1 – Regolamento sulla protezione dei dati personali Modulo 3.3.2 – Regolamento su posta elettronica e Internet Modulo 3.3.3 – Le verifiche interne Modulo 3.3.4 – Le verifiche sull’amministratore di sistema Domande di verifica 3.3 173 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 3 – Unità didattica 3.3 Modulo 3.3.1 – Regolamento per l’uso delle risorse informatiche aziendali Perché un regolamento per l’uso delle risorse informatiche? Come è stato già osservato nel “Modulo 3.1.2 – Il quadro normativo della sicurezza informatica” ogni azienda è soggetta, oltre ai requisiti di sicurezza indicati dal ““Codice in materia di protezione dei dati personali, anche al rispetto di ulteriori obblighi di sicurezza quali quelli richiesti dalla legge n.48/2008184 sulla “criminalità informatica”. Inoltre i “delitti informatici” commessi da dirigenti, impiegati e collaboratori dell’azienda sono, sotto certe condizioni, sono tra i reati presi in considerazione Decreto Legislativo 8 giugno 2001, n. 231 “Disciplina della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica, a norma dell'articolo 11 della legge 29 settembre 2000, n. 300185”: ciò significa che in caso di “reato informatico” l’azienda, nella figura del suo legale rappresentante, verrà chiamata a rispondere del reato stesso a meno che l’azienda non abbia provveduto preventivamente a realizzare un “sistema di controlli” volti a prevenire i reati stessi. È quindi opportuno che l’azienda, all’atto dell’assunzione del lavoratore, gli comunichi per iscritto le modalità con le quali deve far uso delle risorse informatiche aziendali ed i relativi doveri. Attenzione: questo regolamento non sostituisce la “lettera di incarico” prevista dalla normativa Privacy e di cui si è parlato nel “Modulo 2.1.5 – Le lettere di incarico”: quest’ultima infatti si riferisce alle modalità di trattamento dei dati personali mentre il regolamento sulle “risorse informatiche” prende in considerazione l’equipaggiamento informatico di proprietà dell’azienda ed assegnato al collaboratore (PC, telefono cellulare, eccetera) Esempio di Regolamento per l’uso delle risorse informatiche Le risorse informatiche affidate al dipendente (dirigente, collaboratore) quali: personal computer telefono cellulare palmare (inserire altre tipologie) sono strumenti di lavoro, di proprietà dell’azienda, assegnati esclusivamente per l’uso professionale. Il loro utilizzo deve sempre ispirarsi ai principi di diligenza e correttezza. Pertanto tali risorse informatiche: devono essere custodite in modo appropriato; possono essere utilizzate solo per fini professionali (in relazione, ovviamente, alle mansioni assegnate). 184 185 http://www.senato.it/service/PDF/PDFServer/BGT/00298813.pdf http://www.complianceaziendale.com/2008/02/struttura-del-d-lgs-8-giugno-2001-n.html 174 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 3 – Unità didattica 3.3 In caso di furto, danneggiamento o smarrimento di tali strumenti si deve immediatamente segnalare il fatto al’ Ufficio “Sistemi e Reti” ed al proprio responsabile diretto.. In particolare. Uso del personal computer: è vietato installare nuovi programmi o disinstallare programmi già forniti con il PC; non è consentito utilizzare strumenti software e/o hardware atti a intercettare, falsificare, alterare o sopprimere il contenuto di comunicazioni e/o documenti informatici; non è consentito modificare le configurazioni impostate sul proprio P.C. non è consentita l’installazione sul proprio P.C. di mezzi di comunicazione telematica propri come, ad esempio, i modem. Uso dei supporti magnetici: è vietato copiare, duplicare, scaricare file contenuti in supporti magnetici/ottici non aventi alcuna attinenza con la propria prestazione lavorativa; gli archivi e file di provenienza incerta o esterna, ancorché attinenti all’attività lavorativa, devono essere sottoposti al controllo antivirus. Uso della rete aziendale Le unità di rete sono aree di condivisione di informazione ad uso esclusivamente professionale e non possono, in alcun modo, essere utilizzate per scopi diversi. Dunque nessun archivio, file, immagine o documento che non sia legato all’attività lavorativa può essere memorizzato, nemmeno per brevi periodi, in queste unità. Nota bene. L’azienda si riserva la facoltà di verificare, nel rispetto della legge, sul rispetto di tale regolamento anche con l’utilizzo di procedure automatizzate. L’azienda si riserva altresì la facoltà di procedere alla rimozione di ogni file, archivio, documento, immagine o applicazione che riterrà essere pericolosi per la sicurezza del sistema, ovvero acquisiti o installati in violazione del presente regolamento. 175 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 3 – Unità didattica 3.3 Modulo 3.3.2 – Regolamento su posta elettronica e internet Perché un regolamento per email e Internet? È opportuno che l’azienda si doti di un “regolamento” specifico anche sull’uso della posta elettronica e di Internet questo sia per i motivi già indicati nel precedente modulo sia perché, come già ricordato nel “Modulo 2.2.6 – Linee guida del Garante per posta elettronica e internet” (Lezione 2, Unità Didattica 2) nel marzo 2007 il Garante per la protezione dei dati personali ha reso pubbliche le “Linee guida” del Garante per posta elettronica e internet186 che forniscono concrete indicazioni in ordine all'uso dei computer sul luogo di lavoro. L'Autorità prescrive innanzitutto ai datori di lavoro di informare con chiarezza e in modo dettagliato i lavoratori sulle modalità di utilizzo di Internet e della posta elettronica e sulla possibilità che vengano effettuati controlli. Il Codice stabilisce che l’attività di controllo deve rispettare il principio di “proporzionalità” (art. 3), deve avvenire nel rispetto dei diritti e delle libertà fondamentali, nonché della dignità dell'interessato (art. 2) e soprattutto, che di tale attività, debba essere fornita adeguata e preventiva informativa (art. 13). Esempio di Regolamento per l’uso della posta elettronica e Internet Posta elettronica La casella di posta elettronica assegnata è uno strumento di lavoro e deve essere utilizzata esclusivamente per uso professionale. La persona a cui viene assegnata la casella di posta elettronica è responsabili del corretto utilizzo della stessa. Ogni messaggio di posta elettronica trasmesso o ricevuto e che contenga contenuti importanti per l’azienda o impegni contrattuali o precontrattuali deve essere “inoltrato” (forward) o posto a conoscenza (CC) al proprio responsabile. Gli allegati ai messaggi di posta elettronica devono essere controllati dall’antivirus prima di essere aperti. In caso di ferie o attività di lavoro fuori sede dell’assegnatario della casella o comunque in previsione della possibilità che all’assegnatario non sia possibile accedere alla propria casella di posta elettronica, l’assegnatario deve attivare la modalità di inoltro automatico ad un altro indirizzo di posta elettronica; nel caso l’assegnatario non possa attivare l’inoltro questo verrà attivato a cura dell’azienda. In caso di cessazione del rapporto di lavoro, passati dieci giorni dalla comunicazione fra le parti della risoluzione, le credenziali di accesso alla casella di posta elettronica riconducibile univocamente all’assegnatario ([email protected]) saranno revocate. La casella rimarrà attiva per ulteriori 60 giorni e successivamente definitivamente cancellata. Internet 186 http://www.garanteprivacy.it/garante/doc.jsp?ID=1387522 176 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 3 – Unità didattica 3.3 Internet è uno strumento di lavoro e deve essere utilizzato esclusivamente per uso professionale. La persona a cui sono assegnate le risorse informatiche necessarie per l’uso di Internet è responsabili del corretto uso delle stesse. È esplicitamente vietato: la navigazione in siti a contenuto sessuale, con finalità di gioco d’azzardo, dedicato all’intrattenimento o di aste online; scaricare (download) o caricare (upload) software di qualsiasi tipo; riprodurre musica, film, notiziari; la registrazione, con le credenziali aziendali, a siti i cui contenuti non siano strettamente legati all'attività lavorativa; la partecipazione a forum, chat line, bacheche elettroniche; Nota bene. L’azienda si riserva la facoltà di verificare, nel rispetto della legge, sul rispetto di tale regolamento anche con l’utilizzo di procedure automatizzate. L’azienda si riserva altresì la facoltà di procedere alla rimozione di ogni file, archivio, documento, immagine o applicazione che riterrà essere pericolosi per la sicurezza del sistema, ovvero acquisiti o installati in violazione del presente regolamento. 177 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 3 – Unità didattica 3.3 Modulo 3.3.3 – Le verifiche interne Responsabilità in eligendo, in vigilando e due diligence L’articolo 29, comma 5, del “Codice in materia di protezione dei dati personali”187 recita che “il responsabile (interno o esterno ndr) effettua il trattamento attenendosi alle istruzioni impartite dal titolare il quale, anche tramite verifiche periodiche, vigila sulla puntuale osservanza delle disposizioni di cui al comma 2 e delle proprie istruzioni”. Il succitato comma 2 a sua volta dice “se designato, il responsabile è individuato tra soggetti che per esperienza, capacità ed affidabilità forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza”. In poche parole: il titolare del trattamento non può limitarsi a nominare i responsabili del trattamento dando loro istruzioni ma deve: assicurarsi che i responsabili abbiano le caratteristiche giuste per ricoprire tale ruolo (responsabilità in eligendo); deve vigilare che responsabili rispettino le istruzioni ricevute (responsabilità in vigilando). Quanto sopra riportato nei confronti dei responsabili del trattamento è stato ripetuto dal Garante per la protezione dei dati personali in occasione del provvedimento “Misure e accorgimenti (…) relativamente alle attribuzioni delle funzioni di amministratore di sistema”188 del 27 novembre 2008, in G.U. n. 300 del 24 dicembre 2008 e dove il Garante usa per la prima volta l’espressione “due diligence” per indicare “gli accorgimenti e misure, tecniche e organizzative, volti ad agevolare l'esercizio dei doveri di controllo da parte del titolare" in relazione alle mansioni svolte dagli amministratori di sistema. Su chi deve "vigilare" il titolare? Il titolare deve esercitare, in modo strutturato e periodico, direttamente la sua responsabilità “in vigilando” nei confronti di: responsabili interni da lui direttamente (o indirettamente) nominati; incaricati (o per meglio dire "classi di incaricati": marketing, risorse umane, sistemi informativi, consulenti esterni, ecc.) amministratori di sistema interni; responsabili esterni; società terze non nominate "responsabili esterni" ma che tuttavia gestiscono in un modo o nell’altro trattamenti del titolare (ad esempio: contitolari, titoli autonomi, outsourcer, ecc.). Il titolare deve esercitare inoltre, anche qui in modo strutturato e periodico, ma indirettamente la sua responsabilità “in vigilando” nei confronti di: 187 188 http://www.garanteprivacy.it/garante/doc.jsp?ID=1311248 http://www.garanteprivacy.it/garante/doc.jsp?ID=1577499 178 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 3 – Unità didattica 3.3 (sub)responsabili esterni, cioè responsabili esterni rispetto ai propri responsabili esterni (ad esempio: se il titolare ha nominato la società ABC responsabile esterno per il trattamento dei dati relativo alle buste paghe e la società ABC ha nominato a sua volta la software house "Pinco Pallino" responsabile esterno in qualità di outsourcer dei propri sistemi informativi allora "Pinco Pallino" è un (sub)responsabile esterno rispetto al titolare); amministratori di sistema nominati dai responsabili esterni, dai (sub)responsabili esterni, da società terze non nominate "responsabili esterni". A chi deve “rispondere” il titolare? Il titolare può essere chiamato a rispondere (e quindi a dover documentare e dimostrare il suo operato) della sua responsabilità in eligendo, in vigilando e in generale delle due diligence effettuate a diverse categorie di “stakeholder” (termine molto in voga per indicare i "portatori d interessi" ciò coloro che hanno titolo per richiedere che i loro interessi e/o diritti siano garantiti). Autorità: o Garante Privacy o Magistratura, Forze di polizia o Organismi di vigilanza (ad esempio Banca d’Italia nel caso di intermediari finanziari) Organismi di controllo interno: o Consiglio di Amministrazione o Collegio Sindacale o Comitati vari di controllo, sicurezza, audit o Compliance Officer (della società e del gruppo) o Internal Audit (della società e del gruppo) o Revisori dei Conti o Certificatori (Iso9001 ed affini) o Responsabile della Business Continuity (della società e del gruppo) “Interessati” che intendono esercitare il loro “diritto di accesso”: o Dipendenti, o clienti, o fornitori o e chiunque voglia esercitare tale diritto. Il “Privacy Compliance Plan” del titolare A fronte di tali e tanti adempimenti è opportuno che il titolare adotti un approccio proattivo e che definisca all’inizio di ogni anno e comunque entro il 31 marzo (data di aggiornamento del Documento Programmatico sulla Sicurezza) un vero e proprio “Privacy Compliance Plan”, cioè un elenco articolato delle verifiche che saranno svolte rispetto agli adempimenti sopra delineati nel corso dei successivi 12 mesi. Perché il piano sia plausibile occorre che contenga (almeno) i seguenti elementi: attività da svolgere tempi di completamento previsti risorse aziendali dedicate a ciascuna attività deliverable per ciascuna attività rapporto di fine attività. 179 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 3 – Unità didattica 3.3 Modulo 3.3.4 – Le verifiche sull’amministratore di sistema Come già ricordato, il Garante per la protezione dei dati personali ha imposto che sia predisposto un “elenco degli amministratori di sistema e loro caratteristiche”. Questo nuovo adempimento non si esaurisce nella mera predisposizione di una nuova lettera di incarico o nella modifica di quella già esistente ma richiede al titolare una serie di “misure e accorgimenti” e, non ultimi, di “adempimenti in ordine all'esercizio dei doveri di controllo da parte del titolare (due diligence)” sulle attività dell’amministratore. Il nuovo adempimento in sintesi Con il provvedimento a carattere generale del 27 novembre 2008 dal titolo “Misure e accorgimenti (…) relativamente alle attribuzioni delle funzioni di amministratore di sistema”189, pubblicato sulla G.U. n. 300 del 24 dicembre 2008, il Garante per la protezione dei dati personali impone ai titolari di trattamenti di dati personali (anche solo in parte gestiti mediante strumenti elettronici) di predisporre un “elenco degli amministratori di sistema e loro caratteristiche”. Gli estremi identificativi delle persone fisiche amministratori di sistema, con l'elenco delle funzioni ad essi attribuite, devono essere riportati nel Documento Programmatico sulla Sicurezza, oppure, nei casi in cui il titolare non sia tenuto a redigere il DPS, annotati comunque in un documento interno da mantenere aggiornato e disponibile in caso di accertamenti anche da parte del Garante. Nella pratica occorre: individuare coloro che ricadono nella categoria di “amministratore di sistema”; valutare l'esperienza, la capacità e l'affidabilità dei soggetti designati quali “amministratore di sistema” che devono fornire idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento ivi compreso il profilo relativo alla sicurezza; designare tali “amministratore di sistema” in modo individuale con l'elencazione analitica degli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato; verificare l'operato degli amministratori di sistema, con cadenza almeno annuale, in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza rispetto ai trattamenti dei dati personali previste dalle norme vigenti; registrare gli accessi ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema, mediante l’adozione di sistemi idonei alla registrazione degli accessi logici (autenticazione informatica). Sono esclusi dall'ambito applicativo del presente provvedimento i titolari di alcuni trattamenti effettuati in ambito pubblico e privato a fini amministrativo-contabili, i quali pongono minori rischi per gli interessati e sono stati pertanto oggetto di recenti misure di semplificazione (art. 29 d.l. 25 189 http://www.garanteprivacy.it/garante/doc.jsp?ID=1577499 180 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 3 – Unità didattica 3.3 giugno 2008, n. 112, conv., con mod., con l. 6 agosto 2008, n. 133; art. 34 del Codice; Provv. Garante 6 novembre 2008). Cosa si intende per amministratore di sistema? Il primo punto di riflessione riguarda l’individuazione di coloro che ricadono nella categoria di “amministratore di sistema”. Tale figura, anche se non esplicitamente indicata nel “Codice in materia di protezione dei dati personali”190 era prevista, viceversa, dal d.P.R. 318/1999 (abrogato dal Codice) che definisce l'amministratore di sistema il “soggetto al quale è conferito il compito di sovrintendere alle risorse del sistema operativo di un elaboratore o di un sistema di banca dati e di consentirne l'utilizzazione” (art. 1, comma 1, lett. c). Nel provvedimento del 27 novembre 2008 il Garante dice che con “amministratore di sistema” si individuano figure professionali finalizzate alla gestione e alla manutenzione di un impianto di elaborazione o di sue componenti e che sono considerate tali anche altre figure equiparabili dal punto di vista dei rischi relativi alla protezione dei dati, quali gli amministratori di basi di dati, gli amministratori di reti e di apparati di sicurezza e gli amministratori di sistemi software complessi e ciò anche quando l'amministratore non consulti “in chiaro” le informazioni relative ai trattamenti di dati personali. Come si valutano le capacità dell’amministratore di sistema? Il titolare, prima di procedere alla nomina, deve valutare l'esperienza, la capacità e l'affidabilità dei soggetti designati quali “amministratore di sistema” che devono fornire idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento ivi compreso il profilo relativo alla sicurezza. In che modo ciò può essere svolto (ed eventualmente dimostrato al Garante in caso di ispezione)? È ovvio che si parte dal presupposto che chi di fatto svolge già oggi la funzione di amministratore di sistema sia in grado si svolgere la propria funzione; è opportuno allora predisporre una sorta di curriculum vitae di ciascun amministratore che indichi chiaramente titoli di studio, certificazioni professionali, esperienze professionali, corsi di formazione già svolti. Il CV deve essere datato e firmato sia dall’amministratore che dal titolare. L’indicazione dei percorsi formativi svolti specie per gli ambiti non prettamente tecnologici ma relativi invece alle problematiche della privacy e della protezione dei dati personali assume un valore particolarmente importante per il “rispetto della garanzia delle vigenti disposizioni”. L’amministratore di sistema non può essere solo un bravo tecnico ma deve conoscere la normativa sulla privacy. Designazione dell’amministratore di sistema. Occorre predisporre una lettera di "incarico" specifica che contenga: attestazione che l’incaricato ha le caratteristiche richieste dalla legge; elencazione analitica degli ambiti di operatività richiesti e consentiti in base al profilo di autorizzazione assegnato; 190 http://www.garanteprivacy.it/garante/doc.jsp?ID=1311248 181 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 3 – Unità didattica 3.3 indicazione delle “verifiche” almeno annuali che il titolare svolgerà sulle attività svolte dall’amministratore di sistema; indicazione che la nomina ed il relativo nominativo sarà comunicato al personale ed eventualmente a terzi nei modi richiesti dalla legge. Cos’è una "due diligence"? Il Garante nel provvedimento del 27 novembre 2008 sull’amministratore di sistema usa per la prima volta l’espressione “due diligence” per indicare “gli accorgimenti e misure, tecniche e organizzative, volti ad agevolare l'esercizio dei doveri di controllo da parte del titolare” in relazione alle mansioni svolte dagli amministratori di sistema. Come è noto, nell’ambito dell’internal audit e dell’information security con “due diligence” si intende un’attività di analisi e verifica volta al raggiungimento di un parere di conformità (compliance) in relazione a particolari attività anche in relazione ai possibili rischi ed ai relativi impatti. Caratteristica della “due diligence” è inoltre, a fronte dei risultati ottenuti, la predisposizione di un piano di (eventuali) azioni correttive. In sintesi l’output della due diligence del titolare sull’amministratore di sistema deve consistere almeno nei seguenti elementi: 1. giudizio di conformità sugli adempimenti richiesti; 2. valutazione dei possibili rischi (e relativi impatti); 3. indicazioni dei possibili interventi (se necessari o opportuni). Giudizio di conformità sugli adempimenti richiesti Il giudizio di conformità viene realizzato dal titolare o da una terza parte indipendente rispetto ai sistemi informativi (ad esempio l’Internal Audit) mediante la verifica del rispetto degli adempimenti richiesti. A riguardo può essere utile utilizzare una "check list di controllo" come quella di seguito riportata. 182 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 3 – Unità didattica 3.3 Giudizio di conformità sugli adempimenti richiesti Obiettivi di controllo Presidio Verifica effettuata Grado di conformità Il regolamento aziendale XX prevede che l’inizio di qualsiasi nuovo trattamento di dati personali sia comunicato al responsabile aziendale della privacy che provvede ad aggiornare il censimento dei trattamenti È stata presa visione dell’ultimo censimento dei trattamenti disponibile presso il responsabile aziendale della privacy e verificato che fosse completo. 1) Conforme _____ 2) Non conforme ___ 3) Parzialmente conforme ______ 4) Non applicabile ___ Nei contratti di outsourcing sono inserite clausole specifiche a riguardo. Almeno una volta l’anno viene richiesto l’aggiornamento della lista degli amministratori di sistema È stata presa visione degli elenchi forniti dagli outsourcer. Censimento dei trattamenti Tutti i trattamenti di dati personali effettuati (anche in parte) mediante strumenti elettronici sono censiti e sono indicati i relativi "amministratori di sistema". Se i trattamenti sono affidati a terze parti queste hanno comunicato al Titolare l’elenco dei relativi "amministratori di sistema". Note (per 3 o 4): ______________ 1) Conforme _____ 2) Non conforme ___ 3) Parzialmente conforme ______ 4) Non applicabile ___ Note (per 3 o 4): ______________ Se il trattamento comprende, "anche indirettamente servizi o sistemi che trattano o che permettono il trattamento di informazioni di carattere personale di lavoratori" è stata resa nota e conoscibile l'identità degli amministratori di sistema nell'ambito delle proprie organizzazioni. L’informativa ai dipendenti prevede tale comunicazione. L’ufficio Formazione cura attraverso la intranet aziendale gli aggiornamenti al personale relativi a tale adempimento. È stata presa visione delle lettere di incarico. È stata consultata la intranet per verificare la presenza di tali comunicazioni. 1) Conforme _____ 2) Non conforme ___ 3) Parzialmente conforme ______ 4) Non applicabile ___ Note (per 3 o 4): ______________ 183 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 3 – Unità didattica 3.3 Lettera di incarico Per ogni "amministratore di sistema" è disponibile la lettera di incarico comprendente (al minimo): Esiste uno standard di lettera di incarico ad "amministratore di sistema" che prevede le caratteristiche richieste dalla legge. È stata acquisita copia dello standard. attestazione che l’incaricato ha le caratteristiche richieste dalla legge; elencazione analitica degli ambiti di operatività richiesti e consentiti in base al profilo di autorizzazione assegnato; 1) Conforme _____ 2) Non conforme ___ 3) Parzialmente conforme ______ 4) Non applicabile ___ Note (per 3 o 4): ______________ 1) Conforme _____ 2) Non conforme ___ 3) Parzialmente conforme ______ 4) Non applicabile ___ indicazione delle "verifiche" almeno annuali che il titolare svolgerà sulle attività svolte dall’amministratore di sistema; Note (per 3 o 4): ______________ 1) Conforme _____ 2) Non conforme ___ 3) Parzialmente conforme ______ 4) Non applicabile ___ indicazione che la nomina ed il relativo nominativo sarà comunicato al personale ed eventualmente a terzi nei modi richiesti dalla legge. Note (per 3 o 4): ______________ Elenco degli amministratori Gli estremi identificativi delle persone È stato predisposto un "elenco degli È stato acquisito il DPS e l’allegato 184 Creative Commons Attribuzione - Non commerciale 2.5 Italia License 1) Conforme _____ Lezione 3 – Unità didattica 3.3 fisiche nominate "amministratori di sistema", con l'elenco delle funzioni ad essi attribuite, sono stati riportati nel Documento Programmatico sulla Sicurezza, oppure, nei casi in cui il titolare non sia tenuto a redigerlo, annotati comunque in un documento interno da mantenere aggiornato e disponibile in caso di accertamenti anche da parte del Garante. amministratori" ed allegato al Documento relativo all’elenco degli amministratori Programmatico sulla Sicurezza. 2) Non conforme ___ 3) Parzialmente conforme ______ 4) Non applicabile ___ Note (per 3 o 4): ______________ Registrazione degli accessi È adottato un idoneo sistema per la registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema. In azienda è in uso il sistema ABC di gestione degli accessi logici; tale sistema prevede il log degli accessi. È stata presa visione del sistema ABC e del manuale che ne descrive le caratteristiche 1) Conforme _____ 2) Non conforme ___ 3) Parzialmente conforme ______ 4) Non applicabile ___ Note (per 3 o 4): ______________ Tali registrazioni (access log) hanno caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo di verifica per cui sono richieste. Il log degli accessi relativi agli amministratori di sistema è protetto con credenziali specifiche che sono custodite dal Direttore Generale in busta sigillata dentro una cassaforte. Il DG non è a conoscenza delle credenziali. In caso di necessità le credenziali sono date in uso al personale tecnico e poi modificate e nuovamente assegnate al Direttore Generale. Il sistema ABC di gestione dei log È stata presa visione delle credenziali riservate custodite dal Direttore Generale. È stata presa visione del sistema ABC e del manuale che ne descrive le caratteristiche. 185 Creative Commons Attribuzione - Non commerciale 2.5 Italia License 1) Conforme _____ 2) Non conforme ___ 3) Parzialmente conforme ______ 4) Non applicabile ___ Note (per 3 o 4): ______________ Lezione 3 – Unità didattica 3.3 mantiene copia inalterabile dei log. Le registrazioni comprendono i riferimenti temporali e la descrizione dell'evento che le ha generate e sono conservate per un congruo periodo, non inferiore a sei mesi. I log sono conservati per sei mesi. Sono stati visionati i log. 1) Conforme _____ 2) Non conforme ___ 3) Parzialmente conforme ______ 4) Non applicabile ___ Note (per 3 o 4): ______________ Verifiche del titolare L'operato degli amministratori di sistema è verificato, con cadenza almeno annuale, in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza rispetto ai trattamenti dei dati personali previste dalle norme vigenti. Annualmente, in occasione dell’aggiornamento del Documento Programmatico sulla Sicurezza, viene verificato il rispetto degli obblighi normativi relativi all’amministratore di sistema. È stata compilata la presente check list in occasione dell’aggiornamento del DPS: Per i trattamenti affidati a terze parti, queste hanno attestato per iscritto di aver effettuato, con cadenza almeno annuale, le verifiche sui relativi amministratori di sistema in modo da controllare la rispondenza alle misure organizzative, tecniche e di sicurezza rispetto ai trattamenti dei dati personali previste dalle norme vigenti. Annualmente, in occasione dell’aggiornamento del Documento Programmatico sulla Sicurezza, viene richiesta alle terze parti che hanno in outsourcing trattamenti di dati personali dell’azienda, l’attestazione sulle verifiche del rispetto degli obblighi normativi relativi all’amministratore di sistema. Sono state visionate le attestazioni da parte degli outsourcer. 1) Conforme _____ 2) Non conforme ___ 3) Parzialmente conforme ______ 4) Non applicabile ___ Note (per 3 o 4): ______________ 186 Creative Commons Attribuzione - Non commerciale 2.5 Italia License 1) Conforme _____ 2) Non conforme ___ 3) Parzialmente conforme ______ 4) Non applicabile ___ Note (per 3 o 4): ______________ Lezione 3 – Unità didattica 3.3 Valutazione dei possibili rischi (e relativi impatti) Il giudizio di conformità può portare all’individuazione di possibili rischi in particolare nel caso siano evidenziati “obiettivi di controllo” non completamente compliant. Vediamo un esempio. Obiettivi di controllo Grado di conformità Censimento dei trattamenti Lettera di incarico Elenco degli amministratori Conforme Conforme Parzialmente conforme Registrazione degli accessi Parzialmente conforme Verifiche del titolare Parzialmente conforme Note sul grado di conformità Rischi Impatti Mancano le liste relative a due Rischio di accesso non società terze nominate autorizzato responsabili del trattamento. Rischio di trattamento non consentito o non conforme alle finalità della raccolta Tecnicamente non si ha Rischio di distruzione o evidenza del fatto che i log perdita, anche accidentale, dei non siano effettivamente dati modificabili. Rischio di accesso non autorizzato Rischio di trattamento non consentito o non conforme alle finalità della raccolta sanzione da 20.000 a 120.000 euro Non esistono piani di formazione volti ad un costante aggiornamento degli amministratori di sistema in relazione agli adempimenti di legge. sanzione da 20.000 a 120.000 euro Mancata adozione di misure minime di sicurezza 187 Creative Commons Attribuzione - Non commerciale 2.5 Italia License sanzione da 20.000 a 120.000 euro Lezione 3 – Unità didattica 3.3 Indicazioni dei possibili interventi (se necessari o opportuni) Di seguito un esempio di piano di azione in relazione ai rischi e agli impatti evidenziati. Obiettivi di controllo Elenco degli amministratori Registrazione degli accessi Verifiche del titolare Note sul grado di conformità Mancano le liste relative a due società terze nominate responsabili del trattamento. Tecnicamente non si ha evidenza del fatto che i log non siano effettivamente modificabili Non esistono piani di formazione volti ad un costante aggiornamento degli amministratori di sistema in relazione agli adempimenti di legge Azione Ottenere le liste mancanti. Disdire il contratto in mancanza delle liste entro 30 giorni. Individuare una soluzione che garantisca l’immodificabilità dei log. Aggiornare il piano di formazione degli amministratori di sistema. 188 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Data di completamento In carico a 1 giugno 2009 Ufficio Legale 30 luglio 2009 Sistemi informativi 15 aprile 2009 Ufficio Formazione Lezione 3 – Unità didattica 3.3 Domande di verifica 3.3 Domanda Nel caso sia stata già consegnata la “lettera di incarico” non è necessario redigere il regolamento sulle risorse informatiche aziendali. Prima risposta Falso. Lettera di incarico e Regolamento aziendale rispondono a due adempimenti diversi. Seconda risposta Falso. Il regolamento sulle risorse informatiche aziendali è obbligatorio ai sensi della legge n.48 sui crimini informatici. Terza risposta Vero. La lettera di incarico comprende già le istruzioni su come usare le risorse informatiche aziendali. È sempre vietato usare la casella di posta elettronica aziendale per attività personali. Vero. Ciò è esplicitamente richiesto dal d.lgs. 231-01 sulla responsabilità amministrativa degli enti. Falso. Dipende dalla politica adottata dall’azienda e comunicata ai dipendenti all’atto dell’assunzione È opportuno che l’operato dell’amministratore di sistema sia sottoposto a verifiche periodiche da parte del titolare. Vero. Ciò è esplicitamente richiesto dal provvedimento del Garante del novembre 2008. Falso. Ciò è esplicitamente vietato dal provvedimento del Garante del novembre 2008. Vero. Anche se non esplicitamente indicato la giurisprudenza ritiene che in ogni caso l’uso “personale” si beni aziendali sia censurabile. Falso. Per quanto non esplicitamente vietato dal provvedimento del Garante del novembre 2008, la verifica sull’operatore dell’amministratore di sistema è considerato in contrato con lo Statuto dei lavoratori.. . 189 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 3 – Risposte alle domande di verifica Risposte alle domande di verifica della lezione 3 Domande di verifica 3.1 e risposte corrette Domanda Le misure minime di sicurezza sono obbligatorie; tutte le altre sono facoltative Nel DPS è obbligatorio inserire l’analisi dei rischi sui dati personali. Una azienda certificata ISO 27002 (qualità) non ha bisogno di redigere il DPS. Seconda risposta Falso. Le “misure minime” sono solo una parte degli accorgimenti obbligatori in materia di sicurezza in quanto vi è anche l’obbligo di adottare ogni altra misura di sicurezza idonea alla protezione dei dati (art. 31). Terza risposta Vero. Si tratta di uno degli elementi obbligatori del DPs. Falso. La certificazione ISO 27002 è volontaria e non ha nulla a che fare con gli obblighi di legge. Domande di verifica 3.2 e risposte corrette Domanda La redazione del DPS cade sotto la responsabilità del titolare, cioè del legale rappresentante dell’azienda o ente. Prima risposta Vero. Il titolare può farsi coadiuvare nella redazione del Documento da un organo, ufficio o persona fisica a ciò legittimata, ad esempio il Seconda risposta Terza risposta 190 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Lezione 3 – Risposte alle domande di verifica responsabile dei trattamenti. L’analisi dei rischi prevede tre fasi che nell’ordine sono: 1) elencare gli eventi potenzialmente pregiudizievoli 2) valutare il rischio per tali eventi 3) indicare le contromisure per mitigare, eliminare o gestire tale rischio. Il DPS deve contenere sia il consuntivo delle attività formative già svolte sia la pianificazione delle attività formative che si intende svolgere in futuro. Vero. Fasi e ordine delle fasi sono corrette. Vero. IL DPS deve contenere consuntivo e pianificazione della formazione. Domande di verifica 3.3 e risposte corrette Domanda Nel caso sia stata già consegnata la “lettera di incarico” non è necessario redigere il regolamento sulle risorse informatiche aziendali. È sempre vietato usare la casella di posta elettronica aziendale per attività personali. Prima risposta Falso. Lettera di incarico e Regolamento aziendale rispondono a due adempimenti diversi. È opportuno che l’operato dell’amministratore di sistema sia sottoposto a verifiche periodiche da parte del titolare. Vero. Ciò è esplicitamente richiesto dal provvedimento del Garante del novembre 2008. Seconda risposta Terza risposta Falso. Dipende dalla politica adottata dall’azienda e comunicata ai dipendenti all’atto dell’assunzione 191 Creative Commons Attribuzione - Non commerciale 2.5 Italia License Fine del documento Fine del documento Le successive lezioni saranno pubblicate attraverso i siti ComplianceNet191, CMa Consulting192 ed Arcobaleni196193 nelle prossime settimane. Roma, 5 ottobre 2009 191 http://www.compliancenet.it/ http://www.cmaconsulting.it/ 193 http://www.arcobaleni196.it 192 192 Creative Commons Attribuzione - Non commerciale 2.5 Italia License