Sicurezza e Privacy
La redazione del Documento programmatico sulla sicurezza (DPS)
Il Decreto legislativo 30 giugno 2003, n. 196 – Codice in materia di
protezione dei Dati Personali, nell'art. 34 stabilisce sotto
quali condizioni possa essere eseguito il trattamento elettronico dei
dati personali, e, in particolare, impone alla lettera g) la "tenuta di
un aggiornato documento programmatico sulla sicurezza", le cui
caratteristiche sono definite nel punto 19 dell' Allegato B
(Disciplinare tecnico in materia di misure minime di sicurezza).
Redigere il DPS non è particolarmente difficile: se effettivamente nella
vostra azienda i dati sono già tutelati con un minimo di accortezza e precisione,
basta descrivere ciò che fate abitualmente e perché avete deciso di
farlo così. Le cose si complicano se della sicurezza dei dati non vi
siete mai interessati, in questo caso vi conviene cominciare a
preoccuparvi perché la scadenza è il 31 dicembre 2005.
Ovviamente le difficoltà di redazione cambiano in base alle dimensioni dell'azienda: nelle
aziende piccolissime con una sola persona che accede ad un unico PC la
stesura è molto semplice, mentre in aziende molto grandi, con reti informatiche
che coinvolgono centinaia di utenti, il documento può diventare
eccezionalmente complesso ed articolato, ma solitamente in queste grandi
ditte le procedure di sicurezza informatica sono già molto precise ed
efficaci indipendentemente dalle prescrizioni di legge. Le
considerazioni che seguono sono adeguate per aziende le cui dimensioni vanno
dai due o tre utenti informatici a qualche dozzina.
Qui sotto riporto, commentato comma per comma, il testo del punto 19:
ricordatevi, comunque, che le reali difficoltà non stanno nella
redazione del DPS, ma in tutte le attività che lo precedono
e nella realizzazione di procedure di sicurezza "ragionevolmente"
sicure, quanto più possibili facili da mettere in atto e da tenere
aggiornate.
19. Entro il 31 marzo di
ogni anno, il titolare di un trattamento di dati sensibili o di dati
giudiziari redige anche attraverso il responsabile, se designato, un
documento programmatico sulla sicurezza contenente idonee informazioni
riguardo:
Il titolare del trattamento
o il responsabile incaricato (ricordatevi di farvi controfirmare la lettera
di incarico) deve redigere il documento, il quale deve obbligatoriamente
affrontare tutti i punti seguenti, eventualmente per
stabilire che il problema non sussiste nella vostra azienda.
Tutti gli anni entro il 31 marzo deve
essere preparata una nuova edizione del DPS che deve tener conto
di tutte le variazioni avvenute nell'anno sia hardware sia
software sia nel personale sia, soprattutto, nelle
caratteristiche di sensibilità dei dati trattati; poiché la legge parla di "misure
minime" è evidente che, in caso di variazioni significative
durante l'anno, è opportuno fare una revisione intermedia del
documento ed applicarne le prescrizioni, per evitare come minimo di essere
accusati di "culpa in vigilando" se dovesse capitare qualcosa.
19.1. l'elenco dei trattamenti di dati personali;
Si tratta di individuare sia le categorie
di persone
fisiche o giuridiche che danno origine ai dati (dipendenti,
fornitori, clienti, clienti di clienti, ecc.), sia se queste
informazioni sono semplici dati personali o dati sensibili
(opinioni politiche e religiose, vita sessuale, ecc.) o dati
giudiziari, sia con quali
procedure, informatiche o tradizionali su carta, questi dati sono gestiti.
19.2. la distribuzione dei compiti e delle
responsabilità nell'ambito delle strutture preposte al trattamento dei
dati;
Un esempio dovrebbe chiarire le cose: se al
punto precedente avete stabilito che vengono trattati i dati
relativi a paghe, contributi e quote sindacali (questi ultimi
sono il più banale e tipico caso di dati sensibili dei quali ci
si dimentica che vengono trattati), in questo punto dovete
stabilire quali sono gli uffici aziendali che li trattano ed i
dipendenti incaricati di farlo. È evidente che la norma
prevede di individuare anche la gerarchia delle responsabilità,
eventualmente facendola risalire al responsabile del
trattamento.
19.3. l'analisi dei rischi che incombono sui
dati;
Questa è la parte più difficile e delicata
del DPS!
Dovete esaminare da cima a fondo il
vostro sistema di gestione dei dati informatici e cartacei ed
individuare tutte le possibili situazioni di rischio
ragionevolmente ipotizzabili. Vanno quindi considerati:
 tutti i
computer con i relativi
sistemi operativi,
le
connessioni di rete, sia locali sia internet,
gli
applicativi gestionali in uso,
le
modalità di archiviazione di documenti in formato Word o Excel o
analogo che contengono dati da tutelare,
le
modalità di archiviazione dei documenti cartacei che
contengono dati da tutelare,
i locali
aziendali nei quali sono trattati i dati.
I rischi di cui tener conto sono tutti
quelli ragionevoli: se avete l'ufficio al piano seminterrato
dovrete sicuramente considerare gli allagamenti ed i furti
con scasso; se i vostri agenti usano computer portatili,
dovrete valutare la possibilità di uno smarrimento o di uno
scippo; in entrambi i casi occorre valutare il rischio che
l'utente appiccichi un post-it con la password sul computer.
19.4. le misure da adottare per garantire
l'integrità e la disponibilità dei dati, nonché la protezione delle aree
e dei locali, rilevanti ai fini della loro custodia e accessibilità;
Qui casca l'asino! Dopo aver fatto
l'analisi dei rischi occorre definire le misure per prevenirli.
Ovviamente queste misure devono essere
proporzionate alla qualità dei dati ed al rischio che corrono;
non è detto che dobbiate spendere molti soldi e fare grandi
cambiamenti ad hardware, software e locali, sicuramente dovrete
dedicargli risorse umane, tempo (molto) ed attenzione
(molta).
Ricordatevi che quanto meglio avrete
analizzato i rischi tanto più razionali ed economiche saranno le
misure di protezione.
19.5. la descrizione dei criteri e delle modalità
per il ripristino della disponibilità dei dati in seguito a distruzione
o danneggiamento di cui al successivo punto 23;
Il D.Lgs. 196/2003 vi impone di fare i
backup, di farli bene e di conservarli in modo ragionevolmente
sicuro: come esempio banale non deve capitare che i nastri
posati con negligenza sul server brucino insieme al computer in
caso di cortocircuito; metteteli come minimo in un armadio
chiuso a chiave, se poi i dati sono particolarmente delicati
passate ad un armadio blindato o ad una cassaforte con
resistenza al fuoco certificata.
Questo comma vi impone di descrivere le
procedure di backup e di ripristino dei dati e quelle relative
alla protezione e conservazione dei supporti.
19.6. la previsione di interventi formativi degli
incaricati del trattamento, per renderli edotti dei rischi che incombono
sui dati, delle misure disponibili per prevenire eventi dannosi, dei
profili della disciplina sulla protezione dei dati personali più
rilevanti in rapporto alle relative attività, delle responsabilità che
ne derivano e delle modalità per aggiornarsi sulle misure minime
adottate dal titolare. La formazione è programmata già al momento
dell'ingresso in servizio, nonché in occasione di cambiamenti di
mansioni, o di introduzione di nuovi significativi strumenti, rilevanti
rispetto al trattamento di dati personali;
È inutile avere definito le misure di
protezione se poi queste non vengono messe in pratica ed il
personale adeguatamente istruito, questo comma vi impone di
progettare e descrivere che formazione risulta necessaria.
La parte terminale del comma evidenzia che
se vengono fatte modifiche alle procedure o se il dipendente
cambia mansioni occorre fornirgli tutta la formazione resa
necessaria dalla nuova situazione.
Ricordatevi che la formazione del
personale e quindi il
reale successo della protezione dei dati sensibili, sono tanto più facili quanto più i
rischi e le procedure di sicurezza sono stati studiati e
definiti accuratamente.
19.7. la descrizione dei criteri da adottare per
garantire l'adozione delle misure minime di sicurezza in caso di
trattamenti di dati personali affidati, in conformità al codice,
all'esterno della struttura del titolare;
Significa sostanzialmente che dovete
evitare che gli eventuali dati che escono dall'azienda, per
essere trasmessi al commercialista o al medico competente,
divengano di pubblica conoscenza per trascuratezza nell'uso del
mezzo di trasmissione, sia questo un fattorino o una rete
internet. Chiedete inoltre una lettera di assunzione di
responsabilità al ricevente e fate, inserendola nel DPS. un
minimo di analisi sull'affidabilità dello stesso, potreste
essere altrimenti accusati di "culpa in eligendo".
Evitate soprattutto che nei portatili che
escono dall'azienda ci siano dati sensibili: pensate al danno
che potrebbe fare una vostra analisi di insolvibilità di un
cliente, la quale dovesse cadere in mani di terzi, soprattutto se
questa analisi fosse sbagliata per eccesso di diffidenza.
L'inciso "in conformità al codice"
significa che la trasmissione deve avvenire unicamente per uno qualsiasi
dei motivi considerati legittimi dallo stesso D.Lgs. 196/2003.
19.8. per i dati personali idonei a rivelare lo
stato di salute e la vita sessuale di cui al punto 24, l'individuazione
dei criteri da adottare per la cifratura o per la separazione di tali
dati dagli altri dati personali dell'interessato.
Questo comma vi riguarda se siete voi "il
medico competente", o se avete deciso di affidare ad un vostro
ufficio interno il trattamento dei dati sanitari dei vostri
dipendenti, cosa che si guardano bene dal fare anche grandi
gruppi.
Cifratura e separazione dei dati non sono
comunque un grosso problema tecnico al punto di vista informatico, ma
possono risultare piuttosto costosi: vi consiglio di lasciar
affrontare questo problema a chi non può proprio farne a meno.
|