Login utenti registrati | Login Aziende Associate 
  
Vai al sito Federcomin Vai al sito Confindustria
                                                                           A R E E     I N T E R A T T I V E
Ritorna alla Homepage
Dove siamo
 Associazione
» Profilo
» Struttura
» Gruppi di lavoro
» Aziende Associate
» Accordi/Convenzioni
» Parlano di noi
 Aree per i Soci
» Area Riservata
» Tavolo eGovernment
» RapportoAssinform.it
 Eventi/iniziative/stampa

» Gli eventi
» I comunicati stampa
» Gli interventi

 Pubblicazioni

» I rapporti

 Per contattarci

» La sede
» Come contattarci 
» Per aderire
 AREE INTERATTIVE » I CONTRIBUTI DEGLI UTENTI 

Articoli, interviste e riflessioni relativamente a "La Net economy che c'è"

La parola agli utenti della comunità Assinform
Commenta l'articolo

NUOVO CODICE
a cura di Marco Pacchiardo
Business Consultant , Secure Group

Premessa
In realtà si chiama: "Codice in materia di protezione dei dati personali" ed è la legge 196 del 2003, ma quasi tutti coloro che ne parlano lo chiamano il nuovo codice.
Nuovo rispetto a cosa?
Nuovo rispetto al fatto che questa legge aggiorna e sostituisce la famosa legge 675/69, meglio conosciuta come legge sulla privacy, ed il relativo Decreto del Presidente della Repubblica numero 318/99, che si occupava di normare il trattamento di dati personali e sensibili eseguito con l'ausilio di strumenti elettronici.

Perché questo cambiamento? Esistevano già leggi per l'argomento dati personali.

In realtà l'esperienza partita nel 1996 ha insegnato: come tutti i "vissuti" da essi si impara sempre qualcosa di nuovo che possa essere di miglioramento, e quando i punti migliorabili diventano importanti, si cambia.

La legge in vigore oggi propone quindi delle novità interessanti, dei miglioramenti e delle modifiche che meglio organizzano il lavoro precedente.

In primo luogo, anche ad una prima semplice occhiata, la legge è consultabile con più facilità anche dai profani: i termini sono chiari, le definizioni precise ed il linguaggio aggiornato e, dove necessario "l'informatichese" ha sostituito locuzioni legali che tentavano di dare contenuto a oggetti informatici o termini che non hanno mai fatto parte del lessico togato.

Già nelle prime pagine si trovano ben spiegati vocaboli poi utilizzati in tutta la legge.
Così si capisce bene cosa sia una "comunicazione elettronica", una "rete di comunicazione elettronica" oppure una "chiamata" (la connessione via modem).

Si può andare ben oltre questi esempi, arrivando a comprendere chi sia un "utente", cosa siano i "dati relativi al traffico" o, addirittura un "servizio a valore aggiunto". Quest'ultimo si è sempre creduto che fosse una favola raccontata dal marketing per appetire i clienti, e invece si scopre che la legge ne fornisce una descrizione accurata, attibuendogli valore e scopo precisi.

Certo è che leggendo le pagine successive si scopre subito che non è soltanto un maquillage, o un restiling quello fornito dal legislatore, bensì uno strumento pregno di concetti utilizzabili, applicabili e soprattutto di buon senso.

Cosa chiede?
Il primo principio esposto che dovrebbe ricevere il plauso dei più, è all'art.3: "Principio di necessità nel trattamento dei dati" recita il titolo e spiega come i dati personali e identificativi debbano essere trattati in modo elettronico soltanto se estremamente necessario, o meglio, soltanto se non è possibile fare altrimenti.
In poche parole se c'è modo di "trattare" un sotto insieme di questi dati che ne contenga soltanto la parte anonima, bisogna necessariamente agire in questo senso.

"I sistemi informativi e i programmi informatici sono configurati riducendo al minimo l'utilizzazione di dati personali e di dati identificativi, in modo da escluderne il trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante, rispettivamente, dati anonimi od opportune modalità che permettano di identificare l'interessato solo in caso di necessità."

Ad una prima lettura i database adiministrator rischiano seriamente una crisi nervosa, immaginando di dover rivoluzionare tutte le tabelle, tutti i processi e di dover ribaltare completamente le schedulazioni.
Riflettendo un momento, si scopre subito dove la legge voglia portare: se i dati personali e sensibili si trovano in un'istanza del database isolata, mentre tutti i dati associati ad essi ma anonimi si trovano in una seconda istanza, allora il trattamento è non soltanto possibile, ma molto agevole, dato che si libera di tutti i vincoli imposti dalla legge in questione.

Un secondo importante punto subito risolto dalla legge è quello che riguarda un annoso problema: ciò che viene fatto all'estero come può venire gestito? Quale legislazione si segue? Quello italiano o quello del paese in cui ci si trova? Bene! Anche per questa eccezione viene normata: se il trattamento viene effettuato in Italia, anche se la provenienza dei dati trattati è estera, bisogna seguire la legge italiana, nominando un rappresentante nel territorio dello Stato.

A tal proposito è utile ricordare che la distinzione tra titolare, responsabile e incaricato rimane identica a quella che già esisteva nella 675; in pratica il titolare è colui che possiede i dati; il responsabile è colui che effettua il trattamento, investito dell'incarico direttamente e formalmente dal titolare. Titolare e responsabile, possono, a loro volta, nominare gli incaricati del trattamento, i quali devono agire sotto diretto controllo di chi li ha nominati.

Misure minime di sicurezza
Per quanto riguarda le misure minime previste dal D.P.R. 318/99, da applicarsi nel caso di trattamento con strumenti elettronici, esse sono considerate dal nuovo codice all'art.34.
Descritte in forma riassuntiva in questo articolo, sono poi ampliamente trattate all'interno dell'allegato B: "Disciplinare tecnico in materia di misure minime di sicurezza".

All'interno dell'allegato si opera una prima distinzione che indica le misure tecniche da adottare nel caso di trattamento di dati personali e quelle necessarie quando i dati sono sensibili o giudiziari.

Ovviamente nel secondo caso le misure individuate sono in più rispetto a quelle necessarie per i dati personali, che vengono date per scontate e già implementate.
In pratica cosa bisogna fare?

Per trattare i dati personali è innanzi tutto necessario dotarsi di un "sistema di autenticazione informatica".
Tale sistema prevede che tutti coloro che trattano dati personali in formato elettronico abbiano delle credenziali (username e password) che siano necessarie prima dell'accesso al trattamento.

Il concetto di password, chiamato dal legislatore "parola chiave", è allargato rispetto alla precedente legge e comprende tanto le password tradizionali, quanto quelle basate su sistema biometrico o sistemi di autenticazione forte con password dinamiche.

User e password devono essere assegnate, mantenute identificando un preciso responsabile della conservazione delle password, e modificate almeno una volta ogni sei mesi o ogni tre mesi, a seconda che forniscano accesso a trattamenti di dati personali o sensibili.

Per quanto riguarda le password è stata inserita la clausola che impone che siano composte di almeno otto caratteri o, se i sistemi non consentono tale lunghezza, devono essere composte dal numero massimo di caratteri permesso dal sistema in questione.

Accanto al sistema di autenticazione, viene inserito il sistema di autorizzazione. Come è noto la password serve per autenticare (certificare la propria identità al sistema), mentre la username serve per avere le autorizzazioni necessarie di lettura e scrittura.

Ecco quindi che nell'allegato B viene indicato che deve esistere un sistema di autorizzazione, che deve essere configurato prima dell'accesso al trattamento, e che deve essere rivisto almeno una volta ogni sei mesi per garantire quel principio che gli americani chiamano "least privilege": avere i privilegi minimi necessari per svolgere i propri compiti.
In soldoni se un dato non è necessario ad una persona, il profilo di autorizzazione deve negare l'accesso a quel dato.

Servono poi un sistema antivirus, un sistema di bakcup almeno settimanale e l'aggiornamento dei sistemi con patch e fix di sceurity almeno semestrale.

Il Documento programmatico
Come era nel precedente D.P.R., anche con la nuova legge il trattamento dei dati sensibili o giudiziari prevede la redazione di un Documento Programmatico sulla sicurezza.

Tale documento deve partire dall'analisi dei rischi per indicare quali siano le contromisure idonee da adottare.

A partire dalla descrizione dei trattamenti, dalla distribuzione dei compiti di incaricati e responsabili, e dall'analisi dei rischi, bisogna indicare i meccanismi per garantire disponibilità e integrità dei dati, nonché le modalità di ripristino in caso di corruzione o danneggiamento dei dati stessi.

Con questa nuova formula diventa obbligatorio avere una precisa catalogazione dei processi e dei flussi dei dati sensibili, cosa che avvicina molto la legge alla norma ISO17799 nella sezione "asset classification".

Altri elementi che è necessario includere nel documento programmatico sono la formazione del personale che tratta dati sensibili e la cifratura dei dati che riguardano lo stato di salute e la vita sessuale.

Il documento ha poi due precisi punti di riferimento che devono essere rispettati: la sua redazione deve avvenire entro il 31 marzo di ogni anno ed il titolare ha l'obbligo di riferire dello stato delle misure minime e del piano programmatico sulla sicurezza in occasione della relazione accompagnatoria di bilancio.

In poche parole c'è tempo fino al 31 marzo per indicare quali siano le contromisure che si intende adottare e c'è poi tempo fino al 30 giugno per implementare le contromisure dichiarate nel documento.

Esistono altre clausole da rispettare nella redazione del documento programmatico quando esso riguarda i dati sensibili e giudiziari.

Oltre all'antivirus, deve esistere un meccanismo di controllo dei supporti rimuovibili che contengono dati di questa classe, intendendo così definire meccanismi di custodia e di eliminazione dei dati stessi prima che i supporti possano essere reimpiegati.
Bisogna anche dare garanzia che i dati rovinati o persi siano ripristinati nel minor tempo possibile e comunque entro una settimana dal danno.

Ulteriore felice iniziativa inserita in questa legge e non presente nella precedente, è quella che riguarda i rapporti con gli outsourcer.
Chi dovesse affidare la realizzazione delle contromisure tecniche ad una terza parte deve da essa ricevere un documento che attesti che la realizzazione è stata eseguita in conformità a quanto previsto dalla legge.

Mentre per quanto riguarda l'adozione di terze parti che agiscono sul trattamento, bisogna identificare i metodi previsti per garantire che le misure minime di sicurezza previste dall'allegato B siano rispettate anche dalla outsourcer in questione.

Considerazioni pratiche
Bisogna inoltre sottolineare come la mancata applicazione delle misure minime necessarie nel trattamento dei dati personali o sensibili si porti appresso delle conseguenze tanto civili quanto penali.
Mentre le seconde hanno un effetto immaginabile, per quanto riguarda le sanzioni amministrative è da notare una singolarità.
La mancata applicazione del vecchio DPR 318/99 aveva conseguenze amministrative in quanto ci si rivaleva sull'art. 2050 del Codice Civile che tratta in materia di risarcimento in caso di negligenza nella conduzione del proprio lavoro.
Così si poteva assumere che se dei dati sensibili venivano rovinati o sottratti, la causa era imputabile al responsabile o titolare del trattamento, al quale veniva imputato proprio quest'articolo. Chiaramente non sempre era possibile portare a termine tale tipo di azione, in quanto l'applicabilità dell'art. 2050 era discrezionale a seconda delle condizioni.
Oggi, con il nuovo codice, non è più possibile scampare a questa conseguenza, perché è citata espressamente all'art.15 comma 1, il quale recita: "Chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell'articolo 2050 del Codice Civile."

In pratica come ci si può e deve destreggiare per assolvere ai desiderata e realizzare le misure minime necessarie?

In primo luogo bisogna distinguere tra dati personali e dati sensibili, in quanto come già detto, subiscono due differenti gradi di protezione, in secondo luogo diventa praticamente obbligatorio sapere quale sia l'esatto flusso di dati e quali apparati questo flusso attraversi.

Asset classification è la locuzione utilizzata dagli anglosassoni per identificare questo tipo di analisi: classificare tutti i processi aziendali coinvolti nel trattamento di dati personali e sensibili e, conseguentemente classificare tutti gli hardware ed i software altrettanto coinvolti.

Soltanto in questo modo è possibile eseguire, come richiesto, un'analisi dei rischi degli asset imputati, per stabilire quali debbano essere le contromisure idonee e necessarie.

Fatto ciò diventa semplice redigere un documento (entro il 31 Marzo di ogni anno) che indichi quali saranno le contromisure da implementare e che dovranno essere in produzione necessariamente entro il 30 Giugno.

I problemi possono nascere proprio in questo momento: la realizzazione delle contromisure garantisce la "copertura annuale" come il vaccino anntinfluenzale, ma non offre una soluzione duratura nel tempo.

Ad ogni singola modifica di incaricati, dati, software o processi diventa necessario ripartire dall'inizio e ricominciare il processo di adeguamento.
Se ciò può non essere un problema per le PMI, esso diventa di grande rilievo in aziende che hanno dimensioni da medio a grandi.

In questo caso il modo migliore per agire è quello di sfruttare i suggerimenti della normativa ISO17799 e generare, contestualmente alla documentazione del Nuovo Codice, una serie di procedure che permettano la gestione costante del Piano Programmatico, prevedendo ogni singola modifica ed il modo nel quale essa debba essere trattata in corso d'opera.

Agendo così se da un lato è vero che il lavoro iniziale diventa più oneroso, è altrettanto vero che al termine ci si trova ad avere un sistema di procedure e di istruzioni operative che permette il costante adeguamento con uno sforzo minimo.

La classificazione degli asset aziendali e la produzione di procedure per la regolamentazione dei cambiamenti che possono avvenire a livello informatico e organizzativo, diventano quindi il perno centrale della legge 196/03, rendendola una legge completa, organizzata e di facile manutenzione.

In realtà si può andare oltre: le misure minime di sicurezza individuate dal legislatore altro non sono che un sotto insieme di quelle previste all'interno della normativa internazionale, per cui adeguarsi alla ISO17799 significa avere sicuramente tutto il lavoro necessario per assolvere ai doveri legali.

La differenza tra i due testi è infatti principalmente una: mentre la legge chiede protezione rispetto ai dati sensibili per la privacy, la normativa chiede protezione per i dati sensibili per il proprio business aziendale.

Letta in quest'ottica diventa chiaro come proteggere i dati necessari per il proprio business e vantaggio competitivo porti automaticamente alla protezione dei dati coinvolti nella legge sulla privacy.

(Articolo pubblicato su Office automation, Febbraio 2004)

 
Invia il tuo commento
La tua e-mail



Il tuo commento:

Per essere aggiornati sugli interventi e ricevere il Digest mensile, iscriviti alla mailing forum Assinform. Clicca qui

Ritorna agli articoli della comunità Assinform

 

Copyright © 2005 ASSINFORM - Tutti i diritti riservati