Semplificazione privacy e misure di sicurezza: quali sono le novità ?

Dopo aver avviato nei mesi scorsi un iter di  semplificazione di certi aspetti della normativa a tutela della privacy, relativi soprattutto all'informativa ed alla raccolta del consenso, il Garante è nuovamente intervenuto, questa volta con riferimento alla portata delle misure minime di sicurezza.

Campo di applicazione

Il nuovo intervento di semplificazione, applicabile automaticamente senza bisogno di particolari comunicazioni o richieste, riguarda i soggetti pubblici e privati che:

  • utilizzano dati personali non sensibili o che trattano come unici dati sensibili riferiti ai propri dipendenti e collaboratori anche a progetto  quelli costituiti dallo stato di salute o malattia senza indicazione della relativa diagnosi, ovvero dall'adesione a organizzazioni sindacali o a carattere sindacale;
  • trattano dati personali unicamente per correnti finalità amministrative e contabili, in particolare presso liberi professionisti, artigiani e piccole e medie imprese (cfr. art. 2083 cod. civ. e d.m. 18 aprile 2005, recante adeguamento alla disciplina comunitaria dei criteri di individuazione di piccole e medie imprese, pubblicato nella Gazzetta Ufficiale 12 ottobre 2005, n. 238);

Trattamenti effettuati con strumenti elettronici

Dal contenuto del provvedimento risulta che i soggetti interessati:

  • possono impartire agli incaricati le istruzioni in materia di misure minime anche oralmente;
  • possono utilizzare per l'accesso ai sistemi informatici qualsiasi sistema di autenticazione basato su username e password, provvedendo però a disattivare lo username nei casi in cui venga meno il diritto di accesso ai dati (es. fine del rapporto di lavoro per qualsiasi causa);
  • possono assegnare agli incaricati, singolarmente o per categorie, profili di autorizzazione utilizzando meccanismi o funzioni insite negli applicativi software o nei sistemi operativi;
  • possono adottare procedure o modalità che consentano l'operatività e la sicurezza del sistema (ad es. l'invio automatico delle mail ad un altro recapito accessibile) in caso di assenze prolungate o di impedimenti del dipendente;
  • devono aggiornare i programmi diretti a prevenire le vulnerabilità dei sistemi (antivirus, personal firewall, ecc..) o a correggerne i difetti (patch, hotfix) almeno una volta l'anno, oppure con cadenza biennale nel caso in cui i sistemi stessi non siano connessi con reti di comunicazione elettronica accessibili al pubblico (Internet);
  • devono effettuare il backup dei dati almeno una volta al mese; 

Trattamenti senza l'impiego di strumenti elettronici

In relazione ai trattamenti cd. cartacei si prevede che:

  • i soggetti interessati possano impartire agli incaricati, anche oralmente, istruzioni per il controllo e la custodia degli atti e dei documenti contenenti dati personali durante l'intero ciclo delle operazioni di trattamento;
  • gli incaricati, ai quali siano stati affidati atti e documenti contenenti dati personali sensibili o giudiziari, devono controllarli e custodirli, per evitare che ad essi accedano persone prive di autorizzazione, e restituirli al termine delle operazioni;

Con lo stesso provvedimento state inoltre fornite indicazioni per la redazione semplificata del documento programmatico sulla sicurezza mentre una ulteriore semplificazione è stata introdotta in relazione al modello utilizzato per le notificazioni.

Pur condividendo l'esigenza avvertita dal garante di rendere più snella l'applicazione della normativa da parte delle organizzazioni di dimensioni più piccole, mi pare però che la finalità di "mantenere un adeguato livello per le misure minime di sicurezza" non sia stata soddisfatta in pieno a causa di una eccessiva semplificazione di alcune misure.

Mi riferisco, in particolare, alla frequenza di aggiornamento dei programmi per la sicurezza e la correzione della vulnerabilità dei sistemi e di esecuzione del backup che rischia di rendere tali misure alquanto inefficaci in considerazione di fattori quali:

  • il numero crescente delle vulnerabilità che vengono quotidianamente scoperte nel software applicativo e nei sistemi operativi
  • l'incremento del grado di sofisticazione degli attacchi nei confronti dei sistemi informatici anche per mezzo di codice nocivo (malware)
  • gli altri rischi legati all'obsolescenza dell'hardware, agli errori umani imputabili a disattenzione, scarsa formazione del personale, ecc...

E' quindi opportuno valutare sempre l'efficacia di tali misure semplificate alla luce dell'effettiva situazione di rischio che si riscontra in un determinato ambiente operativo.

Del resto non dimentichiamo che la semplificazione non appare idonea ad escludere la responsabilità per danni connessi al trattamento di dati personali, quando tali danni siano imputabili alla mancata adozione di misure preventive, diverse da quelle minime, che, in base al progresso tecnico, alla natura dei dati ed alle caratteristiche del trattamento, siano idonee a ridurre al minimo i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta (art. 31 d.lgs. 196/03).

Il consiglio perciò è di semplificare ma con attenzione.

Fonte: Semplificazione delle misure di sicurezza contenute nel dispciplinare tecnico di cui all'Allegato B) al Codice in materia di protezione dei dati personali

0 commenti: