Misure minime di sicurezza nel nuovo Codice Privacy

Dal primo gennaio 2004 entrerà in vigore il nuovo Codice in materia di protezione dei dati personali. Il Codice si basa sul principio di necessità, secondo cui i sistemi informativi ed i programmi informatici dovranno essere configurati riducendo al minimo l´utilizzazione di dati personali e di dati identificativi al fine di escludere il trattamento quando le finalità perseguite potranno essere realizzate mediante dati anonimi o tecniche di identificazione del soggetto solo in caso di necessità.

Di rilevante interesse per coloro che trattano i dati mediante strumenti elettronici, appare il titolo V del Codice che disciplina la sicurezza dei dati e dei sistemi. In particolare, in relazione alle misure di sicurezza, il Codice stabilisce che i dati personali oggetto di trattamento debbono essere custoditi e controllati anche in relazione alle conoscenze acquisiti in base al progresso tecniche nonché alla natura dei dati ed alle specifiche caratteristiche del trattamento al fine di ridurre al minimo, mediante l´adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita dei dati, di accesso non autorizzato o di trattamento non consentito o non conforme alla finalità della raccolta. Vige pertanto un obbligo di adozione di misure minime di sicurezza.

Ma cosa si intende con tale espressione? È il Codice stesso che ci risponde, definendo misure minime quel complesso di misure tecniche, informatiche, organizzative, logistiche e procedurali di sicurezza che configurano il livello minimo di protezione normativamente richiesto rispetto ai rischi sopraelencati. In pratica, il Codice identifica tali misure in un elenco preciso, secondo cui il trattamento dei dati personali effettuato con strumenti elettronici è subordinato all´adozione di specifiche misure. Innanzi tutto occorre predisporre l’utilizzazione di un sistema di autenticazione informatica, ovvero il trattamento dei dati personali deve essere consentito solo agli incaricati muniti di credenziali di autenticazione, cioè di un codice per l´identificazione dell´incaricato associato ad una parola chiave riservata e conosciuta esclusivamente dall´incaricato stesso, sul quale grava l´obbligo di adozione delle cautele necessarie al fine di assicurare la segretezza della componente riservata della credenziale, nonché l´obbligo di custodire diligentemente i dispositivi in suo possesso ed uso esclusivo.

Peraltro, il legislatore stabilisce un minimo di otto caratteri per quanto riguarda la parola chiave (salvo il caso in cui lo strumento elettronico non lo consenta dovendo pertanto adottare una parola chiave composta secondo il numero massimo di caratteri consentiti); altra misura di sicurezza è identificata nell´obbligo di modifica della parola chiave almeno ogni sei mesi, salvo tre nei casi in cui il trattamento con strumenti elettronici abbia ad oggetto dati sensibili o giudiziari. Altro obbligo imposto sta nel fatto che le credenziali di autenticazione non utilizzate da almeno sei mesi debbono essere disattivate, derogando solo nell´ipotesi di un utilizzo meramente finalizzato alla gestione tecnica, per cui non è richiesta tale scadenza di modifica. Il Codice disciplina peraltro l´utilizzazione di un sistema di autorizzazione, al quale si ricorre qualora per gli incaricati siano individuati profili di autorizzazione di ambito diverso. In tal caso i profili di autorizzazione per ciascun incaricato o per classi omogenee di incaricati, dovranno essere individuati e configurati anteriormente all´inizio del trattamento: questo al fine di limitare l´accesso ai soli dati effettivamente necessari alla realizzazione delle operazioni di trattamenti cui sono preposti gli incaricati; la verifica in relazione alle condizioni sussistenti la conservazione dei profili di autorizzazione deve avvenire almeno annualmente.

Centrale appare inoltre l´obbligo di redazione del documento programmatico (peraltro ereditato dal DPR 318/99) in quanto entro il 31 marzo di ogni anno, il titolare di un trattamento di dati personali effettuato con strumenti elettronici, e di dati sensibili o dati giudiziari sia in formato cartaceo che elettronico, deve redigere tale documento sulla sicurezza. Nel disciplinare tecnico allegato al Codice, sono stabiliti i passaggi essenziali mediante cui stendere il documento. Innanzi tutto occorre individuare l´elenco dei trattamenti di dati personali al quale deve affiancarsi l´elenco inerente la distribuzione dei compiti e delle responsabilità nell´ambito delle strutture preposte al trattamento dati. Segue pertanto, coerentemente allo scopo del documento programmatico, l´analisi che il titolare del trattamento deve fare in relazione ai rischi che incombono sui dati, indicando conseguentemente anche le misure che sono adottate al fine di garantire l´integrità e la disponibilità dei dati, nonché la protezione delle aree e dei locali in relazione alla loro custodia ed accessibilità. Vige l´obbligo di individuare anche le modalità che possono essere poste a favore del ripristino della disponibilità dei dati qualora si verifichino episodi di distruzione o danneggiamento (è il caso di ricordare che per il trattamento di dati sensibili o giudiziari occorre garantire il ripristino dell´accesso entro 7 giorni). Infine, gli incaricati del trattamento debbono essere resi edotti dei rischi che incombono sui dati mediante interventi formativi. Qualora si verifichi l´ipotesi di trattamenti di dati personali affidati all´esterno della struttura, sul titolare grava l´obbligo di descrivere nel documento, i criteri adottati per garantire la sussistenza delle misure minime di sicurezza per quei dati. Possiamo dunque concludere che il nuovo Codice apporterà reali garanzie per la tutela dei dati personali, pur lasciando qualche perplessità in relazione agli oneri che molti titolari di trattamenti dati dovranno sostenere al fine di adempiere alle prescrizioni normative.