DLGS 196/03 - NUOVO CODICE DELLA PRIVACY E MISURE MINIME DI SICUREZZA

Il nuovo DL 196/2003 approvato a fine giugno 2003 ed entrato in vigore dal 1 gennaio 2004 si pone ad estensione e sostituzione della precedente legge 675/96.

L'obiettivo della nuova normativa è quello di porsi a tutela della privacy e delle informazioni personali (sottolineiamo che si parla ora di dati personali e non più solo sensibili) e dei diretti interessati.

Le variazioni più importanti sono:

• l'introduzione del documento programmatico sulla sicurezza, che per le aziende di capitale dovrà essere allegato ad ogni relazione di bilancio.

• l'obbligo di adottare all'interno delle aziende e degli enti pubblici le misure minime di sicurezza sul trattamento dei dati

• quando e con quale modalità effettuare le notifiche al garante

• l'introduzione delle figure dei responsabile e degli incaricati al trattamento

Obiettivo della nuova legge è quello di introdurre delle norme comportamentali sul trattamento dei dati.

I dati vengono recepiti dalla legge come un bene degli interessati e non come un bene delle aziende che li trattano: da qui nasce l'esigenza di imporre alle aziende come trattare i dati e come salvaguardarli all'interno delle stesse.

La novità diventa quindi l'introduzione delle misure minime di sicurezza come misure da adottare all'interno per salvaguardare i dati sia che essi siano in formato elettronico o cartaceo.

Anzi, il legislatore ha imposto che per fare in modo che la nuova normativa venga recepita in pieno, si alleghi alla relazione di bilancio aziendale il "Documento Programmatico sulla Sicurezza". Questo manuale rende praticamente visibile cosa è stato fatto e cosa verrà fatto per tutelare i dati ed anche i diritti dei diretti interessati.

In realtà, il legislatore introducendo il concetto di misura minima di sicurezza ha imposto delle norme che serviranno a salvaguardare le aziende stesse ed il loro lavoro: quindi questo nuovo codice non deve essere visto come una imposizione in senso stretto, ma come qualcosa che può anche servire a difendere l'operato delle aziende da attacchi esterni, virus e ulteriori forme di pericolo per i dati.

Il presente documento, ai sensi della legge 196/03, contiene sommarie indicazioni relativamente a:

Ai fini dello svolgimento della propria attività, l’Azienda/Studio si trova a registrare dati personali di varia natura riguardanti clienti, fornitori, collaboratori e dipendenti. Più specificatamente tali dati consistono in:

• dati anagrafici

• codici fiscali e numeri di partita I.V.A.

• coordinate bancarie

Per effetto della propria attività l’Azienda si trova a registrare dati sensibili e giudiziari afferenti sia terzi che la propria clientela.

A fini di gestione del personale vengono inoltre raccolti i seguenti dati sensibili riguardanti i dipendenti e collaboratori:

• certificati medici

• iscrizione a sindacati

• condizioni familiari particolari

• dati per categorie protette (invalidi ecc.)

Le aree contenenti dati in supporto cartaceo sono ubicate in modo tale che ciascun addetto possa rilevare a vista il tentativo di accesso da parte di persone estranee e, di conseguenza, impedirne l'accesso stesso.

L'ubicazione di stampanti ed apparecchio telefax tradizionale non consente ad estranei di leggere od asportare eventuali documenti non ancora prelevati dal personale incaricato.

La documentazione cartacea quando non in uso viene sempre riposta in appositi armadi in modo che comunque non risulti accessibile neanche accidentalmente a terzi estranei.

Quando ci si trovi in presenza di dati sensibili, per documentazione riguardante il personale o la clientela, la documentazione viene sempre riposta in armadi chiusi e dotati di serratura, le cui chiavi sono poste in luogo sicuro a cura del responsabile del trattamento.

Gli uffici ed i locali archivio sono dotati di sistemi antintrusione al di fuori degli orari di presenza di personale consistenti essenzialmente in:

• sistema di allarme collegato alla centrale operativa

• sistema di videosorveglianza

• porte blindate di accesso ai locali

• sbarre/rinforzi alle finestre, alle tapparelle ecc.

Al fine di restringere allo stretto necessario l’accesso ai dati da parte di ogni incaricato, la rete aziendale è configurata secondo un sistema di utenti e relative password.

Ogni utente ha accesso, oltre alle cartelle che contengono gli applicativi ed i database aziendali, alla propria cartella personale, ad una cartella comune e ad una di scambio. L’utente non ha quindi accesso alle cartelle degli altri utenti.

D’altra parte, ogni utente è tenuto a non memorizzare sul proprio computer alcun dato sensibile e a trasferire nella propria cartella di rete eventuali dati già memorizzati.

Per evitare l’accesso al computer da parte di estranei, all’avvio dell'interfaccia grafica del sistema operativo è necessario fornire l’identificativo dell’utente e la password sopra citati per accedere alla rete aziendale.

Ad ulteriore protezione, per accedere ai singoli programmi di gestione dei dati è necessario fornire l’identificativo dell’incaricato ed una parola chiave riservata (cd. Password) personale. In particolare i computer sono dotati di salvaschermo che entra automaticamente in funzione (o di spegnimento dello schermo) dopo un periodo di inattività superiore ai 5 minuti. La riattivazione dello schermo richiede nuovamente l’introduzione della password.

E’ fatto esplicito divieto di allontanarsi dal posto di lavoro senza aver attivato le protezioni previste (salvaschermo) tramite la procedura di ctrl+alt+canc.

Le password hanno scadenza trimestrale dato che siamo in presenza di gestione di dati sensibili, sono di 8 caratteri alfanumerici, composte in modo tale da non essere riconducibili direttamente all’utilizzatore. La custodia della password e della sua segretezza è a cura del singolo utilizzatore. Il responsabile del trattamento è in grado di intervenire per necessità di operatività e sicurezza del sistema in caso di impedimento od assenza prolungata dell’incaricato.

In caso di intervento viene tempestivamente data notizia all’incaricato dell’intervento effettuato.

Le password sono a conoscenza solo del responsabile del trattamento (IN ALTERNATIVA A QUEST’ULTIMA AFFERMAZIONE: il responsabile del trattamento interviene tramite la propria autorizzazione personale di grado superiore rispetto a quella degli incaricati).

Il responsabile del trattamento è l’unica persona in grado di accedere senza limiti ad ogni cartella e ad ogni computer della rete aziendale, per le operazioni di manutenzione ordinaria e straordinaria. È inoltre autorizzato a modificare in qualsiasi momento, secondo le esigenze, la configurazione del sistema e ad escludere, ove necessario qualsiasi altro utente dall’accesso ai dati.

Computer e supporti informatici: i computer contenenti i database aziendali, ossia i server, risultano sollevati da terra, in modo da evitare eventuali perdite di dati dovuti ad allagamenti, ecc.; ognuno di essi è collegato a un gruppo di continuità che consente di escludere la perdita di dati derivanti da sbalzi di tensione o di interruzione di corrente elettrica.

La sicurezza dei dati è assicurata dalla presenza di un firewall, opportunamente configurato per impedire l’accesso alla rete aziendale attraverso il server web a persone non autorizzate. Il firewall è costantemente aggiornato come richiesto dalla normativa.

L'integrità dei dati è inoltre garantita mediante idonee procedure di salvataggio periodico con cadenza almeno settimanale (back up) che consistono nell'utilizzo alternato di appositi nastri DAT su cui, in modo automatico al termine dell'orario lavorativo, vengono archiviati tutti i dati aziendali. I server, l’apparecchiatura di back up e le relative cassette sono custoditi in un apposito locale (in un apposito armadio), chiuso a chiave, il cui accesso è riservato al responsabile del trattamento.

Al titolare del trattamento viene consegnata una seconda copia di salvataggio (solitamente quella del giorno prima e comunque non più vecchia di una settimana) che viene conservata a sua diretta cura e custodia (NELLA STAMPA SPECIALIZZATA E’ STATA EVIDENZIATA QUESTA MODALITA’ PERCHE’ IL TESTO PARLA DI ‘COPIE DI SICUREZZA’ AL PLURALE. PERALTRO ALCUNI SERVER SONO COMUNQUE DOTATI DI DISCHI ‘RIDONDANTI’ CHE POTREBBERO ASSOLVERE UGUALMENTE ALLA BISOGNA. SE I VOSTRI SERVER HANNO QUESTE CARATTERISTICHE E’ OPPORTUNO EVIDENZIARLO NELLA DESCRIZIONE).

Riportiamo di seguito nel dettaglio la procedura seguita.

E’ il (responsabile) manutentore del sistema la persona in grado di effettuare i ripristini qualora necessari. La procedura di ripristino dei dati procede secondo le seguenti modalità: … (modalita’ e tempistica dell’operazione di ripristino, ovviamente sempre e solo dei server contenenti dati rilevanti ai nostri fini).

Tutti gli elaboratori, compresi i server, sono dotati di programma antivirus che viene aggiornato quotidianamente, programma che consente di rilevare immediatamente all'apertura di un file la presenza di virus che potrebbero danneggiare l’integrità dei dati, e di bloccare l’azione di detti virus.

Per mantenere un livello di protezione elevato è fatto divieto espresso a tutti gli utilizzatori di scaricare qualsivoglia programma o file di dati da rete internet se non provvisti di autorizzazione da parte dell’amministratore di sistema.

Il divieto è particolarmente inderogabile nel caso si tratti di programmi e file protetti da copyright o licenza d’uso.

E’ inoltre proibita l’apertura di allegati di posta elettronica quando provenienti da mittenti sconosciuti al destinatario di posta. L’allegato potrebbe contenere programmi ‘eseguibili’ (e quindi non virus) che consentirebbero al mittente un uso improprio della rete aziendale. Tale posta va immediatamente cestinata.

SUPPORTI CARTACEI: relativamente ai supporti cartacei, i criteri di protezione dei dati sono i seguenti:

• qualsiasi documento che i clienti consegnino allo Studio va inserito in cartelline non trasparenti;

• qualsiasi documento che lo Studio consegni ai clienti va inserito in apposite buste o cartelline non trasparenti.

Lo stesso dicasi per i documenti giacenti sulle scrivanie, relativi a pratiche in corso, che dovranno essere contenuti in cartelline non trasparenti.

I foglietti adesivi sui quali vengono annotati appunti vanno inseriti all'interno delle cartelline non trasparenti contenenti le pratiche.

Per ciò che concerne le trasmissioni del telefax, si raccomanda di inserire nella copertina del messaggio la presente dicitura:

Qualora questo messaggio fosse da Voi ricevuto per errore vogliate cortesemente darcene notizia a mezzo telefax od e-mail e distruggere il messaggio ricevuto erroneamente. Quanto precede ai fini del rispetto della Legge 196/03 sulla tutela dei dati personali.

Le copie dei telefax inviati mediante apparecchio tradizionale vanno riconsegnate a colui che ha eseguito o fatto eseguire la trasmissione per l’opportuna archiviazione.

supporti cartacei contenenti dati sensibili: relativamente a tali supporti cartacei i criteri di protezione dei dati sono i seguenti:

• qualsiasi documento che clienti e dipendenti consegnino all’azienda va inserito in cartelline non trasparenti

• i documenti vengono custoditi in appositi armadi regolarmente chiusi a chiave

• sulle scrivanie non vengono mai lasciati incustoditi documenti non in uso da parte degli addetti

• qualsiasi documento che l’azienda consegni a clienti e dipendenti va inserito in apposite buste non trasparenti.

• Gli accessi negli uffici contenenti gli archivi sono proibiti ai non addetti e tali locali in assenza del personale incaricato vengono regolarmente chiusi a chiave.

• gli addetti al personale adottano tutti i criteri precauzionali sopra descritti per l’invio di tutto quanto necessario alla società che si occupa dell’elaborazione dei cedolini paga. I cedolini paga (e le elaborazioni di fine anno) una volta elaborati vengono consegnati in busta chiusa agli addetti dell’ufficio personale per la consegna ai singoli dipendenti con gli accorgimenti sopra descritti. (qualora lo scambio di informazioni avvenga tramite sistema informatico bisogna specificare le modalità adottate ai fini di preservare la riservatezza dei dati)

Il trattamento dei dati deve sempre avvenire conformemente alle finalità di raccolta dei dati stessi.

Nello svolgimento delle operazioni di trattamento ogni incaricato è tenuto a comportarsi in maniera tale da ridurre al minimo i rischi di distruzione, perdita accidentale, accesso non autorizzato o trattamento non conforme dei dati stessi.

A tale scopo deve adottare tutte le misure finalizzate alla tutela dei dati delle quali si renda necessaria l’adozione immediata e urgente, mentre deve segnalare tempestivamente al responsabile del trattamento l’opportunità di adozione di misure di non immediata applicazione.

Ogni incaricato inoltre è tenuto a vigilare sul rispetto delle misure di sicurezza, a rispettare le procedure per assicurare l’integrità dei dati sopra descritte e a segnalare al responsabile del trattamento eventuali reclami da parte di clienti o terzi.

Tutti gli incaricati si faranno carico di vigilare affinchè i nuovi eventuali incaricati vengano adeguatamente istruiti nell’esecuzione della loro attività.

Il responsabile designato deve adottare tutte le misure finalizzate alla tutela dei dati delle quali sia quelle più necessarie ed urgenti che vagliare l’opportunità di adozione di misure di non immediata applicazione.

Deve impartire agli incaricati del trattamento apposite istruzioni tenendo conto delle misure di sicurezza impartite dall’azienda e di quelle che venissero successivamente adottate in seguito alla revisione del presente documento, ed è tenuto all’aggiornamento del programma antivirus con cadenza almeno mensile e di quello di firewall con cadenza almeno semestrale.

Egli deve fornire idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento dei dati personali, ivi compreso il profilo relativo alla sicurezza occupandosi altresì di reclami da parte di clienti o terzi. Deve inoltre sovrintendere al trattamento dei dati personali attenendosi alle istruzioni del titolare del trattamento, il quale, anche mediante verifiche periodiche, vigila sulla puntuale osservanza delle disposizioni in materia di trattamento e sulle misure di sicurezza.

Deve infine impartire agli incaricati le istruzioni relative al corretto trattamento dei dati, vigilando sul rispetto delle procedure predisposte per assicurare l’integrità dei dati e correggendo eventuali comportamenti non rispettosi di tali procedure.

E’ suo compito altresì tenere aggiornate costantemente le cognizioni degli incaricati tramite appositi interventi formativi. La formazione periodica viene programmata sia all’ingresso del servizio, sia in occasione del cambiamento di mansioni o per effetto di introduzione di nuovi significativi strumenti rilevanti rispetto al trattamento dei dati personali.

Il presente documento scaturisce dall’analisi dei rischi cui è soggetto il sistema informativo aziendale e se ne dovrà prevedere l'aggiornamento nel caso la sostituzione di attrezzature o cambiamenti nella disposizione degli spazi di lavoro lo rendano necessario.

Gli incaricati del trattamento, informati da copia dello stesso, sono obbligati ad uniformarsi a quanto contenuto nel presente documento ed il responsabile del trattamento è tenuto a vigilare sull'osservanza delle disposizioni stesse da parte degli incaricati.

Xxx, 15 marzo 2004

Il presente documento è un estratto del "Testo unico sulla Privacy" e riporta parte degli argomenti che riguardano l’utilizzo di strumenti informatici/elettronici ed altre semplici norme che è bene vengano verificate se conformi alle attività svolte nell’Azienda/Studio, per tutti i dettagli e le sanzioni relative alla mancata osservanza degli articoli, si deve fare riferimento al Testo unico sulla Privacy originale