Sintesi del regolamento per le misure minime di sicurezza: Legge 675/1996

di
Ing. Luigi Baffigo

Con la pubblicazione del testo delle misure di sicurezza minime per il trattamento dei dati personali si perfeziona la legge 675/1996 e si definisce il gradino minimo su cui si basa l’articolo 15 della legge stessa.
Il testo del regolamento è, in molte parti estremamente chiaro, mentre in altre richiederebbe una maggiore precisione nelle definizioni. E’ importante pertanto che si apra, tra gli addetti ai lavori, uno scambio di idee e pareri per cercare di contribuire a capire meglio quanto il regolamento prescrive.

In questa ottica si vuole porre il presente elaborato.

Per capire meglio le norme del regolamento proviamo a sintetizzarle e a raggrupparle in 3 matrici.

  1. Il trattamento dei dati personali effettuato con strumenti elettronici.

  2. Il trattamento dei dati sensibili effettuato con strumenti elettronici.

    3. Entrambe le matrici contengono 4 colonne:

    1. Trattamento per fini esclusivamente personali

    2. Elaboratori stand-alone

    3. Elaboratori in rete non disponibile al pubblico

    4. Elaboratori in rete disponibile al pubblico

  3. Il trattamento dei dati personali e sensibili effettuato con strumenti diversi da quelli elettronici.

Questa matrice ha due colonne:

  1. Trattamento dei dati personali

  2. Trattamento dei dati sensibili

E’ evidente come l’attenzione del legislatore, e non poteva essere altrimenti, sia stata posta soprattutto nel richiedere una maggiore protezione per i dati sensibili accessibili da rete pubblica.
Per questa ultima categoria di dati infatti viene richiesta, in aggiunta alle misure tecniche, la definizione di un documento programmatico della sicurezza e la messa in atto di misure organizzative e di verifica di efficacia.

Poiché nella grande maggioranza le aziende dispongono di dati personali sensibili in banche dati in rete è fondamentale sapere se queste banche dati siano su rete disponibile al pubblico oppure no.
Se, come è stato ipotizzato nei commenti apparsi nei quotidiani che hanno pubblicato il testo del regolamento, l’interpretazione corretta è di considerare "disponibile al pubblico" una rete che utilizzi, anche per sola interconnessione su linee dedicate, la rete pubblica, rientrano in questa categoria la maggioranza delle reti aziendali.

Infatti si dovrebbero considerare non disponibili al pubblico solo le reti poste all’interno di un’unica sede e prive di qualunque interconnessione con l’esterno — modem o altro.

Se questa interpretazione è corretta credo che per la maggioranza delle aziende sia, per ovvii motivi organizzativi e di flessibilità, più conveniente dotarsi di un sistema di sicurezza omogeneo che rispetti i requirement più severi previsti dal regolamento indipendentemente dalla tipologia dei dati personali da proteggere.
Tale decisione non dovrebbe portare per altro serie conseguenze dal lato costi chiedendo il regolamento norme e procedure del tutto ragionevoli.

 

Trattamento dei dati personali effettuato con strumenti elettronici o comunque automatizzati

 

Trattamento per fini esclusivamente personali

Elaboratori stand-alone

Elaboratori in rete non disponibile al pubblico

Elaboratori in rete disponibile al pubblico

Efficacia misure di sicurezza

 

Anteriormente all’inizio del trattamento

Anteriormente all’inizio del trattamento

Anteriormente all’inizio del trattamento

Incaricati

 

Individuati per iscritto

Individuati per iscritto

Individuati per iscritto

Amministratore di sistema

 

Individuati per iscritto

Individuati per iscritto

Individuati per iscritto

Accesso ai dati

Parola chiave

Parola chiave

Parola chiave

Parola chiave

Custodi parole chiavi

 

Individuati per iscritto

Individuati per iscritto

Individuati per iscritto

Sostituzione parola chiave

 

Autonoma

Autonoma

Autonoma

User-Id

  

Individuale e non riutilizzato

Individuale e non riutilizzato

Criterio di assegnazione e revoca User-Id

  

Necessità di trattamento

Necessità di trattamento

Validità User-Id

  

Max 6 mesi di non utilizzo

Max 6 mesi di non utilizzo

Software pericoloso e virus

  

Programmi di protezione adeguati

Programmi di protezione adeguati

Verifica di efficacia programmi di protezione

  

Semestrale

Semestrale

Aggiornamento programmi di protezione

  

Semestrale

Semestrale

 

Trattamento dati sensibili

 

Trattamento per fini esclusivamente personali

Elaboratori stand-alone

Elaboratori in rete non disponibile al pubblico

Elaboratori in rete disponibile al pubblico

Accesso ai dati sensibili

  

Autorizzazione specifica e individuale

Autorizzazione specifica e individuale

Autorità di assegnazione e revoca dell’accesso

  

Titolare o Responsabile

Titolare o Responsabile

Criterio di assegnazione accesso

  

Necessità di trattamento

Necessità di trattamento

Limitazione accesso ai dati

  

Limitata e sufficiente per lo svolgimento delle operazioni

Limitata e sufficiente per lo svolgimento delle operazioni

Periodo di validità dell’accesso

  

Annuale

Annuale

Verifica validità

  

Preventiva

Preventiva

User-Id multiplo e contemporaneo

  

Non consentito

Non consentito

Interconnessione

   

Autorizzazione specifica

Strumenti di interconnessione

   

Individuati singolarmente

Accesso agli strumenti

  

Autorizzazione specifica

Autorizzazione specifica

Documento programmatico sulla sicurezza (D.p.s.s.)

   

Richiesto

Aggiornamento del D.p.s.s.

   

Annuale

Contenuto del D.p.s.s.

   

- Analisi rischi
- Compiti e responsabilità delle strutture preposte al trattamento

Sicurezza fisica prevista nel D.p.s.s.

   

- Criteri tecnici ed organizzativi
- Procedure di accesso ai locali

Integrità dei dati prevista nel d.p.s.s.

   

- Criteri e procedure

Sicurezza trasmissioni prevista nel D.p.s.s.

   

- Criteri e procedure
- Criteri di accesso

Piano di formazione degli incaricati previsto nel D.p.s.s.

   

- Valutazione rischi
- Modi per prevenirli

Controlli periodici previsti nel d.p.s.s.

   

Frequenza annuale

Reimpiego dei supporti

  

Previa non ricuperabilità dei dati precedenti

Previa non ricuperabilità dei dati precedenti

 

Trattamento dei dati personali con strumenti diversi da quelli elettronici o comunque automatizzati

 

Dati Personali

Dati Sensibili

Criterio di accesso ai dati

Specifica necessità del trattamento

Specifica necessità del trattamento

Autorità di assegnazione e revoca

Titolare o Responsabile

Titolare o Responsabile

Conservazione documenti

Archivi

Archivi

Accesso agli archivi

Accesso selezionato

Accesso selezionato e controllato

Gestione accesso archivi

 

Identificazione e registrazione accessi fuori orario

Trattamento documenti

Solo incaricati, restituiti al termine delle operazioni affidate

Solo incaricati, restituiti al termine delle operazioni affidate

Trattamento documenti

 

In contenitori muniti di serratura

Copie e riproduzioni

Come i dati originali

Come i dati originali

 

Alcuni commenti di dettaglio:

Parola chiave: viene richiesta a protezione delle banche dati, ovviamente può essere la stessa che permette l’accesso al sistema. A parte, se il sistema lo consente, dare la possibilità agli incaricati di cambiarla autonomamente, non viene precisata alcuna regola di formulazione e gestione.
Senza semplici regole sulla sua lunghezza ( es. minino 6 caratteri) e sulla validità nel tempo e soprattutto sulla sua riservatezza l’efficacia delle parole chiave si può purtroppo considerare nulla.

Codice identificativo personale: viene richiesto, di norma, il non riutilizzo, anche in tempi diversi, una volta assegnato ad una persona.
Tale norma, in aziende con sistemi distribuiti e gestiti autonomamente, richiede una qualche attenzione per tenere conto della normale dinamica aziendale del movimento del personale e dei codici identificativi assegnati. Non essendoci limiti temporali, in pratica, un codice una volta assegnato ad una persona, se questa per es. lascia l’azienda non deve poter essere più riutilizzato.

La norma richiede inoltre che il codice sia disattivato nel caso la persona a cui è stato assegnato perda la necessità di accesso agli elaboratori che contengono dati personali e a cui era stato abilitato o non sia utilizzato per più di 6 mesi. Non viene precisato nessun vincolo temporale tra la perdita della necessità di accesso e la disattivazione del codice identificativo, poiché però il testo precisa che "sia prevista la disattivazione" a mio avviso dovrebbero esistere dei meccanismi o delle procedure che periodicamente (ogni 6 mesi ?) permettano le opportune verifiche.

Programmi pericolosi e virus: La norma è precisa e stringente. Poiché oltre l’aggiornamento periodico delle protezioni viene richiesta la verifica di efficacia dovranno essere approntati dei test.
Inoltre poiché è interesse del Responsabile dei dati personali dimostrare che verifiche ed aggiornamenti sono stati effettuati regolarmente non bisogna trascurare di documentare opportunamente le attività svolte.

Accesso ai dati sensibili: La norma richiede una gestione precisa di questa tipologia di accessi. Vanno concessi solo per effettiva necessità di lavoro e limitatamente ai soli dati "necessari e sufficienti" per lo svolgimento delle mansioni assegnate. Il Responsabile inoltre, deve poter dimostrare che la sua autorizzazione sia antecedente all’accesso ai dati stessi. La verifica di validità dell’accesso è comunque richiesta annualmente.
Inoltre da tenere presente che sono espressamente vietate le utenze collettive o di gruppo.

Documento programmatico sulla sicurezza: è richiesto solo per i dati sensibili con accesso da rete disponibile al pubblico.
Tale documento se rispecchia l’effettiva volontà del Titolare è lo strumento chiave per gestire al meglio tutti gli aspetti della sicurezza informatica, non solo per i dati che ricadono sotto la tutela della 675/1996, ma per tutti i dati aziendali che per il loro valore o interesse meritano di essere protetti.
Per mia esperienza non sono moltissime le aziende che dispongono di un tale documento e sono inoltre in numero inferiore quelle che pur avendolo lo fanno rispettare.

Bisogna considerare che, nella maggioranza delle situazioni, per le aziende che non dispongono di un Documento programmatico sulla sicurezza (o Standard di sicurezza), lo sforzo, per definirlo con i contenuti previsti dal regolamento, sarà simile sia che lo si limiti ai soli dati sensibili sia che lo si estenda a tutti dati personali e/o di interesse aziendale.

Da ricordare inoltre che il regolamento detta norme minime — che se violate costituiscono illecito penale - , ma l’art. 15 della legge 675/1996 si riferisce a tutti i dati personali.
Le sole misure minime ovviamente non soddisfano quanto richiesto, seppure in forma generica, dall’art. 15 che tra l’altro fa riferimento per le idonee e preventive misure di sicurezza "..alle conoscenze acquisite in base al progresso tecnico..".

Responsabilità del Titolare e del Responsabile: Il regolamento pur non essendo a mio avviso gravoso nelle richieste tecniche organizzative — avrebbe potuto per es. imporre modalità di gestione delle parole chiave, utilizzo della crittografia per la trasmissione in internet, utilizzo di prodotti di sicurezza certificati, ecc. — impone però proprio per le possibili conseguenze sul piano penale che alcune procedure, soprattutto quelle di audit e controllo, siano ben documentate e siano sempre disponibili i relativi verbali che attestino oltre l'avvenuto controllo, l’efficacia delle procedure stesse.
Ciò ovviamente nell’interesse del Titolare e Responsabile stesso.
Questo molto probabilmente, per molte organizzazioni sarà l’impatto più gravoso.

Piani di adeguamento: La legge parla di 6 mesi dalla pubblicazione del regolamento sulla Gazzetta ufficiale. Per molte organizzazioni saranno veramente pochi. Occorre, se non già fatto, partire subito e soprattutto definire un progetto che sia effettivamente realizzabile sia in termini di contenuti sia in termini di budget.

Milano, ottobre 1999