Garante per la protezione
    dei dati personali


Parere del Garante sullo schema di"Linee-guida per il Disaster Recovery delle pubblicheamministrazioni", emanate ai sensi dell'articolo 50-bis, comma 3, lett. b), del Codice dell'amministrazione digitale

PROVVEDIMENTO DEL 4 LUGLIO 2013

Registro dei provvedimenti
n. 333 del 4 luglio 2013

IL GARANTE PER LA PROTEZIONE DEI DATIPERSONALI

NELLAriunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della prof.ssa Licia Califano e delladott.ssa Giovanna Bianchi Clerici, componenti e del dott. Giuseppe Busia,segretario generale;

Vistala richiesta di parere dell'Agenzia per l'Italia digitale;

Vistol'articolo 50-bis, comma 3, lettera b), del Codice dell'amministrazionedigitale (d.lgs. 7 marzo 2005, n. 82);

Vistol'articolo 154, comma 1, lett. g), del Codice in materia di protezione dei datipersonali (d.lgs. 30 giugno 2003, n. 196);

Vistala documentazione in atti;

Vistele osservazioni dell'Ufficio formulate dal segretario generale ai sensidell'art. 15 del regolamento del Garante n. 1/2000;

Relatorela dott.ssa Augusta Iannini;

PREMESSO

L'Agenziaper l'Italia digitale ha richiesto il parere del Garante in ordine a uno schemadi "Linee-guida per il Disaster Recovery delle pubblicheamministrazioni" emanate ai sensi dell'articolo 50-bis, comma 3,lett. b), del Codice dell'amministrazione digitale di cui al decretolegislativo 7 marzo 2005, n. 82 e successive modificazioni (infra CAD).

Inbase a tale disposizione normativa, infatti, le pubbliche amministrazionidefiniscono il piano di disaster recovery (di seguito DR), checostituisce parte integrante del piano di continuità operativa e stabilisce lemisure tecniche e organizzative per garantire il funzionamento dei centri dielaborazione dati e delle procedure informatiche rilevanti in siti alternativia quelli di produzione. Al riguardo, l'Agenzia per l'Italia digitale, sentitoil Garante, definisce, appunto, le linee guida per le soluzioni tecniche idoneea garantire la salvaguardia dei dati e delle applicazioni informatiche,verificando annualmente il costante aggiornamento dei piani di DR delleamministrazioni interessate.

Unaprima versione delle Linee guida era stata emanata nel novembre 2011, e sulrelativo schema il Garante aveva espresso parere favorevole con condizioni eraccomandazioni (parere del 20 ottobre 2011).

RILEVATO

1.    L'impianto generale delle Linee guida.


Loschema di Linee-guida affronta il tema degli obiettivi e degli scenari dellacontinuità operativa delle pp. aa. nel quadro normativo attuale, ed inparticolare gli aspetti del DR (cap. 1), e delinea, al contempo, i ruoli e leresponsabilità attribuite alle pp. aa. e all'Agenzia per l'Italia digitalenell'ambito della Digital Agenda, descrivendo altresì gli obblighi e gliadempimenti previsti nel Codice in materia di protezione dei dati personali (infraCodice) con riferimento alle misure di sicurezza (cap. 2).

Rilevanoinoltre le infrastrutture e l'organizzazione della p. a. in materia dicontinuità operativa (cap. 3), la realizzazione della continuità operativa edelle soluzioni di DR (con riferimenti alle soluzioni cloud) (cap. 4),le modalità di redazione degli studi di fattibilità tecnica, dei piani dicontinuità operativa e dei piani di DR (cap. 5) e gli strumenti giuridici eoperativi per l'acquisizione di un servizio di DR (che tratta anche le clausoleda adottare per soluzioni cloud che implichino il trasferimento dei daticon rinvio alla normativa europea e ai provvedimenti del Garante) (cap. 6).

Ilprovvedimento tratta poi aspetti della continuità operativa e del DR nelcontesto delle cc.dd. infrastrutture critiche, senza introdurre specificità dirilievo riguardo agli aspetti di protezione dei dati personali affrontati neicapitoli precedenti (cap. 7).

Infine,costituiscono parte del provvedimento anche cinque appendici, volte a proporrepolitiche di back up (appendice A), standard di riferimento perl'attuazione della continuità operativa (appendice B), il modello di piano dicontinuità ICT (appendice C), specificazioni sugli strumenti giuridici edoperativi per l'acquisizione dei servizi di continuità operativa/DR (appendiceD) e esempi di livelli di servizio (appendice E).



2. Definizioni.


Loschema riproduce molte delle definizioni già contenute nel provvedimento invigore.

Inparticolare, secondo il glossario, con il termine "disaster" siintende, ai fini del provvedimento in esame, "l'effetto di un eventoimprovviso che ha come impatto gravi e prolungati danni e/o perdite perl'organizzazione", laddove la nozione di DR configura invece "l'insiemedelle misure tecniche e organizzative adottate per assicurareall'organizzazione il funzionamento del centro elaborazione dati e delleprocedure e applicazioni informatiche dell'organizzazione stessa, in sitialternativi a quelli primari/di produzione, a fronte di eventi che provochino,o possano provocare indisponibilità prolungate". Il DR comprendequindi le attività necessarie per ripristinare – in tutto o in parte –le funzionalità del sistema informatico inteso come complesso di strutture hardware,software e di servizi di comunicazione.

Sidelineano, tra gli altri, i concetti di copia dei dati e delle applicazioni (datamirroring), di database, di dato, di dato delle pp. aa., difruibilità di un dato, di allineamento dei dati, di log, di piano dicontinuità operativa ICT (PCO), di politiche di sicurezza, di Recovery PointObjective e di sistema pubblico di connettività.

Visono, poi, elementi di novità, come la definizione dell'Agenzia per l'Italiadigitale, subentrata a DigitPA.

Infine,lo schema precisa che per data center si intende una struttura fisicainsieme a tutti gli impianti e a sistemi di sicurezza fisica e logica presenti,progettato per gestire un numero elevato di apparecchiature e infrastruttureinformatiche e i dati ivi contenuti, allo scopo di garantirne la sicurezzafisica e gestionale. Al riguardo, il Capitolo 3 sulle infrastrutture el'organizzazione IT per la continuità operativa prevede, per la protezionedegli stessi, una serie di misure di sicurezza, tra le quali rilevano ilmonitoraggio delle aree esterne ad opera di barriere infrarossi e/o sistemi divideo analisi e sistemi di videosorveglianza con videoregistrazione,l'identificazione visiva personale a mezzo nastri porta badge diidentificazione e la procedura di accesso al data center.



3. L'odierno schema di Linee guida alla luce delparere del Garante del 2011.


Daun'analisi dell'attuale schema di Linee guida in parallelo con quelloprecedente, emerge che sostanzialmente il nuovo testo accoglie le condizioni ele raccomandazioni adottate dal Garante nel parere del 20 ottobre 2011.

Inparticolare, rilevano i seguenti aspetti.



3.1. Politiche di backup.

Perquanto riguarda le "politiche di backup", nell'Appendice A (nellaversione precedente 4.5), si prevede che al fine di ottemperare a regolespecificamente indicate e di semplificare i processi di gestione, le specifichescelte organizzative e di processo devono essere rappresentate all'interno delPiano di continuità operativa (PCO) e, per la parte di propria competenza, nelPiano di DR, avendo cura di rendere allineati i dati nei sopra citatidocumenti.

Nellaprecedente versione ( 4.5) il riferimento era ai soli documenti programmaticiper la sicurezza e al riguardo il Garante, nel parere, aveva richiesto che, dalmomento che non tutti i titolari del trattamento erano tenuti alla redazionedel DPS (cfr. art. 34, comma 1-bis del Codice, all'epoca in vigore), lasede più idonea per documentare le scelte anche implementative in materia diprocedure per il salvataggio periodico dei dati fosse proprio il Piano sullacontinuità operativa e, in quell'ambito, il Piano per il DR, che devono inveceessere obbligatoriamente redatti da tutte le pp. aa.. La nuova formulazionedelle Linee guida si adegua alla condizione del Garante, anche se, per altroverso, dovrà essere espunto il riferimento al DPS, nel frattempo soppresso (v.avanti, par. 4).



3.2. Conservazione dei dati.

Perquanto riguarda il periodo di conservazione dei dati di backup, semprenell'Appendice A (nella vecchia versione 4.5.3), si stabilisce che isalvataggi devono avere un "periodo di ritenzione", passato il qualevengono eliminati; tale periodo deve essere commisurato alle finalità dellaconservazione dell'informazione (dei dati, delle applicazioni e dei processi) edeve essere precisamente indicato in tutti i documenti interessati (Piano diContinuità Operativa (PCO); Piano di DR (PDR)). Nella precedente versione delprovvedimento, si prevedevano, invece, periodi di conservazione ancheillimitati e il Garante aveva ritenuto tale previsione non conforme alprincipio di finalità nel trattamento di dati personali (cfr. art. 11, comma 1,lett. b) ed e), del Codice).

Analogamente,ancora nell'Appendice A ("Archiviazioni") si prevede che tutti oparte dei dati salvati siano oggetto di archiviazione su dispositivi che nepreservano l'integrità per periodi commisurati alle finalità di conservazionedelle informazioni precisamente indicati nei documenti interessati (DPS, PCO,PDR), prevedendo le misure di conservazione relative al mantenimentodell'efficiente funzionalità del sistema informativo. Ai fini delle politichedi archiviazione storico documentale, le pp. aa. si dovranno attenere a quantodefinito nell'ambito del "Manuale di Conservazione" che ne contienele regole e i tempi. Nella versione precedente del provvedimento ( 4.5.7), siprevedeva l'archiviazione periodica di tutti o parte dei dati su dispositiviche ne preservassero l'integrità per lunghi periodi e il Garante aveva rilevatonel parere che anche per tale conservazione fosse necessario individuaretermini definiti, distinguendo le misure necessarie al mantenimentodell'efficiente funzionalità del sistema informativo e alla protezione dei datiin esso trattati dagli accorgimenti preordinati, invece, a realizzare forme diarchiviazione storico-documentale. La nuova formulazione si adegua al parere.



3.3. Tecniche di cifratura.

Perquanto riguarda l'utilizzo di tecniche di cifratura, le Linee guidastabiliscono che tali tecniche non devono pregiudicare la disponibilità deidati in caso di necessità, e che, pertanto, deve essere assicurata a tale scopola compatibilità tecnologica dei supporti, dei formati di registrazione, deglistrumenti crittografici e degli apparati di lettura dei dati per tutta ladurata della conservazione del dato (Appendice A - "Ubicazioni").Tali precisazioni e garanzie erano state espressamente richieste dal Garantenel parere.



3.4. Servizi cloud.

Unaltro aspetto in ordine al quale sono state recepite le indicazioni resedall'Autorità nel parere del 2011 riguarda l'utilizzo di servizi cloud perla realizzazione del PCO e di DR, che implichino il trasferimento di dati (par.4.3.2.2 e 6.5; nella precedente versione 5.3.2.3). Al riguardo l'odiernoschema dopo aver precisato che in relazione alla natura particolare dei servizicloud, la p. a. deve considerare la possibile localizzazione dellainfrastruttura geograficamente distribuita, individua gli strumenti e leclausole da adottare per soluzioni cloud che implichino il trasferimentodei dati (con rinvio alla normativa comunitaria e ai provvedimenti delGarante).

Inconformità ad una condizione prevista nel precedente parere, l'odierno schemadi provvedimento prevede che il fornitore indichi "con appositadichiarazione resa in sede contrattuale, l'esatta localizzazione, o le esattelocalizzazioni dei dati gestiti".


Questospecifico aspetto è di estrema importanza.

Soloattraverso tale previsione, infatti, il titolare del trattamento è incondizione di valutare se questa particolare modalità di realizzazione delservizio rispetti effettivamente la normativa in materia di protezione dei datipersonali e segnatamente l'articolo 45 del Codice, che vieta il trasferimento"anche temporaneo fuori del territorio dello Stato, con qualsiasi forma omezzo, di dati personali oggetto di trattamento, diretto verso un Paese nonappartenente all'Unione europea", qualora "l'ordinamento del Paese didestinazione o di transito dei dati non assicura un livello di tutela dellepersone adeguato", a tal fine valutandosi anche "le modalità deltrasferimento e dei trattamenti previsti, le relative finalità, la natura deidati e le misure di sicurezza". Inoltre, considerato che le legislazioni,anche in materia di protezione dei dati, possono essere molto diverse nei Paesiterzi e non garantire livelli di protezione adeguati, il nuovo 6.5 prevede lanecessità di agire contrattualmente, applicando delle clausole specificheelaborate dalla Commissione Europea nei contratti di fornitura del servizio. Lepredette clausole, effettive dal 15 maggio 2010, trasferiscono parte delleresponsabilità sul trattamento dati a chi effettivamente tratta i dati.Considerato che l'attività di outsourcing può essere subappaltata anchepiù volte, nell'ambito del medesimo servizio, deve comunque essere garantitachiarezza su chi sia il responsabile per la sicurezza dei dati.

Semprenel medesimo paragrafo, in conformità ad una raccomandazione prevista nelprecedente parere che richiedeva di valutare l'opportunità di inserire unriferimento al documento del Garante "Cloud computing: indicazioni perl'utilizzo consapevole dei servizi", si segnala l'importanza diconsultare anche il predetto documento nonché la miniguida "CloudComputing. – Proteggere i dati per non cadere dalle nuvole",pubblicata dal Garante nel maggio del 2012.

Conriferimento all'Appendice D ("Specificazioni sugli strumenti giuridici edoperativi per l'acquisizione dei servizi di CO/DR"), ed in particolarealle indicazioni per l'elaborazione delle clausole contrattuali perregolamentare i servizi e le soluzioni di CO/DR (D.2), nell'ambito del serviziodi copia e allineamento dei dati (nella precedente versione 6.3.1) siprecisa, in conformità ad una raccomandazione prevista nel precedente pareredel Garante, "l'importanza di osservare i provvedimenti fra cui ilprovvedimento "Misure e accorgimenti prescritti ai titolari deitrattamenti effettuati con strumenti elettronici relativamente alleattribuzioni delle funzioni di amministrazione di sistema" del 27 novembre2008".



3.5 Strumenti per l'autovalutazione.


All'internodel Capitolo 4 dedicato alle soluzioni di DR, si disciplinano, tra le altrecose, gli strumenti per l'autovalutazione cui è tenuta ogni amministrazione peranalizzare le criticità. In particolare, la stima sulle criticità deve esseresvolta secondo tre direttrici: la direttrice del servizio, la direttricedell'organizzazione e la direttrice della tecnologia, nell'ambito delle qualis'individuano specifici indicatori ai fini della valutazione (cc. dd. criteridi stima). Con riferimento alla direttrice del servizio i criteri sono, tra glialtri, il tipo di dati trattati, la possibilità di recuperare la mancataacquisizione dei dati e la necessità di recuperare i dati non acquisiti. Perquanto riguarda, invece, la direttrice dell'organizzazione, rilevano fra levarie ipotesi il numero dei "responsabili privacy" e il numerodei trattamenti censiti.

Nellaprecedente versione delle Linee guida (Appendice C) si prevedeva all'internodel criterio "tipologia dei dati trattati" una serie di classi didati (amministrativi, tecnici, anagrafici semplici, personali sensibili,sanitari, giudiziari) cui era attribuito un "peso specifico" diverso.Nel precedente parere del Garante, il sistema in questione era stato oggetto diuna raccomandazione che non solo suggeriva l'utilizzo di una correttaterminologia, ma anche la modifica delle classi di dati nonché del relativo"peso specifico". L'odierno provvedimento non individua i singoliparametri né gli attribuisce un peso specifico; ove dovessero essereripristinati, è opportuno che si tenga conto delle raccomandazioni del Garante.

RITENUTO

4. La sicurezza dei dati.

Conriferimento agli aspetti più strettamente tecnologici non si segnalano nelloschema di Linee guida particolari criticità sotto il profilo della protezionedei dati personali. Nel documento è stata posta attenzione alla sicurezzainformatica dei dati e dei sistemi, includendo, altresì, riferimenti alleregole e alle misure previste dal Codice e rinvii a provvedimenti epubblicazioni del Garante pertinenti agli argomenti discussi (come ad esempionel caso dell'utilizzo delle tecnologie di Cloud-computing perimplementare servizi di DR).

Residua,nondimeno, l'esigenza di qualche perfezionamento, per lo più formale, deldocumento, secondo le modalità di seguito esposte.



4.1. La soppressione del documentoprogrammatico sulla sicurezza.


Rispettoalla precedente versione delle Linee guida, il quadro normativo è cambiato.

Nellaprecedente versione dell'articolo 34, comma 1-bis del Codice, alcunititolari del trattamento erano tenuti alla redazione del documentoprogrammatico sulla sicurezza.

Successivamente,l'articolo 34, comma 1-bis del Codice, che disciplinava appunto ildocumento programmatico sulla sicurezza (DPS), è stato abrogato dall'articolo45, comma 1, lett. c), del decreto legge 9 febbraio 2012, n. 5, convertito, conmodificazioni, dalla legge 4 aprile 2012, n. 35.

Conseguentemente,è necessario espungere dallo schema in esame il riferimento al documentoprogrammatico sulla sicurezza (o DPS), ovunque esso ricorra (vedi pagg. 51, 77,99, 100 e 101).



4.2. Modifiche formali.

Alfine di utilizzare una corretta terminologia all'interno delle Linee guida, sisuggerisce di utilizzare per il decreto legislativo 196 del 2003 l'espressione"Codice in materia di protezione dei dati personali" piuttosto chealtre difformi utilizzate nel testo quali "Testo unico in materia diprotezione dei dati personali" o "codice della privacy" (vedipagg. 2, 21, 47, 52, 79, 82, 120, 128 e 129).

Allostesso modo, si suggerisce di utilizzare l'espressione "Garante per laprotezione dei dati personali" piuttosto che ulteriori differentilocuzioni quale "garante privacy" (vedi pagg. 4, 28, 81, 82 e 126),nonché quella di "responsabili del trattamento dei dati" in luogo di"responsabili privacy" (pag. 51).

Peridentificare in modo univoco le disposizioni del Codice, si suggerisce, infine:

a)di inserire nella locuzione in cui si indica il "titolo VII del citatoDLgs. 196/2003 e s.m.i. che regola il "Trasferimento dei datiall'estero"" le parole "della parte I" tra "VII"e "del" (pag. 82), nonché all'interno della locuzione "nelTitolo VII regola il "Trasferimento dei dati all'estero"" leparole "della parte I" tra "VII" e "regola"(Appendice D.3, pag. 128);
b) di inserire nella locuzione "Titolo IVdel citato codice" le parole "della parte I" tra "IV"e "del" (pag. 126).

IL GARANTE

esprimeparere favorevole sullo schema di "Linee-guida per il Disaster Recoverydelle pubbliche amministrazioni", emanate ai sensi dell'articolo 50-bis,comma 3, lett. b), del Codice dell'amministrazione digitale, con la seguenteosservazione:

a)nello schema di Linee guida sia soppresso il riferimento al documentoprogrammatico sulla sicurezza (o DPS) ovunque esso ricorra (punto 4.1) e sianoapportati i perfezionamenti formali indicati al punto 4.2.

Roma, 4 luglio 2013

Il presidente
Soro

Il relatore
Iannini

Il segretario generale
Busia