La privacy per le OdV

a cura di Infocontinua - CSVnet - www.infocontinuacsvnet.it

La Legge 6 agosto 2008, n. 133 "Conversione in legge, con modificazioni, del decreto-legge 25 giugno 2008, n. 112, recante disposizioni urgenti per lo sviluppo economico, la semplificazione, la competitività, la stabilizzazione della finanza pubblica e la perequazione tributaria", pubblicata sulla G.U. del 21 agosto 2008, ha semplificato notevolmente gli adempimenti in materia di privacy (scarica l'approfondimento Privacy e OdV: nuove misure di semplificazione). La semplificazione comporta l'introduzione di modalità più snelle per l'applicazione delle misure minime di sicurezza da parte di soggetti pubblici e privati senza ridurre le garanzie per i cittadini. Con tre provvedimenti e una lista di istruzioni il Garante della privacy adegua alcuni adempimenti in materia di protezione dei dati personali attenendosi alle indicazioni del legislatore.

GLI ARGOMENTI TRATTATI E LE SCADENZE

1. Semplificazione per le misure minime di sicurezza e per la notificazione - 31 marzo 2009

2. Adozione delle misure tecniche e organizzative che riguardano la figura degli "amministratori di sistema" - 30 giugno 2009

3. La Notificazione semplificata - operativa dall' 8 febbraio 2009

4. Rottamazione/donazione di computer - già operativa

La semplificazione per le misure minime di sicurezza e per la notificazione
Le nuove garanzie in materia di privacy interessano anche il settore non profit e meritano di essere esposte in vista dell'approssimarsi della scadenza del 31 marzo 2009, il temine ultimo per la redazione o aggiornamento del Documento Programmatico per la Sicurezza.
La legge ha introdotto la seguente novità normativa:

"Per i soggetti che trattano soltanto dati personali non sensibili e che trattano come unici dati sensibili quelli costituiti dallo stato di salute o malattia dei propri dipendenti e collaboratori anche a progetto, senza indicazione della relativa diagnosi, ovvero dall'adesione ad organizzazioni sindacali o a carattere sindacale, la tenuta di un aggiornato documento programmatico sulla sicurezza è sostituita dall'obbligo di autocertificazione, resa dal titolare del trattamento ai sensi dell'articolo 47 del testo unico di cui al decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, di trattare soltanto tali dati in osservanza delle altre misure di sicurezza prescritte. In relazione a tali trattamenti, nonché a trattamenti comunque effettuati per correnti finalità amministrative e contabili, in particolare presso piccole e medie imprese, liberi professionisti e artigiani, il Garante, sentito il Ministro per la semplificazione normativa, individua con proprio provvedimento, da aggiornare periodicamente, modalità semplificate di applicazione del disciplinare tecnico di cui all'Allegato B) in ordine all'adozione delle misure minime di cui al comma 1" (art. 34 c.1 bis codice privacy)

Il provvedimento del Garante del 27 novembre 2008 "Semplificazione delle misure di sicurezza contenute nel disciplinare tecnico, di cui all'Allegato B, al Codice in materia di protezione dei dati personali", pubblicato nella G.U. del 9 dicembre 2008, ha esteso altre misure di semplificazione tra cui anche la redazione in forma semplificata del DPS ai soggetti indicati dalla legge e quindi ha dettato misure applicabili anche ad alcuni enti non profit, ed in primis le associazioni che gestiscono i Centri di servizio, purchè:

a) effettuino trattamenti di dati personali non sensibili o trattino come unici dati sensibili lo stato di salute o malattia senza indicazione della relativa diagnosi, ovvero dall'adesione a organizzazioni sindacali o a carattere sindacale, dei propri dipendenti e collaboratori anche a progetto;
b) effettuino trattamenti di dati personali unicamente per correnti finalità amministrative e contabili.In base al provvedimento del Garante, i Centri di servizio e gli enti non profit potranno:

• impartire agli incaricati le istruzioni in materia di misure minime anche oralmente;
• utilizzare per l'accesso ai sistemi informatici un qualsiasi sistema di autenticazione basato su una username e una password; la username deve essere disattivato quando viene meno il diritto di accesso ai dati (es. non si opera più all'interno dell'organizzazione);
• in caso di assenze prolungate o di impedimenti del dipendente possono mettere in atto procedure o modalità che consentano comunque l'operatività e la sicurezza del sistema ( ad es. l'invio automatico delle mail ad un altro recapito accessibile).

Quanto al livello minimo di sicurezza degli strumenti informatici è stato individuato il seguente:

• obbligo di aggiornare i programmi di sicurezza (antivirus) almeno una volta l'anno;
• effettuare backup dei dati almeno una volta al mese.

Ciò non significa, ovviamente, che standard di sicurezza più severi debbano essere abbassati ma semplicemente che un ritardo od una omissione in questi settori non darebbe più luogo a sanzioni amministrative o penali salvo che si scenda sotto la nuova, e più bassa, soglia di sicurezza stabilita con il provvedimento in commento.

Quanto alla redazione del Documento programmatico per la sicurezza può essere effettuato in forma semplificata, salvo che non intendano o non possano avvalersi della esenzione ex art. 34 c.1 bis del Codice.
Il DPS Semplificato si comporrà di 3 elementi essenziali:

1. Individuazione del titolare e dei Responsabili e degli incaricati
2. Descrizione generale dei trattamenti realizzati, che permetta di valutare l'adeguatezza delle misure adottate per garantire la sicurezza del trattamento.
3. Descrizione delle altre misure di sicurezza adottate per prevenire i rischi di distruzione o perdita, anche accidentale, dei dati, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.

La Notificazione semplificata
Insieme a quello sulle misure minime di sicurezza, il Garante ha adottato anche un altro provvedimento del 22 ottobre 2008 "Semplificazione al modello per la notificazione al Garante", pubblicato nella G.U. n. 287 del 9 dicembre 2008, che semplifica il modello utilizzato per effettuare le notificazioni, ossia le dichiarazioni da fare all'Autorità quando si avvia un trattamento di dati: genetici, biometrici, procreazione assistita, ecc..
Il provvedimento sulle misure di sicurezza è immediatamente applicabile senza necessità di istanze o comunicazioni al Garante, mentre quello sulla notificazione è operativo dall' 8 febbraio 2009 (60 giorni dalla pubblicazione in Gazzetta) e non comporterà l'obbligo di notificare di nuovo o modificare le notificazioni a carico di chi lo abbia già fatto.

Prescrizioni sugli amministratori di sistema
Il Garante con il provvedimento del 27 novembre 2008 "Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema" pubblicato nella G.U. n. 300 del 24 dicembre 2008, ha imposto a tutti gli enti pubblici e privati, tra cui gli enti non profit, di operare controlli sulla figura professionale dell' amministratore di sistema, prescrivendo l'adozione di specifiche misure tecniche ed organizzative che agevolino la verifica sulla sua attività da parte di chi ha la titolarità delle banche dati e dei sistemi informatici.
Le misure e le cautele dovranno essere messe in atto entro il 30 giugno 2009 da parte di tutti i soggetti interessati. Sono esclusi invece i trattamenti di dati, sia in ambito pubblico che privato, effettuati con strumenti elettronici a fini esclusivamente amministrativi e contabili, che pongono minori rischi per gli interessati e che sono oggetto dei provvedimenti di semplificazione di cui al precedente punto.
I principali adempimenti sono:
a) Individuazione ed elenco degli amministratori di sistema e loro caratteristiche

Ciascun Ente dovrà inserire nel documento programmatico della sicurezza o in un documento interno (disponibile in caso di accertamenti da parte del Garante) gli estremi identificativi degli amministratori di sistema e l'elenco delle funzioni loro attribuite. La designazione dell'AdS deve avvenire con atto in cui sono individuate specificamente le funzioni e le competenze di tali soggetti. Analoghe misure andranno adottate nel caso di outsourcing.
Dovranno infine essere valutate con attenzione esperienza, capacità, e affidabilità della persona chiamata a ricoprire il ruolo di amministratore di sistema, che deve essere in grado di garantire il pieno rispetto della normativa in materia di protezione dei dati personali, compreso il profilo della sicurezza.

b) Registrazione degli accessi

Adozione di sistemi di controllo che consentano la registrazione degli accessi effettuate dagli amministratori di sistema ai sistemi di elaborazione e agli archivi elettronici.
Le registrazioni devono comprendere i riferimenti temporali e la descrizione dell'evento che le ha generate e devono essere conservate per un congruo periodo, non inferiore a sei mesi.

c) Verifica della attività

Verifica almeno annuale da parte dei titolari del trattamento sulla rispondenza dell'operato degli amministratori di sistema alle misure organizzative, tecniche e di sicurezza previste dalla legge per i trattamenti di dati personali.

VUOI SAPERNE DI PIU' SULL'AMMINISTRATORE DI SISTEMA? CLICCA QUI

Rottamazione/donazione di computer
Il Garante ha messo a punto una serie di indicazioni "Istruzioni pratiche per una cancellazione sicura dei dati: le raccomandazioni degli operatori" per evitare che, al momento di dismettere apparecchiature elettriche ed elettroniche (anzitutto pc, ma anche cd rom o dvd), rimangano in memoria nomi, indirizzi mail, rubriche telefoniche, foto, filmati, numero di conto bancario, dati personali in generale, anche di tipo sensibile come quelli sanitari, riferiti non solo all'utilizzatore, ma anche a terzi.
Privati cittadini, professionisti, ma anche aziende pubbliche che intendono dismettere il proprio "usato" o consegnarlo ai punti di raccolta per lo smaltimento o donarli ad enti non profit dovranno preoccuparsi di cancellare in maniera definitiva - anche con l'aiuto degli stessi rivenditori o se proprio necessario di tecnici specializzati - i dati personali memorizzati. Questo innanzitutto allo scopo di non esporsi e non esporre altri a rischi anche gravi, come ad esempio la manipolazione di dati e il furto di identità.

Le prescrizioni concernono:
Misure tecniche preventive

È bene proteggere i file usando una password di cifratura, oppure memorizzare i dati su hard disk o su altri supporti magnetici usando sistemi di cifratura automatica al momento della scrittura.

Misure tecniche di cancellazione sicura

La cancellazione sicura delle informazioni su disco fisso o su altri supporti magnetici è ottenibile con programmi informatici di "riscrittura" che provvedono - una volta che l'utente abbia eliminato dei file dall'unità disco con i normali strumenti previsti dai sistemi operativi (ad es., con l'uso del "cestino" o con comandi di cancellazione) - a scrivere ripetutamente nelle aree vuote del disco. Si possono anche utilizzare sistemi di formattazione a basso livello degli hard disk o di "demagnetizzazione", in grado di garantire la cancellazione rapida delle informazioni.

Smaltimento di rifiuti elettrici ed elettronici

Per la distruzione degli hard disk e di supporti magnetici non riscrivibili, come cd rom e dvd, è consigliabile l'utilizzo di sistemi di punzonatura o deformazione meccanica o di demagnetizzazione ad alta intensità o di vera e propria distruzione fisica.

Le indicazioni debbono essere tenute presenti dagli enti non profit non solo quando smaltiscono i loro computers ma anche e soprattutto quando ricevono donazioni di computer usati.