Il DPS, ossia il Documento Programmatico sulla Sicurezza, è previsto dall’articolo 34 del decreto legislativo 196/2003 tra le misure minime da adottare per la protezione dei dati. L’obbligo di redigere questo documento riguarda coloro che trattano dati sensibili e giudiziari attraverso l’ausilio di strumenti elettronici. Tuttavia è sempre consigliata la sua stesura sistematica in quanto rappresenta la situazione dell’azienda in materia di privacy.
La conversione del Decreto Legge n. 5 del 9 febbraio 2012 (c.d. Decreto semplificazioni), avvenuta con la Legge 4 aprile 2012 n. 35, conferma definitivamente la soppressione dell’obbligo – in capo a titolari di trattamento di dati sensibili e giudiziari effettuato mediante strumenti elettronici – di redigere, e quindi di tenere aggiornato, il Documento Programmatico sulla Sicurezza (DPS).
I titolari del trattamento sono tuttavia ancora tenuti a prestare attenzione alle seguenti tematiche:
- autenticazione informatica e adozione di procedure di gestione delle credenziali di autenticazione;
- utilizzo di un sistema di autorizzazione;
- aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici, fornendo opportune e chiare istruzioni per l’effettiva protezione dei dati;
- protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti degli stessi, ad accessi non consentiti e a programmi informatici dannosi;
- aggiornamento degli strumenti elettronici al fine di prevenirne la loro vulnerabilità e correggerne i difetti;
- adozione di procedure e fornitura di istruzioni per la custodia di copie di sicurezza, backup completi dei dati e dei sistemi e ripristino della disponibilità dei dati e dei sistemi;
- adozione di misure di protezione e ripristino specifiche per i dati sensibili e giudiziari rispetto ad accessi abusivi e fornitura di istruzioni tecniche e organizzative per la custodia e l’uso dei supporti rimovibili contenenti tale tipologia di dati;
- predisposizione e sottoscrizione di attestazioni di conformità da parte di soggetti esterni, rispetto alla struttura del titolare, riguardanti il rispetto delle disposizioni privacy nell’ambito dei loro interventi e/o trattamenti;
- adozione di altre misure finalizzate alla protezione e conservazione dei dati, in caso di utilizzo di strumenti diversi da quelli elettronici.
- implementazione, presso la struttura del titolare, di sistemi informatici che forniscono traccia di tutte le operazioni (access log) effettuate dagli amministratori di sistema nell’espletare la propria attività.
- definizione dei ruoli di responsabilità e nomine dei responsabili del trattamento come quello del responsabile della sicurezza informatica avente la qualifica di “amministratore di sistema” e quindi soggetto anche dopo l’aboilizione del DPS a tutte le prescrizioni contenute nel Provvedimento generale del Garante del 27 novembre 2008 oppure le attestazioni di conformità, anche su base contrattuale, sul rispetto delle regole in tema di privacy rilasciate da incaricati che effettuano interventi di manutenzione sui sistemi elettronici.
- formazione cui devono sottoporsi gli incaricati al trattamento, tanto sotto l’aspetto normativo, quanto sotto l’aspetto tecnico-organizzativo
I dati personali oggetto di trattamento devono essere custoditi in azienda in modo da ridurre al minimo i rischi di illecito accesso, distruzione o perdita attraverso idonee misure di sicurezza, ossia tutti gli accorgimenti tecnici e organizzativi messi in pratica per garantirne protezione, privacy e riservatezza.
Se il Responsabile del trattamento sceglie di utilizzare dispositivi elettronici o programmi informatici per la gestione dei dati deve prevederne l’accesso controllato tramite livelli di autorizzazione e garantire che non si attuino in azienda trattamenti contrari alle norme di legge o diversi da quelli per i quali i dati sono stati raccolti.
Nello specifico il Responsabile dovrà adottare specifici criteri e procedure dettate dall’articolo 33 del Codice Privacy, come ad esempio l’utilizzo di uno username identificativo e password per accedere ai dati, l’utilizzo di software antivirus e per ilbackup periodico dei dati.
Sicurezza dei sistemi
Il Codice Privacy prevede concrete disposizioni in merito al trattamento dei dati tramite strumenti informatici. Nello specifico, l’allegato B del Codice contiene il Disciplinare Tecnico ossia una serie di modalità tecniche necessarie ad adottare concretamente le misure minime per la sicurezza dei sistemi. Tali misure dovranno essere adottate dal titolare, dal responsabile o dall’incaricato.
La normativa prevede che il trattamento dei dati personali con strumenti elettronici è consentito agli incaricati dotati di credenziali di autorizzazione per i quali siano, comunque, previsti specifici profili di autorizzazione in modo da limitare l’accesso ai soli dati necessari per effettuare le operazioni di trattamento. Periodicamente, e comunque con cadenza annuale, occorre verificare la sussistenza delle condizioni per la conservazione dei profili di autorizzazione.
I dati personali devono essere protetti anche dal rischio di intrusione esterna e dall’azione di programmi in grado di violare la privacy. Per questo dovranno essere predisposti idonei strumenti elettronici che siano in grado di prevenire la vulnerabilità dei sistemi e correggano eventuali difetti, quali antivirus, antispyware e firewall, da aggiornare con cadenza almeno semestrale.
Almeno una volta l’anno occorre provvedere all’aggiornamento dei sistemi in modo da correggere gli errori. Questa operazione potrà essere facilmente compiuta anche tramite il download da Internet di patch o di service pack ossia di nuove versioni dei sistemi operativi e dei vari programmi applicativi.
Gestione password
I soggetti autorizzati ad accedere ai sistemi possono farlo se dotati di credenziali di autenticazione che consistono in un codice associato all’incaricato e una parola chiave riservata e segreta, conosciuta solamente dall’incaricato ovvero con l’utilizzo di smart card individuali. Il codice associato all’incaricato ossia lo user-id o user-name, una volta utilizzato, non può essere assegnato ad altri soggetti, neppure in tempi diversi.
Gli incaricati dovranno essere sensibilizzati ad adottare le necessarie cautele per assicurare la segretezza della parola chiave nonché la diligente custodia dei dispositivi in uso esclusivo dell’incaricato e a non lasciare incustodito e accessibile lo strumento elettronico durante una sessione di trattamento (i sistemi, a tal fine, permettono di predisporre uno screen saver con richiesta di password).
La parola chiave deve essere composta da almeno otto caratteri ovvero, nel caso in cui lo strumento elettronico non lo permetta, in un numero di caratteri pari al massimo consentito dal sistema. Non deve contenere riferimenti riconducibili all’incaricato e deve essere modificata dall’incaricato stesso al primo utilizzo dello strumento elettronico e, successivamente, almeno ogni sei mesi. In caso di trattamento di dati sensibili la parola chiave deve essere modificata ogni tre mesi.
Le credenziali di autenticazione non utilizzate dopo sei mesi dovranno essere disattivate.
Sicurezza archivi cartacei
Particolare importanza rivestono gli archivi cartacei soprattutto nei casi in cui, al loro interno, sono contenuti dai sensibili relativi ai dipendenti, informazioni concernenti procedimenti disciplinari, dati giudiziari relativi a partecipazioni a gare o informazioni connesse alle transazioni commerciali come ad esempio fatture o contratti.
Ai responsabili del trattamento dovranno essere impartite specifiche istruzioni per iscritto che prevedano la custodia di atti e documenti. L’accesso agli archivi contenenti dati sensibili o giudiziari può essere consentito anche dopo l’orario di chiusura ma deve essere controllato. E’ necessario, pertanto, adottare policy finalizzate alla gestione dei dati cartacei contenuti negli archivi. In tal caso è necessario che venga eseguito il controllo degli accessi dei lavoratori, preventivamente autorizzati, nei locali in cui sono custodite tali banche dati. Questa operazione può essere eseguita tramite l’installazione di un lettore badge che consenta il riconoscimento del soggetto autorizzato e ne permetta l’accesso.
Comunicazioni telefoniche
L’art. 123 del Codice Privacy ha fissato a sei mesi il limite temporale per laconservazione dei dati di traffico telefonico per finalità di fatturazione, pagamenti in caso di interconnessione e di commercializzazione di servizi. E’ prevista, inoltre, la conservazione dei dati di traffico telefonico relativi ai servizi offerti per tutti i fornitori di servizi di comunicazione al fine di accertare e reprimere i reati.
Il fornitore sul quale incombe l’obbligo di conservare i dati di traffico ai sensi dell’articolo 132 del Codice è quello che mette a disposizione del pubblico servizi di comunicazione elettronica su reti pubbliche di comunicazione. Con il termine “servizi di comunicazione elettronica” devono intendersi quelli consistenti nella trasmissione di segnali su reti di comunicazioni elettroniche.
L’obbligo di conservazione riguarda i dati relativi al traffico telefonico, inclusi quelli concernenti le chiamate senza risposta, nonché i dati inerenti al traffico telematico, esclusi comunque i contenuti delle comunicazioni. In particolare, sono oggetto di conservazione i dati che i fornitori sottopongono a trattamento per la trasmissione della comunicazione o per la relativa fatturazione.
Allo scadere dei termini previsti dalle disposizioni vigenti i dati di traffico sono resi non disponibili per le elaborazioni dei sistemi informativi e le relative consultazioni. Dovranno essere cancellate o rese anonime anche le informazioni contenute in data base e nei supporti per la realizzazione di copie di sicurezza (backup e disaster recovery).
