Gli imprenditori
al servizio
delle Imprese

PRIVACY - DOCUMENTO PROGRAMMATICO PER LA SICUREZZA - CRITERI PER LA REDAZIONE

07/12/2005

In vista della scadenza del 31 dicembre 2005 per l’adozione delle misure minime di sicurezza, riteniamo utile fornire alcune istruzioni e consigli operativi elaborati da Confindustria relativi alla stesura del documento programmatico sulla sicurezza (dps).

Il Garante per la protezione dei dati personali ha pubblicato una guida operativa per facilitare le organizzazioni di piccole e medie dimensioni nell'adempimento di quest'obbligo, disponibile nel sito del Garante.

La guida fornisce indicazioni sui contenuti del dps e sulle modalità di redazione. Tali istruzioni hanno carattere facoltativo e possono essere impiegate (anche solo parzialmente) come punto di riferimento per la redazione del documento. L’unica condizione da rispettare nella redazione del documento è che esso contenga le informazioni richieste dalla regola 19 del disciplinare tecnico allegato al Codice.

Il dps deve essere adottato entro il 31 dicembre e non va inviato al Garante ma conservato presso la propria struttura ed esibito in caso di controlli. Si ricorda che il Codice non richiede l’apposizione della data certa come requisito di validità del documento.

L’adozione delle misure di sicurezza. Il ruolo del dps

Il Codice in materia di protezione dei dati personali prevede un generale obbligo di sicurezza in capo ai titolari (art. 31) e dispone che i dati personali ''sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta''.

Il contenuto di tale obbligo è determinato da numerosi fattori ed è definito in concreto dal giudice nel corso del giudizio. La violazione delle disposizioni in materia di sicurezza può comportare l’obbligo di risarcimento del danno eventualmente arrecato dal titolare. All’interno del generale obbligo di sicurezza, il Codice individua in maniera oggettiva le misure minime di sicurezza che vanno adottate dalla generalità dei titolari (artt. 34 e 35), sanzionando penalmente la loro omessa adozione (art. 169).

Tra le misure minime previste per i trattamenti effettuati con strumenti elettronici il Codice menziona la tenuta di un aggiornato dps.

Il dps ha lo scopo di definire ed indirizzare la politica di sicurezza e di protezione dei dati personali dell'azienda. Nel documento programmatico il titolare esplicita le misure di sicurezza adottate e quelle da adottare per garantire un adeguato livello di protezione per i dati personali al cui trattamento si procede.

Come chiarito dal Garante, il dps è misura minima di sicurezza quando si procede al trattamento di dati sensibili o giudiziari con l’ausilio di strumenti elettronici. In questi casi, è necessario adottare un documento che contenga le informazioni richieste dal disciplinare tecnico alla regola 19.

In base a quanto ricordato, tuttavia, si evidenzia l’opportunità di non limitarsi all’adozione delle misure minime previste dal Codice ma di predisporre anche le misure idonee, per rispettare il generale obbligo di sicurezza previsto dall’art. 31 e ridurre al minimo i rischi gravanti sui dati personali al cui trattamento si procede.

In questo senso il dps rappresenta uno strumento utile (ed un'utile base di partenza) per valutare la situazione aziendale in materia di trattamento dei dati e predisporre procedure ed azioni idonee a garantire la sicurezza nel trattamento dei dati personali.

I criteri per la redazione del dps

Si espongono di seguito alcuni criteri per la redazione del dps ed alcune indicazioni di tipo metodologico. Si ricorda che le istruzioni predisposte dal Garante nella guida operativa hanno natura facoltativa e che il livello di dettaglio delle informazioni da indicare è scelto dal titolare.

Punto di partenza del documento programmatico è la descrizione del sistema informatico presente nell'impresa, sia nelle sue componenti hardware che in quelle software, e la definizione dell’elenco dei trattamenti di dati personali riferibili al titolare. Il Codice richiede inoltre di esplicitare la distribuzione di compiti e responsabilità all’interno della struttura.

Una volta definita la struttura ed i compiti si procederà ad un'analisi dei rischi che incombono sui dati. Si ricorda che il Codice impone di ridurre al minimo i rischi di distruzione o perdita dei dati, di accesso non autorizzato, di trattamento non consentito o non conforme alle finalità della raccolta.

Dopo aver individuato le principali aree di criticità si individueranno le opportune misure (sia quelle già adottate che quelle che da adottare) per la gestione dei rischi e la predisposizione di un idoneo sistema di sicurezza.

Nella redazione del documento programmatico sarà utile utilizzare alcune tabelle, anche avvalendosi di quelle predisposte dal Garante. In altri casi, invece, sarà possibile sviluppare il documento in via discorsiva, anche facendo riferimento a documenti ulteriori che contengono le informazioni richieste dal disciplinare tecnico allegato al Codice.

Si espongono di seguito ulteriori indicazioni relative alle specifiche voci previste dalla regola 19 del disciplinare tecnico.

Il documento programmatico sulla sicurezza deve contenere idonee informazioni in merito ai seguenti aspetti:

Elenco dei trattamenti dei dati personali (regola 19.1)

Il Codice impone di effettuare un censimento dei trattamenti di dati personali presenti in azienda finalizzato alla redazione di un elenco da inserire nel documento programmatico. Si ricorda che il livello di cautela da adottare per predisporre misure di sicurezza idonee varia a seconda della tipologia di dati che vengono trattati. Le misure, pertanto, dovranno assumere un carattere crescente a seconda che si tratti di dati personali comuni, giudiziari, sensibili. Nell’effettuare il censimento dei trattamenti interni alla struttura, pertanto, sarà necessario specificare la natura dei dati al cui trattamento si procede.

Il Garante ha chiarito che il dps costituisce misura minima di sicurezza solo ove si proceda al trattamento di dati sensibili o giudiziari mediante strumenti elettronici (parere del Garante del 22 marzo scorso, punto 2.2).

Tuttavia, considerata la necessità di predisporre tutte le misure idonee per ridurre al minimo i rischi gravanti sui dati, si evidenzia l’opportunità di indicare gli ulteriori trattamenti di dati personali, in particolar modo di quelli intrinsecamente collegati ai dati sensibili o giudiziari.

Conformemente a quanto affermato dal Garante, inoltre, il livello di sintesi delle informazioni inserite può essere determinato dal titolare. Pertanto, mentre sarà necessario descrivere con precisione le informazioni relative ai dati sensibili e giudiziari, si potrà impiegare un dettaglio minore per le informazioni relative alle altre categorie di trattamenti.

Il titolare, pertanto, dovrà procedere ad un censimento dei trattamenti individuando, per ogni categoria, le modalità specifiche di trattamento e descrivendo le tipologie di dati considerati.

L’elenco può essere completato facendo riferimento a categorie di dati (definendole, ad esempio, attraverso macro-categorie di interessati o di strutture di riferimento che procedono al trattamento) e modalità di trattamento, opportunamente accorpate rispetto all’ampia definizione di cui all'art. 4 del Codice (raccolta e registrazione; consultazione, selezione ed elaborazione, utilizzo, etc.).

In questo modo si semplifica l’elencazione dei trattamenti pur nel rispetto delle prescrizioni della regola 19.1.

La Tabella 1.1 proposta dal Garante contiene alcune informazioni (indicazione della struttura di riferimento, dell’eventuale presenza di strutture esterne e descrizione degli strumenti utilizzati) che non sono espressamente prescritte dalla regole 19.1 del disciplinare tecnico, il quale si limita a richiedere un elenco dei trattamenti dei dati personali. Si raccomanda, tuttavia, l’inserimento di tali informazioni. Anche in questo caso il titolare potrà valutare il livello di dettaglio delle informazioni da inserire.

Distribuzione dei compiti e delle responsabilità (regola 19.2)

Il punto 19.2 richiede di esplicitare la distribuzione dei compiti e delle responsabilità all'interno delle strutture.

Sembra quindi necessario limitarsi all’individuazione delle classi d'incarico, ad esempio suddividendo gli incaricati in base all'area funzionale di riferimento (amministrazione contabilità, gestione risorse umane, area commerciale, logistica, ecc.).

Sarà inoltre opportuno esplicitare gli elementi portanti della struttura organizzativa aziendale in materia di privacy, menzionando l'eventuale presenza di uno o più responsabili del trattamento designati ai sensi dell'art. 29 del Codice e la specificazione dei relativi compiti.

Il Garante ricorda la possibilità di fornire tali informazioni anche facendo riferimento ad altri documenti che le contengono, ove presenti (eventuali manuali organizzativi presenti in azienda, ordini di servizio, circolari, etc.).

Si consiglia, inoltre, di includere le dichiarazioni di nomina dei responsabili (in cui si esplicitano le istruzioni ed i criteri da seguire nello svolgimento dei compiti) e le designazioni degli incaricati e degli altri soggetti che, a vario titolo, svolgono una funzione peculiare nella struttura (ad esempio il custode delle credenziali per l'accesso).

L’analisi dei rischi che incombono sui dati (regola 19.3)

Nel documento programmatico vanno esplicitate le misure minime da adottare a garanzia dell'integrità e della disponibilità dei dati. La fase di analisi dei rischi svolge un ruolo centrale nella definizione del documento programmatico e delle linee guida che si intendono adottare per predisporre le misure necessarie.

Il Codice impone al titolare di ridurre al minimo i rischi di:


distruzione o perdita, anche accidentale, dei dati;


accesso non autorizzato;


trattamento non consentito o non conforme alle finalità della raccolta.

I possibili rischi che gravano sui dati (direttamente o indirettamente, se riferiti alle strutture mediante le quali si procede al trattamento) sono numerosi e difficilmente catalogabili. Essi possono essere ricondotti alle seguenti categorie:


danneggiamento e/o sottrazione delle strutture di hardware;


danneggiamento (doloso, colposo o accidentale) del server, del software e dei dati contenuti al loro interno;


conseguenze negative di ogni tipo derivanti da accessi non autorizzati (di soggetti con profilo diverso di autorizzazione o di altri soggetti esterni alla struttura);


distruzione, alterazione, diffusione e/o comunicazione non autorizzata dei dati, anche di quelli meramente personali.

Il Garante fornisce una lista di eventi potenzialmente dannosi per la sicurezza dei dati riferendoli a tre categorie principali (comportamenti degli operatori, eventi relativi agli strumenti, eventi relativi al contesto fisico ambientale). Si tratta di un elenco esemplificativo che può essere modificato a seconda delle peculiarità riscontrate nel caso di specie.

Conformemente a quanto richiesto dalla Confindustria, il Garante ha semplificato le valutazioni relative alla stima della gravità dei rischi. Nella compilazione della tabella, pertanto, sarà sufficiente graduare la gravità del rischio riscontrato in base ad alcuni parametri generali (alto, medio, basso).

Misure in essere e da adottare (regola 19.4)

Lo sviluppo di questa sezione rappresenta diretta conseguenza dell'attività di individuazione dei rischi svolta nella parte precedente. Si dovranno individuare misure tali da garantire l'integrità dei dati, la loro disponibilità, nonché la protezione delle strutture in cui i dati vengono custoditi e mediante le quali si accede agli stessi.

Dopo aver definito le misure necessarie, pertanto, si espliciteranno le modalità in cui le misure minime di sicurezza vengono realizzate nella realtà organizzativa dell'impresa.

In particolare, per quanto riguarda le misure minime per il trattamento effettuato con strumenti informatici, si ricorda che le disposizioni del Codice impongono di individuare:


le credenziali di autenticazione (scegliendo tra le tipologie previste nel disciplinare tecnico) e le modalità di gestione delle stesse;


un sistema di autorizzazione, ove per gli incaricati siano stati individuati profili di autorizzazione di ambito diverso, definendo i profili per classi e mantenendoli aggiornati;


le regole relative all'impiego ed all'aggiornamento dei programmi antivirus, dei programmi di antintrusione e degli aggiornamenti/upgrade dei programmi;


l’adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi.

I criteri per la protezione delle aree e dei locali sono assai vari e andranno individuati a seconda della strumentazione posseduta e delle circostanze presenti nel caso concreto. Si dovranno prevedere, pertanto, le opportune misure per assicurare la protezione fisica e logica del server (protezione dei locali, previsione di procedure di accesso, sistemi di allarme e dispositivi antincendio, servizi di vigilanza, etc.), delle strutture di rete (sistemi di firewall, procedure specifiche per chi accede alle infrastrutture, etc.) e dei singoli elaboratori situati negli uffici e negli altri locali dell'azienda (protezione del sistema operativo e dei programmi applicativi, installazione ed aggiornamento dei programmi antivirus, allarmi antifurto, sistemi di vigilanza, gruppi di continuità, etc.).

Si ricorda, inoltre, che le misure di sicurezza vanno adottate non solo in riferimento agli elaboratori presenti nell'azienda ma anche rispetto agli altri strumenti elettronici (computer palmari, notebook, etc.) detenuti a vario titolo da responsabili e/o incaricati sui quali transitano dati personali.

Criteri e modalità di ripristino della disponibilità dei dati (regola 19.5)

La sezione descrive i criteri e le procedure da adottare per il ripristino dei dati in caso di perdita o danneggiamento. Si ricorda che il Codice impone (con esclusivo riferimento ai dati sensibili o giudiziari) l'adozione di idonee misure per garantire l’accesso ai dati in caso di danneggiamento degli stessi o degli strumenti elettronici, in tempi compatibili con i diritti degli interessati e non superiori a sette giorni (regola 23).

Per soddisfare la regola 19.5, pertanto, sembra sufficiente una sintetica descrizione delle procedure in essere, anche elaborata in forma discorsiva, conformemente alle disposizioni del disciplinare tecnico.

Pianificazione degli interventi formativi previsti (regola 19.6)

Il disciplinare tecnico definisce in maniera specifica gli adempimenti in termini di formazione nei confronti degli incaricati. Nel documento programmatico, pertanto, si dovranno descrivere le caratteristiche degli interventi formativi a cui si intende procedere.

Il disciplinare tecnico dispone che la formazione debba avere carattere di periodicità, debba essere fornita in determinate occasioni (attribuzione dell'incarico; cambiamento del profilo di autorizzazione; introduzione di nuovi strumenti, rilevanti rispetto al trattamento di dati personali) ed avere specifici contenuti (rischi che incombono sui dati, misure per la prevenzione degli eventi dannosi, profili della disciplina della protezione dei dati personali rilevanti per l’attività svolta, profili di responsabilità, modalità per aggiornarsi sulle misure minime adottate dal titolare).

Nel documento programmatico, pertanto, si descriverà l’adozione di un piano formativo conforme alle prescrizioni del disciplinare tecnico (ad esempio individuando i potenziali destinatari degli interventi formativi e la loro natura). Anche a fini probatori è opportuno conservare tutta la documentazione di cui ci si è avvalsi nell'attività di formazione, così da poter provare l'avvenuta formazione degli incaricati.

Si ricorda che il ''corso di formazione'' in aula è solo una delle possibili modalità di aggiornamento. La regola 19.6, infatti, non richiede modalità specifiche e consente anche altre modalità di formazione degli incaricati (e-learning, formazione erogata attraverso l’intranet aziendale etc.).

Pertanto, anche in considerazione delle dettagliate indicazioni contenute nel disciplinare tecnico, sembra possibile sviluppare la regola 19.6 in via discorsiva, lasciando al titolare la facoltà di avvalersi dello strumento di formazione più idoneo al caso concreto.

Trattamenti affidati all’esterno (regola 19.7)

La regola 19.7 richiede di descrivere i criteri da adottare per garantire l’adozione delle misure minime di sicurezza nel caso in cui i trattamenti siano affidati all’esterno della struttura del titolare.

La tabella proposta dal Garante richiede una sintetica descrizione dell’attività affidata all’esterno, l’indicazione dei trattamenti di dati effettuati e del soggetto esterno che procede al trattamento.

Quanto alla descrizione dei criteri da impiegare, le istruzioni del Garante consentono di fare riferimento ad ipotesi e criteri differenti, a seconda che il soggetto esterno resti autonomo titolare ovvero sia nominato responsabile del trattamento.

Il Garante fa riferimento, a titolo esemplificativo, ai possibili criteri da impiegare. Alcuni dei criteri potranno essere impiegati esclusivamente ove si proceda alla nomina del soggetto esterno a responsabile ai sensi dell’art. 29 del Codice. Solo in questo caso, infatti, il soggetto esterno si potrà impegnare al rispetto delle istruzioni specifiche ricevute per il trattamento dei dati ed a fornire al titolare una relazione relativa all’attività svolta.

Le clausole suggerite dal Garante sono la diretta conseguenza delle regole previste per la nomina a responsabile. In particolare si fa riferimento a:


l’obbligo di rispettare le istruzioni specifiche eventualmente ricevute per il trattamento dei dati personali, anche integrando le procedure già in essere (cfr. art. 29, co. 4 del Codice);


l’impegno a relazionare periodicamente sulle misure di sicurezza adottate e ad informare il titolare del trattamento in caso di situazioni anomale o emergenze (cfr. art. 29, co. 5 del Codice).

Si ricorda che la nomina di un soggetto esterno a responsabile non sempre si rende necessaria ed obbligata. Nella prassi aziendale tale scelta è subordinata a criteri di natura pratica e valutazioni di opportunità: la natura del trattamento affidato all'esterno, le caratteristiche del soggetto che procede al trattamento, etc.

Qualora il soggetto esterno resti autonomo titolare sarà sufficiente limitarsi alla predisposizione di apposite clausole contrattuali finalizzate ad assicurare il rispetto della normativa da parte del soggetto che riceve i dati. La responsabilità del titolare che affida trattamenti a soggetti esterni (non nominati responsabili o incaricati) rispetto alla propria struttura, infatti, termina nel momento in cui i dati sono trasmessi al soggetto esterno.

In questa seconda ipotesi, pertanto, il titolare dovrà limitarsi a curare la fase della trasmissione dei dati e richiedere l'inserimento di apposite clausole contrattuali (attraverso le quali la controparte si impegna a limitare il trattamento di dati ai soli fini dell’espletamento dell’incarico ricevuto ed all’adempimento degli obblighi previsti dal Codice in materia di dati personali). Tra gli impegni che possono essere assunti su base contrattuale il Garante ricorda, a titolo esemplificativo:


l’impegno a trattare i dati ricevuti unicamente per l’espletamento dell’incarico da svolgere;


l’adempimento degli obblighi previsti dal Codice in materia di protezione dei dati personali.

Criteri da adottare per la cifratura dei dati (regola 19.8)

Il documento programmatico sulla sicurezza impone infine agli organismi sanitari ed ai soggetti esercenti la professione sanitaria di individuare i criteri per la separazione dei dati personali idonei a rivelare lo stato di salute e la vita sessuale da quelli identificativi dell’interessato.

I criteri per la separazione sono indicati nella regola 22 del disciplinare tecnico e consistono, ad esempio, nella crittografia delle informazioni o nella cifratura dei dati identificativi, quando trattati elettronicamente, oppure nella conservazione in registri separati, quando trattati senza l’ausilio di strumenti elettronici.

Allegato: Guida DPS


Per ulteriori informazioni: Fabrizio Impera

Credits: J-Service srl realizzazione siti web