COMMENTO: Il trattamento dei dati con strumenti elettronici

di Elena Bassoli

Se il trattamento di dati personali è effettuato con strumenti elettronici, il titolare è obbligato, in base all’art. 34 del d. lgs. 196/2003 ad adottare particolari misure che riguardano prevalentemente le modalità di accesso, sì da poter verificare, in caso di illeciti connessi all’utilizzo dello strumento informatico, l’identità dell’autore dell’illecito o quantomeno il responsabile dell’accesso abusivo dall’esterno.
In base all’art. 34, pertanto, è necessario adottare:
a) sistemi di autenticazione informatica
Questo sistema, al pari degli altri accorgimenti previsti dal presente articolo, è oggetto di specificazione ad opera dell’Allegato B, che lo prevede come requisito per poter lecitamente effettuare il trattamento di dati personali con strumenti elettronici.
In particolare, oltre al titolare e al responsabile, come ovvio, è consentito l’accesso ai sistemi informatici soltanto ad incaricati che siano dotati di credenziali di autenticazione che consentano il superamento di una procedura di autenticazione relativa ad uno specifico trattamento o ad un insieme di trattamenti.
Le credenziali di autenticazione (login), in particolare, consistono in un codice per l’identificazione dell’incaricato (user-id) associato a una parola chiave riservata (password) conosciuta solamente dal medesimo oppure in un dispositivo di autenticazione in possesso e uso esclusivo dell’incaricato, eventualmente associato a un codice identificativo o a una parola chiave, oppure in una caratteristica biometrica dell’incaricato, eventualmente associata a un codice identificativo o a una parola chiave.
Pertanto le credenziali di autenticazione possono consistere in una procedura di login, composta da user-id e password, oppure in un dispositivo di firma elettronica, costituito da una smart card con relativo lettore, o ancora in una chiave biometrica.
Quando nel sistema di autenticazione è prevista la parola chiave, essa deve comporsi di almeno otto caratteri oppure, nel caso in cui lo strumento elettronico non lo permetta, da un numero di caratteri pari al massimo consentito.
Poiché una delle cause più frequenti di accesso indiscriminato a sistemi informatici è dovuto alla negligenza degli stessi operatori – frequente è il mal costume di scrivere la password su un post-it attaccato al monitor o al case del pc – essa non deve contenere riferimenti agevolmente riconducibili all’incaricato e deve essere modificata da quest’ultimo al primo utilizzo e, successivamente, almeno ogni sei mesi. In caso di trattamento di dati sensibili e di dati giudiziari la parola chiave è modificata almeno ogni tre mesi.
Ad ogni incaricato possono essere assegnate o associate individualmente una o più credenziali per l’autenticazione. Agli incaricati devono essere fornite dal titolare, oltre le istruzioni di autenticazione, anche le prescrizioni in merito all’adozione delle necessarie cautele per assicurare la segretezza della password e la diligente custodia dei dispositivi di smart-card.
Il riconoscimento biometrico [1], invece, è la sequenza di codici informatici usati nell’ambito di meccanismi di sicurezza, che impiegano metodi di verifica dell’identità personale basati su specifiche caratteristiche fisiche dell’utente: è da distinguersi dalle chiavi asimmetriche, poiché trattasi di memorizzare nel computer alcuni caratteri fisici dell’utente (es.: impronta digitale oppure retina). Tale strumento fornisce un’impronta personale al sistema, che la firma digitale non possiede, garantendo una maggiore sicurezza, poiché previene la possibilità che un terzo si impossessi di una delle chiavi componenti la coppia.
b) procedure di gestione delle credenziali di autenticazione
Il codice per l’identificazione, laddove utilizzato, non può essere assegnato ad altri incaricati, neppure in tempi diversi.
Le credenziali di autenticazione non utilizzate da almeno sei mesi sono disattivate, salvo quelle preventivamente autorizzate per soli scopi di gestione tecnica. Le credenziali sono disattivate anche in caso di perdita della qualità che consente all’incaricato l’accesso ai dati personali.
Sono impartite istruzioni agli incaricati per non lasciare incustodito e accessibile lo strumento elettronico durante una sessione di trattamento.
Quando l’accesso ai dati e agli strumenti elettronici è consentito esclusivamente mediante uso della componente riservata della credenziale per l’autenticazione, sono impartite idonee e preventive disposizioni scritte volte a individuare chiaramente le modalità con le quali il titolare può assicurare la disponibilità di dati o strumenti elettronici in caso di prolungata assenza o impedimento dell’incaricato che renda indispensabile e indifferibile intervenire per esclusive necessità di operatività e di sicurezza del sistema. In tal caso la custodia delle copie delle credenziali è organizzata garantendo la relativa segretezza e individuando preventivamente per iscritto i soggetti incaricati della loro custodia, i quali devono informare tempestivamente l’incaricato dell’intervento effettuato.
Peraltro è interessante notare che l’All. B, al punto 11, preveda che le disposizioni sul sistema di autenticazione di cui ai precedenti punti e quelle sul sistema di autorizzazione non si applicano ai trattamenti dei dati personali destinati alla diffusione.
c) un sistema di autorizzazione
Quando per gli incaricati sono individuati profili di autorizzazione di ambito diverso è utilizzato un sistema di autorizzazione. Per profili di autorizzazione di ambito diverso deve presumibilmente intendersi diversi livelli di accesso, quali amministratore di sistema, dotato di determinati privilegi, o semplice operatore.
Il punto 13 dell’All. B prevede poi che i profili di autorizzazione, per ciascun incaricato o per classi omogenee di incaricati, debbano essere individuati e configurati anteriormente all’inizio del trattamento, in modo da limitare l’accesso ai soli dati necessari per effettuare le operazioni di trattamento.
Periodicamente, e comunque almeno annualmente, deve essere verificata la sussistenza delle condizioni per la conservazione dei profili di autorizzazione.
d) aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici
Ai sensi del punto 15 dell’Allegato B l’aggiornamento periodico descritto dalla lettera d) dell’art. 34 del Codice deve avvenire con cadenza almeno annuale. Occorre cioè che il titolare del trattamento individui almeno una volta all’anno l’ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici. Peraltro la lista degli incaricati può essere redatta anche per classi omogenee di incarico e dei relativi profili di autorizzazione.
e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici
I dati personali oggetto del trattamento svolto con strumenti elettronici, devono essere protetti contro il rischio di intrusione illecita, nonché contro l’azione di programmi di cui all’art. 615-quinquies [2] del codice penale, mediante l’attivazione di idonei strumenti elettronici da aggiornare con cadenza almeno semestrale.
Il riferimento all’art. 615-quinquies c.p., operato esplicitamente dal punto 16 dell’All. B, impone una breve digressione in merito. Infatti, l’art. 615-quinquies [3], rubricato all’interno del codice penale come “diffusione di programmi diretti a danneggiare o interrompere un sistema informatico”, vale a dire i cosiddetti virus, è stato introdotto dalla L. 547/1993, sui crimini informatici.
Questo articolo è l’ultimo [4] della trilogia dedicata alla protezione del domicilio informatico, questo articolo individua con precisione tutte quelle situazioni in cui un sistema informatico è danneggiato dall’interno. Il caso tipico è rappresentato dai cosiddetti virus che, nelle sembianze di programmi o di frammenti di codice eseguibile, danneggiano o interrompono il regolare funzionamento di un sistema informatico. Anche in questo caso il legislatore ha voluto definire con precisione una nuova fattispecie, non riconosciuta dalla giurisprudenza precedente all’entrata in vigore della legge 547.
In questa ipotesi criminosa rientra la condotta di chi, per divertimento, diffonde un virus. Il dolo richiesto, infatti, è generico, per cui non hanno rilevanza i motivi che stanno alla base della diffusione dei virus, ciò che unicamente rileva è la coscienza e volontà di diffondere programmi pericolosi per i sistemi informatici.
Il problema si complica se manca la coscienza e volontà ma si cagiona comunque un danno. Ad esempio se una software house fornisce ai propri collaboratori programmi virus per la creazione di programmi antivirus, mancando la volontà di danneggiare, non sussisterebbe il reato. Parte della dottrina propende invece per l’applicabilità dell’articolo in esame ogniqualvolta si sia consapevoli di trasmettere a terzi programmi comunque idonei a danneggiare sistemi informatici, qualunque ne sia la motivazione.
È chiaro che se si crea un virus per proprio diletto, senza mai diffonderlo non si incorrerà in alcuna sanzione, come anche colui che raccoglie, senza diffonderli, programmi virus al fine di creare un antivirus.
Ai sensi del punto 17 dell’All. B, inoltre, i programmi antivirus, gli altri programmi che prevengano gli accessi abusivi, o quelli che correggano i difetti di sistema, devono essere aggiornati almeno annualmente. In caso di trattamento di dati sensibili o giudiziari l’aggiornamento è almeno semestrale.
f) procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi
Poichè la perdita dei dati dovuti a blocco del sistema informatico, è meno infrequente di quanto si possa pensare, il legislatore ha previsto l’effettuazione di copie di back-up degli archivi contenenti dati altrui. A tal fine sono impartite istruzioni organizzative e tecniche che prevedono il salvataggio dei dati con frequenza almeno settimanale.
g) tenuta di un aggiornato documento programmatico sulla sicurezza
Si tratta di un particolare documento sulla sicurezza contenente idonee informazioni, previsto dal punto n. 19 dell’Allegato B.
Tale documento deve contenere:
– l’elenco dei trattamenti di dati personali;
– la distribuzione dei compiti e delle responsabilità nell’ambito delle strutture preposte al trattamento dei dati;
– l’analisi dei rischi che incombono sui dati;
– le misure da adottare per garantire l’integrità e la disponibilità dei dati, nonché la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità;
– la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento. Si tratta in particolare delle modalità di ripristino dell’accesso ai dati in caso di danneggiamento degli stessi o degli strumenti elettronici, in tempi certi compatibili con i diritti degli interessati e non superiori a sette giorni;
– la previsione di interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare. La formazione è programmata già al momento dell’ingresso in servizio, nonché in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati personali;
– la descrizione dei criteri da adottare per garantire l’adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformità al codice, all’esterno della struttura del titolare. In questo caso, precisa il punto 25, il titolare che adotta misure minime di sicurezza avvalendosi di soggetti esterni alla propria struttura, per provvedere alla esecuzione riceve dall’installatore una descrizione scritta dell’intervento effettuato che ne attesta la conformità alle disposizioni del disciplinare tecnico, vale a dire dell’All. B.
Il titolare, inoltre, riferisce, nella relazione accompagnatoria del bilancio d’esercizio, se dovuta, dell’avvenuta redazione o aggiornamento del documento programmatico sulla sicurezza.
– per i dati personali idonei a rivelare lo stato di salute e la vita sessuale di cui al punto 24 [5], l’individuazione dei criteri da adottare per la cifratura o per la separazione di tali dati dagli altri dati personali dell’interessato.
Il documento programmatico deve essere redatto ogni anno entro il 31 marzo a cura del titolare del trattamento di dati sensibili o di dati giudiziari. Qualora sia stato designato un responsabile del trattamento, il titolare può demandare a questi la redazione del documento programmatico.
h) tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari
Le tecniche di cifratura cui si riferisce la lettera h) dell’art. 34, in relazione al trattamento di dati idonei a rivelare lo stato di salute o la vita sessuale effettuato da organismi sanitari non vengono specificati nel capitolato tecnico. Occorre pertanto ricercarne la determinazione aliunde. Un accenno viene comunque effettuato al punto 24, che prevede che gli organismi sanitari e gli esercenti le professioni sanitarie effettuano il trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale contenuti in elenchi, registri o banche di dati con le modalità di cui all’articolo 22, comma 6 [6], del codice, anche al fine di consentire il trattamento disgiunto dei medesimi dati dagli altri dati personali che permettono di identificare direttamente gli interessati. I dati relativi all’identità genetica sono trattati esclusivamente all’interno di locali protetti accessibili ai soli incaricati dei trattamenti ed ai soggetti specificatamente autorizzati ad accedervi; il trasporto dei dati all’esterno dei locali riservati al loro trattamento deve avvenire in contenitori muniti di serratura o dispositivi equipollenti; il trasferimento dei dati in formato elettronico è cifrato.
Ritornando alle tecniche di cifratura si può qui accennare alle metodiche riconosciute dal legislatore italiano, da ultimo, con d. lgs. 10/2002 [7], che si avvalgono della cosiddetta “cifratura a doppia chiave asimmetrica”.Essa, semplificando, esplica la propria funzione in relazione ad una coppia di chiavi complementari o correlate, di cui una è privata, e quindi conoscibile esclusivamente dal rispettivo titolare, mentre l’altra è pubblica, il che significa che essa è utilizzabile da parte di qualunque soggetto interessato a porre in essere operazioni, soprattutto a carattere economico, col titolare delle chiavi suddette.
Tale complementarietà consente che ognuna delle chiavi possa sbloccare il codice apposto dall’altra e soltanto questo: se l’una, infatti, è stata usata per la cifratura di un documento, l’altra dovrà venire impiegata per decifrare lo stesso, e viceversa [8].
Ancora, ad integrare le peculiarità tipiche dello strumento in esame, al fine di garantire la pienezza delle funzioni, risulta la caratteristica dell’indipendenza, vale a dire la circostanza per cui sia impossibile risalire, ad esempio, alla chiave privata conoscendo la pubblica corrispondente o viceversa. L’utilizzo è semplificato dall’uso di una smart-card e di un apposito lettore, che effettuano tali operazioni in assoluta semplicità per l’utente.
________________________________________
[1] Ne sia un esempio il sistema di riconoscimento dell’identità personale basato sul sistema del rilevamento delle impronte digitali, di recente applicato alla nuova disciplina in tema d’immigrazione (c.d. legge Bossi-Fini). In particolare, le impronte digitali verranno rilevate a tutti i cittadini extracomunitari che chiedano il rinnovo o il rilascio del permesso di soggiorno ovvero nel caso di dubbio sull’identità dello straniero al fine di avere la certezza sull’identità da questi dichiarata.
[2] 615-quinquies. (Diffusione di programmi diretti a danneggiare o interrompere un sistema informatico). Chiunque diffonde, comunica o consegna un programma informatico da lui stesso o da altri redatto. avente per scopo o per effetto il danneggiamento di un sistema informatico o telematico, dei dati o dei programmi in esso contenuti o ad esso pertinenti, ovvero l’ interruzione totale o parziale, o l’ alterazione del suo funzionamento. è punito con la reclusione sino a 2 due anni e con la multa sino a lire venti milioni.
[3] Questo articolo è stato aggiunto dall’ art. 41 della L. 23 dicembre 1993. n. 547 recante modificazioni e integrazioni alle norme del codice penale e di procedura in tema di criminalità informatica.
[4] Dopo gli articolo 615-ter (Accesso abusivo a un sistema informatico o telematico) e 615-quater (Detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici), anch’essi introdotti dalla L. 547/1993.
[5] 24. Gli organismi sanitari e gli esercenti le professioni sanitarie effettuano il trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale contenuti in elenchi, registri o banche di dati con le modalità di cui all’articolo 22, comma 6, del codice, anche al fine di consentire il trattamento disgiunto dei medesimi dati dagli altri dati personali che permettono di identificare direttamente gli interessati. I dati relativi all’identità genetica sono trattati esclusivamente all’interno di locali protetti accessibili ai soli incaricati dei trattamenti ed ai soggetti specificatamente autorizzati ad accedervi; il trasporto dei dati all’esterno dei locali riservati al loro trattamento deve avvenire in contenitori muniti di serratura o dispositivi equipollenti; il trasferimento dei dati in formato elettronico è cifrato.
[6] 6. I dati sensibili e giudiziari contenuti in elenchi, registri o banche di dati, tenuti con l’ausilio di strumenti elettronici, sono trattati con tecniche di cifratura o mediante l’utilizzazione di codici identificativi o di altre soluzioni che, considerato il numero e la natura dei dati trattati, li rendono temporaneamente inintelligibili anche a chi è autorizzato ad accedervi e permettono di identificare gli interessati solo in caso di necessità.
[7] D.L.vo 23 gennaio 2002, n. 10, “Attuazione della direttiva 1999/93/CE relativa ad un quadro comunitario per le firme elettroniche”, G.U. del 15 febbraio 2002, n. 39.
[8] V. amplius E. BASSOLI, Appunti sulla firma digitale, Genova, Ecig, 2003.

Questa voce è stata pubblicata in Commento, Legge sulla privacy e contrassegnata con , , , . Contrassegna il permalink.

Lascia un commento