Tutela della Privacy vs Sicurezza

L’evoluzione tecnologica e il sempre crescente affinamento della complessità delle tecniche di attacco informatico e soprattutto dal crescente danno causato da tali attacchi a organizzazioni ed enti aziendali, ormai strettamente dipendenti dai loro sistemi informatici, hanno costretto le stesse,  ad utilizzare sistemi di sicurezza basati su tecnologie sempre più sofisticate. Il filo che separa queste tecniche dall’essere o meno eccessivamente invasive a livello di privacy (per i dipendenti delle aziende che li utilizzano) è sempre più labile e sottile.

Premessa : Il trattamento di dati personali è regolamentato da numerose leggi, in particolare la Direttiva 95/46/CE del Parlamento Europeo e del Consiglio dell’Unione Europea (relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati) e il DL 196/2003 (codice in materia di protezione dei dati personali).

La Direttiva Europea stabilisce che:

  1. Gli Stati membri garantiscono, conformemente alle disposizioni della direttiva, la tutela dei Diritti e delle Libertà fondamentali delle persone fisiche e in particolare del diritto alla vita privata, con riguardo al trattamento dei dati personali.
  2. Gli Stati membri non possono restringere o vietare la libera circolazione dei dati personali tra Stati membri, per motivi connessi alla tutela garantita a norma del paragrafo 1.

Il Codice Italiano della Privacy, molto più dettagliato, rimarca il diritto di chiunque alla protezione dei dati personali che lo riguardano e disciplina le modalità di trattamento dei dati, specificando anche i requisiti di sicurezza dei dati e dei sistemi informatici.

In sostanza queste leggi stabiliscono che la custodia e il trattamento dei dati personali sono legati ai progressi tecnici, alla natura dei dati e alle caratteristiche del trattamento, in modo che adeguate misure preventive di sicurezza riducano al minimo i rischi in termini di riservatezza, integrità e disponibilità e al tempo stesso introducono due concetti che meritano attenzione nell’ambito della sicurezza informatica: l’idoneità e l’evoluzione delle misure di sicurezza.

L’idoneità è un criterio che non descrive una particolare soluzione se non attraverso i risultati ottenuti. In caso di contestazione, chi è responsabile delle scelte e dell’attuazione delle politiche di sicurezza dovrà dimostrare di avere adottato le misure necessarie per evitare la perdita di sicurezza che si è verificata e che quest’ultima è attribuibile a eventi fortuiti o di causa maggiore.

L’evoluzione delle misure di sicurezza è inevitabile per stare al passo (idealmente per anticipare) delle modalità e degli strumenti di attacco. L’aggiornamento delle politiche di sicurezza e delle contromisure tecnologiche è indispensabile per mantenere nel tempo l’idoneità delle soluzioni messe in campo ed evitare quindi azioni di responsabilità civile intraprese dai soggetti che si dichiarano danneggiati.

L’esigenza di ottenere gli obiettivi di sicurezza in termini e costi ben definiti ha favorito l’outsourcing della sicurezza attraverso contratti che impegnano il fornitore a gestire le problematiche di sicurezza in nome e per conto del committente. Tali contratti garantiscono il rispetto di specifici SLA (Service Level Agreement : ossia accordi sulle tempistiche di risoluzione e intervento) o di standard internazionali come il BS 7799/ISO 17799 che, se adottati, producono il livello di idoneità del livello di sicurezza richiesto dai legislatori.

Il Disciplinare tecnico in materia di misure minime di sicurezza (Allegato B del Codice della privacy italiano) definisce le misure minime di sicurezza che devono essere adottate dalle organizzazioni che trattano dati personali attraverso strumenti elettronici o in altro modo. E’ bene specificare che l’osservanza delle misure minime di legge elencate nell’Allegato B evita sì il rischio di sanzioni di tipo penale, ma solo l’adozione di misure di livello superiore può tenere l’azienda al riparo da azioni di responsabilità civile. Sempre l’Allegato B prescrive l’uso di credenziali di autenticazione per accedere al sistema, specifica norme per la scelta e l’amministrazione delle password, prevede sistemi di autorizzazione per limitare gli accessi alle informazioni minime necessarie e include altre misure di sicurezza (aggiornamenti software, backup periodici, sistemi  anti-intrusione, programmi anti-malware).

La Sicurezza non è un prodotto che si acquista, ma un costante processo che coinvolge diverse figure aziendali, per questa ragione il legislatore ha stabilito che il Titolare e il Responsabile del trattamento dei dati personali devono redigere, almeno una volta l’anno, un documento programmatico sulla sicurezza dei dati particolarmente dettagliato. I contenuti richiesti comprendono :

  • i dati trattati;
  • il personale responsabile;
  • l’analisi dei rischi;l
  • le contromisure fisiche, procedurali e tecniche da adottare;
  • le misure di disaster recovery adottate;
  • le azioni programmate di formazione del personale;
  • i criteri per garantire i criteri minimi di sicurezza del trattamento dati in caso di outsourcing;
  • i criteri da adottare per la cifratura o altra forma di protezione di dati sensibili.

È interessante notare che la legge recepisce l’importanza dell’analisi del rischio, che include il censimento dei beni da proteggere, la valutazione delle minacce e dei danni potenziali e la definizione delle contromisure, anche le attività di formazione e gli interventi organizzativi lasciano trasparire la necessità di coinvolgere nelle problematiche di sicurezza tutti i soggetti che condividono la responsabilità della custodia e del trattamento dei dati.

Infine è bene sapere che anche in caso di outsourcing, il Titolare conserva la responsabilità finale del trattamento dei dati e per contratto dovrà ricevere dal fornitore un documento che attesti la conformità con le disposizioni. La mancata adozione delle misure minime di sicurezza è sanzionata penalmente dal Codice della privacy; l’articolo 169 prevede l’arresto sino a due anni o l’ammenda da 10.000 a 50.000 euro per chi è soggetto al codice e omette di adottare le misure minime prescritte. L’insieme delle sanzioni, suddivise tra violazioni amministrative e illeciti penali, è descritto negli articoli 161- 172 del codice. (continua)

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *