Le misure minime di sicurezza per i trattamenti di dati effettuati con strumenti elettronici

I trattamenti di dati personali che si svolgono mediante l’ausilio di mezzi elettronici debbano contemplare l’adozione di misure minime di sicurezza: quali sono? Come funzionano e quali garanzie offrono? Giovanni Buonuomo e Gianluigi Ciacci affrontano il tema attraverso un punto di vista aggiornato e specifico di esperti in materia di informatica giuridica nel volume “Profili di informatica giuridica”. Il contenuto di seguito è tratto e rielaborato dal manuale già disponibile per l’acquisto su Shop.Wki.it. Clicca il box di seguito per avere un dettaglio sui contenuti. L’art. 34 del D.Lgs. n. 196/2000 stabilisce che i trattamenti di dati che si svolgono mediante l’ausilio di mezzi elettronici debbano contemplare l’adozione delle seguenti misure per realizzare un sistema minimo di protezione dei dati personali sottoposti a trattamento: • autenticazione informatica; • procedure di gestione delle credenziali di autenticazione; • utilizzazione di sistemi di autorizzazione; • aggiornamento periodico dell’individuazione dell’ambito di trattamento per singolo incaricato; • protezione di strumenti informatici e dati rispetto alla pirateria informatica; • adozione di procedure di back up e di ripristino della disponibilità dei dati e dei sistemi; • adozione di tecniche di cifratura per i trattamenti di dati sensibili nel caso vengano effettuati da organismi sanitari.

Autenticazione Informatica

La legge stabilisce l’obbligo per il titolare del trattamento di configurare il proprio sistema informatico contenente dati personali (il singolo computer o la rete di computer di piccole, medie o grandi dimensioni) in modo tale che venga necessariamente identificato qualsiasi soggetto che vi acceda: l’identificazione avviene tramite una “credenziale di autenticazione”, solo riconosciuta la quale sarà possibile per il soggetto incaricato del trattamento utilizzare la risorsa informatica. Le c.d. “credenziali di autenticazione” prevedono tre sistemi differenti, alternativi tra loro, la cui scelta da parte del titolare del trattamento è per il momento assolutamente facoltativa e libera: • un codice per l’identificazione dell’incaricato (userid) associato a una parola chiave (password) riservata e conosciuta solamente dal medesimo; • un dispositivo di autenticazione in possesso e uso esclusivo dell’incaricato (badge, pass, etc.), eventualmente sempre associato a un codice identificativo o a una parola chiave; • una caratteristica biometrica dell’incaricato (impronte digitali, impronta retinica, firma grafometrica, etc.), eventualmente ancora associata a un codice identificativo o a una parola chiave. Il sistema più usato, attualmente, in quanto sicuramente più semplice da porre in essere (spesso previsto in automatico dai recenti sistemi operativi dei personal computer) è quello della parola chiave associata ad un codice identificativo dell’utente (le c.d. “userid” e “password”): e per questo motivo il Disciplinare tecnico nell’Allegato B del Codice prevede al suo art. 5 alcune regole per l’adozione e la gestione di questa credenziale di autenticazione. La parola chiave deve infatti rispettare le seguenti caratteristiche: • deve essere composta da almeno 8 caratteri (o comunque il massimo consentito dal sistema); • non deve contenere riferimenti agevolmente riconducibili all’incaricato (il proprio nome, il nome dei familiari, la data di nascita, etc.); • deve essere modificata al primo utilizzo dall’incaricato a cui è affidata (nel caso in cui sia lo stesso sistema a fornirle agli utenti, questi devono cambiarla personalizzandola); • deve essere modificata almeno ogni sei mesi (per i dati sensibili e i dati giudiziari invece almeno ogni tre). Più in generale, per le credenziali di autenticazione: • quando non sono utilizzate per almeno sei mesi vengono disattivate, salvo quelle preventivamente autorizzate per soli scopi di gestione tecnica; • le credenziali sono disattivate anche in caso di perdita della qualità che consente all’incaricato l’accesso ai dati; • il codice per l’identificazione, laddove utilizzato, non può essere assegnato ad altri incaricati, neppure in tempi diversi; • con le istruzioni impartite agli incaricati è prescritto di adottare le necessarie cautele per assicurare la segretezza della componente riservata della credenziale e la diligente custodia dei dispositivi in possesso ed uso esclusivo dell’incaricato.

Sistemi di autorizzazione

Oltre ad essere autenticati, cioè riconosciuti al momento del loro accesso al sistema informatico (e durante il suo utilizzo), i soggetti che svolgono le operazioni di trattamento devono essere anche autorizzati ad accedere agli specifici dati personali, e/o ad effettuare alcune o tutte le operazioni in cui si articola il trattamento. Il Disciplinare tecnico detta i seguenti principi: • i profili di autorizzazione, per ciascun incaricato o per classi omogenee di incaricati, sono individuati e configurati anteriormente all’inizio del trattamento per limitare l’accesso ai soli dati necessari alle operazioni di trattamento; • periodicamente, quanto meno semestralmente, deve essere verificata la sussistenza delle condizioni per la conservazione dei profili di autorizzazione; • nel procedere all’aggiornamento periodico, da effettuarsi con cadenza almeno annuale, dell’individuazione delle operazioni di trattamento consentite ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici, la lista degli incaricati può essere redatta anche per classi omogenee di incarico e dei relativi profili di autorizzazione.

Protezione degli strumenti informatici e dei dati rispetto alla pirateria informatica

I sistemi informatici possono subire attacchi lesivi provenienti dall’esterno della struttura in cui si trovano, attacchi che possono essere mirati ad accedere a determinati dati per poterli modificare o cancellare, sia per fini di profitto personale (si pensi ad un concorrente di una determinata struttura), che per fini semplicemente vandalici o ludico-dimostrativi: ed è quest’ultimo il caso degli accessi abusivi ai sistemi informatici effettuati dai famosi “hacker”. Il Codice richiede che il sistema informatico sia protetto da entrambe queste modalità di attacco, attraverso le seguenti tecniche: • l’attivazione di idonei strumenti elettronici da aggiornare con cadenza almeno semestrale (sono i programmi “antivirus”); • gli “aggiornamenti periodici dei programmi per elaboratore volti a prevenire la vulnerabilità di strumenti elettronici e a correggerne difetti” (i c.d. “patch”); • per i dati sensibili e giudiziari sono richiesti anche idonei sistemi elettronici volti a proteggere il sistema da accessi abusivi (i c.d. “firewall”).

Adozione di procedure di back up e di ripristino della disponibilità dei dati e dei sistemi

Il codice richiede, inoltre, l’adozione di procedure per la custodia di copie di sicurezza e per il ripristino della disponibilità dei dati e dei sistemi. Per le informazioni personali comuni è sufficiente prevedere semplicemente di effettuare un back up di dati, cioè una copia integrale dei dati memorizzati da conservare su un supporto di memoria ulteriore e diverso rispetto a quello sul quale risiedono abitualmente: si può spaziare dall’installazione di apparecchiature particolari che ogni giorno, al momento dello spegnimento delle macchine, assolvono in automatico il compito di effettuare il back up dei dati, all’assolvimento di questo compito da parte dello stesso titolare, o del responsabile, manualmente attraverso l’uso ad esempio di un masterizzatore e di supporti ottici adeguati (in questo caso il costo è certamente molto contenuto, ma la procedura più rischiosa). Per il trattamento di dati sensibili e giudiziari è invece obbligatorio predisporre, oltre alle indicate procedure per il back up dei dati, anche un vero e proprio piano di “disaster recovery”: questo consiste nella preparazione di apposite e idonee misure per garantire il ripristino dell’accesso ai dati in caso di danneggiamento degli stessi o degli strumenti elettronici, in tempi certi e compatibili con i diritti degli interessati, e comunque non superiori a sette giorni. Si tratta più o meno di un adempimento simile al back up, ma si effettua per l’intero sistema informatico: niente di particolarmente complicato, essendo spesso lo stesso programma operativo a renderlo già possibile (ad esempio con il c.d. disco di ripristino del sistema), ma è necessario per consentire, in caso si realizzi un evento dannoso, di riprendere a lavorare senza perdita di dati e in breve tempo. “Le misure di sicurezza informatiche: “idonee”, “minime” e responsabilità collegate” “Le misure minime di sicurezza per i trattamenti di dati effettuati con strumenti cartacei” Questo articolo è tratto da “Profili di informatica giuridica”. Clicca qui per acquistare.