Programmare la sicurezza per garantire la riservatezza

Ogni anno, entro il 31 Marzo, deve essere redatto il “Documento programmatico in materia di sicurezza” (DPS o DPSS). Non si tratta solo di una misura di sicurezza prevista dall’art. 34 del Codice della Privacy (Decreto Legge 196/2003), ma anche dell’occasione per fare il punto, almeno una volta all’anno, sul sistema adottato e da adottare nell’ambito della propria attività.

Il legislatore afferma all’art. 34 che il DPS deve essere redatto da tutti coloro che trattano dati con strumenti elettronici, e di seguito, all’art. 19 dell’allegato b, afferma invece che il DPS è dovuto
nel caso di trattamento di dati sensibili e giudiziari. Si tratta di una precisazione che ha generato l’interpretazione per cui il DPS è dovuto sempre nell’ipotesi di trattamento con strumenti elettronici di qualsiasi tipo di dato e nelle ipotesi di trattamento di dati sensibili e giudiziari sia con che senza l’ausilio di strumenti elettronici. Mentre nel caso di trattamento di dati senza strumenti elettronici il DPS è facoltativo anche se consigliato.

Non c’è obbligo di presentazione al Garante, ma semplicemente l’obbligo di tenere il DPS aggiornato ed a
disposizione delle autorità nel caso venisse richiesto per eventuali controlli. I destinatari interessati sono sia le aziende private che le amministrazioni pubbliche che effettuano trattamenti di dati sensibili o giudiziari con strumenti elettronici. Il Codice prevede, per omessa adozione del DPS (o di altra misura minima di sicurezza), sanzioni
severe che vanno dall’arresto sino a due anni o l’ammenda da 10.000 euro a 50.000 euro (art.169). Il Timbro Digitale messo a punto dalla Digitaltrust è applicabile al nostro contesto per dimostrare che l’aggiornamento è avvenuto con cadenza annuale, come stabilisce l’art. 19 del Disciplinare Tecnico (All.B), con la “data certa” acquisita a titolo probatorio.

Come deve essere redatto il DPS (o DPSS)?

In relazione ai trattamenti di dati personali, tra le informazioni essenziali, non possono mancare:

1. una descrizione sintetica dei trattamenti specificando quale sia la finalità perseguita o l’attivtà svolta
   e quali siano le categorie di persone a cui fanno riferimento i dati;
2. la natura dei dati trattati indicando se, tra i dati di carattere personale, si trovano dati sensibili o giudiziari;
3. la struttura di riferimento, ossia l’ufficio in cui viene effettuato il trattamento;
4. le altre strutture che concorrono al trattamento, da intendersi sia a livello interno che esterno all’azienda o ente;
5. una descrizione degli strumenti elettronici utilizzati collegati o meno in rete locale o geografica.

Ad esempio, nel caso di una istituzione scolastica la finalità è costituita dalla gestione degli studenti iscritti: gli interessati al trattamento dei dati personali sono gli studenti, il titolare del trattamento è l’istituzione
scolastica e il responsabile è la segreteria didattica. Per quanto attiene ai trattamenti effettuati possiamo distinguere le seguenti fasi:

1. Raccolta: Lo studente lascia un modulo con i propri dati anagrafici – Incaricati: Gli addetti della segreteria didattica
2. Registrazione: i dati vengono inseriti in un sistema informatico – Incaricati: gli addetti della segreteria didattica
3. Conservazione: il modulo viene archiviato – Incaricati: gli addetti della segreteria didattica
4. Elaborazione: Per fini statistici e altri scopi relativi alla didattica – Incaricati: i responsabili del database dell’area didattica
5. Estrazione: dall’archivio completo vengono estratti solo i dati richiesti dai Consigli di Classe – Incaricati: i responsabili del database dell’area didattica
6. Consultazione: l’archivio viene consultato da varie figure (segreteria, docenti coordinatori, dirigente scolastico) – Incaricati: tutti coloro che hanno necessità di visualizzare i dati personali dell’interessato.

Per quanto attiene alle misure di sicurezza in essere e da adottare, occorre elencare gli strumenti per contrastare i rischi
individuati. È necessario, pertanto, indicare sia gli interventi tecnici ed organizzativi per prevenire/contrastare/ridurre una ipotetica specifica minaccia, che le attività definibili di manutenzione ordinaria come i controlli periodici nel tempo, essenziali ai fini dell’efficacia. Inoltre, le misure di sicurezza devono essere idonee ed aggiornate in relazione al progresso tecnologico. Risulta fondamentale il rispetto di alcuni requisiti tecnici: qualità delle password, scadenza degli account, backup, antivirus, aggiornamenti software, protezione perimetrale della rete, idoneità dei locali e degli armadi.
Non bisogna, infine, trascurare l’erogazione di iniziative di formazione rivolte agli incaricati dei trattamenti dei dati personali
ed orientate a sensibilizzarli e formarli sulle tematiche della privacy e della sicurezza.

Il principio generale – come stabilito dall’art. 3 del Codice della Privacy – deve essere quello di necessità:
è necessario limitare al minimo possibile, compatibilmente con le caratteristiche del trattamento, l’esposizione ed il trattamento di dati personali e, laddove possibile, è sempre consigliata l’elaborazione in forma anonima. Per quanto attiene la PA, il Garante con Provv. n. 17/2007 del 19/4/2007 ha stilato le linee guida al fine di tutelare
la pubblicazione e la diffusione online di atti e documenti da parte degli enti locali. Tutti gli atti della PA sono pubblici (ad eccezione di quelli considerati “riservati” per espressa indicazione di legge) e, conseguentemente, è compito della PA stessa disciplinare le modalità del loro rilascio con un apposito regolamento che assicuri ai cittadini sia il diritto alla privacy che il diritto di accesso alle informazioni in possesso dell’Amministrazione.

A titolo esemplificativo cito l’applicazione operata dalla Provincia di Milano che, in merito alla pubblicazione delle graduatorie riguardanti l’assegnazione di borse di studio per il contributo contro il “Caro scuola 2007”, ha deciso di non pubblicarle sia sul sito istituzionale che all’Albo Pretorio. La Provincia di Milano ha, invece, inviato a tutti i partecipanti una lettera, presso la loro residenza, con l’esito della domanda di partecipazione.

Allo stato attuale il DPS non basta e la connessione di rete impone che la tutela della riservatezza non possa trascurare
questi quattro aspetti fondamentali:

• raccolta dei dati personali via Internet
• cookie
• data log
• spamming

I contratti online e più genericamente i formulari online devono essere trasparenti. Al contraente che rilascia i suoi dati personali occorre fornire tutte le garanzie previste dal Codice della Privacy. Il file definito “cookie”, ossia testi generati da programmi che raccolgono informazioni sulle abitudini dell’utente, viola quanto disposto dall’art.6 lettera e della Direttiva 95/46/CE secondo cui i dati personali devono essere «conservati in modo da consentire l’identificazione delle persone interessate per un arco di tempo non superiore a quello necessario al conseguimento delle finalità per le quali sono rilevati o sono successivamente trattati». Inoltre, considerato che l’utente non viene informato dell’esistenza del dato sul proprio Hard Disk, si configura una violazione degli artt. 10, 11 e 12 della suindicata Direttiva: senza il consenso dell’interessato non è possibile procedere al trattamento dei dati.

Il provider deve custodire un registro elettronico, denominato data log, contenente notizie di carattere personale tali da identificare un internauta. Anche in questo caso l’utente deve essere il formato dell’esistenza di tale registro. Già un articolo è stato dedicato ad approfondire la questione relativa al traffico telematico
dopo l’intervento del Garante del gennaio 2008. La posta spazzatura ricevuta sotto forma di comunicazioni commerciali non richieste è quello che potremmo definire il “tormentone” di Internet, al punto che i messaggi di tale tipo arrivano a superare quelli ricevuti da soggetti conosciuti.

Nel marzo 2008 il Garante è intervenuto ancora una volta sul fenomeno dei fax indesiderati e ha vietato a due società l'”ulteriore trattamento” dei dati personali usati a fini di marketing. La validità della disposizione è estesa alla posta elettronica e agli sms: anche se il destinatario è identificato attraverso elenchi categorici (es. Pagine Gialle o banche dati ) è necessario ottenere prima il suo consenso.

Già in data 29 maggio 2003 il Garante aveva adottato un provvedimento relativo all’invio di mail non richieste e con carattere pubblicitario. Allora il Garante aveva stabilito la necessità di un consenso liberamente manifestato, in modo esplicito e in forma chiara e differenziata rispetto alle diverse finalità e alla tipologia dell’offerta. Con questo intervento il Garante ha vietato lo spamming nella forma dell’opting-out (che esige un comportamento attivo di rifiuto preliminare da parte del destinatario), ribadendo l’adesione della normativa italiana all’opting-in (con l’obbligo di ricevere previamente il consenso dell’interessato).

L’art.130 c.4 del Codice della Privacy ha mitigato la severità della norma, disponendo che «se il titolare del trattamento utilizza, a fini di vendita diretta di propri prodotti o servizi, le coordinate di posta elettronica fornite dall’interessato nel contesto della vendita di un prodotto o di un servizio, può non richiedere il consenso dell’interessato, sempre che si tratti di servizi analoghi a quelli oggetto della vendita e l’interessato, adeguatamente informato, non rifiuti tale uso, inizialmente o in occasione di successive comunicazioni».

Purtroppo la posta spazzatura arriva spesso e volentieri dall’estero. E questo è il punto debole di Internet. Il garante, dopo avere osservato che ai messaggi provenienti dall’estero non si applica la legge italiana, afferma che in ogni modo è possibile comunque per il destinatario tutelarsi, tramite un’istanza all’autorità del paese estero. Si tratta di una affermazione totalmente priva di concretezza.

In conclusione la privacy non può essere considerata un bene di scambio ma un diritto inalienabile
e la sua difesa deve entrare nelle regole del diritto internazionale.