Tratto dallo speciale:

Guida alla sicurezza dei dati in azienda

di Nicola Santangelo

Pubblicato 27 Febbraio 2012
Aggiornato 25 Settembre 2014 09:50

Come garantire la riservatezza dei dati personali in azienda: gli adempimenti prescritti in materia di sicurezza delle informazioni e dei sistemi informatici.

Riservatezza dei dati

I dati personali oggetto di trattamento devono essere custoditi in azienda  in modo da ridurre al minimo i rischi di illecito accesso, distruzione o perdita attraverso idonee misure di sicurezza, ossia tutti gli accorgimenti tecnici e organizzativi messi in pratica per garantirne protezione, privacy e riservatezza.

Se il Responsabile del trattamento sceglie di utilizzare dispositivi elettronici o programmi informatici per la gestione dei dati deve prevederne l’accesso controllato tramite livelli di autorizzazione e garantire che non si attuino in azienda trattamenti contrari alle norme di legge o diversi da quelli per i quali i dati sono stati raccolti.

Nello specifico il Responsabile dovrà adottare specifici criteri e procedure dettate dall’articolo 33 del Codice Privacy, come ad esempio l’utilizzo di uno username identificativo e password per accedere ai dati, l’utilizzo di software antivirus e per il backup periodico dei dati.

Misure di sicurezza

Il trattamento dei dati personali con strumenti elettronici è consentito solo se sono adottate specifiche misure minime fra le quali si individuano:

  • autenticazione informatica;
  • adozione di procedure di gestione delle credenziali di autenticazione;
  • utilizzazione di un sistema di autorizzazione;
  • protezione degli strumenti elettronici e dei dati rispetto al trattamento illecito dei dati stessi e ad accessi non consentiti;
  • adozione di procedure per la custodia di copie di sicurezza;
  • adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari.

Per i dati sensibili e giudiziari sono previste ulteriori misure in aggiunta a quanto già accennato come il Documento Programmatico per la Sicurezza.

L’articolo 34 del Codice della Privacy prevede espressamente che vengano adottate procedure per la realizzazione e la custodia di copie di sicurezza e il ripristino della disponibilità dei dati e dei sistemi. In pratica il Responsabile del trattamento, tramite l’amministratore del sistema informativo, dovrà provvedere a realizzare e custodire copie di backup ossia copie di sicurezza dei dati e delle informazioni contenute su strumenti elettronici.

Solitamente le informazioni vengono archiviate su dispositivi esterni cioè non incorporati nell’unità centrale e consentono di trasferire da un computer all’altro grosse quantità di informazioni. Fra questi si possono individuare gli hard disk removibili.

La causa di perdita di dati e informazioni può dipendere da:

  • eventi distruttivi, naturali o artificiali;
  • guasti ai sistemi;
  • malfunzionamenti o degrado dei componenti elettronici;
  • incuria o disattenzione.

Il rischio di perdita di dati, comunque, è anche rappresentato da:

  • comportamenti sleali e fraudolenti;
  • virus informatici;
  • furto di strumenti contenenti dati.

In effetti, quando capita uno dei suddetti eventi, il backup può limitare la perdita del patrimonio di informazioni memorizzate. In tal caso occorre adottare tempestivamente ogni possibile procedura di ripristino dei dati.

Le misure minime di sicurezza obbligatorie previste dalla normativa sono:

  • attivazione di una procedura di backup settimanale;
  • predisposizione di una procedura di disaster recovery ossia di ripristino dei dati in caso di danneggiamento o perdita;
  • installazione di software antivirus e di sistemi firewall;
  • adeguamento della struttura aziendale alle normative in materia di prevenzione e sicurezza.

Se si utilizza un server per la memorizzazione dei dati è necessario che sia collegato ad un gruppo di continuità che consenta di escludere la perdita di dati a causa di sbalzi di tensione o interruzione della corrente elettrica.

I dati inseriti nei backup devono essere custoditi e protetti da accessi indesiderati mediante procedure che inibiscano la lettura dei dati in essi contenuti, magari utilizzando un’applicazione crittografica.

Firma digitale

La firma digitale consente di scambiare documenti informatici aventi validità legale poiché permette la verifica dell’identità del mittente, rende impossibile al mittente disconoscere un documento da lui firmato, rende impossibile al destinatario modificare un documento firmato da qualcun altro.

Possono dotarsi di firma digitale le persone fisiche rivolgendosi ai certificatori accreditati che garantiscono l’identità dei soggetti che utilizzano la firma digitale. I certificatori accreditati sono soggetti pubblici o privati che emettono certificati qualificati conformi alla Direttiva Europea 1999/93/CE e alla normativa nazionale in materia. L’elenco dei certificatori accreditati è disponibile nel sito di DigitPA, l’Ente Nazionale per la digitalizzazione della Pubblica Amministrazione. La verifica della firma può essere effettuata tramite diversi software resi disponibili gratuitamente.

La firma digitale è, in pratica, un sistema a chiavi crittografiche asimmetriche che viene creato mediante un dispositivo con elevate caratteristiche di sicurezza che, in genere, è una smart card. Dal punto di vista tecnico la firma digitale è una sequenza di byte in grado di associare in modo univoco un documento elettronico alla persona che l’ha generato garantendone provenienza, autenticità e integrità.

Sicurezza dei sistemi

Il Codice Privacy prevede concrete disposizioni in merito al trattamento dei dati tramite strumenti informatici. Nello specifico, l’allegato B del Codice contiene il Disciplinare Tecnico ossia una serie di modalità tecniche necessarie ad adottare concretamente le misure minime per la sicurezza dei sistemi. Tali misure dovranno essere adottate dal titolare, dal responsabile o dall’incaricato.

La normativa prevede che il trattamento dei dati personali con strumenti elettronici è consentito agli incaricati dotati di credenziali di autorizzazione per i quali siano, comunque, previsti specifici profili di autorizzazione in modo da limitare l’accesso ai soli dati necessari per effettuare le operazioni di trattamento. Periodicamente, e comunque con cadenza annuale, occorre verificare la sussistenza delle condizioni per la conservazione dei profili di autorizzazione.

I dati personali devono essere protetti anche dal rischio di intrusione esterna e dall’azione di programmi in grado di violare la privacy. Per questo dovranno essere predisposti idonei strumenti elettronici che siano in grado di prevenire la vulnerabilità dei sistemi e correggano eventuali difetti, quali antivirus, antispyware e firewall, da aggiornare con cadenza almeno semestrale.

Almeno una volta l’anno occorre provvedere all’aggiornamento dei sistemi in modo da correggere gli errori. Questa operazione potrà essere facilmente compiuta anche tramite il download da Internet di patch o di service pack ossia di nuove versioni dei sistemi operativi e dei vari programmi applicativi.

Gestione password

I soggetti autorizzati ad accedere ai sistemi possono farlo se dotati di credenziali di autenticazione che consistono in un codice associato all’incaricato e una parola chiave riservata e segreta, conosciuta solamente dall’incaricato ovvero con l’utilizzo di smart card individuali. Il codice associato all’incaricato ossia lo user-id o user-name, una volta utilizzato, non può essere assegnato ad altri soggetti, neppure in tempi diversi.

Gli incaricati dovranno essere sensibilizzati ad adottare le necessarie cautele per assicurare la segretezza della parola chiave nonché la diligente custodia dei dispositivi in uso esclusivo dell’incaricato e a non lasciare incustodito e accessibile lo strumento elettronico durante una sessione di trattamento (i sistemi, a tal fine, permettono di predisporre uno screen saver con richiesta di password).

La parola chiave deve essere composta da almeno otto caratteri ovvero, nel caso in cui lo strumento elettronico non lo permetta, in un numero di caratteri pari al massimo consentito dal sistema. Non deve contenere riferimenti riconducibili all’incaricato e deve essere modificata dall’incaricato stesso al primo utilizzo dello strumento elettronico e, successivamente, almeno ogni sei mesi. In caso di trattamento di dati sensibili la parola chiave deve essere modificata ogni tre mesi.

Le credenziali di autenticazione non utilizzate dopo sei mesi dovranno essere disattivate.

Sicurezza archivi cartacei

Particolare importanza rivestono gli archivi cartacei soprattutto nei casi in cui, al loro interno, sono contenuti dai sensibili relativi ai dipendenti, informazioni concernenti procedimenti disciplinari, dati giudiziari relativi a partecipazioni a gare o informazioni connesse alle transazioni commerciali come ad esempio fatture o contratti.

Ai responsabili del trattamento dovranno essere impartite specifiche istruzioni per iscritto che prevedano la custodia di atti e documenti. L’accesso agli archivi contenenti dati sensibili o giudiziari può essere consentito anche dopo l’orario di chiusura ma deve essere controllato. E’ necessario, pertanto, adottare policy finalizzate alla gestione dei dati cartacei contenuti negli archivi. In tal caso è necessario che venga eseguito il controllo degli accessi dei lavoratori, preventivamente autorizzati, nei locali in cui sono custodite tali banche dati. Questa operazione può essere eseguita tramite l’installazione di un lettore badge che consenta il riconoscimento del soggetto autorizzato e ne permetta l’accesso.

Comunicazioni telefoniche

L’art. 123 del Codice Privacy ha fissato a sei mesi il limite temporale per la conservazione dei dati di traffico telefonico per finalità di fatturazione, pagamenti in caso di interconnessione e di commercializzazione di servizi. E’ prevista, inoltre, la conservazione dei dati di traffico telefonico relativi ai servizi offerti per tutti i fornitori di servizi di comunicazione al fine di accertare e reprimere i reati.

Il fornitore sul quale incombe l’obbligo di conservare i dati di traffico ai sensi dell’articolo 132 del Codice è quello che mette a disposizione del pubblico servizi di comunicazione elettronica su reti pubbliche di comunicazione. Con il termine “servizi di comunicazione elettronica” devono intendersi quelli consistenti nella trasmissione di segnali su reti di comunicazioni elettroniche.

L’obbligo di conservazione riguarda i dati relativi al traffico telefonico, inclusi quelli concernenti le chiamate senza risposta, nonché i dati inerenti al traffico telematico, esclusi comunque i contenuti delle comunicazioni. In particolare, sono oggetto di conservazione i dati che i fornitori sottopongono a trattamento per la trasmissione della comunicazione o per la relativa fatturazione.

Allo scadere dei termini previsti dalle disposizioni vigenti i dati di traffico sono resi non disponibili per le elaborazioni dei sistemi informativi e le relative consultazioni. Dovranno essere cancellate o rese anonime anche le informazioni contenute in data base e nei supporti per la realizzazione di copie di sicurezza (backup e disaster recovery).