Vi segnaliamo il provvedimento che introduce le misure minime di sicurezza in tema di tutela dei dati personali, proponendoVi un primo esame della normativa e degli aspetti procedurali che si ritiene utile introdurre per ottemperare alle disposizioni di legge. Rammentiamo inoltre che al di là delle misure minime di sicurezza vale sempre un profilo generale di diligenza, con il conseguente obbligo per il titolare di adottare gli accorgimenti tecnici necessari a ridurre al minimo i rischi di distruzione o di perdita, anche accidentale, o di manomissione delle informazioni.
Il decreto in esame suddivide i sistemi informativi in tre grandi categorie:

1) indipendentemente dai dati ivi contenuti COMUNI e/o SENSIBILI preventivamente al trattamento ciascun incaricato che può utilizzare detto personal deve essere dotato di una PAROLA CHIAVE (non sono previste lunghezze predeterminate ne tempi di sostituzione)
2) deve essere inoltre prevista L'AUTONOMA SOSTITUZIONE DELLA PAROLA con obbligo di comunicazione ai soggetti preposti alla custodia
3) occorre INDIVIDUARE PER ISCRITTO I SOGGETTI PREPOSTI ALLA CUSTODIA delle parole chiave (in caso di una molteplicità di incaricati).
In particolare, per ciò che concerne l'obbligo di comunicazione di cui al punto 2, per questa tipologia di computer, la forma potrebbe essere protetta, ad esempio tramite busta chiusa da aprire solo in caso di necessità, Io scopo è infatti quello di garantire la possibilità di accesso in caso di necessità.
N.B. Si segnala inoltre che, visto l'obbligo di ripetere tali misure anche per le successive tipologie, in luogo della comunicazione cartacea qua indispensabile, può essere diversamente formalizzata una prassi aziendale chiarendo per iscritto anche ai dipendenti che la registrazione automatica della nuova password si intende comunicata anche al/ai soggetto/i che amministrano le password.

ATTIVITÀ INTERNE POSSIBILI:
a) Individuare quali apparecchiature si trovino nella condizione predetta e verificare quali dati contengano e se gli stessi siano oggetto di trattamento
b) In caso di esito positivo ottemperare alle disposizioni dei punti 1 e 2 prevedendo per iscritto le modalità di comunicazione cartacea
c) Procedere alla individuazione dei soggetti di cui al punto 3 formalizzando sin d'ora anche la modalità alternativa alla comunicazione cartacea sopra descritta.

Il requisito che determina l'appartenenza del sistema a questa categoria è che il collegamento telematico sia diretto o comunque chiuso ad accessi da parte di sistemi estranei alla rete LAN o WAN.
Oltre all'accessibilità in rete rileva che la rete chiusa al pubblico transiti anche per un breve tratto su una rete disponibile al pubblico, qual è per esempio, la rete telefonica. E' il caso dell'utilizzo di una rete chiusa da parte di una azienda dislocata in più sedi o in più città che per il collegamento si serve della rete telefonica fissa su cui transitano altre reti chiuse. In simili condizioni si deve parlare di elaboratori accessibili mediante una rete disponibile al pubblico - vedi quindi anche disposizioni sub C.
Bl Qualora i trattamenti riguardino unicamente DATI COMUNI:
Oltre a quanto previsto al punto A:
1) a ciascun utente o incaricato va attribuito un CODICE IDENTIFICATIVO PERSONALE che deve essere disattivabile qualora il soggetto perda la qualità che costituisce il presupposto all'assegnazione o qualora si riscontri il mancato utilizzo per oltre 6 mesi
2) Gli elaboratori devono essere dotati di PROGRAMMA ANTIVIRUS che deve essere aggiornato e verificato almeno ogni 6 mesi (per non incorrere in sanzione penale) o costantemente rispetto alla versione più aggiornata del mercato (per esimersi da ogni responsabilità civile).
B2 Qualora i trattamenti riguardino anche DATI SENSIBILI:
In ulteriore aggiunta a tutto quanto già prima previsto:
1) a ciascun incaricato o gruppo di lavoro va fornita una AUTORIZZAZIONE formale (anche a eventuali addetti alla manutenzione) da parte del Titolare o del Responsabile
2) almeno 1 VOLTA L'ANNO OCCORRE UNA VERIFICA della sussistenza delle condizioni per la loro conservazione
3) L'AUTORIZZAZIONE DEVE LIMITARSI a quei dati la cui conoscenza è necessaria e sufficiente per i trattamenti richiesti
4) va prevista una PROCEDURA CHE VERIFICHI LA VALIDITÀ DELLE RICHIESTE Dl ACCESSO prima di consentire l'accesso stesso
5) deve essere INIBITO L'USO DI UN MEDESIMO CODICE per accedere da più stazioni contemporaneamente.

ATTIVITA' INTERNE POSSIBILI:
a) NOMINARE GLI INCARICATI DEL TRATTAMENTO (secondo alcuni con un mansionario e incarichi specifici per la costituzione di un sistema organico) sia tra il personale dipendente sia tra gli addetti alla manutenzione HW e SF, tale scelta per il personale è indefettibile in quanto deve ritenersi un indispensabile elemento di controllo e verifica in ordine a tutta l'attività di trattamento dei dati personali, secondo il Garante inoltre la mera assegnazione di una persona ad una struttura interna non è tale di per sé a soddisfare i requisiti previsti dalla legge, la modalità per il conferimento dell'incarico può avvenire o tramite un ordine di servizio o una semplice nota con presa d'atto del lavoratore. Infine l'individuazione degli incaricati interni ed esterni fa si che gli stessi abbiano un maggior grado di responsabilizzazione essendo stato ritenuto possibile coinvolgerli da soli o in concorso nell'ipotesi di reato di mancata adozione delle misure minime di sicurezza
b) Individuare l'AMMINISTRATORE Dl SISTEMA
c) Individuare il SOGGETTO PREPOSTO ALLA CUSTODIA DELLE parole chiave
d) Per i dati sensibili (ad esempio ufficio del personale o dati relativi a coperture assicurative vita, infortuni, malattia di clienti o dipendenti) l'AUTORIZZAZIONE prevista al precedente punto 2 potrebbe essere rilasciata invece che individualmente AL GRUPPO Dl LAVORO (ufficio che tratta i predetti dati);
e) Va prevista inoltre una AUTORIZZAZIONE per tutti gli altri SOGGETTI ESTERNI che possono avere accesso (manutentori, consulenti o altro)

C1 Qualora i trattamenti riguardino DATI SENSIBILI oltre a tutto quanto previsto per i precedenti punti A e B:
1) L'AUTORIZZAZIONE di cui al precedente punto B2 deve essere prevista anche per gli strumenti che possono essere utilizzati per l'interconnessione
2) Occorre procedere alla INDIVIDUAZIONE dei singoli elaboratori attraverso i quali è possibile accedere per effettuare operazioni di trattamento
C2 Indipendentemente dal fatto che i trattamenti riguardino DATI COMUNI e SENSIBILI.
Occorre realizzare il DPSS (Documento programmatico sulla sicurezza),
Nello stesso occorre, in estrema sintesi, descrivere i criteri tecnici e organizzativi adottati per la protezione delle informazioni personali.
Per procedere alla sua stesura occorre effettuare una ANALISI DEI RISCHI e DELL'ORGANIZZAZIONE PREPOSTA AL TRATTAMENTO, quindi in buona sostanza descrivere come è stata fatta l'analisi, i trattamenti esaminati, il metodo seguito. Le minacce presenti, le debolezze riscontrate e i rischi conseguenti. L'utilizzo di un metodo di analisi qualitativo consente di:
• Individuare le aree ad alto rischio da cui un Intervento immediato
• Individuare le aree a medio rischio da cui una Programmazione interventi
• Individuare le aree a basso rischio da cui una Normale manutenzione.
Prima di elencare il contenuto del DPSS si rammenta che strutturalmente lo stesso può essere diviso in 2 macroparti:
1) Cosa l'azienda intende fare nella parte normativa - programmatica
2) Come intende farlo nell'allegato tecnico.

CONTENUTO:
Sicurezza fisica: Definizione delle aree sicure, quali apparecchiature devono contenere, assegnazione delle responsabilità, sistemi di allarme, modalità di concessione e revoca dei permessi di accesso;
Sicurezza logica: Definizione delle funzioni di sicurezza utilizzate per l'identificazione e autenticazione, per l'integrità dei dati, le modalità di gestione delle user-id e delle password, le modalità di difesa dai programmi pericolosi; Sviluppo e modifica delle applicazioni: Definizione delle modalità di protezione delle librerie, delle applicazioni e delle procedure di gestione delle variazioni applicative;
Sicurezza della rete: Definizione in dettaglio delle politiche di sicurezza dei firewall e dei router;
Piano di continuità dei trattamenti: Definizione dei sistemi e delle sedi di ricovero della copia dei dati, nonché delle modalità di test periodico per il riutilizzo;
Norme per i sistemi dati in outsourcing: Definizione dei livelli di sicurezza che l'outsourcer deve garantire per la parte di trattamento che esegue (pari almeno a quelli interni);
Gestione dei terzi: Descrizione delle norme e delle cautele per ridurre i rischi Fegati al comportamento di persone terze;
Sicurezza delle Workstation: Definizione delle norme (chiare e semplici) che sono necessarie per ridurre i rischi connessi alla possibile negligenza o imprudenza degli utilizzatori;
Archivi cartacei: Definizione delle modalità di accesso agli archivi e le eventuali modalità di accesso fuori orario;
Verifiche dello stato della sicurezza: Definizione del piano dei controlli sull'effettiva esecuzione delle norme sulla sicurezza;
Allegati tecnici: Descrizione degli strumenti di sicurezza utilizzati in concreto e dei relativi parametri di utilizzo.
Così strutturato il DPSS acquisterebbe anche una funzione di CONTROLLO, partendo infatti dagli scostamenti è possibile:
1. formulare un piano di adeguamento (specificando risorse, tempi e priorità di intervento)
2. avere una adeguata amministrazione della sicurezza per mantenere procedure e documentazione sempre aggiornate
3. stabilire un piano di formazione e di addestramento sulla sicurezza 4. formulare un piano di audit e di test.

ATTIVITÀ INTERNE POSSIBILI:
Occorre premettere che qualsiasi decisione sull'obbligatorietà della stesura del documento da parte nostra è subordinata alla valutazione della tipologia del nostro sistema.
Sul punto, secondo una tesi estremamente restrittiva si dovrebbero considerare non disponibili al pubblico le sole reti poste all'interno di una unica sede e prive di qualunque interconnessione con l'esterno, il solo fatto di avere accessi verso e da Internet configurerebbe il sistema come situato su reti disponibili al pubblico con il conseguente obbligo di realizzare il DPSS.
L'ABI ha assunto una posizione ambigua, non citando mai nella propria recente lettera circolare il tema Internet, che nel nostro caso dovrebbe, in base alle nozioni assunte, costituire elemento discriminante.
Altre Associazioni, come Assofin, non condividono l'impostazione descritta che fa capo in vece al Segretario dell'autorità Garante, peraltro da sempre allineato su posizioni oltranziste e poco flessibili.
Pragmaticamente, in attesa di acquisire maggiori certezze sul punto, è forse utile valutare comunque l'utilità per la società di poter disporre di un tale documento e se del caso ipotizzarne la stesura. Secondo sempre una corrente dottrinale se ne suggerisce la realizzazione anche nei casi in cui non risulti obbligatorio, in quanto si tratterebbe di un accorgimento importante per provare la diligenza del titolare del trattamento ai fini della responsabilità civile.

Dl Qualora i documenti contengano DATI COMUNI:
1) Designare gli incaricati per iscritto limitando l'accesso alle sole informazioni necessarie per espletare i compiti assegnati
2) Gli atti e i documenti devono essere conservati in archivi ad accesso selezionato e se affidati agli incaricati per i trattamenti, gli stessi potranno restituirli al termine delle operazioni, ponendo quindi un limite alla permanenza dei documenti presso gli incaricati. D2 Qualora i documenti contengano DATI SENSIBILI oltre a quanto detto sopra:
1) 1 documenti devono essere sempre conservati in contenitori o in cassetti chiusi a chiave (N.B. TRATTASI Dl UNA MISURA MINIMA INDEROGABILE), ne deriva un particolare obbligo di cura nella conservazione da parte degli incaricati del trattamento
2) L'accesso agli archivi contenente dati sensibili (ad esempio dati relativi al personale) deve essere controllato e limitato agli INCARICATI che abbiano ricevuto istruzioni in tal senso 3) Bisogna inoltre aprire e conservare un REGISTRO DEGLI ACCESSI -INGRESSI per gestire le ammissioni post orario di chiusura degli archivi stessi.
ATT.NE Tutte le istruzioni appena elencate sub Dl e D2 si applicano anche ai supporti non informatici contenenti la riproduzione di informazioni relative ai dati sensibili contenute in archivi informatici.

1) Designazione di responsabili del trattamento (eventuale)
2) Individuazione degli incaricati del trattamento (interni ed esterni)
3) Notificazione al Garante (da effettuare in via preventiva e per ogni modifica intervenuta rispetto ai dati precedentemente notificati)
4) Redazione di istruzioni per i responsabili
5) Redazione di istruzioni per gli incaricati
6) Redazione delle informative per gli interessati
7) Redazione dei modelli per acquisire, ove richiesto, il consenso al trattamento e alla comunicazione dei dati
8) Predisposizione di una procedura volta a soddisfare le istanze presentate ai sensi dell'art.13 della legge 675/96
9) Adozione delle misure minime di sicurezza introdotte con D.P.R. n. 318/99 (individuare gli amministratori di sistema - eventuale; individuare il soggetto preposto alla custodia delle parole chiave; redarre il DPSS - eventuale)
10) Predisposizione di procedure di verifica del rispetto delle norme in materia di trattamento dei dati personali e di report per il titolare del trattamento (al quale compete comunque il dovere di vigilare sull'operato dei responsabili e degli incaricati)

1) PENALE
• Omessa o infedele notificazione: reclusione 3 mesi - 2 anni chiunque sia tenuto
• Omessa notificazione cessazione: reclusione fino a 1 anno chiunque sia tenuto
• Trattamento illecito dati comuni: reclusione fino a 2 anni chiunque
Aggravanti:
- comunicazione o diffusione: reclusione 3 mesi - 2 anni
- se deriva nocumento: reclusione 1 - 3 anni