Il trattamento dei dati svolto con strumenti
elettronici secondo
di Elena Bassoli
Se il trattamento di dati personali è effettuato con
strumenti elettronici, il titolare è obbligato, in base all’art. 34 del d. lgs.
196/2003 ad adottare particolari misure che riguardano prevalentemente le
modalità di accesso, sì da poter verificare, in caso di illeciti connessi
all’utilizzo dello strumento informatico, l’identità dell’autore dell’illecito
o quantomeno il responsabile dell’accesso abusivo dall’esterno.
In base all’art. 34, pertanto, è necessario adottare:
a) sistemi di autenticazione informatica
Questo sistema, al pari degli altri accorgimenti previsti dal presente articolo, è oggetto di specificazione ad opera dell’Allegato B, che lo prevede come requisito per poter lecitamente effettuare il trattamento di dati personali con strumenti elettronici.
In particolare, oltre al
titolare e al responsabile, come ovvio, è consentito l’accesso ai sistemi
informatici soltanto ad incaricati che
siano dotati di credenziali di autenticazione che consentano il superamento di
una procedura di autenticazione relativa ad uno specifico trattamento o ad un
insieme di trattamenti.
Le credenziali di autenticazione (login), in particolare, consistono in
un codice per l’identificazione dell’incaricato (user-id) associato a una
parola chiave riservata (password) conosciuta solamente dal medesimo oppure in
un dispositivo di autenticazione in possesso e uso esclusivo dell’incaricato,
eventualmente associato a un codice identificativo o a una parola chiave,
oppure in una caratteristica biometrica dell’incaricato, eventualmente
associata a un codice identificativo o a una parola chiave.
Pertanto le credenziali di autenticazione possono consistere in una
procedura di login, composta da user-id e password,
oppure in un dispositivo di firma elettronica, costituito da una smart card con
relativo lettore, o ancora in una chiave biometrica.
Quando nel sistema di autenticazione è prevista la parola chiave, essa
deve comporsi di almeno otto caratteri oppure, nel caso in cui lo strumento
elettronico non lo permetta, da un numero di caratteri pari al massimo
consentito.
Poiché una delle cause più frequenti di accesso indiscriminato a
sistemi informatici è dovuto alla negligenza degli stessi operatori - frequente
è il mal costume di scrivere la password su un post-it attaccato al monitor o
al case del pc - essa non deve contenere riferimenti agevolmente riconducibili
all’incaricato e deve essere modificata da quest’ultimo al primo utilizzo e,
successivamente, almeno ogni sei mesi. In caso di trattamento di dati sensibili
e di dati giudiziari la parola chiave è modificata almeno ogni tre mesi.
Ad ogni incaricato possono essere assegnate o associate individualmente
una o più credenziali per l’autenticazione. Agli incaricati devono essere
fornite dal titolare, oltre le istruzioni di autenticazione, anche le
prescrizioni in merito all’adozione delle necessarie cautele per assicurare la
segretezza della password e la diligente custodia dei dispositivi di
smart-card.
Il riconoscimento biometrico[1], invece, è la sequenza di codici informatici
usati nell’ambito di meccanismi di sicurezza, che impiegano metodi di verifica
dell’identità personale basati su specifiche caratteristiche fisiche
dell’utente: è da distinguersi dalle chiavi asimmetriche, poiché trattasi di
memorizzare nel computer alcuni caratteri fisici dell’utente (es.: impronta
digitale oppure retina). Tale strumento fornisce un’impronta personale al
sistema, che la firma digitale non possiede, garantendo una maggiore sicurezza,
poiché previene la possibilità che un terzo si impossessi di una delle chiavi
componenti la coppia.
b) procedure di gestione
delle credenziali di autenticazione
Il codice per l’identificazione, laddove utilizzato, non può essere
assegnato ad altri incaricati, neppure in tempi diversi.
Le credenziali di autenticazione non utilizzate da almeno sei mesi sono
disattivate, salvo quelle preventivamente autorizzate per soli scopi di
gestione tecnica. Le credenziali sono disattivate anche in caso di perdita
della qualità che consente all’incaricato l’accesso ai dati personali.
Sono impartite istruzioni agli incaricati per non lasciare incustodito
e accessibile lo strumento elettronico durante una sessione di trattamento.
Quando l’accesso ai dati e agli strumenti elettronici è consentito
esclusivamente mediante uso della componente riservata della credenziale per
l’autenticazione, sono impartite idonee e preventive disposizioni scritte volte
a individuare chiaramente le modalità con le quali il titolare può assicurare
la disponibilità di dati o strumenti elettronici in caso di prolungata assenza
o impedimento dell’incaricato che renda indispensabile e indifferibile
intervenire per esclusive necessità di operatività e di sicurezza del sistema.
In tal caso la custodia delle copie delle credenziali è organizzata garantendo
la relativa segretezza e individuando preventivamente per iscritto i soggetti
incaricati della loro custodia, i quali devono informare tempestivamente
l’incaricato dell’intervento effettuato.
Peraltro è interessante notare che l’All. B, al punto 11, preveda che
le disposizioni sul sistema di autenticazione di cui ai precedenti punti e
quelle sul sistema di autorizzazione non si applicano ai trattamenti dei dati
personali destinati alla diffusione.
c) un sistema di
autorizzazione
Quando per gli incaricati sono individuati profili di autorizzazione di
ambito diverso è utilizzato un sistema di autorizzazione. Per profili di
autorizzazione di ambito diverso deve presumibilmente intendersi diversi
livelli di accesso, quali amministratore di sistema, dotato di determinati
privilegi, o semplice operatore.
Il punto 13 dell’All. B prevede poi che i profili di autorizzazione,
per ciascun incaricato o per classi omogenee di incaricati, debbano essere
individuati e configurati anteriormente all’inizio del trattamento, in modo da
limitare l’accesso ai soli dati necessari per effettuare le operazioni di
trattamento.
Periodicamente, e comunque almeno annualmente, deve essere verificata
la sussistenza delle condizioni per la conservazione dei profili di autorizzazione.
d) aggiornamento periodico
dell’individuazione dell’ambito del trattamento consentito ai singoli
incaricati e addetti alla gestione o alla manutenzione degli strumenti
elettronici
Ai sensi del punto 15 dell’Allegato B l’aggiornamento periodico descritto
dalla lettera d) dell’art. 34 del Codice deve avvenire con cadenza almeno
annuale. Occorre cioè che il titolare del trattamento individui almeno una
volta all’anno l’ambito del trattamento consentito ai singoli incaricati e
addetti alla gestione o alla manutenzione degli strumenti elettronici. Peraltro
la lista degli incaricati può essere redatta anche per classi omogenee di
incarico e dei relativi profili di autorizzazione.
e) protezione degli
strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad
accessi non consentiti e a determinati programmi informatici
I dati personali oggetto del trattamento svolto con strumenti
elettronici, devono essere protetti contro il rischio di intrusione illecita,
nonché contro l’azione di programmi di cui all’art. 615-quinquies[2] del
codice penale, mediante l’attivazione di idonei strumenti elettronici da
aggiornare con cadenza almeno semestrale.
Il riferimento all’art. 615-quinquies c.p., operato esplicitamente dal punto 16 dell’All. B, impone una breve digressione in merito. Infatti, l’art. 615-quinquies[3], rubricato all’interno del codice penale come “diffusione di programmi diretti a danneggiare o interrompere un sistema informatico”, vale a dire i cosiddetti virus, è stato introdotto dalla L. 547/1993, sui crimini informatici.
Questo articolo è l’ultimo[4]
della trilogia dedicata alla protezione del domicilio informatico, questo
articolo individua con precisione tutte quelle situazioni in cui un sistema
informatico è danneggiato dall’interno. Il caso tipico è rappresentato dai
cosiddetti virus che, nelle sembianze di programmi o di frammenti di codice
eseguibile, danneggiano o interrompono il regolare funzionamento di un sistema
informatico. Anche in questo caso il legislatore ha voluto definire con
precisione una nuova fattispecie, non riconosciuta dalla giurisprudenza
precedente all’entrata in vigore della legge 547.
In questa ipotesi criminosa
rientra la condotta di chi, per divertimento, diffonde un virus. Il dolo
richiesto, infatti, è generico, per cui non hanno rilevanza i motivi che stanno
alla base della diffusione dei virus, ciò che unicamente rileva è la coscienza
e volontà di diffondere programmi pericolosi per i sistemi informatici.
Il problema si complica se
manca la coscienza e volontà ma si cagiona comunque un danno. Ad esempio se una
software house fornisce ai propri collaboratori programmi virus per la
creazione di programmi antivirus, mancando la volontà di danneggiare, non
sussisterebbe il reato. Parte della dottrina propende invece per
l’applicabilità dell’articolo in esame ogniqualvolta si sia consapevoli di
trasmettere a terzi programmi comunque idonei a danneggiare sistemi
informatici, qualunque ne sia la motivazione.
È chiaro che se si crea un
virus per proprio diletto, senza mai diffonderlo non si incorrerà in alcuna
sanzione, come anche colui che raccoglie, senza diffonderli, programmi virus al
fine di creare un antivirus.
Ai sensi del punto 17 dell’All. B, inoltre, i programmi antivirus, gli
altri programmi che prevengano gli accessi abusivi, o quelli che correggano i
difetti di sistema, devono essere aggiornati almeno annualmente. In caso di
trattamento di dati sensibili o giudiziari l’aggiornamento è almeno semestrale.
f) procedure per la custodia
di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi
Poichè la perdita dei dati dovuti a blocco del sistema informatico, è
meno infrequente di quanto si possa pensare, il legislatore ha previsto
l’effettuazione di copie di back-up
degli archivi contenenti dati altrui. A tal fine sono impartite istruzioni
organizzative e tecniche che prevedono il salvataggio dei dati con frequenza
almeno settimanale.
g) tenuta di un aggiornato
documento programmatico sulla sicurezza
Si tratta di un particolare documento sulla sicurezza contenente idonee
informazioni, previsto dal punto n. 19 dell’Allegato B.
Tale documento deve contenere:
- l’elenco dei trattamenti di dati personali;
- la distribuzione dei compiti e delle responsabilità nell’ambito delle
strutture preposte al trattamento dei dati;
- l’analisi dei rischi che incombono sui dati;
- le misure da adottare per garantire l’integrità e la disponibilità
dei dati, nonché la protezione delle aree e dei locali, rilevanti ai fini della
loro custodia e accessibilità;
- la descrizione dei criteri e delle modalità per il ripristino della
disponibilità dei dati in seguito a distruzione o danneggiamento. Si tratta in
particolare delle modalità di ripristino dell’accesso ai dati in caso di
danneggiamento degli stessi o degli strumenti elettronici, in tempi certi
compatibili con i diritti degli interessati e non superiori a sette giorni;
- la previsione di interventi formativi degli incaricati del
trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure
disponibili per prevenire eventi dannosi, dei profili della disciplina sulla
protezione dei dati personali più rilevanti in rapporto alle relative attività,
delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle
misure minime adottate dal titolare. La formazione è programmata già al momento
dell’ingresso in servizio, nonché in occasione di cambiamenti di mansioni, o di
introduzione di nuovi significativi strumenti, rilevanti rispetto al
trattamento di dati personali;
- la descrizione dei criteri da adottare per garantire l’adozione delle
misure minime di sicurezza in caso di trattamenti di dati personali affidati,
in conformità al codice, all’esterno della struttura del titolare. In questo
caso, precisa il punto 25, il titolare che adotta misure minime di sicurezza
avvalendosi di soggetti esterni alla propria struttura, per provvedere alla
esecuzione riceve dall’installatore una descrizione scritta dell’intervento
effettuato che ne attesta la conformità alle disposizioni del disciplinare
tecnico, vale a dire dell’All. B.
Il titolare, inoltre, riferisce, nella relazione accompagnatoria del
bilancio d’esercizio, se dovuta, dell’avvenuta redazione o aggiornamento del
documento programmatico sulla sicurezza.
- per i dati personali idonei a rivelare lo stato di salute e la vita
sessuale di cui al punto 24[5],
l’individuazione dei criteri da adottare per la cifratura o per la separazione
di tali dati dagli altri dati personali dell’interessato.
Il documento programmatico deve essere redatto ogni anno entro il 31
marzo a cura del titolare del trattamento di dati sensibili o di dati
giudiziari. Qualora sia stato designato un responsabile del trattamento, il
titolare può demandare a questi la redazione del documento programmatico.
h) tecniche di cifratura o
di codici identificativi per determinati trattamenti di dati idonei a rivelare
lo stato di salute o la vita sessuale effettuati da organismi sanitari
Le tecniche di
cifratura cui si riferisce la lettera h) dell’art.
Ritornando alle tecniche di cifratura si può qui accennare alle
metodiche riconosciute dal legislatore italiano, da ultimo, con d. lgs. 10/2002[7],
che si avvalgono della cosiddetta “cifratura a doppia chiave asimmetrica”.Essa, semplificando, esplica
la propria funzione in relazione ad una coppia di chiavi complementari o correlate, di cui una è privata, e quindi
conoscibile esclusivamente dal rispettivo titolare, mentre l’altra è pubblica,
il che significa che essa è utilizzabile da parte di qualunque soggetto
interessato a porre in essere operazioni, soprattutto a carattere economico,
col titolare delle chiavi suddette.
Tale complementarietà consente che ognuna delle chiavi possa sbloccare
il codice apposto dall’altra e soltanto questo: se l’una, infatti, è stata
usata per la cifratura di un documento, l’altra dovrà venire impiegata per
decifrare lo stesso, e viceversa[8].
Ancora, ad integrare le peculiarità tipiche dello strumento in esame,
al fine di garantire la pienezza delle funzioni, risulta la caratteristica
dell’indipendenza, vale a dire la
circostanza per cui sia impossibile risalire, ad esempio, alla chiave privata
conoscendo la pubblica corrispondente o viceversa. L’utilizzo è semplificato
dall’uso di una smart-card e di un apposito lettore, che effettuano tali
operazioni in assoluta semplicità per l’utente.
[1] Ne sia un esempio il sistema di
riconoscimento dell’identità personale basato sul sistema del rilevamento delle
impronte digitali, di recente applicato alla nuova disciplina in tema
d’immigrazione (c.d. legge Bossi-Fini). In particolare, le impronte digitali
verranno rilevate a tutti i cittadini extracomunitari che chiedano il rinnovo o
il rilascio del permesso di soggiorno ovvero nel caso di dubbio sull’identità
dello straniero al fine di avere la certezza sull’identità da questi
dichiarata.
[2] 615-quinquies. (Diffusione di programmi diretti a danneggiare o interrompere un sistema informatico). Chiunque diffonde, comunica o consegna un programma informatico da lui stesso o da altri redatto. avente per scopo o per effetto il danneggiamento di un sistema informatico o telematico, dei dati o dei programmi in esso contenuti o ad esso pertinenti, ovvero l’ interruzione totale o parziale, o l’ alterazione del suo funzionamento. è punito con la reclusione sino a 2 due anni e con la multa sino a lire venti milioni.
[3] Questo articolo è stato aggiunto dall’ art. 41 della L. 23 dicembre 1993. n. 547 recante modificazioni e integrazioni alle norme del codice penale e di procedura in tema di criminalità informatica.
[4] Dopo gli articolo 615-ter (Accesso abusivo a un sistema informatico o telematico) e 615-quater (Detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici), anch’essi introdotti dalla L. 547/1993.
[5] 24. Gli organismi sanitari e gli esercenti le professioni sanitarie effettuano il trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale contenuti in elenchi, registri o banche di dati con le modalità di cui all’articolo 22, comma 6, del codice, anche al fine di consentire il trattamento disgiunto dei medesimi dati dagli altri dati personali che permettono di identificare direttamente gli interessati. I dati relativi all’identità genetica sono trattati esclusivamente all’interno di locali protetti accessibili ai soli incaricati dei trattamenti ed ai soggetti specificatamente autorizzati ad accedervi; il trasporto dei dati all’esterno dei locali riservati al loro trattamento deve avvenire in contenitori muniti di serratura o dispositivi equipollenti; il trasferimento dei dati in formato elettronico è cifrato.
[6] 6. I dati sensibili e
giudiziari contenuti in elenchi, registri o banche di dati, tenuti con
l'ausilio di strumenti elettronici, sono trattati con tecniche di cifratura o
mediante l'utilizzazione di codici identificativi o di altre soluzioni che,
considerato il numero e la natura dei dati trattati, li rendono temporaneamente
inintelligibili anche a chi è autorizzato ad accedervi e permettono di
identificare gli interessati solo in caso di necessità.
[7] D.L.vo 23 gennaio 2002, n. 10, “Attuazione
della direttiva 1999/93/CE relativa ad un quadro comunitario per le firme
elettroniche”, G.U. del 15 febbraio 2002, n. 39.
[8] V. amplius E. BASSOLI, Appunti sulla firma digitale, Genova, Ecig, 2003.