Privacy sotto la lente

FormazioneManagement

Il viaggio di CRN alla scoperta del decreto legislativo n.196 del 2003 “Codice in materia di protezione dei dati personali”

Èentrato in vigore il 1° gennaio 2004 ma nessuno o quasi se ne era accorto. È il decreto legislativo 196 del 2003 “Codice in materia di protezione dei dati personali”, un provvedimento che riforma interamente la disciplina sulla privacy, ma poche sono le aziende che hanno esattamente capito quale sia la portata di questo decreto legislativo e l’obbligatorietà degli adempimenti in esso contenuti. A cominciare dalle scadenze che, sembra quasi, seguano le difficoltà delle imprese o i disagi del Garante. Tutte le aziende, a prescindere dalle dimensioni e dalla natura dell’attività esercitata, sono obbligate a una serie di adempimenti fortemente sanzionati, sia dal punto di vista civile, sia penale. Il codice richiede l’adozione di diverse misure minime di sicurezza per garantire che i dati trattati siano custoditi e controllati secondo alcune misure minime di sicurezza. Per esempio ogni persona che acceda alla banca dati, dall’anagrafica dei clienti ad archivi contenenti dati sensibili, deve essere preventivamente incaricata e riconosciuta dal sistema attraverso un identificativo associato a una password, modificata all’atto del primo collegamento e non deve essere agevolmente riconducibile al proprietario. In generale, quindi, notificazione, informativa, consenso, nomina degli incaricati, misure minime di sicurezza sono solo alcuni degli obblighi con i quali le imprese devono familiarizzare. La notificazione del trattamento riguarda solo alcune specifiche tipologie di dati e, in questi limiti, è rappresentato l’adempimento iniziale per il legittimo utilizzo degli stessi dati. La notificazione, per quanto riguarda le nuove attività, deve essere effettuata prima dell’inizio del trattamento. Per le attività già iniziate al 1° gennaio 2004 essa avrebbe dovuto essere effettuata entro il 30 aprile scorso. L’adempimento in questione spetta al titolare del trattamento, ossia alla persona fisica o giuridica cui competono le decisioni in ordine alle finalità e alle modalità di gestione dei dati personali. La notificazione può essere inviata al garante solo per via telematica. Per quanto riguarda la nomina del responsabile e degli incaricati, il titolare, qualora lo ritenga opportuno può nominare uno o più responsabili per il trattamento dei dati. Quest’ultimo può essere anche una persona giuridica e deve essere individuato tra soggetti che per esperienza e affidabilità forniscano idonea garanzia nel pieno rispetto della normativa vigente. Gli incaricati sono le persone fisiche autorizzate a compiere operazioni di trattamento dei dati cui hanno accesso, anche se occasionale. Anche la nomina degli incaricati deve avvenire per iscritto. L’informativa ha carattere generale, non sono previste ipotesi di esenzione. L’articolo 13 del codice prevede che l’interessato debba essere preventivamente informato, oralmente o per iscritto, delle finalità e delle modalità del trattamento cui sono destinati i dati: della natura obbligatoria, o facoltativa del conferimento dei dati, delle conseguenze di un eventuale rifiuto di rispondere, dei soggetti e delle categorie di soggetti ai quali i dati personali possano essere comunicati o che possano venirne a conoscenza, in qualità di responsabili o incaricati (anche le generalità dei dipendenti e dei collaboratori), nonché dell’ambito di diffusione dei dati stessi; dei diritti di accesso ai dati detenuti dal titolare di cui all’articolo 7 del codice, degli estremi identificativi del titolare e, se designati, del rappresentante nel territorio dello stato e del responsabile (in caso di più responsabili è sufficiente indi- carne uno). Il consenso è uno dei requisiti indispensabili per procedere legittimamente al trattamento dei dati personali di un terzo. Deve essere libero, specifico e dato per iscritto, una volta che l’interessato sia stato fornito dell’informativa. Attenzione poi alla distinzione tra consenso al trattamento dei dati personali, per il quale sono previste esenzioni, e consenso per il trattamento dei dati sensibili, che necessitano di maggiore tutela. Sul fronte delle misure di sicurezza, tutti coloro i quali trattano dati personali devono adottare una serie di misure minime per garantire un certo livello di protezione delle informazioni presenti nei propri database. In questo caso, si deve distinguere a seconda che il trattamento dei dati avvenga sulla base di un semplice archivio cartaceo oppure con strumenti informatici. Il codice fa riferimento ad alcune misure minime che sono rivolte a tutelare la sicurezza di tutte le tipologie di dati personali dalle nuove criticità: questi ultimi devono essere protetti contro il rischio di intrusione e dall’azione dei virus, tramite l’attivazione di strumenti elettronici idonei, come antivirus e firewall, da aggiornare costantemente. Gli strumenti elettronici, nel caso di dati sensibili e giudiziari, devono essere aggiornati periodicamente con programmi volti a prevenire la vulnerabilità e a correggere difetti. Questi dati vanno ulteriormente protetti con ulteriori misure quali strumenti elettronici che evitino intrusioni, procedure per la generazione e la custodia di copie di sicurezza dei dati (backup), istruzioni organizzative e tecniche per la custodia e l’uso dei supporti rimovibili su cui sono memorizzati i dati, al fine di evitare accessi non autorizzati e trattamenti non consentiti, disposizioni per riutilizzare o distruggere i supporti rimovibili sui quali sono registrati questi dati; strumenti per il ripristino delle disponibilità dei dati e dei sistemi entro tempi certi e compatibili con i diritti degli interessati, non superiori a sette giorni. Infine, i dati devono essere salvati su copie di riserva almeno settimanalmente nel rispetto di disposizioni tecniche e organizzative. Una delle misure minime di sicurezza più importanti per le imprese è poi la predisposizione del Dps (Documento programmatico sulla sicurezza). Questo documento va predisposto annualmente e deve contenere: l’elenco dei trattamenti di dati personali effettuati dal titolare, la distribuzione dei compiti e delle responsabilità nell’ambito delle strutture preposte al trattamento dei dati, l’analisi dei rischi che incombono sui dati, le misure da adottare per garantire l’integrità e la disponibilità dei dati, nonché la protezione delle aree e dei locali rilevanti ai fini della loro custodia e accessibilità, la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento, la previsione di interventi formativi degli incaricati del trattamento, la descrizione dei criteri da adottare per garantire l’adozione delle misure minime di sicurezza da garantire nel caso in cui i dati personali siano affidati all’esterno della struttura del titolare, infine, per i dati personali idonei a rivelare lo stato di salute e la vita sessuale dell’interessato, l’individuazione dei criteri da adottare per la cifratura o per la separazione di questi dati dagli altri personali dell’interessato

“In prima battuta, se l’azienda non ha consapevolezza del rischio che corre senza mettersi al riparo, qualsiasi prodotto non sarà efficace. Nel mondo enterprise osservo che, se da un lato gli acquisti di prodotti informatici sono positivi gli interventi formativi in tal proposito sono in flessione. Nelle Pmi manca invece la consapevolezza di tradurre questi obblighi in comportamenti lavorativi. Se vissuti invece come un semplice obbligo burocratico, non sortiranno l’effetto voluto”. Parola di Fabrizio Bressani, direttore marketing Itway. “Nelle Pmi la sicurezza in generale è percepita come costo senza alcun riferimento al rischio e questo è un peccato – sostiene Bressani – perché in questo modo si ferma anche l’opportunità di fornire un trattamento dei dati sicuro. Una situazione infrastrutturale poi che non facilita l’analisi e la consulenza alle imprese è l’estrema frammentazione delle imprese che sono spesso di dimensioni ridotte e che sono difficili da raggiungere. Il bussare alle porte di tutte le piccole aziende italiane si traduce spesso in costi considerevoli anche per coloro i quali devono fare consulenza e questo andrà poi a influire sul prezzo che diventerà proibitivo per le stesse micro realtà”, conclude Bressani. Lo studio e la dedizione non solo al decreto legislativo 196/2003 ma a tutta la normativa sulla sicurezza, sono i consigli per iniziare a capire qualche cosa – spiega Simona Passamonti, marketing assistant Wellcome -. “Su questo dlgs abbiamo realizzato ad hoc dei corsi via cavo, attraverso la nostra Wellcome Tv con la presenza di un avvocato che ha spiegato punto per punto tutti i passaggi chiave della normativa ai nostri punti vendita. Il corso è stato suddiviso in due sezioni: nella prima l’hanno fatta da padrone i dati giudiziari e sensibili, la seconda ha visto l’invio ai negozi di una manualistica che step by step ha presentato come approcciarsi alle aziende. Abbiamo adottato diverse linee d’azione la prima delle quali prevedeva subito la messa in guardia dell’interlocutore facendogli notare i rischi che avrebbe corso se non avesse prestato attenzione agli obblighi di legge. Il secondo passaggio – spiega Passamonti – ci ha visti impegnati nel far comprendere che l’adeguamento alla privacy corrispondeva al miglioramento dei processi produttivi aziendali, tutto questo documentandolo attraverso la redazione del Dps. Wellcome Tv ha permesso sia agli affiliati più lontani di seguire i corsi online senza spostarsi dal proprio punto vendita, sia di rivedere gli stessi corsi a coloro i quali avessero perso qualche puntata. Infine – continua Passamonti – per capire le esigenze degli utenti finali che avessero necessità di conoscere i punti vendita specializzati in consulenza sulla privacy abbiamo dato loro la possibilità di ‘esprimersi’ attraverso un’apposita casella di posta elettronica (infoprivacy@wellcome.it)”. (Per leggere le domande e le ri- sposte più frequenti sulla privacy digitare www.wellcome.it/ servizi/ Privacy2004.asp)

“Abbiamo lavorato per far capire l’aggiornamento dei sistemi operativi, per avere un’infrastruttura che garantisca un rispetto delle attività e della privacy degli utenti. Quello che evidenziamo – spiega Francesco Orru, responsabile security strategy & initiatives Microsoft Italia – è l’attenzione ai sistemi operativi di casa propria e lo facciamo organizzando incontri con i consulenti delle piccole imprese. Uno dei temi caldi per la media impresa è quello di fare aggiornamenti in modo governato”. Per Computer Associates “C’è una forte enfasi sulle credenziali e sulle garanzie per una corretta gestione dell’identità e l’accesso delle persone ai dati che riguardano la privacy. Al di là dei soliti antivirus, antispyware che devono essere presenti costantemente – dice Elio Molteni, director product marketing security Computer Associates Emea – il nuovo testo unico enfatizza la gestione delle credenziali ed è per questo che noi proponiamo delle soluzioni che aiutino le imprese a gestire l’identità delle persone per l’accesso ai dati. A questo proposito non dobbiamo dimenticare la nostra famiglia eTrust”. Iomega ha predisposto due categorie di prodotto per andare incontro alle aziende alle prese con il codice sulla privacy. La linea di storage server Nat, con la quale è possibile filtrare l’accesso ai dati da parte di malintenzionati, mentre altro aspetto è la removibilità del dato. “Con una nuova linea di prodotti garantiamo – sostiene Giacomo Mosca, key account manager resellers di Iomega – il backup su cartucce basate su tecnologia a disco fisso. Siccome si tratta di periferica removibile, consente di mettere in sicurezza i dati e i sistemi operativi”. Per Cisco contano maggiormente le procedure: “L’introduzione del dlgs 196/2003 la vedo come un’ottima occasione per gli utilizzatori di sistemi informativi di fare il punto della situazione. Come Cisco, ci siamo dedicati alla strategia del self defending network, che è partita prima dell’entrata in vigore di questo decreto. Quello che ho notato – spiega Marco Misitano, consulting system engeneer responsabile sicurezza Cisco Systems – è che ci siamo trovati di fronte per la prima volta a una strutturati e l’ultima proroga è stata necessaria. Le imprese non si erano quasi mai poste i problemi a cui si sono poi trovate di fronte studiando il decreto legislativo 196 e troppo tardi si sono accorte di non avere in casa soluzioni ad hoc. Direi che il dlgs 196 non è solo una questione di prodotto ma procedurale”. Le soluzioni Tandberg Data sono suddivise a seconda che si tratti di piccola, media e grande impresa. Per le piccole e medie aziende, Axel, il distributore in Italia dei prodotti TD, vengono utilizzati i dispositivi basati su tecnologia Slr, prodotti capaci di gestire le esigenze di backup aziendali, garantendo la scalabilità delle soluzioni. StorageTek propone Atempo Time Navigator, una piattaforma software per backup e recovery che consente di criptare i dati del cliente e permette il backup simultaneo in doppia copia, mentre per Rosa Auricchio, direttore marketing e comunicazione StorageTek, l’introduzione di dispositivi dischi ad alta capacità e basso costo che usano tecnologia Serial Ata e dispositivi removibili come le unità a nastro rispondono alle esigenze di backup della Pmi. “Tramite i nostri partner proponiamo soluzioni calate sulle specifiche esigenze di ogni realtà”, sostiene Sergio Vantusso, direttore marketing Sud Europa Medio Oriente e Africa McAfee. “Per esempio le soluzioni McAfee ASaP per la sicurezza in outsourcing sono adatte ad aziende che non hanno risorse e competenze in materia di sicurezza al loro interno”. Anche l’offerta di Panda Software è variegata e con le nuove tecnologie, chiamate TruPrevent, non è più necessario attendere lo sviluppo di soluzioni specifiche per far fronte agli attacchi informatici. “Symantec – chiarisce Giuseppe Borgonovo, pre sales technical manager di Symantec – ha soluzioni per varie esigenze di protezione”. Per difesa perimetrale, controllo degli accessi, difesa da intrusioni e da codice malizioso Symantec propone l’appliance Symantec Gateway Security; soluzioni antivirus enterprise con funzionalità avanzate mentre per le copie dei dati e il backup Symantec consiglia Ghost e altre soluzioni di backup. “La nuova release della Small Business Edition di Sophos è stata progettata per rispondere alle necessità di sicurezza delle aziende con meno di 100 dipendenti”, dice Paola Casiraghi, marketing coordinator di Sophos Italia. Per proteggere il lavoro e la privacy, Sophos propone PureMessage, soluzione antispam. Per Trend Micro, invece, già con la soluzione Trend Micro Inter- Scan Web Security Suite v2.0, le aziende possono disporre di una buona soluzione per la loro difesa. Anche Symbolic, come sostiene Luca Ronchini, presales engineer, ha due prodotti come nCipher SecureDB, che usa la crittografia per proteggere i database e impedisce agli utenti non autorizzati di accedere al database o a parti di esso e SecureDB per garantire la riservatezza dei dati del database.” Tutti i prodotti della piattaforma di sicurezza SonicWall – puntualizza Davide Carlesi, country manager SonicWall – hanno integrate le funzionalità di sicurezza richieste dal dlgs 196/2003; questi servizi sono aggiornati in modo automatico e trasparente per l’utilizzatore finale. Infine Rsa Security rende disponibile un’offerta di autenticazione per garantire la sicurezza delle transazioni – specifica Paolo Caloisi, country manager Rsa Security Italia – con una tecnologia trasversale alle piattaforme in grado di verificare da chi e da dove provengono i dati, a chi e dove sono diretti a cui si aggiunge il sito www.rsasecuritycom/ node. asp? id =2763 dove si possono scaricare i documenti sulle leggi del proprio Paese e valutare i provvedimenti più adatti.

Cosa significa per un’impresa dover fare i conti con un gigante sconosciuto come il codice sulla privacy? CRN lo ha chiesto a due società che oltre a realizzare programmi ad hoc, sono in prima persona sul campo della consulenza. “Abbiamo varie fasce di mercato per diversi target aziendali. In occasione dell’ultima proroga, dobbiamo distinguere – dice Vito Ziccardi, amministratore Media System Service – la micro e la piccola impresa consi- dera positivamente la proroga sostenendo il maggior tempo di adeguamento a loro disposizione, lo stesso vale per la media impresa che, dal punto di vista procedurale, ha tempi di messa a norma più lunghi. Quindi, questo periodo in più che il legislatore ha concesso va affrontato positivamente, a mio avviso – dice Ziccardi – la proroga è arrivata in un momento in cui le aziende avevano bisogno. Il consiglio che mi sento di dare è di non attendere sempre l’ultimo minuto perché il processo di messa a norma non è solamente il venire in contatto con gli archivi, ma sono tutte le clausole contrattuali che regolamentano l’intreccio di dati nelle aziende. Due sono i dati fondamentali da identificare: i flussi reali nell’azienda (permessi di soggiorno, schede di valutazione) e i dati commerciali sui potenziali clienti, e le aziende devono partire da zero con i loro consulenti”, conclude Ziccardi. Deve essere realizzata un’attenta analisi dei rischi e questo costringe il titolare a ristrutturare le procedure aziendali. “La nuova normativa ha amplificato alcuni degli adempimenti che erano già previsti dal dpr 318/99. In passato il Dps dovevano predisporlo solo coloro che trattavano dati sensibili o giudiziari con apparecchi elettronici accessibili da rete propria. La nuova normativa – dice Mario Brocca, analista Zucchetti – estende l’obbligo a tutti coloro i quali trattano dati sensibili con apparecchi elettronici, quindi stand alone che ricoprono più aziende rispetto a quelle previste dal dpr. Inoltre si è data una stretta al sistema di protezione dei dati attraverso una username e una password di almeno otto caratteri non identificabili”.

L’allegato B del Testo unico sulla Privacy prevede anche interventi formativi per gli incaricati del trattamento allo scopo di renderli consapevoli dei rischi che incombono sui dati, delle misure adatte a prevenire gli eventi dannosi, degli elementi più rilevanti all’interno della disciplina sulla protezione dei dati personali in rapporto alle attività dell’azienda, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure adottate. “Molti dipendenti non sanno di ricoprire un ruolo rilevante nella sicurezza della loro azienda”, ha detto Giorgio Giudice, del comitato direttivo e del comitato tecnico e scientifico del Clusit (www.clusit.it), l’Associazione italiana per la sicurezza informatica. “La trascuratezza nel gestire le password, la leggerezza nel dare informazioni a terzi, nello scaricare programmi da internet possono mettere a repentaglio la sicurezza delle reti aziendali. Personale non consapevole di rischi e precauzioni rappresenta a propria volta un rischio per l’azienda”. Per questo la formazione deve essere rivolta non solo a quanti lavorano nell’ict, ma anche a chi si occupa di affari legali, a responsabili outsourcing, a quanti lavorano in ambito direzione acquisti e risorse umane. Prioritario, infine, è formare il management, che potrà implementare strategie di sicurezza adeguate.

Pochi pacchetti software, quelli già in circolazione sono un po’ costosi. Il passo principale che le aziende devono fare, ancora prima della strumentazione software, è studiare la documentazione sulla privacy. Questi sono alcuni dei commenti raccolti da CRN presso due rivenditori. “Sono d’accordo sul discorso legato alla privacy – commenta Francesco Cassano, titolare Pc-House di Bari – c’è necessità di tutelarla oltre che adattarla alla tipologia di imprese. Ritengo, per esempio, che per uno studio di avvocatura, dove transitano parecchi dati sensibili sia più importante applicare regole di tutela verso i loro clienti. In circolazione, vedo pochi pacchetti e quelli che ci sono costosi, alcuni dei quali lo sono perché il prezzo è direttamente proporzionale”. Sulla documentazione e lo studio della normativa, prima di tutto, punta l’attenzione Ettore D’Errico, titolare di Puntoufficio a Bari. “La normativa era già presente, si tratta solo di studiare meglio il decreto legislativo appena emanato. I clienti dovrebbero affrontare i dettami normativi secondo la loro realtà e documentarsi altrimenti non ci sono software che tengano”.

Cosa pensano le Pmi del decreto legislativo e come si stanno attrezzando? Gli intervistati sono consapevoli dell’importanza della salvaguardia dei dati personali e sono concordi nel dire che un miglioramento delle procedure in materia di sicurezza era necessario; la sensazione che entrambi manifestano, tuttavia, è quella di un decreto che interviene in modo esagerato e che impone alle Pmi spese notevoli per l’adeguamento a quanto è imposto dalle nuove norme. 1380 è un’azienda sita a Milano specializzata nella vendita di arte, design e modernariato, che impiega una decina di persone. “Il decreto legislativo196/2003 tocca argomenti di importanza fondamentale”, spiega Giovanni Cantarella, amministratore delegato della società. “Riteniamo corretto tutelare i nostri clienti, è nel nostro interesse tutelarli al massimo. Non condividiamo, per esempio, la scelta di alcune aziende di trasmettere i loro dati ad altre società a scopi commerciali. Una nuova normativa in materia di sicurezza era necessaria, ma forse bastava un ritocco alle norme esistenti in precedenza. Alcuni aspetti inseriti nel decreto sono esagerati, per esempio non è stato tenuto conto dell’impatto economico richiesto alle imprese. Investire nella salvaguardia dei dati è importante, ma non sono state previste agevolazioni per le Pmi, che devono affrontare investimenti compresi tra i 5 mila e i 50 mila euro circa, una cifra non indifferente. Le nuove normative non cambieranno significativamente il rapporto con fornitori e dipendenti. Le problematiche maggiori, probabilmente, si avvertiranno nel rapporto con i clienti, soprattutto quelli che vedono le nuove procedure come qualcosa di strano”. Mega Italia è invece una società con 105 dipendenti, che della sicurezza fa il proprio mestiere; commercializza infatti prodotti e impianti di allarme e di controllo per abitazioni, alberghi, aziende, banche, enti e negozi. “Abbiamo attentamente studiato il dlgs 196/03 e sicuramente si tratta di una semplificazione rispetto alla vecchia Legge 675/96 – precisa Luca Botti, responsabile del servizio legale e del personale di Mega Italia – una semplificazione intesa come perfezionamento delle procedure di riservatezza dei dati, loro conservazione, trattamento, comunicazione. Molte cose potrebbero migliorare, in quanto l’impegno richiesto per la messa in pratica della normativa è troppo elevato e andrebbe ridotto da parte del legislatore”.

Autore: ITespresso
Clicca per leggere la biografia dell'autore  Clicca per nascondere la biografia dell'autore