Recentemente i Monopoli di Stato hanno introdotto l’obbligo dei lettori di schede magnetiche per i distributori automatici di sigarette. In sostanza, alle tradizionali macchinette sarà apposto un lettore dove inserire una tessera magnetica attestante l’età anagrafica. Più che altro il codice fiscale e la tessera sanitaria – anche la nuova carta d’identità per chi ce l’ha già – da cui la macchinetta verificherà se l’età è superiore ai 16 anni prima di procedere all’acquisto delle sigarette. Posto che sia assolutamente condivisibile evitare l’acquisto da parte dei minorenni, anche se ci si dovrebbe concentrare sui commercianti che spesso vendono le sigarette anche quando non dovrebbero, la domanda che mi pongo è esattamente questa: dove vanno a finire i dati letti? In altre parole, quando inserisco il mio codice fiscale o la tessera sanitaria, informazioni “molto” personali e sensibili, questi dati vengono letti e immediatamente cancellati o restano in memoria e magari potrebbero essere utilizzati dallo stesso tabaccaio o dalla società fornitrice del lettore? È un discorso che andrebbe seriamente approfondito dal Garante prima che sulle nuove carte di identità e sulle tessere sanitarie verranno inseriti dati ancora più personali, come potrebbe essere, per esempio, la nostra situazione medica.

Le nuove misure per gli Amministratori di sistema non coinvolgono solo sistemi software e hardware.

Studio Mazzolari riporta qua di seguito un pratico Vademecum degli adempimenti procedurali e documentali prescritti ai Titolari del trattamento relativamente alle attribuzioni delle funzioni di amministratore di sistema (Provvedimento a carattere generale 27 novembre 2008) da adottare entro il 15 dicembre 2009.

Tale vademecum presuppone che il Titolare abbia già adottato idoneo sistema per la registrazione e la conservazione degli access log così come disposto dal Punto f) del sopra citato Provvedimento.

Anzitutto: Chi sono gli Amministratori di sistema?

Con la definizione di “amministratore di sistema” si individuano generalmente, in ambito informatico, figure professionali finalizzate alla gestione e alla manutenzione di un impianto di elaborazione o di sue componenti.

Ai fini del  Provvedimento del Garante vengono però considerate tali anche altre figure equiparabili dal punto di vista dei rischi relativi alla protezione dei dati, quali:

• gli amministratori di database,
• gli amministratori di reti e di apparati di sicurezza,
• gli amministratori di sistemi software complessi.

Gli adempimenti procedurali e documentali richiesti

a. Valutazione delle caratteristiche soggettive

Anche quando le funzioni di amministratore di sistema o assimilate sono attribuite solo nel quadro di una designazione quale incaricato del trattamento ai sensi dell’art. 30 del Codice, il titolare e il responsabile devono attenersi comunque a criteri di valutazione equipollenti a quelli richiesti per la designazione dei responsabili ai sensi dell’art. 29.

Adempimento: nella nomina dell’Amministratore di sistema vanno richiamati i requisiti previsti per la nomina a Responsabile del trattamento (Comma 2, Art. 29 Dlgs 196/2003). Se è già stato nominato quale Incaricato del trattamento: integrare la nomina con le valutazioni ex art. 29 Dlgs 196/2003.

b. Designazioni individuali
e ambiti di operatività

La designazione quale amministratore di sistema deve essere individuale e recare l’elencazione analitica degli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato.

Adempimento: all’atto della designazione individuale di un amministratore di sistema, deve essere fatta una “elencazione analitica” degli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato, ovvero la descrizione puntuale degli stessi, evitando l’attribuzione di ambiti insufficientemente definiti, analogamente a quanto previsto al comma 4 dell’art. 29 del Codice riguardante i responsabili del trattamento.

NB: non è necessario indicare i singoli sistemi e le singole operazioni affidate. E’ sufficiente specificare l’ambito di operatività in termini più generali, per settori o per aree applicative, senza obbligo di specificarlo rispetto a singoli sistemi, a meno che non sia ritenuto necessario in casi specifici.

c. Elenco degli amministratori di sistema

Gli estremi identificativi delle persone fisiche amministratori di sistema, con l’elenco delle funzioni ad essi attribuite, devono essere riportati da parte del Titolare (o del Responsabile esterno) in un documento da mantenere aggiornato e disponibile in caso di accertamenti da parte del Garante.

Adempimento: il Titolare (o il Responsabile che svolge il servizio di Amministratore di sistema in outsourcing) redige un documento da mantenere aggiornato e disponibile in caso di accertamenti da parte del Garante in cui sono riportati gli estremi identificativi delle persone fisiche amministratori di sistema, con l’elenco delle funzioni ad essi attribuite.

NB: l’eventuale attribuzione al responsabile del compito di dare attuazione alla prescrizione, avviene nell’ambito della designazione del responsabile da parte del titolare del trattamento, ai sensi dell’art. 29 del Codice, o anche tramite opportune clausole contrattuali

d. Trattamento dati personali dei lavoratori

I titolari sono tenuti a instaurare un regime di conoscibilità dell’identità degli amministratori di sistema, quale forma di trasparenza interna all’organizzazione a tutela dei lavoratori, nel caso in cui un amministratore di sistema, oltre a intervenire sotto il profilo tecnico in generici trattamenti di dati personali in un’organizzazione, tratti anche dati personali riferiti ai lavoratori operanti nell’ambito dell’organizzazione medesima o sia nelle condizioni di acquisire conoscenza di dati a essi riferiti.

Adempimento: rendere nota l’identità degli Amministratori di sistema tramite

• integrazione dell’Informativa ai lavoratori oppure
• integrazione del Disciplinare interno sull’uso di Internet e Posta elettronica oppure
• pubblicazione sulla intranet o tramite ordini di servizio o bollettini.

e. Verifica delle attività

L’operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, di un’attività di verifica da parte dei titolari del trattamento o dei responsabili cui il servizio è affidato in outsourcing, in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza riguardanti i trattamenti dei dati personali previste dalle norme vigenti.

Adempimento: almeno annualmente è da sottoporre a verifica l’attività svolta dall’amministratore di sistema nell’esercizio delle sue funzioni. In apposito documento da allegare al DPS (o conservare unitamente alla nomina dell’Amministratore di Sistema) va certificato che le attività svolte dall’amministratore di sistema siano conformi alle mansioni attribuite, ivi compreso il profilo relativo alla sicurezza.

NB: l’eventuale attribuzione al responsabile del compito di dare attuazione alla prescrizione, avviene nell’ambito della designazione del responsabile da parte del titolare del trattamento, ai sensi dell’art. 29 del Codice, o anche tramite opportune clausole contrattuali.

Dunque ieri, 19 novembre, alla Camera è stato dato il via libera al decreto Ronchi che prevede, tra l’altro, la liberalizzazione dei servizi pubblici locali, compresa la gestione delle risorse idriche.

Nel “tra l’altro” vi sono nuove importanti norme in materia di telemarketing che rischiano di azzerare il lavoro del Garante degli ultimi anni tutto improntato alla salvaguardia della pace domestica dalle c.d. telefonate serali di disturbo attraverso il rigoroso principio del consenso preventivo dei destinatari.

Cosa cambia?

Registro pubblico: è istituito un registro pubblico al quale dovranno iscriversi quanti non vogliono essere disturbati da telefonate pubblicitarie o commerciali (opt-out)

Prima dell’istituzione del registro: abbonati e utenti si vedranno di nuovo massicciamente contattare da aziende, gestori telefonici, società di servizi con le offerte più diverse

Efficacia retroattiva: potranno essere contattati a fini promozionali anche coloro che a suo tempo avevano manifestato la volontà di non ricevere più pubblicità telefonica

La risposta del Garante non si è fatta attendere.

L’Authority per la privacy ha subito espresso forte preoccupazione riguardo agli effetti negativi che potranno derivare dalle nuove norme in materia di telemarketing introdotte dal “decreto legge Ronchi”, appena approvato in via definitiva dalla Camera, manifestando sconcerto anche per la mancata previsione del suo parere formale sull’istituzione del registro, sul cui funzionamento e sulla cui organizzazione l’Autorità viene tuttavia chiamata a vigilare.

Pur riservandosi di verificarne in concreto il funzionamento, l’Autorità esprime infine dubbi sull’effettiva efficacia del registro, il quale peraltro non verrà, come erroneamente riportato da notizie di stampa, gestito direttamente dal Garante, ma da un ente o organismo diverso, ancora da individuare.

Con la Newsletter 231 del 17 novembre 2009, il Garante per la protezione dei dati personali è intervenuto nuovamente per combattere l’invio di pubblicità indesiderata via fax: dall’inizio del 2009 sono oltre 500 le segnalazioni già pervenute al Garante da cittadini e imprese che denunciano questa tecnica di spam.

Il quadro normativo di riferimento per l’invio di informazioni commerciali senza l’intervento di un operatore è l’art. 130, comma 2 del Dlgs 196/2003, il quale prevede, per l’invio di messaggi mediante telefax il preventivo consenso informato e specifico dell’interessato (opt-in).

Da tenere sempre presente che la garanzia di cui all’art.130 del Codice non può essere elusa inviando un primo messaggio che, nel richiedere il consenso, abbia già un contenuto promozionale (v. Provv. 29 maggio 2003, relativo allo spamming, in www.garanteprivacy.it, doc. web n. 29840);

La Newsletter segue l’ultimo intervento del Garante reativo ad una società alla quale è stato vietato l’ulteriore trattamento di dati personali, utilizzati senza consenso dei destinatari per l’invio di pubblicità indesiderata. L’Autorità ha imposto, inoltre, la cancellazione di tutti i dati personali per i quali non risulti documentata la manifestazione del consenso all’invio di comunicazioni promozionali. La mancata osservanza del provvedimento di divieto espone a sanzioni penali e al pagamento di una somma che va da trentamila a centottantamila euro.

Come altre imprese in precedenza, anche in questo caso la società ha affermato di utilizzare, per gli invii, nominativi estratti da elenchi telefonici “categorici” pubblici (come Pagine Gialle o Pagine Utili). Questo consentirebbe, ad avviso delle imprese, di poter liberamente disporre di quei numeri per comunicazioni promozionali.

Il Garante, al contrario, ha ancora una volta ribadito che l’uso di sistemi automatizzati per inviare messaggi promozionali, come è il fax (ma il discorso vale anche per sms, mms, e-mail, etc.) impone la preventiva acquisizione del consenso informato e specifico da parte dei destinatari, anche quando si tratti di dati estratti da elenchi categorici o da albi.

roba che la finestra sul cortile di hitchcock è una commediola.

Jurg

Verba manent…

Che anche la voce fosse un dato personale, non c’era alcun dubbio. Dubbi rimanevano sul come garantire il diritto d’accesso relativamente ai contenuti dei c.d. verbal ordering.

E così ecco intervenire il Garante con un Provvedimento ad hoc nel quale si precisa che la registrazione di un colloquio telefonico che comporta l’attivazione di un nuovo servizio commerciale deve essere resa disponibile all’interessato che ne faccia richiesta: non è sufficiente che l’azienda gli fornisca la trascrizione dei contenuti della conversazione.

Col sopra indicato Provvedimento, il Garante  accoglie il ricorso di un consumatore che contesta l’attivazione di un contratto da parte di un gestore telefonico attraverso la prassi del “verbal ordering”, ovvero la chiamata con la quale avrebbe aderito ad una proposta commerciale. Il ricorrente aveva chiesto alla società telefonica una copia della registrazione del colloquio. Il gestore aveva fornito all’interessato solo una sintesi scritta dei contenuti di quella telefonata. Insoddisfatto del riscontro ottenuto l’utente si era rivolto all’Autorità.

Nel dare ragione al ricorrente il Garante ha precisato che anche suoni ed immagini costituiscono dati personali rispetto ai quali gli interessati possono far valere i diritti loro riconosciuti dalla normativa in materia di privacy. Il diritto di accesso ai dati personali contenuti nel “verbal ordering” non può, dunque, ritenersi pienamente soddisfatto dalla trasposizione fornita dall’azienda, in quanto solo la registrazione consente di accedere al dato vocale. L’Autorità ha quindi ordinato al gestore di mettere a disposizione del ricorrente la registrazione del colloquio telefonico.

“Tutelare i propri diritti – ha dichiarato il relatore Giuseppe Fortunato – significa anche essere garantito rispetto alle proprie parole dette che restano proprie anche se in possesso altrui”.

È illecito monitorare in modo sistematico e continuativo la navigazione in Internet  dei lavoratori.

Il principio è stato ribadito dal Garante privacy che ha vietato ad una società  il trattamento dei dati personali di un dipendente e ha segnalato il caso all’autorità giudiziaria.

La società aveva monitorato per nove mesi la navigazione on line di un lavoratore attraverso un software in grado di  memorizzare “in chiaro”, tra l’altro, le pagine e i siti web visitati, il numero di connessioni, il tempo trascorso sulle singole pagine. Nel definire il reclamo il Garante, con un provvedimento di cui è stato relatore Mauro Paissan, ha riconosciuto le ragioni del dipendente.

L’installazione di un software appositamente configurato per tracciare in modo sistematico la navigazione in Internet del lavoratore  viola, infatti, lo Statuto dei lavoratori, che vieta l’impiego di apparecchiature per il controllo a distanza dell’attività dei dipendenti. Peraltro la società non aveva neanche provveduto ad attivare le procedure stabilite dalla normativa qualora tale controllo fosse motivato da “esigenze organizzative e produttive” (accordo con le rappresentanze sindacali o, in assenza di questo,  autorizzazione della Direzione provinciale del lavoro).

Il Garante ha ritenuto, infine, che la società sia incorsa anche nella violazione dei principi di pertinenza e non eccedenza delle informazioni raccolte, poiché il monitoraggio, diretto peraltro nei confronti di un solo dipendente, è risultato prolungato e costante.

In base alle Linee guida fissate dall’Autorità i datori di lavoro possono infatti procedere a eventuali controlli ma in modo graduale, mediante verifiche di reparto, d’ufficio, di gruppo di lavoro prima di passare a controlli individuali.

I predetti controlli, inoltre, sono consentiti solo dopo l’adozione di un idoneo “Disciplinare interno sull’uso di Internet e Posta elettronica”, documento obbligatorio attraverso il quale si comunica ai Dipendenti e Collaboratori la Policy aziendale circa l’uso corretto della posta elettronica e della rete Internet indicando chiaramente le modalità di uso degli strumenti messi a disposizione e  in che misura e con quali modalità vengano effettuati controlli (Provvedimento Garante 1 marzo 2007). La sua mancata adozione espone, inoltre, l’azienda al rischio del pagamento di una sanzione amministrativa da € 30.000 a € 180.000.

Vediamo ora nel dettaglio in cosa consistono le nuove misure necessarie di sicurezza relative agli Amministratori di sistema, così come modificate dal Provvedimento del 25 giugno emanato a seguito della consultazione pubblica attivata dallo stesso Garante volta ad acquisire osservazioni e commenti da parte dei titolari del trattamento.

Anzitutto: chi sono gli Amministratori di sistema?

Con la definizione di “amministratore di sistema” si individuano generalmente, in ambito informatico, figure professionali finalizzate alla gestione e alla manutenzione di un impianto di elaborazione o di sue componenti.

Ai fini del  Provvedimento del Garante vengono però considerate tali anche altre figure equiparabili dal punto di vista dei rischi relativi alla protezione dei dati, quali:

• gli amministratori di database,
• gli amministratori di reti e di apparati di sicurezza,
• gli amministratori di sistemi software complessi.

Attività tecniche quali il salvataggio dei dati (backup/recovery), l’organizzazione dei flussi di rete, la gestione dei supporti di memorizzazione e la manutenzione hardware comportano infatti, in molti casi, un’effettiva capacità di azione su informazioni che va considerata a tutti gli effetti alla stregua di un trattamento di dati personali; ciò, anche quando l’amministratore non consulti “in chiaro” le informazioni medesime.

In concreto, ogni Titolare che rientra nell’obbligo di attuazione delle nuove misure, deve:

1. individuare coloro che ricadono nella categoria di amministratore di sistema;
2. valutare l’esperienza, la capacità e l’affidabilità dei soggetti designati quali amministratore di sistema che devono fornire idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento ivi compreso il profilo relativo alla sicurezza;
3. designare tali amministratori di sistema in modo individuale con l’elencazione analitica degli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato;
4. redigere un documento interno da mantenere aggiornato e disponibile in caso di accertamenti da parte del Garante in cui riportare gli estremi identificativi delle persone fisiche amministratori di sistema, con l’elenco delle funzioni ad essi attribuite; se i servizi di amministrazione di sistema sono affidati in outsourcing, tale documento può essere redatto e custodito dall’Outsourcer nominato Responsabile del trattamento.
5. se l’attività degli amministratori di sistema riguarda anche indirettamente servizi o sistemi che trattano o che permettono il trattamento di informazioni di carattere personale dei lavoratori, comunicare a questi ultimi l’identità degli amministratori di sistema;
6. verificare l’operato degli amministratori di sistema, con cadenza almeno annuale, in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza rispetto ai trattamenti dei dati personali previste dalle norme vigenti; tale verifica può essere demandata all’outsourcer Responsabile del trattamento;
7. registrare gli accessi ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema, mediante l’adozione di sistemi idonei alla registrazione degli accessi logici (autenticazione informatica).Le registrazioni (access log) devono avere caratteristiche di

• • completezza,
  • inalterabilità,
  • possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo per cui sono richieste.

Le registrazioni devono comprendere:

• • i riferimenti temporali
  • la descrizione dell’evento che le ha generate.

Le registrazioni devono inoltre  essere conservate per un congruo periodo, non inferiore a sei mesi.

Nel dettaglio, il Provvedimento Garante 27 novembre 2008 così come integrato dal Provvedimento Garante 25 giugno 2009, dispone quanto segue (le parti barrate sono state soppresse, le parti in grassetto  sono state aggiunte):

a) Valutazione delle caratteristiche soggettive

L’attribuzione delle funzioni di amministratore di sistema deve avvenire previa valutazione delle caratteristiche di esperienza, capacità e affidabilità del soggetto designato, il quale deve fornire idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza.

Anche quando le funzioni di amministratore di sistema o assimilate sono attribuite solo nel quadro di una designazione quale incaricato del trattamento ai sensi dell’art. 30 del Codice, il titolare e il responsabile devono attenersi comunque a criteri di valutazione equipollenti a quelli richiesti per la designazione dei responsabili ai sensi dell’art. 29.

b) Designazioni individuali

La designazione quale amministratore di sistema deve essere individuale e recare l’elencazione analitica degli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato.

c) Elenco degli amministratori di sistema

Gli estremi identificativi delle persone fisiche amministratori di sistema, con l’elenco delle funzioni ad essi attribuite, devono essere riportati nel documento programmatico sulla sicurezza oppure, nei casi in cui il titolare non è tenuto a redigerlo, annotati comunque in un documento interno da mantenere aggiornato e disponibile in caso di accertamenti da parte del Garante.

Qualora l’attività degli amministratori di sistema riguardi anche indirettamente servizi o sistemi che trattano o che permettono il trattamento di informazioni di carattere personale dei lavoratori, i titolari pubblici e privati sono tenuti a rendere nota o conoscibile l’identità degli amministratori di sistema nell’ambito delle proprie organizzazioni, secondo le caratteristiche dell’azienda o del servizio, in relazione ai diversi servizi informatici cui questi sono preposti. Ciò, avvalendosi dell’informativa resa agli interessati ai sensi dell’art. 13 del Codice nell’ambito del rapporto di lavoro che li lega al titolare, oppure tramite il disciplinare tecnico di cui al provvedimento del Garante n. 13 del 1° marzo 2007 (in G.U. 10 marzo 2007, n. 58) o, in alternativa, mediante altri strumenti di comunicazione interna (ad es., intranet aziendale, ordini di servizio a circolazione interna o bollettini) o tramite procedure formalizzate a istanza del lavoratore. Ciò, salvi i casi in cui tali forme di pubblicità o di conoscibilità siano incompatibili con diverse previsioni dell’ordinamento che disciplinino uno specifico settore.

d) Servizi in outsourcing

Nel caso di servizi di amministrazione di sistema affidati in outsourcing il titolare il titolare o il responsabile esterno devono deve conservare direttamente e specificamente, per ogni eventuale evenienza, gli estremi identificativi delle persone fisiche preposte quali amministratori di sistema.

e) Verifica delle attività

L’operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, di un’attività di verifica da parte dei titolari del trattamento o dei responsabili, in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza riguardanti i trattamenti dei dati personali previste dalle norme vigenti.

f) Registrazione degli accessi

Devono essere adottati sistemi idonei alla registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema. Le registrazioni (access log) devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo per cui sono richieste. Le registrazioni devono comprendere i riferimenti temporali e la descrizione dell’evento che le ha generate e devono essere conservate per un congruo periodo, non inferiore a sei mesi.

g) 3-bis: il Garante dispone che l’eventuale attribuzione al responsabile del compito di dare attuazione alle prescrizioni di cui al punto 2, lett. d) ed e), avvenga nell’ambito della designazione del responsabile da parte del titolare del trattamento, ai sensi dell’art. 29 del Codice, o anche tramite opportune clausole contrattuali.

La banca deve proteggere con particolare attenzione i dati della clientela e deve dare immediata notizia al titolare del conto di eventuali accessi ingiustificati, anche se effettuati da propri dipendenti, alle informazioni riguardanti il conto corrente.

È quanto ha stabilito il Garante per la privacy, con un provvedimento di cui è stato relatore Mauro Paissan, affrontando il caso di una signora che lamentava il trattamento illecito dei suoi dati personali da parte della propria banca. Nell’ambito di una causa di separazione, il marito aveva infatti prodotto una memoria contenente informazioni, relative a un conto corrente, che solo la donna stessa o il personale della filiale presso la quale aveva aperto il conto potevano conoscere.

Alla scoperta della violazione, la cliente si era subito rivolta all’istituto di credito per chiedere chi avesse avuto accesso ai dati, comunicandoli poi all’esterno. L’istituto bancario aveva inizialmente negato i fatti e solo in seguito a ulteriori richieste della donna, ammetteva che un dipendente aveva prima consultato senza giustificate “esigenze operative” i conti correnti della segnalante e poi inoltrato i dati a un altro funzionario del gruppo bancario. A causa del loro comportamento, entrambi i lavoratori erano stati temporaneamente sospesi dal lavoro.

La donna si era nel frattempo rivolta anche al Garante. Gli accertamenti dell’Autorità hanno messo in luce che la banca aveva sì adottato misure di sicurezza ma non sufficienti a impedire il trattamento non consentito dei dati del conto corrente. L’istituto di credito, inoltre, pur avendo rilevato l’accesso non autorizzato ai conti della sua cliente, non l’aveva tempestivamente avvertita, con ciò violando il principio di correttezza. La tempestiva informazione avrebbe, infatti, potuto consentire alla correntista perlomeno di ridurre i rischi derivanti dall’indebita divulgazione dei dati del suo conto.

L’Autorità ha prescritto al gruppo bancario di adottare misure di sicurezza idonee a garantire la scrupolosa vigilanza sull’operato degli incaricati, e di sensibilizzare i funzionari al rigoroso rispetto delle norme sulla privacy attraverso attività di formazione. Ha inoltre stabilito che la banca, una volta acquisita la conoscenza di accessi non autorizzati ai dati della clientela, inclusi quelli eventualmente effettuati dai suoi dipendenti, è tenuta a comunicarlo tempestivamente agli interessati.

L’Autorità ha infine disposto la trasmissione del provvedimento alla Procura della Repubblica per le valutazioni di competenza riguardo a eventuali illeciti penali commessi.

Il bimbo che oggi ha 20 mesi e le attività connesse al trasferimento nella casa nuova mi hanno lasciato per tanto, troppo tempo, lontano da questo blog. Giusto oggi, tramite Twitter (thanx Catepol e Robin Good ), ho saputo di un interessante lavoro (a maggio 2009) dell’Autorità Garante per la Protezione dei Dati Personali sui pericoli derivanti da un uso non consapevole dei social networks. I pochi che hanno il piacere di leggere questo mio spazio sanno che i rapporti tra la Rete e la privacy sono tra i miei argomenti preferiti e dunque vi suggerisco il link all’opuscolo: “Social Network: attenzione agli effetti collaterali”.
Come indicato nella prefazione, la deterritoralizzazione dei servizi di social networking non ci permette una vera tutela nel momento in cui vengono violati i nostri diritti. Recitava il vecchio adagio pubblicitario che “Prevenire è meglio che curare”, e questo il Garante sembra averlo capito benissimo muovendosi ancora una volta sulla strada del coinvolgimento degli utenti e nell’incremento della loro consapevolezza.

L’opuscolo lo trovo davvero interessante, chiaro e gradevole graficamente, rivolto a diverse tipologie di utenti e quindi con linguaggi diversi. Anche stavolta, a mio avviso, il Garante e il suo Presidente hanno colpito nel segno e l’Autorità ha oramai affiancato al suo prestigio istituzionale una reputation guadagnata sul campo attraverso l’ascolto di chi la Rete la vive quotidianamente e sfociata anche in un intervento su SL di cui ho già trattato. Consentitemi una punta di polemica: mi auguro che la competenza del Garante rassicuri altri membri delle istituzioni e li dissuada da mettere in campo campagne di oscurantismo cui l’Italia già abbastanza arretrata tecnologicamente in vasti strati della popolazione non ha punto bisogno.
Buona lettura.

I Garanti UE tornano sulla spinosa questione del trattamento dati personali nei Social Network chiarendo, anzitutto che si, la normativa europea è applicabile anche a Facebook, nonostante server e trattamenti localizzati negli Stati Uniti, e che si, gli utenti devono chiedere il consenso ai rispettivi interessati prima di mettere in circolazione loro dati personali.

Tutto questo era già comunque presente nel Codice privacy e, per la precisione, nell’art. 5 del Dlgs 196/2003, Oggetto ed ambito di applicazione (del codice privacy):

Comma 2: Il presente codice si applica anche al trattamento di dati personali effettuato da chiunque è stabilito nel territorio di un Paese non appartenente all’Unione europea e impiega, per il trattamento, strumenti situati nel territorio dello Stato anche diversi da quelli elettronici, salvo che essi siano utilizzati solo ai fini di transito nel territorio dell’Unione europea. In caso di applicazione del presente codice, il titolare del trattamento designa un proprio rappresentante stabilito nel territorio dello Stato ai fini dell’applicazione della disciplina sul trattamento dei dati personali.

Comma 3: Il trattamento di dati personali effettuato da persone fisiche per fini esclusivamente personali è soggetto all’applicazione del presente codice solo se i dati sono destinati ad una comunicazione sistematica o alla diffusione. Si applicano in ogni caso le disposizioni in tema di responsabilità e di sicurezza dei dati di cui agli articoli 15 e 31.

Ma andiamo a vedere più da vicino l’intervento dei Garanti europei (http://ec.europa.eu/justice_home/fsj/privacy/docs/wpdocs/2009/wp163_en.pdf):

In primo luogo, si chiarisce, per l’appunto, che i gestori di tali piattaforme, anche quelle gestite da Paesi extra-Ue, sono soggetti alle disposizioni della direttiva europea sulla protezione dei dati (e, quindi, delle leggi nazionali in materia), nella misura in cui il funzionamento dei social network richiede l’utilizzo di “strumenti” situati fisicamente sul territorio dell’Ue (Art.5, comma 2 Dlgs196/2003).

In secondo luogo, i Garanti chiedono che i gestori dei social network rispettino una serie di obblighi:

• avvertire gli utenti sulla necessità di ottenere il consenso informato dell’utente prima di permettere a terzi di accedere ai dati contenuti nel suo profilo;
• cancellare i dati personali contenuti nei profili-utente che siano disattivati (fatta salva la loro conservazione, in casi specifici, per contrastare comportamenti illeciti);
• mettere a disposizione strumenti facili e immediati per consentire agli utenti l’esercizio dei diritti previsti dalla normativa (accesso, rettifica, cancellazione), come ad esempio un unico “sportello reclami” raggiungibile da tutti i Paesi;
• dare la possibilità agli utenti di navigare e utilizzare i servizi anche attraverso pseudonimi;
• adottare idonee misure di sicurezza (tecniche ed organizzative), anche con riguardo ai rischi di spam;
• è necessario, inoltre, che i gestori di social network forniscano, per default, una configurazione in grado di escludere la possibilità che motori di ricerca esterni indicizzino le informazioni contenute nel profilo-utente;
• va fornita, infine, un’informativa completa sulla natura del servizio e sui possibili rischi: quello di una informazione facilmente comprensibile dagli utenti è infatti uno degli aspetti cruciali sui quali sensibilizzare gestori di social network.

I Garanti europei si sono poi preoccupati di mettere in luce anche le specifiche responsabilità che sono in capo agli utenti di social network, prima fra tutte quella di chiedere il consenso delle persone i cui dati siano fatti circolare, soprattutto se il numero di contatti e “amici” è particolarmente elevato (Art.5, comma 3 Dlgs196/2003).

Un capitolo a sé è dedicato ai minori.Il parere ricorda l’obbligo di adottare particolari cautele in questo ambito, soprattutto per i problemi connessi alla verifica del consenso prestato da soggetti minorenni. Occorre una strategia multi-livello che comprenda educazione all’uso, sviluppo di tecnologie di protezione, promozione dell’autoregolamentazione da parte dei gestori di social network, interventi normativi per scoraggiare e sanzionare le violazioni di legge.

Con l’intervento di proroga al 15 dicembre 2009 dell’adozione delle nuove misure necessarie di sicurezza relative agli amministratori di sistema, il Garante ha introdotto importanti novità affinché gli adempimenti connessi all’individuazione degli amministratori di sistema ed alla tenuta dei relativi elenchi possano essere soddisfatti, oltre che dal titolare, anche dagli outsourcer nominati responsabili del trattamento attraverso l’integrazione del loro atto di nomina formale oppure attraverso clausole contrattuali ad hoc (v. il nuovo Punto 3-bis del Proivvedimento 25 giugno 2009).

Vediamo qua di seguito le parti del provvedimento del Garante interessate alle modifiche (le aggiunte sono in grassetto):

4.3 Elenco degli amministratori di sistema:

Gli estremi identificativi delle persone fisiche amministratori di sistema, con l’elenco delle funzioni ad essi attribuite, devono essere riportati nel documento programmatico sulla sicurezza, oppure, nei casi in cui il titolare non è tenuto a redigerlo, annotati comunque in un documento interno da mantenere aggiornato e disponibile in caso di accertamenti anche da parte del Garante.

Al terzo capoverso del punto 4.3:

Nel caso di servizi di amministrazione di sistema affidati in outsourcing il titolare deve o il responsabile del trattamento devono conservare direttamente e specificamente, per ogni eventuale evenienza, gli estremi identificativi delle persone fisiche preposte quali amministratori di sistema.

4.4 Verifica delle attività:

L’operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, di un’attività di verifica da parte dei titolari o dei responsabili del trattamento, in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza rispetto ai trattamenti dei dati personali previste dalle norme vigenti.

Punto 2 lett. c):

Gli estremi identificativi delle persone fisiche amministratori di sistema, con l’elenco delle funzioni ad essi attribuite, devono essere riportati nel documento programmatico sulla sicurezza oppure, nei casi in cui il titolare non è tenuto a redigerlo, annotati comunque in un documento interno da mantenere aggiornato e disponibile in caso di accertamenti da parte del Garante.

Qualora l’attività degli amministratori di sistema riguardi anche indirettamente servizi o sistemi che trattano o che permettono il trattamento di informazioni di carattere personale dei lavoratori, i titolari pubblici e privati sono tenuti a rendere nota o conoscibile l’identità degli amministratori di sistema nell’ambito delle proprie organizzazioni, secondo le caratteristiche dell’azienda o del servizio, in relazione ai diversi servizi informatici cui questi sono preposti. Ciò, avvalendosi dell’informativa resa agli interessati ai sensi dell’art. 13 del Codice nell’ambito del rapporto di lavoro che li lega al titolare, oppure tramite il disciplinare tecnico di cui al provvedimento del Garante n. 13 del 1° marzo 2007 (in G.U. 10 marzo 2007, n. 58) o, in alternativa, mediante altri strumenti di comunicazione interna (ad es., intranet aziendale, ordini di servizio a circolazione interna o bollettini o tramite procedure formalizzate a istanza del lavoratore). Ciò, salvi i casi in cui tali forme di pubblicità o di conoscibilità siano incompatibili con diverse previsioni dell’ordinamento che disciplinino uno specifico settore.

Punto 2 lett. d:)

Nel caso di servizi di amministrazione di sistema affidati in outsourcing il titolare deve o il responsabile esterno devono conservare direttamente e specificamente, per ogni eventuale evenienza, gli estremi identificativi delle persone fisiche preposte quali amministratori di sistema.

Punto 2 lett. e):

L’operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, di un’attività di verifica da parte dei titolari del trattamento o dei responsabili, in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza riguardanti i trattamenti dei dati personali previste dalle norme vigenti.

Nuovo punto 3-bis:

“dispone che l’eventuale attribuzione al responsabile del compito di dare attuazione alle prescrizioni di cui al punto 2, lett. d) ed e), avvenga nell’ambito della designazione del responsabile da parte del titolare del trattamento, ai sensi dell’art. 29 del Codice, o anche tramite opportune clausole contrattuali”.

A tutti buon lavoro e, sempre, l’augurio di aude aliquid dignum.

Col Provvedimento di semplificazione del 27/11/2008, il Garante ha dispensato una buona fetta di Titolari del trattamento dall’obbligo di redazione del DPS.

Più precisamente, possono redigere un’autocertificazione in luogo del DPS le amministrazioni pubbliche e le società private che utilizzano dati personali non sensibili (nome, cognome, indirizzo, codice fiscale, numero di telefono) o che trattano, come unici dati sensibili dei dipendenti e collaboratori anche a progetto, quelli relativi allo stato di salute senza indicazione della relativa diagnosi o all’adesione a organizzazioni sindacali.

Qua di seguito pubblichiamo il Modello di autocertificazione da conservare in Azienda o Studio all’interno del Fascicolo Privacy.

Facsimile Autocertificazione sostitutiva DPS – Word

Facsimile Autocertificazione sostitutiva DPS – PDF

Il Garante della Privacy, Francesco Pizzetti, presentando la sua relazione annuale al Parlamento, ha parlato dei social network, quale realtà nuova che può “minare alle radici le nostre libertà”, se non adeguatamente regolata e governata.

La relazione su questo tema fa riferimento alla “Risoluzione sulla tutela della privacy nei servizi di social network” proposta dall’autority tedesca e adottata Autorità di protezione dei dati nel corso della 30ma Conferenza internazionale a Strasburgo (ottobre 2008).

Riporto di seguito le raccomandazioni contenute nel documento.

Raccomandazioni

Tenuto conto della particolare natura dei servizi in oggetto, e dei rischi per la privacy delle persone nel breve e nel lungo periodo, la Conferenza sottopone le seguenti raccomandazioni agli utenti ed ai fornitori di servizi di social network:

Utenti dei servizi di social network

I soggetti interessati al benessere degli utenti dei servizi di social network, ivi compresi i fornitori di tali servizi, i governi, e le autorità per la protezione dei dati, dovrebbero contribuire ad educare gli utenti alla tutela dei dati personali che li riguardano, trasmettendo i messaggi di seguito indicati:

1. Pubblicazione delle informazioni

Gli utenti di servizi di social network dovrebbero valutare con attenzione se e in quale misura pubblicare dati personali in un profilo creato su tali servizi. Occorre tenere presente che le informazioni o le immagini pubblicate potrebbero riemergere in tempi successivi – ad esempio, in occasione della presentazione di una domanda d’impiego. Soprattutto, i minori dovrebbero evitare di fornire l’indirizzo o il numero telefonico di casa.

Sarebbe opportuno valutare se utilizzare nel profilo uno pseudonimo anziché il nome reale. Tuttavia, gli utenti devono ricordare che la tutela offerta dall’utilizzo di pseudonimi è piuttosto limitata, in quanto altri potrebbero individuare chi vi si cela dietro.

2. La privacy degli altri

Gli utenti devono rispettare la privacy altrui. Occorre particolare attenzione se si pubblicano dati personali relativi a soggetti terzi (comprese foto con o senza didascalie o etichette) senza il consenso di tali soggetti.

Fornitori dei servizi di social network

I fornitori dei servizi di social network sono tenuti ad operare nell’interesse delle persone che utilizzano i loro servizi. Oltre a rispettare la normativa in materia di protezione dei dati, dovrebbero mettere in pratica anche le raccomandazioni di seguito indicate:

1. Norme e standard in materia di privacy

I fornitori devono rispettare gli standard in materia di privacy vigenti nei Paesi ove operano. A tale scopo, dovrebbero consultarsi, se necessario, con le autorità per la protezione dei dati.

2. Informazioni relative agli utenti

I fornitori dei servizi di social network devono informare gli utenti in merito al trattamento dei dati personali che li riguardano, secondo modalità trasparenti e corrette. Inoltre, devono fornire informazioni veritiere e comprensibili sulle conseguenze derivanti dalla pubblicazione di dati personali in un profilo, nonché sugli altri rischi in materia di sicurezza e sulla possibilità che soggetti terzi (comprese, ad esempio, le forze dell’ordine) accedano legalmente a tali dati. L’informativa deve indicare anche le modalità per una corretta gestione dei dati personali relativi a terzi che siano contenuti nei singoli profili-utente.

3. Controllo da parte degli utenti sui dati che li riguardano

E’ necessario che i fornitori potenzino ulteriormente la capacità degli utenti di decidere l’utilizzo dei dati contenuti nei rispettivi profili per quanto riguarda i membri della comunità. Devono consentire agli utenti di limitare la visibilità dell’intero profilo, nonché di singoli dati contenuti nel profilo o ottenuti attraverso funzioni di ricerca messe a disposizione della comunità.

Inoltre, i fornitori devono consentire agli utenti di decidere sugli utilizzi ulteriori dei dati di traffico e dei dati contenuti nei rispettivi profili – ad esempio, per quanto riguarda attività di marketing. Come minimo, devono offrire la possibilità di negare il consenso (opt-out) rispetto all’utilizzo dei dati non sensibili contenuti nel profilo, e prevedere un consenso previo (opt-in) rispetto all’utilizzo di dati di natura sensibile contenuti nel profilo (ad esempio, dati relativi ad opinioni politiche o all’orientamento sessuale) nonché rispetto ai dati di traffico.

4. Impostazioni di default orientate alla privacy

Inoltre, i fornitori devono prevedere impostazioni di default orientate a favorire la privacy degli utenti per quanto riguarda le informazioni contenute nei singoli profili. Le impostazioni di default sono essenziali ai fini della tutela della privacy; è noto come solo una minoranza degli utenti che aderiscono ad un determinato servizio si preoccupi di modificare tali impostazioni. Le impostazioni in oggetto devono essere particolarmente restrittive se il servizio di social network è destinato o rivolto a minori.

5. Sicurezza

I fornitori devono continuare a potenziare e garantire la sicurezza dei sistemi informativi, impedendo accessi abusivi ai profili-utente, utilizzando standard riconosciuti per quanto concerne la programmazione, lo sviluppo e la gestione delle rispettive applicazioni, e ricorrendo a verifiche e certificazioni indipendenti.

6. Diritti di accesso

I fornitori devono riconoscere alle persone (siano esse membri del servizio o meno) il diritto di accedere e, se necessario, apportare modifiche a tutti i dati personali detenuti dai fornitori stessi.

7. Cancellazione dei profili-utente

I fornitori devono permettere agli utenti di recedere facilmente dal servizio, cancellando il rispettivo profilo ed ogni contenuto o informazione da essi pubblicato attraverso il servizio di social network.

8. Utilizzo di pseudonimi

I fornitori devono consentire la creazione e l’utilizzo, in via opzionale, di profili basati su pseudonimi e promuovere il ricorso a tale modalità opzionale.

9. Accesso da parte di soggetti terzi

I fornitori devono prendere misure atte ad impedire che soggetti terzi possano raccogliere attraverso dispositivi di spidering e/o scaricare (o raccogliere) in massa i dati contenuti nei profili-utente.

10. Indicizzazione dei profili-utente

I fornitori devono garantire che i dati relativi agli utenti siano navigabili da parte dei motori di ricerca soltanto con il previo consenso espresso ed informato da parte del singolo utente. Deve essere prevista per default la non-indicizzazione dei profili-utente da parte dei motori di ricerca.

L’Autorità Garante per la protezione dei dati personali ha presentato il 2 luglio scorso la Relazione sul 12mo anno di attività e sullo stato di attuazione della normativa sulla privacy.

La Relazione sull’attività 2008 traccia il bilancio del lavoro svolto dall’Autorità e indica le prospettive di azione verso le quali intende muoversi il Garante nell’obiettivo di costruire una autentica ed effettiva protezione dei dati personali.

L’attività del Garante

La messa in sicurezza delle grandi banche dati pubbliche e private; la protezione dei dati giudiziari; le banche dati del Dna; il settore della sanità; il sistema delle telecomunicazioni; il corretto rapporto tra diritto di cronaca e dignità delle persone; le esigenze di semplificazione per imprese e P.a.; i trasferimenti dei dati all’estero. E ancora: le telefonate pubblicitarie indesiderate; la videosorveglianza sempre più estesa; la tutela dei minori; Internet e il fenomeno dei social network; il controllo dei lavoratori.

Sono solo alcuni dei principali e complessi settori nei quali il Garante ha assicurato il suo intervento nel corso del 2008 a difesa dei diritti fondamentali dei cittadini. Intervento oggi potenziato dai maggiori poteri sanzionatori di recente attribuiti all’Autorità.

Numerose sono state le Audizioni parlamentari: tra le più rilevanti, quelle sulle problematiche del settore assicurativo, quelle sulla Anagrafe tributaria e quella sulle frodi e furti di identità.

Le cifre

I provvedimenti collegiali adottati nel 2008 sono stati 524.
Rilevante incremento si è registrato nelle risposte a segnalazioni e reclami, passate dalle 3.078 del 2007 alle 5.252 del 2008 (in particolare, riguardo a telefonia, sanità, credito al consumo, Internet, giornalismo, videosorveglianza, pubblicità indesiderata).

I ricorsi presentati al Garante sono stati 321 (in maggioranza relativi a banche e finanziarie, datori di lavoro pubblici e privati, amministrazioni pubbliche), mantenendosi stabili rispetto al 2007.

Si è data risposta a 1.058 quesiti posti da soggetti pubblici e privati (in maggioranza riguardanti sanità, trasparenza amministrativa, videosorveglianza, fascicoli personali dei dipendenti).

Il Collegio ha reso 21 pareri al Governo e al Parlamento (in materia di banche dati e di informatizzazione della Pubblica Amministrazione, attività di polizia, giustizia, banche e imprese).

Le ispezioni effettuate sono state 500 registrando una progressione costante. I controlli hanno riguardato numerosi settori, con particolare riguardo ai sistemi di videosorveglianza, agli istituti di credito, all’amministrazione finanziaria, agli operatori telefonici, alle cliniche private.

Le violazioni amministrative contestate sono aumentate del 30% raggiungendo le 338 del 2008. Una parte consistente ha riguardato le attività promozionali indesiderate o attivazione di servizi non richiesti tramite call center.

I proventi riscossi a titolo di pagamento delle sanzioni sono passati da 814.625 euro del 2007 a 1 milione e 62mila euro. Oltre 335mila euro sono stati pagati per estinguere il reato in materia di misure di sicurezza.

L’attività di relazione con il pubblico ha fatto registrare quest’anno circa 40.000 contatti all’Urp, quasi 20.000 e-mail trattate nell’anno.

Sono state approvate importanti Linee guida: in particolare, riguardo:

• all’attività dei periti e dei consulenti dei magistrati,
• all’attività degli amministratori di sistema,
• alle sperimentazioni cliniche dei farmaci, al fascicolo sanitario elettronico.

Il Garante ha adottato anche alcuni provvedimenti generali per specifici settori: in particolare,

• la messa in sicurezza dei dati di traffico telefonico e telematico conservati a fini di giustizia;
• la “rottamazione” sicura di pc e cellulari;
• la semplificazione per imprese e P.a. delle procedure per l’adozione delle misure di sicurezza;
• la semplificazione degli adempimenti in caso di fusioni e scissioni societarie.

E’ stato inoltre varato il Codice di deontologia per le investigazioni difensive, che fissa le tutele per il trattamento dei dati personali dei clienti da parte di avvocati e investigatori privati

Gli interventi più rilevanti

Gli interventi più rilevanti hanno riguardato molteplici e delicati ambiti:

• telecomunicazioni (conservazione dei dati di traffico telefonico e telematico, misure di sicurezza per le intercettazioni, bollette telefoniche con ultime tre cifre in chiaro);
• giornalismo e informazione (cronache giudiziarie, tutela dei minori e delle vittime di violenza, notizie sui minori adottati, dati sullo stato di salute e sulla vita sessuale, archivi giornalistici on line);
• marketing (telefonate indesiderate e call center, attivazione di servizi non richiesti, “profilazione” a fini commerciali di utenti e clienti, “carte di fedeltà” della grande distribuzione);
• pubblica amministrazione (misure di sicurezza per l’Anagrafe tributaria, accertamenti fiscali, trasparenza degli emolumenti pubblici, interconnessione e sicurezza delle banche dati, redditi on line);
• sanità (sperimentazioni dei farmaci, fascicolo sanitario elettronico, “scontrino fiscale parlante”, dati sulla salute on line, uso dei dati genetici, riservatezza nelle strutture sanitarie, uso delle reti telematiche);
• lavoro (sistemi di rilevazione biometrica, navigazione in Internet e controllo dei lavoratori, sistemi di videosorveglianza, dati on line , cedolini dello stipendio);
• giustizia e polizia (misure di sicurezza per gli uffici giudiziari, banche dati Dna, Ced del Dipartimento di P.s., periti e consulenti dei giudici, censimento nomadi);
• nuove tecnologie (geolocalizzazione, Google street view e servizi satellitari, software spia applicabili ai cellulari);
• Internet (Facebook e social network, motori di ricerca, illegittima conservazione dei dati sulla navigazione in Internet, condivisione files musicali,);
• scuola e università (pubblicità scrutini e voti scolastici, preiscrizioni universitarie);
• vita sociale (sistemi di videosorveglianza nei condomini, telecamere negli spogliatoi, propaganda elettorale);
• sistema impresa (semplificazione adempimenti, trasferimento di dati all’estero, azionisti e accesso al libro soci);
• sistema bancario, finanziario e assicurativo (semplificazione adempimenti per sistemi di informazione commerciale, accesso e utilizzo ai dati dei clienti delle banche, misure di protezione, sistema antifrodi).

L’attività internazionale

Importante l’attività del Garante nel Gruppo di lavoro comune delle Autorità di protezione europee (WP29) in particolare riguardo ai sistemi Rfid, agli standard anti doping, alla tutela dei minori, alle comunicazioni elettroniche, alle regole vincolanti di impresa, ai dati dei passeggeri aerei.

Intenso il lavoro nell’ ambito delle Autorità di controllo Schengen, Europol, Eurodac e soprattutto nel WPPJ, il Gruppo di lavoro appositamente istituito dalle Autorità garanti europee per la tutela dei cittadini nel settore della polizia, della sicurezza e della giustizia, che ha visto riconfermato per altri due anni il ruolo di Presidenza al Garante italiano.

Nel 2008 il Garante italiano ha organizzato a Roma la annuale Conferenza dei Garanti europei dedicata alle nuove tecnologie, al fenomeno dei social network e a come garantire un effettiva tutela della privacy in un mondo globalizzato.

Con Provvedimento 25 giugno 2009, a parziale modifica e integrazione del Provvedimento del 27 novembre 2008, il Garante ha prorogato al 15 dicembre 2009 i termini per l’adozione delle nuove misure necessarie di sicurezza per gli amministratori di sistema.

Nei prossimi giorni approfondiremo la portata del nuovo intervento e, soprattutto, dei cambiamenti introdotti.

Come promesso, Studio Mazzolari e Policyonline propongono il proprio Modello / Facsimile di DPS Semplificato, così come indicato dal Garante nel Provvedimento generale 27 novembre 2008.

Ricordiamo che:

• possono redigere il DPS Semplificato i soggetti pubblici e privati che trattano dati personali unicamente per correnti finalità amministrative e contabili (in particolare presso liberi professionisti, artigiani e piccole e medie imprese);
• il documento deve essere redatto prima dell’inizio del trattamento;
• deve essere aggiornato entro il 31 marzo di ogni anno nel caso in cui, nel corso dell’anno solare precedente, siano intervenute modifiche rispetto a quanto dichiarato nel precedente documento.

A tutti buon lavoro.

Facsimile DPS Semplificato – Word

Facsimile DPS semplificato – PDF

Ribadendo che gli obblighi privacy in tema di Informativa agli Interessati ed eventuale Notificazione vanno rispettati anche in caso di fusione o scissione societarie, il Garante privacy interviene nelle predette procedure con un Provvedimento generale di semplificazione ai sensi dell’Art. 154, comma 1, lett. c) e h) stabilendo che: le società coinvolte in operazioni di fusione o di scissione sono tenute a comunicare a clienti, dipendenti, fornitori la denominazione del nuovo Titolare e dell’eventuale nuovo Responsabile del trattamento dei dati. Ciò potrà avvenire con procedure semplificate che prevedono la possibilità di pubblicare in un primo momento gli aggiornamenti sul sito web delle società.

Il Garante – col provvedimento generale di cui è stato relatore Giuseppe Chiaravalloti pubblicato sulla Gazzetta Ufficiale – ha chiarito gli adempimenti che devono essere posti in essere nei casi di operazioni societarie di fusione (sia per incorporazione che per confluenza) o scissione affinché il trattamento dei dati sia conforme a quanto previsto dalla disciplina sulla privacy. L’intervento dell’Autorità si è reso necessario a seguito di alcune richieste formulate al Garante in occasione di recenti operazioni di riassetto nel settore bancario, in relazione alle quali le società coinvolte si erano trovate a dover gestire il trattamento dei dati di un numero estremamente elevato di soggetti interessati.

Il Garante ha chiarito che, a seguito del processo di fusione o scissione, le società coinvolte informino tutti i soggetti interessati (clienti, lavoratori, fornitori etc.) su chi sia il titolare e il nuovo responsabile del trattamento dei dati personali in possesso dell’impresa, al quale potersi rivolgere per esercitare il diritto di accesso e tutti gli altri diritti previsti dal Codice sulla privacy.

Al fine di semplificare gli adempimenti nella fase di cambiamento societario, l’Autorità ha inoltre deciso che i necessari aggiornamenti rispetto all’informativa resa potranno essere forniti in due tempi:

1. comunicazione generale immediata sul sito Web: non appena definito il nuovo assetto societario, alle società coinvolte nelle operazioni di fusione o di scissione sarà richiesto di pubblicare l’aggiornamento rispetto all’informativa solo sui propri siti Web;
2. comunicazione personale, alla prima circostanza utile: le società dovranno comunque inviare i nuovi riferimenti a tutti gli interessati non appena si presenti la prima occasione utile di contatto, indipendentemente dalla sua finalità: ad esempio, allegandola alla spedizione di informazioni di natura commerciale o legale.

Nel caso in cui le società risultanti dal processo di fusione o scissione effettuino trattamenti in cui è prevista la notificazione al Garante, tali aziende dovranno effettuare o integrare la notificazione secondo le procedure standard previste dall’Autorità.

Garante Privacy: le FAQ.

Segnaliamo la pubblicazione sul sito del Garante della Privacy di una serie di FAQ, finalizzate a chiarire l’interpretazione della normativa privacy relativamente al provvedimento di fine 2008 sulla nomina degli Amministratori di Sistema - Provvedimento “Amministratori di sistema” del 27 novembre 2008 (G.U. n. 300 del 24 dicembre 2008)

Il Garante per la protezione dei dati personali, con un comunicato del 25 maggio 2009, ha reso noto che, in tema di Banca Dati del DNA, si sono conclusi gli adempimenti per la messa in sicurezza dell’archivio dei RIS di Parma.

Ci sarebbe da chiedersi, però, fino ad ora (ossia nelle more dell’attuazione delle misure di sicurezza tecniche ed organizzative richieste dal Garante) che garanzie di sicurezza ha presentato tale archivio.

Come precisato dallo stesso Garante nel suo comunicato,

«L’archivio raccoglie migliaia di profili genetici e campioni biologici acquisiti negli anni nel corso di indagini penali e conservati su disposizione della magistratura.

Le misure, prescritte dal Garante privacy a partire dal 2007, sono volte a rafforzare il livello di protezione di dati personali particolarmente delicati come quelli genetici».

Quanto alle modalità di conservazione, il comunicato precisa che

«Presso il Ris sono detenuti in un archivio informatico profili genetici (costituiti da sequenze alfanumeriche) estratti da reperti rinvenuti in luoghi dove risultavano commessi reati o appartenenti a persone identificate nel corso di indagini (persone sospettate, vittime di reato, operatori di polizia), ma anche campioni biologici, in forma di “estratti di Dna”, che residuano dalle analisi effettuate.

Profili e campioni biologici, se non disposto diversamente dall’autorità giudiziaria, sono conservati a tempo indeterminato per eventuali, ulteriori esigenze investigative».

Qui emerge un dato che sorprende: il tempo di conservazione sia dei profili genetici che dei campioni biologici.

Il comunicato del Garante, come trascritto, dice che gli stessi vengono «conservati a tempo indeterminato» per eventuali ulteriori esigenze investigative «se non disposto diversamente dall’autorità giudiziaria» (ovviamente anche a prescindere dall’esito del giudizio, che, è bene ricordarlo, è eventuale, se, come normalmente avviene, il prelievo viene svolto su incarico della Procura nel corso delle indagini e, ad esempio, la comparazione tra la traccia biologica rinvenuta sul luogo del delitto ed il campione prelevato dall’indagato non abbiano dato risultati positivi: ricordate il caso di Perugia ed il primo indagato Patrik Lumumba, sottoposto a custodia cautelare in carcere ed a prelievo del DNA, risultato poi estraneo alla vicenda? Ricordate lo stupro della Caffarella, ove i due indagati di nazionalità rumena, denominati «il pugile» ed «il biondino», pur a fronte di una confessione, sono poi risultati estranei al reato perché il loro profilo genetico non era compatibile con quello rinvenuto in occasione del delitto? In casi come questi, se la magistratura non dispone diversamente, la conservazione dei profili e dei campioni genetici, anche di persone risultate completamente innocenti, rimarrebbe a tempo indeterminato…).

Dal comunicato del Garante sembra che l’Authority prenda atto della conservazione a tempo indeterminato, confermandone implicitamente la legittimità, giacché nulla obietta in proposito, senza badare, però, che in altra occasione lo stesso Garante per la privacy ha precisato a chiare lettere che la Corte europea dei diritti dell’uomo, con sentenza n. 880 del 4.12.2008, ha dichiarato illecita la conservazione dei profili genetici e del campioni biologici a tempo indeterminato.

Infatti, nella Newsletter n. 317 del 19 dicembre 2008, si trova annotato quanto segue:

«Corte europea dei diritti umani: no a conservazione illimitata del DNA

Conservare senza limiti di tempo profili del Dna, campioni biologici e impronte digitali viola il diritto alla privacy, soprattutto nel caso di minori.

Lo ha stabilito la Corte europea dei diritti dell’uomo, con la sentenza n. 880 del 4.12.2008, definendo il ricorso di due cittadini inglesi, uno dei quali minore, accusati rispettivamente di molestie e di tentato furto, che avevano chiesto invano alla polizia inglese la distruzione delle impronte digitali e dei campioni di Dna raccolti al momento dell’arresto e conservati anche dopo la chiusura, con assoluzione, del procedimento penale a loro carico. I due cittadini si erano visti rigettare la richiesta dalla polizia in base ad una legge nazionale che consente il prelievo e la conservazione di questi campioni senza limiti di tempo nella banca dati inglese del Dna.

La Corte, all’unanimità, ha riconosciuto la violazione del diritto alla vita privata ai sensi dell’articolo 8 della Convenzione Europea dei diritti umani del 1950.

I giudici di Strasburgo hanno sottolineato, in particolare, che i profili di Dna permettono di risalire all’origine etnica e ricostruire i legami familiari, il che rende la conservazione più delicata e suscettibile di ledere il diritto alla riservatezza anche di terzi.

Nella sentenza, inoltre, i giudici europei hanno rilevato che Inghilterra, Galles e Irlanda del Nord sono i soli paesi in Europa a consentire la conservazione illimitata delle impronte digitali e dei prelievi di Dna di qualsiasi persona sospettata di aver commesso un reato, indipendentemente dall’età, natura e gravità del reato specifico. I giudici hanno considerato, poi, particolarmente preoccupante il rischio di stigmatizzazione, derivante dal fatto che persone innocenti siano state trattate alla stregua di criminali. Per tutti questi motivi la Corte ha considerato che la conservazione indiscriminata e senza limiti temporali dei profili del Dna e di altri elementi biometrici costituisce una violazione del diritto al rispetto della vita privata e non può ritenersi accettabile in una società democratica, né proporzionata alle finalità di tutela della sicurezza pubblica.

La Corte ha chiesto alla Gran Bretagna di adottare tutte le misure necessarie per dare seguito alla sentenza».

Ovviamente la Banca Dati del DNA, di fatto già costituita presso i RIS di Parma e di altre città, è un prezioso strumento investigativo per l’accertamento di molti reati e va salutata con favore.

Occorre però prestare grande attenzione per la particolare delicatezza dei dati genetici e per i rischi di violazione dei diritti fondamentali.

Il bilanciamento tra esigenze di sicurezza e repressione dei reati, da una parte, e tutela dei diritti fondamentali, dall’altra, è estremamente delicato. Ogni scelta normativa e tecnica va ponderata con attenzione, per gli effetti, anche inaspettati, che può produrre e per l’impatto che può determinare sulla nostra società.

Sicuramente va regolamentata meglio la materia, con norme di rango legislativo e numerosi sono stati i tentativi, nelle diverse legislature, per approdare ad un testo di legge che mai è arrivato a completare il suo iter parlamentare. I disegni di legge presentati nell’ultima legislatura sono andati a confluire in questo testo (a cui ha fatto seguito un errata corrige).

L’articolato normativo contenuto nella proposta di legge presenta numerosi aspetti che vanno discussi e meritano attente riflessioni. Ritornerò sicuramente in più occasioni sull’argomento.

Quanto alle attuali Banche Dati del DNA già esistenti in Italia, quelle gestite dai RIS di Parma, Roma, Messina e Cagliari per esigenze investigative e di contrasto alla criminalità, il comunicato del Garante conclude precisando che

«Le misure prescritte dal Garante e adottate dal Ris per la messa in sicurezza dei dati sono particolarmente rigorose. Tra le principali figurano l’obbligo di conservare traccia di ogni accesso al database e delle operazioni effettuate dal personale autorizzato che ha accesso ai campioni; l’adozione di sistemi di autenticazione per il personale che accede al database nonché sistemi elettronici (almeno con riconoscimento biometrico) per controllare l’ingresso ai locali dove sono conservati i campioni biologici; l’individuazione preventiva del personale autorizzato alla loro consultazione; l’adozione di soluzioni tali da non rendere i campioni conservati direttamente riconducibili a persone identificate.

Al Ris è stato infine prescritto che l’eventuale ulteriore uso dei profili e dei campioni biologici, compresa l’attività di comparazione tra i profili genetici, deve essere effettuato attenendosi alle disposizioni delle competenti autorità giudiziarie.

Il Comando generale dell’Arma dei Carabinieri ha comunicato, infine al Garante, che le stesse misure sono state applicate, oltre che al Reparto di Parma, anche agli altri Ris di Roma, Messina e Cagliari».

Tuttavia, nelle more del provvedimento legislativo (e, come dimostra la richiamata sentenza della Corte europea dei diritti dell’uomo, anche a prescindere da esso), sul tempo di conservazione sarebbe opportuno, con urgenza, un ulteriore intervento del Garante.

Che ne dite?

Fabio Bravo

www.fabiobravo.it

Il Garante interviene con chiarimenti in merito al Provvedimento “Amministratori di sistema” del 27 novembre 2008
(G.U. n. 300 del 24 dicembre 2008) con cui sono state inserite nuove misure necessarie di sicurezza relative all’operato degli Amminsiratori di sistema.

A proposito: si spera che la Consultazione pubblica aperta fino al 31 maggio p.v. giunga a sciogliere il nodo a monte di tutte queste FAQ, ovvero: CHI deve applicare le nuove misure?

FAQ

1. Cosa deve intendersi per “amministratore di sistema”?
2. Cosa vuol dire la locuzione “Qualora l’attività degli ADS riguardi anche indirettamente servizi o sistemi che…
3. Il caso di uso esclusivo di un personal computer da parte di un solo amministratore di sistema rientra nell’ambito applicativo del provvedimento?

4. Relativamente all’obbligo di registrazione degli accessi logici degli AdS, sono compresi anche i sistemi client oltre che quelli server?

5. Cosa si intende per operato dell’amministratore di sistema soggetto a controllo almeno annuale?

6. Chiarire i casi di esclusione dall’obbligo di adempiere al provvedimento.

7. Cosa si intende per descrizione analitica degli ambiti di operatività consentiti all’ADS?

8. Oltre alla job description si deve andare più in dettaglio? Si devono indicare i singoli sistemi e le singole operazioni affidate?

9. Cosa si intende per access log (log-in, log-out, tentativi falliti di accesso, altro?…
10. Laddove il file di log contenga informazioni più ampie, va preso tutto il log o solo la riga relativa all’access log?
11. Come va interpretata la caratteristica di completezza del log? Si intende che ci devono essere tutte le righe? L’adeguatezza rispetto allo
scopo della verifica deve prevedere un’analisi dei rischi?
12. Come va interpretata la caratteristica di inalterabilità dei log?

13. Si individuano livelli di robustezza specifici per la garanzia della integrità dei log?

14. Quali potrebbero essere gli scopi di verifica rispetto ai quali valutare l’adeguatezza?

15. Cosa dobbiamo intendere per evento che deve essere registrato nel log? Solo l’accesso o anche le attività eseguite?

16. Quali sono le finalità di audit che ci dobbiamo porre con la registrazione e raccolta di questi log?

17. Cosa si intende per “consultazione in chiaro”?

18. Il regime di conoscibilità degli amministratori di sistema è da intendersi per i soli trattamenti inerenti i dati del personale e dei lavoratori?

19. La registrazione degli accessi è relativa al sistema operativo o anche ai DBMS?

20. Nella designazione degli amministratori di sistema occorre valutare i requisiti morali?

21. Cosa si intende per “estremi identificativi” degli amministratori di sistema?

22. E’ corretto affermare che l’accesso a livello applicativo non rientri nel perimetro degli adeguamenti, in quanto l’accesso a una applicazione informatica è regolato tramite profili autorizzativi che disciplinano per tutti gli utenti i trattamenti consentiti sui dati?

23. Si chiede se sia necessario conformarsi al provvedimento nel caso della fornitura di servizi di gestione sistemistica a clienti esteri (housing, hosting, gestione applicativa, archiviazione remota…) da parte di una società italiana non titolare dei dati gestiti.

24. Si possono ritenere esclusi i trattamenti relativi all’ordinaria attività di supporto delle manutenzione degli immobili sociali ecc…). Ci si riferisce ai trattamenti con strumenti elettronici finalizzati, ad esempio, alla gestione dell’autoparco, alle procedure di acquisto dei materiali di consumo, alla aziende, che non riguardino dati sensibili, giudiziari o di traffico telefonico/telematico?

1) Cosa deve intendersi per “amministratore di sistema”?
In assenza di definizioni normative e tecniche condivise, nell’ambito del provvedimento del Garante l’amministratore di sistema è assunto quale figura professionale dedicata alla gestione e alla manutenzione di impianti di elaborazione con cui vengano effettuati trattamenti di dati personali, compresi i sistemi di gestione delle basi di dati. i sistemi software complessi quali i sistemi ERP (Enterprise resource planning) utilizzati in grandi aziende e organizzazioni, le reti locali e gli apparati di sicurezza, nella misura in cui consentano di intervenire sui dati i personali.

Il Garante non ha inteso equiparare gli “operatori di sistema” di cui agli articoli del Codice penale relativi ai delitti informatici, con gli “amministratori di sistema”: questi ultimi sono dei particolari operatori di sistema, dotati di specifici privilegi.

Anche il riferimento al d.P.R. 318/1999 nella premessa del provvedimento è puramente descrittivo poiché la figura definita in quell’atto normativo (ormai abrogato) è di minore portata rispetto a quella cui si fa riferimento nel provvedimento.

Non rientrano invece nella definizione quei soggetti che solo occasionalmente intervengono (p.es., per scopi di manutenzione a seguito di guasti o malfunzioni) sui sistemi di elaborazione e sui sistemi software.

2) Cosa vuol dire la locuzione “Qualora l’attività degli ADS riguardi anche indirettamente servizi o sistemi che…”
I titolari sono tenuti a instaurare un regime di conoscibilità dell’identità degli amministratori di sistema, quale forma di trasparenza interna all’organizzazione a tutela dei lavoratori, nel caso in cui un amministratore di sistema, oltre a intervenire sotto il profilo tecnico in generici trattamenti di dati personali in un’organizzazione, tratti anche dati personali riferiti ai lavoratori operanti nell’ambito dell’organizzazione medesima o sia nelle condizioni di acquisire conoscenza di dati a essi riferiti (in questo senso il riferimento nel testo del provvedimento all’”anche indirettamente…”).

3) Il caso di uso esclusivo di un personal computer da parte di un solo amministratore di sistema rientra nell’ambito applicativo del provvedimento?
Non è possibile rispondere in generale. In diversi casi, anche con un personal computer possono essere effettuati delicati trattamenti rispetto ai quali il titolare ha il dovere di prevedere e mettere in atto anche le misure e gli accorgimenti previsti nel provvedimento. Nel caso-limite di un titolare che svolga funzioni di unico amministratore di sistema, come può accadere in piccolissime realtà d’impresa, non si applicheranno le previsione relative alla verifica delle attività dell’amministratore né la tenuta del log degli accessi informatici.

4) Relativamente all’obbligo di registrazione degli accessi logici degli AdS, sono compresi anche i sistemi client oltre che quelli  server
Si, anche i client, intesi come “postazioni di lavoro informatizzate”, sono compresi tra i sistemi per cui devono essere registrati gli accessi degli AdS.

Nei casi più semplici tale requisito può essere soddisfatto tramite funzionalità già disponibili nei più diffusi sistemi operativi, senza richiedere necessariamente l’uso di strumenti software o hardware aggiuntivi. Per esempio, la registrazione locale dei dati di accesso su una postazione, in determinati contesti, può essere ritenuta idonea al corretto adempimento qualora goda di sufficienti garanzie di integrità.

Sarà comunque con valutazione del titolare che dovrà essere considerata l’idoneità degli strumenti disponibili oppure l’adozione di strumenti più sofisticati, quali la raccolta dei log centralizzata e l’utilizzo di dispositivi non riscrivibili o di tecniche crittografiche per la verifica dell’integrità delle registrazioni.

5) Cosa si intende per operato dell’amministratore di sistema soggetto a controllo almeno annuale?
E’ da sottoporre a verifica l’attività svolta dall’amministratore di sistema nell’esercizio delle sue funzioni. Va verificato che le attività svolte dall’amministratore di sistema siano conformi alle mansioni attribuite, ivi compreso il profilo relativo alla sicurezza.

6) Chiarire i casi di esclusione dall’obbligo di adempiere al provvedimento
Sono esclusi i trattamenti effettuati in ambito pubblico e privato a fini amministrativo-contabili che, ponendo minori rischi per gli interessati, sono stati oggetto delle misure di semplificazione introdotte nel corso del 2008 per legge (art. 29 d.l. 25 giugno 2008, n. 112, conv., con mod., con l. 6 agosto 2008, n. 133; art. 34 del Codice; Provv. Garante 27 novembre 2008).

7) Cosa si intende per descrizione analitica degli ambiti di operatività consentiti all’ADS? [Rif. comma 2, lettera d]
Il provvedimento prevede che all’atto della designazione di un amministratore di sistema, venga fatta “elencazione analitica” degli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato, ovvero la descrizione puntuale degli stessi, evitando l’attribuzione di ambiti insufficientemente definiti, analogamente a quanto previsto al comma 4 dell’art. 29 del Codice riguardante i responsabili del trattamento.

Oltre alla job description si deve andare più in dettaglio? Si devono indicare i singoli sistemi e le singole operazioni affidate?
No, è sufficiente specificare l’ambito di operatività in termini più generali, per settori o per aree applicative, senza obbligo di specificarlo rispetto a singoli sistemi, a meno che non sia ritenuto necessario in casi specifici.

9) Cosa si intende per access log (log-in, log-out, tentativi falliti di accesso, altro?…) [Rif. comma 2, lettera f]
Per access log si intende la registrazione degli eventi generati dal sistema di autenticazione informatica all’atto dell’accesso o tentativo di accesso da parte di un amministratore di sistema o all’atto della sua disconnessione nell’ambito di collegamenti interattivi a sistemi di elaborazione o a sistemi software.

Gli event records generati dai sistemi di autenticazione contengono usualmente i riferimenti allo “username” utilizzato, alla data e all’ora dell’evento (timestamp), una descrizione dell’evento (sistema di elaborazione o software utilizzato, se si tratti di un evento di log-in, di log-out, o di una condizione di errore, quale linea di comunicazione o dispositivo terminale sia stato utilizzato…).

10) Laddove il file di log contenga informazioni più ampie, va preso tutto il log o solo la riga relativa all’access log? [Rif. comma 2, lettera f]
Qualora il sistema di log adottato generi una raccolta dati più ampia, comunque non in contrasto con le disposizioni del Codice e con i principi della protezione dei dati personali, il requisito del provvedimento è certamente soddisfatto. Comunque è sempre possibile effettuare un’estrazione o un filtraggio dei logfiles al fine di selezionare i soli dati pertinenti agli AdS.

11) Come va interpretata la caratteristica di completezza del log? Si intende che ci devono essere tutte le righe? L’adeguatezza rispetto allo scopo della verifica deve prevedere un’analisi dei rischi?
La caratteristica di completezza è riferita all’insieme degli eventi censiti nel sistema di log, che deve comprendere tutti gli eventi di accesso interattivo che interessino gli amministratori di sistema su tutti i sistemi di elaborazione con cui vengono trattati, anche indirettamente, dati personali. L’analisi dei rischi aiuta a valutare l’adeguatezza delle misure di sicurezza in genere, e anche delle misure tecniche per garantire attendibilità ai log qui richiesti.

12) Come va interpretata la caratteristica di inalterabilità dei log?
Caratteristiche di mantenimento dell’integrità dei dati raccolti dai sistemi di log sono in genere disponibili nei più diffusi sistemi operativi, o possono esservi agevolmente integrate con apposito software. Il requisito può essere ragionevolmente soddisfatto con la strumentazione software in dotazione, nei casi più semplici, e con l’eventuale esportazione periodica dei dati di log su supporti di memorizzazione non riscrivibili. In casi più complessi i titolari potranno ritenere di adottare sistemi più sofisticati, quali i log server centralizzati e “certificati”.

E’ ben noto che il problema dell’attendibilità dei dati di audit, in genere, riguarda in primo luogo la effettiva generazione degli auditable events e, successivamente, la loro corretta registrazione e manutenzione. Tuttavia il provvedimento del Garante  non affronta questi aspetti, prevedendo soltanto, come forma minima di documentazione dell’uso di un sistema informativo, la generazione del log degli “accessi” (log-in) e la loro archiviazione per almeno sei mesi in condizioni di ragionevole sicurezza e con strumenti adatti, in base al contesto in cui avviene il trattamento, senza alcuna pretesa di instaurare in modo generalizzato, e solo con le prescrizioni del provvedimento, un regime rigoroso di registrazione degli usage data dei sistemi informativi.

13) Si individuano livelli di robustezza specifici per la garanzia della integrità?
No. La valutazione è lasciata al titolare, in base al contesto operativo (cfr. faq n. 14).

14) Quali potrebbero essere gli scopi di verifica rispetto ai quali valutare l’adeguatezza?
Quelli descritti al paragrafo 4.4 del provvedimento e ribaditi al punto 2, lettera e), del dispositivo. L’adeguatezza è da valutare in rapporto alle condizioni organizzative e operative dell’organizzazione.

15) Cosa dobbiamo intendere per evento che deve essere registrato nel log? Solo l’accesso o anche le attività eseguite?
Il provvedimento non chiede in alcun modo che vengano registrati dati sull’attività interattiva (comandi impartiti, transazioni effettuate) degli amministratori di sistema. Si veda la risposta alla faq n. 11.

16) Quali sono le finalità di audit che ci dobbiamo porre con la registrazione e raccolta di questi log?
La raccolta dei log serve per verificare anomalie nella frequenza degli accessi e nelle loro modalità (orari, durata, sistemi cui si è fatto accesso…). L’analisi dei log può essere compresa tra i criteri di valutazione dell’operato degli amministratori di sistema.

17) Cosa si intende per “consultazione in chiaro”?
Il riferimento in premessa (par. 1 “Considerazioni preliminari”) è alla criticità di mansioni che comportino la potenzialità di violazione del dato personale anche in condizioni in cui ne sia esclusa la conoscibilità, come può avvenire, per esempio, nel caso della cifratura dei dati.

18) Il regime di conoscibilità degli amministratori di sistema è da intendersi per i soli trattamenti inerenti i dati del personale e dei lavoratori?
Si.

19) La registrazione degli accessi è relativa al sistema operativo o anche ai DBMS?
Tra gli accessi logici a sistemi e archivi elettronici sono comprese le autenticazioni nei confronti dei data base management systems (DBMS), che vanno registrate.

20) Nella designazione degli amministratori di sistema occorre valutare i requisiti morali? [Rif. comma 2, lettera a]
No. Il riferimento alle caratteristiche da prendere in considerazione, al comma  2, lettera a), del dispositivo, è all’esperienza, alla capacità e all’affidabilità del soggetto designato. Si tratta quindi di qualità tecniche, professionali e di condotta, non di requisiti morali.

21) Cosa si intende per “estremi identificativi” degli amministratori di sistema?
Si tratta del minimo insieme di dati identificativi utili a individuare il soggetto nell’ambito dell’organizzazione di appartenenza. In molti casi possono coincidere con nome, cognome, funzione o area organizzativa di appartenenza.

22) E’ corretto affermare che l’accesso a livello applicativo non rientri nel perimetro degli adeguamenti, in quanto l’accesso a una applicazione informatica è regolato tramite profili autorizzativi che disciplinano per tutti gli utenti i trattamenti consentiti sui dati?
Si. L’accesso applicativo non è compreso tra le caratteristiche tipiche dell’amministratore di sistema e quindi non è necessario, in forza del provvedimento del Garante, sottoporlo a registrazione.

23) Si chiede se sia necessario conformarsi al  provvedimento nel caso della fornitura di servizi di gestione sistemistica a clienti esteri (housing, hosting, gestione applicativa, archiviazione remota…) da parte di una società italiana non titolare dei dati gestiti
Il provvedimento si rivolge solo ai titolari di trattamento. I casi esemplificati prefigurano al più una responsabilità di trattamento (secondo il Codice italiano), e sono quindi esclusi dall’ambito applicativo del provvedimento.

24) Si possono ritenere esclusi i trattamenti relativi all’ordinaria attività di supporto delle aziende, che non riguardino dati sensibili, giudiziari o di traffico telefonico/telematico? Ci si riferisce ai trattamenti con strumenti elettronici finalizzati, ad esempio, alla gestione dell’autoparco, alle procedure di acquisto dei materiali di consumo, alla manutenzione degli immobili sociali ecc…)
Tali trattamenti possono considerarsi compresi tra quelli svolti per ordinarie finalità amministrativo-contabili e, come tali, esclusi dall’ambito applicativo del provvedimento.

* Così richiamate dal provvedimento “Amministratori di sistema: avvio di una consultazione pubblica” - 21 aprile 2009 [doc. web n. 1611986]

 La figura degli «Amministratori di Sistema» (ADS), con un’accezione piuttosto estesa, è al centro dell’attenzione del Garante, per il ruolo nevralgico che questi hanno per la società dell’informazione (information society).

Com’è noto, con proprio provvedimento generale del 27 novembre 2008, il Garante è intervenuto a fornire una disciplina specifica sugli «amministratori di sistema», imponendo al titolare del trattamento dei dati personali una serie di adempimenti volti a controllare l’operato degli amministratori medesimi.

Con successivi provvedimenti è stata dapprima differita l’efficacia dell’attuazione di tale provvedimento, ora prevista per il 30 giugno 2009, e successivamente, a seguito di stimolazioni del mondo imprenditoriale, è stata avviata una pubblica consultazione, che dovrebbe concludersi per il 31 maggio 2009.

Sul tema si veda anche questo precedente post, nel quale possono essere recuperati tutti i link ai singoli provvedimenti del Garante.

L’interpretazione del provvedimento del 27 novembre 2008 sugli amministratori di sistema appare tuttavia non sempre agevole. Le difficoltà sono state però fronteggiate, in questa fase iniziale, con le «Risposte alle domande più frequenti (FAQ)», fornite dal Garante agli interrogativi che gli sono stati posti inizialmente.

Di seguito riporto le 24 domande sottoposte al Garante per ottenere chiarimenti sulla portata normativa del provvedimento in questione. Per le risposte, che non trascrivo, rinvio direttamente al documento del Garante, sul proprio sito istituzionale, reperibile a questo link.

Risposte alle domande più frequenti (FAQ)

1) Cosa deve intendersi per “amministratore di sistema”?

2) Cosa vuol dire la locuzione “Qualora l’attività degli ADS riguardi anche indirettamente servizi o sistemi che…”

3) Il caso di uso esclusivo di un personal computer da parte di un solo amministratore di sistema rientra nell’ambito applicativo del provvedimento?

4) Relativamente all’obbligo di registrazione degli accessi logici degli AdS, sono compresi anche i sistemi client oltre che quelli server?

5) Cosa si intende per operato dell’amministratore di sistema soggetto a controllo almeno annuale?

6) Chiarire i casi di esclusione dall’obbligo di adempiere al provvedimento.

7) Cosa si intende per descrizione analitica degli ambiti di operatività consentiti all’ADS?

Oltre alla job description si deve andare più in dettaglio? Si devono indicare i singoli sistemi e le singole operazioni affidate?

9) Cosa si intende per access log (log-in, log-out, tentativi falliti di accesso, altro?…)?

10) Laddove il file di log contenga informazioni più ampie, va preso tutto il log o solo la riga relativa all’ access log?

11) Come va interpretata la caratteristica di completezza del log? Si intende che ci devono essere tutte le righe? L’adeguatezza rispetto allo scopo della verifica deve prevedere un’analisi dei rischi?

12) Come va interpretata la caratteristica di inalterabilità dei log?

13) Si individuano livelli di robustezza specifici per la garanzia della integrità dei log?

14) Quali potrebbero essere gli scopi di verifica rispetto ai quali valutare l’adeguatezza?

15) Cosa dobbiamo intendere per evento che deve essere registrato nel log? Solo l’accesso o anche le attività eseguite?

16) Quali sono le finalità di audit che ci dobbiamo porre con la registrazione e raccolta di questi log?

17) Cosa si intende per “consultazione in chiaro”?

18) Il regime di conoscibilità degli amministratori di sistema è da intendersi per i soli trattamenti inerenti i dati del personale e dei lavoratori?

19) La registrazione degli accessi è relativa al sistema operativo o anche ai DBMS?

20) Nella designazione degli amministratori di sistema occorre valutare i requisiti morali?

21) Cosa si intende per “estremi identificativi” degli amministratori di sistema?

22) E’ corretto affermare che l’accesso a livello applicativo non rientri nel perimetro degli adeguamenti, in quanto l’accesso a una applicazione informatica è regolato tramite profili autorizzativi che disciplinano per tutti gli utenti i trattamenti consentiti sui dati?

23) Si chiede se sia necessario conformarsi al provvedimento nel caso della fornitura di servizi di gestione sistemistica a clienti esteri (housing, hosting, gestione applicativa, archiviazione remota…) da parte di una società italiana non titolare dei dati gestiti.

24) Si possono ritenere esclusi i trattamenti relativi all’ordinaria attività di supporto delle manutenzione degli immobili sociali ecc…). Ci si riferisce ai trattamenti con strumenti elettronici finalizzati, ad esempio, alla gestione dell’autoparco, alle procedure di acquisto dei materiali di consumo, alla aziende, che non riguardino dati sensibili, giudiziari o di traffico telefonico/telematico?

Molti dei chiarimenti forniti con le risposte alle predette domande sono sicuramente preziosi per orientarsi nella lettura del provvedimento,  che presenta diversi aspetti critici, di non immediata soluzione.

Le FAQ si rivelano un utile strumento per chi, nella prassi, deve adeguarsi alla normativa in questione. Le risposte sono state fornite, tuttavia, il 21 maggio 2009, come emerge attualmente dall’homepage del sito istituzionale del Garante e nel provvedimento relativo all’avvio della consultazione pubblica.

Pur costituendo un importante ausilio, le FAQ dovrebbero essere lette, pertanto, unitamente all’ulteriore prezioso riscontro che verrà dato a seguito delle pubbliche consultazioni, che si chiuderanno alla fine del mese.

Fabio Bravo

www.fabiobravo.it

Il Garante per la Privacy dice: “E’ necessario monitorare gli amministratori di sistema e tenere la registrazione degli accessi”.

La nuova normativa, riguardante il trattamento dei dati personali, intende promuovere l’adozione di specifiche cautele nello svolgimento delle mansioni degli amministratori di sistema, unitamente ad accorgimenti e misure, tecniche e organizzative, volti ad agevolare l’esercizio dei doveri di controllo da parte del titolare.

Per rispondere alla sua esortazione noi diciamo: ENTROPY.

Entropy è la soluzione per la registrazione e l’archiviazione degli accessi. Capace di gestire tutta l’infrastruttura IT, contiene funzionalità specifiche di Discovery, Inventory, Asset Management, Monitoring e Reporting. E’ una soluzione out-of-the box efficace ad un costo adeguato, infatti abbatte i costi di acquisizione, manutenzione e licenze. Entropy è in grado di effettuare scelte consapevoli partendo dalle informazioni presenti nell’ IT asset. E’ una soluzione innovativa, ma soprattutto di semplice utilizzo.

Come si apprende dal comunicato stampa del Garante per la privacy, in relazione all’episodio relativo alla diffusione su Facebook delle foto di pazienti dell’Ospedale di Santa Maria della Misericordia di Udine da parte di un’infermiera, l’Ospedale ha segnalato il tutto alla Polizia Postale, per quanto di sua competenza, probabilmente anche ai fini dell’eventuale accertamento sull’utilizzo dei computer da cui sarebbe stato effettuato l’up-loading delle immagini.

Anche il Garante ha avviato le indagini.

Dalle dichiarazioni dell’infermiera, questa avrebbe sostenuto di aver utilizzato il computer domestico e di aver comunque provveduto ad eliminare le immagini in questione dal proprio profilo su Facebook.

Il Garante, ad ogni modo, ha precisato che

«da parte sua proseguirà l’attività di accertamento sul rispetto della normativa sulla protezione dei dati personali, anche ai fini di un’eventuale applicazione di sanzioni nei confronti di chi sarà ritenuto responsabile della violazione dei diritti dei ricoverati e delle altre persone coinvolte».

Qui sorgono questioni interessanti sotto il profilo giuridico, per via delle responsabilità che i pazienti potrebbero eventualmente invocare non solo direttamente nei confronti dell’infermiere, ma anche, ove ne sussistano i presupposti, nei confronti dell’Ospedale presso cui erano in cura.

E’ noto, tuttavia, che per le richieste di risarcimento del danno da illecito trattamento di dati personali non possono essere perorate innanzi al Garante per la protezione dei dati personali, essendo la compentenza riservata in via esclusiva all’autorità giudiziaria ordinaria.

Fabio Bravo

www.fabiobravo.it

Come tutelare la propria privacy ai tempi di Facebook, MySpace & Co.?

Il Garante interviene nuovamente sul fenomeno (oramai non più tanto) dei social network attraverso un agile vademecum (qua scaricabile in pdf) col quale segnala rischi e mette in allerta sull’uso un po’ troppo disinvolto che facciamo delle informazioni che ci riguardano e, spesso, finiscono per coinvolgere anche persone a noi vicine (parenti, familiari, amici, colleghi di lavoro, etc.).

La guida del Garante privacy
 è organizzata in quattro capitoli pensati in forma modulare, così da offrire a tutti i lettori elementi di riflessioni e consigli, adatti alla propria formazione e ai differenti interessi.

1. Avviso ai naviganti
Spunti di riflessione sul funzionamento dei social network e su alcuni dei principali rischi che si possono incontrare nell’uso dei social network.
2. Ti sei mai chiesto?
La semplice check list che ogni utente dovrebbe controllare prima di pubblicare su Internet i propri dati personali, le informazioni sulla propria vita e o su quella delle persone a lui vicine.
Per facilitare la lettura, le domande sono raggruppate in cinque sezioni, in base al tipo di lettori cui ci si rivolge: ragazzi, genitori, persone in cerca di lavoro, “esperti” e professionisti. In realtà, anche gli utenti esperti possono trovare domande interessanti nella sezione dedicata ai ragazzi, e viceversa.
3. Consigli per un uso consapevole dei social network
Il “decalogo” stilato dal Garante, con consigli utili per tenere sotto controllo i pericoli che si possono incontrare nell’uso dei social network.
4. Il gergo della rete
La spiegazione, rigorosamente non tecnica, dei termini informatici o delle espressioni gergali che si incontrano con maggiore frequenza nelle “reti sociali”.

Concludo con un’ossrvazione di Umberto Eco non condivisibile in toto ma perfettamente calzante per i social network:

“Ha senso parlare di riservatezza in un ambiente dove tutti sono esibizionisti?”