|
|
IL CASO
|
GRUPPO INIZIATIVA FORENSEPrivacy e studi legali Misure di sicurezza, Consenso ed Informativa, Il Documento Programmatico |
Verona 27 febbraio 2004 ore 15,30
PRIVACY E STUDI LEGALI RELAZIONE AVV. ANTONIO F. ROSA
L’art. 34 del D.Lgs. 30.06.2003 nr. 196 introduce, tra le misure minime, l’obbligo della tenuta del documento programmatico della sicurezza. La stesura di un documento sulla sicurezza non è disposizione nuova, in quanto il precedente D.P.R. 318/1999 faceva pure riferimento all’obbligo di predisporre ed aggiornare, con cadenza annuale, un documento programmatico sulla sicurezza dei dati. Al fine di disciplinare le misure di sicurezza, il precedente D.P.R. 318/1999 imponeva quest’obbligo a chiunque operasse il trattamento di dati sensibili e giudiziari mediante elaboratori elettronici accessibili in rete pubblica. Tale normativa era stata interpretata nel senso che anche un singolo elaboratore connesso ad internet, o ad altri elaboratori mediante modem, dovesse essere considerato come accessibile mediante una rete di telecomunicazioni disponibili al pubblico. Di conseguenza lo studio professionale che trattava dati sensibili e giudiziari mediante elaboratori connessi ad internet, era già soggetto all’obbligo della stesura di un documento sulla sicurezza ai sensi dell’art. 6 del D.P.R. 318/1999. Oggi essendo venuta meno la distinzione tra elaboratori in rete accessibili al pubblico, o no, l’obbligo è previsto per tutti gli elaboratori (sia singolo, che in rete) che trattino dati personali di natura sensibile o giudiziaria. E’ stata sollevata da qualcuno la questione se l’obbligo di stesura di un documento programmatico sulla sicurezza dei dati sussista anche per coloro che trattino con strumenti elettronici solo dati comuni, con esclusione quindi dei dati sensibili e giudiziari. Sostenere l’obbligatorietà anche in questo caso, significa andare contro il dato letterale della norma di riferimento, che non va individuata nell’art. 34, ma nel più specifico art. 19 dell’allegato B (disciplinare tecnico) del cosiddetto codice privacy. Questa norma, inserita tra le misure da adottare in caso di trattamento con strumenti elettronici, disciplina la redazione del D.P.S.; esso indica chiaramente che si è obbligati alla stesura del documento solo in caso di trattamento di dati sensibili o di dati giudiziari. Questo è il dato letterale della norma: un’interpretazione estensiva della stessa, ai fini pubblicistici, non trova giustificazione né nella ratio legislativa attuale, né in quella precedente (ove lo scopo era chiaramente quello di provvedere alla tutela di questi dati dal pericolo di intrusione, manomissione o conoscenza da parte di terzi non autorizzati, dovuta all’esposizione in rete pubblica dell’elaboratore). E’ però certamente consigliabile la stesura di un DPS anche in caso di trattamento di dati comuni con strumenti elettronici. Detta stesura risponde infatti a quei criteri di misure idonee (non minime) che mettono al riparo il titolare dalle responsabilità civili ex art. 2050 c.c., e -comunque- risponde all’osservanza di criteri di buona organizzazione aziendale. Quest’ultima considerazione ci porta ad esaminare qual è la ratio che sovrintende all’obbligo di provvedere alla stesura del DPS. Lo scopo primario del DPS non è quello di controllo, come da taluno viene prospettato; il Garante, gli Organi accertatori non hanno certamente bisogno di un documento per verificare se la normativa è stata osservata. Nè la presenza del DPS è prova di aver rispettato in concreto le misure minime di sicurezza. Limite che evidenzia come, a mio modesto avviso, il legislatore, imponendo la redazione e la tenuta del DPS tra le misure di sicurezza minime, ha avuto di mira, ancor prima della finalità di controllo, di perseguire la necessità che ogni titolare di trattamento di dati, meritevoli, per la loro natura, di particolare tutela con strumenti elettronici (i più esposti), delinei a se stesso ed ai suoi incaricati il quadro delle misure di sicurezza adottate e da adottare sia sotto il profilo organizzativo che fisico e logistico e progetti un piano complessivo aziendale che riguardi la sicurezza di tutti i dati. Tant’è che il grado di rischio individuato nel DPS è destinato nel tempo a ridursi, man mano che si adottano nuove misure operative di sicurezza e si perfezioni il processo. Questo progetto (o processo) sulla sicurezza dei dati corrisponde ad un ulteriore interesse del titolare, già obbligato deontologicamente alla riservatezza. Da taluni viene contestato il fatto che la riservatezza aziendale o professionale era già di fatto assicurata come un valore assoluto preesistente. L’obiezione non ci sembra pertinente in quanto l’uso di strumenti elettronici ha insita la possibilità di perdite o alterazioni di dati indipendentemente dalla volontà del titolare stesso, anche solo per fatti involontari (si pensi alla perdita dei dati per un cattivo funzionamento del computer) o per i maggiori rischi collegati alla connessione all’esterno degli strumenti elettronici. Concludendo, la stesura del DPS ha, per il titolare la preminente funzione di rispondere a precise norme di organizzazione aziendale, assicurando ai suoi clienti e fornitori la tutela dei dati. In quest’ottica andrà visto e steso; pur mantenendo nel contempo natura pubblicistica, perché imposto da una norma non derogabile, e posta a tutela di un diritto (tutela della privacy altrui) ritenuto dall’ordinamento di rango superiore. Nessun dubbio, pertanto, può sussistere sul fatto che l’omessa tenuta del DPS rientri tra le fattispecie di cui all’art. 169. Per redigere il DPS si consiglia di procedere secondo il seguente iter organizzativo e processuale: preliminare individuazione ed elencazione dei trattamenti di dati personali presenti nello studio; analisi dei rischi che incombono sui dati; stesura del mansionario; L’individuazione e l’elenco dei trattamenti di dati personali Operativamente, per arrivare alla stesura di tale elenco bisognerà procedere individuando: i tipi di dati personali che vengono trattati (per categorie); gli strumenti che vengono utilizzati per il trattamento (anche in questo caso individuandoli per categoria). Ad esempio in uno studio professionale (leggi il lavoro del Bernasconi) i tipi di dati personali che vengono trattati, in ordine tendenzialmente crescente di pericolosità per la privacy, sono: - i dati comuni del personale e dei clienti, o di terzi ricavabili da fonti pubbliche (sono quelli meno pericolosi, perché per loro natura pubblici e detenuti legittimamente da terzi), ad esempio i dati camerali, quelli telefonici o di residenza tratti da elenchi consultabili liberamente; - i dati comuni del personale dipendente o dei collaboratori, dei fornitori e dei clienti, o di terzi (sono i dati che vengono forniti previa informativa), ad esempio la P.IVA, la residenza, la data di nascita, il nr. di telefono cellulare, il numero di telefono non inserito in elenchi, gli indirizzi e-mail raccolti……..; - i dati giudiziari del personale, dei fornitori e dei clienti; - i dati sensibili del personale, dei fornitori e dei clienti, dei terzi (la casistica è vasta e variegata; ad esempio la condizione sociale, le prestazioni sociali ricevute, il reddito percepito o patrimonio posseduto, la sentenza applicativa di una pena su richiesta delle parti non rientrano nel trattamento severo riservato ai dati sensibili e giudiziari, in quanto dati comuni). Individuare l’elenco dettagliato dei trattamenti è di fondamentale importanza per definire ed attuare le misure di sicurezza privacy, sulla base dell’analisi dei rischi. Infatti, esso potrebbe indurre il titolare anche a decidere di trattare i dati in modo diverso, rispetto a quanto fatto in precedenza. Tipico è l’esempio di chi decide di trattare dati sensibili con strumenti elettronici abbandonando una rete con connessione ad internet ed optando per il trattamento di tali dati solo tramite elaboratori che non sono in rete. Individuati ed elencati i dati bisogna poi prendere in esame gli strumenti impiegati, anch’essi in ordine tendenzialmente crescente di pericolosità per la privacy, in relazione al più alto grado di violabilità dei dati che essi presentano, come segue: schedari chiusi; archivi chiusi; computer non in rete in locali protetti; computer non in rete in locali non protetti; computer in rete senza accesso ad internet; computer non in rete ma con accesso ad internet; computer in rete e con accesso ad internet; computer portatile con accesso ad internet o senza; Aiuta certamente l’organizzazione il predisporre e tenere aggiornato un elenco di tutte le dotazioni hardware, software e di trasmissione dati, con le sostituzioni, riparazioni delle apparecchiature. Si avrà così una sempre aggiornata indicazione del sistema informatico e del suo stato. Per ogni computer il rischio può essere verificato accedendo ad un sito di primaria casa di produzione di software di protezione e facendo testare il computer stesso, sarà possibile – spesso con molte sorprese- valutare in concreto il rischio per ogni singolo strumento elettronico. L’analisi dei rischiL’analisi dei rischi che incombono sui dati è il momento principale ed il fine da perseguire nella redazione del documento programmatico di sicurezza. Il titolare dovrà individuare, dopo avere elencato i dati che tratta e gli strumenti che adopera per il trattamento, nel concreto quali sono i rischi specifici che potrebbero interessare i dati che tratta. Pure se l’analisi impone la conoscenza di alcuni aspetti tecnici, essa è accessibile a chiunque e non necessariamente bisogna ricorrere all’ausilio di uno specialista informatico. Molto poggia sul buon senso ispirato alla previsione, o meglio, prevedibilità dei rischi. Se la logica dell’analisi è quella di prevedere i possibili rischi, la prima operazione da compiersi è quella di valutare le minacce che gravano sui singoli trattamenti di dati personali. Per i vari tipi di dati andremo ad individuare il rischio che grava sul trattamento valutando la loro importanza in funzione della natura dei dati trattati. Successivamente si potrà valutare le minacce che possono interessare gli strumenti (elettronici e non) impiegati per il loro trattamento. Ad esempio, gli elaboratori elettronici possono, per la parte hardware degli strumenti, essere interessati da mal funzionamenti, dovuti a guasti causali o per difettosa manutenzione, corti circuiti, allagamenti e incendi, furti. Gli apparati di rete possono essere esposti a rischio di indebite intercettazioni o alterazioni della trasmissione di dati. I software ed i sistemi operativi possono essere stati progettati incompleti (le cd. falle informatiche) o installati non correttamente, erroneamente o dolosamente, consentendo ad utenti non autorizzati l’esecuzione di operazioni, oppure permettendo operazioni non autorizzate sul sistema o danneggiamenti al software (virus, i trojan horse) ovvero consentendo attacchi non distruttivi, il cui obiettivo è rendere il software inutilizzabile agli altri utenti del sistema. Le documentazioni cartacee sono minacciate dall’essere distrutte e/o alterate ad opera di eventi naturali, da azioni accidentali e di comportamenti intenzionali. I supporti di memorizzazione, su cui vengono tenute le copie dei software installati, dei file di log, dei back-up e dei dati personali, sono soggetti, oltre che ad alterazioni e distruzioni per eventi naturali, accidentali o di malintenzionati, anche al deterioramento o a difetti di costruzione che ne compromettono il funzionamento. Ogni categoria di strumenti, suggerisce il Bernasconi, deve essere pertanto valutata e verrà espresso un giudizio riassuntivo sul grado di rischio cui sono sottoposti. L’esperienza suggerisce che il grado di rischio maggiore va riconosciuto negli elaboratori che non sono in rete, specialmente se connessi ad internet, e primi tra tutti ai computer portatili. Compiuta l’analisi che precede, si è in grado di valutare quali eventi negativi possono verificarsi nell’ambito dei singoli trattamenti e di identificare il grado di rischio da coprire, arrivando eventualmente a valutare l’opportunità di adottare ulteriori misure non necessarie ex lege, ma utili all’organizzazione per aumentare il grado di protezione dei dati. L’individuazione dell’ambito di trattamento consentito agli incaricati, il cd. mansionario. Per poter stendere il DPS bisogna avere individuato le figure del titolare, del responsabile, degli incaricati. Con riferimento a questi ultimi bisogna individuare quali dati sono autorizzati a trattare. Questa individuazione va fatta con un apposito documento, volgarmente detto mansionario, nel quale - con aggiornamento e verifica annuale- si identificano, per ogni singolo incaricato, le classi omogenee di dati che sono gli stessi autorizzati a trattare con o senza ausilio di strumenti elettronici, ed altresì chi sono gli addetti alla gestione e manutenzione degli strumenti elettronici e gli eventuali terzi autorizzati ad accedere agli studi. La tenuta di questo documento è prevista dall’art. 35 della normativa e dagli art. 15 e 27 del disciplinare tecnico. A questo punto necessita osservare come nel D.P.S. confluiscano tutti i documenti obbligatori che devono essere tenuti per la privacy. Abbiamo sopra fatto riferimento all’opportunità della stesura di un documento riguardante la raccolta degli interventi eseguiti sugli strumenti elettronici (non obbligatorio). Troviamo ora il cd. mansionario, vi troveremo anche il cd. Disaster Recovery, pure previsto dalla normativa come documento obbligatorio. Elencati i trattamenti di dati personali, verificata l’analisi dei rischi che incombono sui dati trattati, individuate nel cd. mansionario le persone che trattano i dati, si può concretamente passare alla redazione del D.P.S. La redazione del DPS L’obbligo di tenuta del Documento programmatico è – come detto- previsto dall’art. 34 del D.Lgs. mentre il punto 19 del disciplinare tecnico individua chi deve redigerlo, i tempi ed il contenuto. Appare opportuno segnalare ai Colleghi che hanno funzioni di Sindaco o sono componenti, nei limiti consentiti dagli ordinamenti professionali, di C.d.A. di società che il punto 26 del disciplinare tecnico impone, per i bilanci approvati successivamente al 1 gennaio 2004, l’obbligo, ovviamente se esistente, di attestare l’avvenuta redazione o aggiornamento del D.P.S. Il Documento deve essere redatto ogni anno entro il 31 marzo, dal titolare del trattamento dei dati, anche attraverso il responsabile, se designato. Deve avere la forma scritta e, ritengo, essendoci un termine, una data certa (suggerirei anche sotto forma di timbratura postale). Il fatto che esso sia redatto dal responsabile non esime il titolare (o i titolari, nel caso di forme associate) da responsabilità. E’ utile suggerire, almeno per la prima stesura del Documento, che il tecnico manutentore verifichi i singoli strumenti ed attesti per ciascuno di essi la conformità e l’adeguatezza. Il Documento deve contenere: - l’elenco del trattamento dei dati personali Come abbiamo sopra, rilevato è necessaria la preliminare ricognizione di tutti i trattamenti di dati personali svolti nello studio o affidati ad entità esterne. - la distribuzione dei compiti e delle responsabilità nell’ambito delle strutture preposte al trattamento dei dati. E’ il c.d. mansionario della privacy, cui prima ho fatto cenno. Si tratta di individuare chi può trattare i dati personali. Appare opportuno integrare l’enunciazione della distribuzione dei compiti e delle responsabilità allegando al D.P.S. le lettere di incarico a dipendenti e collaboratori con i relativi profili di autorizzazione nonché ai terzi che possono accedere agli studi. - analisi dei rischi che incombono sui dati. Anche per questa voce mi richiamo a quanto precedentemente detto sottolineando come l’analisi vada principalmente indirizzata sulle circostanze possibili, probabili, prevedibili e prevenibili. Tale analisi va fatta in relazione alla natura dei dati ed agli strumenti elettronici e non. - le misure da adottare per garantire l’integrità e la disponibilità dei dati nonché la protezione delle aree e dei locali, rilevanti ai fini della loro custodia ed accessibilità. Questa indicazione del documento programmatico è il frutto dell’analisi dei rischi. Si devono descrivere le misure minime adottate e quelle che si intendono adottare per finalizzare ed incrementare la sicurezza, individuandole con riferimento agli strumenti elettronici, alle aree ed ai locali, alla archiviazione e custodia di atti, documenti e supporti. Se il titolare si avvale di soggetti esterni nella predisposizione ed installazione delle misure minime di sicurezza o per la redazione del D.P.S. deve pretendere il rilascio di un certificato di conformità che garantisca la serietà dell’intervento e l’adeguatezza dello stesso alle misure di sicurezza previste. - descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento. Si tratta delle istruzioni scritte su chi e come deve essere gestita la fase necessaria al ripristino (in termine tecnico il Disaster recovery) dei dati persi o distrutti, a chi rivolgersi, i tempi necessari. Il ripristino dei dati consiste nella nuova installazione dei dati persi, o danneggiati, e per far questo bisogna impartire istruzioni organizzative e tecniche per la custodia delle copie di sicurezza. E’ specifico obbligo del titolare assicurare la possibilità di questo ripristino entro 7 giorni, affinché sia consentito il riattivo della prosecuzione delle operazioni di trattamento dei dati. - la previsione di interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare. La formazione degli incaricati, a mio modesto avviso, deve essere volta alla conscenza dell’uso degli strumenti ed alla sensibilizzazione delle tematiche sulla sicurezza, facendo comprendere i rischi e le responsabilità cui vanno incontro il titolare gli incaricati (per questi ultimi anche sanzioni di natura disciplinare) che riguardano il trattamento dei dati personali. Far conoscere i rischi connessi alla circolazione dei dati via internet, il danno che consegue, o può conseguire, alla perdita dei dati o alla loro alterazione, dare precise spiegazioni sui comportamenti da adottare nelle operazioni di trattamento, e, soprattutto, spiegare quale è la natura ed il contenuto dei dati sensibili e giudiziari su cui è necessario porre maggiore attenzione, ed in ultima analisi la regola che nel dubbio sulla natura del dato ci si rivolga al titolare. Gli incaricati hanno un ruolo fondamentale in quanto, essendo quelli più vicini al trattamento dei dati, sono quelli più esposti a diffonderli, alterarli involontariamente o provocarne la perdita ma sono anche quelli che più di altri possono con le loro indicazioni segnalare i veri rischi che incombono sui dati. La formazione deve essere specificato nel DPS se è programmata già al momento dell’ingresso in servizio, nonché in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati personali. - la descrizione dei criteri da adottare per garantire l’adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformità al codice, all’esterno della struttura del titolare. Vanno individuati i precisi criteri adottati ed atti a garantire che il soggetto esterno tratti i dati sensibili e giudiziari che gli sono affidati, adottando le misure minime di sicurezza prescritte dalla normativa. Nel documento programmatico andrà indicato quali garanzie si richiedono all’affidatario, qualora tratti questi dati con strumenti elettronici, i dati che gli inviamo, anche solo in forma cartacea. A tale riguardo segnalo ai Colleghi che per gli incarichi giudiziari (curatele, tutele, nomina di curatore o di arbitro in una vertenza che possa contenere dati sensibili o giudiziari) il Tribunale dovrebbe richiedere, quantomeno, di attestare di avere eseguito le misure minime di sicurezza. - il successivo punto previsto per il DPS non riguarda gli studi professionali, ma concerne specifiche prescrizioni per gli organismi sanitari che trattino dati idonei a rivelare lo stato di salute e la vita sessuale, per questo non ce ne occuperemo in questa sede. E’ molto difficile immaginare un modello di documento programmatico sulla sicurezza, in quanto il suo contenuto è il frutto di un analisi e di un processo specifico per ogni singola situazione, e le fattispecie sono numerosissime. Quello che propongo è un’ipotesi di modello che può servire da guida e che deve essere necessariamente integrato, o ripensato, dal titolare del trattamento dei dati. avv. Antonio F. Rosa Verona, via Rosa 8 Tel. 0458002239 Email rosa-ferrarese@iol.it Bibliografia: Segnalo per la semplicità e chiarezza nell’esposizione, anche dei dati tecnici, i lavori “Il manuale della privacy” ed “Il nuovo codice privacy: che fare?” di M. Bernasconi e Lorenzo Riva della Diamint.com Srl (scaricabili via internet) ed ai quali ho fatto riferimento per le note di cui sopra. ; “Guida pratica alle nuove misure di sicurezza per la privacy” F. Berghella , e il Riem “Privacy e sicurezza”, Edizione Simone. |
|
Modello di Documento
programmatico sulla sicurezza
Scopo di questo documento è di delineare il quadro delle misure di sicurezza, organizzative, fisiche e logiche, da adottare per il trattamento dei dati personali effettuato dallo Studio Legale ……… Il presente documento è stato redatto da……..in qualità di titolare/ responsabile per la sicurezza, che provvede a firmarlo in calce Elenco dei trattamenti di dati personali Lo Studio Legale tratta i seguenti dati: dati comuni dei clienti, dei fornitori o di terzi ricavati da albi, elenchi pubblici, visure camerali; dati comuni del personale dipendente, quali quelli necessari al rapporto di lavoro, alla reperibilità ed alla corrispondenza con gli stessi o richiesti ai fini fiscali e previdenziali o dati di natura bancaria; dati comuni dei clienti, dagli stessi forniti per l’espletamento degli incarichi affidati allo studio, compresi i dati sul patrimonio e sulla situazione economica, o necessari per fini fiscali o afferenti alla reperibilità ed alla corrispondenza con gli stessi; dati comuni di terzi, forniti dai clienti per l’espletamento degli incarichi affidati allo studio, compresi i dati sul patrimonio e sulla situazione economica, o necessari a fini fiscali o afferenti alla reperibilità ed alla corrispondenza con gli stessi, o per atti giudiziari; dati comuni dei fornitori concernenti la reperibilità e la corrispondenza con gli stessi, nonché inerenti ai fini fiscali o dati di natura bancaria; dati comuni di altri Avvocati e professionisti cui lo studio affida incarichi o si rivolge per consulenze, quali quelli concernenti la reperibilità e la corrispondenza con gli stessi, nonché inerenti a finalità fiscali o dati di natura bancaria; dati sensibili del personale dipendente, conseguenti al rapporto di lavoro, ovvero inerenti i rapporti con gli enti previdenziali ed assistenziali, o dati giudiziari del personale dipendente, o l’adesione ad organizzazioni sindacali; dati giudiziari dei clienti, idonei a rivelare i provvedimenti di cui all'art. 3 DPR nr. 313/2002, o idonei a rivelare al qualità di imputato o indagato; dati giudiziari di terzi idonei a rivelare i provvedimenti di cui all'art. 3 DPR nr. 313/2002, o idonei a rivelare al qualità di imputato o indagato; dati sensibili dei clienti, dagli stessi forniti per l’espletamento degli incarichi affidati allo studio, idonei a rivelare l’origine razziale ed etnica, le convinzioni o l’adesione ad organizzazioni a carattere religioso, politico, sindacale o filosofico; dati sensibili dei clienti, dagli stessi forniti o acquisiti per l’espletamento degli incarichi affidati allo studio, idonei a rivelare lo stato di salute; dati sensibili di terzi, forniti dai clienti o acquisiti per l’espletamento degli incarichi affidati allo studio, idonei a rivelare lo stato di salute; dati sensibili di clienti o terzi, comunque afferenti la vita sessuale. I dati non pubblici vengono acquisiti previa l’informativa che si allega al presente D.P.S. Questi dati vengono trattati e conservati in fascicoli riposti in schedari dotati di chiusura, nonché trattati tramite computer in rete in locali protetti e con accesso ad internet, archiviati al termine della pratica. Lo studio, ove vengono trattati i dati, è ubicato in un condominio in zona centrale, dotato di portone di ingresso a chiusura automatica e con videocitofono, con sorveglianza notturna, e porte blindate. Sito al primo piano. I singoli studi, che lo compongono, sono dotati ciascuno di porta con chiusura a chiave, così come l’archivio. La segreteria è ubicata in un locale più ampio, dove in una zona separata e ben distanziata dalle postazioni di lavoro delle segretarie, è ricavata una sala di attesa per i clienti. Lo studio è dotato di cassaforte con chiusura a chiave. Ogni studio è dotato di un computer in rete e connesso ad internet con connessione ADSL in rete, eccezione fatta per la sala biblioteca dove sono ubicati due computer in rete e con connessione ADSL ad internet; nel più ampio locale, ove è ubicata la segreteria si trovano due postazioni di lavoro con computer con connessione ADSL ad internet ed in fianco ad una di esse è ubicato il server connesso ad internet ed il router per la connessione ad internet. Inoltre in questo locale si trovano le stampanti, il fax, la fotocopiatrice e lo scanner. Uno dei due computer è dotato di separato modem per l’utilizzo di Winfax. Le linee telefoniche sono due ISDN. Il sistema operativo del server è …….. Il sistema operativo dei computer è……… Lo studio adopera Internet Explorer versione ….. Lo studio adopera OutlooK Express …….. Lo studio per adopera per a gestione il sistema…… Antivirus adoperato …….. Firewall adoperato ……. Titolare del trattamento è l’avv……….. Responsabile del trattamento è ……… Amministratore del sistema è ………. Incaricati del trattamento sono: Dr. ……… (collaboratore di studio) Dr. ……… (collaboratore di studio) ……………. (dipendente) …………….. (dipendente) Tecnico incaricato dell’assistenza e manutenzione degli strumenti elettronici è ……………. I dati comuni dei clienti, dei fornitori o di terzi, i dati comuni di altri Avvocati e professionisti cui lo studio affida incarichi o si rivolge per consulenze, i dati giudiziari dei clienti, i dati giudiziari di terzi, i dati sensibili dei clienti e di terzi sono trattati, oltre che dal titolare, anche da tutti gli incaricati. I dati comuni del personale dipendente, i dati sensibili del personale dipendente, i dati afferenti i pagamenti a favore di terzi fornitori, la contabilità e i rapporti bancari dello studio sono esclusivamente tenuti dalla dipendente………., che si occupa della amministrazione. Questi dati non sono in rete ma si trovano solo sul computer della segretaria autorizzata a trattarli. E’ stata compiuta l’analisi dei rischi che si può così sintetizzare: per i dati comuni del personale dipendente (quali quelli necessari al rapporto di lavoro, alla reperibilità ed alla corrispondenza con gli stessi, ai rapporti fiscali), i dati comuni dei clienti (dagli stessi forniti per l’espletamento degli incarichi affidati allo studio, compresi i dati sul patrimonio e sulla situazione economica, o necessari per disposizioni fiscali o afferenti alla reperibilità ed alla corrispondenza con gli stessi), i dati comuni di terzi (forniti dai clienti per l’espletamento degli incarichi affidati allo studio, compresi i dati sul patrimonio e sulla situazione economica, o necessari per disposizioni fiscali o afferenti alla reperibilità ed alla corrispondenza con gli stessi, o per atti giudiziari) i dati comuni dei fornitori (concernenti la reperibilità e la corrispondenza con gli stessi, nonché inerenti ai rapporti fiscali) i dati comuni di altri avvocati e professionisti cui lo studio affida incarichi (quali quelli concernenti la reperibilità e la corrispondenza con gli stessi, nonché inerenti ai rapporti fiscali) ed i dati comuni dei clienti, dei fornitori o di terzi ricavati da albi, elenchi pubblici, visure camerali: il rischio legato alla loro gestione può definirsi basso/medio Per i dati sensibili del personale dipendente, i dati giudiziari dei clienti,i dati giudiziari di terzi, i dati sensibili dei clienti (dagli stessi forniti per l’espletamento degli incarichi affidati allo studio) i dati sensibili di terzi (forniti dai clienti per l’espletamento degli incarichi affidati allo studio) il rischio legato alla loro gestione è da definirsi medio, eccezion fatta per i dati riguardanti le pratiche in cui sono contenuti dati idonei a rivelare lo stato di salute, o dati giudiziari di clienti o terzi e le pratiche, quali quelle in materia di diritto familiare, con dati idonei a rivelare la vita sessuale. Per questi ultimi dati il rischio collegato alla gestione può definirsi alto. Per i dati sensibili afferenti cause di stato (esempio disconoscimento di paternità) il rischio di gestione può essere definito maggiormente elevato. Gli strumenti elettronici sono: nr. 1 computer connesso in rete ed a internet nella segreteria utilizzato da ……. marca …….. modello …… nr. 1 computer connesso in rete ed a internet nella segreteria utilizzato da …………….. marca …….. modello ….. nr. 1 computer server connesso in rete ed a internet nella segreteria marca ……. modello …… nr. 1 computer connesso in rete ed a internet nello studio dell’avv. ……. utilizzato dallo stesso marca ….. modello ……… nr. 1 computer connesso in rete ed a internet nello studio dell’avv. ……. utilizzato dallo stesso marca …… modello ………. nr. 1 computer connesso in rete ed a internet nella biblioteca utilizzato da ……………….. marca ……. modello …….. nr. 1 computer connesso in rete ed a internet nella biblioteca utilizzato da ……………….. marca ……. modello …….. Per quanto riguarda gli strumenti elettronici, possono verificarsi malfunzionamenti, guasti, eventi naturali, alterazioni delle trasmissioni. Per quanto riguarda i software contenuti negli strumenti elettronici, possono verificarsi errori, virus, intercettazioni dei dati. Per quanto riguarda le aree ed i locali: possono essere colpiti da eventi naturali o accessi di terzi non autorizzati. Per ridurre i rischi sono state adottate le seguenti misure: Autenticazione informatica, tale misura è stata adottata dotando ciascun incaricato di una password di almeno 8 caratteri ( o minore per le caratteristiche del sistema). Detta password non contiene, né conterrà, elementi facilmente ricollegabili all’organizzazione o alla persona del suo utilizzatore, né allo studio legale. La stessa viene autonomamente scelta dall’incaricato e dallo stesso custodita in una busta chiusa che viene consegnata al titolare del trattamento, il quale provvede a metterla nella cassaforte dello studio in un plico sigillato. Ogni tre mesi ciascun incaricato provvede a sostituire la propria password. Si è altresì disposto che le password vengano automaticamente disattivate dopo tre mesi di non utilizzo. Inoltre si è disposto che a tutti gli utilizzatori di strumenti elettronici non lascino incustodito, o accessibile, lo strumento elettronico stesso. A tale riguardo, per evitare errori e dimenticanze, è stato inserito lo screensaver automatico dopo 1 minuto di non utilizzo, con ulteriore password segreta per la prosecuzione del lavoro. Si è inoltre disposto che essi verifichino la provenienza delle email e non operino operazioni di sharing. Essendo gli incaricati autorizzati a trattare la quasi totalità dei dati, e comunque quelli sensibili e giudiziari, non si è provveduto a dare disposizioni in caso di prolungata assenza o impedimento dell’incaricato, eccezion fatta per i dati trattati in via esclusiva dal dipendente ……………, che cura la contabilità, per il quale è stato indicato per iscritto il nominativo dell’incaricato della sostituzione. Ogni singolo computer è dotato di dispositivo antivirus di marca ………………………., che viene aggiornato con funzione automatica e con scansione per ogni aggiornamento antivirus, e comunque settimanale. Sul server è stato installato firewall di marca ………………. Per ogni singolo computer è prevista la funzione di aggiornamento automatico del sistema fornito dalla Microsoft mediante lo strumento windows – update. Analogo sistema di aggiornamento automatico è previsto per l’antivirus. E’ stata data istruzione che, qualora nessun aggiornamento del sistema fosse segnalato automaticamente per un periodo di mesi 6, si provveda comunque ad attivare la funzione di controllo per verificare l’esistenza o meno di detti aggiornamenti automatici. E’ stato disposto l’obbligo di provvedere ad un backup settimanale dei dati e dei sistemi installati sul server su cd rom, i quali vengono conservati e chiusi in un cassetto, e si è data disposizione di verificare, effettuato il backup, la leggibilità del supporto e che una volta a settimana si proceda a verifica a campione della leggibilità dei dati; custode di detti backup è stato nominato l’incaricato …………………… Si è data disposizione che, effettuato un backup, venga distrutto il c.d. precedente. Si è data disposizione che, terminata la trattazione di una pratica, ogni relativo file, o dato, esistente sui computer, sia cancellato. Si è disposto che non siano lasciati incustoditi sulle scrivanie, o su altri ripiani, atti, documenti e fascicoli delle pratiche. I fascicoli vanno conservati negli appositi schedari e prelevati per il tempo necessario al trattamento per esservi poi riposti. Le comunicazioni a mezzo posta, o a mezzo telefax, dovranno essere tempestivamente smistate e consegnate ai destinatari. Quando è dato un ordine di stampa, il documento stampato dovrà essere prontamente prelevato e consegnato all’interessato. Il locale destinato all’archivio dovrà essere chiuso a chiave. La dipendente ………………….. è incaricata di controllare l’accesso all’archivio. Fuori dall’orario di lavoro l’accesso all’archivio è consentito previa registrazione. Si è data istruzione che il materiale cartaceo asportato e destinato allo smaltimento dei rifiuti sia riposto negli appositi sacchi di plastica e che detti sacchi siano chiusi in modo che atti e documenti negli stessi contenuti non possano accidentalmente fuoriuscire, e che detto materiale sia giornalmente asportato. Il rischio di accesso ai locali dello studio, può essere definito basso, atteso che l’ingresso allo studio è controllato, e che lo studio è dotato di videocitofono e chiusura con porta blindata. Il rischio di accesso ai singoli studi può essere definito basso, atteso che gli stessi sono dotati di porte con chiusura e l’ingresso di terzi estranei avviene solo previa accettazione e controllo. Il rischio di accesso ai singoli strumenti da parte di persone non autorizzate può essere definito basso, essendo controllato l’accesso allo studio da parte di terzi; la zona di attesa dei clienti distanziata dagli strumenti ed essendo gli stessi clienti controllabili dalla segreteria. Le aree ed i locali potrebbero essere interessati da eventi naturali, quali incendi, allagamenti e corto circuiti, pur avendo lo studio provveduto ad adottare le disposizioni di sicurezza stabilite dalla L. 626/94. Essendo lo studio dotato di dispositivi salvavita, il rischio può comunque definirsi basso. Per quanto riguarda gli strumenti elettronici, il rischio può essere definito basso, essendo state adottate dallo studio le misure di sicurezza, tendenti a ridurre il rischio gravante sui dati e derivante dalla gestione di detti strumenti. Per quanto riguarda la documentazione cartacea, il rischio può essere definito basso, essendo l’archivio chiuso a chiave, gli schedari chiusi, ed essendo state adottate le altre misure indicate, fatta eccezione ovviamente per gli eventi naturali. I telefax inviati su carta chimica sono stati riprodotti su carta normale per evitarne il deterioramento. Per quanto riguarda i supporti di memorizzazione, il rischio di deterioramento dei dati da essi portati può essere ritenuto basso, attesi i frequenti back up, ed il fatto che essi sono conservati in un cassetto chiuso a chiave, così come i dischi di installazione dei programmi software adottati. Non vi sono elaboratori non in rete, non vi sono elaboratori non in rete e connessi ad internet, per cui nessun giudizio di rischio deve essere dato su detti strumenti. Atteso –infine- che gli incaricati al trattamento dei dati sono qualificati ed affidabili e dimostrano riservatezza ed attenzione nella gestione dei dati stessi, il rischio afferente la riservatezza, o la distrazione, o l’incuria degli stessi, può essere definito basso. Inoltre i dati, quanto comuni che sensibili, per gli affari trattati dallo Studio ed il tipo di clientela dello Studio non paiono essere, come detto, di particolare interesse per terzi. Si ritiene che verranno adottate le seguenti ulteriori misure. Entro il termine del 30.06.2004 sarà installato sistema di firma elettronica per la trasmissione delle e-mail. Sarà inoltre adottata ogni altra misura che dal tecnico della manutenzione venisse ritenuta utile e necessaria per migliorare la sicurezza degli strumenti elettronici. Sarà installato inoltre gruppo di continuità per il server. Nell’ipotesi di distruzione o danneggiamento dei dati o degli strumenti elettronici, si predisporrà entro il 30.06.2004 apposito piano di ripristino degli stessi, impartendosi comunque sin d’ora le seguenti istruzioni: - avvertire il titolare del trattamento dei dati e l’incaricato che ha in custodia il c.d. di back up nonché i c.d. contenenti i vari software dello studio installati sugli strumenti elettronici; - rivolgersi immediatamente e chiedere l’intervento del tecnico manutentore della ditta ……………………. sollecitandone al più presto l’assistenza; - reinstallati i programmi danneggiati o distrutti, sempre che non sia necessario sostituire l’intero hardware, provvedere a reinstallare tutti i dati contenuti nel c.d. di back up; - provvedere all’aggiornamento dei sistemi operativi una volta reinstallati; - verrà dato incarico al tecnico manutentore di suggerire ogni altra misura; - in ogni caso, viene data esplicita istruzione che il ripristino dei dati e dei sistemi sia effettuato entro e non oltre 7 giorni; - al fine di evitare eventi di perdita e di danneggiamento degli strumenti elettronici e dei datti in essi contenuti, si prevede che per due volte all’anno sia effettuata manutenzione in modo adeguato dal tecnico incaricato. La formazione degli incaricati viene effettuata all’ingresso in servizio, all’installazione di nuovi strumenti per il trattamento dei dati, e comunque con frequenza annuale. Essa tende a sensibilizzare gli incaricati sulle tematiche di sicurezza, facendo comprendere i rischi e le responsabilità (con specificazione delle sanzioni connesse penali e disciplinari) che riguardano il trattamento dei dati personali. Inoltre, essa tende alla compiuta spiegazione del concetto di quale sia la natura ed il contenuto dei dati sensibili e giudiziari, con l’invito a segnalare eventuali disfunzioni dei sistemi operativi e, nel dubbio, di richiedere al titolare se un dato possa avere o meno natura sensibile o giudiziaria. La formazione è fatta dal titolare dello studio. Nel caso in cui il trattamento dei dati sensibili e/o giudiziari venga affidato a soggetti esterni, che li trattino con strumenti elettronici, per avere la garanzia che essi adottano le misure minime di sicurezza si esigerà dagli stessi una dichiarazione di avere redatto il documento programmatico sulla sicurezza, nel quale attestino di aver adottato le misure minime previste dal disciplinare. Alle ditte che provvedano ad effettuare prestazioni che comportano accesso di estranei allo studio, viene dato incarico scritto con richiesta di specificazione dei nomativi delle persone che accedono ed espresso invito a limitarsi alle sole attività pertinenti alla prestazione per cui accedono. Si allegano oltre l’informativa, la lettera di istruzioni agli incaricati, la lettera alle ditte che provvedano ad effettuare prestazioni che comportano accesso di estranei allo studio. Verona, lì Il titolare
Modello predisposto da: Avv. Antonio F. Rosa Foro di Verona
Bibliografia: “Il nuovo codice privacy: che fare?” di M. Bernasconi e Lorenzo Riva della Diamint.com Srl |