|
Misure minime - modalità tecniche
Il tema delle misure minime di sicurezza dei trattamenti è sicuramente quello che ha subito le maggiori rivisitazioni a seguito dell'emanazione del codice della privacy. A tale proposito vengono individuate misure specifiche in modo da ridurre al minimo i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.
L'osservanza delle misure minime da parte dei titolari è necessaria per adeguare i trattamenti ad un livello minimo di sicurezza imposto dal codice. Sulla base del progresso tecnologico e della tipologia dei dati trattati è a discrezione del titolare adottare misure adeguate più stringenti.
Le otto misure minime previste dal codice si possono riassumere nei seguenti cinque principi della sicurezza informatica:
1. Autenticazione
2. Copie di Sicurezza
3. Protezione da accessi indesiderati (Internet)
4. Protezione da programmi non autorizzati (Virus)
5. Aggiornamento tecnologico
Autenticazione
"...Il trattamento di dati personali è consentito agli incaricati dotati di credenziali di autenticazione che consentano il superamento di una procedura di autenticazione relativa a uno specifico trattamento o a un insieme di trattamenti.
Le credenziali di autenticazione consistono in un codice per l'identificazione dell'incaricato associato a una parola chiave riservata conosciuta solamente dal medesimo..." (Art. 1,2 - Allegato B - Disciplinare Tecnico)
Il trattamento dei dati personali deve essere consentito solo agli incaricati muniti di credenziali di autenticazione, cioè di un codice per l'identificazione dell'incaricato associato ad una parola chiave riservata e conosciuta esclusivamente dall'incaricato stesso, sul quale grava l'obbligo di adozione delle cautele necessarie al fine di assicurare la segretezza della componente riservata della credenziale, nonché l'obbligo di custodire diligentemente i dispositivi in suo possesso ed uso esclusivo. Peraltro, il legislatore stabilisce un minimo di otto caratteri per quanto riguarda la parola chiave (salvo il caso in cui lo strumento elettronico non lo consenta dovendo pertanto adottare una parola chiave composta secondo il numero massimo di caratteri consentiti); altra misura di sicurezza è identificata nell'obbligo di modifica della parola chiave almeno ogni sei mesi, salvo tre nei casi in cui il trattamento con strumenti elettronici abbia ad oggetto dati sensibili o giudiziari. Altro obbligo imposto sta nel fatto che le credenziali di autenticazione non utilizzate da almeno sei mesi debbono essere disattivate, derogando solo nell'ipotesi di un utilizzo meramente finalizzato alla gestione tecnica, per cui non è richiesta tale scadenza di modifica.
Copie di Sicurezza
"...Adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi.
Sono impartite istruzioni organizzative e tecniche che prevedono il salvataggio dei dati con frequenza almeno settimanale..." (Art. 18 - Allegato B - Disciplinare Tecnico)
Per copie di sicurezza o backup si intende un procedimento di salvataggio di files o directory (o addirittura interi filesystem) attraverso il quale e' possibile in caso di danni o altre svariate necessita' ripristinare la disponibilità dei dati.
Ci sono svariate procedure e filosofie sul backup ma uno degli aspetti importanti e' che i dati salvati risiedano in un luogo fisico differente rispetto a quello dei file originali (anche in un diverso supporto nella stessa macchina).
Per il backup di dati si possono utilizzare da floppy-disks, fino ad interi raid di hard-disks nel caso di banche dati di grandi dimensioni. I supporti piu' comuni utilizzati sono floppy disks, Zip disks, CDR, DVD, tapes e hard-disks. La scelta del supporto dipende sia dalla quantita' di dati da salvare sia dalla frequenza del backup che secondo quanto citato nel disciplinare tecnico del codice deve essere almeno settimanale.
Protezione da accessi indesiderati
"...I dati personali sono protetti contro il rischio di intrusione e dall'azione di programmi di cui all'art. 615-quinquies del codice penale, mediante l'attivazione di idonei strumenti elettronici da aggiornare con cadenza almeno semestrale..." (Art. 16 - Allegato B - Disciplinare Tecnico)
Questo punto si riferisce quasi esclusivamente ad Internet, mettendo in evidenza il pericolo di intrusione da parte di estranei nel proprio sistema ed, in particolare, al trattamento non autorizzato dei dati personali e/o sensibili. Per proteggere un computer o una rete di computer da questo tipo di violazioni si usano dei sistemi denominati FIREWALL.
Protezione da programmi non autorizzati
"...I dati personali sono protetti contro il rischio di intrusione e dall'azione di programmi di cui all'art. 615-quinquies del codice penale, mediante l'attivazione di idonei strumenti elettronici da aggiornare con cadenza almeno semestrale..." (Art. 16 - Allegato B - Disciplinare Tecnico)
Questo punto si riferisce ai programmi di tipo Virus. Generalmente per proteggersi da questa tipologia di programmi si utilizzano dei sistemi anti-virus.
Il software antivirus è un programma preinstallato o acquistabile e installabile separatamente che consente di proteggere il computer dalla maggior parte dei virus, worm, cavalli di Troia e altri intrusi indesiderati che possono "infettarlo". Virus, worm e simili sono spesso dannosi. Possono infatti eliminare file, accedere a dati personali oppure utilizzare il computer per sferrare attacchi ad altri PC.
Aggiornamento tecnologico
"...Gli aggiornamenti periodici dei programmi per elaboratore volti a prevenire la vulnerabilità di strumenti elettronici e a correggerne difetti sono effettuati almeno annualmente. In caso di trattamento di dati sensibili o giudiziari l'aggiornamento è almeno semestrale..." (Art. 17 - Allegato B - Disciplinare Tecnico)
Tra le misure minime risulta anche l'aggiornamento periodico dei programmi. Si consiglia in generale un aggiornamento periodico del sistema operativo del PC e mentre per quanto riguarda i singoli applicativi, gli aggiornamenti periodici sono generalmente previsti nel contratto di manutenzione e sono effettuati direttamente dal fornitore del programma. |
