LOGIN n.

45 marzo-aprile 2004

Il nuovo codice sulla privacy

di Nicola Sotira
Moduli o-nline che registrano i nostri dati, archivi informatici, telefonini, videocamere nei centri abitati ecc. Le nuove tecnologie spesso mettono a dura prova il nostro diritto alla privacy. Un nuovo decreto legislativo mette ordine sullutilizzo dei dati personali e sul loro uso.

Nicola Sotira si occupa di progettazione e sicurezza delle reti presso la so` cieta Exwai. Membro della Association for Computing Machinery lavora da diversi anni nel settore della sicurezza informatica, con particolare attenzione alle problematiche relate a rewall, VPN e controlli di accesso. Recentemente si sta occupando di controlli biometrici e smartcard.

pubblicato su WWW.INFOMEDIA.IT stampa digitale da Lulu Enterprises Inc. stores.lulu.com/infomedia

Infomedia
` Infomedia e limpresa editoriale che da quasi venti anni ha raccolto la voce dei programmatori, dei sistemisti, dei professionisti, degli studenti, dei ricercatori e dei professori dinformatica italiani. Sono pi` di 800 gli autori che hanno realizzato per le teu state Computer Programming, Dev, Login, Visual Basic Journal e Java Journal, molte migliaia di articoli tecnici, presentazioni di prodotti, tecnologie, protocolli, strumenti di lavoro, tecniche di sviluppo e semplici trucchi e stratagemmi. Oltre 6 milioni di copie distribuite, trentamila pagine stampate, fanno di questa impresa la pi` grande ed u inuente realt` delleditoria specializzata nel campo della a programmazione e della sistemistica. In tutti questi anni le riviste Infomedia hanno vissuto della passione di quanti vedono nella programmazione non solo la propria professione ma unattivit` vitale e un vero a divertimento. ` Nel 2009, Infomedia e cambiata radicalmente adottando ` un nuovo modello aziendale ed editoriale e si e organizzata attorno ad una idea di Impresa Sociale di Comunit` , a partecipata da programmatori e sistemisti, separando le attivit` di gestione dellinformazione gestite da un board a comunitario professionale e quelle di produzione gesti` te da una impresa strumentale. Questo assetto e in linea con le migliori esperienze internazionali e rende Infomedia ancora di pi` parte della Comunit` nazionale degli u a sviluppatori di software. ` Infomedia e media-partner di manifestazioni ed eventi in ambito informatico, collabora con molti dei pi` imporu tanti editori informatici italiani come partner editoriale e fornitore di servizi di localizzazione in italiano di testi in lingua inglese.

Limpaginazione automatica di questa rivista e realizzata al ` 100% con strumenti Open Source usando OpenOffice, Emacs, BHL, LaTeX, Gimp, Inkscape e i linguaggi Lisp, Python e BASH

For copyright information about the contents of LOGIN, please see the section Copyright at the end of each article if exists, otherwise ask authors. Infomedia contents is 2004 Infomedia and released as Creative Commons 2.5 BY-NC-ND. Turing Club content is 2004 Turing Club released as Creative Commons 2.5 BY-ND. Le informazioni di copyright sul contenuto di LOGIN sono riportate nella sezione Copyright alla ne di ciascun articolo o vanno richieste direttamente agli autori. Il contenuto Infomedia e 2004 Infomedia e rilasciato ` con Licenza Creative Commons 2.5 BY-NC-ND. Il contenuto Turing Club e 2004 Turing Club e rilasciato ` con Licenza Creative Commons 2.5 BY-ND. Si applicano tutte le norme di tutela dei marchi e dei segni distintivi. ` E in ogni caso ammessa la riproduzione parziale o totale dei testi e delle immagini per scopo didattico purch e vengano integralmente citati gli autori e la completa identicazione della testata. Manoscritti e foto originali, anche se non pubblicati, non si restituiscono. Contenuto pubblicitario inferiore al 45%. La biograa dellautore riportata nellarticolo e sul sito www.infomedia.it e di norma quella disponibi` le nella stampa dellarticolo o aggiornata a cura dellautore stesso. Per aggiornarla scrivere a info@infomedia.it o farlo in autonomia allindirizzo http://mags.programmers.net/moduli/biograa

speciale La nuova legge sulla privacy

Il nuovo codice sulla privacy

di Nicola Sotira (nsotira@infomedia.it)

La nuova legge sulla privacy

Moduli on-line che registrano i nostri dati, archivi informatici, telefonini, videocamere nei centri abitati ecc. Le nuove tecnologie spesso mettono a dura prova il nostro diritto alla privacy. Un nuovo decreto legislativo mette ordine sullutilizzo dei dati personali e sul loro uso

l Decreto Legislativo del 30 giugno 2003 sostituisce, a sette anni dalla sua emanazione, la legge 675 sulla privacy. Il nuovo testo di legge (Dlgs 196/2003) raccoglie le esperienze maturate nellesercizio della 675 e del DPR 318 del 1991. Questa testo si occupa del trattamento dei dati personali, sia questo eseguito con lausilio di strumenti informatici o cartacei, in un unico disegno di legge superando molte delle obiezioni che erano state mosse alla precedente legge 675. Vediamo di seguito alcuni dei punti salienti di questo nuovo decreto, che entra in vigore a gennaio 2004 e per il quale sono previsti sei mesi di tempo per adeguarsi sul piano tecnico. Il codice completo reperibile sul sito del garante della privacy (www.garanteprivacy.it).

Occorre adottare sistemi di protezione come Antivirus e Firewall correttamente installati e con politiche di sicurezza aggiornate regolarmente
Definizione dei dati Nel decreto si definiscono come dati personali (Art.4 lettera b): qualunque informazione relativa a persona fisica, persona giuridica, ente o associazione identificati o identificabili, anche indirettamente mediante riferimento a qualsiasi altra informazione Sono dati personali ad esempio, NOME, COGNOME, INDIRIZZO, RAGIONE SOCIALE, TELEFONO, CODICE FISCALE, PARTITA IVA, FO-

TOGRAFIE, PROFILI CREDITIZI ecc Vengono invece definiti dati identificativi (Art. 4 lettera c) tutte quelle informazioni che permettono la correlazione tra i dati personali e le persone fisiche. Ad esempio dato identificativo un codice che associa una fattura ad un cliente. I dati sensibili vengono invece definiti nellArt. 4 lettera d. In questa categoria ricadono tutti i dati che possono essere causa di discriminazioni, quindi ad esempio i dati relativi alla fede religiosa, militanza politica, stato di salute ecc.. Spesso questi dati sono desumibili da trattenute sindacali, cartelle cliniche, rivelazioni di presenze ecc Questa categoria di dati quella (insieme ai dati giudiziari) su cui la normativa indica delle precise e stringenti misure di sicurezza. Nellarticolo 4 lettera e vengono invece definiti i dati giudiziari, che sono tutte le informazioni che rivelano la condizione giudiziaria, presente, passata o in fase di definizione delle persone fisiche. A chi rivolta la normativa L art. 5 punto 1 del decreto legislativo sancisce: Il presente codice disciplina il trattamento di dati personali, anche detenuti allestero, effettuato da chiunque stabilito nel territorio dello Stato o in un luogo comunque soggetto alla sovranit dello Stato. Ovvero tutti coloro, Pubblica Amministrazione, Enti Privati, Circoli/Associazioni, Aziende che sono in possesso, in forma elettronica e non, di informazioni o dati personali relativi a persone fisiche o giuridiche secondo la definizione che si data precedentemente. pertanto evidente che un archivio elettronico normalmente contiene dei dati personali. Ad esempio, la presenza di una scheda cliente o di fogli elettronici con dati di clienti fa ricadere lazienda/ente/associazione/pubblica amministrazione nellambito in cui si applica la normativa. Come si devono trattare i dati? Il decreto specifica che i dati devono essere il pi possibile pertinenti alle finalit per le quali vengono raccolti.

22
Login Internet Expert n.45 Marzo/Aprile 2004

La nuova legge sulla privacy speciale

Sono quindi tutte le informazioni necessarie a comprendere lo scopo per il quale stata creato larchivio, spiegando inoltre quale fine ci si prefigge (ad esempio: informazioni commerciali, selezione del personale ecc.). Inoltre i dati devono essere inventariati e archiviati separatamente a seconda della loro classifica (personali, sensibili, giudiziari). L interessato o la persona che raccoglie questi dati deve informare gli interessati sulle finalit, la modalit del trattamento, sui diritti che il titolare pu esercitare, come indicato dallart 13 della legge 196. Misure di protezione da adottare Il decreto, negli articoli 31, 33 e 34 descrive le misure di sicurezza da adottare. In questi articoli viene ribadito che si devono tutelare lintegrit e la riservatezza dei dati con misure di sicurezza fisica (limitazione degli accessi ai locali, uso di armadi con chiave, controlli di accesso biometrico alle sale server ecc..), logiche (antivirus, firewall ..) e organizzative (istruzione del personale e dei collaboratori, creazione di procedure, nomina di responsabili ecc.)

riduzione dei rischi di perdita/distruzione (backup e procedure di salvataggio dei dati). Pertanto devono essere create procedure di backup periodiche delle basi dati accompagnate da procedure di ripristino degli stessi. riduzione del rischio intrusione da parte di estranei non autorizzati al trattamento. I dati devono essere accessibili solo al personale addetto al trattamento e lutilizzo deve essere consono ai dati raccolti. Viene anche sottolineato che le contromisure tecniche di protezione hanno sempre una validit temporale e vanno costantemente adeguate allevoluzione delle possibili fonti di minaccia. Articoli 33 (Misure minime) L articolo 33 sancisce: Nel quadro dei pi generali obblighi di sicurezza di cui allarticolo 31, o previsti da speciali disposizioni, i titolari del trattamento sono comunque tenuti ad adottare le misure minime individuate nel presente capo o ai sensi dellarticolo 58, comma 3, volte ad assicurare un livello minimo di protezione dei dati personali. In questo articolo il decreto sottolinea lobbligatoriet delle azioni menzionate nellarticolo 31. Si noti che lapplicazione di queste misure da considerare come il minimo intervento necessario; quindi eventualmente da integrare con altre misure in funzione delle informazioni possedute. Articoli 34 (Trattamenti con strumenti elettronici) L articolo 34 entra nel merito delle misure da adottare nel trattamento dei dati effettuato con strumenti elettronici, dicendo che: Il trattamento di dati personali effettuato con strumenti elettronici consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nellallegato B), le seguenti misure minime: a) autenticazione informatica; b) adozione di procedure di gestione delle credenziali di autenticazione; c) utilizzazione di un sistema di autorizzazione; d) aggiornamento periodico dellindividuazione dellambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici;

Le password devono
essere gestite da un responsabile e aggiornate periodicamente. Ogni 6 mesi per i dati personali e ogni 3 mesi per dati sensibili e giudiziari.
Al decreto stato inoltre aggiunto lallegato B (che verr aggiornato in funzione dellevoluzione tecnologica) che ha il compito di analizzare nel dettaglio le misure di sicurezza sul piano tecnico. Vediamo di seguito i punti che caratterizzano gli articoli 31, 33 e 34. Articoli 31 (Obblighi di sicurezza) L art. 31 del decreto legislativo dice: I dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante ladozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalit della raccolta. Qui il decreto descrive cosa si deve garantire rispetto alle informazioni, ovvero:

FIGURA 1 www.spilaspia.org raccoglie tutti i dati sui progetti di video sorveglianza

aprendo un dibattito sulla violazione della privacy in nome della sicurezza

23
Login Internet Expert n.45 Marzo/Aprile 2004

speciale La nuova legge sulla privacy

e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici; f) adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilit dei dati e dei sistemi; g) tenuta di un aggiornato documento programmatico sulla sicurezza; h) adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari. In questo articolo sono elencate, in linea generale, le misure di sicurezza minime da adottare in un sistema informatico. I dettagli tecnici sono contenuti allallegato B. Pertanto in un sistema informativo occorre inserire: Un sistema di autenticazione per laccesso ai dati, ovvero la gestione dei codici di accesso o password ai sistemi informativi che contengono i dati. Queste dovranno essere conformi a quanto descritto nellallegato B, quindi ad esempio essere gestite da un responsabile, aggiornate periodicamente (sei mesi per dati personali e tre mesi per dati sensibili/ giudiziari). Le password inoltre dovranno essere di almeno otto caratteri e non contenere riferimenti riconducibili allincaricato. Per maggiori dettagli si veda lallegato B alla sezione "Sistema di autorizzazione informatica". Un sistema di controllo dellaccesso ai dati da parte del personale addetto alla manutenzione e gestione dei sistemi informativi, unito a misure che tendano a garantire leffettiva motivazione allaccesso e la revoca al personale non pi autorizzato. La protezione che viene citata al punto (e), fa riferimento nel settore informatico a worm, virus informatici, attacchi da parte di pirati informatici. Ovvero situazioni che inserendosi nel sistema operativo rendano accessibili i computer allesterno per via telematica. In questo caso occorre adottare sistemi di protezione come Antivirus e Firewall correttamente installati e configurati con politiche di sicurezza aggiornate regolarmente. Sistemi di backup e disaster recovery che garantiscano lintegrit dei dati programmando periodicamente il salvataggio dei dati, la custodia delle copie, le procedure di ripristino e cos via. Stesura di un documento programmatico sulla sicurezza, ovvero la stesura di un documento interno dove vengano descritte le politiche di sicurezza adottate e le modalit di auditing. Tecniche di cifratura per i dati sensibili/giudiziari; data la natura di questi dati (come specificato nellallegato B) non solo i locali dovranno essere protetti, ma anche il trasporto dei dati allesterno o per via telematica in formato elettronico dovr essere cifrato. Oggi questo si pu ottenere con lutilizzo ad esempio di IPSec, tecnologia presente in molti apparati firewall, per quello che riguarda il livello rete. Oppure cifrando i dati a livello di applicativo. Accertamenti e sanzioni Il decreto 196/2003 prevede inoltre la possibilit di effettuare delle ispezioni o verifiche nei luoghi ove si svolge il trattamento dei dati (Art. 158 Accertamenti). Il garante si avvarr ove necessario della collaborazione di altri organi dello stato. Rimangono invece praticamente inalterate le sanzioni gi previste nella precedente legge sulla privacy come ad esempio il richiamo allarticolo 2050 del codice civile, che prevede, in caso di danni causati a terzi per effetto del trattamento dei dati personali, la prova (a volte impossibile da esibire) che tutte le precauzioni necessarie ad evitare il danno erano state prese.

FIGURA 2 Il sito di Interlex raccoglie tutta la documentazione sul trattamento dei dati personali, inserendo anche una serie di articoli e commenti

La mancata osservanza pu portare allarresto sino a due anni e allammenda da diecimila a cinquantamila euro (Art. 169).

Si deve tutelare lintegrit e la riservatezza dei dati con misure di sicurezza fisiche, logiche e organizzative
Conclusioni Occorre porre attenzione ai dati che sono in nostro possesso cercando di inserire nel sistema informatico le misure di sicurezza idonee. In pi punti nel decreto legge si fa riferimento a misure di sicurezza aggiornate periodicamente ed al passo con le nuove tecnologie. Si ricorda ai tecnici che le misure di protezione hanno sempre una validit temporale e vanno pertanto continuamente aggiornate. Il mio consiglio, pertanto, quello di evitare soluzioni posticce che potrebbero soddisfare le esigenze attuali, ma risultare obsolete nel tempo richiedendo pertanto nuovi investimenti. Bibliografia e riferimenti [1] Manuale di Infosecurity Management L. de Grazia e D. Forte, ISBN: 88-900882-0-6 [2] Garante per la protezione dei dati personali www.garanteprivacy.it [3] AIPA www.cnipa.gov.it [4] INTERLEX www.interlex.it Note Biografiche
Nicola Sotira si occupa di progettazione e sicurezza delle reti presso la societ Exwai. Membro della Association for Computing Machinery lavora da diversi anni nel settore della sicurezza informatica, con particolare attenzione alle problematiche relate a firewall, VPN e controlli di accesso. Recentemente si sta occupando di controlli biometrici e smartcard.

24
Login Internet Expert n.45 Marzo/Aprile 2004