PRIVACY E MISURE DI SICUREZZA, ALLA LUCE DEL ... - La Tribuna

latribuna.corriere.it

PRIVACY E MISURE DI SICUREZZA, ALLA LUCE DEL ... - La Tribuna

meno accessibile in rete) ovvero operato a meri fini personalioppure con strumenti non elettronici o automatizzati.Sicuramente più rispondente all’attuale realtà informaticaè – poi – la nuova normativa che, a differenza della precedenteche prevedeva il solo meccanismo della password,introduce il concetto di sistema di autenticazione all’internodel quale sono ravvisabili misure tecniche più evolute comequelle biometriche di riconoscimento dell’impronta digitale,dell’iride ovvero dell’impronta vocale.È importante, inoltre, distinguere tra misure vecchie(previste dal D.P.R. 318/99) e misure nuove, soprattutto inrelazione alle rispettive (e diverse) scadenze di attuazione:a tale proposito, il carattere di novità deve essere valutatoanche in relazione al fatto che tale è la misura la cui adozioneè resa obbligatoria per un soggetto che in precedenzanon vi era tenuto.Quanto alle misure nuove, da segnalare sono quelle che,in materia di password hanno previsto l’introduzione di:lunghezza minima, obbligo della segretezza, divieto di utilizzareparole facilmente individuabili e ricollegabili al soggettoabilitato.Totalmente nuove sono le previsioni in tema di aggiornamentoperiodico dei programmi e frequenza del salvataggiodei dati.Particolare attenzione merita, poi, il Documento Programmaticosulla sicurezza (DPS), in relazione al quale lanovità deve essere valutata con riferimento ai soggetti obbligatia redigerlo e al suo contenuto.Anche nella valutazione del carattere delle novità dellemisure di sicurezza, un aspetto di complessità è dato dalfatto che le due normative avevano come riferimento, comedetto, scenari differenti: il D.P.R. 318/99 distingueva in funzionedi elaboratori non collegati in rete, elaboratori collegatiad una rete non connessa al servizio pubblico, elaboratoriconnessi a una rete di telecomunicazioni accessibili alpubblico. Invece il Codice distingue solo i trattamenti effettuaticon o senza strumenti elettronici.5. Le nuove misure di sicurezza, in particolare. – IlCodice ha apportato varie modifiche in relazione allemisure minime (10): il legislatore ha infatti aggiornatol’elenco, indicando le modalità di applicazione con riferimentoalle prescrizioni di ordine generale negli artt. 33-35,e indicando, invece, in maniera specifica le relative regolenell’Allegato B.Le misure minime sono diverse a seconda che il trattamentosia effettuato con strumenti elettronici (11) o meno,ovvero che riguardi dati sensibili o giudiziari.Con specifico riferimento alle scadenze per adottare lesingole misure, quelle che erano già in passato obbligatoriedevono essere adottate senza attendere il termine transitoriodi cui infra.Questo, individuato nel 30 giugno 2004, è previstodall’art. 180, comma 1 del Codice, e riguarda soltanto lenuove misure (12).Lo stesso articolo individua poi un diverso termine (1gennaio 2005), ma solo nel caso assolutamente particolaree specifico che ricorrano oggettive ragioni di carattere tecnicoe che l’interessato abbia descritto tali «obiettive ragionitecniche» in un documento munito di data certa.Dell’adozione delle misure di sicurezza deve essere offertaprova della data certa. Al proposito si deve fare riferimentoalla normativa civilistica in materia di prova documentale(13).Anche in caso di adozione di un particolare documentoavente data certa in materia di misure minime di sicurezza,non deve essere effettuata alcuna comunicazione al Garante;né può desumersi un assenso o un’autorizzazione aprocedere al trattamento con le modalità dichiarate, dal fattoche il Garante abbia ricevuto note in proposito, ed eventualmentenon abbia nemmeno risposto.6. Il Documento Programmatico sulla sicurezza (DPS).– Il Documento Programmatico sulla sicurezza è una misuradi sicurezza minima prevista dall’Allegato B del Codice.Non è una misura nuova (14), ma sono aumentati i soggettiche sono obbligati a redigerlo ed è parzialmente differenteil contenuto, anche con riferimento all’individuazione dellacategoria dei dati giudiziari.In base alla normativa previgente, vi era l’obbligo di predisporreed aggiornare, almeno annualmente il DPS in casodi trattamento di dati sensibili o relativi a determinati provvedimentigiudiziari effettuato mediante elaboratori accessibilimediante una rete di telecomunicazioni disponibili alpubblico (15).In base alle nuove norme, la misura de qua deve essereadottata dal titolare di trattamento di dati sensibili o giudiziarieffettuato con strumenti elettronici attraverso l’organo,ufficio o persona fisica a ciò legittimata.Il DPS, pertanto, a differenza che nel passato, deve essereadottato anche da soggetti che in passato non vi eranoobbligati, in quanto, ad esempio, trattavano dati sensibili ogiudiziari ma con elaboratori non accessibili mediante unarete di telecomunicazioni accessibile al pubblico.Quanto alle categorie di dati oggetto di trattamento rilevantiai fini dell’adozione del DPS, rimandiamo alle definizionidi «dato sensibile» e di «dato giudiziario», per apprezzarnela maggiore portata, soprattutto in relazione aquesti ultimi (16).Quanto al contenuto, occorre descrivere tra le altre cose,i criteri e le modalità per ripristinare la disponibilità dei datiin caso di danneggiamento o distruzione delle informazionio degli strumenti elettronici, la lista dei trattamenti, il pianodi formazione degli incaricati, le misure nell’eventualità dioutsourcing.Come detto, benché non si tratti di una misura strictusensu nuova, è ragionevolmente sostenibile che la relativaadozione (in fase di prima adozione, ovvero di aggiornamento)abbia come termine di riferimento il 30 giugno2004, anziché il 31 marzo (data che, invece, è prevista comescadenza naturale a partire dal 2005).Tale interpretazione è sostenuta, inoltre, anche da un pareredel 22 marzo 2004 «Obblighi di sicurezza e documentoprogrammatico: al 30 giugno la redazione del DPS» e da uncomunicato del Garante del 23 marzo 2004 «Obblighi di sicurezzae documento programmatico: al 30 giugno la redazionedel DPS», entrambi disponibili sul sito (www.garanteprivacy.it).Tale maggiore termine, infine, permetterà di utilizzare –quanto meno come punto di partenza, in quanto riteniamoimprescindibile in ogni caso il riferimento costante alla realtàdel caso concreto – il modello base semplificato che ilGarante sta predisponendo e che sarà a breve a disposizionesul sito.Infine, è necessario precisare che il DPS è una misura disicurezza consistente nella redazione di un documento e nonuna componente (hardware o software) da applicare alle apparecchiatureelettroniche.ARCHIVIO CIVILE 06/2004


7. Esame dettagliato delle norme in tema di misure disicurezza. – Le norme di carattere generale in tema dimisure di sicurezza sono contenute nel Titolo V - Sicurezzadei dati, Capo I - Misure di sicurezza (artt. 31-32), Capo II- Misure minime di sicurezza (artt. 33-36). In tema dimisure minime di sicurezza, si deve poi fare riferimentoall’Allegato B.7.1. Le disposizioni generali. – L’art. 31 individua unobbligo di carattere generale di controllo e di custodia deidati personali oggetto di trattamento in modo da ridurre alminimo i rischi di distruzione, perdita, anche accidentale deidati, ovvero accesso non autorizzato o trattamento non consentitoo non conforme alle modalità della raccolta. I suddettiobblighi devono avere come parametro di riferimentoil livello di conoscenza acquisito dallo stato della tecnica, lanatura dei dati e le specifiche caratteristiche del trattamento.Il modo per ridurre il rischio è individuato nell’adozionedi misure di sicurezza idonee e preventive – i.e. da adottareprima dell’inizio del trattamento –.Il problema, da risolvere, a nostro avviso, nel caso concreto,è valutare l’idoneità della misura adottanda in funzionedella sua capacità di ridurre il rischio a cui sono potenzialmenteesposti i dati personali oggetto di trattamento.L’art. 33 individua, all’interno del generale obbligo dicui all’art. 31 o di altre disposizioni specifiche, un ulterioreobbligo, di adottare le misure minime individuate nel CapoII del Titolo V: tali misure minime devono assicurare un livellominimo di protezione dei dati personali.In relazione alla correttezza dell’adozione delle misurede quibus si deve valutare la loro idoneità a garantire un livellominimo di sicurezza: è quindi necessario individuareil livello minimo di protezione considerato sufficiente asoddisfare la norma.Questa non può che essere condotta avendo come riferimento,ancora una volta a nostro avviso, la conoscenzadello stato della tecnica, della natura dei dati, delle caratteristichedel trattamento e dei costi di adozione.I soggetti individuati quali obbligati ad adottare le misureminime ai sensi dell’art. 33 – ma riteniamo anche adadottare le misure idonee ai sensi dell’art. 31 – sono i titolaridel trattamento.In relazione all’obbligo di adottare le misure minime, ilCodice distingue due differenti scenari, a seconda che iltrattamento sia effettuato con o senza strumenti elettronici.Qualora il trattamento sia effettuato con strumenti elettronici(ai sensi dell’art. 34) il trattamento è consentito soltantonel momento in cui sono adottate le seguenti misureminime, secondo le modalità previste dall’Allegato B:– autenticazione informatica;– adozione di procedure di gestione delle credenziali diautenticazione;– utilizzazione di un sistema di autorizzazione;– aggiornamento periodico dell’individuazione dell’ambitodel trattamento consentito ai singoli incaricati e addettialla gestione o alla manutenzione degli strumenti elettronici;– protezione degli strumenti elettronici e dei dati rispettoa trattamenti illeciti, ad accessi non consentiti e a determinatiprogrammi informatici;– adozione di procedure per la custodia di copie per lasicurezza, il ripristino della disponibilità dei dati e dei sistemi;– tenuta di un aggiornato documento programmaticosulla sicurezza.Più ridotto è, invece, l’elenco contenuto nell’art. 35, relativoalle misure di sicurezza minime da adottare in caso ditrattamento effettuato senza l’ausilio di strumenti elettronici.In tale situazione, il trattamento è consentito soltanto ovesiano adottate, sempre nelle modalità previste dal disciplinaretecnico contenuto nell’Allegato B), le seguenti misureminime:– aggiornamento periodico dell’individuazione dell’ambitodel trattamento consentito ai singoli incaricati o alleunità organizzative;– previsione di procedure per un’idonea custodia di attie documenti affidati agli incaricati per lo svolgimento deirelativi compiti;– previsione di procedure per la conservazione di determinatiatti in archivi ad accesso selezionato e disciplinadelle modalità di accesso finalizzata all’identificazione degliincaricati.7.2. L’Allegato B - Disciplinare tecnico in materia dimisure minime di sicurezza. – Il disciplinare ha come puntodi riferimento due scenari differenti: le disposizioni, infatti,sono diverse a seconda che il trattamento avvenga con osenza l’ausilio di strumenti elettronici.7.2.1. Trattamento con l’ausilio di strumenti elettronici.Nel caso di trattamento con l’ausilio di strumenti elettronici,è previsto che le misure tecniche siano adottate daltitolare, dal responsabile ovvero dall’incarico con particolarimodalità: È necessario adottare:– un sistema di autenticazione informatica (regole 1-11);– un sistema di autorizzazione (regole 12-14) (17);– le altre misure di sicurezza (regole 15-18);– il documento programmatico sulla sicurezza (regola19);– le altre misure di sicurezza in caso di trattamento didati sensibili o giudiziari (regole 20-24);– le misure di tutela e garanzia (regole 25-26).7.2.1.1. In tema di sistema di autenticazione informatica(18).Il trattamento di dati personali con strumenti elettronicipuò essere effettuato da parte degli incaricati solo se dotatidi credenziali di autenticazione (19) che consentano il superamentodi una procedura di autenticazione con riferimentoad uno specifico trattamento o ad un insieme di trattamenti.Le credenziali di autenticazione consistono in:– un codice di identificazione dell’incaricato, associatoad una parola chiave (20) riservata e conosciuta soltantodall’incaricato, oppure– un dispositivo di autenticazione in possesso e usoesclusivo dell’incaricato, eventualmente associato ad un codiceidentificativo o a una parola chiave, oppure– una caratteristica biometrica dell’incaricato, eventualmenteassociata ad un codice identificativo o a una parolachiave.Ad ogni incaricato può essere associato o assegnata individualmenteanche più di una credenziale per l’autenticazione.All’interno dell’atto formale in cui viene attribuita laqualifica di «incaricato», è necessario che sia espressamenteARCHIVIO CIVILE 06/2004


prescritto di adottare tutte le necessarie cautele per assicurarela segretezza della componente riservata della credenzialedi autenticazione, nonché la diligente custodia dei dispositiviin possesso ed uso esclusivo dell’incaricato.Sono previsti particolari requisiti in ordine all’identificazionedella parola chiave. Deve essere composta da almenootto caratteri, ovvero dal numero massimo consentitodallo strumento elettronico utilizzato, qualora questo non loconsenta. La password non deve, inoltre, contenere riferimentiagevolmente riconducibili all’incaricato; deve esseremodificata dall’incaricato al primo utilizzo e, successivamente,almeno ogni sei mesi. La periodicità nell’aggiornamentodella parola chiave è ridotta a tre mesi qualora si versinell’ipotesi di trattamento di dati sensibili o giudiziari.Nell’atto di attribuzione della qualifica di «incaricato»,inoltre, devono essere impartite specifiche istruzioni di nonlasciare incustodito lo strumento elettronico durante unasessione di trattamento.Se l’accesso ai dati e agli strumenti elettronici è consentitosoltanto attraverso l’uso della componente riservatadella credenziale per l’autenticazione, nell’atto di attribuzionedella qualifica di «interessato» sono impartite idoneee preventive disposizioni scritte che consentano di individuarechiaramente le modalità con le quali il titolare può assicurarela disponibilità dei dati o degli strumenti elettroniciin caso di prolungata assenza o impedimento dell’incaricatoche renda indispensabile e indifferibile l’intervento peresclusive necessità di operatività e di sicurezza del sistema.Si devono pertanto effettuare, tra l’altro, delle copie dellecredenziali: queste devono essere diligentemente custodite,soprattutto con riferimento alla segretezza, da parte di soggettipreventivamente individuati (e incaricati) con specificoatto scritto.Questi soggetti, in caso di intervento effettuato, ne devonodare tempestiva informazione all’incaricato (21).Lo stesso codice di identificazione ha carattere personaleunivoco, nel senso che non può essere assegnato a due diversiincaricati né contestualmente né in tempi diversi.Le credenziali di autenticazione devono anche essereutilizzate: qualora ciò non avvenga per un periodo superiorea sei mesi, le stesse devono essere disattivate, salva l’eccezionedi quelle che preventivamente sono state autorizzateper soli scopi di gestione tecnica.La disattivazione della credenziale deve avvenire, inoltre,in caso di perdita della qualità che consente all’incaricatol’accesso ai dati personali.Le disposizioni relative al sistema di autenticazione e diautorizzazione non si applicano ai trattamenti di dati personalidestinati alla diffusione (22).7.2.1.2. In tema di sistemi di autorizzazione. – Il sistemadi autorizzazione (23) deve essere utilizzato quando per gliincaricati sono individuati e configurati profili di autorizzazione(24) di diversa portata, in modo da limitarel’accesso ai soli dati necessari al trattamento.I profili di autorizzazione possono riguardare un incaricatoo classi omogenee di incaricati. Periodicamente, e comunquealmeno annualmente, deve essere verificata la sussistenzadelle condizioni per la conservazione deldeterminato profilo di autorizzazione.I profili sono individuati e configurati anteriormenteall’inizio del trattamento, in maniera tale da limitare l’accessoai soli dati necessari per effettuare le operazioni ditrattamento.7.2.1.3. In tema di altre misure di sicurezza. – Quali altremisure di sicurezza, vengono fornite particolari indicazioniin tema di modalità di aggiornamento.Per ogni trattamento è previsto l’aggiornamento, almenoannuale, della lista degli incaricati, degli addetti alla gestioneo alla manutenzione degli strumenti elettronici nelloro complesso.La lista può essere redatta anche per classi omogenee diincarico e dei relativi profili di accesso.I dati personali (rectius, i supporti e gli strumenti elettronicisui quali sono conservati) devono essere protetti controil rischio di intrusione e dall’azione dei programmi di cuiall’art. 615-quinquies c.p. (25), attraverso l’adozione di idoneistrumenti elettronici: questi devono essere aggiornati almenosemestralmente.L’installazione delle c.d. patch dei programmi per elaboratorevolti a prevenire la vulnerabilità degli strumentielettronici devono essere aggiornati con cadenza almeno semestrale.Devono essere impartite istruzioni organizzative e tecnicheche prevedano il salvataggio automatico dei dati concadenza almeno settimanale.7.2.1.4. In tema di Documento Programmatico per laSicurezza. – Questa misura di sicurezza deve essere adottata(secondo le tempistiche di cui supra), dal titolare, ancheattraverso il responsabile (ove designato) nel momento incui il trattamento abbia ad oggetto dati sensibili o dati giudiziari.Essa consiste nella redazione di un documento il cuicontenuto è individuato in:– elenco dei trattamenti di dati personali;– distribuzione dei compiti e delle responsabilitànell’ambito delle strutture preposte al trattamento dei dati;– analisi dei rischi che incombono sui dati;– misure da adottare per garantire l’integrità e la disponibilitàdei dati;– misure da adottare per garantire la protezione dellearee e dei locali rilevanti ai fini della custodia e dell’accessibilitàdegli stessi;– descrizione dei criteri e delle modalità per il ripristinodella disponibilità dei dati in seguito a distruzione o danneggiamento;– previsione e descrizione dell’attività formativa degliincaricati del trattamento (26); tale attività deve essere programmatain occasione dell’ingresso in servizio, in occasionedi cambiamenti di mansione o di introduzione dinuovi significativi strumenti, rilevanti rispetto al trattamentodi dati personali;– la descrizione dei criteri da adottare per garantirel’adozione delle misure minime di sicurezza in caso di trattamentidi dati personali affidati, in conformità con il Codice,all’esterno della struttura del titolare (27);– nel caso di dati personali idonei a rivelare lo stato disalute e la vita sessuale, l’individuazione, l’individuazionedei criteri da adottare per la cifratura o per la separazione ditali dati dagli altri dati personali dell’interessato.7.2.1.5. In tema di misure in caso di trattamento di datisensibili o giudiziari. – I dati sensibili o giudiziari sono protetticontro l’accesso abusivo di cui all’art. 615-ter c.p. (28)attraverso l’utilizzo di idonei strumenti elettronici.È necessario impartire istruzioni organizzative e tecnicheper la custodia e l’uso dei supporti rimovibili su cuisono memorizzati i dati ai fini di evitare accessi non auto-ARCHIVIO CIVILE 06/2004


izzati o trattamenti illeciti (floppy disk, CD, memorieesterne).I supporti rimovibili contenenti dati sensibili o giudiziaridevono essere distrutti o resi inutilizzabili nel momento incui non vengono più utilizzati. Altrimenti, possono essereutilizzati da altri incaricati, non autorizzati al trattamentodegli stessi dati, soltanto qualora le informazioni in essi precedentementecontenute non siano intelligibili e in alcunmodo tecnicamente ricostruibili.Devono essere poi adottate misure idonee per garantireil ripristino dell’accesso ai dati in caso di danneggiamentodegli stessi o degli strumenti elettronici, in tempi certi compatibilicon i diritti degli interessati e, comunque, non superiorea sette giorni.7.2.1.6. In tema di misure di tutela e garanzia. – Qualorail titolare adotti misure minime di sicurezza, avvalendosi disoggetti esterni alla propria struttura per provvedere all’esecuzione,è necessario che richieda e ottenga da questi ultimiuna descrizione scritta dell’intervento effettuato che ne certifichila conformità con le disposizioni del disciplinare tecnicodi cui all’Allegato B.7.2.2. Trattamenti senza ausilio di strumenti elettronici.– Nel caso in cui il trattamento avvenga con strumentidiversi da quelli elettronici, il titolare, il responsabile, ovedesignato, o l’incaricato devono adottare le seguenti misuretecniche:– agli incaricati sono impartite istruzioni scritte finalizzateal controllo e alla custodia, per l’intero ciclo necessarioallo svolgimento delle operazioni di trattamento, degli attie dei documenti contenenti dati personali;– con riferimento all’attività di individuazione dell’ambitodi trattamento consentito ai singoli incaricati – che deveessere aggiornata periodicamente con cadenza almeno annuale– la lista degli incaricati può essere redatta anche perclassi omogenee di incarico e dei relativi profili di autorizzazione;– qualora si tratti di atti e documenti contenenti dati sensibilio giudiziari affidati agli incaricati del trattamento perlo svolgimento dei relativi compiti, i medesimi atti e documentisono controllati e custoditi dagli incaricati sino allarestituzione in maniera tale che sia impedito l’accesso aglistessi da parte di persone prive di autorizzazione e siano restituiteal termine delle operazioni affidate;– in relazione all’accesso agli archivi contenenti datisensibili o giudiziari, è necessario che sia previsto un controllo.In particolare, le persone ammesse, a qualunque titolo,dopo l’orario di chiusura, devono essere espressamenteidentificate e registrate. Qualora gli archivi non sianodotati di strumenti elettronici per il controllo degli accessio di incaricati della vigilanza, le persone che vi accedonodevono essere preventivamente autorizzate.8. Ancora in tema di Documento Programmatico per laSicurezza: alcune considerazioni pratiche e operative (29).– La lettera della norma (art. 19 dell’Allegato B), imponeche la misura de qua debba essere adottata soltanto nel casoin cui oggetto di trattamento siano dati sensibili o giudiziari.A nostro avviso, anche a voler prescindere dalla facileconsiderazione che qualunque soggetto giuridico si avvalgadi prestazione di lavoro subordinato sarebbe tenuto alla redazionedel DPS per il sol fatto che il dipendente si può ammalaree, quindi, il titolare del trattamento dei dati del personaletratterebbe «dati sensibili», la stesura del DPS ha,anche se non esclusivamente, lo scopo di rispondere a precisenorme di organizzazione aziendale, e in tale ottica dovrebbeessere redatto.In base a tale considerazione, pertanto, sarebbe consigliabileredigere il DPS anche in caso di trattamento di daticomuni con strumenti elettronici: in tal caso potrebbe ritenersisoddisfatto l’ulteriore requisito delle misure idonee(non minime) che impediscono l’insorgere di una responsabilitàcivile del titolare ex art. 2050 c.c.Quanto alla redazione in concreto del DPS – fermo restandoquanto detto in relazione alla possibilità di fare riferimentoad un modello base predisposto dal Garante, nonchéalla necessità di avere in ogni caso come punto diriferimento costante ed imprescindibile il caso concreto – èpossibile individuare alcuni momenti operativi:– individuazione ed elencazione dei trattamenti di datipersonali effettuati all’interno della struttura;– individuazione della distribuzione di compiti e di responsabilitànell’ambito delle strutture preposte al trattamentodei dati;– analisi dei rischi che incombono su tali dati;– misure da adottare per garantire l’integrità dei dati e laprotezione delle aree/locali ove essi sono custoditi nonchél’accessibilità ai medesimi;– descrizione dei criteri e modalità di ripristino della disponibilitàdei dati distrutti o danneggiati;– previsione di momenti di formazione per gli incaricatial trattamento;– descrizione dei criteri da adottare per avere certezzadell’adozione delle misure minime nel caso di affidamentoall’esterno del trattamento dei dati;– individuazione dei criteri di cifratura e separazione deidati idonei a rilevare lo stato di salute e la vita sessuale daglialtri dati;– stesura del mansionario.8.1. Individuazione ed elencazione dei trattamenti didati personali effettuati all’interno della struttura. – Amero titolo esemplificativo (e riduttivo in relazione alle piùcomplesse realtà aziendali), potrebbe essere utile individuare– in tendenziale ordine crescente di pericolosità inordine alla tutela dei dati personali –:– i tipi di dati personali oggetto di trattamento, con specificoriferimento alla (eventuale) suddivisione per categorie;– gli strumenti che vengono utilizzati per il trattamento,con specifico riferimento alla (eventuale) suddivisione percategorie.Nella realtà concreta, i tipi di dati personali oggetto ditrattamento potranno essere:– i dati comuni del personale e dei clienti o di terzi ricavabilida fonti pubbliche (dati camerali, telefonici o di residenza,ricavabili da elenchi consultabili liberamente) (30);– i dati comuni del personale dipendente o dei collaboratori,dei fornitori e dei clienti o di terzi (per es.: partita iva,data di nascita, numero di cellulare, indirizzo e-mail; sitratta dei dati forniti previa informativa);– dati giudiziari del personale e dei fornitori;– i dati sensibili del personale.L’individuazione dell’elenco dei trattamenti riveste importanzafondamentale in tanto in quanto può comportaredecisioni differenti in ordine alla definizione e attuazionedelle singole misure di sicurezza, sulla base dell’analisi deiARCHIVIO CIVILE 06/2004


ischi specifici di ciascun trattamento: ad esempio si potrebbedecidere di trattare i dati sensibili con strumenti elettronicinon connessi ad una rete.La seconda valutazione da svolgere riguarda gli strumenticon i quali tali dati sono trattati. Anche in questo caso,in ordine di tendenziale crescente pericolosità per la tuteladei dati personali, gli strumenti de quibus potrebbero esserecosì di seguito individuati:– schedari chiusi;– archivi chiusi;– computer non in rete in locali protetti;– computer non in rete in locali non protetti;– computer in rete senza accesso ad Internet;– computer non in rete ma con accesso ad Internet;– computer in rete con accesso ad Internet;– computer portatile senza accesso ad Internet;– computer portatile con accesso ad Internet.Ai fini organizzativi, potrebbe essere utile predisporre etenere aggiornato un elenco di tutte le apparecchiature hardwaresoftware e di comunicazione, con riferimento specificoalle relative procedure di installazione, manutenzioneed aggiornamento, ai fini di avere sempre disponibile unaaggiornata indicazione del sistema.8.2. Analisi dei rischi. – L’analisi dei rischi è unmomento di particolare importanza all’interno dell’iter procedimentalevolto alla preparazione del DPS. È fondamentalesottolineare che tale valutazione deve essere rigorosamentecondotta con specifico riferimento alla situazioneconcreta e, in aggiunta, potrebbe essere anche utile – anchese non espressamente richiesto o necessario – ricorrereall’esperienza di competenze tecniche informatiche: ilpunto di partenza, in ogni caso, dovrebbe essere il «buonsenso ispirato alla prevedibilità del rischio nel caso concreto».In primis, dovranno valutarsi le minacce che gravano suisingoli trattamenti, con specifico riferimento alla natura deidati di cui sono oggetto, e al tipo di strumento che vengonoutilizzati (31). Regole di esperienza suggeriscono che i rischimaggiori possano essere individuati negli elaboratorinon in rete, connessi ad Internet, in particolare se portatili.Eseguita tale analisi, si è posti nelle condizioni di poterragionevolmente valutare ogni singola eventualità negativain relazione ad ogni singolo trattamento e, di conseguenza,di identificare il grado di rischio che è necessario coprire,arrivando, infine, all’identificazione e adozione di (eventuali)ulteriori misure di sicurezza non espressamente previsteex lege, ma utili nell’ottica di aumentare il grado diprotezione e sicurezza dei dati trattati.8.3. Individuazione dell’ambito di trattamento consentitoagli incaricati, il c.d. mansionario. – Ai fini di poterredigere il DPS è necessario aver provveduto all’individuazionedei soggetti «abilitati» al trattamento. Tali sono il titolare,il responsabile e gli incaricati.Con particolare riferimento agli incaricati, è necessarioindividuare i dati che sono autorizzati a trattare: questa individuazionedeve essere effettuata con un apposito documento(il c.d. «mansionario») (32), nel quale vengono identificati,per ogni singolo incaricato, le classi omogenee didati che questi sono autorizzati a trattare – con o senza l’ausiliodi elaboratori elettronici – nonché gli addetti alla gestioneed alla manutenzione degli strumenti elettronici e glieventuali terzi autorizzati ad accedere agli uffici. Tale mansionariodeve essere periodicamente aggiornato e verificatocon cadenza annuale.9. Bibliografia consigliata. – ACCIONI R. (A cura di), Ildiritto alla protezione dei dati personali. La disciplina sullaprivacy alla luce del nuovo Codice, Maggioli, 2004;ACCORDINO, Il D.P.R. 318/99: gli adempimenti necessariad assicurare la sicurezza nel trattamento dei dati, inwww.diritto.it, settembre 2003; BAFFIGO, Documento programmaticoentro il 31 marzo, in Guida al diritto, settembre2003; BAFFIGO, Sintesi del regolamento per le misureminime di sicurezza, legge 675/1996, in www.privacy.it, settembre2003; BERGHELLA F., Guida pratica alle nuovemisure di sicurezza per la privacy. La protezione dei datipersonali e le soluzioni organizzative nel nuovo Codicesulla privacy, Maggioli, 2003; BERLINGIERI, Strategieaziendali per una sicurezza idonea, in www.privacy.it,marzo 2002; BUTTARELLI, Banche dati e tutela della riservatezza.La privacy nella società dell’informazione, Giuffrè,1997; CALLAHAN, Tecniche biometriche e privacy: chefare?, in www.privacy.it, settembre 2003; CIRILLO, Ilsistema delle tutele nel codice di protezione dei dati personali,Padova, 2004; CIRILLO G.P. (A cura di), Il Codice sullaprotezione dei dati personali, Giuffrè, 2004; GELPI, Misureminime, qualche passo in avanti, in www.interlex.it, settembre2003; GIUSTOZZI, Dati al sicuro, non ci sono più scuse,in www.interlex.it, settembre 2003; IPERTI-BERLINGIERI,Misure di sicurezza: responsabilità civili e penali, inwww.privacy.it, novembre 2000; LEONE, Testo unico privacy:le nuove misure minime di sicurezza, in www.unonet.it,settembre 2003; PARDOLESI, Diritto alla riservatezzae circolazione dei dati personali, Giuffrè, 2003; PECORARO-STAGLIANO, I principi affermati dal Garante nei primi cinqueanni di attività. Massimario, Garante dei dati personali;RIEM, Privacy e sicurezza. Linee guida e formule per gliadempimenti previsti dalla legge 675/1996 e dal D.P.R.318/1999, Ed. Simone, 2002; SCALISI, Il diritto alla riservatezza,Giuffrè, 2002; SENATORE-MARTELLONI, La tuteladella privacy: le recenti determinazioni in materia di sicurezzanel trattamento dei dati personali, in Impresa c.i., n.4 del 30 aprile 2000; TRINETTA V., Sicurezza informativa inazienda. Strategie di prevenzione e tecniche di controllo,Ipsoa, 2003.(1) Ai sensi dell’art. 4, comma 1, lett. a), per «trattamento» siintende «qualunque operazione o complesso di operazioni, effettuatianche senza l’ausilio di strumenti elettronici concernenti laraccolta, la registrazione, l’organizzazione, la conservazione, laconsultazione, l’elaborazione, la modificazione, la selezione,l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, lacomunicazione, la diffusione, la cancellazione e la distruzione didati, anche se non registrati in una banca di dati».(2) Ai sensi dell’art. 4, comma 1, lett. f), per «titolare» si intende«la persona fisica, la persona giuridica, la pubblica amministrazionee qualsiasi altro ente, associazione od organismo cuicompetono, anche unitamente ad altro titolare, le decisioni in ordinealle finalità, alle modalità del trattamento di dati personali eagli strumenti utilizzati, ivi compreso il profilo della sicurezza».(3) Ai sensi dell’art. 4, comma 1, lett. g), per «responsabile» siintende «la persona fisica, la persona giuridica, la pubblica amministrazionee qualsiasi altro ente, associazione od organismo prepostidal titolare al trattamento di dati personali».(4) Ai sensi dell’art. 4, comma 1, lett. h), per «incaricati» si intendono«le persone fisiche autorizzate a compiere operazioni ditrattamento dal titolare o dal responsabile».ARCHIVIO CIVILE 06/2004


(5) Ai sensi dell’art. 4, comma 1, lett. b), per «dato personale»si intende «qualunque informazione relativa a persona fisica, personagiuridica, ente od associazione, identificati o identificabili,anche indirettamente, mediante riferimento a qualsiasi altra informazione,ivi compreso un numero di identificazione personale» eper «dati identificativi» si intendono «i dati personali che permettonol’identificazione diretta dell’interessato».(6) Ai sensi dell’art. 4, comma 1, lett. d), per «dati sensibili»si intendono «i dati personali idonei a rivelare l’origine razziale edetnica, le convinzioni religiose, filosofiche o di altro genere, le opinionipolitiche, l’adesione a partiti, sindacati, associazioni od organizzazionia carattere religioso, filosofico, politico o sindacale,nonché i dati personali idonei a rivelare lo stato di salute e la vitasessuale».(7) Ai sensi dell’art. 4, comma 1, lett. e), per «dati giudiziari»si intendono «i dati personali idonei a rivelare provvedimenti di cuiall’articolo 3, comma 1, lettere da a) a o) e da r) a u), del D.P.R.14 novembre 2002, n. 313, in materia di casellario giudiziale, dianagrafe delle sanzioni amministrative dipendenti da reato e dei relativicarichi pendenti, o la qualità di imputato o di indagato ai sensidegli articoli 60 e 61 del codice di procedura penale». Importante,ai fini delle considerazioni oggetto del presente articolo, èrilevare che è stata modificata e ampliata la definizione di «datogiudiziario» rispetto alla normativa previgente. Infatti, l’art. 24della L. 675/96 (nel Capo IV relativo al trattamento di dati particolari)stabiliva che «Il trattamento di dati personali idonei a rivelareprovvedimenti di cui all’art. 686, comma 1, lettera a) e d), 2e 3, del codice di procedura penale, è ammesso soltanto se autorizzatoda espressa disposizione di legge o provvedimento del Garanteche specifichino le rilevanti finalità di interesse pubblico deltrattamento, i tipi di dati trattati e le precise operazioni autorizzate».(8) L’art. 11 dispone: «1. I dati personali oggetto di trattamentosono: a) trattati in modo lecito e secondo correttezza; b) raccolti eregistrati per scopi determinati, espliciti e legittimi, ed utilizzati inaltre operazioni del trattamento in termini compatibili con tali scopi;c) esatti e, se necessario, aggiornati; d) pertinenti, completi enon eccedenti rispetto alle finalità per le quali sono raccolti o successivamentetrattati; e) conservati in una forma che consental’identificazione dell’interessato per un periodo di tempo non superiorea quello necessario agli scopi per i quali essi sono stati raccoltio successivamente trattati. 2. I dati personali trattati in violazionedella disciplina rilevante in materia di trattamento dei datipersonali non possono essere utilizzati».(9) L’art. 169 dispone: «1. Chiunque, essendovi tenuto, omettedi adottare le misure minime previste dall’articolo 33 è punito conl’arresto sino a due anni o con l’ammenda da diecimila euro a cinquantamilaeuro. 2. All’autore del reato, all’atto dell’accertamentoo, nei casi complessi, anche con successivo atto del Garante, è impartitauna prescrizione fissando un termine per la regolarizzazionenon eccedente il periodo di tempo tecnicamente necessario, prorogabilein caso di particolare complessità o per l’oggettiva difficoltàdell’adempimento e comunque non superiore a sei mesi. Neisessanta giorni successivi allo scadere del termine, se risultal’adempimento alla prescrizione, l’autore del reato è ammesso dalGarante a pagare una somma pari al quarto del massimo dell’ammendastabilita per la contravvenzione. L’adempimento e il pagamentoestinguono il reato. L’organo che impartisce la prescrizionee il pubblico ministero provvedono nei modi di cui agli articoli 21,22, 23 e 24 del decreto legislativo 19 dicembre 1994, n. 758, e successivemodificazioni, in quanto applicabili».(10) Ai sensi dell’art. 4, comma 3, lett. a), per «misure minime»si intendono «il complesso delle misure tecniche, informatiche,organizzative, logistiche e procedurali di sicurezza che configuranoil livello minimo di protezione richiesto in relazione airischi previsti nell’articolo 31».(11) Ai sensi dell’art. 4, comma 3, lett. b), per «strumenti elettronici»si intendono «gli elaboratori, i programmi per elaboratori,e qualunque dispositivo elettronico o comunque automatizzato concui si effettua il trattamento».(12) Il carattere della novità deve essere valutato nel senso giàevidenziato, anche con riferimento alle misure previste dal D.P.R.318/99. Per la precedente disciplina v. artt. 15, comma 2 e 41 L.675/96, D.P.R. 318/99 e L. 325/2000. L’art. 180 dispone: «1. Lemisure minime di sicurezza di cui agli articoli da 33 a 35 e all’allegatoB) che non erano previste dal decreto del Presidente dellaRepubblica 28 luglio 1999, n. 318, sono adottate entro il 30 giugno2004. 2. Il titolare che alla data di entrata in vigore del presente codicedispone di strumenti elettronici che, per obiettive ragioni tecniche,non consentono in tutto o in parte l’immediata applicazionedelle misure minime di cui all’articolo 34 e delle corrispondentimodalità tecniche di cui all’allegato B), descrive le medesime ragioniin un documento a data certa da conservare presso la propriastruttura. 3. Nel caso di cui al comma 2, il titolare adotta ogni possibilemisura di sicurezza in relazione agli strumenti elettronici detenutiin modo da evitare, anche sulla base di idonee misure organizzative,logistiche o procedurali, un incremento dei rischi di cuiall’articolo 31, adeguando i medesimi strumenti al più tardi entroun anno dall’entrata in vigore del codice».(13) Artt. 2702-2704 c.c. Vedi anche Parere del Garante per laProtezione dei dati personali 5 dicembre 2000 «Misure di sicurezza.Chiarimenti sulla data certa dell’atto previsto dall’art. 1 dellaL. 325/2000», reperibile sul sito del Garante (www.garanteprivacy.it).(14) Il D.P.R. 318/99, all’art. 6 «Documento programmaticosulla sicurezza», disponeva: «1. Nel caso di trattamento dei dati dicui agli articoli 22 e 24 della legge effettuato mediante gli elaboratoriindicati nell’art. 3, comma 1, lettera b), deve essere predispostoe aggiornato, con cadenza annuale, un documento programmaticosulla sicurezza dei dati per definire, sulla base dell’analisidei rischi, della distribuzione dei compiti e delle responsabilitànell’ambito delle strutture preposte al trattamento dei dati stessi: a)i criteri tecnici e organizzativi per la protezione delle aree e dei localiinteressati dalle misure di sicurezza nonché le procedure percontrollare l’accesso delle persone autorizzate ai locali medesimi;b) i criteri e le procedure per assicurare l’integrità dei dati; c) i criterie le procedure per la sicurezza delle trasmissioni dei dati, ivicompresi quelli per le restrizioni di accesso per via telematica; d)l’elaborazione di un piano di formazione per rendere edotti gli incaricatidel trattamento dei rischi individuati e dei modi per preveniredanni. 2. L’efficacia delle misure di sicurezza adottate aisensi del comma 1 deve essere oggetto di controlli periodici, daeseguirsi con cadenza almeno annuale». Vigente il D.P.R. 318/99,pertanto, l’obbligo incombeva in capo a chiunque trattasse datisensibili e giudiziari mediante elaboratori elettronici accessibili inrete pubblica: per tali, il Garante intendeva anche un singolo elaboratoreconnesso ad Internet o ad altri elaboratori mediante unmodem. Oggi, invece, stante la scomparsa della distinzione tra elaboratoriaccessibili ed elaboratori non accessibili in rete pubblica,l’obbligo de quo sussiste in capo a coloro che utilizzino elaboratori(sia singoli che connessi in rete) che effettuino operazioni di trattamentodi dati sensibili o giudiziari.(15) Artt. 22 e 24 L. 675/96 e 6 D.P.R. 318/99.(16) I dati latu sensu definibili come «giudiziari» venivano disciplinatidall’art. 24 della L. 675/96, in base al quale la nozionesi riferiva soltanto ai dati relativi ai provvedimenti di cui all’art.686 c.p.p., ed il trattamento era ammesso soltanto se autorizzatoespressamente da una disposizione di legge, ovvero da un provvedimentodel Garante che ne individuasse le rilevanti finalità di interessepubblico, i tipi di dati e le precise operazioni in cui si sarebbeconcretizzato il trattamento. (Vedi provvedimento delGarante 10 maggio 1999 «Autorizzazione al trattamento di dati acarattere giudiziario da parte di privati ed enti pubblici economici»e successive integrazioni con provvedimento del Garante in data 3giugno 1999 e 9 settembre 1999). I dati di cui all’art. 24 L. 675/96 erano poi soggetti a particolare disciplina in base agli artt. 7,comma 4 (in tema di contenuto della notificazione), 7, comma 5-ARCHIVIO CIVILE 06/2004


is, lett. a) e c) (in tema di notificazione semplificata), 7, comma5-ter, lett. a) (in tema di assenza di obbligo di notificazione del trattamentoal Garante), 28 (in tema di trasferimento di dati personaliall’estero); in relazione al D.P.R. 318/99, con riferimento ai trattamentidi dati personali effettuati mediante elaboratori accessibiliin rete, in base agli artt. 5 (in tema di accesso ai dati particolari),6 (in tema di documento programmatico sulla sicurezza), 7 (intema di reimpiego di supporti di memorizzazione); con riferimentoai trattamenti di dati personali effettuati per fini esclusivamentepersonali, in base all’art. 8 (in tema di parole chiave); con riferimentoai trattamenti effettuati con strumenti diversi da quelli elettronicio comunque autorizzati, in base agli artt. 9 (in tema di trattamentodi dati personali) e 10 (in tema di conservazione delladocumentazione relativa al trattamento). Ai sensi del Codice, invece,la nozione di «dato giudiziario» è molto più ampia, comprendendo«i dati personali idonei a rivelare provvedimenti di cuiall’articolo 3, comma 1, lettere da a) a o) e da r) a u), del D.P.R.14 novembre 2002, n. 313, in materia di casellario giudiziale, dianagrafe delle sanzioni amministrative dipendenti da reato e dei relativicarichi pendenti, o la qualità di imputato o di indagato ai sensidegli articoli 60 e 61 del codice di procedura penale». Si devepertanto tenere in considerazione l’aggiornamento a seguito delT.U. in materia di casellario giudiziale ed il riferimento alla qualitàdi imputato ed indagato, ma non quello alle violazioni amministrative,in attuazione di quanto previsto dall’art. 8, comma 5 delladirettiva 95/46/CE (che si riferisce ai trattamenti riguardanti infrazioni).In materia di dati giudiziari si deve poi segnalare l’autorizzazionegenerale n. 7 del 31 gennaio 2002 (in G.U. n. 83 del 9 aprile2002) la cui efficacia è stata prorogata fino al 30 giugno 2004(con provvedimento in G.U. n. 191 del 19 agosto 2003), in basealla quale diverse categorie di soggetti privati, associazioni e partiti,liberi professionisti, banche e assicurazioni, possono utilizzaredati personali giudiziari nel rispetto di precise prescrizioni senzaobbligo di presentare singolarmente un’apposita richiesta di autorizzazione.(17) Sistemi di autenticazione e sistemi di autorizzazione individuanodue operazioni diverse, non intercambiabili sul piano concettuale,né su quello tecnico, organizzativo operativo. L’autenticazioneè la fase in cui il sistema provvede ad un’identificazionecerta dell’utente, mediante un apposito sistema di riconoscimentoche lo identifica univocamente come utente noto al sistema. L’autorizzazioneè la fase in cui il sistema concede o meno all’utentegià precedentemente autenticato l’accesso a determinati dati o serviziin considerazione del possesso da parte del soggetto di determinati(e preventivamente stabiliti) requisiti.(18) Ai sensi dell’art. 4, comma 3, lett. c), per «autenticazioneinformatica» si intende «l’insieme degli strumenti elettronici e delleprocedure per la verifica anche indiretta dell’identità».(19) Ai sensi dell’art. 4, comma 3, lett. d), per «credenziali diautenticazione» si intendono «i dati ed i dispositivi, in possesso diuna persona, da questa conosciuti o ad essa univocamente correlati,utilizzati per l’autenticazione informatica».(20) Ai sensi dell’art. 4, comma 3, lett. e), per «parola chiave»si intende «componente di una credenziale di autenticazione associataad una persona ed a questa nota, costituita da una sequenzadi caratteri o altri dati in forma elettronica».(21) Il problema della temporanea assenza o dell’impedimentodell’incaricato e della necessità di accedere, in ogni caso, nell’immediato,ai dati per necessità di operatività e di sicurezza, si pone,ovviamente, anche nell’ipotesi in cui le credenziali di autenticazioneconsistano o richiedano l’utilizzo di dispositivi di autenticazione– quali, ad esempio, le smart card – o caratteristiche biometriche.L’esigenza di garantire l’accesso in tali particolari situazionipotrebbe essere risolta, adottando un’interpretazione estensiva dellanorma in funzione della ratio alla stessa sottesa, attraverso lapredisposizione di una copia della smart card – ove tecnicamentepossibile – ovvero da una super smart card: queste dovrebbero esserenella disponibilità esclusiva del titolare, che è posto al verticedella scala gerarchica dei soggetti legittimati al trattamento. Analogamentesi potrebbe prevedere che, in caso di adozione di unachiave biometrica dell’incaricato quale credenziale di autenticazioneal trattamento, questa sia affiancata da una chiave biometricadel titolare. Ovviamente non sarebbe necessario l’utilizzo contestuale,ma dovrebbe essere consentito soltanto l’utilizzo della secondain caso di impossibilità di utilizzare la prima, come nell’ipotesiin esame. Quanto all’ulteriore ipotesi che anche il titolare nonsia raggiungibile, e quindi che anche le sopra individuate soluzioninon possano essere adottate, si potrebbe prevedere che le eventualicopie delle password, o delle smart card siano depositate presso lasocietà, ovvero nella disponibilità di un responsabile ad hoc, in bustasigillata unita ad istruzioni per l’apertura della stessa; nell’ipotesidi adozione di chiavi biometriche, la soluzione per ovviare allatemporanea irreperibilità dell’incaricato e del titolare potrebbe essererisolta attraverso l’adozione anche di una credenziale di autenticazionedell’altro tipo che sarà depositata secondo le medesimeformalità.(22) Ai sensi dell’art. 4, comma 1, lett. m), per «diffusione»si intende: «il dare conoscenza dei dati personali a soggetti indeterminati,in qualunque forma, anche mediante la loro messa adisposizione o consultazione»; la diffusione deve essere distintadalla «comunicazione» che, ai sensi dell’art. 4, comma 1, lett. l)è «il dare conoscenza dei dati personali a uno o più soggetti determinatidiversi dall’interessato, dal rappresentante del titolarenel territorio dello Stato, dal responsabile e dagli incaricati, inqualunque forma, anche mediante la loro messa a disposizione oconsultazione».(23) Ai sensi dell’art. 4, comma 3, lett. g), per «sistema di autorizzazione»si intende «l’insieme degli strumenti e delle procedureche abilitano l’accesso ai dati e alle modalità di trattamentodegli stessi, in funzione del profilo di autorizzazione del richiedente».(24) Ai sensi dell’art. 4, comma 3, lett. f), per «profili di autorizzazione»si intende «l’insieme delle informazioni, univocamenteassociate ad una persona, che consente di individuare a quali datiessa può accadere, nonché i trattamenti ad essa consentiti».(25) L’art. 615-quinquies c.p. «Diffusione di programmi direttia danneggiare o interrompere un sistema informatico» dispone:«Chiunque diffonde, comunica o consegna un programma informaticoda lui stesso o da altri redatto, avente per scopo o per effettoil danneggiamento di un sistema informatico o telematico, dei datio dei programmi in esso contenuti o ad esso pertinenti, ovvero l’interruzione,totale o parziale, o l’alterazione del suo funzionamento,è punito con la reclusione sino a due anni e con la multa sino a lireventi milioni».(26) In particolare è necessario prevedere interventi tali da renderetali soggetti edotti dei rischi che incombono sui dati, delle misuredisponibili per prevenire eventi dannosi, dei profili della disciplinasulla protezione dei dati personali più rilevanti in rapportoalle relative attività, delle responsabilità che ne derivano, delle modalitàper aggiornarsi sulle misure minime adottate dal titolare.(27) Ipotesi di gestione di parte del trattamento in outsourcing.(28) Art. 615 ter c.p. «Accesso abusivo ad un sistema informaticoo telematico: “Chiunque abusivamente si introduce in un sistemainformatico o telematico protetto da misure di sicurezza ovverovi si mantiene contro la volontà espressa o tacita di chi ha ildiritto di escluderlo, è punito con la reclusione fino a tre anni(...)”».(29) Fonte e ispirazione di questo paragrafo è stato l’interventodell’avv. A. F. Rosa al convegno «Privacy e studi legali», del 27febbraio 2004, «Suggerimenti per la stesura del DPS da approntarsientro il 31 marzo 2004».(30) Il trattamento di tali dati non è soggetto a particolari pericoli,stante la loro natura pubblica e la detenzione legittima daparte di soggetti terzi.(31) Ad esempio, in relazione agli strumenti utilizzati, perquanto riguarda gli elaboratori elettronici, i rischi individuabilipossono essere: malfunzionamenti dovuti a guasti casuali o per cat-ARCHIVIO CIVILE 06/2004


tiva manutenzione, corto circuiti, allagamento, incendi, furti. Perquanto riguarda gli apparati di rete i rischi individuabili possonoessere: intercettazione e/o alterazione della trasmissione. Per quantoriguarda il software, i rischi individuabili possono essere: incompletaprogettazione, incorretta installazione (colposa o dolosa)tale da consentire ad utenti non autorizzati di accedere al sistemae di eseguire operazioni di trattamento – in quanto tali non consentite– o da permettere operazioni non autorizzate sul sistema odanneggiamenti al software, ovvero da consentire attacchi non distruttivima volti ad impedire l’accesso al sistema agli utenti autorizzati.Per quanto riguarda le documentazioni cartacee, i rischiindividuabili possono essere: distruzione o alterazione a seguito dieventi naturali, azioni accidentali o comportamenti intenzionali.Per quanto riguarda i supporti di memorizzazione, i rischi individuabilipossono essere: alterazione o danneggiamento in conseguenzadi eventi naturali, accidentali o di malintenzionati, deterioramentovariabile in funzione del trascorrere del tempo e dellamodalità di conservazione ovvero dell’utilizzo o di difetti originario sopravvenuti di costruzione.(32) Le fonti relative a tale documento possono essere individuatenell’art. 35 del Codice e nelle regole 15 e 27 del DisciplinareTecnico.ARCHIVIO CIVILE 06/2004

More magazines by this user
Similar magazines