Il trattamento dei dati personali e il DPS

Premessa: cos'è il DPS

Il "Documento programmatico per la sicurezza" (DPS), è uno dei documenti in grado di attestare l’adeguamento della struttura [il PAS, ndr] alla normativa sulla tutela dei dati personali.
Il DPS è un manuale di pianificazione delle misure di sicurezza che il titolare del trattamento ed il responsabile del trattamento adottano in azienda per garantire un livello minimo di protezione dei dati personali.
Il DPS descrive come si tutelano i dati personali di dipendenti, collaboratori, clienti, utenti, fornitori ecc. in ogni fase e ad ogni livello (fisico, logico, organizzativo) e come si tuteleranno in futuro (programmazione, implementazione misure, verifiche, analisi dei risultati ecc.).
In ogni caso si tratta di un consistente piano di gestione della sicurezza, disponibilità ed integrità dei dati. (estratto dal DPS, rev. 00 del 4/11/2011)

Il trattamento dei dati personali è regolamentato dal Regolamento (Ue) 2016/679 e modificazioni successive; il testo completo si può trovare sul sito del garante della privacy.

Il DPS è emanato dal titolare del trattamento dati, che non è il CeSIT. Il CeSIT è soltanto uno degli enti coinvolti e, in particolare, sia chiaro che:

  • Il CeSIT non fa “trattamento” dei dati personali, eccettuata la sola custodia di dati in formato digitale.
  • Il CeSIT non rilascia credenziali che consentono l’accesso ad aree di dati personali, tuttavia può assegnare permessi di accesso al personale autorizzato, ma soltanto su richiesta di un responsabile al trattamento (decano, prefetto, o superiore). È questo responsabile (e non il CeSIT) che deve assicurare che l’incaricato sia munito di regolare lettera di incarico.

Si ricordi che è in grave errore chi pensa che la legge riguardi solo l’informatica: qualunque tipo di raccolta dati, anche su carta, è soggetto agli obblighi di legge.

Le misure adottate dal CeSIT

Particolarmente in riferimento all'art 32, il CeSIT ha già da tempo una struttura che permette l'adozione di misure per il trattamento elettronico, che viene citata anche nel DPS, a pag. 14, ove si dice che “per … tutti i settori che utilizzano il CeSIT per la custodia dei dati… [ecc.]”.

Tuttavia non ci si può permettere di giocare a scaricabarile: l'adesione o è completa o non è; perciò chi non usa la struttura, o la usa solo parzialmente, deve garantire personalmente al titolare l’aderenza agli obblighi di legge.

Condizioni indispensabili per delegare al CeSIT la custodia dei dati sono: (1) che il PC appartenga al dominio UNISAL, e (2) che l’utente NON sia amministratore del computer.

È anche bene sapere che chi aderisce al disciplinare del CeSIT non lavora sul suo computer, ma su un suo profilo personale: i dati aziendali devono rimanere assolutamente separati. Una persona che debba eventualmente sostituire un incaricato non deve essere autorizzato ad entrare nel profilo di colui che ha sostituito.

Il trattamento di dati personali con strumenti elettronici è consentito agli incaricati dotati di credenziali di autenticazione che consentano il superamento di una procedura di autenticazione relativa a uno specifico trattamento o a un insieme di trattamenti. L'accesso anonimo (non autenticato) non è consentito.
Le credenziali di autenticazione (account) consistono in un codice per l'identificazione dell'incaricato, associato a una parola chiave riservata conosciuta solamente dal medesimo. La password è segreta, scelta dall'utente al primo accesso.
Ad ogni incaricato è assegnato un solo account, che è valido per tutti i servizi gestiti dal CeSIT.
La password non deve essere comunicata a nessun altro, nemmeno al titolare.
La parola chiave è composta da almeno otto caratteri ed è modificata dall'utente al primo utilizzo. Il periodo di validità varia secondo il gruppo di appartenenza
Il codice per l'identificazione (nome utente), non può essere assegnato ad altri incaricati, neppure in tempi diversi.
Le credenziali di autenticazione non utilizzate da almeno sei mesi sono disattivate, salvo quelle preventivamente autorizzate per soli scopi di gestione tecnica. L'account è valido fino a quando è attiva la tessera universitaria.
Le credenziali sono disattivate anche in caso di perdita della qualità che consente all'incaricato l'accesso ai dati personali. Perché sia così, è necessario che il responsabile avvisi tempestivamente il CeSIT.
Sono impartite istruzioni agli incaricati per non lasciare incustodito e accessibile lo strumento elettronico durante una sessione di trattamento.
È escluso che un incaricato sia autorizzato ad accedere utilizzando le credenziali di un altro. In caso di assenza o impedimento si assegnano permessi e ruoli al supplente, dotato di credenziali personali proprie.
Ogni utente appartiene ad uno o più gruppi di protezione, che corrispondono a diversi profili di autorizzazione.
I profili di autorizzazione, per ciascun incaricato o per classi omogenee di incaricati, sono individuati e configurati anteriormente all'inizio del trattamento, in modo da limitare l'accesso ai soli dati necessari per effettuare le operazioni di trattamento.
Periodicamente, e comunque almeno annualmente, è verificata la sussistenza delle condizioni per la conservazione dei profili di autorizzazione.
I dati personali sono protetti contro il rischio di intrusione e dell'azione di programmi di cui all'art. 615-quinquies del codice penale. Ogni PC è dotato di antivirus e di firewall. L'antivirus è centralizzato e aggiornato almeno una volta al giorno.
Esiste anche un sistema articolato e ridondante di firewalls perimetrali
Gli aggiornamenti periodici dei programmi per elaboratore volti a prevenire la vulnerabilità di strumenti elettronici e a correggerne difetti sono effettuati almeno annualmente. Gli aggiornamenti del SO su tutte le macchine sono automatici
I dati salvati nel profilo personale risiedono su server ridondati, dei quali si effettua backup più volte al giorno.
Al fine di evitare accessi non autorizzati e trattamenti non consentiti è sconsigliato l'uso di supporti rimovibili per il trasporto dei dati.
I supporti rimovibili guasti o dismessi, se consegnati al CeSIT, vengono resi inservibili (distrutti) prima dello smaltimento.
Sono adottate idonee misure per garantire il ripristino dell'accesso ai dati in caso di danneggiamento degli stessi o degli strumenti elettronici, in tempi certi compatibili con i diritti degli interessati e non superiori a sette giorni