PRIVACY

Allegato B al Codice Privacy (parte 1): i sistemi di autenticazione informatica

Schermata-2015-04-10-alle-18.17.34
Scritto da Alberto Nicolai

In questo primo articolo sull’Allegato B al Codice della Privacy, altresì denominato “Disciplinare tecnico in materia di misure minime di sicurezza” (di cui agli artt. 33-36 del D.lgs. 196/2003) vedremo assieme cosa prevedono le prime 11 Regole in tema di “Trattamenti con strumenti elettronici”, e nello specifico le regole previste per il sistema di autenticazione informatica.

allegato B - autenticazione

Premessa

Partiamo con una brevissima ma fondamentale considerazione: la mancata adozione delle misure minime di sicurezza (come abbiamo già visto) può comportare non solo sanzioni amministrative di ingente entità, ma anche responsabilità e sanzioni di tipo penale! (arresto fino a due anni ex art. 169 Codice Privacy).

Pertanto, le regole contenute nell’Allegato B al Codice della Privacy, spesso ignorate o relegate a banali norme di rango secondario, sono di assoluta importanza, e meritano tutta la nostra attenzione.

Lo schema esplicato

Nello schema si può notare come il trattamento dei dati personali con strumenti elettronici, effettuato esclusivamente dagli incaricati designati dal Titolare o dal Responsabile ex art. 30, debba avvenire tramite il meccanismo della cd. autenticazione: in sostanza, un procedimento analogo a quello che facciamo quotidianamente quando ci logghiamo a Facebook, a Twitter, a Gmail, etc.

Infatti, ogni Incaricato al trattamento dei dati personali deve essere dotato di credenziali proprie (e riservate) di autenticazione. Nello specifico esse possono essere:

  1. Un codice identificativo (non è necessario che sia segreto) associato ad una password (segreta).
  2. Un dispositivo di autenticazione detenuto e usato esclusivamente dal singolo incaricato (es. tessera magnetica, tessera NFC, Smart-Card, etc.) associato ad un’eventuale e facoltativa password o codice identificativo.
  3. Tecniche di autenticazione biometrica (es. impronte digitali, iride dell’occhio, etc.) associate ad un’eventuale e facoltativa password o codice identificativo.

Per quanto riguarda la password, l’allegato B specifica alcuni requisiti della stessa (in blu nello schema):

  • almeno 8 caratteri, ovvero il massimo consentito dallo strumento elettronico se inferiore a 8.
  • non deve contenere riferimenti agevolmente riconducibili all’incaricato (no, la vostra data di nascita o il nome del vostro cane NON sono password a norma!)
  • deve essere subito modificata dall’Incaricato al primo utilizzo, e successivamente con cadenza semestrale (ovvero ogni 3 mesi qualora il trattamento riguardi dati sensibili e/o giudiziari).

L’allegato B specifica poi alcuni importanti requisiti delle credenziali di autenticazione (in arancione nello schema):

  • il codice identificativo, una volta assegnato ad un Incaricato, non potrà più essere riassegnato ad altri soggetti, nemmeno in epoca successiva: è un codice, potremmo dire, “usa e getta”.
  • le credenziali non utilizzate da almeno 6 mesi devono essere disattivate (a meno che non siano siano state preventivamente autorizzate quali credenziali per soli scopi di gestione tecnica, che prevedono pertanto periodi di inattività anche più lunghi del semestre).
  • le credenziali devono essere disattivate anche quando l’Incaricato che le utilizzi perda le qualità che gli consentono di utilizzarle per trattare i dati personali (es. promozione ad incarico differente, demansionamento, licenziamento, sostituzione, etc.)

Per finire, l’Allegato B sottolinea più volte la necessaria riservatezza delle componente segreta delle credenziali affidate all’Incaricato, che deve essere istruito dal Titolare o dal Responsabile circa le necessarie cautele per curare tali codici, e per non lasciare incustodito o accessibile a terzi lo strumento elettronico utilizzato per il trattamento dei dati.

NB! Nessuno, nemmeno il Titolare del trattamento, può
accedere allo strumento elettronico affidato all’Incaricato utilizzando la credenziale di autenticazione dello stesso.

Tuttavia, in caso di prolungata assenza o impedimento dell’Incaricato, che renda indispensabile e indifferibile intervenire per esclusive necessità di operatività e di sicurezza del sistema, si rende necessario impartire idonee e preventive disposizioni scritte agli Incaricati perché (in rosa nello schema):

  • predispongano idonea copia della password (es. password scritta in busta chiusa e sigillata)
  • nominino un custode della password, al quale viene consegnata la copia della password.

I custodi, qualora si verifichino le condizioni di necessità e urgenza di cui abbiamo detto, avviseranno prontamente l’Incaricato dell’intervento da effettuare sul suo terminale, utilizzando la parola chiave custodita.

Nel prossimo articolo (Parte 2) si parlerà dei “Sistemi di autorizzazione” (regole 12-14 Allegato B).

Info sull'Autore

Alberto Nicolai

Avvocato. Appassionato di informatica dai tempi del 286 con MS-Dos e Windows 3.1, mi occupo prevalentemente di Diritto Informatico, ICT, Privacy e Website Legal Compliance. Il mio sito personale è albertonicolai.it

Leggi articolo precedente:
Foto di  
Spencer E Holtaway, Flickr
Ancora sul diritto all’oblio: la modifica dello “Snippet”

Sfondo Podcast dirittiweb
Dirittiweb #04 – Spyware di Stato e riservatezza dei dati. Il precario equilibrio tra tutela della persona ed esigenze investigative

Foto di  Widjaya Ivan, Flickr
Il furto dell’identità personale nella sua più lata accezione: il fenomeno digitale del “Phishing”

Chiudi