top space  top space  top space  top space  top space       Visualizza il sito in italiano Visualizza il sito in inglese

Osservatorio legislativo: tendenze e legislazione dell'information security

Dati personali: l'Importante e' partecipare


“L’importante non è vincere ma partecipare”, diceva il barone De Coubertin, noto pedagogo e storico francese.

 

Ma cosa collega questa citazione alla sicurezza delle informazioni ?

 

Il collegamento può essere spontaneo dopo le notizie pubblicate dai media tra fine 2012 e il primo semestre del 2013. Infatti, anche se privati del punto di vista specialistico (di chi opera nell’ambito della sicurezza dell’informazione, ndr), appare subito evidente come lo “sport internazionale” più in voga cui tutti vogliono partecipare, qui il riferimento a De Coubertin, è l’acquisizione ed il trattamento dei dati dei consumatori.

 

Abbiamo letto molte volte di Google, ma quanto riportato dai giornali può confondere poiché, riferendosi l’azienda ad un mercato transnazionale, si ha poi una certa difficoltà nel comprendere quali sono le informazioni degli utenti che questa utilizza, in quali modalità e in quali paesi, visto che poi la legislazione in materia di protezione dei dati personali differisce molto da paese a paese, in special modo per quelli cosiddetti emergenti.

 

Altrettanto numerosi sono stati poi gli articoli sul proliferare delle telecamere per la videosorveglianza, stimando in Italia la presenza di almeno un milione di dispositivi collocati in luoghi pubblici e privati. Ed è un numero abbastanza credibile e forse arrotondato per difetto, visto che la sola Londra dispone di più di quattro milioni di “occhi elettronici”.

 

Ciliegina sulla torta, di tarda primavera, notizia che ha destato un grande clamore, è la “scoperta” di Prism, programma di sorveglianza elettronica sviluppato dalla National Security Agency (NSA), reso operativo sin dal 2007, la cui presenza è stata resa pubblica dalle esternazioni di Edward Snowden, gola profonda “convertita” dell’agenzia centrale dell’intelligence americana.

 

E qui ci si ferma, risparmiando al lettore una miriade di altri esempi , perché onestamente ce ne sono tanti.

 

Quindi, che dire ?

 

In prima istanza bisogna subito riconoscere che gli sforzi dei Governi mondiali hanno come primo obiettivo quello di contrastare gli atti di natura terroristica e la commissione di reati perpetrati grazie e/o con strumenti informatici. Questa è sicuramente una necessità visto che la Rete è lo strumento di comunicazione ed operativo più utilizzato a livello globale. Sulla materia, infatti, anche il Governo italiano sta affrontando la situazione seriamente. Prova ne è il Decreto della Presidenza del Consiglio dei Ministri del 24 gennaio 2013 recante Indirizzi per la protezione cibernetica e la sicurezza informatica nazionale che con la Legge n. 133 del luglio 2012 pone in carico alla sicurezza nazionale e all’intelligence il ruolo di “controllore” della protezione informatica del Paese.

 

L’unico rischio, in questi casi di repressione preventiva dei reati, è di eccedere nella raccolta delle informazioni, coinvolgendo cittadini, purtroppo a volte anche strumentalmente, che non hanno alcuna propensione alla commissione di reati. Il problema è noto già dai tempi della guerra fredda.

 

Partendo quindi dal presupposto che in cambio della sicurezza nazionale dobbiamo accettare un compromesso tra anonimato e notorietà, negli altri casi, dove lo spirito di chi raccoglie e tratta i dati è di carattere commerciale, dove lo scopo è il lucro, i diritti degli individui sono garantiti ? Perché dobbiamo, a qualsiasi prezzo e in assenza di garanzie, essere tutti incasellati in precise categorie, con precisi gusti di consumo ?

 

Il Garante della Privacy sta compiendo notevoli sforzi per contrastare questa tendenza, ricercando l’applicazione dei principi di necessità e non eccedenza, accomunando il percorso dell’Italia con l’evoluzione legislativa della “neonata”  Nazione Europea, non senza alcune difficoltà.

 

Nonostante l'abrogazione di alcuni requisiti del Decreto Legislativo n. 196 del 2003 – Codice in materia di protezione dei dati personali (in particolare la tenuta di un aggiornato Documento Programmatico sulla Sicurezza e diversi punti dell’Allegato B, in materia di misure minime di sicurezza) attuata con il Decreto Legge n.5 del 9 febbraio 2012, Disposizioni urgenti in materia di semplificazione e di sviluppo, che ha tragicamente portato l’opinione pubblica a considerare inutili gli sforzi, soprattutto economici, sostenuti per la soddisfazione dei precedenti requisiti del Decreto, il Garante della Privacy continua con determinazione il proprio percorso.

 

La lungimiranza del Garante si fonda quindi anche sull’imminente promulgazione del Regolamento del Parlamento Europeo e del Consiglio – concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione dei dati,  che andrà in alcuni casi ad inasprire le regole di trattamento dei dati, quindi con una direzione contraria a quella del Legislatore italiano.

 

E ancora, Il Garante partecipa attivamente al Futuro della Privacy, come evidenziato dalla Conferenza annuale delle Autorità Garanti per la Privacy Europee (Lisbona, 16 e 17 maggio 2013), evento focalizzato all’identificazione ed all’approvazione delle condizioni di libero scambio di informazioni USA-Ue-Europol.

 

A Lisbona, le Autorità presenti hanno approvato tre diverse risoluzioni, qui riprese sintetizzando parte della Newsletter del Garante  n. 373 del 24 maggio 2013:

 

  • nella prima, le Autorità hanno raccomandato all’Europa ed al suo Consiglio di avvalersi di questa fase di revisione del quadro giuridico, per rafforzare e garantire i diritti individuali;
  • nella seconda, hanno promosso la creazione di uno spazio transatlantico di libero scambio dei dati;
  • la terza, è dedicata al nuovo quadro legale presentato dalla Commissione Europea che riforma funzionamento e competenze di Europol.

 

Nell’attesa quindi dell’effettività del Regolamento Europeo, il Garante continua a dimostrare perplessità sulle ultime scelte legislative, difendendo ad oltranza i diritti dell’individuo, coinvolgendo gli Ordini Nazionali più diversi, promuovendo sempre nuovi provvedimenti (come nel caso della recente disciplina sulla comunicazione della violazione dei dati personali, del 4 aprile 2013) al fine di ottenere una sempre maggiore regolazione delle attività di trattamento e la sensibilizzazione dell’opinione pubblica.

 

Nel frattempo, nelle nostre realtà, grandi o piccole che siano, quali sono alcune delle principali azioni di natura preventiva che possiamo mettere in atto, per garantire un accettabile livello di rischio nel trattamento dei dati che i nostri Clienti ci hanno affidato ?

 

  • in prima istanza, comprendere appieno le reali necessità dei processi di business per cui sono trattate le informazioni: spesso è sufficiente superare l’approccio del tipo “abbiamo sempre fatto così”. Ridurre al minimo i trattamenti, in particolare consistenti in conservazione e accesso all’informazione, ridurre drasticamente il rischio di trattamento non autorizzato o diffusione impropria dei dati. La valutazione degli impatti nel trattamento delle informazioni potrebbe far scaturire inoltre alcune domande, quale ad esempio: “E’ realmente necessario conservare i dati delle carte di pagamento dei Clienti ?”
  • analizzare il ciclo di vita dell’informazione: come questa si origina e si evolve, fino ad arrivare alla sua dismissione e distruzione;
  • valutare con attenzione la veicolazione di dati e informazioni all’esterno del perimetro aziendale, in particolar modo l’affidamento di questi a terzi;
  • integrare i modelli di gestione aziendali che hanno stretta relazione, al fine di consentire un maggiore controllo e minori oneri di mantenimento. Ad esempio, parlando di requisiti cogenti e standard di maggior adozione e diffusione (con stretta attinenza alle informazioni), i Decreti Legislativi 196/03, 231/01 e 81/08 hanno forti punti di sovrapposizione e possono armonizzarsi completamente con gli schemi UNI EN ISO 9001, ISO 14000, OHSAS 18001 e ISO IEC 27001. Includendo in questo elenco anche PCI DSS;
  • ultimo punto, ma non certo in ordine di importanza, sensibilizzare il personale circa la rilevanza del patrimonio informativo aziendale, spesso unico vero valore competitivo dell’azienda.

 

Per concludere, ricollegandoci alla citazione di De Coubertin, in questo caso l’importante non è partecipare, ma vincere la partita contro il trattamento illecito delle informazioni.

 

 

02/09/2013 - Angelo Chiarot, Security Advisory Team @ Mediaservice.net

 

 

Per approfondimenti:

http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/2462695

http://www.normattiva.it/uri-res/N2Ls?urn:nir:stato:decreto.legge:2012-02-09;5!vig

http://www.senato.it/leg/16/BGT/Schede_v3/ProcANL/ProcANLscheda24391.htm

http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/2522062

http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/2549317

http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/2528628

http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/2470702

http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/2388260