Le nuove misure di sicurezza disposte dal Garante privacy per le banche dati pubbliche
Garantire l’esattezza, l’integrità e la disponibilità dei dati personali contenuti nelle banche dati delle amministrazioni pubbliche e contrastare i rischi di accesso non autorizzato o di trattamento non consentito. Con questo obiettivo il Garante per la protezione dei dati personali ha emanato le nuove disposizioni sulle misure di sicurezza da adottare per le banche dati pubbliche e sulle modalità relative allo scambio dai dati personali tra amministrazioni contenute nel provvedimento del 2 luglio 2015. Nell’ambito della collaborazione con lo Studio legale Lisi, Sarah Ungaro ci illustra questo provvedimento, che si inserisce nella prospettiva delle riformulate disposizioni dell’art. 58, comma 2, del Codice dell’amministrazione digitale.
29 Luglio 2015
Con il provvedimento del 2 luglio 2015, il Garante per la protezione dei dati personali ha emanato le nuove disposizioni sulle misure di sicurezza da adottare per le banche dati pubbliche e sulle modalità relative allo scambio dai dati personali tra amministrazioni.
Proprio riguardo allo scambio dei dati, questo Provvedimento dell’Autorità Garante si inserisce nella prospettiva delle riformulate disposizioni dell’art. 58, comma 2, del Codice dell’amministrazione digitale (D.lgs. 82/2005)[1], che ora impongono alle amministrazioni pubbliche di comunicare tra loro attraverso la messa a disposizione – a titolo gratuito – degli accessi alle proprie basi di dati, mediante la cooperazione applicativa (disciplinata all’art. 72 dello stesso CAD)[2].
In effetti, in attesa che l’Agenzia per l’Italia Digitale (AgID) definisca gli standard di comunicazione e le regole tecniche[3] a cui le amministrazioni pubbliche saranno tenute a conformarsi per rendere disponibili gli accessi alle altre PA, il Garante per la protezione dei dati personali ha ritenuto opportuno ribadire le misure tecniche e organizzative da adottare – in conformità a quanto già espresso nel precedente parere del 4 luglio 2013[4] e nei suoi Allegati[5] – per ridurre al minimo i rischi di accessi non autorizzati o di trattamenti non consentiti o non conformi alla finalità di raccolta dei dati personali, alla natura degli stessi e alle specifiche caratteristiche del trattamento.
Gli adempimenti introdotti
Gli adempimenti introdotti dal Garante risultano di estremo rilievo, finalizzati soprattutto a garantire l’esattezza, l’integrità e la disponibilità dei dati personali contenuti nelle banche dati delle amministrazioni pubbliche e a contrastare i rischi di accesso non autorizzato o di trattamento non consentito.
Da segnalare è soprattutto l’introduzione dell’obbligo, per le amministrazioni pubbliche[6], di comunicare alla stessa Autorità Garante, entro 48 ore dalla conoscenza del fatto, tutte le violazioni dei dati o gli incidenti informatici che possano avere un impatto significativo sui dati personali detenuti nelle banche dati delle stesse (c.d. data breach), da effettuare nelle modalità e nelle forme descritte nell’Allegato 1 del provvedimento[7].
Nello specifico, le misure di sicurezza necessarie, dettate dal Garante nell’Allegato 2 del provvedimento del 2 luglio, devono essere adottate dalle amministrazioni pubbliche sia quando si predispongano accessi via web, sia in modalità di cooperazione applicativa, al fine di garantire l’integrazione dei metadati, delle informazioni e dei procedimenti amministrativi[8].
Cosa deve fare la PA
Per assicurare la correttezza del trattamento e ridurre i rischi nell’utilizzo dei dati personali presenti nelle banche dati dell’amministrazione pubblica c.d. erogatrice, occorre che la stessa proceda a:
a) effettuare una verifica preliminare circa: la base normativa che legittima l’amministrazione pubblica c.d. fruitrice ad accedere alle proprie banche dati; la finalità istituzionale perseguita dalla stessa (ad esempio, di controllo sulle dichiarazioni sostitutive); la natura, la qualità dei dati richiesti (selezionando accuratamente i dati personali contenuti nelle banche dati a cui si intende dare accesso) e la modalità telematica di accesso più idonea alle banche dati, anche in base alle caratteristiche infrastrutturali e organizzative del fruitore;
b) selezionare i dati, affinché l’accesso risulti non eccedente rispetto alla finalità istituzionale perseguita, predisponendo diversi livelli di accesso (anche limitando i risultati delle interrogazioni a valori di tipo booleano, ad es. vero/falso relativamente a un dato oggetto di autocertificazione);
c) aggiornare l’elenco dei fruitori autorizzati, delle modalità di accesso alle proprie banche dati, nonché dei formati di dati disponibili ai fruitori esterni, riportando le informazioni oggetto di verifica preliminare;
d) controllare annualmente che le finalità per cui ha concesso l’accesso ai fruitori siano attuali, anche con riferimento al numero di utenze attive.
Inoltre, con specifico riferimento ai soggetti incaricati del trattamento, l’Autorità Garante ha posto in evidenza che per effetto della comunicazione dei dati personali, gli enti fruitori divengono titolari del trattamento dei dati oggetto di comunicazione da parte delle amministrazioni erogatrici (le quali, come peraltro espressamente disposto dal comma 1 dell’art. 58 del CAD, rimangono comunque titolari del dato [9]).
Designare gli incaricati e i responsabili del trattamento
Pertanto le stesse PA fruitrici devono procedere alla designazione degli incaricati e degli eventuali responsabili del trattamento, ai sensi degli artt. 29 e 30 del Codice privacy, garantendo che l’accesso ai dati oggetto di comunicazione sia consentito esclusivamente a detti soggetti espressamente designati, i quali dovranno ricevere dal titolare (fruitore) precise e dettagliate istruzioni sul trattamento dei dati personali (richiamando l’attenzione sulle responsabilità derivanti dall’uso illegittimo dei dati, nonché sul corretto utilizzo delle funzionalità dei collegamenti).
In tal senso, nel provvedimento l’Autorità stabilisce che l’ente fruitore garantisca che l’accesso ai dati sia consentito esclusivamente al personale dipendente dell’amministrazione o a soggetti a esso assimilati, o comunque a soggetti designati responsabili o incaricati dalla stessa amministrazione pubblica.
In particolare, qualora gli enti fruitori intendano avvalersi di un’altra PA o di un soggetto terzo per realizzare servizi di interscambio, sarà necessario designare tale PA o il soggetto terzo delegato come responsabile del trattamento (o, se persona fisica, anche incaricato), dandone comunicazione alla pubblica amministrazione che eroga l’accesso alla propria banca dati.
Procedura di autenticazione
Per la procedura di autenticazione e autorizzazione degli utenti – sia qualora questa venga effettuata tramite accesso web, sia mediante cooperazione applicativa – il Garante per la protezione dei dati personali prescrive poi che siano attribuite credenziali individuali, che si proceda ad apposite verifiche delle utenze, che siano predisposte precise policy di sicurezza dei sistemi informativi e che venga individuato un soggetto apicale (anche coadiuvato da un responsabile tecnico) preposto alla gestione dei profili di accesso e delle credenziali di autenticazione.
Tra le misure di sicurezza specificamente individuate dal Garante, vi è l’obbligo – per l’amministrazione che fruisce della banca dati – di fornire alla PA erogatrice, contestualmente a ogni transizione effettuata, il codice identificativo del singolo utente che ha posto in essere l’operazione di accesso, al fine di consentire l’adeguato tracciamento delle operazioni compiute sui dati personali.
Per quanto attiene alla correttezza del trattamento posto in essere dalle amministrazioni pubbliche che fruiscono degli accessi alle banche dati di altre PA, l’Autorità stabilisce che gli enti fruitori garantiscano che non si verifichino divulgazioni, comunicazioni, cessioni a terzi né riproduzioni dei dati, stabilendo le condizioni per escludere il rischio di duplicazioni delle basi di dati.
Inoltre, in relazione al trattamento di dati sensibili e giudiziari, si sottolinea che, qualora risulti indispensabile l’accesso agli stessi, questi dovranno essere opportunamente cifrati (ai sensi dell’art. 22, comma 6, del Codice privacy, di cui al D.lgs. n. 196/2003) e laddove si tratti di dati idonei a rivelare lo stato di salute, anche il relativo trasferimento dovrà essere cifrato.
Altre misure di sicurezza
Sempre con specifico riferimento alle misure di sicurezza prescritte dal Garante, oltre a garantire il rispetto di quelle minime previste dall’artt. 33 e ss. del Codice privacy e dal relativo Allegato B, le amministrazioni pubbliche che erogano o fruiscono dei servizi di accesso alle banche dati devono assicurare che:
a) gli accessi alle banche dati avvengano soltanto tramite l’uso di postazioni di lavoro connesse alla rete Ip dell’ente autorizzato o dotate di certificazione digitale che identifichi univocamente la postazione di lavoro nei confronti dell’erogatore, anche attraverso procedure di accreditamento che consentano di definire reti di accesso sicure (circuiti privati virtuali);
b) laddove l’accesso alla banca dati dell’erogatore avvenga in forma di web application esposta su rete pubblica (Internet), l’applicazione sia realizzata con protocolli di sicurezza, provvedendo ad asseverare l’identità digitale dei server erogatori dei servizi tramite l’utilizzo di certificati digitali conformi alla norma tecnica ISO/IEC 9594-8:2014, emessi da una Certification Authority e riconosciuti dai più diffusi browser e sistemi operativi;
c) le procedure di registrazione avvengano con il riconoscimento diretto e l’identificazione certa dell’utente;
d) le regole di gestione delle credenziali di autenticazione prevedano, in ogni caso:
- l’identificazione univoca di una persona fisica;
- processi di emissione e distribuzione delle credenziali agli utenti in maniera sicura, seguendo una procedura operativa prestabilita, o di accettazione di forme di autenticazione forte quali quelle che prevedono l’uso di one time password o di certificati di autenticazione (CNS o analoghi);
- che le credenziali siano costituite da un dispositivo in possesso e uso esclusivo dell’incaricato provvisto di pin o una coppia username/password, ovvero da credenziali che garantiscano analoghe condizioni di robustezza;
e) nel caso le credenziali siano costituite da una coppia username/password, siano adottate le seguenti politiche di gestione delle password:
- la password, comunicata direttamente al singolo incaricato separatamente rispetto al codice per l’identificazione (user id), sia modificata dallo stesso al primo utilizzo e, successivamente, almeno ogni tre mesi e le ultime tre password non possano essere riutilizzate;
- le password rispondano a requisiti di complessità (almeno otto caratteri, uso di caratteri alfanumerici, lettere maiuscole e minuscole, caratteri estesi);
- quando l’utente si allontana dal terminale, la sessione venga bloccata, anche attraverso eventuali meccanismi di time-out;
- le credenziali venganobloccate a fronte di reiterati tentativi falliti di autenticazione;
f) devono essere sempre presenti misure di protezione perimetrali logico-fisiche, quali ad esempio firewall e reti private virtuali (VPN);
g) i sistemi software, i programmi utilizzati e la protezione antivirus devono essere costantemente aggiornati, sia sui server che sulle postazioni di lavoro;
h) le misure di sicurezza devono periodicamente essere riconsiderate e adeguate ai progressi tecnici e all’evoluzione dei rischi;
i) la procedura di autenticazione dell’utente deve essere protetta, da meccanismi crittografici di robustezza adeguata, dal rischio di intercettazione delle credenziali;
j) siano introdotti meccanismi volti a permettere il controllo degli accessi, al fine di garantire che avvengano nell’ambito di intervalli temporali o di data predeterminati, eventualmente definiti sulla base delle esigenze d’ufficio;
k) in caso di accessi via web deve essere di regola esclusa la possibilità di effettuare accessi contemporanei con le medesime credenziali da postazioni diverse;
l) anche al fine di ottemperare all’obbligo di comunicare al Garante entro 48 ore i casi di data breach, entrambi si impegnano a comunicare tempestivamente:
- incidenti sulla sicurezza occorsi al proprio sistema di autenticazione qualora tali incidenti abbiano impatto direttamente o indirettamente nei processi di sicurezza afferenti alla fruibilità di dati oggetto di convenzione;
- ogni eventuale esigenza di aggiornamento di stato degli utenti gestiti (nuovi inserimenti, disabilitazioni, cancellazioni) in caso di consultazione on line;
- ogni modificazione tecnica o organizzativa del proprio dominio, che comporti l’impossibilità di garantire l’applicazione delle regolesopra riportate o la loro perdita di efficacia;
m) tutte le operazioni di trattamento di dati personali effettuate dagli utenti autorizzati, ivi comprese le utenze di tipo applicativo e sistemistico, devono essere adeguatamente tracciate. Al tal fine:
- il fruitore deve fornire all’erogatore, contestualmente a ogni transazione effettuata, il codice identificativo dell’utenza che ha posto in essere l’operazione;
- il suddetto codice identificativo, anche nel caso in cui l’accesso avvenga attraverso sistemi di cooperazione applicativa, deve essere comunque riferito univocamente al singolo utente incaricato del trattamento che ha dato origine alla transazione;
- il fruitore, laddove vengano utilizzate utenze codificate (prive di elementi che rendano l’incaricato del trattamento direttamente identificabile), deve in ogni caso garantire anche all’erogatore la possibilità, su richiesta, di identificare l’utente nei casi in cui ciò si renda necessario[10].
Da ultimo, il Garante per la protezione dei dati personali prescrive alle amministrazioni pubbliche che erogano o fruiscono l’accesso alle banche dati di predisporre idonee procedure di audit sugli accessi, monitorando i meccanismi di alert che individuino comportamenti anomali o a rischio, provvedendo anche alla documentazione dei relativi esiti.
In conclusione, è possibile rilevare una sempre maggiore attenzione del Garante all’adozione delle misure di sicurezza da parte delle amministrazioni pubbliche e degli enti che trattano i dati dei cittadini. In tal senso, nella perdurante mancanza delle Regole tecniche sulla sicurezza, l’esattezza, la disponibilità, l’accessibilità, l’integrità e la riservatezza dei dati, dei sistemi e delle infrastrutture delle amministrazioni pubbliche, previste dall’art. 51 del CAD, il Garante per la protezione dei dati personali continua a richiamare l’attenzione del legislatore su queste tematiche, spesso svolgendo anche il ruolo di “supplente”.
In effetti, recenti esempi sono – oltre al provvedimento in commento – il provvedimento del 4 luglio 2015 sul dossier sanitario elettronico (che contempla allo stesso modo l’obbligo di comunicare al Garante il verificarsi di rischi di data breach[11] e l’allegato schema di comunicazione) e il parere del 23 aprile 2015 su uno schema di regolamento recante le procedure necessarie a consentire ai gestori dell’identità digitale, tramite l’utilizzo di altri sistemi di identificazione informatica conformi ai requisiti dello SPID, il rilascio dell’identità digitale, in cui il Garante – pur pronunciando parere formalmente favorevole – ha espresso forti rilievi sulle misure di sicurezza previste per l’infrastruttura SPID.
*Avvocato Sarah Ungaro – Digital&Law Department (Studio Legale Lisi) www.studiolegalelisi.it
Note
[1] Disposizioni modificate dall’art. 24-quinquies, comma 1, del D.L. n. 90/2014, conv. con modificazioni, dalla Legge n. 114/2014.
[2] In precedenza, l’art. 58 del CAD prevedeva che lo scambio di dati tra amministrazioni pubbliche dovesse essere regolato mediante la predisposizione di apposite convenzioni aperte all’adesione di tutte le amministrazioni interessate, volte a disciplinare le modalità di accesso ai dati delle stesse amministrazioni procedenti.
[3] Che sarebbero dovute essere definite entro 90 giorni dall’entrata in vigore delle nuove disposizioni.
[4] Provvedimento recante le Linee guida per la stesura delle convenzioni previste dalla precedente formulazione dell’art. 58 del CAD.
[5] Peraltro, lo stesso Garante chiarisce nel provvedimento del 2 luglio 2015 che le convenzioni già predisposte dalle amministrazioni nel rispetto del parere del 4 luglio 2013 possono essere ritenute conformi alle misure “necessarie” individuate nell’Allegato 2 del provvedimento in commento. Diversamente, laddove siano state previste modalità di accesso ai dati personali secondo le modalità di accesso diretto previste dalla nuova formulazione del comma 2 dell’art. 58 del CAD, non conformi alle misure già individuate dal Garante nel provvedimento del 4 luglio 2013, le misure previste nell’Allegato 2 del provvedimento del 2 luglio 2015 dovranno essere adottate dalle amministrazioni interessate entro il 31 dicembre 2015.
[6] Di cui all’art. 1, comma 2, del D.Lgs. n. 165/2001.
[7] La comunicazione all’Autorità Garante, infatti, deve essere redatta secondo l’impostazione della comunicazione di cui all’Allegato 1 e inviata tramite email semplice o pec all’indirizzo databreach.pa@pec.gpdp.it.
[8] La scelta di modalità alternative – pec (per periodicità limitate di acquisizione e quantità contenuta dei dati) o trasferimento di file in modalità FTP con canale di trasmissione cifrato – dovrà essere adeguatamente motivata e documentata.
[9] Ai sensi dell’art. 58, comma 1, del CAD, “il trasferimento di un dato da un sistema informativo ad un altro non modifica la titolarità del dato”.
[10] Inoltre, l’amministrazione pubblica che eroga il servizio di accesso alle proprie banche dati dovrà valutare l’introduzione di eventuali ulteriori misure e accorgimenti a tutela della sicurezza dei propri sistemi informativi, che in particolare possono riguardare:
– l’individuazione di tassative modalità di accesso alle banche dati;
– la gestione diretta da parte dell’erogatore dei profili di abilitazione, con la conoscenza dei dati identificativi dei soggetti autorizzati all’accesso alla banca dati per la realizzazione delle finalità istituzionali dichiarate nella convenzione;
– l’utilizzo di strumenti di strong authentication per l’autenticazione informatica di particolari categorie di utenti; in caso di accessi via web o applicazioni software;
– nella prima schermata successiva al collegamento con la banca dati, siano visualizzabili le informazioni riguardanti l’ultima sessione effettuata con le stesse credenziali (almeno con l’indicazione di data, ora e indirizzo di rete da cui è stata effettuata la precedente connessione);
– le informazioni di cui al punto precedente devono essere riportate anche relativamente alla sessione corrente;
– la verifica di accessi anomali attraverso strumenti di business intelligence per monitorare gli accessi attraverso i log relativi a tutti gli attuali e futuri applicativi utilizzati da parte dei fruitori, ovvero attraverso specifiche procedure di audit dell’erogatore presso il fruitore.
[11] Obbligo finora imposto dall’art. 32-bis del Codice privacy solo per fornitori di servizi di comunicazione elettronica accessibili al pubblico, peraltro anticipando quanto dovrebbe essere disposto dal Regolamento europeo di prossima emanazione.