di Aldo Monea. La gestione e il trattamento dei dati personali che le diverse amministrazioni pubbliche si scambiano, in passato richiedevano l’adozione di convezioni aperte tra quella erogatrice e quella fruitrice. L’articolo 58, comma 2, del Cad ha superato questo principio, imponendo il rispetto di standard di comunicazione e regole tecniche dell’Agid.
Nelle more che siano emanati, il Garante per la privacy prende l’iniziativa con un documento ad hoc: «Misure di sicurezza e modalità di scambio dei dati personali tra amministrazioni pubbliche» (Gazzetta Ufficiale del 4 agosto 2015 n. 179), riprendendo un proprio parere del 4 luglio 2013.
L’allegato 2 e le misure necessarie
Il provvedimento impone alle amministrazioni di comunicare al Garante (all’indirizzo: databreach.pa@pec.gpdp.it ) le violazioni dei dati personali nell’ambito delle banche dati, cioè di qualsiasi complesso organizzato di dati personali, ripartito in una o più unità dislocate in uno o più siti (articolo 4, comma 1, lettera p, del Codice) di cui sono titolari. La comunicazione deve essere effettuata entro 48 ore dalla conoscenza del fatto, compilando il modello predisposto e allegato al documento del Garante.Modalità d’accesso – Si prevedono due accessi, in via principale, uno attraverso il sito istituzionale dell’erogatore e l’altro in modalità di cooperazione applicativa. In via residuale, si può utilizzare la Pec o soluzioni di “Trasferimento di File” in modalità FTP “sicuro” o equivalente.
Presupposti per la comunicazione – Nonostante la modifica normativa, il Garante ripropone la “convenzione” (ovvero qualsivoglia atto bilaterale stipulato tra erogatore e fruitore per stabilire le condizioni e le modalità di accesso ai dati), affinché le amministrazioni stabiliscano garanzie a tutela del trattamento dei dati personali.
Verifiche preliminari a cura dell’erogatore – L’erogatore prima di stipulare ogni singola convenzione per l’accesso alle proprie banche dati in via telematica deve verificare vari profili (dalla base normativa che legittima il fruitore alla finalità istituzionale, dalla natura dei dati richiesti alla modalità telematica idonea per l’accesso alle banche dati).
Selezione dei dati – La selezione delle informazioni oggetto di accesso deve avvenire nel rispetto dei principi di pertinenza e non eccedenza. Le modalità di accesso alle banche dati devono essere configurate offrendo un livello minimo di accesso ai dati, salvo documentate esigenze del fruitore. Di regola, la risposta non può contenere un elenco di soggetti.
Elenco aggiornato e controlli annuali
L’erogatore deve avere informazioni complete e strutturate sui fruitori autorizzati e sulle modalità di accesso alle proprie banche dati. Deve verificare, ogni anno, l’attualità delle finalità per cui ha concesso l’accesso ai fruitori, inibendo gli accessi non conformi.
L’accesso deve essere effettuato da soggetti “qualificati” secondo le generali regole in materia di privacy.
Procedura di autenticazione e autorizzazione degli utenti
La convenzione deve contenere, a seconda dei casi, una procedura per il rilascio delle utenze e la gestione delle autorizzazioni degli utenti o l’individuazione di uno o più soggetti per l’amministrazione. Il responsabile della convenzione (fruitore) deve verificare, almeno annualmente, l’attribuzione di profili di autorizzazione e l’attualità delle utenze attive.
I web services devono essere integrati in applicativi che gestiscono procedure amministrative per finalità istituzionali della comunicazione delle informazioni. Gli accessi vanno consentiti unicamente alle sole informazioni pertinenti e non eccedenti rispetto alla finalità istituzionale perseguita dalla convenzione.
Al fruitore sono imposte anche vari compiti di garanzia, espressi nel documento, sui dati ricevuti.
Dati sensibili e giudiziari
L’erogatore individua modalità di trasferimento idonee ad assicurare la sicurezza dei collegamenti. I dati sulla salute sono trasferiti in modo cifrato.
Misure di sicurezza
Occorre rispettare le misure minime di sicurezza previste dagli articoli 33 in poi del Codice dell’amministrazione digitale e dell’allegato B. Inoltre, l’erogatore e il fruitore devono osservare minuziose misure sulle quali si rinvia alla lettura del documento.
Qui segnaliamo solo che gli accessi alle banche dati devono avvenire tramite postazioni di lavoro connesse alla rete Ip dell’ente autorizzato o con certificazione digitale che identifichi univocamente la postazione di lavoro, che i sistemi software, i programmi utilizzati e la protezione antivirus devono essere aggiornati sia sui server che sulle postazioni di lavoro e che vi sia una comunicazione reciproca tra fruitori e erogatori su incidenti al proprio sistema di autenticazione.
L’erogatore e il fruitore predispongono procedure di audit sugli accessi alle banche dati, da documentare, e prevedono verifica periodica, anche a campione, del rispetto dei presupposti stabiliti che autorizzano l’accesso.
L’erogatore, infine, deve valutare l’introduzione di eventuali ulteriori misure e accorgimenti per salvaguardare la sicurezza dei propri sistemi informativi, sia su tassative modalità di accesso alle banche dati, sia sulla gestione diretta da parte dell’erogatore dei profili di abilitazione.
Il Sole 24 Ore sanità – 17 settembre 2015