I saggi su InterLex

Privacy: le raffiche di fine anno

InterLex n° 383, 20 gennaio 2009

No, non sto pensando al vento ed al maltempo che pure, durante le ultime settimane del concluso 2008, hanno infierito sul nostro Paese. Mi riferisco invece alla gragnuola di importanti provvedimenti che il Garante ha prodotto in fine d'anno e che oltretutto, per effetto forse del caso o magari delle oscure forze del male che sembrano spesso sovraintendere le questioni legate alla privacy, sono passate inosservate ai più in quanto finite in Gazzetta Ufficiale a ridosso o addirittura proprio nel bel mezzo delle festività invernali.

Mi riferisco in particolare al provvedimento del 13 ottobre 2008 (pubblicato in G.U. n. 287 del 9 dicembre 2008) relativo a "Rifiuti di apparecchiature elettriche ed elettroniche (Raee) e misure di sicurezza dei dati personali", al provvedimento del 27 novembre 2008 (pubblicato nella medesima G.U. n. 287 del 9 dicembre 2008) relativo a "Semplificazione delle misure di sicurezza contenute nel disciplinare tecnico di cui all'Allegato B) al Codice in materia di protezione dei dati personali" ed al provvedimento sempre del 27 novembre 2008 (pubblicato però in G.U. n. 300 del 24 dicembre 2008) relativo a "Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema".

Si tratta di tre provvedimenti importanti non solo per le evidenti implicazioni di natura giuridica, e quindi già ampiamente commentate in quanto tali su queste colonne, ma anche se non soprattutto per le questioni di natura tecnica che affrontano. Tutti i lettori di InterLex sanno molto bene quanto spesso e con quale profondità di rapporti l'esercizio e la tutela della privacy si intersechino con le tecnologie dell'informazione, viste talvolta come alleate e talaltra come avversarie; e quanto il Garante sia sensibile (a volte perfino troppo…) ai rischi cui le tecnologie informatiche, laddove vengano usate con scarsa attenzione e consapevolezza, possono potenzialmente esporre i dati personali oggetto di tutela da parte della legge.

È dunque piuttosto importante analizzare proprio sul piano tecnico-informatico questi recenti provvedimenti, i quali introducono non banali innovazioni nel corpus normativo che regola la gestione informatica dei dati personali, per capire in ultima analisi cosa occorre fare (o non fare) in pratica per mettersi (o rimanere) in regola con quanto richiesto dalla legge. La quale, va detto, appare sempre più attenta e stringente anche su questioni che fino a qualche anno fa sarebbero apparse del tutto estranee alla maggior parte degli operatori del diritto.

La gestione della spazzatura elettronica

Il mondo di oggi, nel bene e nel male, funziona grazie alle tecnologie ICT: tant'è che la nostra società contemporanea è stata definita, e non a torto, "società dell'informazione". L'informazione digitale, tuttavia, si comporta spesso come le particelle della fisica quantistica: è cioč in grado di assumere talvolta aspetti e comportamenti elusivi e contraddittori, che sorprendono e sfidano il senso comune.

Ad esempio siamo tutti più o meno orientati a pensare che i dati digitali siano estremamente fragili e volatili, e che il rischio di "perderli" in seguito a guasti hardware o errate manovre sia elevatissimo. Chi non ha mai tremato davanti all'eventualità che il proprio disco fisso non partisse più, o che la chiavetta USB di salvataggio si cancellasse accidentalmente? E chi non ha mai cancellato per errore un file (o una partizione…) rimanendo pietrificato di fronte all'improvvisa ed ineluttabile assenza di tutti quei dati che solo un attimo prima erano lì?

Tuttavia La legge di Murphy, che come noto regola l'universo più della Gravitazione di Newton e della Relatività di Einstein, ci dice che la probabilità di perdere accidentalmente dei dati è inversamente proporzionale alla necessità che abbiamo di conservare i dati stessi: ossia è massima per dati di cui vogliamo assolutamente garantire la sopravvivenza e minima per quelli che non ci interessa mantenere, i quali continueranno quindi a occupare inutilmente i nostri hard disk anche se non ci interessano. Al limite estremo la probabilità sarà nulla per dati di cui vogliamo espressamente disfarci: col risultato che, contrariamente ad ogni nostra aspettativa, questi ultimi rimarranno in circolazione molto più a lungo di quanto ci aspetteremmo o desidereremmo. Con buona pace della presunta vulnerabilità dei dati digitali e fragilità dei supporti magnetici.

Scherzi a parte, la cronaca di questi ultimi anni si è occupata sempre più spesso di quegli incidenti, più o meno gravi ma sempre piuttosto clamorosi, dovuti a dati casualmente recuperati da oggetti elettronici e supporti magnetici reperiti sul mercato dell'usato o del surplus, quali vecchi cellulari, PC dismessi dalle aziende, hard disk usati e così via. In tutti i casi del genere il proprietario originale dell'oggetto se ne è disfatto senza prima averlo adeguatamente "cancellato", e così i dati che esso conteneva sono improvvisamente riemersi nella disponibilità del nuovo proprietario con effetti più o meno imbarazzanti a seconda della situazione. Pochi mesi fa, ad esempio, i giornali di tutto il mondo hanno riportato la storia di quel cittadino britannico che, avendo acquistato su e-Bay per 44 Euro un server aziendale usato, ha rinvenuto sul relativo hard disk perfettamente integri i dati personali (tra cui numeri di conto corrente, firme, numeri di cellulare) di più di un milione di clienti dell'American Express, della Banca Reale di Scozia e della sua controllata Natwest.

Non parliamo poi del rischio costituito dal furto dei computer, specialmente di quelli portatili, o dal loro smarrimento. Basti dire che, ad esempio, il Ministero della difesa britannico ha recentemente affermato di aver "smarrito" negli ultimi quattro anni circa 750 laptop e oltre 120 fra hard disk rimovibili e "chiavi" USB ad alta capacità: e non è difficile immaginare che almeno una parte di questo parco macchine disperso potesse al proprio interno contenere informazioni di servizio e dati personali di una certa rilevanza, che probabilmente si trovano ancora perfettamente intatti presso qualche mercato dell'usato in attesa di essere acquistati da qualche ignaro compratore.

Alla luce di queste considerazioni il nostro Garante per la privacy ha quindi emesso un provvedimento avente duplice scopo: da un lato informare il pubblico, ossia sensibilizzare l'opinione generale su tutta una serie di problemi e rischi dei quali probabilmente pochi erano a conoscenza prima; e dall'altro dettare una serie di norme di "buon comportamento" che aziende e privati sono tenuti a rispettare quando debbano dismettere un computer, per evitare che i dati personali in esso eventualmente contenuti possano rimanere intelligibili e quindi essere conosciuti ed utilizzabili dal futuro proprietario del bene.

Una misura preventiva consigliata dal Garante consiste nell'utilizzo di sistemi crittografici che rendano intrinsecamente inintelligibile un file o un intero file system a chi non è a conoscenza della chiave di cifratura utilizzata. In questo modo si minimizza il rischio che, a seguito del furto del computer, le informazioni in esso contenute possano essere illegittimamente trattate o diffuse (in questo modo si elimina anche alla Polizia la possibilità di indagare sul computer in questione, il che per talune classi di utilizzatori potrebbe anche costituire un utile effetto collaterale…).

Ma l'attenzione del Garante si sofferma soprattutto sulle misure tese a eliminare i dati da un supporto in via di dismissione, consigliando l'uso di quelle che solitamente vengono definite tecniche di "cancellazione sicura". Quando un moderno computer "cancella" un file, quest'ultimo non viene in realtà eliminato veramente dal sistema: esso rimane in realtà dov'è, almeno sino a che lo spazio da esso utilizzato (il quale viene semplicemente marcato come "disponibile" ma non fisicamente cancellato) non viene effettivamente riutilizzato per scrivervi altri dati; e così è quasi sempre possibile recuperarlo, ad esempio mediante le molte utility facilmente disponibili a tale scopo. Un sistema di cancellazione sicura applica invece una reale riscrittura sullo spazio utilizzato da un file o da un intero file system, rendendone il recupero impossibile. In un documento allegato al provvedimento il Garante addirittura illustra meticolosamente l'uso di uno di questi sistemi di cancellazione sicura (si tratta di DBAN, utility di pubblico dominio molto conosciuta), spiegando come e perché andrebbe usata.

In ultima analisi il provvedimento appare pieno di buon senso e merita di essere letto ed applicato da tutti. Nulla di nuovo, per carità: gli addetti ai lavori, specie quelli un po' paranoici, probabilmente già adottano abitualmente le opportune precauzioni; e le aziende certificate ISO 27001 sono addirittura obbligate a dotarsi di norme e procedure per la cancellazione sicura di sistemi e supporti avviati a dismissione. Ma la maggior parte delle aziende e dei professionisti probabilmente non avrà mai avuto modo di confrontarsi con queste tematiche, che invece saranno sempre più importanti in futuro. Ben venga dunque l'operazione del Garante, nella speranza che possa contribuire ad accrescere almeno un po' la troppo scarsa cultura della sicurezza delle informazioni che risiede nel nostro Paese.

Le semplificazioni tecniche per le misure minime

Forse per compensare un po' la meritoria operazione culturale compiuta con il precedente provvedimento, il Garante ha contestualmente provveduto ad emanare un provvedimento semplificativo che riduce notevolmente l'efficacia delle "misure minime" di sicurezza per talune categorie di soggetti titolari di trattamenti. Lo scopo era quello di alleviare la pressione tecnologica sui titolari "meno attrezzati" (artigiani, piccole aziende), ma la mia impressione è che in questo caso si sia voluto semplificare un po' troppo.

Al di là della difficoltà di stabilire chi di fatto possa godere di tale regime semplificativo, le nuove misure minime prevedono ora che il titolare possa impartire le istruzioni agli incaricati anche oralmente, che come sistema di autenticazione vada bene qualsiasi meccanismo basato su userid e password, che l'antivirus vada aggiornato una volta l'anno e il backup fatto una volta al mese. Anche il DPS può essere sostanzialmente semplificato.

Ora, sicuramente l'intendimento del Garante era buono: considerando che la maggior causa delle inadempienze nell'applicazione delle misure minime da parte dei "piccoli operatori" veniva individuata proprio nella presunta impossibilità di adottare rigorose misure tecniche, la loro attenuazione è stata evidentemente vista come incentivo alla messa in regola da parte di queste categorie. Tuttavia non si fa un buon servizio alle esigenze di crescita culturale della popolazione affermando che è sufficiente aggiornare un antivirus (o applicare le patch di sicurezza al sistema operativo) una volta all'anno; e addirittura ogni due anni se il computer non è connesso a reti di comunicazione pubbliche. Passi per il backup ogni mese, ma l'antivirus va aggiornato tassativamente tutte le volte che il produttore emette gli aggiornamenti, il che oramai significa anche due o tre volte al giorno…

E poi mi domando: se il titolare può impartire disposizioni in merito alla sicurezza anche solo oralmente, come farà in caso di eventuali contestazioni a dimostrare di averlo fatto? Ma costa davvero troppo in termini di sforzo intellettuale scrivere un documentino di una pagina con le procedure da seguire? E siamo sicuri che è solo per l'incapacità di sostenere questo sforzo che la maggior parte delle piccole aziende e degli studi professionali non è ancora in regola con la privacy?…

Il ritorno dell'amministratore di sistema

E veniamo infine brevemente all'ultimo provvedimento, quello che… resuscita la mitica figura dell'amministratore di sistema già presente nella prima legge sulla privacy e palesemente assente, sino ad oggi, da quella vigente.

L'amministratore è, come tutti sappiamo, il signore e padrone dei computer aziendali: a lui è infatti concesso svolgere quelle operazioni di gestione, controllo e manutenzione sui sistemi che ai comuni mortali solitamente non sono permesse in quanto richiedono grande esperienza e specifiche conoscenze tecniche. Un amministratore, per poter svolgere le sue funzioni, è solitamente immune alle limitazioni imposte agli utenti: ad esempio può accedere ai dati di tutti gli utenti, installare o disinstallare programmi, copiare e cancellare archivi, e così via. In passato l'amministratore veniva definito superuser, il che la dice lunga sui suoi… superpoteri. In conseguenza di tali necessarie ma pericolose prerogative, la precedente legge sulla privacy giustamente riconosceva all'amministratore di sistema un ruolo speciale di grande responsabilità, del quale egli non deve abusare (la stessa cosa ad esempio è prevista dal codice penale laddove si tratta di reati informatici). Tale ruolo, non presente nella formulazione originale del D. Lgs. 196, viene ora in esso reintrodotto dall'ultimo dei tre provvedimenti di cui ci stiamo occupando.

Si tratta come si vede di un ripensamento tardivo, pensato per correggere una visibile stortura della legge ma che, per il modo in cui è formulato, finirà forse per complicare più del necessario la vita a coloro che dovranno attuarlo. Allo scopo di responsabilizzare al massimo gli amministratori di sistema, e sensibilizzare i titolari sulla necessità di controllarne le azioni, il Garante ha infatti dettato una serie di requisiti tecnici di difficile ed onerosa adozione, stabilendo oltretutto un termine di soli quattro mesi per la loro introduzione in esercizio. Non si tratta di un compito semplice, e temiamo che non saranno molte le aziende in grado di mettersi compiutamente in regola nei modi e nei tempi previsti.

Uno dei problemi maggiori è quello del controllo dell'attività dell'amministratore di sistema. Già per definizione tale attività è difficilmente controllabile, nel senso di "rilevabile e registrabile", proprio per via delle prerogative stesse della figura di amministratore: non tutte le azioni che un amministratore fa vengono infatti registrate dal sistema, anche perché molte di esse avvengono di necessità per vie non usuali (ad esempio l'accesso ad una base di dati senza passare dalle funzionalità applicative). Ma il Garante non chiede solo di tracciare tutti gli accessi logici ai sistemi ed agli archivi, cosa che spesso non è tecnicamente possibile: per di più vuole anche che le relative registrazioni abbiano caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo di verifica per cui sono richieste. Ciò di fatto significa che i log dell'attività dell'amministratore, ammesso che siano generati dal sistema con la necessaria granularità, non possono essere memorizzati sul sistema stesso dove sta operando l'amministratore ma debbono essere immediatamente inviati ad un server esterno che li marchi temporalmente, li firmi digitalmente e li archivi in modo inalterabile. Cosa che ovviamente si può fare, ma è certamente molto onerosa sia in termini di impegno realizzativo che soprattutto di costo, e soprattutto in quelle realtà ove vi sono decine o centinaia di server sottoposti ad amministrazione. In realtà del genere è facile presumere che non si possa ragionevolmente mettere in piedi una simile infrastruttura in soli quattro mesi, e comunque che il farlo possa comportare spese non indifferenti da parte dell'azienda per prodotti ed infrastrutture.

In questo caso dunque il Garante è stato forse un po' troppo precipitoso, imponendo con urgenza misure tecniche ed organizzative di difficile attuazione. Sarebbe stato meglio fornire tempi più lunghi, e magari graduare il provvedimento con rispetto alla dimensione e complessità delle specifiche organizzazioni chiamate ad adottarlo. Ma, si sa, non tutto è perduto: siamo in Italia, ed una proroga non si nega a nessuno: tante cose possono cambiare da qui ad aprile, chissà che un giorno prima della scadenza il Parlamento non si decida a posporre i termini per l'adozione del provvedimento…

Saggio pubblicato su InterLex n° 383 del 20 gennaio 2009 (Anno XIII)
Copyright © 2009, Corrado Giustozzi. Tutti i diritti riservati.

Ultima modifica: 31 maggio 2009
Visitatori dal 6 maggio 2003: 115,592

Torna alla Pagina dei saggi pubblicati su InterLex
Vai alla Pagina dei Commenti

Copyright © 1995-2012 Corrado Giustozzi