Finalmente, dopo un parto molto sofferto, è arrivato il testo del Codice in materia di protezione dei dati personali.
Una prima occhiata al "tomo" e non so che cosa pensare: 186 articoli, 3 allegati (anche se dell’allegato C esiste solo il titolo) e sono previsti ben 12 codici deontologici. Una legge enorme, se confrontata con il testo precedente. E' ben vero che è stato raccolto in un unico corpo tutto ciò che esisteva sul trattamento dei dati personali, ma chissà perché non si è potuto fare una legge con dei chiari principi generali ed evitare di addentrarsi in così tanti casi particolari, tanto che il tutto appare propriocome un grande insieme di casi particolari.

Lascio comunque i commenti sugli aspetti giuridici a chi ha più titolo di me per farli e mi concentro solo su una breve analisi dell'allegato B, il "Disciplinare tecnico in materia di misure minime di sicurezza".
Il legislatore è riuscito in questo allegato ad essere molto più chiaro rispetto al contenuto del DPR 318/99. Finalmente si parla di trattamenti con strumenti elettronici, senza disquisire se questi sono eseguiti con elaboratori collegati a reti o non. Insomma l'allegato B è utilizzabile da noi tecnici con meno dubbi che in passato. Tuttavia si trovano ancora alcuni articoli che non aiutano per nulla la sicurezza, vediamoli in dettaglio.

Il punto 16 dell'allegato B non ha modificato, rispetto al testo del DPR 318/99, la "cadenza almeno semestrale" per l'aggiornamento degli antivirus. Credo sia evidente a tutti che avere l'antivirus aggiornato ogni 6 mesi è assolutamente inutile, basta pensare ai disastri causati dai virus di quest'estate e di questi ultimi giorni. Visto che l'allegato B tratta di misure minime, a mio modo di vedere, se proprio si voleva stare larghi, si sarebbe dovuta indicare una cadenza almeno mensile, o meglio ancora settimanale. Se l'antivirus non è aggiornato giornalmente, o ad ogni connessione ad Internet, il rischio di restare infettati aumenta molto rapidamente. Se poi lo aggiorno ogni 6 mesi, ho solo speso male dei soldi.

Sul problema degli antivirus il testo si è completamente dimenticato di quei sistemi operativi (Linux ad esempio o i mainframe IBM) dove il problema dei virus non esiste. Sembra si dia per scontato che i virus esistono dappertutto, ma non è così. Con una codice che entra così nei particolari questa sembra proprio una dimenticanza.
Identico problema si trova nell'articolo successivo dove si precisa che l'installazione di correttivi ai programmi (le famose patch) deve essere fatta almeno una volta l'anno, salvo il caso di trattamenti di dati sensibili o giudiziari, nel qual caso il limite è di soli, si fa per dire, sei mesi. Ma allora la storia recente non ha proprio insegnato nulla. Code-Red, Nimda e l'ultimissimo Blaster è vero che sono virus (tecnicamente worm), ma si propagano sfruttando ben note vulnerabilità del sistema operativo.

Code-Red e Nimda girano ancora per la rete dopo anni dalla loro comparsa, ma il disastro lo fecero a distanza di circa 3 mesi dal rilascio del correttivo e ultimamente il tempo fra il rilascio del correttivo e la comparsa di virus si è ulteriormente accorciato a meno di 2 mesi, in certi casi. Secondo il mio punto di vista l'art. 17 dovrebbe imporre limiti di 3 mesi anziché un anno e di un mese e mezzo per i trattamenti di dati sensibili e giudiziari, sempre volendo stare larghi, ovviamente. Il limite di un anno, anche se è una misura minima è in realtà una "non misura" minima.

Gli articoli che abbiamo visto, rischiano di vanificare il lavoro fatto per rispettare altri articoli, come quello sui backup o sulla predisposizione di un piano di disaster recovery che, per inciso, sono in generale aree curate poco nelle aziende. Qualcuno penserà: ma questo che cosa sta dicendo? Il backup è una vita che lo facciamo con regolarità. Certo, ma dove rimane il backup? Dentro l'unità che lo scrive? E' mai stata fatta una prova di restore, cioè di ripristino dei dati, per verificare se è stato salvato bene tutto?

Leggendo le nuove misure minime ci sarà sicuramente chi si butterà alla ricerca dello strumento, del prodotto che gli permetta di mettersi in regola. Io invece credo che per rispettare il disciplinare tecnico serva soprattutto un grosso lavoro di crescita culturale degli incaricati e, in molti casi, una revisione di tutta l’organizzazione, da affidare a specialisti in materia di sicurezza.
Il punto 2 dell'allegato B è molto chiaro, le parole-chiave (password) che gli incaricati utilizzano devono essere conosciute solo dagli incaricati, e non più scritte su bigliettini appiccicati sotto la tastiera, o peggio sul video, o mandati per e-mail a tutti i colleghi dell'ufficio, così quando l'incaricato non c'è qualcun altro è in grado di accedere ai dati.

Questo non è un problema che si risolve con un prodotto, ma facendo formazione, come peraltro è previsto dal documento programmatico sulla sicurezza. Ci si dovrà concentrare prima di tutto sulla formazione, altrimenti si rischia solo di spendere un mucchio di soldi e di non portare a casa sicurezza, ma solo illusioni, per poi restare amaramente scottati al primo problema serio che può capitare.

Da un punto di vista strettamente tecnico trovo piuttosto difficile, e sicuramente oneroso in termini economici, continuare ad usare Windows 95/98 su postazioni dove si effettuano trattamenti di dati personali. Microsoft ha sempre dichiarato che questi sistemi sono adatti per computer casalinghi e che altri sono i sistemi da usare in ambienti lavorativi, ma le aziende e le amministrazioni sono piene di questi sistemi operativi. Su Windows 95/98, infatti, garantire un sistema di autenticazione e di autorizzazione sufficiente per rispettare le misure minime è piuttosto complicato. La risposta più ovvia potrebbe essere che basta passare ad una versione di Windows che offra maggiori sicurezze, per esempio Windows/XP, ma è doveroso ricordare che l'hardware su cui è installato Windows 95/98 nella maggior parte dei casi non è adeguato per i nuovi sistemi di casa Microsoft. Ecco allora che dovendo cambiare il sistema operativo si deve mettere in conto anche il costo dell'aggiornamento hardware.

In conclusione mi sembra che il legislatore abbia fatto un passo avanti nell'uso di un linguaggio meno burocratico e più vicino a quello in uso da noi tecnici, ma si sia perso in una miriade di casi particolari, sicuramente dimenticandone altri.