Al fine di incrementare la sicurezza delle credenziali di autenticazione ai sistemi informatici, il Garante per la protezione dei dati personali (GPDP) e l’ Agenzia per la cybersicurezza nazionale (ANC) hanno adottato le Linee Guida per la conservazione delle password, con provvedimento n. 594 del 7 dicembre 2023.
Le Linee Guida sono rivolte a tutte le imprese o amministrazioni che, in qualità di titolari o responsabili del trattamento, conservano sui propri sistemi le password dei propri utenti (es. gestori dell’identità digitale SPID o CieID, gestori PEC, gestori di servizi di posta elettronica, banche, assicurazioni, operatori telefonici, strutture sanitarie, etc.), alle imprese o amministrazioni i cui dipendenti accedono a banche dati di particolare rilevanza o dimensioni, oppure a tipologie di utenti che abitualmente trattano dati sensibili o giudiziari (es. professionisti sanitari, avvocati).
Le Linee Guida hanno lo scopo di fornire raccomandazioni sulle misure tecniche ritenute attualmente più sicure e che, dunque, i gestori dei sistemi informatici “devono” adottare, sia per le modalità di conservazione delle password e delle altre credenziali di autenticazione nei database, sia per determinare il periodo della loro conservazione.
Ciò che è stato “estremamente raccomandato” è l’utilizzo di robuste funzioni crittografiche di password hashing per la conservazione delle stesse, in particolare laddove:
- a) il trattamento riguarda le password di un numero significativo di utenti;
- b) il trattamento riguarda le password di utenti che possono accedere a banche di dati di particolare rilevanza o dimensioni;
- c) il trattamento riguarda le password di specifiche tipologie di utenti che, in modo sistematico, trattano, con l’ausilio di sistemi informatici, dati appartenenti a categorie particolari o relativi a condanne penali e reati di cui agli artt. 9 e 10 Regolamento UE; Il documento, inoltre, presenta nel dettaglio gli algoritmi più comuni utilizzati per il password hashing e fornisce le indicazioni su quali sono gli algoritmi raccomandati e sui rispettivi parametri.
LE FONTI GIURIDICHE E LA RATIO DELLE LINEE GUIDA
La materia della protezione dei dati personali è, a livello europeo, disciplinata dal Regolamento (UE) 2016/679 “relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati”.
A seguito di tale Regolamento, l’Italia ha adottato il d.lgs. 101/2018, ovvero le Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679, che hanno modificato il d.lgs. n. 196/2003, ovvero il “Codice in materia di protezione dei dati personali”.
In Italia, l’autorità di controllo prevista dalle predette normative è il Garante privacy.
Il provvedimento n. 594 del 7 dicembre qui in commento, con il quale, come detto, sono state adottate le Linee Guida, prende atto delle numerose notifiche trasmesse al Garante ai sensi dell’art. 33 Regolamento UE. Ai sensi di tale norma, in caso di violazione dei dati personali, il titolare e il responsabile del trattamento notificano la violazione all’autorità di controllo. Il provvedimento n. 594 del 7 dicembre prende altresì atto delle istruttorie condotte dall’autorità di controllo nei confronti dei titolari e responsabili del trattamento concernenti la verifica dell’adeguatezza delle misure tecniche, dalle quali è emersa una inefficace protezione delle password di utenti conservate nell’ambito di sistemi di autenticazione informatica.
Come detto poc’anzi, era necessario fornire raccomandazioni sulle misure tecniche da adottare per:
-
modalità di conservazione delle credenziali di autenticazione > in attuazione del comma 1, lett. f), dell’art. 5 Regolamento UE , titolato “Principi applicabili al trattamento dei dati personali”, ai sensi del quale i dati personali devono essere “trattati in maniera da garantire una adeguata sicurezza, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»)”.
-
determinare il periodo di conservazione delle credenziali di autenticazione, affinché siano cancellate laddove non siano più necessarie per verificare l’identità degli utenti ai fini dell’accesso a sistemi informatici o servizi online o per garantirne la sicurezza e, comunque, in caso di cessazione dei sistemi informatici o servizi online cui consentono l’accesso oppure di disattivazione delle relative credenziali di autenticazione > in attuazione del comma 1, lett. e), dell’art. 5, ai sensi del quale i dati personali devono essere “conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; i dati personali possono essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, fatta salva l’attuazione di misure tecniche adeguate richieste dal presente regolamento a tutela dei diritti e delle libertà dell’interessato («limitazione della conservazione»)”
Alla luce delle suddette problematiche e dei principi sul trattamento dei dati personali da dover tutelare, il Garante privacy ha esercitato i poteri che gli derivano dal Regolamento UE e dal Codice. In particolare:
-
ai sensi dell’art. 57 Regolamento UE “ogni autorità di controllo promuove la consapevolezza e favorisce la comprensione del pubblico riguardo ai rischi, alle norme, alle garanzie e ai diritti in relazione al trattamento, ed inoltre promuove la consapevolezza dei titolari del trattamento e dei responsabili del trattamento riguardo agli obblighi imposti loro dal presente regolamento”;
-
l’art. 154 bis Codice da senso a tale disposizione, prevedendo il potere del Garante privacy di adottare linee guida di indirizzo riguardanti le misure tecniche e organizzative di attuazione dei principi del Regolamento, anche per singoli settori e in applicazione dei principi di protezione dei dati fin dalla progettazione e per impostazione predefinita.
QUAL È, ALLORA, IL RUOLO DELL’AGENZIA PER LA CYBERSICUREZZA NAZIONALE?
Il d.l. 82/2021 ha istituito l’Agenzia per la Cybersicurezza Nazionale, avente il compito di collaborare con il Garante privacy anche in relazione agli incidenti che comportano violazioni dei dati personali, promuovendo iniziative congiunte nel campo della sicurezza cibernetica nazionale e della protezione dei dati personali.
Ed è proprio nell’ambito della citata cooperazione istituzionale che l’ACN ed il Garante hanno svolto approfondimenti in ordine alle migliori prassi per proteggere le password, predisponendo le Linee Guida qui in commento.
QUALI SONO I PROFILI DI RESPONSABILITA’ DEI TITOLARI E DEI RESPONSABILI DEL TRATTAMENTO DEI DATI PERSONALI?
Ai sensi del comma 2 dell’art. 5 Regolamento UE il titolare del trattamento è responsabile del rispetto dei principi di cui al comma 1.
Laddove vengano adottate misure tecniche diverse da quelle individuate nelle Linee Guida, i titolari del trattamento, in ossequio al principio di responsabilizzazione di cui agli artt. 5 e 24 Regolamento UE, devono essere in grado di comprovare che tali misure garantiscono comunque un livello di sicurezza adeguato al rischio per i diritti e le libertà delle persone fisiche.
In caso contrario l’autorità di controllo può esercitare i poteri di cui all’art. 58 del Regolamento UE, tra cui infliggere una sanzione amministrativa pecuniaria o imporre una limitazione provvisoria o definitiva al trattamento.