- 50129 Firenze
Tel.055 471390 Fax.055 472668
www.asp-solutions.it info@aspmail.it
:: Soluzioni Osra
:: Tesoreria e Finanza
:: Soluzioni Aziendali
:: Bilanci e Consulenza
:: Soluzioni Trasporti
:: Privacy/Sicurezza
:: Generale
:: Privacy - Sicurezza
Decreto Legislativo n. 196 del 30 giugno 2003
Il nuovo "Codice in materia di protezione dei dati personali"
La nuova legge sulla Privacy interviene a tutela del diritto alla riservatezza dei dati personali in relazione allo sviluppo delle tecnologie informatiche degli ultimi anni ed alla crescente necessità di sicurezza informatica.
Il decreto legislativo n. 196 del 30 giugno 2003 fornisce una nuova regolamentazione in merito alla protezione dei dati personali, in particolar modo prevede delle misure minime da rispettare.
A chi è rivolta
Con la nuova normativa, le misure minime di sicurezza diventano un obbligo per tutte le organizzazioni, pubbliche e private, che trattano dati personali relativi a persone fisiche, persone giuridiche, enti od associazioni con l'uso di strumenti elettronici anche se questi non sono collegati ad una rete pubblica.
La tenuta di una semplice anagrafica clienti rappresenta un caso sufficiente per essere soggetti alle nuove disposizioni di legge.
Cosa cambia nelle aziende
Le misure minime fanno riferimento alle metodologie di utilizzo dei sistemi informatici e riguardano i profili di autorizzazione, i sistemi di autenticazione, le procedure di ripristino dei dati in caso di danneggiamento degli stessi, le regole organizzative e la formazione degli incaricati.
Quindi, prima ancora di attuare le misure correttive sul sistema informativo, è necessario agire a livello organizzativo.
L'adozione delle misure minime di sicurezza presenta una complessità tale da obbligare i responsabili aziendali ad una tempestiva programmazione per non ritrovarsi a ridosso del termine perentorio del 31 dicembre 2006 con l'adeguamento non ancora ultimato.
Non sempre all'interno della struttura organizzativa aziendale ci sono le competenze professionali idonee alla definizione di una politica di sicurezza aziendale. Con la nuova normativa questo problema si fa ancora più rilevante viste le sanzioni previste in caso di mancata o insufficiente adozione delle misure minime di sicurezza.
Misure minime:
La legge sancisce che il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell'allegato B, le seguenti misure minime:
- autenticazione informatica;
- adozione di procedure di gestione delle credenziali di autenticazione;
- utilizzazione di un sistema di autorizzazione;
- aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici;
- protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici;
- adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi;
- tenuta di un aggiornato documento programmatico sulla sicurezza (DPS);
- adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari.
In caso di mancanza delle misure minime, occorre indicare nel DPS le date entro le quali verranno adottate.
Documento Programmatico sulla Sicurezza
Entro e non oltre il 31 dicembre 2006 e da aggiornare ogni anno entro e non oltre il 31 marzo, il titolare di un trattamento di dati personali redige, nei modi e nelle circostanze previste dall'Allegato B, un documento programmatico sulla sicurezza contenente idonee informazioni riguardo:
- l'elenco dei trattamenti di dati personali;
- la distribuzione dei compiti e delle responsabilità nell'ambito delle strutture preposte al trattamento dei dati;
- l'analisi dei rischi che incombono sui dati;
- le misure da adottare per garantire l'integrità e la disponibilità dei dati, nonché la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità;
- la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento;
- la previsione di interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare. La formazione è programmata già al momento dell'ingresso in servizio, nonché in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati personali;
- la descrizione dei criteri da adottare per garantire l'adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformità al codice, all'esterno della struttura del titolare;
- per i dati personali idonei a rivelare lo stato di salute e la vita sessuale, l'individuazione dei criteri da adottare per la cifratura o per la separazione di tali dati dagli altri dati personali dell'interessato.
Sanzioni:
Chiunque, essendovi tenuto, omette di adottare le misure minime previste dalla normativa è punito con un'ammenda da 10.000 a 50.000 Euro o con l'arresto fino a due anni (D.Lgs. n. 196 Art. 169).
Ispezioni:
È stato siglato un protocollo d'intesa tra la Guardia di Finanza ed il Garante della Privacy per un'intensa ed efficace attività di controllo sul territorio nazionale del rispetto del nuovo codice sulla privacy.
