Scorciatoie di navigazione:

Inizio della testata del sito

WebDieci - benvenuti


Feeds rss
Area Newsletter
Fine della testata del sito
Direttive e legislazione | Diritto d'autore | Mediazione Conciliazione  Privacy  Tutela consumatore
 Il Garante | La legge Pisanu | Per il navigatore in Internet | Privacy e crediti al consumo | Semplificazioni Privacy
HOME > Diritto > Privacy > La privacy e le aziende private: misure minime di sicurezza e il Documento programmatico sulla sicurezza

PRIVACY

La privacy e le aziende private: misure minime di sicurezza e il Documento programmatico sulla sicurezza

Data pubblicazione: 27/04/2007
voto medio: 0 - tot. 0 voti.    [ Per votare questo articolo devi prima registrarti e fare il log-in ]

immagine di una stella usata per esprimere la votazione dell'articolo immagine di una stella usata per esprimere la votazione dell'articolo immagine di una stella usata per esprimere la votazione dell'articolo immagine di una stella usata per esprimere la votazione dell'articolo immagine di una stella usata per esprimere la votazione dell'articolo


di Emauela Zizola, L'Economia della Marca Trevigiana, n.2 - 2007

Le misure di sicurezza in generale

Il D.Lgs. n. 196/2003 (“Codice in materia di protezione dei dati personali”) prevede in capo al titolare il dovere di proteggere i dati personali, i dati sensibili e i dati giudiziari attraverso adeguate misure di sicurezza.

I dati devono essere protetti da misure di sicurezza idonee e preventive, riducendo al minimo i rischi di distruzione, perdita anche accidentale, accesso non autorizzato o trattamento non consentito o non conforme alle finalità della raccolta.

Le misure minime di sicurezza

Nel quadro dei più generali obblighi di sicurezza sopra citati, i titolari del trattamento sono comunque tenuti ad adottare le misure minime di sicurezza individuate specificatamente dalla legge.

Infatti, si fa presente che quest'ultime sono obbligatorie (anche sul piano penale) e sono diverse a seconda che il trattamento sia effettuato con l'ausilio di strumenti elettronici o manuali.

Nel Codice, agli artt. 34 (trattamento con l'ausilio di strumenti elettronici) e 35 (trattamento senza l'ausilio di strumenti elettronici), sono indicate le misure minime obbligatorie e nel Disciplinare tecnico, costituente l'allegato B dello stesso Codice, sono specificate tassativamente le modalità tecniche per poterle adottare.

Quindi, il titolare del trattamento, nel quadro dei più generali obblighi di sicurezza di cui all'art. 31 del Codice, è tenuto, comunque, ad adottare le misure minime previste dagli artt. 34 e 35, in quanto occorre assicurare un livello minimo di protezione dei dati personali.

Si riporta l'art. 34, con l'indicazione delle misure minime ivi previste nel caso di trattamento con strumenti elettronici:

“Il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal Disciplinare tecnico contenuto nell'allegato B) al D.Lgs. n. 196/2003, le seguenti misure minime:

  • autenticazione informatica;
  • adozione di procedure di gestione delle credenziali di autenticazione;
  • utilizzazione di un sistema di autorizzazione;
  • aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici;
  • protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici;
  • adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi;
  • tenuta di un aggiornato Documento programmatico sulla sicurezza;
  • adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari”.


Si riporta l'art. 35, con l'indicazione delle misure minime ivi previste nel caso di trattamento senza l'ausilio di strumenti elettronici:

“Il trattamento di dati personali effettuato senza l'ausilio di strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal Disciplinare tecnico contenuto nell'allegato B) al D.Lgs. n. 196/2003, le seguenti misure minime:

  • aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati o alle unità organizzative;
  • previsione di procedure per un'idonea custodia di atti e documenti affidati agli incaricati per lo svolgimento dei relativi compiti;
  • previsione di procedure per la conservazione di determinati atti in archivi ad accesso selezionato e disciplina delle modalità di accesso finalizzata all'identificazione degli incaricati”.


 Il Documento programmatico sulla sicurezza

Alla luce di quanto sopra, tra le misure minime da adottare, per i trattamenti effettuati con strumenti elettronici, il titolare deve tenere un aggiornato Documento programmatico sulla sicurezza.

Infatti, il titolare di un trattamento di dati sensibili o di dati giudiziari redige anche attraverso il responsabile, se designato, un Documento programmatico sulla sicurezza contenente idonee informazioni riguardo:

  • l'elenco dei trattamenti di dati personali;
  • la distribuzione dei compiti e delle responsabilità nell'ambito delle strutture preposte al trattamento dei dati;
  • l'analisi dei rischi che incombono sui dati;
  • le misure da adottare per garantire l'integrità e la disponibilità dei dati, nonché la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità;
  • la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento;
  • la previsione di interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare;
  • la descrizione dei criteri da adottare per garantire l'adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformità al Codice, all'esterno della struttura del titolare.


Il Documento, seppur formalmente deve essere conservato presso la società e che non deve essere inviato al Garante per la protezione dei dati personali, è nella sostanza un atto di pianificazione degli interventi di sicurezza da attuare in ciascun esercizio annuale.

In ipotesi di ispezione presso la società, infatti, viene valutato non solo il contenuto e la relativa conformità alle disposizioni di cui all'allegato B del D.Lgs. n. 196/2003, ma anche la concreta applicazione delle misure ivi contenute.

Infatti, entro il 31 marzo di ogni anno, tutte le modifiche delle misure di sicurezza adottate dalla società devono essere recepite; e così anche per il futuro, entro tale data, ogni anno, si dovrà provvedere al suo aggiornamento diligente e veritiero.

Si fa presente che l'obbligo di redazione non ha natura statica - una tantum - bensì dinamica e continuativa; esso non si esaurisce con l'approvazione, entro una data scadenza, di un documento unico e definitivo, ma è destinato a fare ingresso stabile nella vita della stessa società.

L'obbligo non è generale: riguarda, in effetti, le società che trattano dati sensibili (a titolo esemplificativo, dati sanitari o sindacali del personale) o giudiziari.

Tuttavia, l'adozione facoltativa del Documento può essere ritenuta opportuna anche con riferimento ad altre fattispecie.

L'obbligo di redazione spetta al “titolare del trattamento di dati sensibili o di dati giudiziari”; ovvero, quando il trattamento è effettuato da una persona giuridica, come nel caso delle società di capitali, dalla società nel suo complesso.

La violazione di questo obbligo costituisce parametro di valutazione della diligenza degli amministratori della società e deve essere oggetto di attenta valutazione da parte degli organi di controllo, in particolare del Collegio sindacale.

L'emersione societaria della tutela e sicurezza dei dati personali è, peraltro, concretamente significata dall'ulteriore obbligo del titolare del trattamento di riferire sull'avvenuta redazione o aggiornamento del Documento nella relazione accompagnatoria del bilancio di esercizio.






ARTICOLI CORRELATI

La privacy e le aziende private
di Emanuela Zizola, tratto da "L'Economia della Marca Trevigiana", n.1-2007 Comincia con questo numero una serie di approfondimenti sul...







Fine del contenuto principale della pagina