Misure minime di sicurezza nel nuovo Codice Privacy

14/12/2003
di Valentina Frediani

Dal primo gennaio 2004 entrerà in vigore il nuovo Codice in materia di protezione dei dati personali. Il Codice si basa sul principio di necessità, secondo cui i sistemi informativi ed i programmi informatici dovranno essere configurati riducendo al minimo l´utilizzazione di dati personali e di dati identificativi al fine di escludere il trattamento quando le finalità perseguite potranno essere realizzate mediante dati anonimi o tecniche di identificazione del soggetto solo in caso di necessità.

demat_5604410_xlDi rilevante interesse per coloro che trattano i dati mediante strumenti elettronici, appare il titolo V del Codice che disciplina la sicurezza dei dati e dei sistemi. In particolare, in relazione alle misure di sicurezza, il Codice stabilisce che i dati personali oggetto di trattamento debbono essere custoditi e controllati anche in relazione alle conoscenze acquisiti in base al progresso tecniche nonché alla natura dei dati ed alle specifiche caratteristiche del trattamento al fine di ridurre al minimo, mediante l´adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita dei dati, di accesso non autorizzato o di trattamento non consentito o non conforme alla finalità della raccolta. Vige pertanto un obbligo di adozione di misure minime di sicurezza.

Ma cosa si intende con tale espressione? È il Codice stesso che ci risponde, definendo misure minime quel complesso di misure tecniche, informatiche, organizzative, logistiche e procedurali di sicurezza che configurano il livello minimo di protezione normativamente richiesto rispetto ai rischi sopraelencati. In pratica, il Codice identifica tali misure in un elenco preciso, secondo cui il trattamento dei dati personali effettuato con strumenti elettronici è subordinato all´adozione di specifiche misure. Innanzi tutto occorre predisporre l’utilizzazione di un sistema di autenticazione informatica, ovvero il trattamento dei dati personali deve essere consentito solo agli incaricati muniti di credenziali di autenticazione, cioè di un codice per l´identificazione dell´incaricato associato ad una parola chiave riservata e conosciuta esclusivamente dall´incaricato stesso, sul quale grava l´obbligo di adozione delle cautele necessarie al fine di assicurare la segretezza della componente riservata della credenziale, nonché l´obbligo di custodire diligentemente i dispositivi in suo possesso ed uso esclusivo.

Peraltro, il legislatore stabilisce un minimo di otto caratteri per quanto riguarda la parola chiave (salvo il caso in cui lo strumento elettronico non lo consenta dovendo pertanto adottare una parola chiave composta secondo il numero massimo di caratteri consentiti); altra misura di sicurezza è identificata nell´obbligo di modifica della parola chiave almeno ogni sei mesi, salvo tre nei casi in cui il trattamento con strumenti elettronici abbia ad oggetto dati sensibili o giudiziari. Altro obbligo imposto sta nel fatto che le credenziali di autenticazione non utilizzate da almeno sei mesi debbono essere disattivate, derogando solo nell´ipotesi di un utilizzo meramente finalizzato alla gestione tecnica, per cui non è richiesta tale scadenza di modifica. Il Codice disciplina peraltro l´utilizzazione di un sistema di autorizzazione, al quale si ricorre qualora per gli incaricati siano individuati profili di autorizzazione di ambito diverso. In tal caso i profili di autorizzazione per ciascun incaricato o per classi omogenee di incaricati, dovranno essere individuati e configurati anteriormente all´inizio del trattamento: questo al fine di limitare l´accesso ai soli dati effettivamente necessari alla realizzazione delle operazioni di trattamenti cui sono preposti gli incaricati; la verifica in relazione alle condizioni sussistenti la conservazione dei profili di autorizzazione deve avvenire almeno annualmente.

Centrale appare inoltre l´obbligo di redazione del documento programmatico (peraltro ereditato dal DPR 318/99) in quanto entro il 31 marzo di ogni anno, il titolare di un trattamento di dati personali effettuato con strumenti elettronici, e di dati sensibili o dati giudiziari sia in formato cartaceo che elettronico, deve redigere tale documento sulla sicurezza. Nel disciplinare tecnico allegato al Codice, sono stabiliti i passaggi essenziali mediante cui stendere il documento. Innanzi tutto occorre individuare l´elenco dei trattamenti di dati personali al quale deve affiancarsi l´elenco inerente la distribuzione dei compiti e delle responsabilità nell´ambito delle strutture preposte al trattamento dati. Segue pertanto, coerentemente allo scopo del documento programmatico, l´analisi che il titolare del trattamento deve fare in relazione ai rischi che incombono sui dati, indicando conseguentemente anche le misure che sono adottate al fine di garantire l´integrità e la disponibilità dei dati, nonché la protezione delle aree e dei locali in relazione alla loro custodia ed accessibilità. Vige l´obbligo di individuare anche le modalità che possono essere poste a favore del ripristino della disponibilità dei dati qualora si verifichino episodi di distruzione o danneggiamento (è il caso di ricordare che per il trattamento di dati sensibili o giudiziari occorre garantire il ripristino dell´accesso entro 7 giorni). Infine, gli incaricati del trattamento debbono essere resi edotti dei rischi che incombono sui dati mediante interventi formativi. Qualora si verifichi l´ipotesi di trattamenti di dati personali affidati all´esterno della struttura, sul titolare grava l´obbligo di descrivere nel documento, i criteri adottati per garantire la sussistenza delle misure minime di sicurezza per quei dati. Possiamo dunque concludere che il nuovo Codice apporterà reali garanzie per la tutela dei dati personali, pur lasciando qualche perplessità in relazione agli oneri che molti titolari di trattamenti dati dovranno sostenere al fine di adempiere alle prescrizioni normative.

Riproduzione riservata ©

ALTRE NEWS

Telelavoro: CCNL per le Telecomunicazioni

L´ultimo anno ha certamente rappresentato un punto di svolta per il telelavoro. Parallelamente al continuo ed inarrestabile sviluppo di Internet e di tutte le attività… Leggi Tutto

Cybersquatting, come tutelare il brand online

Inside Marketing ospita un approfondimento in due parti a cura dell’Avv. Giulia Rizza su Web marketing, brand protection e concorrenza sleale online. La prima parte… Leggi Tutto

Cookies e Privacy: un video tutorial dal Garante

L’invasività dei cookies nella sfera privata può essere elevata, soprattutto se utilizzati a scopi di profilazione. Il Garante Privacy, al di là dei provvedimenti emessi,… Leggi Tutto

COLIN & PARTNERS

CHI SIAMO


Consulenza legale specializzata sul diritto delle nuove tecnologie

CONOSCIAMOCI
CHI SIAMO

Cultura e innovazione

SPEECH & EVENTI


Le nostre competenze a disposizione della vostra azienda

I prossimi appuntamenti

Siamo felici di dare il nostro contributo in numerosi eventi che trattano di nuove tecnologie e business digitale sotto vari aspetti. Il nostro apporto si ispira ai temi di interesse legale che, sempre più spesso, coinvolgono l’intera organizzazione.

Inoltre, a cadenza mensile, organizziamo il Colin Focus Day, un incontro di approfondimento gratuito sempre molto apprezzato. A Milano, o in videoconferenza, il Colin Focus Day è occasione di confronto e networking su temi legali-informatici e business.

CONTATTACI

OPERIAMO
A LIVELLO
GLOBALE


Tel. +39 0572 78166

Tel. +39 02 87198390

info@consulentelegaleinformatico.it

Compila il form






    * Informativa Privacy Autorizzo il trattamento dei miei dati personali secondo quanto stabilito dal regolamento europeo per la protezione dei dati personali n. 679/2016, GDPR.

    * (campo obbligatorio)
    Questo sito è protetto da reCAPTCHA e vengono applicate l' Informativa sulla Privacy e i Termini e Condizioni di Google.