Il D. Lgs 196/2003 richiede una serie di adempimenti, formali e sostanziali, che dovrebbero essere presi in considerazione nell'ambito del sistema di gestione per la qualità, per quelle organizzazioni che hanno adottato tale sistema (certificate ISO 9001 o meno).
La figura di responsabile del trattamento dei dati personali, introdotta facoltativamente, ma di fatto ricoperta dal titolare del trattamento nei casi nei quali tale figura non viene nominata, deve avere "esperienza, capacità ed affidabilità per fornire idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza". Dunque il suo profilo deve essere identificato nell'ambito del processo di gestione delle risorse.
Inoltre i suoi compiti e responsabilità dovrebbero essere definiti nel documento che stabilisce tali aspetti (ad es. mansionario), anche per congruenza con la nomina scritta che deve obbligatoriamente ricevere dalla direzione. In particolare dovrebbe essere compito del responsabile (o dei responsabili) del trattamento dati redigere il documento programmatico sulla sicurezza e provvedere all'attuazione delle disposizioni stabilite dal vertice aziendale in materia di sicurezza delle informazioni e dalle misure di sicurezza definite nel D.P.S..
Il Codice in materia di protezione dei dati personali richiede che siano fornite al personale istruzioni in merito a determinate attività relative al trattamento di dati personali ed alla gestione dei sistemi informatici. In particolare vengono citate le seguenti:
“Con le istruzioni impartite agli incaricati è prescritto di adottare le necessarie cautele per assicurare la segretezza della componente riservata della credenziale e la diligente custodia dei dispositivi in possesso ed uso esclusivo dell'incaricato” (allegato B – comma 4).
“Sono impartite istruzioni agli incaricati per non lasciare incustodito e accessibile lo strumento elettronico durante una sessione di trattamento” (allegato B – comma 9).
“Sono impartite istruzioni organizzative e tecniche che prevedono il salvataggio dei dati con frequenza almeno settimanale” (allegato B – comma 18).
“Sono impartite istruzioni organizzative e tecniche per la custodia e l'uso dei supporti rimovibili su cui sono memorizzati i dati al fine di evitare accessi non autorizzati e trattamenti non consentiti” (allegato B – comma 21).
“Agli incaricati sono impartite istruzioni scritte finalizzate al controllo ed alla custodia, per l'intero ciclo necessario allo svolgimento delle operazioni di trattamento, degli atti e dei documenti contenenti dati personali. Nell'ambito dell'aggiornamento periodico con cadenza almeno annuale dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati, la lista degli incaricati può essere redatta anche per classi omogenee di incarico e dei relativi profili di autorizzazione” (allegato B – comma 27).
È dunque necessario predisporre delle istruzioni operative scritte (o documenti equivalenti) al riguardo da integrare nel sistema qualità aziendale. Le istruzioni citate sono da distribuire agli incaricati al trattamento nella forma stabilita nella procedura di controllo della documentazione.
I rapporti con i clienti dovrebbero essere gestiti in conformità ai requisiti di legge in merito alle informative sul trattamento dati ed alle richieste di consenso al trattamento, nei casi previsti dalla legge. Dunque perché non definire in procedura precise responsabilità per garantire che i dati dei clienti vengano acquisiti in conformità al codice della privacy?
I rapporti con i fornitori devono essere analogamente gestiti nel rispetto del Codice relativamente all'acquisizione dei dati personali degli stessi.
Inoltre il Codice della Privacy stabilisce precisi obblighi per le attività - di trattamento dati o di gestione degli strumenti elettronici che li conservano e li elaborano - che vengono appaltate a società esterne e potrebbero influire sulle misure di sicurezza previste.
Ci si riferisce sia all'outsourcing di alcune attività di trattamento, sia agli interventi di assistenza tecnica hardware o sistemistica svolti da fornitori specializzati. Ad essi dovrebbe essere richiesta specifica dichiarazione di conformità al D.Lgs 196/2003.
Questi aspetti dovrebbero essere inseriti nella procedura di gestione degli approvvigionamenti, con le relative responsabilità primarie per: