Privacy (D.Lgs 196/2003 ex L. 676/96)

  
Home
Su
Qualita
Privacy
Documentazione Tecnica
Controllo di Gestione
Sicurezza Informatica
Logistica
Certificazione Web

Il 1° gennaio 2004 è entrato in vigore il Decreto Legislativo 30 giugno 2003, n. 196 "Codice in materia di protezione dei dati personali" che sostituisce la Legge n. 675/1996.

Le nuove disposizioni legislative prevedono l’applicazione – da parte di tutte le organizzazioni - di procedure più estese rispetto al passato per la tutela dei dati personali, soprattutto quelli gestiti su supporto elettronico.

Il D.Lgs 196/2003 prevede inoltre alcuni adempimenti formali quali: la nomina del Titolare e di un Responsabile del trattamento dei dati personali - di capacità tecniche adeguate - la definizione documentata dei compiti assegnati al responsabile del trattamento, la designazione scritta degli incaricati al trattamento dei dati personali, la redazione di istruzioni scritte per definire le modalità di trattamento dei dati personali da parte degli incaricati nominati, la predisposizione e l’aggiornamento annuale del Documento Programmatico sulla Sicurezza, la raccolta del consenso degli interessati, ove previsto anche in forma scritta, ecc...

Ma le più importanti novità introdotte dal D.Lgs 196/2003 sono senz’altro le misure minime di sicurezza che ogni organizzazione che tratti dati personali attraverso sistemi informatici deve adottare, in particolare (si riporta l’art. 34 della Legge, Trattamenti con strumenti elettronici):

1. Il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell'allegato B), le seguenti misure minime:
a) autenticazione informatica;
b) adozione di procedure di gestione delle credenziali di autenticazione;
c) utilizzazione di un sistema di autorizzazione;
d) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici;
e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici;
f) adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi;
g) tenuta di un aggiornato documento programmatico sulla sicurezza;
h) adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari.

L’allegato B (Disciplinare tecnico in materia di misure minime di sicurezza), descrive chiaramente quali sono gli accorgimenti tecnici da adottare (nome utente, password, antivirus, firewall, ecc.).

Si ricorda che per "dato personale", si intende “qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale”, quindi dati sul personale dipendente e sui collaboratori (schede del personale, dati anagrafici e contabili), dati relativi a fornitori e clienti per i quali non esiste un precedente consenso.

Il nostro servizio consulenziale Vi consentirà di adeguare le Vostre procedure organizzative ed i Vostri Sistemi Informatici per poter affrontare con serenità gli adempimenti legislativi, senza temere le pesanti sanzioni previste.

La nostra proposta si articola nelle seguenti fasi:

  1. Check-up dell'organizzazione sulle procedure e sui sistemi informativi esistenti.

  2. Presentazione della proposta economica e sintesi delle principali azioni da intraprendere.

  3. Supporto alla Direzione per le decisioni da adottare e per l’applicazione delle azioni concordate.

  4. Predisposizione del Documento Programmatico sulla Sicurezza, dei mansionari e delle istruzioni scritte necessarie.

  5. Formazione del personale.

  6. Verifica dell’adeguatezza delle misure di sicurezza intraprese.

Per chi poi fosse interessato ad estendere le misure di sicurezza attuate per proteggere i dati personali e sensibili a tutti i dati aziendali, effettuando una valutazione più completa del rischio ed una gestione dello stesso in modo pianificato e documentato, potrebbe essere interessante valutare l’introduzione di un vero e proprio Sistema di Gestione della Sicurezza delle Informazioni e certificarlo secondo la BS 7799.

Alcuni link utili per maggiori informazioni sull’argomento:

·        http://www.privacy.it

·        http://www.garanteprivacy.it

·        http://www.interlex.it

·        http://www.ictlaw.net