LA NUOVA LEGGE SULLA PRIVACY
Codice in materia di protezione dei dati personali: Decreto
Legislativo 196/2003
A CHI SI RIVOLGE:
Si rivolge a tutti i soggetti (Enti, Aziende, Associazioni, Sudi
Professionali, etc. …), pubblici e privati, che trattano dati
personali. La novità più importante è relativa al campo di
applicazione, che non si limita ai soli dati cosiddetti “sensibili”
(relativi ad esempio alle condizioni di salute o giudiziarie dei
singoli), ma si estende a tutti i dati che non siano strettamente
relativi a chi li detiene, sia su un sistema informatico, o su un
registro cartaceo.
COSA SONO I DATI PERSONALI:
Sono qualunque informazione relativa a persona fisica, persona
giuridica, ente od associazione.
I dati considerati dalla Normativa possono essere riassunti in:
- DATI PERSONALI
I dati che permettono l’identificazione diretta dell’interessato.
Si portano ad esempio:( il nome, il cognome, l’indirizzo, il numero
di telefono, il codice fiscale, la partita I.V.A., dati bancari,
informazioni circa la composizione del nucleo familiare, la
professione esercitata da un determinato soggetto, sia fisico che
giuridico, la sua formazione, informazioni relative al profilo
creditizio, alla retribuzione, informazioni relative alla salute di
un soggetto, alla vita sessuale, alla partecipazione ad associazioni
di categoria, a partiti, trattenute sindacali, cartelle cliniche,
rilevazioni di presenze…).
- DATI IDENTIFICATIVI
Dati che consentono di correlare i “Dati Personali” alle persone o
enti cui sono relativi; ad esempio, il numero di codice
identificativo che permette di associare una determinata fattura al
relativo cliente.
- DATI SENSIBILI
I dati che per loro natura possono essere causa di discriminazioni;
ad esempio, dati relativi alla vita e i gusti sessuali, al credo
politico, alla religione professata, allo stato di salute e così
via.
Si tratta in sostanza di quei dati più comunemente considerati degni
di protezione da parte della normativa sulla “privacy”, costituenti
una sottocategoria dei “Dati Personali”.
- DATI GIUDIZIARI
I dati utili a rilevare la condizione giudiziaria (presente,
pregressa o in fase di definizione) di persone fisiche o giuridiche.
COSA PREVEDE LA LEGGE:
Prevede che ciascun soggetto tratti i dati personali con canoni di
riservatezza, liceità con finalità compatibili con il reale scopo di
trattamento. Inoltre prevede che debbano essere adottate misure
tecniche ed obblighi di sicurezza in relazione al grado di
sensibilità dei dati trattati ed al contesto tecnologico con cui è
effettuato il trattamento.
La normativa riporta una serie di indicazioni generali riguardo ai
trattamenti minimi da realizzare: elenca quali siano le finalità
primarie che i disposti del decreto legislativo devono garantire
rispetto alle informazioni, ovvero;
- la massima riduzione dei rischi di distruzione o perdita;
in questo caso deve essere creato un sistema di salvataggio che non
si limiti ad una generica copia “una tantum”.
- la massima riduzione dei rischi di intrusione di estranei;
non autorizzati tra i dati, tanto per la loro lettura, quanto per il
loro utilizzo non consono ai dati stessi.
Tali misure consistono nell’attivare:
AUTENTICAZIONE PER L’ACCESSO AI DATI:
Un sistema di autenticazione per l’accesso ai dati: si tratta della
gestione dei codici di accesso (password o simili) alle macchine ed
ai dati; tali password dovranno secondo i dettami del “Disciplinare
Tecnico”, essere gestite in modo razionale da un Responsabile,
periodicamente aggiornate, ideate secondo criteri di sicurezza
(quindi non banalmente adottando date di nascita o nominativi di
parenti).
PROTEZIONE DEGLI STRUMENTI DEI DATI:
La protezione degli strumenti elettronici e dei dati rispetto a
trattamenti illeciti di dati, ad accessi non consentiti e a
determinati programmi informatici; tale protezione si riferisce, in
campo elettronico, ad esempio ai cosiddetti “worm” (programmi spia
che, inserendosi nel sistema operativo, rendono i computer
accessibili dall’esterno per via telematica) ai virus informatici
agli attacchi da parte di hacker (i cosiddetti “pirati
informatici”). In prima battuta si parla di programmi antivirus e
firewall, che devono essere correttamente installati, settati e
regolarmente aggiornati.
DISASTER RECOVERY:
L’adozione di procedure per la custodia di copie di sicurezza, il
ripristino della disponibilità dei dati e dei sistemi, ovvero non
semplici copie fatte ad intervalli regolari, ma un sistema
efficiente e completo per garantire l’integrità dei dati.
TECNICHE DI CIFRATURA:
L’adozione di tecniche di cifratura o di codici identificativi per
determinati trattamenti di dati idonei a rivelare lo stato di salute
o la vita sessuale dell’individuo, ovvero tecniche avanzate di
protezione applicate direttamente ai dati, qualora essi siano
cosiddetti “sensibili”.
DOCUMENTO PROGRAMMATICO SULLA SICUREZZA (DPS):
La tenuta di un aggiornato documento programmatico sulla sicurezza,
ovvero di un documento all’interno del quale venga descritta e
giustificata la politica di sicurezza adottata. In particolare,
entro il 31 Marzo di ogni anno dovrà essere redatto ed aggiornato il
DPS successivamente da allegare alla relazione accompagnatoria del
bilancio d’esercizio dell’azienda (punto 26 dell’allegato B del
T.U.), a dimostrazione delle misure adottate e della loro
adeguatezza alle necessità particolari.
TUTELA E GARANZIE:
Il titolare che adotta misure minime di sicurezza avvalendosi di
soggetti esterni alla propria struttura, per provvedere alla
esecuzione riceve dall’installatore una descrizione scritta
dell’intervento effettuato che ne attesta la conformità all’allegato
B, disciplinare tecnico in materia di misure minime di sicurezza
(punto 25 del Decreto Legislativo 30 giugno 2003 n.° 196).
INADEMPIMENTI E SANZIONI:
Chiunque omette di adottare le misure di sicurezza è punito con
l’arresto fino a due anni o con l’ammenda da 10.000 a 50.000 Euro.
Chiunque produce atti o documenti falsi, è punito, salvo che il
fatto costituisca più grave reato, con la reclusione da sei mesi a
tre anni.