Il codice della privacy prevede che annualmente entro il 31 marzo vengano verificate le misure minime di sicurezza adottate l’anno precedente. Con questo articolo cerchiamo di approfondire cosa siano le misure minime di sicurezza.
Disciplinare tecnico – Allegato B
Il disciplinare tecnico specifica le modalità tecniche da adottare dal titolare o dal responsabile e dagli incaricati al trattamento. Il titolare è tenuto ad adottare quelle che vengono definite “misure minime” per non incorrere in sanzioni che possono diventare anche molto pesanti. Queste modalità costituiscono gli articoli che vanno dal 33 al 36 del codice e si occupano di misure da adottare nel caso di trattamento con o senza strumenti elettronici.
Trattamenti con strumenti elettronici (articolo 34)
Il trattamento è consentito solo in presenza dei seguenti requisiti:
1) autenticazione informatica
2) procedure di gestione delle credenziali di autenticazione
3) sistema di autorizzazione
4) aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici
5) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici
6) adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi
7) adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari
8) tenuta di un aggiornato documento programmatico sulla sicurezza
Nel dicembre 2008 è stato introdotto all’articolo 34 il comma 1 bis che dice:
Per i soggetti che trattano soltanto dati personali non sensibili e che trattano come unici dati sensibili quelli costituiti dallo stato di salute o malattia dei propri dipendenti e collaboratori anche a progetto, senza indicazione della relativa diagnosi, ovvero dall’adesione ad organizzazioni sindacali o a carattere sindacale, la tenuta di un aggiornato documento programmatico sulla sicurezza è sostituita dall’obbligo di autocertificazione, resa dal titolare del trattamento ai sensi dell’articolo 47 del testo unico di cui al decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, di trattare soltanto tali dati in osservanza delle altre misure di sicurezza prescritte. In relazione a tali trattamenti, nonché a trattamenti comunque effettuati per correnti finalità amministrative e contabili, in particolare presso piccole e medie imprese, liberi professionisti e artigiani, il Garante, sentito il Ministro per la semplificazione normativa, individua con proprio provvedimento, da aggiornare periodicamente, modalità semplificate di applicazione del disciplinare tecnico di cui all’Allegato B) in ordine all’adozione delle misure minime di cui al comma 1
Trattamenti senza l’ausilio di strumenti elettronici (articolo 35)
Anche nel caso di trattamento con strumenti diversi da quelli elettronici, ad esempio supporto cartaceo, il codice detta le norme per una corretta gestione:
1. Agli incaricati sono impartite istruzioni scritte finalizzate al controllo ed alla custodia, per l’intero ciclo necessario allo svolgimento delle operazioni di trattamento, degli atti e dei documenti contenenti dati personali. Nell’ambito dell’aggiornamento periodico con cadenza almeno annuale dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati, la lista degli incaricati può essere redatta anche per classi omogenee di incarico e dei relativi profili di autorizzazione.
2. Quando gli atti e i documenti contenenti dati personali sensibili o giudiziari sono affidati agli incaricati del trattamento per lo svolgimento dei relativi compiti, i medesimi atti e documenti sono controllati e custoditi dagli incaricati fino alla restituzione in maniera che ad essi non accedano persone prive di autorizzazione, e sono restituiti al termine delle operazioni affidate.
3. L’accesso agli archivi contenenti dati sensibili o giudiziari è controllato. Le persone ammesse, a qualunque titolo, dopo l’orario di chiusura, sono identificate e registrate. Quando gli archivi non sono dotati di strumenti elettronici per il controllo degli accessi o di incaricati della vigilanza, le persone che vi accedono sono preventivamente autorizzate.
Anche in questo caso, gli incaricati devono essere preventivamente informati sulle modalità di trattamento e di custodia dei dati. Per i dati sensibili o giudiziari deve essere garantita l’impossibilità di accesso da parte di persone prive di autorizzazione. L’accesso ai dati sensibili o giudiziari dopo l’orario di chiusura deve avvenire dopo identificazione e registrazione delle persone.
Queste informazioni sono tratte dalla mia guida dedicata all’argomento della privacy, spero che possano essere state utili a scoprire qualcosa di nuovo sulle misure minime. Nel prossimo articolo affronteremo le modalità di controllo e le possibili sanzioni.
ATTENZIONE IN DATA 13/03/2010 SEGNALO CHE:
per chi si iscrive alla newsletter gratuita di INAZIENDA è possibile scaricare una guida operativa che credo possa mettere un po’ di chiarezza sull’argomento. Per procedere alla registrazione ed al download gratuito di “Privacy in Pratica” è possibile utilizzare questo link.
*** Aggiornamento 26/05/2010
Pubblicato http://lnx.hostingservizi.it/blogaziende/notizie-per-imprese/privacy-dps-nuovo-progetto-da-sviluppare/
** AGGIORNAMENTO 31/07/2010
Vi ricordo che a questo indirizzo www.hostingservizi.it/paginerichieste/richiesta0001.html potete richiedere l’invio del materiale informativo e prenotarvi per partecipare al programma beta con l’invio gratuito della prima versione del software a partire da ottobre.
.