Home » Servizi » Consulenza in materia di tutela della privacy » Sintesi Testo Unico delle norme poste a tutela della Privacy » Trattamento dei dati con strumenti elettronici: misure minime di sicurezza

Trattamento dei dati con strumenti elettronici: misure minime di sicurezza

L’art.34 del Codice stabilisce che vi sono alcuni provvedimenti considerati “minimi” da adottare in caso di trattamento di dati con strumenti elettronici. L’allegato B specifica che, innanzitutto, è necessario designare un Responsabile della sicurezza dei sistemi informativi. In attuazione di tale norma è stato regolamentato il ruolo dell’Amministratore di Sistema. Il Garante per la privacy, infatti, con provvedimento del novembre 2008 ha fornito linee guida finalizzate a fare in modo che la responsabilità del trattamento di dati contenuti in banche dati digitali sia riconosciuta in capo a soggetti qualificabili come “figura professionale dedicata alla gestione e alla manutenzione di impianti di elaborazione con cui vengano effettuati trattamenti di dati personali, compresi i sistemi di gestione delle basi di dati, i sistemi software complessi quali i sistemi ERP (Enterprise resource planning) utilizzati in grandi aziende e organizzazioni, le reti locali e gli apparati di sicurezza, nella misura in cui consentano di intervenire sui dati personali.”

E’ consentito esternalizzare la procedura di adozione delle misure minime di sicurezza imposte per il trattamento dei dati con strumenti elettronici. In tal caso il titolare deve ricevere dall’installatore una descrizione scritta dell’intervento effettuato che ne attesta la conformità alle disposizioni di legge.
L’allegato B, poi, dispone che le misure minime di sicurezza devono essere le seguenti:

  1. Il trattamento di dati personali con strumenti elettronici è consentito agli incaricati dotati di credenziali di autenticazione che consentano il superamento di una procedura di autenticazione relativa a uno specifico trattamento o a un insieme di trattamenti.
  2. Le credenziali di autenticazione consistono in un codice per l’identificazione dell’incaricato associato a una parola chiave riservata conosciuta solamente dal medesimo oppure in un dispositivo di autenticazione in possesso e uso esclusivo dell’incaricato, eventualmente associato a un codice identificativo o a una parola chiave, oppure in una caratteristica biometrica dell’incaricato, eventualmente associata a un codice identificativo o a una parola chiave.

L’allegato B prevede che il Titolare del trattamento di dati sensibili e/o giudiziari mediante strumenti elettronici deve annualmente predisporre il DPS*. Esso è un documento organico che va annualmente valutato e aggiornato e reca gli stremi di identificazione del Titolare, dei responsabili e degli incaricati, l’indicazione delle banche dati presenti e dei supporti elettronici o cartacei che le contengono, nonché l’analisi dei rischi. Tale sezione del DPS è redatta dopo aver valutato i rischi di dispersione o distruzione dei dati generati dalla condizione degli edifici in cui fisicamente sono conservati (incendio, terremoto, corto circuito elettrico, allagamento ecc.), dalla condotta delle persone fisiche che trattano i dati (furto e sottrazione di dati) e dalla condizione stessa in cui gli archivi sono tenuti (armadi senza serratura, computer senza gruppi di continuità e senza protezioni da intrusioni esterne, ecc.).

L’analisi dei rischi rappresenta il momento in cui, individuate le minacce, si stabiliscono le misure da adottare per limitarne la gravità. Il DPS deve contenere anche la pianificazione di un percorso formativo per gli incaricati. Troppo spesso, infatti, si dimentica che tra le misure minime di sicurezza imposte dalla legge c’è anche la formazione, strumento essenziale per prevenire problemi. Una valida formazione presuppone la conoscenza attenta ed approfondita da parte del formatore della concreta realtà in cui è chiamato ad intervenire e l’osservazione accurata del modus operandi degli incaricati al fine di individuare i punti deboli. Il formatore, dunque, deve essere un consulente e operare evitando lunghe e noiose sessioni formative meramente teoriche. Va privilegiato, infatti, un approccio concreto e fattivo ai problemi che quotidianamente i responsabili e gli incaricati si trovano ad affrontare.

Al DPS sono allegate le nomine dei responsabili, dell’amministratore di sistema, dei responsabili esterni e degli incaricati e, a partire dal 2007, il Disciplinare per l’utilizzo di Internet, importante documento che deve essere sottoposto alle rappresentanze sindacali aziendali e affisso in luogo ben visibile affinché i dipendenti ne acquisiscano opportuna conoscenza. Tale documento è stato introdotto al fine di prevenire eventuali violazioni della privacy dei dipendenti operate mediante il monitoraggio (spesso involontario) della navigazione in internet oppure della posta elettronica.

[button link=”mailto:info-tesi_at_tesiindiritto.com?subject=Richiesta%20Consulenza%20privacy&body=Per%20favore%20sostituisci%20%20_at_%20%20con%20la%20chiocciola%20%20@” color=”black” size=”large”]Chiedi una consulenza in materia di tutela della privacy[/button] [button link=”http://www.tesiindiritto.com/servizi/consulenza-in-materia-di-tutela-della-privacy/” color=”black” size=”large”]Maggiori informazioni sul servizio di consulenza privacy[/button]

*AGGIORNAMENTO: A seguito del decreto legge n.5 del 9 febbraio 2012 convertito nella legge n.35 del 4 aprile 2012, a far data dal 10/2/2012 è stato abrogato l’articolo 34 I comma let. g del decreto legislativo numero 196 del 2003 e le collegate disposizioni dell’Allegato B. Pertanto non è più obbligatorio redigere ed aggiornare il DPS.

Per un approfondimento si rinvia all’articolo:
La semplificazione in materia di Privacy: l’abolizione del DPS

Siti suggeriti da Tesi in diritto