Trattamento dei dati senza strumenti elettronici

La seconda parte del codice della privacy è dedicata alla sicurezza dei dati e dei sistemi informativi.

I dati possono essere trattati innanzitutto senza l’ausilio di strumenti elettronici. In tal caso l’art. 35 del Codice predispone le misure minime di sicurezza da adottare ed impone:

– Di tenere aggiornata la lista degli incaricati e le loro mansioni;
– Di disporre procedure idonee per la custodia di atti e documenti, garantite attraverso verifiche e controlli periodici;
– Di implementare procedure di accesso selezionato, per i dati sensibili e giudiziari.

Tale norma fa rinvio al disciplinare tecnico contenuto nell’allegato B essenziale per l’attuazione delle misure minime imposte dal codice. In questo allegato si precisa che il titolare, il responsabile, ove designato, e l’incaricato, in caso di trattamento con strumenti diversi da quelli elettronici devono rispettare alcune modalità tecniche di trattamento dei dati.
Agli incaricati sono impartite istruzioni scritte finalizzate al controllo ed alla custodia, per l’intero ciclo necessario allo svolgimento delle operazioni di trattamento, degli atti e dei documenti contenenti dati personali. Nell’ambito dell’aggiornamento periodico con cadenza almeno annuale dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati, la lista degli incaricati può essere redatta anche per classi omogenee di incarico e dei relativi profili di autorizzazione.

Quando gli atti e i documenti contenenti dati personali sensibili o giudiziari sono affidati agli incaricati del trattamento per lo svolgimento dei relativi compiti, i medesimi atti e documenti sono controllati e custoditi dagli incaricati fino alla restituzione in maniera che ad essi non accedano persone prive di autorizzazione, e sono restituiti al termine delle operazioni affidate.
L’accesso agli archivi contenenti dati sensibili o giudiziari è controllato. Le persone ammesse, a qualunque titolo, dopo l’orario di chiusura, sono identificate e registrate.
Quando gli archivi non sono dotati di strumenti elettronici per il controllo degli accessi o di incaricati della vigilanza, le persone che vi accedono sono preventivamente autorizzate.

Vi sono dunque delle regole di comportamento che è necessario seguire innanzitutto per la protezione degli ambienti di elaborazione dati. A tal fine è necessario:

  • Verificare che gli impianti di illuminazione esterna all’ambiente di lavoro siano funzionanti
  • Attivare gli impianti antifurto e di videosorveglianza nel momento in cui si abbandona un locale
  • Chiudere porte e finestre nel momento in cui si abbandona un locale.
  • Segnalare immediatamente al responsabile o al soggetto competente le eventuali anomalie.
  • Verificare periodicamente il corretto funzionamento degli impianti elettrici.

In secondo luogo è necessario proteggere gli archivi:

  • Filtrare e selezionare gli accessi ai locali in cui sono conservati i documenti cartacei.
  • Utilizzare armadi e cassettiere con chiusura a chiave, possibilmente ignifughi.
  • Rendere disponibili gli strumenti di archiviazione più robusti (armadi blindati e/o ignifughi) per l’archiviazione dei dati più critici.
  • Riporre in ordine tutti i documenti utilizzati durante le attività lavorative.
  • Dotare la struttura di cassaforte.

Siti suggeriti da Tesi in diritto