Il termine ultimo per adeguarsi al Decreto legislativo 196/2003 in materia di sicurezza dei dati personali e dei sistemi informatici è il 31 dicembre 2005. Il suddetto decreto, altrimenti denominato Codice Unico sulla Privacy, ha sostituito la precedente normativa 675/96, rinnovandola completamente ed è in vigore dal 1° gennaio 2004, nonostante le smisurate proroghe. Il principale obbligo evidenziato dal Codice sulla Privacy riguarda l'adozione di misure idonee e preventive a garantire la sicurezza dei dati sensibili e personali. All'art. 4 si precisa che per "dato personale" si intende qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale. Nel medesimo articolo si spiega il significato di "dato sensibile", ovvero un dato idoneo a rivelare l'origine razziale o etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonchè i dati personali idonei a rivelare lo stato di salute e la vita sessuale di un soggetto. Tali dati possono essere oggetto di trattamento solo con il consenso consapevole (e scritto per i dati sensibili) dell'interessato, dopo che questo sia stato informato in modo corretto ed esauriente. Partendo dal presupposto che chiunque ha diritto alla protezione dei dati personali che lo riguardano, la legge punisce con la reclusione fino a tre anni e con sanzioni amministrative da 3.000 a 60.000 Euro la diffusione illegale di informazioni, l'acquisizione illegale di dati sensibili, la violazione delle misure di sicurezza e le false dichiarazioni all'Autorità garante. Si sottolinea il principio in base al quale "Chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell'art. 2050 cod. civ.". Il trattamento dei dati personali deve rispettare, inoltre, il principio di necessità, secondo l'art. 3 infatti i sistemi informativi ed i programmi informatici devono essere configurati in modo da ridurre al minimo l'uso di dati personali e di dati identificativi, escludendone il trattamento quando le finalità perseguite nei singoli casi possono essere realizzate anche mediante dati anonimi. E' altresì obbligatoria l'adozione di sistemi di protezione e di autenticazione informatica come username e passward, queste ultime in particolare devono essere cambiate ogni 90 giorni se si tratta di dati sensibili ed ogni 180 giorni se si tratta di dati personali. I sistemi informatici devono obbligatoriamente essere aggiornati, così come i sistemi antivirus; il salvataggio dei dati (il cosiddetto backup) è considerato una misura minima di sicurezza prescritta dalla legge, pertanto va eseguito periodicamente; allo stesso modo deve essere definito un "piano di disaster recovery" che garantisca il ripristino dei dati in caso di emergenza. La normativa riguarda chiunque detenga informazioni o dati personali di terzi sotto qualsiasi forma. Sono interessati dunque: 1) le aziende, indipendentemente dalla loro dimensione; 2) i liberi professionisti; 3) le pubbliche amministrazioni; 4) le associazioni; 5) le cooperative. Ovviamente gli adempimenti sono diversi a seconda delle dimensioni della struttura e della tipologia di trattamento dei dati. Molti di questi adempimenti non hanno mai subito proroghe, per cui si dovrebbe già essere in regol a con le informative, i consensi, la nomina di incaricati sia interni che esterni, le misure di sicurezza fisiche, logiche ed organizzative. La proroga, invece, fino al 31 dicembre 2005 attiene alla redazione del DPS (già contemplato nel Dpr 318/99), ossia del Documento programmatico sulla sicurezza, l'unica documentazione in grado di attestare l'adeguamento alla normativa sulla tutela dei dati personali. In sostanza il DPS è un manuale, che deve essere aggiornato il 31 marzo di ogni anno per mano del responsabile del trattamento dei dati, il quale deve dare conto nella relazione accompagnatoria del bilancio aziendale annuale dell'avvenuta redazione o aggiornamento del documento stesso. Nel DPS deve essere descritto in dettaglio come si tutelano i dati personali dei terzi (clienti, dipendenti, collaboratori, fornitori ecc...) ad ogni fase e ad ogni livello, nonchè l'analisi dei rischi e la programmazione futura. Il documento costituisce prova formale dell'adeguamento sostenuto e deve essere custodito per eventuali controlli da parte del nucleo Privacy della Guardia di Finanza. Infine è bene sapere che il Garante della Privacy ha predisposto sul suo sito (www.garanteprivacy.it) una guida operativa alla redazione del DPS con specifiche ed informazioni su come inviare la notificazione.
Autore: Romina Ridolfi
Autore: Romina Ridolfi
In evidenza oggi: