FATE CLIC QUI PER MAGGIORI INFORMAZIONI
Il Testo Unico in materia di protezione dei dati personali denominato "Codice" della privacy, è stato definitivamente approvato dal Consiglio dei Ministri il 27 giugno scorso e pubblicato nella Gazzetta Ufficiale del 29 luglio 2003, Serie generale n. 174, Supplemento ordinario n. 123/L (decreto legislativo 30 giugno 2003, n. 196). Il provvedimento, sulla base dell'esperienza di 6 anni, riunisce in unico contesto la legge 675/1996 e gli altri decreti legislativi, regolamenti e codici deontologici che si sono succeduti in questi anni.
Devono adeguarsi tutti coloro che trattano dati personali : aziende, professionisti, cooperative, associazioni, P.A., scuole, comuni, ospedali, enti pubblici, banche, artigiani, ecc. (ovvero chiunque tratti dati personali di clienti, cittadini, dipendenti, fornitori, utenti, pazienti, colleghi, soci, associati ecc.).
Tre anni di prigione
e il blocco dell'attività.
Inasprite di molto le sanzioni, anche pecuniarie, per chi non rispetta
la legge sulla privacy e la sicurezza dei dati trattati.
Le sanzioni previste dal nuovo Testo Unico sono pesanti. Per informativa
omessa oppure non idonea, si va dai 5 ai 30 mila euro.
Per notificazione omessa o incompleta, la pena va dai 10 ai 60 mila euro, più
le spese di pubblicazione dell'ordinanza.
Per omessa informazione al Garante, le pene vanno da 4 a 24 mila euro. Per la
cessione di dati in violazione dei disposti del Codice, la pena è tra
i 5 e i 30 mila euro.
Inoltre, chi tratta dati personali ha la responsabilità civile (e quindi
l'obbligo di risarcimento al danneggiato), anche se non è in grado di
provare di avere adottato tutte le misure idonee per evitare il danno stesso.
Ma non ci sono solo sanzioni pecuniarie. Il Testo Unico prevede infatti pene
detentive fino a 3 anni per falsa notifica o false informazioni al Garante,
trattamento illecito di dati personali, compresa l'illecita comunicazione a
terzi o diffusione dei dati, l'omessa adozione delle misure necessarie alla
sicurezza dei dati e l'inosservanza dei provvedimenti del Garante.
Infine – fatto che forse più di tutti indurrà le aziende a mettersi
in regola al più presto – la nuova legge prevede in caso di violazione
delle norme il blocco temporaneo di ogni operazione del trattamento dei dati.
Ovvero, in molti casi, la paralisi operativa dell'impresa.
Informativa
omessa oppure non idonea:
Dai 5 ai 30 mila euro.
Per notificazione omessa o incompleta:
Dai 10 ai 60 mila euro.
Per omessa informazione al Garante:
Dai 4 ai 24 mila euro.
Per la cessione di dati in violazione dei disposti
del Codice:
Dai 5 ai 30 mila euro.
Pena detentiva:
Fino a 3 anni.
FATE CLIC QUI PER MAGGIORI INFORMAZIONI
Sistemi per l'autenticazione
e l'autorizzazione;
strumenti di protezione;
backup;
cifratura per tutti i dati sensibili nelle aziende che trattano dati personali.
In particolare,
negli articoli 34 e 35 del nuovo Testo Unico è contenuta una puntuale
elencazione delle misure minime da adottare che, per quanto riguarda il trattamento
con strumenti elettronici, consistono in:
a) autenticazione informatica;
b) adozione di procedure di gestione delle credenziali di autenticazione;
c) utilizzazione di un sistema di autorizzazione;
d) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito
ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti
elettronici;
e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti
illeciti di dati, ad accessi non consentiti e a determinati programmi informatici;
f) adozione di procedure per la custodia di copie di sicurezza, il ripristino
della disponibilità dei dati e dei sistemi;
g) tenuta di un aggiornato documento programmatico di sicurezza;
h) adozione di tecniche di cifratura o di codici identificativi per determinati
trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale
effettuati da organismi sanitari.
Tra le varie novità
c'è la risistemazione sulle misure di sicurezza , minime e non, nel Titolo
V, intitolato appunto «Sicurezza dei dati e dei sistemi», e nell'allegato
tecnico B.
Una delle principali innovazioni riguarda l'individuazione dei cosiddetti «
particolari titolari », contenuta nell'art. 32 del testo di legge.
Abbandonate le distinzioni tra elaboratori stand-alone, elaboratori che operano
esclusivamente in rete privata ed elaboratori invece collocati in reti accessibili
al pubblico, ora lo scenario possibile finisce per essere uno solo, ossia quello
dei «servizi di comunicazione accessibili al pubblico», laddove
per «servizi» dovremo intendere «qualsiasi servizio della
società dell'informazione, vale a dire qualsiasi servizio prestato normalmente
dietro retribuzione, a distanza, per via elettronica e a richiesta individuale
di un destinatario di servizi».
I particolari titolari saranno quindi quei soggetti che forniranno i servizi
di comunicazione accessibili al pubblico ed è su costoro che graverà
l'obbligo di adottare le «idonee misure tecniche e organizzative»
in grado di «salvaguardare la sicurezza dei suoi servizi, l'integrità
dei dati relativi al traffico, dei dati relativi all'ubicazione e delle comunicazioni».
Una delle principali novità del testo di legge consiste nel prevedere
una cooperazione tra il fornitore della rete pubblica di telecomunicazioni e
il fornitore del servizio di comunicazione elettronica, qualora tale cooperazione
sia richiesta in considerazione della «sicurezza del servizio o dei dati
personali».
La cosa potrebbe portare quindi a una sorta di controllo reciproco sulla corretta
adozione e implementazione delle misure di sicurezza, onde scagionare il rischio
che una condotta non conforme dell'uno possa far incorrere in sanzioni anche
l'altro.
Nel caso in cui l'accordo non s'instauri o venga meno, sarà l'Autorità
Garante per le Comunicazioni a dipanare la controversia, a riprova dell'importanza
che il nuovo Testo Unico ha voluto attribuire al dialogo tra fornitori.
Nel terzo comma dell'art. 32, infine, è contenuta un'ulteriore e pesante
incombenza a carico del fornitore di servizi di comunicazione elettronica accessibile
al pubblico, ossia l'obbligo di informare «gli abbonati e, ove possibile,
gli utenti» nel caso sussista un particolare rischio di violazione della
sicurezza della rete, specificando che a carico del fornitore stesso graveranno
tutti i costi per approntare i rimedi che consentano di ridurre il coefficiente
di rischio.
La stessa informativa dovrà inoltre essere comunicata al Garante per
la protezione dei dati personali e all'Autorità per la Garanzia delle
Comunicazioni.
Tra gli altri articoli
del testo di legge, ci si imbatte nel Capo II, espressamente intitolato «
Misure minime di sicurezza », che prevede solo due tipologie di trattamento:
«con» oppure «senza l'ausilio di strumenti elettronici»;
ed è di quest'ultima che ci occuperemo.
L'elencazione delle procedure che debbono essere messe in atto per garantire
la sicurezza minima del sistema strano a dirsi è accompagnata dalla scomparsa
della figura dell'amministratore di sistema, nemmeno menzionata.
Tra le misure di sicurezza molta enfasi viene data alle cosiddette procedure
di autenticazione e autorizzazione , specificate nel dettaglio all'interno dell'allegato
tecnico B.
A norma dell'allegato tecnico, quindi, il codice identificativo o la parola
chiave dovranno essere costituiti da almeno otto caratteri o comunque dal numero
di caratteri consentiti dal sistema se inferiore a otto, oltre a non contenere
riferimenti direttamente riconducibili all'incaricato (data di nascita, nome
della moglie, ecc.).
Inoltre dovranno essere modificati al primo utilizzo e, successivamente,
ogni sei mesi nel caso di dati personali, mentre nel caso di dati sensibili
o giudiziari la modifica dovrà intercorrere ogni novanta giorni.
Ciò si collega
direttamente con quanto previsto nell'art. 34 lett. b del Codice, in cui è
prescritta l'adozione di «procedure di gestione delle credenziali di autenticazione».
Tra le procedure vanno annoverate, oltre all'accortezza nella scelta e la modifica
del codice identificativo trascorso un determinato lasso di tempo, anche la
predisposizione di una scadenza automatica delle credenziali non utilizzate
per 180 giorni , eccezion fatta per quelle cosiddette «di gestione tecnica».
Inoltre, viene prevista una verifica costante e continua della sussistenza della
qualità che consente l'accesso ai dati personali, così da consentire
l'immediata disattivazione qualora la qualifica venga meno.
Infine, dovranno essere predisposte le modalità per far sì che
l'elaboratore non sia in nessun caso accessibile qualora l'incaricato debba
assentarsi dalla propria postazione per un periodo più o meno prolungato,
per evitare qualsiasi trattamento non consentito (anche per andare a prendere
un caffè? In teoria sì).
Il «trattamento» non consiste infatti solo nella modifica o copia
del dato: anche la semplice presa visione può essere considerata, a tutti
gli effetti, trattamento.
Novità anche
in ulteriori capi del disciplinare tecnico, intitolato « Altre misure
di sicurezza »: in particolare, l'obbligo di redazione della lista degli
incaricati, che dovrà essere aggiornata con cadenza «almeno annuale
per classi omogenee di incarico e dei relativi profili di autorizzazione».
Un altro punto riguarda la protezione dai virus informatici . Rispetto alla
legge precedente, che parlava di «idonei programmi» atti a difendere
dai virus, nell'allegato tecnico si parla genericamente di «idonei strumenti
elettronici», nei quali possono essere compresi, quindi, sia strumenti
software che hardware, i quali purtroppo conservano il lasso di tempo originariamente
previsto per l'aggiornamento e che già fu motivo di ilarità tra
gli operatori della sicurezza: ossia la cadenza «almeno semestrale»
d'aggiornamento.
Ulteriori disposizioni riguardano l'aggiornamento dei « programmi per
elaboratore volti a prevenire la vulnerabilità di strumenti elettronici
e a correggerne difetti », che dovrà essere effettuato annualmente
o, nel caso si trattino dati cosiddetti sensibili o giudiziari, semestralmente,
nonché la predisposizione di procedure che facilitino il cosiddetto disaster
recovery.
La previsione di un aggiornamento obbligatorio per i software e, soprattutto,
per gli strumenti elettronici che comunque contribuiscono alla messa in sicurezza
dei sistemi dà nuovamente conferma di come il nuovo disciplinare tecnico
sia più approfondito e pignolo rispetto al D.P.R. 318/99.
Per quanto, invece, concerne la previsione di « istruzioni organizzative
e tecniche » che prescrivano il salvataggio dei dati con una cadenza almeno
settimanale, è evidente la stretta connessione con la procedura di disaster
recovery, la quale deve sempre essere prevista per far sì che, in caso
di problemi, non venga meno uno degli obiettivi principali della sicurezza nel
trattamento dei dati: la disponibilità dei dati stessi.
Il Documento Programmatico
sulla Sicurezza, che chiunque tratti dati personali sarà obbligato a
stilare, serve a valutare il possibile rischio circa la sicurezza dei dati,
in modo da poter escogitare contromisure efficaci.
Qui il Testo Unico supera nettamente la precedente disciplina , che ne prescriveva
la redazione solo nel caso di trattamento di dati sensibili o giudiziari effettuato
mediante elaboratori in rete accessibile al pubblico.
Come ultime due novità introdotte dal Testo Unico si evidenzia innanzitutto
la previsione per cui il Documento Programmatico sulla Sicurezza dovrà
essere redatto o, se preesistente, aggiornato con cadenza annuale entro il 31
marzo di ogni anno; e inoltre la previsione per cui sarà compito del
titolare del trattamento dar notizia ogni anno dell'aggiornamento nella relazione
accompagnatoria del bilancio.
FATE CLIC QUI PER MAGGIORI INFORMAZIONI
Generazione di tutti i documenti richiesti dal legislatore:
Insieme al servizio per la certificazione, viene fornito un corso di 3 ore sul DL 196/2003:
Programma del corso:
1° Modulo:
2° Modulo:
3° Modulo: