Le aziende, pubbliche amministrazioni e professionisti devono adottare le nuove "misure minime" di sicurezza introdotte dal Codice della privacy a salvaguardia dei dati personali contenuti negli archivi e redigere ogni 31 marzo il documento programmatico in materia di sicurezza (DPS).

I dati devono essere trattati attraverso alcune misure minime di sicurezza ed in particolare :

1. autenticazione informatica;
2. adozione di procedure di gestione delle credenziali di autenticazione;
3. utilizzazione di un sistema di autorizzazione;
4. aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici;
5. protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici;
6. adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi;
7. tenuta di un aggiornato documento programmatico sulla sicurezza;
8. adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari.

Il DPS deve contenere, in particolare, l'analisi dei rischi che incombono sui dati personali e le tutele da adottare per prevenire la loro distruzione, l'accesso abusivo e la dispersione ed è obbligatorio per chi raccoglie, utilizza e conserva dati sensibili o giudiziari.

Sono soggette all'obbligo di redazione e mantenimento annuale del DPS le aziende e pubbliche amministrazioni che detengono in forma elettronica dati personali:

Questa elencazione è in realtà estremamente estensiva in quanto comprende praticamente tutti gli archivi elettronici (ad es. Rubrica di Outlook, Programmi gestionali ecc...), si può dire quindi che praticamente quasi tutte le aziende sono soggette all'obbligo di redazione del DPS.

Il DPS deve essere redatto ogni 31 marzo e non deve essere inviato al Garante.

Esiste anche l'obbligo di riferire nella relazione di accompagnamento a ciascun bilancio di esercizio (già a partire da quella per il 2003) circa l'avvenuta redazione o aggiornamento del DPS

Il DPS deve comunque avere una data certa garantita attraverso alcune modalità indicate dal Garante.

L' omissione misure di sicurezza è sanzionata con l'arresto fino a due anni o ammenda da 10000 € a 50000 €

Per proporre altre domande scrivi a francesco@smelzo.it

D. E' vero che per la normativa sulla Privacy sono tenuto a cambiare i sistemi operativi dei computer nella mia azienda passando da Windows 98/ME a Window XP?

R. No, non è così: la normativa non prescrive alcun cambiamento di sistema ma solo degli standards di sicurezza minimi da assicurare.
In particolare il disciplinare tecnico allegato al Decreto 196 recita: Il trattamento di dati personali con strumenti elettronici è consentito agli incaricati dotati di credenziali di autenticazione che consentano il superamento di una procedura di autenticazione relativa a uno specifico trattamento o a un insieme di trattamenti quindi, anche se è vero che i sistemi Windows 9x come Windows 98/ME non garantiscono un'adeguato sistema di autenticazione, è anche vero che la protezione non deve essere necessariamente realizzata a livello di accesso al sistema ma al livello del trattamento di dati personali.
Per meglio esemplificare potremmo dire che un programma di fatturazione che disponga di un sistema di autenticazione con password è perfettamente in linea con quanto richiesto dalla legge anche se opera in ambiente Windows 9x.
Anche qualora il programma non disponga di password in sistemi Windows 9x è possibile rispettare la legge semplicemente impostando la password da BIOS, sempre a condizione che la postazione sia utilizzata da un solo operatore.

D. E' vero che per la normativa sulla Privacy sono tenuto ad inviare una specifica informativa sul trattamento dei dati ai miei clienti/fornitori o chiedere il consenso a tale trattamento?

R. Solo in rari casi è consigliabile procedere ad un'informativa scritta ai titolari del dato.
In generale bisogna tener presente che l'informativa può, a norma dell'articolo 13 del decreto, essere resa anche oralmente; si fa ricorso all'informativa scritta soprattutto quando si ha il ragionevole dubbio che il titolare del dato possa voler contestare l'uso dei dati forniti (un esempio è l'invio di materiale promozionale).
Il consenso, a norma dell'art. 24, poi non è richiesto quando "i dati sono trattati in base ad un obbligo previsto dalla legge, da un regolamento o dalla normativa comunitaria". poichè i dati dei clienti/fornitori vengono tenuti proprio per assolvere obblighi di legge (contabilità e fatturazione) sono senz'altro da ritenersi esclusi da tale obbligo.
In conclusione sono da ritenersi del tutto ingiustificate (oltre che manifestamente inutili) pratiche come quella dell'invio di informative, o peggio ancora richieste di consenso, ai propri clienti e/o fornitori; specialmente quando i dati trattati rientrano nei normali rapporti commerciali.
Ovviamente casi particolari sono sempre possibili e vanno valutati singolarmente.