Legge sulla privacy

I principali adempimenti

1. Gli interessati o le persone presso le quali sono raccolti i dati devono ricevere l'informativa di cui all'art. 13.
2. Il trattamento di dati personali da parte di privati o di enti pubblici economici richiede l'acquisizione del consenso da parte dell'interessato (in caso di dati sensibili il consenso deve essere scritto).
3. Il trattamento di dati sensibili deve avvenire in conformità con quanto previsto dalle autorizzazioni, generali o specifiche, rilasciate dal Garante.
4. Per i trattamenti iniziati prima del 1° gennaio 2004, le notificazioni al Garante, se si rientra in una delle ipotesi previste dall'art. 37, dovevano essere effettuate entro il 15 maggio 2004.
5. Le misure minime di sicurezza di cui agli articoli da 33 a 35 e all'allegato B) devono essere adottate entro il 31 dicembre 2005, sia per i dati cartacei che per i dati trattati con strumenti elettronici.

Quali sono le principali misure minime?

La normativa riporta una serie di indicazioni generali riguardo agli interventi minimi da realizzare, descritti in dettaglio all'interno dell'allegato B - "Disciplinare tecnico in materia di misure minime di sicurezza"

Trattamenti con l'ausilio di strumenti elettronici

• Gli incaricati del trattamento di dati personali devono disporre di credenziali di autenticazione (es. password) individuali che devono essere ideate, gestite ed aggiornate secondo criteri di sicurezza, e quindi ad esempio non devono corrispondere alla propria data di nascita e devono essere modificate almeno ogni 6 mesi (3 in caso di dati sensibili o giudiziari).
• I profili di autorizzazione degli incaricati, che definiscono a quali dati l'incaricato può accedere, nonché i trattamenti a lui consentiti, devono essere individuati in modo da limitare l'accesso ai soli dati necessari per effettuare le operazioni di trattamento e verificati con cadenza almeno annuale.
• I dati personali devono essere protetti da trattamenti illeciti e da accessi non consentiti anche mediante l'attivazione di idonei programmi (es. antivirus, firewall, ...) che devono essere correttamente installati e settati ed aggiornati con cadenza almeno semestrale.
• Devono essere impartite istruzioni organizzative e tecniche che prevedono il salvataggio dei dati con frequenza almeno settmanale, l’ adozione di procedure per la custodia delle copie di sicurezza, nonchè le modalità di ripristino della disponibilità dei dati e dei sistemi in caso di danneggiamento.

Entro il 31 marzo di ogni anno (nel 2004 entro il 30 giugno), i titolari di trattamenti di dati sensibili o giudiziari devono redigere un Documento Programmatico sulla Sicurezza (DPS) che descriva e giustifichi la politica di sicurezza adottata. Il Documento deve contenere idonee informazioni in primo luogo riguardo:

• l'elenco dei trattamenti effettuati
• la distribuzione di compiti e responsabilità
• l'analisi dei rischi che incombono sui dati
• le misure di sicurezza adottate e da adottare
• i criteri di ripristino dei dati a seguito di distruzione o danneggiamento
• la formazione degli incaricati

Misure ulteriori sono previste a protezione dei dati sensibili o giudiziari

Trattamenti effettuati senza l'ausilio di strumenti elettronici

• Devono essere impartite istruzioni scritte agli incaricati finalizzate al controllo e alla custodia degli atti e dei documenti contenenti dati personali.
• Deve essere previsto l'aggiornamento almeno annuale dell'individuazione dell'ambito di trattamento consentito ai singoli incaricati.
• L'accesso agli archivi contenenti dati sensibili o giudiziari deve essere controllato.

---

Magritte si avvale della consulenza di Gea Associati Studio Tecnico, per tutte le problematiche inerenti la legge sulla sicurezza sui luoghi di lavoro (626) e la nuova legge sulla privacy