|
|
LA
NUOVA LEGGE SULLA PRIVACY
CODICE
IN MATERIA DI PROTEZIONE DEI DATI PERSONALI: DECRETO LEGGE 196/2003
|
|
|
E’
la recente normativa (Decreto Legge N° 196, del 30/06/2003) nota
come "Codice in materia di protezione dei dati personali".
Che recepisce la direttiva europea 58/2002 allineando l'Italia agli
altri paesi europei.
Questa legge perfeziona, completa, raggruppa il cammino legislativo
effettuato dall'Italia in materia di dati personali a partire dalla
legge 675/96, la nota legge "sulla Privacy". |
|
|
A
tutti i soggetti (Enti, Aziende, Associazioni, Studi Professionali,
etc..), pubblici e privati, che trattano dati personali.
La novità più importante è relativa al campo
di applicazione, che non si limita più ai soli dati cosiddetti
"sensibili" (relativi ad esempio alle condizioni di salute
o giudiziarie dei singoli), ma si estende a tutti i dati che non siano
strettamente relativi a chi li detiene, sia su un sistema informatico,
o su un registro cartaceo. |
Cosa
sono
i dati personali: |
|
Sono
qualunque informazione relativa a persona fisica, persona giuridica,
ente od associazione.
I dati considerati dalla Normativa possono essere riassunti:
1)
Dati Personali.:
I dati che permettono l’identificazione diretta dell’interessato.
2) Dati
identificativi.:
Dati che consentono di correlare i “Dati Personali” alle
persone o enti cui sono relativi; ad esempio, il numero di codice
identificativo che permette di associare una determinata fattura al
relativo cliente.
3) Dati
Sensibili.:
I dati che per loro natura potrebbero essere causa di discriminazioni;
ad esempio, dati relativi alla vita ed ai gusti sessuali, al credo
politico, alla religione professata, allo stato di salute e così
via.
Si tratta nella sostanza di quei dati più comunemente considerati
degni di protezione da parte della normativa sulla “privacy”,
costituenti una sottocategoria dei
“Dati Personali”.
4) Dati
Giudiziari.:
I dati utili a rilevare la condizione giudiziaria – presente,
pregressa o in fase di definizione – di persone fisiche o giuridiche.
|
|
|
Prevede
che ciascun soggetto tratti i dati personali con canoni di riservatezza,
liceità, con finalità compatibili con il reale scopo
del trattamento. Inoltre prevede che debbano essere adottate misure
tecniche ed obblighi di sicurezza in relazione al grado di sensibilità
dei dati trattati ed al contesto tecnologico con cui è effettuato
il trattamento.
La normativa riporta una serie di indicazioni generali riguardo ai
trattamenti minimi da realizzare: elenca quali siano le finalità
primarie che i disposti del decreto legislativo devono garantire rispetto
alle informazioni, ovvero:
• la massima riduzione dei rischi
di distruzione o perdita;
in questo caso deve essere creato un sistema di salvataggio che non
si limiti ad un generica copia “una tantum”
• la massima riduzione dei rischi
di intrusione di estranei
non autorizzati tra i dati, tanto per la loro lettura, quanto per
il loro utilizzo non consono ai dati stessi.
Tali misure consistono nell’attivare: |
|
|
•
AUTENTICAZIONE PER L’ACCESSO AI DATI.:
Un sistema di autenticazione per l’accesso ai dati –
Si tratta della gestione dei codici di accesso – password
o simili in particolare – alle macchine ed ai dati; tali password
dovranno secondo i dettami del “Disciplinare Tecnico”,
essere gestite in modo razionale da un Responsabile, periodicamente
aggiornate, ideate secondo criteri di sicurezza – quindi non
banalmente adottando date di nascita o nominativi di parenti –
• PROTEZIONE DEGLI STRUMENTI
E DEI DATI.:
La protezione degli strumenti elettronici e dei dati rispetto a
trattamenti illeciti di dati, ad accessi non consentiti e a determinati
programmi informatici; tale protezione si riferisce, in campo elettronico,
ad esempio ai cosiddetti “worm” – programmi spia
che, inserendosi nel sistema operativo, rendono i computer accessibili
dall’esterno per via telematica -, ai virus informatici, agli
attacchi da parte di hacker – i cosiddetti “pirati informatici”-.
In prima battuta si parla di programmi antivirus e di firewall,
che devono essere correttamente installati, settati e regolarmente
aggiornati.
• DISASTER RECOVERY.:
L’adozione di procedure per la custodia di copie di sicurezza,
il ripristino della disponibilità dei dati e dei sistemi,
ovvero non semplici copie pur fatte ad intervalli regolari, ma un
sistema efficiente e completo per garantire l’integrità
dei dati.
• TECNICHE DI CIFRATURA.:
L’adozione di tecniche di cifratura o di codici identificativi
per determinati trattamenti di dati idonei a rivelare lo stato di
salute o la vita sessuale dell’individuo, ovvero tecniche
avanzate di protezione applicate direttamente ai dati, qualora essi
siano cosiddetti “sensibili”.
• DOCUMENTO PROGRAMMATICO SULLA
SICUREZZA.:
La tenuta di un aggiornato documento programmatico sulla sicurezza,
ovvero di un documento all’interno del quale venga descritta
e giustificata la politica di sicurezza adottata. In particolare,
entro il 31 marzo ciascun anno dovrà essere redatto e aggiornato
il DPS (Documento Programmatico sulla Sicurezza) successivamente
da allegare alla relazione accompagnatoria del bilancio di esercizio
dell'azienda (art. 26 dell'allegato tecnico B del TU), a dimostrazione
delle misure adottate e della loro adeguatezza alle necessità
particolari.
• TUTELA E GARANZIE.:
Il titolare che adotta misure minime di sicurezza avvalendosi di
soggetti esterni alla propria struttura, per provvedere alla esecuzione
riceve dall’installatore una descrizione scritta dell’intervento
effettuato che ne attesta la conformità all’allegato
B, disciplinare tecnico in materia di misure minime di sicurezza
(art. 25). |
|
|
Chiunque
omette di adottare le misure minime di sicurezza è punito con
l'arresto fino a due anni o con l'ammenda da 10.000 a 50.000 €.
Chiunque produce atti o documenti falsi, è punito, salvo che
il fatto costituisca più grave reato, con la reclusione da
sei mesi a tre anni. |
©
2000
Neotek
Telefonia
- Informatica - Internet - Networking
Firenze - tel: 055 5047086 - fax: 055 5534697
|
|
