Mancano ormai pochi giorni all'entrata in vigore delle disposizioni in materia di misure minme di sicurezza, descritte dal D.Lgs. n. 196/2003 e dal suo allegato B). Queste norme, forse per la prima volta nel nostro ordinamento, disciplinano organicamente le modalità di utilizzazione di pc, server, software ed altri strumenti elettronici, qualora vengano utilizzati per il trattamento di dati personali.
E' ormai prossima, infatti, la scadenza del 31 marzo, prevista dall’ultimo decreto milleproroghe (DECRETO LEGGE n. 273/05), per l’entrata in vigore delle parti del Codice Privacy (D.Lgs. n. 196/2003) che impongono a tutti i titolari di trattamento l’adozione delle misure minime di sicurezza in caso di trattamenti di dati effettuati con strumenti informatici.
Chi ci legge abitualmente sa l'importanza che noi attribuiamo alla sicurezza delle macchine e degli archivi, pertanto ci è parso utile esporvi un breve memorandum degli adempimenti che derivano dall'entrata in vigore della normativa sulle misure di sicurezza-privacy.
In particolare, è necessario (per i trattamenti aziendali, ma analogamente è previsto per i trattamenti effettuati da professionisti, enti pubblici, associazioni, sindacati etc.):
- adottare un sistema di password per ogni computer utilizzato (le password vanno modificate ogni 3 o 6 mesi, a seconda che si trattino dati sensibili o meno; devono essere composte da almeno 8 caratteri o il massimo consentito dal programma, e non devono contenere indicazioni agevolmente riconducibili all’utente);
- in caso di più postazioni utilizzate, individuare un sistema di gestione delle password in caso di assenza prolungata dell’interessato;
- in caso di più operatori che intervengano sui computer, individuare un sistema di autorizzazione all’accesso ai vari archivi informatici, in modo che non accada che ogni utente possa accedere a qualsiasi dato aziendale, qualora ciò non sia previamente e scientemente previsto;
- effettuare sempre una copia informatica dei dati presenti nei pc (back up) e conservarla possibilmente in un luogo distante da quello ove avviene il trattamento;
- adottare un programma anti-virus ed un programma anti-intrusione (firewall), ed aggiornarli semestralmente, unitamente a tutti gli altri programmi presenti nei pc aziendali;
- adottare un aggiornato Documento Programmatico sulla Sicurezza (nel caso in cui si trattino dati sensibili) ove siano indicati i trattamenti effettuati, i rischi che incombono sul trattamento, le contromisure adottate, nonché tutti gli altri elementi prescritti dalla normativa;
- la cifratura dei dati idonei a rivelare lo stato di salute e la vita sessuale degli interessati, qualora vengano trattati da esercenti professioni sanitarie.
Ricordiamo che, in caso di trattamenti effettuati in modalità cartacea, è necessario che vengano indicati per iscritto i soggetti abilitati ad accedere agli archivi e che tutti gli archivi vengano collocati in luoghi lontani dall’accesso del pubblico. Possono anche essere collocati in armadi sprovvisti di serratura, purchè però si trovino in ambienti ove siano presenti incaricati del titolare dell’azienda che impediscano un accesso non consentito a soggetti terzi.
Inoltre, non va dimenticato che sono ancora in vigore le disposizioni che impongono ad ogni soggetto che tratti dati personali di:
- prestare l’informativa agli interessati che presenti i requisiti dell’art. 13 del D.Lgs. n. 196/2003
- richiedere il consenso agli stessi prima di trattare i propri dati personali, anche mediante sottoscrizione di apposita clausola di autorizzazione in calce all’informativa;
- autorizzare tutti i propri collaboratori, dipendenti, etc. tramite apposite lettere di nomina ad incaricati di trattamento;
- richiedere ai soggetti cui vengano esternalizzate determinate attività di trattamento di dati aziendali (commercialista, consulente del lavoro, avvocato, etc.) la sottoscrizione di una dichiarazione con la quale si impegnano a trattare i dati loro consegnati nel rispetto delle disposizioni del D.Lgs. n. 196/03, e dell’allegato B), nominandoli al tal fine quali responsabili o incaricati di trattamento
Il consiglio è di ottemperare quanto prima all’assolvimento di tali adempimenti, anche in considerazione del fatto che l’omissione delle misure di sicurezza (Art. 169 del D.Lgs. n. 196/2003) è sanzionata penalmente con l’arresto fino a due anni e con l’ammenda da 10 mila a 50 mila euro.
Fonte
E' ormai prossima, infatti, la scadenza del 31 marzo, prevista dall’ultimo decreto milleproroghe (DECRETO LEGGE n. 273/05), per l’entrata in vigore delle parti del Codice Privacy (D.Lgs. n. 196/2003) che impongono a tutti i titolari di trattamento l’adozione delle misure minime di sicurezza in caso di trattamenti di dati effettuati con strumenti informatici.
Chi ci legge abitualmente sa l'importanza che noi attribuiamo alla sicurezza delle macchine e degli archivi, pertanto ci è parso utile esporvi un breve memorandum degli adempimenti che derivano dall'entrata in vigore della normativa sulle misure di sicurezza-privacy.
In particolare, è necessario (per i trattamenti aziendali, ma analogamente è previsto per i trattamenti effettuati da professionisti, enti pubblici, associazioni, sindacati etc.):
- adottare un sistema di password per ogni computer utilizzato (le password vanno modificate ogni 3 o 6 mesi, a seconda che si trattino dati sensibili o meno; devono essere composte da almeno 8 caratteri o il massimo consentito dal programma, e non devono contenere indicazioni agevolmente riconducibili all’utente);
- in caso di più postazioni utilizzate, individuare un sistema di gestione delle password in caso di assenza prolungata dell’interessato;
- in caso di più operatori che intervengano sui computer, individuare un sistema di autorizzazione all’accesso ai vari archivi informatici, in modo che non accada che ogni utente possa accedere a qualsiasi dato aziendale, qualora ciò non sia previamente e scientemente previsto;
- effettuare sempre una copia informatica dei dati presenti nei pc (back up) e conservarla possibilmente in un luogo distante da quello ove avviene il trattamento;
- adottare un programma anti-virus ed un programma anti-intrusione (firewall), ed aggiornarli semestralmente, unitamente a tutti gli altri programmi presenti nei pc aziendali;
- adottare un aggiornato Documento Programmatico sulla Sicurezza (nel caso in cui si trattino dati sensibili) ove siano indicati i trattamenti effettuati, i rischi che incombono sul trattamento, le contromisure adottate, nonché tutti gli altri elementi prescritti dalla normativa;
- la cifratura dei dati idonei a rivelare lo stato di salute e la vita sessuale degli interessati, qualora vengano trattati da esercenti professioni sanitarie.
Ricordiamo che, in caso di trattamenti effettuati in modalità cartacea, è necessario che vengano indicati per iscritto i soggetti abilitati ad accedere agli archivi e che tutti gli archivi vengano collocati in luoghi lontani dall’accesso del pubblico. Possono anche essere collocati in armadi sprovvisti di serratura, purchè però si trovino in ambienti ove siano presenti incaricati del titolare dell’azienda che impediscano un accesso non consentito a soggetti terzi.
Inoltre, non va dimenticato che sono ancora in vigore le disposizioni che impongono ad ogni soggetto che tratti dati personali di:
- prestare l’informativa agli interessati che presenti i requisiti dell’art. 13 del D.Lgs. n. 196/2003
- richiedere il consenso agli stessi prima di trattare i propri dati personali, anche mediante sottoscrizione di apposita clausola di autorizzazione in calce all’informativa;
- autorizzare tutti i propri collaboratori, dipendenti, etc. tramite apposite lettere di nomina ad incaricati di trattamento;
- richiedere ai soggetti cui vengano esternalizzate determinate attività di trattamento di dati aziendali (commercialista, consulente del lavoro, avvocato, etc.) la sottoscrizione di una dichiarazione con la quale si impegnano a trattare i dati loro consegnati nel rispetto delle disposizioni del D.Lgs. n. 196/03, e dell’allegato B), nominandoli al tal fine quali responsabili o incaricati di trattamento
Il consiglio è di ottemperare quanto prima all’assolvimento di tali adempimenti, anche in considerazione del fatto che l’omissione delle misure di sicurezza (Art. 169 del D.Lgs. n. 196/2003) è sanzionata penalmente con l’arresto fino a due anni e con l’ammenda da 10 mila a 50 mila euro.
Fonte