D.Lgs. 196 / 2003

Dal 1 Gennaio 2004 è in vigore, in Italia, il Codice in materia di protezione dei dati personali (Decreto legislativo n. 196 del 30/6/2003) che riforma interamente la disciplina sulla privacy. Il Codice abroga e sostituisce tutte le precedenti leggi, decreti e regolamenti in materia, riunendo in un unico organico contesto l'intera normativa sulla privacy.

Tutti coloro che trattano dati personali sono tenuti a rispettare la nuova normativa, la cui corretta applicazione consente, non solo di adempiere agli obblighi di legge, ma anche, in caso di aziende, enti, professionisti etc. di migliorare l'organizzazione, i processi di lavoro e la qualità dei risultati.

Il Codice richiede l'adozione di diverse misure di sicurezza per garantire che le informazioni trattate siano custodite e controllate secondo alcune misure minime di sicurezza. Oltre alle misure minime il Codice prevede altre misure di sicurezza più ampie ovvero idonee a garantire ulteriormente la protezione dei dati e dei sistemi. In generale il Codice prescrive di fatto la realizzazione di un vero e proprio sistema di sicurezza che protegga i dati custoditi all'interno della propria attività.

Il testo completo del D:Lgs. 196/2003 e ulteriori altre informazioni si possono reperire nel Sito del Garante della Privacy

Adeguamento Organizzativo

La corretta applicazione delle misure di sicurezza previste dal D.Lgs. 196 / 2003 consente non solo di adempiere agli obblighi di legge, ma anche di migliorare l'organizzazione aziendale ottimizzando i processi di lavoro ed operare nella consapevolezza che i dati trattati siano corretti, integri, aggiornati. Si avrà quindi la garanzia di operare in sicurezza e in ottemperanza della legge. In tal modo la sicurezza si trasforma da costo ad investimento e vantaggio competitivo.
I dati che devono essere protetti riguardano sia le persone fisiche sia le persone giuridiche. La protezione dei dati personali va garantita da idonee e preventive misure di sicurezza obbligatorie per chi tratta i dati personali.

Le misure di sicurezza richieste dal Codice sono articolate in due gruppi:

• quelle "minime" o previste dalla legge, la cui mancata adozione comporta sanzioni penali
• quelle più ampie, o "idonee", decise in autonomia in relazione alle proprie specificità

Le misure minime di sicurezza richieste dalla legge sono tecniche, informatiche, organizzative, logistiche e procedurali e sono tutte orientate a ridurre i rischi che incombono sui dati personali trattati.

Documento Programmatico sulla sicurezza

Il Documento Programmatico sulla Sicurezza (DPS) è di importante rilevanza, che deve essere compilato o aggiornato entro il 31 marzo di ogni anno e contenere, tra l'altro:

• l'analisi dei rischi che incombono sui dati
• le misure da adottare per garantire l'integrità e la disponibilità dei dati
• la previsione di idonei interventi formativi degli incaricati del trattamento per renderli edotti dei rischi che incombono sui dati
• la descrizione dei criteri da seguire per garantire l'adozione delle misure minime di sicurezza in caso di outsourcing dei trattamenti.

Inoltre, solo per i dati personali idonei a rivelare lo stato di salute e la vita sessuale trattati da organismi sanitari e gli esercenti di professioni sanitarie, devono essere indicati i criteri da adottare per la cifratura o per la separazione di tali dati dagli altri dati personali dell'interessato.

L'aspetto più innovativo introdotto dal D.Lgs. 196 è che eleva il documento all'attenzione dei vertici aziendali (management) rendendoli consapevoli delle scelte necessarie per garantire la sicurezza ed una migliore organizzazione del trattamento delle informazioni. Infatti vi è l'obbligo per il titolare di riferire nella relazione accompagnatoria del bilancio d'esercizio, se dovuta, dell'avvenuta redazione o aggiornamento del documento programmatico sulla sicurezza.

Le misure per la protezione dei trattamenti elettronici

Tra gli interventi richiesti per la sicurezza dei dati e dei sistemi è necessario organizzare e disciplinare l'uso di:

• sistemi di autenticazione informatica
• credenziali di autenticazione (password, codici identificativi, carte a microprocessore, certificati digitali, strumenti biometrici etc.)
• sistema di autorizzazione informatica
• protezione dalle intrusioni di virus, internet worm, programmi maligni
• aggiornamenti delle vulnerabilità individuate con patch, hot fix, service pack
• protezione da intrusioni
• back up dei dati e organizzazione del ripristino del sistema
• redazione di un aggiornato documento programmatico sulla sicurezza
• tecniche di cifratura.

Certificazione delle misure minime di sicurezza

Le misure da adottare sono molte. Il rischio concreto e reale consiste, in caso di interventi tecnici sul sistema informativo aziendale, nell' avvalersi di tecnici esterni privi di tutte le competenze necessarie.

In tali circostanze, i titolari hanno il diritto di farsi rilasciare, da chi effettua l'intervento, una descrizione scritta di quanto effettuato che ne attesti la conformità alle disposizioni del decreto legislativo.

Il Codice, infatti, prevede questa circostanza e prescrive che chi "adotta misure minime di sicurezza avvalendosi di soggetti esterni alla propria struttura, per provvedere alla esecuzione, riceve dall'installatore una descrizione scritta dell'intervento effettuato che ne attesta la conformità alle disposizioni del disciplinare tecnico" allegato al Codice.