Questo testo, approvato con il Decreto legislativo 30 giugno 2003, n. 196, riunifica tutta la materia precedente, abrogando tra l'altro addirittura la famosa legge 675/1996 sul trattamento dei dati personali ed il relativo regolamento di attuazione, e componendo in un'unica “legge” tutte le disposizioni in materia di privacy (per vedere il Codice integrale vi rimandiamo alla seguente pagina). Ma non si tratta solo di una raccolta, ci sono anche alcune novità che vale la pena analizzare.
Diciamo subito che gli aggiornamenti della legge riguardano in modo marcato coloro che gestiscono i dati (come ad esempio i responsabili dei sistemi informativi). Per il singolo utente consumer i diritti pregressi permangono.
Quando contattare il Garante
Il primo, molto positivo, cambiamento riguarda l'obbligo di notifica al
garante che, da “generale”, diventa “residuale”.
E' quindi previsto solo in alcuni casi (si vedano gli artt.
37 e 38 del nuovo codice), fra i quali citiamo a titolo di esempio il trattamento
di dati relativi allo stato di salute, alle scelte politiche o religiose, alle
preferenze di acquisto, alla situazione patrimoniale, o ancora i dati sulla
posizione geografica di soggetti, come nel caso delle “celle” della
rete di telefonia mobile.
Anche se ci sono voluti diversi anni, si è capito che inondare di carta gli uffici del Garante non porta a molti risultati e anzi implica lavoro inutile, sia per le aziende che per lo stesso ente di controllo.
Gestione semplificata
Sono poi introdotte altre modifiche volte alla semplificazione generale della
gestione dei trattamenti dei dati.
Il nuovo codice, infatti, si basa sul “principio di necessità”, secondo cui i sistemi informativi dovranno essere in ogni caso configurati riducendo al minimo l'utilizzazione di dati personali e di dati identificativi.
In altri termini, dovranno essere impiegate tecniche di identificazione del soggetto solo in caso di necessità in tutti i casi in cui ciò sia possibile, ad esempio associando un ID ad una determinata persona, sempre che le finalità del trattamento siano realizzabili anche in questo modo.
Le misure di sicurezza
Rimangono, ovviamente, le norme in materia di misure di sicurezza che devono
essere adottate da tutti coloro che gestiscono un sistema informatico, regolate
nel titolo V del nuovo codice.
È al riguardo confermato che i dati personali oggetto di trattamento debbono essere custoditi e controllati anche in relazione alle conoscenze acquisite in base al progresso tecnico nonché alla natura dei dati al fine di ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita dei dati, di accesso non autorizzato o di trattamento non consentito o non conforme alla finalità della raccolta.
Sono le già note “misure minime di sicurezza”, definite dal nuovo codice come quel complesso di misure tecniche, organizzative, logistiche e procedimentali di sicurezza che sono in grado di dare un livello minimo di protezione. Il codice si spinge oltre e identifica le singole misure da adottare definendone gli aspetti tecnici.
A) Innanzi tutto occorre predisporre l'utilizzazione di un sistema di autenticazione informatica, quindi ai computer deve potersi accedere solo ed esclusivamente previo inserimento di user name e password. La password dovrà poi essere custodita dai soggetti autorizzati in modo da garantirne la segretezza. La password, per essere a norma, deve essere composta da un minimo di 8 caratteri, salvo il caso in cui non sia possibile per il tipo di software che si sta utilizzando. Inoltre la password deve essere modificata ogni sei mesi, addirittura tre nel caso di trattamenti di dati sensibili o giudiziari, anche se è difficile capire come le Autorità potranno procedere ad accertare violazioni di questo obbligo. Le password devono inoltre essere dotate di scadenza. Le credenziali di autenticazione non utilizzate da almeno sei mesi debbono essere disattivate, derogando solo nell'ipotesi di un utilizzo meramente finalizzato alla gestione tecnica.
B) Il codice vuole poi dire la sua anche in fatto di definizione dei permessi degli utenti e dei relativi gruppi, parlando di “profili di autorizzazione”. Viene specificato che i profili di autorizzazione per ciascun incaricato o per classi omogenee di incaricati, dovranno essere individuati e configurati anteriormente all'inizio del trattamento: questo al fine di limitare l'accesso ai soli dati effettivamente necessari alla realizzazione delle operazioni di trattamenti cui sono preposti gli incaricati; la verifica in relazione alle condizioni sussistenti la conservazione dei profili di autorizzazione deve avvenire almeno annualmente. Per chi non rispetta le nuove direttive sono previste sanzioni sia amministrative che penali, anche se sono tutte da valutare le modalità di accertamento dell'infrazione.
E' stato ereditato dal vecchio DPR 318/1999 l'obbligo di redazione del documento programmatico sulla sicurezza.
In sostanza, entro il 31 marzo di ogni anno l'amministratore di sistema dovrebbe redigere questo documento, secondo il disciplinare tecnico allegato al codice, dove in pratica devono essere indicate le caratteristiche del trattamento, i rischi che incombono sullo stesso, le misure intraprese e i metodi per ripristinare in caso di crash del sistema o intrusione.
Quest'obbligo suscita qualche perplessità, perché forse
si poteva semplificare ulteriormente. Bisognerà vedere comunque in futuro
come anche questa novità, insieme a tutto il resto del codice, verrà
recepita dalle aziende e da tutti gli altri soggetti interessati ai trattamenti
di dati.
