Massimo Farina, docente di diritto privato ha spiegato in uno dei seminari di e-Academy le criticità della normativa
Lo scorso 31 marzo è scaduto il termine previsto per l’adeguamento totale al
Codice della Privacy (d.lgs. 196/03). “Questa scadenza – ha spiegato Massimo Farina, consulente e docente di Istituzioni
di diritto privato presso la facoltà di Giurisprudenza dell’Università di
Cagliari in un seminario svoltosi a Smau – ha spinto tutti i destinatari
verso l’adeguamento, operazione che in molti casi si è rivelata frettolosa e
approssimativa. Addirittura, molti non sono ancora a conoscenza dei punti
critici degli adempimenti privacy, sui quali per altro ancora regna una certa
confusione”.
Tra le novità più di rilievo
, e meno percepite, troviamo per esempio il sistema di gestione delle credenziali della password, la quale deve essere costituita da almeno otto caratteri e non deve essere riconducibile all’individuo che la utilizza. Tale password deve essere inoltre modificata con una certa frequenza: ogni tre mesi per i dati sensibili o giudiziari e ogni sei mesi per i più dati comuni identificativi di soggetti.
Per quanto riguarda l’adozione di
procedure di gestione delle credenziali, la novità più importante è la
disattivazione della password
: va disabilitata se non viene utilizzata per almeno sei mesi o a seguito della perdita della qualità, nel senso che permette un facile accesso alle informazioni.
Deve inoltre essere garantita la disponibilità dei dati o degli strumenti elettronici in caso di prolungata assenza o impedimento dell’incaricato che goda delle credenziali di autenticazione. Tali procedure devono essere previste indipendentemente dal tipo di dati trattati e dal tipo di accesso previsto per lo strumento elettronico.
“Per quanto riguarda il sistema di autorizzazione – ha affermato Farina – occorre prevedere una verifica almeno annuale delle condizioni per l’autorizzazione, procedura questa che nella precedente disciplina era prevista solo per i dati sensibili o giudiziari oppure trattati con specifici dispositivi elettronici”. Ma l’adempimento più importante
previsto dal codice è il Dps (Documento programmatico per la sicurezza). Secondo la nuova normativa, occorre disporre di un aggiornamento del Dps che deve essere redatto e aggiornato entro il 31 marzo di ogni anno dal titolare del trattamento dei dati sensibili o giudiziari, effettuato con strumenti elettronici e redatto in modo più dettagliato rispetto al passato.
“Molti dubbi – ha spiegato Farina – sussistono ancora su chi è obbligato a redigere il Dps e su quali informazioni deve contenere. Sull’obbligo di redigere il Dps si rileva un contrasto tra l’articolo 34 del codice e l’allegato “b” sulle misure minime di sicurezza. Il mio consiglio è di redigerlo sempre comprendendo l’elenco dei trattamenti e l’analisi dei rischi con l’indicazione delle misure adottate per garantire l’integrità e la disponibilità dei dati ed eventualmente anche per il loro ripristino”.
Nell’opinione di
Farina, il Dps dovrebbe riportare anche i compiti e le responsabilità
dei soggetti incaricati del trattamento e le informazioni sulla protezione delle
aree e dei locali in relazione alla loro custodia e accessibilità. Altre
indicazioni essenziali da inserire nel Dps sono i criteri per l’adozione delle
misure minime di sicurezza nel caso di outsourcing, gli interventi formativi in
tema di analisi dei rischi che incombono sui dati e i criteri adottati per la
separazione dei dati sensibili da quelli comuni. Riguardo quest’ultimo aspetto,
il trattamento di dati sensibili e giudiziari, occorre prevedere una protezione
contro l’accesso abusivo con strumenti hardware e software e il ripristino della
disponibilità dei dati entro sette giorni.
Sull’informativa prevista
dall’articolo 13 del Codice della Privacy, ovvero la comunicazione finalizzata a informare l’interessato sui soggetti che effettuano il trattamento, le finalità e le modalità del trattamento e i diritti dell’interessato, Farina ha commentato: “Può essere redatta sia in forma orale sia per iscritto, è tuttavia consigliabile la prima via ed è meglio far contrapporre una firma per presa visione. Ovviamente, occorre sempre il consenso scritto nell’ipotesi di trattamento di dati sensibili e giudiziari”.
