Privacy, le novità del nuovo codice di protezione dei dati

febbraio 2004 Dal primo gennaio 2004 è in vigore il nuovo Codice in materia di protezione dei dati personali. Questo testo, approvato con il Decreto legislativo 30 giugno 2003, n. 196, riunifica tutta la materia precedente, abrogando tra l’altro addiri …

febbraio 2004 Dal primo gennaio 2004 è in vigore il nuovo Codice
in materia di protezione dei dati personali.

Questo testo, approvato con il Decreto legislativo 30 giugno 2003,
n. 196
, riunifica tutta la materia precedente, abrogando tra l’altro
addirittura la famosa legge 675/1996 sul trattamento dei dati
personali ed il relativo regolamento di attuazione, e componendo in un’unica
“legge” tutte le disposizioni in materia di privacy (per vedere il Codice integrale
vi rimandiamo alla seguente
pagina
). Ma non si tratta solo di una raccolta, ci sono anche alcune novità
che vale la pena analizzare.

Diciamo subito che gli aggiornamenti della legge riguardano in modo marcato
coloro che gestiscono i dati (come ad esempio i responsabili dei sistemi informativi).
Per il singolo utente consumer i diritti pregressi permangono.

Quando contattare il Garante
Il primo, molto positivo, cambiamento riguarda l’obbligo di notifica al
garante che, da “generale”, diventa “residuale”.
E’ quindi previsto solo in alcuni casi (si vedano gli artt.
37 e 38 del nuovo codice), fra i quali citiamo a titolo di esempio il trattamento
di dati relativi allo stato di salute, alle scelte politiche o religiose, alle
preferenze di acquisto, alla situazione patrimoniale, o ancora i dati sulla
posizione geografica di soggetti, come nel caso delle “celle” della
rete di telefonia mobile.

Anche se ci sono voluti diversi anni, si è capito che inondare di carta
gli uffici del Garante non porta a molti risultati e anzi implica lavoro inutile,
sia per le aziende che per lo stesso ente di controllo.

Gestione semplificata
Sono poi introdotte altre modifiche volte alla semplificazione generale della
gestione dei trattamenti dei dati.

Il nuovo codice, infatti, si basa sul “principio di necessità”,
secondo cui i sistemi informativi dovranno essere in ogni caso configurati riducendo
al minimo l’utilizzazione di dati personali e di dati identificativi.

In altri termini, dovranno essere impiegate tecniche di identificazione del
soggetto solo in caso di necessità in tutti i casi in cui ciò
sia possibile, ad esempio associando un ID ad una determinata persona, sempre
che le finalità del trattamento siano realizzabili anche in questo modo.

Le misure di sicurezza
Rimangono, ovviamente, le norme in materia di misure di sicurezza che devono
essere adottate da tutti coloro che gestiscono un sistema informatico, regolate
nel titolo V del nuovo codice.

È al riguardo confermato che i dati personali oggetto di trattamento
debbono essere custoditi e controllati anche in relazione alle conoscenze
acquisite in base al progresso tecnico
nonché alla natura dei
dati al fine di ridurre al minimo, mediante l’adozione di idonee e preventive
misure di sicurezza, i rischi di distruzione o perdita dei dati, di accesso
non autorizzato o di trattamento non consentito o non conforme alla finalità
della raccolta.

Sono le già note “misure minime di sicurezza”, definite
dal nuovo codice come quel complesso di misure tecniche, organizzative, logistiche
e procedimentali di sicurezza che sono in grado di dare un livello minimo di
protezione. Il codice si spinge oltre e identifica le singole misure
da adottare
definendone gli aspetti tecnici.

A) Innanzi tutto occorre predisporre l’utilizzazione di un sistema
di autenticazione informatica
, quindi ai computer deve potersi accedere
solo ed esclusivamente previo inserimento di user name e password. La password
dovrà poi essere custodita dai soggetti autorizzati in modo da garantirne
la segretezza. La password, per essere a norma, deve essere composta da un minimo
di 8 caratteri
, salvo il caso in cui non sia possibile per il tipo
di software che si sta utilizzando. Inoltre la password deve essere modificata
ogni sei mesi
, addirittura tre nel caso di trattamenti di dati sensibili
o giudiziari, anche se è difficile capire come le Autorità potranno
procedere ad accertare violazioni di questo obbligo. Le password devono inoltre
essere dotate di scadenza. Le credenziali di autenticazione non utilizzate da
almeno sei mesi debbono essere disattivate, derogando solo nell’ipotesi
di un utilizzo meramente finalizzato alla gestione tecnica.

B) Il codice vuole poi dire la sua anche in fatto di definizione dei permessi
degli utenti e dei relativi gruppi, parlando di “profili di autorizzazione”.
Viene specificato che i profili di autorizzazione per ciascun incaricato o per
classi omogenee di incaricati, dovranno essere individuati e configurati anteriormente
all’inizio del trattamento: questo al fine di limitare l’accesso
ai soli dati effettivamente necessari alla realizzazione delle operazioni di
trattamenti cui sono preposti gli incaricati; la verifica in relazione alle
condizioni sussistenti la conservazione dei profili di autorizzazione deve avvenire
almeno annualmente. Per chi non rispetta le nuove direttive sono previste sanzioni
sia amministrative che penali, anche se sono tutte da valutare le modalità
di accertamento dell’infrazione.

E’ stato ereditato dal vecchio DPR 318/1999 l’obbligo di redazione
del documento programmatico sulla sicurezza
.

In sostanza, entro il 31 marzo di ogni anno l’amministratore di sistema
dovrebbe redigere questo documento, secondo il disciplinare tecnico allegato
al codice, dove in pratica devono essere indicate le caratteristiche del trattamento,
i rischi che incombono sullo stesso, le misure intraprese e i metodi per ripristinare
in caso di crash del sistema o intrusione.

Quest’obbligo suscita qualche perplessità, perché forse
si poteva semplificare ulteriormente. Bisognerà vedere comunque in futuro
come anche questa novità, insieme a tutto il resto del codice, verrà
recepita dalle aziende e da tutti gli altri soggetti interessati ai trattamenti
di dati.

LASCIA UN COMMENTO

Inserisci il tuo commento
Inserisci il tuo nome