SICUREZZA INFORMATICA OBBLIGATORIA PER LEGGE Nello spirito di servizio alle aziende che ci contraddistingue si informa sulle incombenze derivanti dalla entrata in vigore (1 gennaio 2004) del decreto legislativo n. 196, conosciuto come "Testo Unico sulla privacy". Si offre a questo scopo una sintesi dei punti principali della legge riguardanti il "disciplinare tecnico in materia di misure minime di sicurezza per la gestione dei dati sensibili informatici". Il 1 gennaio 2004 è entrata in vigore la nuova legge per la privacy e il trattamento dei dati personali emanata il 30 giugno 2003 con decreto legislativo n. 196, ed entro il 31 dicembre 2005 deve essere redatto il documento previsto dalla legge. In caso di impossibilità si deve comunque redigere il documento ed entro un anno dall'entrata in vigore della legge ci si deve adeguare. Tutti, aziende ed enti, che trattano dati personali (dati anagrafici dei clienti e contratti), nonché dati sensibili (es. dati sindacali, notizie sulla salute o a carattere giudiziario) devono redigere il documento programmatico sulla sicurezza. Il quale deve: * essere aggiornato ogni anno entro il 31 marzo; * essere inserito nella relazione accompagnatoria del bilancio d'esercizio con l'indicazione dell'avvenuta redazione e aggiornamento; * stabilire l'elenco delle persone autorizzate e le mansioni per il trattamento dei dati personali; * stabilire l'elenco delle persone o aziende esterne autorizzate alla manutenzione dei server e PC.
Inoltre, nello stesso documento, si devono indicare le modalità di accesso e autorizzazione per il trattamento dei dati; esempio con un sistema di autenticazione elettronico fatto di password sul BIOS (sistema di avviamento del PC) e di autenticazione al server principale. La normativa attuale prevede obbligatoriamente: La redirezione della modulistica (informativa, consenso); L'adeguamento alle misure di sicurezza minime ed idonee per la protezione dei dati; La redazione del Documento Programmatico sulla Sicurezza entro il 31 marzo di ogni anno; La notificazione del trattamento, nei casi non espressamente esclusi dal Garante per la protezione dei dati personali; La definizione delle nomine richieste dalla legge.
Se non vengono rispettate tali regole si incorrerà in sanzioni civili e penali. Scarica la normativa relativa al Decreto Legislativo n. 196 giugno 2003. L'articolo 31 suddivide i dati che possono essere trattati in: - DATO PERSONALE
qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale (art. 4 c.1 lett. b)
- DATO SENSIBILE
dato personale idoneo a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale (art. 4 c.1 lett. d)
- DATO ANONIMO
dato che in origine, o a seguito di trattamento, non può essere associato ad un interessato identificato o identificabile (art. 4 c.1 lett. n)
L'articolo 34 impone: - da un lato, di proteggere strumenti e dati da trattamenti illeciti, accessi non consentiti e programmi intrusivi
- dall'altro, di adottare le opportune procedure, affinché al verificarsi di tali eventi, o di altri eventi anche accidentali di ordine distruttivo, le conseguenze siano minimizzate
L'Allegato B indica le modalità tecniche da adottare a cura del titolare, del responsabile ove designato e dell'incaricato, in caso di trattamento di dati con e senza strumenti elettronici, intendendo per questi gli elaboratori, i programmi per elaboratori e qualunque dispositivo elettronico o comunque automatizzato con cui si effettua il trattamento.
|
Servizi
