Privacy trattamento dati con strumenti elettronici
Riprendiamo il tema delle semplificazioni in materia di Privacy per un breve approfondimento circa le nuove misure minime da adottare in caso di utilizzo di computer nell’ambito del trattamento dei dati.
Ricordiamo che le semplificazioni si applicano -in base a quanto previsto dal Garante- a quei privati od aziende che “a)utilizzano dati personali non sensibili o che trattano come unici dati sensibili riferiti ai propri dipendenti e collaboratori anche a progetto quelli costituiti dallo stato di salute o malattia senza indicazione della relativa diagnosi, ovvero dall’adesione a organizzazioni sindacali o a carattere sindacale; b) trattano dati personali unicamente per correnti finalità amministrative e contabili, in particolare presso liberi professionisti, artigiani e piccole e medie imprese”.
Tali soggetti (v’è da presumere la maggioranza delle aziende agricole associate) possono applicare le misure minime di sicurezza prescritte dalla disciplina in materia di trattamenti realizzati con l’ausilio di strumenti elettronici (art. 34 del Codice e regole da 1 a 26 dell’Allegato B) osservando le modalità semplificate di seguito individuate:
1) Istruzioni agli incaricati del trattamento: le istruzioni in materia di misure minime di sicurezza previste dall’Allegato B) possono essere impartite agli incaricati del trattamento anche oralmente, con indicazioni di semplice e chiara formulazione.
2)Sistema di autenticazione informatica: per l’accesso ai sistemi informatici si può utilizzare un qualsiasi sistema di autenticazione basato su un codice per identificare chi accede ai dati (di seguito, “username”), associato a una parola chiave (di seguito: “password”), in modo che:
a) l’username individui in modo univoco una sola persona, evitando che soggetti diversi utilizzino codici identici; dovrà essere disattivato quando l’incaricato perda la qualità che rende legittimo l’utilizzo dei dati (ad esempio, in quanto non opera più all’interno dell’organizzazione).
b) la password sia conosciuta solo dalla persona che accede ai dati; può essere adottata, quale procedura di autenticazione, anche la procedura di login disponibile sul sistema operativo delle postazioni di lavoro connesse a una rete.
c) in caso di prolungata assenza o impedimento dell’incaricato che renda indispensabile e indifferibile intervenire per necessità di operatività e di sicurezza del sistema, se l’accesso ai dati e agli strumenti elettronici è consentito esclusivamente mediante uso della password, il titolare può assicurare la disponibilità di dati o strumenti elettronici con procedure o modalità predefinite. Riguardo a tali modalità, sono fornite preventive istruzioni agli incaricati e gli stessi sono informati degli interventi effettuati (ad esempio, prescrivendo ai lavoratori che si assentino dall’ufficio per ferie l’attivazione di modalità che consentano di inviare automaticamente messaggi di posta elettronica ad un altro recapito accessibile).
3) Sistema di autorizzazione: qualora sia necessario diversificare l’ambito del trattamento consentito, possono essere assegnati agli incaricati –singolarmente o per categorie omogenee corrispondenti profili di autorizzazione, tramite un sistema di autorizzazione o funzioni di autorizzazione incorporate nelle applicazioni software o nei sistemi operativi, così da limitare l’accesso ai soli dati necessari per effettuare le operazioni di trattamento.
4) Altre misure di sicurezza: occorrerà procedere a verifiche periodiche del sistema, controllando l’adeguatezza e la proporzionalità degli strumenti adottati alla tutela dei dati provvedendo, quando è necessario, ad aggiornare i profili di autorizzazione eventualmente accordati. Gli aggiornamenti periodici dei programmi (aggiornamenti di sistema, antivirus, firewall) devono essere effettuati almeno annualmente. Se il computer non è connesso a reti di comunicazione elettronica accessibili al pubblico (linee Adsl, accesso a Internet tramite rete aziendale, posta elettronica), l’aggiornamento deve essere almeno biennale. Il salvataggio dei dati dovrà avere cadenza almeno mensile e può non riguardare i dati non modificati dal momento dell’ultimo salvataggio effettuato, purché ne esista una copia di sicurezza da cui effettuare eventualmente il ripristino.
5) Documento programmatico sulla sicurezza: fermo restando che per alcuni casi è già previsto per disposizione di legge che si possa redigere un’autocertificazione in luogo del documento programmatico sulla sicurezza (si rimanda all’altro articolo su questo notiziario), i soggetti pubblici e privati che trattano dati personali unicamente per correnti finalità amministrative e contabili, in particolare presso liberi professionisti, artigiani e piccole e medie imprese, possono redigere un documento programmatico sulla sicurezza semplificato sulla base delle indicazioni di seguito riportate. Il documento deve essere redatto prima dell’inizio del trattamento e deve essere aggiornato entro il 31 marzo di ogni anno nel caso in cui, nel corso dell’anno solare precedente, siano intervenute modifiche rispetto a quanto dichiarato nel precedente documento. Il documento deve avere i seguenti contenuti:
a) le coordinate identificative del titolare del trattamento, nonché, se designati, gli eventuali responsabili. Nel caso in cui l’organizzazione preveda una frequente modifica dei responsabili designati, potranno essere indicate le modalità attraverso le quali è possibile individuare l’elenco aggiornato dei responsabili del trattamento;
b) una descrizione generale del trattamento o dei trattamenti realizzati, che permetta di valutare l’adeguatezza delle misure adottate per garantire la sicurezza del trattamento. In tale descrizione vanno precisate le finalità del trattamento, le categorie di persone interessate e dei dati o delle categorie di dati relativi alle medesime, nonché i destinatari o le categorie di destinatari a cui i dati possono essere comunicati;
c) l’elenco, anche per categorie, degli incaricati del trattamento e delle relative responsabilità. Nel caso in cui l’organizzazione preveda una frequente modifica dei responsabili designati, potranno essere indicate le modalità attraverso le quali è possibile individuare l’elenco aggiornato dei responsabili del trattamento con le relative responsabilità;
d) una descrizione delle altre misure di sicurezza adottate per prevenire i rischi di distruzione o perdita, anche accidentale, dei dati, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.
6) Modalità applicative per i trattamenti realizzati senza l’ausilio di strumenti elettronici: le modalità applicative previste dall’art.35 del Codice della Privacy possono essere adottate con le semplificazioni di seguito individuate.
a) Agli incaricati sono impartite, anche oralmente, istruzioni finalizzate al controllo e alla custodia, per l’intero ciclo necessario allo svolgimento delle operazioni di trattamento, degli atti e dei documenti contenenti dati personali.
b) Quando gli atti e i documenti contenenti dati personali sensibili o giudiziari sono affidati agli incaricati del trattamento per lo svolgimento dei relativi compiti, i medesimi atti e documenti sono controllati e custoditi dai medesimi incaricati fino alla restituzione in modo che a essi non accedano persone prive di autorizzazione, e sono restituiti al termine delle operazioni affidate.
privacy strumenti elettronici
(A.D. 2010)