La legge sulla Privacy (D.Lgs.vo n. 196/2003) a cui rimandiamo nella sessione della normativa, prevede l'implementazione di misure preventive per la protezione dei dati personali elaborati tramite sistemi informatici e cartacei, e misure idonee che salvaguardi la privacy nel tempo in ogni suo trattamento.

Il titolare deve individuare preventivamente misure di sicurezza che devono almeno rispettare i parametri di sicurezza minimi individuati nel Codice (articoli 33, 34, 35 e 36); se le misure di sicurezza adottate non rispettano i parametri minimi contenuti nel regolamento, scatta la responsabilità penale. Ma l'individuazione di misure che rispettano i parametri previsti come minimi non è sufficiente a liberare da ogni responsabilità il soggetto che effettua il trattamento. Se le misure adottate non sono idonee ad evitare il danno, vi può essere comunque la responsabilità civile, anche se non ci sono gli estremi per la responsabilità penale prevista dalla legge.

I dati personali e con dati personali intediamo qualsiasi informazione che direttamente o indirettamente ci conduce a conoscere dati di un individuo; devono "essere custoditi e controllati in modo da ridurre al minimo, mediante l’adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita dei dati, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta".

Tra le operazioni obbligatorie da portare a termine vi sono:

• l’attribuzione per iscritto dei ruoli e compiti degli utenti che elaborano i dati personali;
• la redazione di una procedura scritta per la classificazione dei dati trattati;
• la definizione di una procedura per la creazione e gestione degli archivi fisici;
• l’utilizzo di codici identificativi (username e password) diversi per ciascun utente che ha accesso al sistema informativo
• l’adozione di protezioni contro i rischi di intrusione ad opera di programmi diretti a danneggiare un sistema informatico (virus) e/o a estrarne indebitamente informazioni.

Oltre a queste incombenze, valide per tutte le aziende e gli enti che trattano dati personali, nel caso di trattamento di dati personali sensibili va aggiunto l'obbligo di redigere annualmente il documento programmatico sulla sicurezza (DPSS).

Cos'è il DPSS : Documento programmatico sulla sicurezza

Il DPSS (Documento programmatico sulla sicurezza) costituisce il punto di partenza per d efinire interventi e strategie per la sicurezza dei dati, perché permette di verificare il livello della sicurezza informatica e quindi di identificare subito le aree maggiormente a rischio.

Si tratta di un documento da aggiornare annualmente che deve contenere le seguenti informazioni:

• i criteri tecnici e organizzativi per la protezione delle aree e dei locali interessati dalle misure di sicurezza nonché le procedure per controllare l'accesso delle persone autorizzate ai locali medesimi;
• i criteri e le procedure per assicurare l'integrità dei dati;
• i criteri e le procedure per la sicurezza delle trasmissioni dei dati, ivi compresi quelli per le restrizioni di accesso per via telematica;
• l'elaborazione di un piano di formazione per rendere edotti gli incaricati del trattamento dei rischi individuati e dei modi per prevenire i danni.

La specificità delle strutture nei dive rsi soggetti fanno sì che il DPSS non sia un documento uguale per tutti, ma il frutto di una valutazione specifica da parte delle singole imprese o enti (congiuntamente ai propri consulenti) che individui le caratteristiche dei sistemi di trattamento dati utilizzati.

Il Documento Programmatico sulla Sicurezza, sulla base dell’analisi dei rischi e dell’organizzazione preposta al trattamento, deve descrivere i criteri tecnici e organizzativi e le procedure adottate per la protezione delle informazioni personali.

Approfondisci >>