REGALA UN CORSO

È facile ed è un modo di dire: segui i tuoi sogni, credo in te!

Scopri come fare in 3 passi
Home
Testo unico Privacy: le nuove misure minime di sicurezza (Prima parte)

18 Luglio 2003

Testo unico Privacy: le nuove misure minime di sicurezza (Prima parte)

di

Il 27 giugno scorso il consiglio dei ministri ha varato il nuovo "Codice in materia di protezione dei dati personali": tra le novità anche l'atteso adeguamento delle misure minime di sicurezza

Il nuovo Codice, diviso in tre Parti, dedica il Titolo V della prima Parte alla “Sicurezza dei dati e dei sistemi” (articoli da 31 a 36).

Il nuovo articolo 31 (obblighi di sicurezza) riprende il vecchio articolo 15 comma 1 della legge 675/96 indicando le misure “idonee” di sicurezza: misure di sicurezza non identificate analiticamente ma identificabili dal titolare o dal responsabile del trattamento al fine di “ridurre al minimo i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità di raccolta”.

L’articolo 32 (particolari titolari) riguarda le misure di sicurezza che devono adottare i fornitori di servizi di comunicazione elettronica, ed anche in questo caso si fa riferimento all’adozione di “idonee misure tecniche e organizzative adeguate al rischio esistente, per salvaguardare la sicurezza dei servizi, l’integrità dei dati relativi al traffico, dei dati relativi all’ubicazione e delle comunicazioni elettroniche rispetto ad ogni forma di utilizzazione o cognizione non consentita”.

Gli articoli da 33 a 36 de nuovo Codice sulla riservatezza sono dedicati alle “misure minime di sicurezza”. La novità introdotta dal testo unico è la presenza di un Disciplinare Tecnico in materia di misure minime di sicurezza, che sostituisce il Regolamento delle misure minime di sicurezza: l’attuale DPR 318/99.

Il Disciplinare tecnico è inserito in appendice al Codice della Privacy (allegato B).

L’articolo 33 (misure minime) individua le misure minime di sicurezza in quelle “misure volte ad assicurare un livello minimo di protezione dei dati personali”. Il seguente articolo 34 prende in considerazione i trattamenti con strumenti elettronici, mentre l’articolo 35 prende in considerazione i trattamenti senza l’ausilio di strumenti elettronici.

Non viene più considerata la suddivisione, molto dibattuta, tra “elaboratori accessibili da altri elaboratori solo attraverso reti non disponibili al pubblico” e “elaboratori accessibili mediante una rete di telecomunicazioni disponibili al pubblico”.

L’articolo 34 (trattamenti con strumenti elettronici) prevede le seguenti misure minime di sicurezza (nei modi previsti dal disciplinare tecnico):

– autenticazione informatica;

– adozione di procedure di gestione delle credenziali di autenticazione;

– utilizzazione di un sistema di autorizzazione;

– aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici;

– protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici;

– adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi;

– tenuta di un aggiornato documento programmatico sulla sicurezza;

– adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari.

L’articolo 35 (trattamenti senza l’ausilio di strumenti elettronici) prevede le seguenti misure minime di sicurezza (nei modi previsti dal disciplinare tecnico):

a) aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati o alle unità organizzative;

b) previsione di procedure per un’idonea custodia di atti e documenti affidati agli incaricati per lo svolgimento dei relativi compiti;

c) previsione di procedure per la conservazione di determinati atti in archivi ad accesso selezionato e disciplina delle modalità di accesso finalizzata all’identificazione degli incaricati.

Il disciplinare tecnico (che analizzeremo nella prossima parte) dovrà essere aggiornato periodicamente con decreto del Ministro della giustizia di concerto con il Ministro per le innovazioni e le tecnologie, in relazione all’evoluzione tecnica e all’esperienza maturata nel settore (ex art. 36 Codice in materia di protezione dei dati personali).

L'autore

Vuoi rimanere aggiornato?
Iscriviti alla nostra newletter

Novità, promozioni e approfondimenti per imparare sempre qualcosa di nuovo

Gli argomenti che mi interessano:
Iscrivendomi dichiaro di aver preso visione dell’Informativa fornita ai sensi dell'art. 13 e 14 del Regolamento Europeo EU 679/2016.