Questioni di privacy. Si parla tanto di "privacy", ma di cosa si tratta? Il Codice sulla privacy.

Transcript

1 Questioni di privacy il 31 marzo 2007 è la scadenza per l adempimento del DPS, Documento Programmatico sulla Sicurezza, la cui redazione od aggiornamento di rende necessaria ogni 31 marzo, in conformità al DLgs 196/2003 o Codice Privacy. Il DPS è obbligatorio per chiunque tratti dati personali o sensibili attraverso l ausilio di strumenti elettronici, quindi anche e soprattutto con i computer. L attività di compilazione di questo documento si accompagna all aggiornamento delle misure minime ed idonee previste dal Disciplinare Tecnico, lettera B, allegato alla Legge. IL DPS è un documento modulare che riassume i trattamenti di dati personali che sono eseguiti dalla struttura e ne descrive le varie implicazioni con soggetti, luoghi e strumenti. Pertanto, la sua complessità deriva dalla natura e specificità dei trattamenti. Noi della Datasoftware realizziamo anche il servizio di redazione o verifica di tutta la documentazione Privacy prevista dalla normativa, di cui il DPS è il capostipite, attraverso un attività di consulenza. Grazie ai questionari da noi preparati potremo raccogliere le informazioni necessarie alla redazione di tutti i documenti previsti e con l occasione verificare anche altri campi d applicazione della normativa, tra i quali citiamo la Videosorveglianza ed il sito Internet. Grazie alla nostra lunga esperienza nel campo informatico, siamo in grado di pianificare e dimensionare il salvataggio dei file, misura a cui il DPS dedica specifica attenzione. Inoltre, saranno valutate e progettate le misure minime relative all Autenticazione ed all Autorizzazione, a cui il Disciplinare riserva il maggior numero di prescrizioni. La restante parte della nostra consulenza si concentrerà sul suggerimento delle più adeguate misure da adottare per abbassare il livello dei principali rischi legati ai dati personali. Infatti il DPS è indissolubilmente legato alla valutazione dei rischi che gravano sui dati personali: un DPS è corretto, principalmente se è corretta l Analisi dei rischi. Per i rischi la legge chiede di condurre un attenta analisi, che per definizione dovrebbe essere svolta da un soggetto terzo ed imparziale. I consulenti di Datasoftware si propongono di realizzare l Analisi dei rischi legati ai dati personali dei clienti, dei fornitori e del personale dipendente nella modalità più idonea ed in linea con i moderni standard valutativi della sicurezza delle informazioni. Si parla tanto di "privacy", ma di cosa si tratta? Viviamo oggi in una società in cui l'utilizzo degli strumenti offerti dalle nuove tecnologie se da un lato ha facilitato la nostra vita quotidiana, dall altro ci fa sentire controllati e spiati. Si pensi alle videocamere per la videosorveglianza disseminate per le vie delle città, oppure alle banche dati di Enti pubblici e di società private, che conservano ed elaborano le informazioni che ci riguardano per offrirci i loro servizi ed i loro prodotti. Ecco perché il Parlamento Italiano ha introdotto un complesso di norme giuridiche volte ad agevolare l'uso delle nuove tecnologie senza contestualmente incidere in modo ingiustificato nella sfera di riservatezza delle persone, che è generalmente definita dal termine anglossassone "Privacy" Il Codice sulla privacy. 1

2 Il complesso di norme giuridiche a cui si è fatto riferimento è il D. Lgs. 30 giugno 2003 n.196, "Codice in materia di protezione dei dati personali", noto anche come "Codice sulla privacy", raccoglie sistematicamente tutta la disciplina normativa finalizzata a garantire che tutti gli utilizzi da parte di Enti Pubblici o Privati delle informazioni che riguardano le persone si svolgano nel rispetto dei diritti, delle libertà fondamentali, nonché della dignità delle persone fisiche, con particolare riferimento alla riservatezza e all'identità personale. Il Codice sulla privacy utilizza termini tecnici. Proviamo a tradurli. Prima di esaminare alcuni particolari settori della normativa sulla privacy, appare opportuno precisare il significato di alcuni termini tecnici. Il "dato personale" è qualsiasi informazione che si riferisca anche indirettamente ad una persona fisica o giuridica, pubblica o privata. Così ad esempio sono dati personali un nome, un cognome, un indirizzo, un numero di telefono, ecc. Una particolare categoria di dati personali sono i "dati sensibili", cioè le informazioni idonee a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale. Ad esempio sono dati sensibili tutte le informazioni attinenti alle malattie registrate sui certificati medici, ogni informazione relativa a pratiche religiose come la partecipazione a gruppi di preghiera, nonché l'adesione a partiti politici o sindacati. Qualunque operazione o complesso di operazioni effettuate con i dati personali (conservazione, elaborazione, comunicazione, diffusione etc.) è definita "trattamento". Il "titolare" è la persona fisica o giuridica, pubblica o privata, cui competono le decisioni in ordine alle finalità ed alle modalità del trattamento di dati personali. Coloro che attuano le decisioni del titolare sono definiti "responsabili". L'"interessato" è invece la persona fisica, la persona giuridica, l'ente o l'associazione cui si riferiscono i dati personali oggetto del trattamento. Il "Garante per la protezione dei dati personali", noto anche come "Garante per la Privacy", è l'autorità Indipendente (organo collegiale costituito da quattro componenti, eletti due dalla 2

3 Camera dei deputati e due dal Senato della Repubblica) che vigila sulla corretta applicazione della normativa. Il trattamento da parte di soggetti pubblici e privati. Gli enti pubblici effettuano il trattamento di dati personali per lo svolgimento delle funzioni istituzionali senza necessità di richiedere il consenso degli interessati. Invece, il trattamento di dati personali da parte di privati o di enti pubblici economici è ammesso solo con il consenso espresso dell'interessato che è validamente prestato solo se: - è espresso liberamente e specificamente in riferimento ad un trattamento chiaramente individuato; - è documentato per iscritto; - è stata resa all'interessato l'informativa prevista dal codice. Ma cos'è questa "informativa"? La persona presso la quale sono raccolti i dati personali deve essere previamente informata oralmente o per iscritto circa: - le finalità e le modalità del trattamento cui sono destinati i dati; - la natura obbligatoria o facoltativa del conferimento dei dati; - le conseguenze di un eventuale rifiuto di rispondere; - i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati, e l'ambito di diffusione dei dati medesimi; - i diritti che può esercitare; - gli estremi identificativi del titolare e del responsabile. Si tenga conto, comunque, che l'informativa può non comprendere gli elementi già noti alla persona che fornisce i dati o la cui conoscenza può ostacolare in concreto l'espletamento, da parte di un soggetto pubblico, di funzioni ispettive o di controllo svolte per finalità di difesa o sicurezza dello Stato oppure di prevenzione, accertamento o repressione di reati. Quali sono i nostri diritti e come possiamo farli valere? Le persone i cui dati sono oggetto di trattamento hanno un'estesa gamma di diritti che possono esercitare. In particolare hanno diritto di ottenere la conferma dell'esistenza o meno di propri dati personali che li riguardano, anche se non ancora registrati, e la loro comunicazione in forma intelligibile. Possono inoltre richiedere indicazioni circa il trattamento (origine dei dati, finalità, modalità, logica applicata, nominativo di titolare e responsabile) e possono opporsi per motivi legittimi ovvero chiedere l'aggiornamento o le correzioni ritenute necessarie. 3

4 I diritti possono essere esercitati con richiesta rivolta senza formalità al titolare o al responsabile. Vi sono comunque dei limiti all'esercizio dei diritti. Questi non possono essere esercitati in relazione ai trattamenti eseguiti per finalità di polizia, di giustizia, di indagini difensive, di politica monetaria e valutaria ed inoltre per i trattamenti eseguiti da fornitori di servizi di comunicazione elettronica accessibili al pubblico relativamente a comunicazioni telefoniche in entrata. Alcuni casi concreti. Vediamo ora alcuni casi pratici che sono stati evidenziati in specifici provvedimenti del Garante per la Privacy consultabili sul sito La videosorveglianza L'attività di videosorveglianza è particolarmente invasiva. Per questo motivo il Garante per la Privacy ha fissato alcuni principi che devono essere sempre rispettati. Principio di liceità: La videosorveglianza deve avvenire nel rispetto, oltre che della disciplina in materia di protezione dei dati personali, di quanto prescritto da altre disposizioni di legge da osservare in caso di installazione di apparecchi audiovisivi. Principio di necessità: va escluso ogni uso superfluo e vanno evitati eccessi e ridondanze. Principio di proporzionalità: gli impianti di videosorveglianza possono essere attivati solo quando altre misure siano ponderatamente valutate insufficienti o inattuabili. Nel commisurare la necessità di un sistema al grado di rischio presente in concreto, va evitata la rilevazione di dati in aree o attività che non sono soggette a concreti pericoli, o per le quali non ricorre un'effettiva esigenza di deterrenza, come quando, ad esempio, le telecamere vengono installate solo per meri fini di apparenza o di "prestigio". Se la loro installazione è finalizzata alla protezione di beni, anche in relazione ad atti di vandalismo, devono risultare parimenti inefficaci altri idonei accorgimenti quali controlli da parte di addetti, sistemi di allarme, misure di protezione degli ingressi, abilitazioni agli ingressi. Non va adottata la scelta semplicemente me no costosa, o meno complicata, o di più rapida attuazione, che potrebbe non tener conto dell'impatto sui diritti degli altri cittadini o di chi abbia diversi legittimi interessi. La videosorveglianza è, quindi, lecita solo se è rispettato il principio di proporzionalità, sia nella scelta se e quali apparecchiature di ripresa installare, sia nelle varie fasi del trattamento. Principio di finalità: gli scopi perseguiti devono essere determinati, espliciti e legittimi. Ciò comporta che il titolare possa perseguire solo finalità di sua pertinenza. I soggetti pubblici e privati non possono assumere quale scopo della videosorveglianza finalità di sicurezza pubblica, prevenzione o accertamento dei reati che invece competono solo ad organi giudiziari o di polizia giudiziaria oppure a Forze Armate o di Polizia. In ogni caso, possono essere perseguite solo finalità determinate e rese trasparenti, ossia direttamente conoscibili attraverso adeguate comunicazioni e/o cartelli di avvertimento al pubblico (fatta salva l'eventuale attività di acquisizione di dati disposta da organi giudiziari o di 4

5 polizia giudiziaria), e non finalità generiche o indeterminate, tanto più quando esse siano incompatibili con gli scopi che vanno esplicitamente dichiarati e legittimamente perseguiti. Le finalità così individuate devono essere correttamente riportate nell'informativa. La videosorveglianza da parte di soggetti pubblici. Un soggetto pubblico può effettuare attività di videosorveglianza solo ed esclusivamente per svolgere funzioni istituzionali. Anche quando un'amministrazione è titolare di compiti in materia di pubblica sicurezza o prevenzione dei reati, per installare telecamere deve comunque ricorrere un'esigenza effettiva e proporzionata di prevenzione o repressione di pericoli concreti. Non è quindi lecita, senza tale valutazione, una capillare videosorveglianza d'intere aree cittadine. Sono ammesse, nel rispetto di principi specifici, telecamere su alcuni mezzi di trasporto pubblici, nei luoghi di culto e sepoltura. Sono ingiustificati gli impianti installati al solo fine di controllare il divieto di fumare, di calpestare aiuole, di depositare sacchetti dell'immondizia, etc. La videosorveglianza da parte di soggetti privati. Si possono installare telecamere senza il consenso degli interessati, sulla base delle prescrizioni indicate dal Garante, quando chi intende rilevare le immagini deve perseguire un interesse legittimo a fini di tutela di persone e beni rispetto a possibili aggressioni, furti, rapine, danneggiamenti, atti di vandalismo, prevenzione incendi, sicurezza del lavoro, ecc.. Le riprese di aree condominiali da parte di più proprietari o condomini, di studi professionali, società ed enti sono ammesse esclusivamente per preservare, da concrete situazioni di pericolo, la sicurezza di persone e la tutela dei beni. L'installazione da parte di singoli condomini richiede comunque l'adozione di cautele: angolo visuale limitato ai soli spazi di propria pertinenza, nessuna ripresa di aree comuni o antistanti le abitazioni di altri condomini, ecc.. I videocitofoni sono ammessi per finalità identificative dei visitatori. Durata dell'eventuale conservazione In applicazione del principio di proporzionalità, anche l'eventuale conservazione temporanea dei dati deve essere commisurata al grado d'indispensabilità e per il solo tempo necessario - e predeterminato - a raggiungere la finalità perseguita. La conservazione deve essere limitata a poche ore o, al massimo, alle ventiquattro ore successive alla rilevazione, fatte salve speciali esigenze di ulteriore conservazione in relazione a festività o chiusura di uffici o esercizi, nonché nel caso in cui si deve aderire ad una specifica richiesta investigativa dell'autorità giudiziaria o di polizia giudiziaria. Solo in alcuni specifici casi, per peculiari esigenze tecniche (mezzi di trasporto) o per la particolare rischiosità dell'attività svolta dal titolare del trattamento (ad esempio, per alcuni luoghi come le banche può risultare giustificata l'esigenza di identificare gli autori di un sopralluogo nei giorni precedenti una rapina), è ammesso un tempo più ampio di conservazione dei dati, che non può comunque superare la settimana. L'informativa: Gli interessati devono essere informati che stanno per accedere o che si trovano in una zona videosorvegliata e dell'eventuale registrazione; ciò anche nei casi di eventi e in occasione di spettacoli pubblici (concerti, manifestazioni sportive) o di attività pubblicitarie (attraverso web cam). 5

6 L'informativa deve fornire gli elementi previsti dal Codice anche con formule sintetiche, ma chiare e senza ambiguità. Tuttavia il Garante ha individuato un modello semplificato di informativa "minima", riportato nel fac-simile allegato: Lo spamming a fini di profitto è un reato Il Garante ha chiarito che inviare pubblicitarie senza il consenso del destinatario è vietato dalla legge. Se questa attività, specie se sistematica, è effettuata a fini di profitto si viola anche una norma penale e il fatto può essere denunciato all'autorità giudiziaria. Sono previste varie sanzioni e, nei casi più gravi, la reclusione. La normativa sulla privacy non permette di utilizzare indirizzi di posta elettronica per inviare messaggi indesiderati a scopo promozionale o pubblicitario anche quando si omette di indicare in modo chiaro il mittente del messaggio e l'indirizzo fisico presso il quale i destinatari possono rivolgersi per chiedere che i propri dati personali non vengano più usati. Chi intende utilizzare le per comunicazioni commerciali e promozionali senza mettere in atto comportamenti illeciti deve tenere presente che: - è necessario il consenso informato del destinatario. Gli indirizzi recano dati personali e il fatto che essi possano essere reperiti facilmente su Internet non implica il diritto di utilizzarli liberamente per qualsiasi scopo, come per l'invio di messaggi pubblicitari. In particolare, i dati di chi partecipa a newsgroup, forum, chat, di chi è inserito in una lista anagrafica di abbonati ad un Internet provider o ad una newsletter, o i dati pubblicati su siti web di soggetti privati o pubblici per fini istituzionali. Gli indirizzi , insomma, non sono "pubblici" nel senso corrente del termine; - il consenso è necessario anche quando gli indirizzi sono formati ed utilizzati automaticamente mediante un software, senza verificare se essi siano effettivamente attivati e a chi pervengano, e anche quando non sono registrati dopo l'invio dei messaggi; - il consenso del destinatario deve essere chiesto prima dell'invio e solo dopo averlo informato chiaramente sugli scopi per i quali i suoi dati personali verranno usati: vale dunque la regole dell'opt-in, cioè dell accettazione preventiva di chi riceve le , non del rifiuto a posteriori (opt-out); - non è ammesso l'invio anonimo di messaggi pubblicitari, cioè senza l'indicazione della fonte di provenienza del messaggio o di coordinate veritiere. E' comunque opportuno indicare nell'oggetto del messaggio la sua tipologia pubblicitaria o commerciale; - chi detiene i dati deve sempre assicurare agli interessati la possibilità di far valere i diritti riconosciuti dalla normativa sulla privacy (revoca del consenso, richiesta di conoscere la fonte dei dati, cancellazione dei dati dall'archivio etc.); - chi acquista banche dati con indirizzi di posta elettronica è tenuto ad accertare che ciascuno 6

7 degli interessati presenti nella banca dati abbia effettivamente prestato il proprio consenso all'invio di materiale pubblicitario; - la formazione di appositi elenchi di chi intende ricevere pubblicitarie o di chi è contrario (le cosiddette "black list") non deve comportare oneri per gli interessati. Pertanto, coloro che sono vittima di un'attività di spamming a fini di profitto possono presentare la relativa denuncia presentandosi personalmente presso qualsiasi Stazione carabinieri o Commissariato della Polizia di Stato. Raccolta differenziata e tutela della privacy. No a sacchetti trasparenti nel "porta a porta" e a controlli indiscriminati. No alle telecamere per controllare lo smaltimento dei rifiuti. Il Garante ha rilevato che la raccolta differenziata dei rifiuti prevista da specifiche norme, risponde ad un importante interesse pubblico. Ma non ha ritenuto proporzionato l'obbligo imposto da alcuni enti locali ad utilizzare sacchetti trasparenti per la raccolta "porta a porta", perché chiunque si trovi a transitare sul pianerottolo o nell'area antistante l'abitazione può visionare agevolmente il contenuto. Sproporzionata anche la misura che obbliga ad applicare al sacchetto targhette adesive in cui sia riportato a vista nominativo ed indirizzo della persona cui si riferiscono i rifiuti, in particolare se lasciati in strada. Invasiva è stata ritenuta anche la pratica d'ispezioni generalizzate dei sacchetti. Gli organi addetti ai controlli possono procedere ad ispezioni selettive solo nei casi in cui abbiano ragione di ritenere che i rifiuti siano stati lasciati senza osservare le norme in materia di raccolta differenziata e il cittadino non sia identificabile in altro modo. Inoltre, non è lecito utilizzare sistemi di videosorveglianza solo per accertare eventuali violazioni amministrative derivanti dal mancato rispetto delle disposizioni su modalità e orari di deposito dei sacchetti dei rifiuti dentro gli appositi contenitori. E' lecito, invece, l'utilizzo di codici a barre, microchip o Rfid che consentono di delimitare l'identificabilità della persona solo nel caso in cui sia accertata la violazione delle norme sulla raccolta differenziata. In questo modo gli operatori che verificano l'omogeneità del contenuto del sacchetto (carta, vetro, plastica) non vengono a conoscenza dell'identità della persona, che rimane riservata fino alla decodifica del codice a barre o del microchip da parte dei soggetti che applicano la sanzione. Misure minime Trattamenti con strumenti elettronici Modalità tecniche da adottare a cura del titolare, del responsabile ove designato e dell'incaricato, in caso di trattamento con strumenti elettronici: Sistema di autenticazione informatica 1. Il trattamento di dati personali con strumenti elettronici è consentito agli incaricati dotati di credenziali di autenticazione che consentano il superamento di una procedura di autenticazione relativa a uno specifico trattamento o a un insieme di trattamenti. 2. Le credenziali di autenticazione consistono in un codice per l'identificazione dell'incaricato associato a una parola chiave riservata conosciuta solamente dal medesimo oppure in un dispositivo di autenticazione in possesso e uso esclusivo dell'incaricato, eventualmente associato a un codice identificativo o a una parola chiave, oppure in una caratteristica 7

8 biometrica dell'incaricato, eventualmente associata a un codice identificativo o a una parola chiave. 3. Ad ogni incaricato sono assegnate o associate individualmente una o più credenziali per l'autenticazione. 4. Con le istruzioni impartite agli incaricati è prescritto di adottare le necessarie cautele per assicurare la segretezza della componente riservata della credenziale e la diligente custodia dei dispositivi in possesso ed uso esclusivo dell'incaricato. 5. La parola chiave, quando è prevista dal sistema di autenticazione, è composta da almeno otto caratteri oppure, nel caso in cui lo strumento elettronico non lo permetta, da un numero di caratteri pari al massimo consentito; essa non contiene riferimenti agevolmente riconducibili all'incaricato ed è modificata da quest'ultimo al primo utilizzo e, successivamente, almeno ogni sei mesi. In caso di trattamento di dati sensibili e di dati giudiziari la parola chiave è modificata almeno ogni tre mesi. 6. Il codice per l'identificazione, laddove utilizzato, non può essere assegnato ad altri incaricati, neppure in tempi diversi. 7. Le credenziali di autenticazione non utilizzate da almeno sei mesi sono disattivate, salvo quelle preventivamente autorizzate per soli scopi di gestione tecnica. 8. Le credenziali sono disattivate anche in caso di perdita della qualità che consente all'incaricato l'accesso ai dati personali. 9. Sono impartite istruzioni agli incaricati per non lasciare incustodito e accessibile lo strumento elettronico durante una sessione di trattamento. 10. Quando l'accesso ai dati e agli strumenti elettronici è consentito esclusivamente mediante uso della componente riservata della credenziale per l'autenticazione, sono impartite idonee e preventive disposizioni scritte volte a individuare chiaramente le modalità con le quali il titolare può assicurare la disponibilità di dati o strumenti elettronici in caso di prolungata assenza o impedimento dell'incaricato che renda indispensabile e indifferibile intervenire per esclusive necessità di operatività e di sicurezza del sistema. In tal caso la custodia delle copie delle credenziali è organizzata garantendo la relativa segretezza e individuando preventivamente per iscritto i soggetti incaricati della loro custodia, i quali devono informare tempestivamente l'incaricato dell'intervento effettuato. 11. Le disposizioni sul sistema di autenticazione di cui ai precedenti punti e quelle sul sistema di autorizzazione non si applicano ai trattamenti dei dati personali destinati alla diffusione. Sistema di autorizzazione 12. Quando per gli incaricati sono individuati profili di autorizzazione di ambito diverso è utilizzato un sistema di autorizzazione. 13. I profili di autorizzazione, per ciascun incaricato o per classi omogenee di incaricati, sono individuati e configurati anteriormente all'inizio del trattamento, in modo da limitare l'accesso ai soli dati necessari per effettuare le operazioni di trattamento. 14. Periodicamente, e comunque almeno annualmente, è verificata la sussistenza delle condizioni per la conservazione dei profili di autorizzazione. Altre misure di sicurezza 8

9 15. Nell'ambito dell'aggiornamento periodico con cadenza almeno annuale dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici, la lista degli incaricati può essere redatta anche per classi omogenee di incarico e dei relativi profili di autorizzazione. 16. I dati personali sono protetti contro il rischio di intrusione e dell'azione di programmi di cui all'art. 615-quinquies del codice penale, mediante l'attivazione di idonei strumenti elettronici da aggiornare con cadenza almeno semestrale. 17. Gli aggiornamenti periodici dei programmi per elaboratore volti a prevenire la vulnerabilità di strumenti elettronici e a correggerne difetti sono effettuati almeno annualmente. In caso di trattamento di dati sensibili o giudiziari l'aggiornamento è almeno semestrale. 18. Sono impartite istruzioni organizzative e tecniche che prevedono il salvataggio dei dati con frequenza almeno settimanale. Documento programmatico sulla sicurezza 19. Entro il 31 marzo di ogni anno, il titolare di un trattamento di dati sensibili o di dati giudiziari redige anche attraverso il responsabile, se designato, un documento programmatico sulla sicurezza contenente idonee informazioni riguardo: l'elenco dei trattamenti di dati personali; la distribuzione dei compiti e delle responsabilità nell'ambito delle strutture preposte al trattamento dei dati; l'analisi dei rischi che incombono sui dati; le misure da adottare per garantire l'integrità e la disponibilità dei dati, nonchè la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità; la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento di cui al successivo punto 23; la previsione di interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare. La formazione è programmata già al momento dell'ingresso in servizio, nonchè in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati personali; la descrizione dei criteri da adottare per garantire l'adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformità al codice, all'esterno della struttura del titolare; per i dati personali idonei a rivelare lo stato di salute e la vita sessuale di cui al punto 24, l'individuazione dei criteri da adottare per la cifratura o per la separazione di tali dati dagli altri dati personali dell'interessato. Ulteriori misure in caso di trattamento di dati sensibili o giudiziari 9

10 20. I dati sensibili o giudiziari sono protetti contro l'accesso abusivo, di cui all'art. 615-ter del codice penale, mediante l'utilizzo di idonei strumenti elettronici. 21. Sono impartite istruzioni organizzative e tecniche per la custodia e l'uso dei supporti rimovibili su cui sono memorizzati i dati al fine di evitare accessi non autorizzati e trattamenti non consentiti. 22. I supporti rimovibili contenenti dati sensibili o giudiziari se non utilizzati sono distrutti o resi inutilizzabili, ovvero possono essere riutilizzati da altri incaricati, non autorizzati al trattamento degli stessi dati, se le informazioni precedenteme nte in essi contenute non sono intelligibili e tecnicamente in alcun modo ricostruibili. 23. Sono adottate idonee misure per garantire il ripristino dell'accesso ai dati in caso di danneggiamento degli stessi o degli strumenti elettronici, in tempi certi compatibili con i diritti degli interessati e non superiori a sette giorni. 24. Gli organismi sanitari e gli esercenti le professioni sanitarie effettuano il trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale contenuti in elenchi, registri o banche di dati con le modalità di cui all'articolo 22, comma 6, del codice, anche al fine di consentire il trattamento disgiunto dei medesimi dati dagli altri dati personali che permettono di identificare direttamente gli interessati. I dati relativi all'identità genetica sono trattati esclusivamente all'interno di locali protetti accessibili ai soli incaricati dei trattamenti ed ai soggetti specificatamente autorizzati ad accedervi; il trasporto dei dati all'esterno dei locali riservati al loro trattamento deve avvenire in contenitori muniti di serratura o dispositivi equipollenti; il trasferimento dei dati in formato elettronico è cifrato. Misure di tutela e garanzia 25. Il titolare che adotta misure minime di sicurezza avvalendosi di soggetti esterni alla propria struttura, per provvedere alla esecuzione riceve dall'installatore una descrizione scritta dell'intervento effettuato che ne attesta la conformità alle disposizioni del presente Misure minime. 26. Il titolare riferisce, nella relazione accompagnatoria del bilancio d'esercizio, se dovuta, dell'avvenuta redazione o aggiornamento del documento programmatico sulla sicurezza. Trattamenti senza l'ausilio di strumenti elettronici Modalità tecniche da adottare a cura del titolare, del responsabile, ove designato, e dell'incaricato, in caso di trattamento con strumenti diversi da quelli elettronici: 27. Agli incaricati sono impartite istruzioni scritte finalizzate al controllo ed alla custodia, per l'intero ciclo necessario allo svolgimento delle operazioni di trattamento, degli atti e dei documenti contenenti dati personali. Nell'ambito dell'aggiornamento periodico con cadenza almeno annuale dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati, la lista degli incaricati può essere redatta anche per classi omogenee di incarico e dei relativi profili di autorizzazione. 28. Quando gli atti e i documenti contenenti dati personali sensibili o giudiziari sono affidati agli incaricati del trattamento per lo svolgimento dei relativi compiti, i medesimi atti e documenti sono controllati e custoditi dagli incaricati fino alla restituzione in maniera che ad essi non accedano persone prive di autorizzazione, e sono restituiti al termine delle operazioni affidate. 29. L'accesso agli archivi contenenti dati sensibili o giudiziari è controllato. Le persone ammesse, a qualunque titolo, dopo l'orario di chiusura, sono identificate e registrate. Quando 10

11 gli archivi non sono dotati di strumenti elettronici per il controllo degli accessi o di incaricati della vigilanza, le persone che vi accedono sono preventivamente autorizzate. FAQ 1) D. È sufficiente prevedere interventi formativi per i responsabili? R. No, non è sufficiente. La formazione va fatta in favore degli incaricati con la partecipazione di questi ad idonei eventi formativi. Gli incaricati dovranno partecipare periodicamente ed in modo continuativo nel tempo a tali eventi. 2) D. Il singolo incaricato deve operare sempre sul medesimo PC? R. No, l'incaricato può operare su qualunque PC, ma dovrà accedere con il proprio sistema di autenticazione (es. codice + parola chiave) e sfruttando il proprio profilo di autorizzazione. 3) D. Se si trattano solo dati personali non sensibili, è obbligatoria la parola chiave? R. Si, la parola chiave rimane obbligatoria; cambia solo la frequenza con cui deve essere variata, che passa da 3 mesi (per i dati sensibili) a 6 mesi (per i dati comuni). 4) D. Può uno stesso incaricato avere più parole chiave? R. Si, poiché si rafforzano ulteriormente le misure di sicurezza. Il codice utente è invece univoco. 5) D. Posso inserire una password inferiore a 8 caratteri? R. Si, ma solo se lo strumento elettronico che si utilizza prevede un numero inferiore ad 8 caratteri. In questo caso si dovrà comunque utilizzare il numero massimo di caratteri previsto dallo strumento elettronico. 6) D. Il DPS deve essere riscritto tutti gli anni? R. Il DPS non deve essere totalmente riscritto tutti gli anni ma deve invece essere aggiornato entro il 31 marzo di ogni anno. 7) D. Coloro che saranno assunti dopo il dovranno essere formati? R. Si, la formazione è tassativamente obbligatoria anche dopo il : la formazione deve essere costante e continuativa nel tempo. 8) D. Può essere nominata incaricato una divisione operativa od una filiale secondaria dell'azienda? R. No, poiché l'incaricato può essere solo una persona fisica a differenza del titolare e del responsabile che invece possono essere anche soggetti diversi dalla persona fisica. 9) D. Chi deve redigere il DPS? R. Devono redigere il DPS tutti coloro che trattano dati sensibili con strumenti elettronici; il DPS è comunque fortemente consigliato anche per tutti gli altri. 10) D. La notifica, ove dovuta, può essere inviata anche per fax o lettera raccomandata? R. No, la notifica, nei rari casi in cui è dovuta, può essere inviata solo in modo telematico con firma digitale. Non sono ammesse altre modalità di invio. 11) D. Come può essere dimostrata l'avvenuta formazione? R. Ad esempio con idonei certificati rilasciati da soggetti esterni all'azienda (organizzatori dei corsi) che attestino l'avvenuta partecipazione al corso di formazione; oppure con appositi verbali interni, se la formazione è fatta internamente. 11

12 12) D. Può un titolare essere anche responsabile? R. Si. In particolare nelle piccole strutture (pensiamo ad esempio alla piccola impresa individuale), il titolare potrà essere anche responsabile ed incaricato contemporaneamente. 13) D. Quando è obbligatorio fare i salvataggi? Solo se si trattano dati sensibili? R. I salvataggi sono sempre obbligatori, sia che si trattino dati personali che dati sensibili. Devono essere fatti con cadenza almeno settimanale e con gli strumenti ritenuti più idonei caso per caso: si potranno quindi usare cd, nastri, penne usb, ecc. 12