STUDIO MURER COMMERCIALISTI

Transcript

1 1 RM/ml per telefax/ per San Donà di Piave, 20 gennaio 2004 Alle Spett.li Aziende e Società Clienti dello Studio Loro Indirizzi Oggetto: misure minime obbligatorie per le imprese in materia di privacy. A norma del D.Lgs. n. 196/2003 dal 1 gennaio 2004 è in vigore il nuovo Testo Unico in materia di privacy, che raccoglie le disposizioni già vigenti in materia di protezione dei dati personali. 1. Premesse. Con il nuovo T.U. rimane confermato l obbligo di fornire l informativa (cioè la conoscenza di informazioni concernenti il trattamento dei dati personali 1 ) all interessato, in forma scritta o orale, anche qualora non sia dovuto il consenso. Il trattamento dei dati personali può essere effettuato anche senza il consenso dell interessato qualora si trattino dati, non sensibili, 2 per l esecuzione di un contratto di cui è parte l interessato e qualora il trattamento sia obbligatorio per legge. Il trattamento dei dati personali in assenza del consenso dell interessato, nei casi in cui è richiesto, può essere sanzionato anche penalmente, qualora ricorra dolo specifico. E opportuno individuare anche modalità organizzative tali da consentire agevolmente di soddisfare le richieste degli interessati che richiedano di conoscere i propri dati personali trattati, di aggiornarli, di rettificarli, ecc. Il termine per fornire riscontro è di 15 giorni dal ricevimento della richiesta. Il nuovo T.U. innova le disposizioni in materia di misure minime di sicurezza per il trattamento dei dati personali, precedentemente individuate con il D.P.R. n. 318/1999 (si veda ns. 1 per dato personale si intende qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale. 2 per dati sensibili si intendono i dati personali idonei a rivelare l origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale.

2 2 precedente lettera del ), che è abrogato e sostituito dalle misure minime dettate dagli articoli da 33 a 36 del suddetto T.U.. Le nuove misure devono essere adottate dalle imprese, dai professionisti e dai soggetti privati che trattano dati personali sia con mezzi informatici che su carta. Le misure minime di sicurezza, disciplinate dal nuovo T.U. secondo le modalità previste dal disciplinare tecnico contenuto nell allegato B al T.U. stesso, sono le seguenti: 2. Trattamento di dati personali effettuato con strumenti elettronici. NORMATIVA : Art. 34 del D.Lgs. n. 196/2003. Il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell allegato B), le seguenti misure minime: a) autenticazione informatica; b) adozione di procedure di gestione delle credenziali di autenticazione; c) utilizzazione di un sistema di autorizzazione; d) aggiornamento periodico dell individuazione dell ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici; e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici; f) adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi; g) tenuta di un aggiornato documento programmatico sulla sicurezza; h) adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari. ANALISI sistema di autenticazione informatica: - il trattamento dei dati personali deve essere consentito agli incaricati muniti di credenziali di autenticazione. Tali credenziali, nella maggior parte dei casi, consistono in un codice identificativo dell incaricato associato ad una parola chiave ( password ) riservata e conosciuta dall incaricato stesso; - a ciascuno degli incaricati (dipendenti, collaboratori, praticanti, ecc.), nominati con atto scritto dal titolare o contitolare del trattamento (società, libero professionista, associazione professionale), devono essere attribuite individualmente una o più credenziali per l autenticazione; - gli incaricati, secondo le istruzioni loro impartite, devono adottare le cautele necessarie al fine di assicurare la segretezza della componente riservata della credenziale (codice identificativo) nonché la diligente custodia dei dispositivi in loro possesso ed uso esclusivo; - la parola chiave ( password ): deve essere almeno di otto caratteri (salvo il caso in cui lo strumento elettronico non lo consenta, dovendo pertanto adottare una parola chiave composta secondo il numero massimo di caratteri consentiti);

3 3 non essere facilmente riconducibile all incaricato (consistendo per esempio nel nome o data di nascita propri o di un familiare). Una password adeguata dovrebbe contenere sia dati alfabetici sia numerici e non utilizzare parole che sono (comunemente) comprese nei vocabolari delle lingue più diffuse; deve essere modificata dall incaricato al primo utilizzo e, poi, almeno ogni sei mesi (almeno ogni tre mesi, se si trattano dati sensibili o giudiziari); - il codice identificativo utilizzato non può essere assegnato, neppure in tempi diversi, ad altri soggetti incaricati; - le credenziali di autenticazione (codice identificativo e parola chiave) devono essere disattivate in caso di perdita, da parte dell incaricato del trattamento, della qualità che gli consentiva l accesso ai dati personali e in caso di mancato utilizzo da almeno sei mesi, salvo che l ipotesi di un utilizzo meramente finalizzato ad una gestione tecnica, per cui non è richiesta tale scadenza di modifica; - gli incaricati devono eseguire le istruzioni del titolare al fine di non lasciare incustodito e accessibile lo strumento elettronico durante una sessione di trattamento (ad esempio, quando si assentano per l intervallo di mensa, devono chiudere la sessione di lavoro nel proprio Pc); - per disporre di dati o strumenti elettronici in caso di prolungata assenza o impedimento dell incaricato che renda indispensabile intervenire per esclusive necessità di operatività e di sicurezza del sistema, devono essere seguite le modalità preventivamente individuate per iscritto dal titolare; sistema di autorizzazione: - deve esserci un sistema di autorizzazione qualora per l incaricato o per classi omogenee di incaricati siano individuati profili di autorizzazione diversi e cioè qualora non tutti possano accedere a tutti i dati; - ai fini di limitare l accesso ai soli dati necessari per espletare le operazioni di trattamento, i profili di autorizzazione vengono individuati prima dell inizio del trattamento; - almeno annualmente deve avvenire la verifica delle condizioni sussistenti per la conservazione dei profili di autorizzazione; - le disposizioni sul sistema di autenticazione e sul sistema di autorizzazione non si applicano ai trattamenti di dati personali destinati alla diffusione; altre misure di sicurezza: - si deve provvedere all aggiornamento almeno annuale dell individuazione dell ambito di trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici; - la protezione dei dati personali deve avvenire con l adozione di programmi antivirus, da aggiornare almeno semestralmente (l antivirus che protegge il proprio Pc non deve mai essere disattivato da chi ci lavora); - almeno annualmente si devono aggiornare i programmi per prevenire la vulnerabilità di strumenti elettronici e a correggerne i difetti (l aggiornamento è almeno semestrale in caso di dati sensibili o giudiziari); - effettuare il salvataggio dei dati (back-up) almeno settimanalmente; - se il titolare si rivolge a soggetti esterni per l adozione delle misure minime di sicurezza, deve ricevere dall installatore una descrizione scritta dell intervento effettuato che ne attesti la conformità alle disposizioni del T.U.; documento programmatico sulla sicurezza:

4 4 - se si trattano dati sensibili o giudiziari, occorre redigere il documento programmatico sulla sicurezza entro il 31 marzo di ogni anno, a partire dal 31 marzo 2004, di cui il titolare del trattamento riferisce anche nella relazione accompagnatoria al bilancio d esercizio. Nel disciplinare tecnico allegato al T.U. sono stabiliti i contenuti essenziali del documento; ulteriori misure in caso di trattamento di dati sensibili o giudiziari: - se si trattano dati sensibili o giudiziari occorre che essi siano protetti contro l accesso abusivo e che si preveda, in tempi certi compatibili con i diritti degli interessati e non superiori a sette giorni, il ripristino della loro disponibilità in caso di danneggiamento; - devono essere fornite istruzioni sulla custodia e l uso dei supporti removibili sui cui sono memorizzati i dati per evitare accessi non autorizzati e trattamenti non consentiti; - i supporti removibili contenenti dati sensibili o giudiziari, se non utilizzati, vanno distrutti o resi inutilizzabili oppure possono essere riutilizzati da altri incaricati, non autorizzati al trattamento degli stessi dati, se le informazioni che vi erano contenute non sono in alcun modo ricostruibili; - in alcuni casi è obbligatoria la cifratura dei dati sanitari. 3. Trattamento di dati personali effettuato senza l ausilio di strumenti elettronici. NORMATIVA: Art. 35 del D. Lgs. n. 196/2003. Il trattamento di dati personali effettuato senza l ausilio di strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell allegato B), le seguenti misure minime: a) aggiornamento periodico dell individuazione dell ambito del trattamento consentito ai singoli incaricati o alle unità organizzative; b) previsione di procedure per un idonea custodia di atti e documenti affidati agli incaricati per lo svolgimento dei relativi compiti; c) previsione di procedure per la conservazione di determinati atti in archivi ad accesso selezionato e disciplina delle modalità di accesso finalizzata all identificazione degli incaricati. ANALISI - almeno annualmente si provvede all aggiornamento dell individuazione dei dati personali a cui hanno accesso i singoli incaricati, ai quali sono impartite istruzioni scritte per la custodia e il controllo, durante l intero ciclo di svolgimento delle operazioni di trattamento, degli atti e dei documenti contenenti dati personali; - durante la fase di svolgimento dei loro compiti gli incaricati devono controllare e custodire gli atti ed i documenti contenenti dati personali loro affidati fino alla restituzione, evitando che persone non autorizzate possano leggerli, copiarli o comunque impossessarsene; - gli atti e i documenti contenenti dati sensibili o giudiziari devono essere conservati in archivi ad accesso selezionato e controllato in modo che, a seconda dei casi, le persone ammesse vengano identificate, registrate e preventivamente autorizzate.

5 5 4. Termini. Le suddette misure minime di sicurezza devono essere adottate entro e non oltre il prossimo Il mancato adeguamento è sanzionato anche penalmente. Restiamo a disposizione per ogni chiarimento e porgiamo i migliori saluti. Renato MURER