25/294 LEGGE SULLA PRIVACY 15/09/99
TUTELA DELLE PERSONE E DI ALTRI SOGGETTI RISPETTO AL TRATTAMENTO DEI DATI PERSONALI: LEGGE 675/96:
misure di sicurezza
Il Consiglio dei Ministri, nella seduta di venerdì 16 luglio 1999, ha approvato un regolamento per lindividuazione delle misure di sicurezza minima per il trattamento dei dati personali da parte di mezzi elettronici o comunque automatizzati e archivi cartacei, in attuazione della legge sulla privacy (n. 675/1996).
Finalità
Liniziativa è finalizzata ad evitare il rischio di distruzione o perdita, anche accidentale dei dati raccolti, nonchè di accesso non autorizzato o di trattamento non consentito, ovvero non conforme alle finalità della raccolta.
Utilizzatore di elaboratore non accessibile in rete
Per questo è stato individuato il livello minimo di protezione richiesto in relazione a tali rischi, prevedendo che lutilizzatore di un elaboratore non accessibile da altri elaboratori o terminali sia identificato attraverso una parola chiave per laccesso ai dati.
Utilizzatore di elaboratore accessibile in rete
Lutilizzatore di elaboratore accessibile in rete, cioè accessibile da altri terminali attraverso reti, disponibili o meno al pubblico, deve avere, oltre la parola chiave, un codice identificativo personale per lutilizzazione dellelaboratore.
Trattamento di dati particolari
Deve essere specificamente autorizzato, dal titolare o, se designato, dal responsabile, laccesso per effettuare le operazioni di trattamento dei dati sensibili (cioè quelli idonei a rivelare lorigine razziale, le convinzioni religiose, filosofiche, politiche, lo stato di salute e la vita sessuale, art. 22, legge n. 675/1996) e di quelli idonei a rilevare i provvedimenti iscritti nel casellario giudiziale (art. 24, stessa legge).
Tali autorizzazioni sono revocate dagli stessi soggetti che le hanno concesse.
Elaboratori accessibili con rete disponibile al pubblico
Inoltre, è stato previsto che, per il trattamento di tali dati particolari effettuati con elaboratori accessibili mediante una rete di telecomunicazioni disponibili al pubblico, deve essere predisposto e aggiornato, con cadenza annuale, un documento programmatico sulla sicurezza dei dati per definire i criteri tecnici e organizzativi per il controllo dei locali utilizzati, quelli procedurali diretti ad assicurare lintegrità dei dati e quelli per la sicurezza della trasmissione dei dati anche in via telematica.
Archivi cartacei
Ulteriori disposizioni riguardano il trattamento dei dati personali effettuato mediante strumenti diversi da quelli elettronici o comunque automatizzati, con particolare riferimento agli archivi cartacei.
In particolare, il regolamento prevede che siano designati per iscritto gli incaricati del trattamento e che i dati siano custoditi in archivi "ad accesso selezionato".
Trattamento dei dati particolari con gli archivi cartacei
Nel caso di trattamento dei dati particolari contenuti in archivi cartacei devono essere osservate le seguenti modalità:
- se affidati agli incaricati del trattamento, gli atti e i documenti contenenti i dati sono conservati, fino alla restituzione, in contenitori muniti di serratura;
- laccesso agli archivi deve essere controllato e devono essere identificati e registrati i soggetti che vi vengono ammessi dopo lorario di chiusura degli archivi stessi.