8/126 LEGGE SULLA PRIVACY 15/03/2000
LEGGE SULLA PRIVACY 675/96, art. 15 c. 2°
MISURE MINIME DI SICUREZZA PER IL TRATTAMENTO DEI DATI PERSONALI
Adeguamento di terminali e archivi entro il 29 marzo 2000
Nei giorni scorsi, il Garante della Privacy Stefano Rodotà ha emanato un provvedimento con il quale ha segnalato la scadenza del 29 marzo prossimo, per ladozione- da parte sia di soggetti pubblici che di soggetti privati - di una serie di misure minime di sicurezza necessarie per il trattamento dei dati personali da parte di mezzi elettronici o comunque automatizzati e archivi cartacei.
Si tratta di una serie di requisiti minimi di sicurezza previsti dal dpr 28 luglio 1999 n. 318 (G.U. n. 126 del 14-9-1999), secondo quanto disposto dalla legge sulla privacy (si veda nostra precedente comunicazione n. 25/294 del 15 settembre 1999 con la quale avevamo fornito una sintesi degli adempimenti previsti dal dpr n. 318/99), la cui mancata adozione comporta il rischio di incorrere in responsabilità sia penali che civili.
Con riferimento alle misure da adottare, il Garante ha precisato che, nel caso in cui siano trattati contemporaneamente dati comuni e dati sensibili, dovranno essere osservate le misure previste per la categoria più elevata.
Il provvedimento è finalizzato ad evitare il rischio di distruzione o perdita, anche accidentale, dei dati raccolti, nonchè di accesso non autorizzato o di trattamento non consentito, ovvero non conforme alle finalità della raccolta.
Alla pagina seguente riportiamo uno specchietto esemplificativo delle misure minime di sicurezza da adottare entro il 29 marzo prossimo.
INTERVENTI DA EFFETTUARE
Strumenti tecnici Misure di sicurezza con riferimento alla tipologia di dati
______________________________________________________________________________________
Elaboratori stand alone - Password
- Se tecnicamente possibile, consentire lautomatica sostituzione della password
- Individuare per iscritto il responsabile delle parole chiave
______________________________________________________________________________________
Elaboratori accessibili - Codice identificativo per utenti e incaricati
da reti non pubbliche - Stesso codice non attribuibile a persone diverse
- Disattivazione del codice in caso di perdita di qualità legittimante
laccesso o per mancato utilizzo per oltre sei mesi
- programmi antiintrusione degli elaboratori (verifica di efficacia e
aggiornamento almeno semestrale)
DATI SENSIBILI E GIUDIZIARI
- Autorizzazioni agli incaricati del trattamento e della manutenzione
- Non ammessa lutilizzazione di uno stesso codice per accedere
contemporaneamante da diverse postazioni di lavoro alla stessa applicazione
- Controllo annuale delle autorizzazioni
- Verifica preventiva della validità delle richieste daccesso
- Supporti di memorizzazione riutilizzabili solo se dati precedenti
assolutamente non recuperabili (altrimenti distruzione)
____________________________________________________________________________________
Elaboratori accessibili - Codice identificativo per utenti e incaricati
mediante rete di teleco- - Stesso codice non attribuibile a persone diverse
municazioni disponibili - Disattivazione del codice in caso di perdita di qualità legittimante
al pubblico laccesso o per mancato utilizzo per oltre 6 mesi
- Programmi aintiintrusione degli elaboratori (verifica di efficacia e
aggiornamento almeno semestrale)
DATI SENSIBILI E GIUDIZIARI
- Autorizzazioni agli incaricati del trattamento e della manutenzione
- Non ammessa lutilizzazione di uno stesso codice per accedere
contemporaneamente da diverse postazioni di lavoro alla stessa applicazione
- Autorizzazione degli strumenti utilizzati per linterconnessione con individuazione
dei singoli elaboratori
- Controllo annuale delle autorizzazioni
- Verifica preventiva della validità delle richieste daccesso
- Documento programmatico annuale sulla sicurezza
- Supporti di memorizzaz. riutilizzabili solo se dati precedenti assolutamente non
recuperabili (altrimenti distruzione)
___________________________________________________________________________
Strumenti cartacei e - Individuazione scritta degli incaricati
supporti non informa- - Accesso ai soli dati strettamente necessaria allo svolgimento delle proprie
tici contenenti riprodu- mansioni zione di dati sensibili - Archivi ad accesso selezionato
e giudiziari - Restituzione di atti e documenti al termine delle operazioni
DATI SENSIBILI E GIUDIZIARI
- Contenitori muniti di sicurezza
- Controllo degli accessi agli archivi
- Identificazione e registrazione dei soggetti ammessi agli archivi
dopo lorario di chiusura
___________________________________________________________________________
Trattamento dati Parola chiave
sensibili e giudiziari,
organizzati in banche
dati, per fini persona
li con elaboratori sta
bilmente accessibili
da altri elaboratori