Privacy si cambia

Con il decreto legislativo 30 giugno 2003, n.196 è stato varato il "Codice in materia di protezione dei dati personali". Le disposizioni entrano in vigore il 1 gennaio 2004. Tra le nuove misure minime di sicurezza, quelle che non erano già previste dal Precedente Regolamento (Dpr n. 318/1999) sono adottate entro il 30 giugno. Il documento programmatico sulla sicurezza è compilato o aggiornato entro il 31 marzo di ogni anno.

I contenuti del Codice sono importanti perché riformano interamente la materia attraverso l'abrogazione e la sostituzione di undici tra leggi e decreti. E, soprattutto, sono introdotte nuove misure di sicurezza dei dati e dei sistemi con prescrizioni moderne che sviluppano i concetti di integrità, confidenzialità e disponibilità dei dati, condivisi dagli esperti di sicurezza informatica e basati sui principali standard della materia. Le nuove misure recepiscono anche principi e raccomandazioni della direttiva 2002/58/CE, sulla tutela della vita privata nel settore delle comunicazioni elettroniche.

Le misure di sicurezza sono articolate in due correlati gruppi. Il primo contenuto nel Codice agli articoli 31, 32, 33, 34, 35, 36; il secondo riportato in allegato nel "Disciplinare tecnico" composto da 29 punti. Una delle principali novità è rappresentata dal fatto che le misure di sicurezza minime sono inserite nel corpo del Codice (articoli 33, 34, 35) e viene rimandata all'allegato Disciplinare tecnico l'elencazione di 29 dettagliate prescrizioni, che potranno essere modificate e aggiornate periodicamente con decreto interministeriale (art. 36), senza la necessità di dover intervenire anche sulla legge, e non più tramite un Dpr.

Tra i nuovi concetti che disciplinano le nuove misure minime si evidenziano le modalità per l'accesso ai dati da parte delle sole persone incaricate di poterlo fare, cui dovranno essere assegnate o associate credenziali di autenticazione, quali parole chiave, codici identificativi, carte a microprocessore, token, certificati digitali, caratteristiche biometriche, al fine di superare l'autenticazione informatica, nell'ambito di un sistema di autorizzazione per l'accesso ai trattamenti consentiti e preventivamente individuati. Molte le misure nuove e di attualità aventi l'obiettivo di proteggere i dati personali dalle nuove emergenti criticità, ad esempio i dati sensibili o giudiziari devono essere tutelati dagli accessi abusivi. Poi, il software deve essere aggiornato con programmi volti a prevenirne le vulnerabilità e a correggerne i difetti individuati (patch, hot fix, service pach). Tra le nuove misure anche l'adozione di procedure per la generazione e la custodia di copie di sicurezza dei dati, il ripristino della disponibilità dei dati e dei sistemi entro tempi certi e compatibili con i diritti degli interessati.

Il documento programmatico annuo per la sicurezza ha assunto una rilevante importanza perché il titolare dell'azienda deve riferire nella relazione accompagnatoria del bilancio d'esercizio di averlo compilato o aggiornato. I contenuti del documento sono stati meglio specificati e dovranno, tra l'altro, riguardare: l'analisi dei rischi che incombono sui dati; le misure da adottare per garantire l'integrità e la disponibilità dei dati; la previsione di idonei interventi formativi degli incaricati; la descrizione dei criteri da seguire per garantire l'adozione delle misure minime di sicurezza in caso di outsourcing dei trattamenti.

LA FORMAZIONE

Gli interventi formativi da pianificare nel documento programmatico devono essere finalizzati a rendere edotti gli incaricati del trattamento dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare. A tal fine, il piano potrà essere articolato sulla base delle specifiche esigenze di ciascuna area aziendale in relazione alla natura dei trattamenti e dei rischi generici o specifici che incombono sui dati e sui criteri e modalità di evitare tali rischi. La formazione è programmata già al momento dell'ingresso in servizio, nonché in occasione di cambiamenti di mansioni o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati personali.

Per tutti gli incaricati che svolgono trattamenti di dati personali comuni la pianificazione potrà comprendere la formazione di base avente l'obiettivo di renderli edotti sui rischi possibili o probabili al fine di prevenirli, i cui contenuti essenziali sono, quindi: le informazioni sulla legge, sui decreti connessi, sui principi legislativi e comunitari, i contenuti delle principali leggi in materia di sicurezza, il funzionamento della normativa nell'ambito dei diritti del cittadino e comportamenti relativi aziendali, i crimini informatici, le frodi, gli abusi, i danni, la casistica, i rischi possibili e probabili cui sono sottoposti i dati, le misure di sicurezza tecniche ed organizzative e comportamentali deputate alla prevenzione dei rischi, i comportamenti e modalità di lavoro per prevenire i rischi. I contenuti di tali corsi, con l'aggiunta di ulteriori argomenti specializzati sulle attività specifiche di ciascuna area aziendale e coordinati per gruppi di incaricati che svolgono attività omogenee, potranno essere rivolti ad attività formative non generiche.

La formazione costituisce un obbligo, perciò la funzione dell'impresa che cura la gestione del personale, o altra funzione dedicata, sarà incaricata di progettare il calendario delle attività formative da svolgere e individuarne i gruppi di destinatari. La funzione personale verificherà costantemente l'effettivo svolgimento dei predetti piani, dal momento dell'assunzione o dell'ingresso in servizio, nonché la necessità di nuovi interventi in occasione di cambi di mansione.

In caso di esternalizzazione di parte o di tutti i trattamenti la formazione dovrà essere comunque pianificata e svolta indicandone preventivamente le modalità di svolgimento e i destinatari. Tra le prescrizioni più tradizionali sono state meglio specificate le misure di sicurezza relative al reimpiego dei supporti di memorizzazione utilizzati per il trattamento di dati sensibili e giudiziari; nonché le misure tecniche e organizzative per trattamenti cartacei.

La corretta applicazione delle misure di sicurezza richiede un serio e particolare impegno organizzativo, ma la corretta applicazione consente, non solo di adempiere agli obblighi di legge, ma anche di migliorare l'organizzazione aziendale ottimizzando i processi di lavoro, e operare nella consapevolezza che i dati trattati sono corretti, integri, aggiornati (art.11 del Codice). Costituiscono, perciò, vere informazioni che arricchiscono il patrimonio dell'impresa che, operando in sicurezza, potrà godere della piena fiducia della propria clientela.

(Ndr: ripreso dalla rivista Bancaforte di novembre-dicembre 2003)