EURABCLOUD COMPUTING
SOFTWARE UND DIENSTLEISTUNGEN ZU DEN
UNTERNEHMEN DURCH DAS INFORMATIKNETZ
ITENDEESFR
HOME EURAB DEMO OUTSOURCING GEBRAUCH AMMINISTRA SWFREE SW SWFARM DIENSTLEISTUNGEN PREISLISTE NACHRICHT
Generalità sul Decreto legislativo n. 196 del 30/6/2003  (legge sulla privacy)
La legge 675/96 sulla tutela dei dati personali (legge sulla privacy), ed i successivi decreti attuativi, hanno imposto alle aziende una serie di incombenze mirate a tutelare la privacy dei propri dipendenti, dei clienti, dei fornitori ed in generale di tutti i soggetti di cui l'azienda detiene dati classificati come personali.  Dal 1 gennaio 2004 è in vigore il “Codice in materia di protezione dei dati personali” (Decreto legislativo n. 196 del 30/6/2003) che innova notevolmente la disciplina sulla Privacy, abroga e sostituisce tutte le precedenti leggi, decreti e regolamenti in materia, riunendo in un unico organico contesto, l’intera normativa sulla Privacy.
Tutte le aziende pubbliche e private sono tenute a rispettare a vario titolo la normativa, la cui corretta applicazione consente, non solo di adempiere agli obblighi di legge, ma anche di migliorare l’organizzazione aziendale, i processi di lavoroe la qualità dei risultati.
E' fondamentale determinare la natura dei dati trattati e la finalità per cui vengono conservati; in tale ambito vengono definiti qali dati sensibili i dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, politico, filosofico o sindacale, nonché dati idonei a rivelare lo stato di salute e la vita sessuale della persona. Questa tipologia di dati può essere trattata soltanto con il consenso scritto dell'interessato e con l'autorizzazione del Garante.
In ogni caso, sia se si conservino solo dati comuni od anche dati sensibili, il soggetto interessato deve essere preventivamente informato per iscritto, circa:
  • la finalità e la modalità del trattamento;
  • l'obbligo o la facoltà di conferire i dati;
  • le conseguenze giuridiche del rifiuto a rispondere;
  • i soggetti a cui i dati possono essere comunicati;
  • l'ambito di diffusione dei dati personali;
  • i diritti spettanti al soggetto interessato;
  • identificazione anagrafico-logistica del titolare del trattamento e la modalità tramite cui reperire tutti i responsabilidel trattamento.
Il trattamento di dati personali è ammesso soltanto con il consenso espresso dell'interessato, questo è valido solto se è espresso liberamente. Il consenso per il trattamento dei dati comuni può anche essere orale, o elettronico, purché documentato, mentre quello relativo ai dati sensibili deve essere prestato esclusivamente in forma scritta.
Mentre con l'originale legge sulla privacy 675/1996, e le successive modificazioni, tutti i soggetti non esplicitamente esentati dovevano notificare al Garante il trattamento dei dati, nel nuovo DL 196/2003 sono tenuti alla notifica solo i Titolari di trattamento dati che trattino dati sensibili, la notifica va ora effettuata esclusivamente in forma telematica con sottoscrizione e firma digitale, seguendo la procedura indicata nel sito del Garante.

Un aspetto fondamentale della privacy è l’adozione di misure di sicurezza minime ed idonee, tali misure debbono essere finalizzate a garantire che i dati trattati siano custoditi e controllati, al riparo da rischi, ovvero protetti in modo da evitare l’accesso indiscriminato e/o la diffusione non controllata. Nell'allegato B del DL 196/2003 sono descritte le misure minime di sicurezza che debbono essere adottate sui sistemi informatici ove vengono conservati i dati:
  • ogni operatore deve essere munito di una utenza e password, riservata e non cedibile;
  • i dati debbono essere salvati con copie di sicurezza con una frequenza almeno settimanale;
  • sul sistema, debbono essere applicati prodotti idonei alla salvaguardia degli archivi, quali antivirus, firewalling, ...
Tra queste misure, viene fissato al  31 marzo di ogni anno la redazione del Documento Programmatico sulla Sicurezza (DPS), la cui redazione o aggiornamento annuale, deve essere riportato, qualora previsto, nella relazione accompagnatoria al bilancio di esercizio.
Il DPS è finalizzato alla definizione delle politiche di sicurezza in materia di trattamento di dati personali ed i criteri organizzativi per la loro attuazione, secondo lo standard illustrato nell’allegato B del DL 196/2003. In particolare deve contenere informazioni riguardanti:
  • l'elenco dei trattamenti di dati personali e la distribuzione dei compiti e delle responsabilità nell'ambito delle strutture preposte al trattamento dei dati;
  • l'analisi dei rischi che incombono sui dati;
  • le misure adottate e da adottare per garantire l'integrità e la disponibilità dei dati, nonché la protezione delle aree edei locali, rilevanti ai fini della loro custodia e accessibilità;
  • la descrizione del piano di verifica delle misure adottate;
  • la previsione di interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi;
  • la descrizione dei criteri da adottare per garantire l'adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformità al codice, all'esterno della struttura del titolare.
La mancata adozione delle misure minime di sicurezza rende penalmente perseguibili gli inadempienti (ovvero chiunque essendovi tenuto omette di adottarle). La mancata adozione delle misure idonee costringe il Titolare al risarcimento economico, qualora il soggetto cui si riferiscono i dati sia danneggiato per effetto del trattamento posto in atto.

Trattamento di dati personali ai soli fini contabili e amministrativi con strumentazione elettronica
 (tali dati, per il loro utilizzo, si intendono non comprensivi di dati sensibili)
  • periodicamente è necessario valutare i dati trattati e verificare la situazione degli incaricati, che operano sui dati (variazioni di ruolo, licenziamenti, nuovi incaricati, ...);
  • ogni persona che può accedere ai dati personali trattati deve essere munito di una parola di accesso univoca, e di una parola chiave di convalida, riservata e personale;
  • effettuare le copie di sicurezza dei dati con una frequenza almeno settimanale.
  • aggiornare e/o verificare l'efficenza dei programmi anti intrusione con cadenza almeno annuale.
  • produrre un documento, accessibile solo al Titolare, dove sono annotate le credenziali di accesso di ogni incaricato, in modo che sia sempre possibile l'accesso ai dati trattati anche in caso di prolungata o definitiva assenza dell'incaricato;
  • gli Incaricati debbono essere informati, in forma scritta, con firma di presa visione, sui loro obblighi:
  • cambio della password  al primo accesso e, comunque,  almeno ogni sei mesi
  • mantenimento della segretezza relativamente alla propria parola di accesso ed alla propria password
  • adozione di  comportamenti adeguati al rispetto della normativa:
  • non lasciare l'elaboratore incustodito dopo essersi autenticati;
  • non lasciare supporti magnetici ed ottici incustoditi qualora questi contengono i dati oggetto del trattamento;
  • non divulgare le informazione contenute nei dati trattati;
  • non consentire la consultazione dei dati trattati da parte di terze persone;
  • non permettere l'accesso incustodito all'elaboratore da parte di terze persone;
  • non affidare l'elaboratore ad organizzazioni esterne, senza prima aver rimosso i dati trattati;
Sito del Garante Invia un Messaggio