OGGETTO: Tutela dei dati personali – Legge 675/96- DPR 318/99
In attuazione a quanto previsto dalla Legge 675/96, è stato emanato il DPR 318/99, che detta le misure minime da attuare sia da parte delle Aziende che da parte degli Studi professionali che gestiscono dati personali.
Le misure minime di sicurezza dovranno essere adottate entro il 29 marzo 2000, termine di fatto prorogato, relativamente all’applicazione delle sanzioni, al 30.04.2000.
Per poter usufruire di questa moratoria appare quantomeno necessario, prima del 30 aprile redigere e sottoscrivere un documento da cui risultino: i dati del titolare e del responsabile del trattamento; l’esposizione sintetica del programma di adeguamento alle misure minime di sicurezza e le fasi di attuazione; la specifica degli accorgimenti già adottati; le misure per la protezione minima degli archivi onde evitare perdite, dispersioni o manomissioni degli stessi.
L’attuale normativa stabilisce che, entro i predetti termini, tutti gli archivi elettronici e cartacei che gestiscano dati personali, adottino protezioni minime per rendere più sicura la custodia e il trattamento delle informazioni.
In caso di inadempienza, scattano le sanzioni: reclusione fino ad un anno nei casi più estremi ed, in caso di danno, fino a due anni.
Misure minime di protezione
Il D.P.R.318/99, in attuazione dell’art. 15 Legge 675/96 ha dettato le misure minime alla salvaguardia della tutela dei dati personali.
Esse consistono in una revisione delle misure tecniche, informatiche, organizzative, logistiche e procedurali di sicurezza che configurino il livello minimo di protezione in modo da ridurre al minimo i rischi di distruzione, perdita anche accidentale dei dati stessi, l’accesso non autorizzato o il trattamento non consentito o non conforme alle finalità della raccolta dei dati stessi.
Occorre quindi, rivedere le procedure operative ed i sistemi utilizzati per l’uso di personal computers e server, quali ad esempio: prevedere il funzionamento di password di Bios, password di rete, dotarsi di un software antivirus con aggiornamenti semestrali del software stesso, valutare l’adeguatezza dei sistemi di protezione dei locali, degli archivi; disporre procedure di specie nel caso di riutilizzo di supporti informatici, nonché delle necessarie politiche di salvataggio (backup).
Nomina del responsabile al trattamento dei dati personali
Dovrà essere, nominato conformemente al dettato dell’art. 8 L.675/96, almeno un responsabile del trattamento dei dati, è obbligatorio informare gli incaricati del trattamento degli stessi e fornire tutte le nozioni necessarie per la conoscenza della normativa in vigore e degli obblighi che incombono su tali soggetti. Nel caso di nuove assunzioni sarà inoltre necessario procedere all’informazione del personale in merito alle misure minime di sicurezza adottate.
È inoltre consigliabile, anche se non obbligatorio, per gli elaboratori in rete non accessibili al pubblico, redigere comunque un documento interno sulla sicurezza dei dati, documento che dovrà essere rivisto nel caso di sostituzione di computer ed attrezzature con caratteristiche tecniche diverse dalle precedenti.
Al Regolamento emanato con DPR 318/99 ne seguiranno altri, almeno ogni due anni, che adegueranno all’evoluzione dei processi tecnologici le misure minime di sicurezza.
Va precisato che la normativa in oggetto può subire modifiche, visto che la Commissione Giustizia del Senato in data 16.03.2000, ha licenziato in sede deliberante un disegno di legge per lo slittamento dei termini, e ad oggi non è ancora chiara la versione definitiva.
Si resta a disposizione per ogni eventuale chiarimento.