Con il Testo unico sulla privacy (decreto legislativo 30 giugno 2003 n. 196) vengono riprese ed ampliate le disposizioni sulla sicurezza presenti nella legge 675/1996 (art. 15).
Ai sensi dell’ art. 31 D. Lgs. 196/03, ”i dati personali oggetto del trattamento devono sempre essere custoditi e controllati riducendone al minimo, mediante l’adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta”.
Quanto sopra disposto deve essere realizzato tenendo conto delle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento.
Su
Il termine ultimo, per adeguarsi al disposto del D. Lgs. 30/06/2003 n. 196, è il 31 marzo 2006.
Qualora il titolare, per obiettive ragioni tecniche che impediscono l’applicazione delle misure minime, non sia in grado di adeguarsi entro tale data, deve comunque redigere un documento dove vengono descritte le medesime ragioni; inoltre il titolare deve adottare ogni possibile misura di sicurezza volta a ridurre al minimo i rischi di cui in premessa.
Qualora il titolare si dovesse trovare in questa ultima situazione deve comunque adeguarsi al più tardi entro il 30 giugno 2006.
Su
Con tale allegato al Codice vengono elencate le misure di sicurezza da adottare in relazione alle varie tipologie di trattamento.
In particolar modo, qualora i dati vengano trattati con strumenti elettronici, l’Allegato B elenca le modalità tecniche che il titolare deve adottare.
Il titolare che si occupa del trattamento dei dati senza l’ausilio di strumenti informatici deve comunque attenersi a quanto stabilito dal Codice nei punti:
- 27 Istruzioni scritte agli incaricati del trattamento;
- 28 Obblighi concernenti la custodia e la restituzione di atti e documenti;
- 29 Accesso agli archivi (anche dopo l’orario di chiusura).
Su
Previsto al punto 19 del Codice Il D.P.S. si compone di 8 sottocategorie:
1. L'elenco dei trattamenti di dati personali;
2. Competenze e responsabilità delle strutture preposte ai trattamenti;
3. L'analisi dei rischi;
4. Le misure di sicurezza adottate o da adottare;
5. Criteri e procedure per il ripristino della disponibilità dei dati;
6. Pianificazione degli interventi formativi previsti;
7. La descrizione dei criteri da adottare per garantire l'adozione delle misure minime di sicurezza;
8. Per i dati personali idonei a rilevare lo stesso stato di salute e la vita sessuale, l'individuazione dei criteri da adottare per la cifratura o per la separazione di tali dati dagli altri dati personali dell'Interessato.
Su
Il D.P.S. è valido per un anno a partire dalla data di redazione; trascorso tale termine il documento deve essere sottoposto a revisione, per adeguarlo ad eventuali variazioni intervenute nel lasso di tempo trascorso
Su
Per gli eventuali controlli sulla corretta applicazione delle disposizioni di cui sopra, il Garante si avvarrà della collaborazione degli Uffici della Guardia di Finanza territorialmente competente.
Le sanzioni previste in caso di mancato adeguamento e per eventuali violazioni del disposto normativo sono di carattere sia amministrativo (da 3.000 € a 18.000 € con possibilità di maggiorazione ), che penale (reclusione da 6 mesi a 3 anni).
Su
|
D. Lgs. 30 giugno 2003 n. 196 , legge sulla sicurezza informatica.