Lì, 23 settembre 2002

CIRCOLARE 348/02

OGGETTO: PRIVACY – LE MISURE DI SICUREZZA E IL SISTEMA SANZIONATORIO

Nell’ambito delle modifiche apportate alla disciplina della privacy le novità più significative riguardano l’impianto sanzionatorio per la parte relativa ai sistemi di sicurezza. Oltre alla depenalizzazione delle violazioni commesse, si segnala l’introduzione della possibilità di adeguamento beneficiando di uno sconto di pena.

LE MISURE DI SICUREZZA

Il DPR n. 318/99 ha introdotto importanti e numerosi adempimenti obbligatorio volti a garantire la sicurezza dei trattamenti di dati disciplinati dalla Legge n. 675/96.

Tali obblighi sono graduati in relazione al tipo di dati trattati ed alle modalità del trattamento stesso (informatico, su rete isolata, su rete pubblica, cartaceo, ecc.). in sintesi le previsioni in materia di sicurezza nel trattamento di dati possono essere così riepilogate.

COMPUTER NON IN RETE (STAND ALONE)

Con riferimento ai trattamenti effettuati con computer non collegati in rete (stand alone) gli adempimenti richiesti sono i seguenti:

§     Individuazione, per iscritto, degli incaricati. Si tratterà semplicemente di individuare i soggetti che per svolgere le proprie funzioni hanno necessità di conoscere i dati trattati e di utilizzare i sistemi di cui si avvale la struttura operativa;

§     Previsione di una parola chiave (password) per l’accesso ai dati. Dovrà essere prevista una parola chiave per ciascun incaricato;

§     Consentire la sostituzione della parola chiave da parte dell’incaricato;

§     Individuazione, per iscritto, dei soggetti prepostii alla custodia delle parole chiave.

COMPUTER IN RETE NON ACCESSIBILE AL PUBBLICO

Oltre a quanto sopra previsto per i trattamenti effettuati con computer stand alone, sono necessari i seguenti adempimenti:

§     Attribuzione a ciascun incaricato di un codice identificativo personale per l’utilizzo di qualsiasi elaboratore. Lo stesso codice identificativo non può essere attribuito a soggetti diversi, neppure in tempi diversi. Inoltre, il codice identificativo non è trasmissibile e, a tal fine, deve esserne prevista la disattivazione automatica qualora l’incaricato perda i requisiti che consentono l’accesso ai dati (licenziamento, dimissioni, passaggio ad altre funzioni, ecc.). Dopo la disattivazione lo stesso codice deve rimanere inutilizzato. Il codice identificativo deve essere disattivato anche nel caso di inutilizzo per un periodo superiore a sei mesi;

§     Adozione di programmi anti-intrusione per i quali deve essere prevista una verifica semestrale. La protezione deve essere rivolta nei confronti di quei programmi che hanno come scopo il danneggiamento o la distruzione delle banche dati o l’interruzione del funzionamento del sistema. Con cadenza semestrale deve essere verificatala funzionalità dei programmi di protezione in relazione in relazione ai sistemi utilizzati.

COMPUTER IN RETE NON ACCESSIBILE AL PUBBLICO CONTENENTE DATI SENSIBILI

Oltre alle misure di sicurezza già viste, in tale fattispecie sarà necessario procedere anche ai seguenti adempimenti:

§     Gli incaricati del trattamento o della manutenzione devono essere autorizzati singolarmente o per gruppi di lavoro. L’autorizzazione deve essere rilasciata dal Titolare o dal Responsabile del trattamento ed ha validità massima di un anno. Inoltre, la stessa autorizzazione deve essere rilasciata solo con riferimento ai dati la cui conoscenza è necessaria ai fini del trattamento o della manutenzione;

§     Gli incaricati del trattamento dovranno sempre utilizzare il proprio codice identificativo per l’accesso ai dati. Al riguardo si precisa che non può essere utilizzato lo stesso codice identificativo per diversi accessi contemporanei da diverse postazioni di lavoro;

§     I supporti utilizzati per il trattamento possono essere riutilizzati solo qualora i dati precedentemente contenuti non possano in alcun modo essere recuperati. In caso contrario i supporti devono essere distrutti.

COMPUTER IN RETE ACCESSIBILE AL PUBBLICO CONTENENTE DATI SANSIBILI

Oltre a tutti gli adempimenti sopra riportati, devono essere adottate le ulteriori seguenti misure:

§     Devono essere individuati i singoli elaboratori ai quali è consentito l’accesso alla rete pubblica;

§     Almeno una volta l’anno deve essere verificata la sussistenza delle condizioni soggettive e della necessità di adottare nuove autorizzazioni;

§     Deve essere predisposto e aggiornato annualmente un documento programmatico sulla sicurezza dei dati, denominato anche “DPSS”. Tale documento deve essere redatto dopo aver svolto l’analisi dei rischi, dei compiti e delle responsabilità nell’ambito del trattamento.

Lo stesso documento deve prevedere:

-      I criteri per la protezione delle aree e dei locali in cui sono conservati i dati;

-      I criteri di controllo dell’accesso ai suddetti locali;

-      I criteri e le procedure per garantire l’integrità dei dati;

-      I criteri e le procedure per la sicurezza delle trasmissioni telematiche;

-      I criteri di controllo degli accessi telematici;

-      L’elaborazione di un piano di formazione per gli incaricati.

SANZIONI

A seguito dell’emanazione del D.Lgs. n. 467/2001, le sanzioni previste per le violazioni alle norme inerenti la sicurezza dei trattamenti di dati sono le seguenti.

Violazione

Sanzione ante modifica

Sanzione post modifica

Omessa adozione di misure necessarie alla sicurezza dei dati

Reclusione sino ad 1 anno. Se dal fatto deriva nocumento, la pena è la reclusione da 2 mesi a 2 anni. Se il fatto di cui al comma 1 è commesso per colpa si applica la reclusione fino a 1 anno.

Arresto fino a 2 anni e ammenda da € 5.164 a € 41.316

Estremamente innovativa nel settore è la previsione del comma 2 dell’art. 36, la quale introduce una sorta di ravvedimento operoso.

Il procedimento applicativo di detto nuovo istituto è il seguente:

 

 

Accertamento della violazione

Ciò può avvenire in seguito a segnalazioni o a richieste di intervento da parte di soggetti interessati allo specifico trattamento, oppure in relazione a danni provocati a terzi a causa di una non corretta applicazione della normativa vigente in tema di privacy.

 

Prescrizioni per la regolarizzazione

Accertata la violazione, il Garante impartisce con proprio provvedimento le direttive necessarie per regolarizzare la posizione del soggetto accertato.

 

 

Riduzione delle sanzioni

Se l’autore della violazione attua le prescrizioni del Garante entro 60 giorni, potrà essere ammesso a pagare una somma di  € 10.329,00 pari ad 1/4 del massimo. Tale pagamento estingue la violazione.

A disposizione per ogni chiarimento in merito, porgiamo distinti saluti.

ENTI REV S.r.l.

||||||||

-->