Studio Legale

Avvocato Marco Di Gregorio

Home
Curriculum Attività Organizzazione Domiciliazioni Contatti Accesso Clienti Contratti on line English Version
Ora siete qui: Home > Misure minime di sicurezza nel trattamento dei dati personali   

Studio Legale Di Gregorio

Consulenza legale e assistenza giudiziale   

Via Francesco Lemmi 4
00179 Roma
Tel. 06 929 178 85 - Fax 06 233 222 315

mardigre@hotmail.com
Approfondimenti

LE MISURE MINIME DI SICUREZZA NEL TRATTAMENTO DEI DATI PERSONALI


Il presente scritto non ha alcuna pretesa di completezza ed ha l’unico scopo di cercare di far comprendere, a chi non abbia una formazione giuridica, alcuni aspetti importanti dell’argomento trattato. Leggi il
Disclaimer

COME CONTATTARE LO STUDIO
Negoziazione Professionale


La mediazione civile (conciliazione professionale) ed il metodo  della Mediation



La riduzione del costo dei conflitti nelle imprese



Informatica e Diritto



Tutela dei Consumatori



Privacy e trattamento dei dati



Le misure minime di sicurezza nel trattamento dei dati personali



La sicurezza nei sistemi di pagamento elettronici


Link ai servizi on line degli Uffici Giudiziari




Le misure di sicurezza da adottare nel trattamento dei dati personali
sono stabilite nel Titolo V, intitolato "
Sicurezza dei dati e dei sistemi" del Decreto legislativo 30 giugno 2003 n. 196, ovvero del "Codice in materia di protezione dei dati personali". Il Ttitolo V è suddiviso in due capi, il capo I, dedicato alle "Misure di sicurezza" ed il capo II, dedicato alle "Misure minime di sicurezza".

In estrema sintesi, gli obblighi fondamentali in materia di sicurezza nel trattamento dei dati personali sono due:

1 - L'obbligo generale di ridurre al minimo i rischi relativi al trattamento di dati personali.

L'obbligo generale di ridurre al minimo i rischi relativi al trattamento di dati personali è previsto dall'Art. 31 del Codice in materia di protezione dei dati personali. Detto articolo, intitolato "Obblighi di sicurezza", dispone che: "I dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta."

In base a detta norma è dunque sempre obbligatorio custodire e controllare i dati personali oggetto di trattamento per contenere nella misura più ampia possibile il rischio che i dati siano distrutti, dispersi anche accidentalmente, conoscibili fuori dei casi consentiti o altrimenti trattati in modo illecito.

L’inosservanza di questo obbligo rende il trattamento illecito anche se non si determina un danno per gli interessati. L'inosservanza di questo obbligo, infatti, viola di per sé diritti degli interessati, incluso il diritto alla protezione dei dati personali che può essere esercitato nei confronti del titolare del trattamento ai sensi degli artt. 1 e 7 comma 3° del Codice).

L'inosservanza di questo obbligo generale non è sanzianata penalmente, ma espone chi lo viola alla responsabilità civile per danni, anche non patrimoniali.

Chi viene convenuto in giudizio per un danno prodotto da trattamento illecito dei dati, dovrà dimostrare di aver adottato tutte le misure idonee ad evitare la produzione del danno stesso, ai sensi degli artt. 15 e 152 del Codice del trattamento dei dati personali.


2 - L'obbligo specifico di adottare, in ogni caso, le "misure minime" previste dalla legge.

La legge prevede, in ogni caso, un livello minimo di protezione dei dati personali.

Infatti, l'Art. 33 del Codice, intitolato "Misure minime", prevede che: "Nel quadro dei più generali obblighi di sicurezza di cui all’articolo 31, o previsti da speciali disposizioni, i titolari del trattamento sono comunque tenuti ad adottare le misure minime individuate nel presente capo o ai sensi dell’articolo 58, comma 3, volte ad assicurare un livello minimo di protezione dei dati personali."

Quanto al trattamento effettuato con strumenti elettronici, l'Art. 34 del codice prevede che:

" Il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell’allegato B), le seguenti misure minime:

a) autenticazione informatica;

b) adozione di procedure di gestione delle credenziali di autenticazione;

c) utilizzazione di un sistema di autorizzazione;

d) aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici;

e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici;

f) adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi;

g) tenuta di un aggiornato documento programmatico sulla sicurezza;

h) adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari."

Quanto al trattamento effettuato senza l'utilizzo di strumenti elettronici, l'Art. 35 del codice prevede che: "Il trattamento di dati personali effettuato senza l’ausilio di strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell’allegato B), le seguenti misure minime:

a) aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati o alle unità organizzative;

b) previsione di procedure per un’idonea custodia di atti e documenti affidati agli incaricati per lo svolgimento dei relativi compiti;

c) previsione di procedure per la conservazione di determinati atti in archivi ad accesso selezionato e disciplina delle modalità di accesso finalizzata all’identificazione degli incaricati. "


Le misure minime da adottare sono dunque indicate negli artt. 34 e 35 del Codice e, le modalità per adottarle sono analiticamente descritte nelle 29 regole contenute nell’Allegato B) del medesimo Codice.

Ai sensi dell'art. 34, comma 1, lett. g) del Codice e della regola 19 dell'Allegato B), anche la redazione di un "Documento Programmatico sulla sicurezza" è una delle "misure minime" da adottare da parte del titolare del trattamento di dati sensibili o giudiziari effettuato con strumenti elettronici.


La definzione di "dati sensibili" offerta dal legislatore, tuttavia, è solo in apparenza ed in teoria ben definita ma, nella pratica, rende di fatto necessario o, comunque, certamente consigliabile a chiunque gestisca una qualsiasi attività che comporti il trattamento di dati personali, di adottare sempre le misure minime previste dalla legge.

Infatti, ai sensi dell'Art. 4, lettera d), del Codice sono definiti dati sensibili: "i dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale." (Es. Basti pensare al carattere multiculturale della nostra società per comprendere la facilità con la quale anche un nome o il dato relativo al luogo di nascita possano rappresentare ipotesi di dati "idonei a rivelare l'origine raziale ed etnica").

E' inoltre fondamentale sottolineare che, ai sensi dell'Art. 196 del Codice, l’omessa adozione delle misure minime, costituisce anche reato, punibile con l’arresto sino a due anni o l’ammenda da 10 mila euro a 50 mila euro.

Per mitigare tale severa disposizione, la legge prevede comunque la possibilità di estinzione del reato attraverso l'istituto del "ravvedimento operoso" consentito a chi, una volta accertato il reato, adempie comunque puntualmente alle prescrizioni impartite dal Garante ed effettua un pagamento in sede amministrativa.


Scadenze in materia di misure minime di sicurezza:

Misura                             Scadenza                               Tipo di dati

Disattivazione credenziali         Entro sei mesi per mancato utilizzo             Tutti

Disattivazione credenziali         Immediata per perdita qualità                     Tutti

Cambio Password                 Ogni sei mesi                                             Dati comuni

Cambio Password                 Ogni tre mesi                                            Dati sensibili

Verifica dei profili                     Annuale                                                 Tutti

Lista Incaricati                         Annuale                                                 Tutti

Aggiornamento antivirus          Semestrale                                              Tutti

Aggiornamento programmi      Annuale                                                  Dati comuni

Aggiornamento programmi     Semestrale                                               Dati sensibili

BackUp                                 Settimanale                                            Tutti

Aggiornamento DPS             Annuale (entro il 31 marzo)                         Dati sensibili



Autore della presente sintesi è l'Avv. Marco Di Gregorio.

Per la citazione in riviste telematiche o cartacee, è obbligatoria l'indicazione della fonte nel seguente modo:

Marco Di Gregorio, Le misure minime di sicurezza nel trattamento dei dati personali, In "Sito Internet dell'Avv. Marco Di Gregorio" <www.marcodigregorio.eu>, 06.02.2010.