Codice in materia di protezione dei dati personali

Loris Tissino

28 marzo 2012

La cosiddetta "Legge sulla privacy"

Il Codice in materia di protezione dei dati personali (D. Lgs. 196/2003), noto anche come "Legge sulla privacy", prevede l'obbligatorietà di alcune misure di sicurezza per tutte le organizzazioni (e, in alcuni casi, anche per i privati cittadini) che trattano dati personali.

Quelli che seguono sono solo degli appunti veloci e non pretendono di essere corretti, completi, esaustivi ed aggiornati.

Principio di necessità

È necessario ridurre al minimo i dati personali e identificativi. (vedi art. 3)

Dati personali

I dati personali sono tutti quelli che riguardano le persone (fisiche e giuridiche) e/o che ne consentono l'identificazione. Particolare importanza e necessità di tutela hanno i dati sensibili e quelli giudiziari. (vedi art. 4)

Sanzioni

Un'organizzazione che non rispetta la normativa è soggetta a due tipi di conseguenze giuridiche:

• richiesta di risarcimento danni, con inversione dell'onere della prova (art. 15)
• sanzioni penali per omissione delle misure minime di sicurezza (art. 169)

Soggetti coinvolti

In un'organizzazione, i soggetti coinvolti sono:

• il titolare (l'organizzazione stessa, nella persona del suo legale rappresentante)
• i responsabili (persone preposte al trattamento dei dati)
  1. interne
  2. esterne
• gli incaricati (persone fisiche autorizzate materialmente a gestire i dati, svolgendo compiti definiti)
• gli amministratori di sistema (coloro che gestiscono i sistemi informativi, sia dal punto di vista dell'hardware sia da quello del software)

I responsabili vengono nominati, gli incaricati e gli amministratori vengono designati (ma per questi ultimi la designazione deve essere individuale).

Istruzioni operative

Le istruzioni operative date agli incaricati comprendono informazioni su:

• tipo di dati da trattare
• operazioni da eseguire
• software e funzionalità da utilizzare
• buone pratiche da seguire

Possono essere generiche, per aree omogenee di trattamento (es. per tutti gli incaricati di un determinato settore/ufficio).

Misure minime di sicurezza

Le misure minime di sicurezza sono stabilite:

• nel Codice
  1. per il trattamento con strumenti elettronici (art. 34)
  2. per il trattamento senza strumenti elettronici (art. 35)
• nell'allegato B al Codice
• in diversi Provvedimenti del Garante
  1. attribuzione di funzioni di amministratore di sistema
  2. internet e posta elettronica
  3. videosorveglianza
  4. dati genetici

Obblighi di sicurezza

È necessario ridurre al minimo (art. 31) i rischi di:

• distruzione dei dati (incendi, allagamenti, alluvioni, terremoti)
• perdita dei dati (cancellazione accidentale, guasti, perdita fisica dei supporti)
• accesso non autorizzato ai dati (attacchi esterni e interni, accessi fisici in locali riservati)
• trattamento non consentito dei dati

La diligenza richiesta dipende da:

• progresso tecnico
• natura dei dati
• caratteristiche specifiche del trattamento

Misure minime

Le misure minime di sicurezza (art. 4, comma 3, lettera A) sono di tipo:

• tecnico (serrature, accesso con badge, ecc.)
• informatico
• organizzativo (personale suddiviso in categorie omogenee)
• logistico (posizione fisica dei dati)
• procedurali