Codice in materia di protezione dei dati personali
Loris Tissino
28 marzo 2012
La cosiddetta "Legge sulla privacy"
Il Codice in materia di protezione dei dati personali (D. Lgs. 196/2003), noto anche come "Legge sulla privacy", prevede l'obbligatorietà di alcune misure di sicurezza per tutte le organizzazioni (e, in alcuni casi, anche per i privati cittadini) che trattano dati personali.
Quelli che seguono sono solo degli appunti veloci e non pretendono di essere corretti, completi, esaustivi ed aggiornati.
Principio di necessità
È necessario ridurre al minimo i dati personali e identificativi. (vedi art. 3)
Dati personali
I dati personali sono tutti quelli che riguardano le persone (fisiche e giuridiche) e/o che ne consentono l'identificazione. Particolare importanza e necessità di tutela hanno i dati sensibili e quelli giudiziari. (vedi art. 4)
Sanzioni
Un'organizzazione che non rispetta la normativa è soggetta a due tipi di conseguenze giuridiche:
- richiesta di risarcimento danni, con inversione dell'onere della prova (art. 15)
- sanzioni penali per omissione delle misure minime di sicurezza (art. 169)
Soggetti coinvolti
In un'organizzazione, i soggetti coinvolti sono:
- il titolare (l'organizzazione stessa, nella persona del suo legale rappresentante)
- i responsabili (persone preposte al trattamento dei dati)
- interne
- esterne
- gli incaricati (persone fisiche autorizzate materialmente a gestire i dati, svolgendo compiti definiti)
- gli amministratori di sistema (coloro che gestiscono i sistemi informativi, sia dal punto di vista dell'hardware sia da quello del software)
I responsabili vengono nominati, gli incaricati e gli amministratori vengono designati (ma per questi ultimi la designazione deve essere individuale).
Istruzioni operative
Le istruzioni operative date agli incaricati comprendono informazioni su:
- tipo di dati da trattare
- operazioni da eseguire
- software e funzionalità da utilizzare
- buone pratiche da seguire
Possono essere generiche, per aree omogenee di trattamento (es. per tutti gli incaricati di un determinato settore/ufficio).
Misure minime di sicurezza
Le misure minime di sicurezza sono stabilite:
- nel Codice
- per il trattamento con strumenti elettronici (art. 34)
- per il trattamento senza strumenti elettronici (art. 35)
- nell'allegato B al Codice
- in diversi Provvedimenti del Garante
- attribuzione di funzioni di amministratore di sistema
- internet e posta elettronica
- videosorveglianza
- dati genetici
Obblighi di sicurezza
È necessario ridurre al minimo (art. 31) i rischi di:
- distruzione dei dati (incendi, allagamenti, alluvioni, terremoti)
- perdita dei dati (cancellazione accidentale, guasti, perdita fisica dei supporti)
- accesso non autorizzato ai dati (attacchi esterni e interni, accessi fisici in locali riservati)
- trattamento non consentito dei dati
La diligenza richiesta dipende da:
- progresso tecnico
- natura dei dati
- caratteristiche specifiche del trattamento
Misure minime
Le misure minime di sicurezza (art. 4, comma 3, lettera A) sono di tipo:
- tecnico (serrature, accesso con badge, ecc.)
- informatico
- organizzativo (personale suddiviso in categorie omogenee)
- logistico (posizione fisica dei dati)
- procedurali