Regolamento delle misure minime di sicurezza per la legge 675/96 - Privacy

Include tabella riepilogativa.

... attendere: caricamento pagina di grandi dimensioni.

Regolamento delle misure minime di sicurezza per la legge 675/96 - Privacy

Con il D.p.R. 318/99 è stato emanato il regolamento, previsto all’art. 15 c. 2 delle 675/96, delle misure minime di sicurezza da adottare per la protezione dei dati personali conservati in azienda. Tale regolamento verrà aggiornato ogni due anni. Il suddetto D.p.R. obbliga tutte le imprese ad adeguarsi alle misure in esso previste entro il 29 marzo 2000, chi non si attenesse sarà punibile per il reato di “omessa istituzione delle misure minime di sicurezza” con la reclusione fino ad un anno.

Prima di procedere all’analisi del contenuto del regolamento è utile riepilogare le figure in esso contemplate:

Titolare del trattamento: chi prende decisioni sul trattamento dei dati (la società in quanto tale, non il suo rappresentante legale)

Interessato: soggetto a cui si riferiscono i dati trattati;

Responsabile: uno o più soggetti preposti, tramite delega scritta di funzioni, al trattamento delle banche dati

Incaricato: chi procede operativamente al trattamento eseguendo le disposizioni impartite dal responsabile e/o dal titolare

Amministratore del sistema: soggetto cui è conferito il compito di sovrintendere alle risorse del sistema operativo di un elaboratore o di un sistema di base dati e di consentirne l’utilizzazione (solitamente la software house)

Le misure minime di sicurezza previste dal regolamento (che si è obbligatoriamente tenuti ad istituire) sono:

1 - prevedere una password per l’accesso ai dati, di cui dotare gli incaricati al trattamento che, compatibilmente con le caratteristiche dell’elaboratore, devono poterla modificare in via autonoma con conseguente comunicazione al responsabile;

2 - quando ci sono più incaricati del trattamento dati, individuare per iscritto i soggetti preposti alla custodia delle password assegnate;

3 - attribuire ad ogni utente e incaricato del trattamento un codice identificativo (user ID)  personale per l’utilizzazione dell’elaboratore;

4 - i codici identificativi di cui sopra devono essere attribuiti in modo da poterli disattivare quando l’incaricato cambia mansioni o quando il codice rimane inutilizzato per sei mesi;

5 - gli elaboratori devono essere protetti contro il rischio di intrusione ad opera di virus, mediante idonei programmi da aggiornare al più tardi ogni sei mesi;

6 - l’accesso al trattamento dati deve essere determinato sulla base di autorizzazioni personali o per gruppi di lavoro;

7 - l’autorizzazione di cui sopra deve comprendere l’individuazione degli elaboratori che è possibile utilizzare per ogni trattamento, l’autorizzazione riguarda anche gli accessi a rete disponibili al pubblico;

8 - le autorizzazioni di cui alla misura 6 sono rilasciate e revocate dal titolare e/o dal responsabile. Almeno una volta l’anno deve essere verificata la sussistenza delle condizioni di attribuzione;

9 - l’autorizzazione di cui alla misura 6 deve essere limitata ai soli dati la cui conoscenza è necessaria e sufficiente per le operazioni di trattamento o manutenzione dell’incaricato;

10 - la validità delle richieste di accesso al sistema deve essere verificata dall’elaboratore prima di consentirne l’accesso stesso;

11 - non è consentita l’utilizzazione di un medesimo codice identificativo personale per l’accesso contemporaneo alla stessa applicazione da due stazioni di lavoro;

12 - deve essere predisposto e aggiornato con cadenza annuale, un documento programmatico sulla sicurezza dei dati per definire, sulla base dell’analisi dei rischi, della distribuzione dei compiti delle responsabilità nell’ambito delle strutture preposte al trattamento dei dati stessi:

Ø       i criteri tecnici ed organizzativi per la protezione delle aree e dei locali interessati dalle misure di sicurezza, nonché le procedure per controllare l’accesso delle persone autorizzate ai locali medesimi;

Ø       i criteri e le procedure per assicurare l’integrità dei dati;

Ø       i criteri e le procedure per la sicurezza delle trasmissioni dei dati, ivi compresi quelli per le restrizioni di accesso per via telematica;

Ø       l’elaborazione di un piano di formazione per informare gli incaricati del trattamento dati dei rischi individuati e dei modi per prevenire i danni;

13 - i controlli sull’efficacia delle misure di sicurezza adottate devono essere almeno annuali;

14 - i supporti utilizzati per l’archiviazione dei dati (floppy, nastri, ecc.) possono essere riutilizzati solo se il recupero dei precedenti dati è tecnicamente impossibile, altrimenti devono essere distrutti;

15 - nel caso in cui un elaboratore contenente banche dati sia stabilmente accessibile da altri elaboratori, l’accesso degli stessi è subordinato a password;

16 – il titolare e/o il responsabile nominano per iscritto gli incaricati e, nella nomina, individuano i limiti di cui alla misura 9;

17 – gli atti e i documenti, da conservare in archivi ad accesso selezionato, se consegnati agli incaricati, devono essere da questi restituiti al termine delle operazioni di trattamento;

18 – gli incaricati, nel casi di cui alla misura 17 devono conservare i dati/documenti fino alla restituzione in contenitori muniti di serratura;

19 – l’accesso agli archivi deve essere controllato e devono essere registrati gli identificativi di chi vi accede dopo l’orario di chiusura degli archivi stessi;

20 – i supporti non informatici contenenti la riproduzione di informazioni relative al trattamento dei dati  personali sensibili devono essere conservati e custoditi con le modalità di cui alle misure 16, 17, 18 e 19.

L’obbligatorietà dell’adozione delle precedenti misure è funzione dei dati trattati e del sistema di trattamento a disposizione dell’azienda:

Al fine della classificazione delle reti, si intende per rete disponibile al pubblico qualsiasi rete dotata di un accesso verso l’esterno (modem). 

Riferimenti: Legislazione: Legge 675/96 -  Prassi: D.p.R. n 318/99