Di cosa si tratta?
Il Decreto Legislativo 30 giugno 2003, n.196 (Codice in materia di protezione dei dati personali) impone (ad aziende, enti, studi professionali. etc.) di trattare i dati personali, contenuti sia in archivi informatici che cartacei, secondo specifiche modalità, ponendo obblighi in materia di sicurezza, tra cui l’adozione di specifiche misure minime di sicurezza individuate dal legislatore.
E’ assolutamente obbligatorio essere in regola.
Coloro che non si adegueranno nei termini stabiliti dalla norma rischiano sanzioni molto dure: multe e reclusione, risarcimento del danno patrimoniale e morale ex art. 2050. In caso di violazione accertata, sono previste sanzioni di tipo amministrativo (fino a 124mila euro) e la reclusione (fino a 3 anni), esclusione dalle gare di appalto, risarcimento danni.
L’Autorità Garante effettuerà ispezioni insieme alla Guardia di Finanza e sanzionerà gli inadempienti.Da qui la necessità di sottoporre a revisione, da parte di terze parti indipendenti e qualificate, le regole di gestione della sicurezza per fornire anche le necessarie garanzie a tutte le realtà coinvolte nel processo aziendale: azionisti, clienti, fornitori e personale.
Ai sensi della norma, si intende per:
Trattamento, qualunque operazione o complesso di operazioni, effettuati anche senza l’ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l’organizzazione, la conservazione, la consultazione, l’elaborazione, la modifica, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca datiDato personale, qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale
(es. codice fiscale, P.Iva, num di telefono o fax, dati bancari, indirizzi, ragione sociale, ecc.)
Dati sensibili, i dati personali idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale
(es. trattenute sindacali, dati relativi ad infortuni e malattie, ecc.)Nel quadro degli obblighi generali di sicurezza previsti dall’art. 31, i titolari del trattamento sono comunque tenuti ad adottare le seguenti misure minime di sicurezza:- Trattamenti con strumenti elettronici (art.34):1. Il trattamento di dati personali effettuato con strumenti elettronici e’ consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell’allegato B), le seguenti misure minime:
a) autenticazione informatica;
b) adozione di procedure di gestione delle credenziali di autenticazione;
c) utilizzazione di un sistema di autorizzazione;
d) aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici;
e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici;
f) adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi;
g) tenuta di un aggiornato documento programmatico sulla sicurezza;
h) adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari.
– Trattamenti senza l’ausilio di strumenti elettronici (art.35)
1. Il trattamento di dati personali effettuato senza l’ausilio di strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell’allegato B, le seguenti misure minime:
a) aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati o alle unita’ organizzative;
b) previsione di procedure per un’idonea custodia di atti e documenti affidati agli incaricati per lo svolgimento dei relativi compiti;
c) previsione di procedure per la conservazione di determinati atti in archivi ad accesso selezionato e disciplina delle modalita’ di accesso finalizzata all’identificazione degli incaricati.In riferimento al Documento Programmatico sulla Sicurezza (DPS), il disciplinare tecnico contenuto nell’allegato B) prevede che:
– debba essere redatto dall’azienda, indicando le modalità di sicurezza organizzativa, fisica e logica in uso;
– debba essere a disposizione degli organi di controllo nel caso venga rischiesto e deve essere aggiornato annualmente;
– il titolare ne riferisca, nella relazione accompagnatoria del bilancio d’esercizio, se dovuta, dell’avvenuta redazione o aggiornamento.
Il ruolo di IBIS
In tema di Privacy IBIS offre i seguenti servizi:
– Analisi preliminare Privacy;
– Verifica efficienza/efficacia delle attrezzature informatiche;
– Progettazione ed implementazione di Sistemi di Gestione della Privacy;
– Formazione al personale coinvolto;
– Verifica di conformità normativa, individuazione di eventuali criticità.