ADEGUAMENTI OBBLIGATORI PER LA NORMATIVA SULLA PRIVACY

Entro il 30 giugno 2004, secondo la risposta del Garante della privacy a un quesito di Confindustria, occorre che i soggetti interessati adottino o aggiornino il documento programmatico sulla sicurezza. La sanzione per mancata adozione è di natura penale, dal momento che il documento rappresenta una delle misure minime di sicurezza .I soggetti tenuti ad adottare il documento programmatico sulla sicurezza sono tutti coloro che trattano dati sensibili o giudiziari con mezzi informatici, anche se hanno già redatto il documento programmatico sulla sicurezza nel 2003.

Entro il 30 giugno occorre che il titolare del trattamento dei dati rediga il documento programmatico sulla sicurezza, anche attraverso il responsabile della sicurezza, se nominato. L’atto non va trasmesso al Garante. L’allegato B del decreto legislativo 196/2003 prevede, inoltre, che il titolare del trattamento riferisca nella relazione accompagnatoria del bilancio d’esercizio, se dovuta, dell’avvenuta redazione o aggiornamento del documento programmatico della sicurezza. Il documento programmatico è atto da rinnovarsi ogni anno, riassume lo stato della sicurezza informatica nell’organizzazione e determina le principali azioni da intraprendere, evidenziandone le priorità . Il primo punto del documento è costituito dal censimento dei trattamenti di dati personali e dell’individuazione della responsabilità .
Ciò implica l’aggiornamento costante della lista degli incaricati e dei responsabili di trattamento e dei relativi compiti. Peraltro, quest’ obbligo è propedeutico all’adozione delle altre misure minime di sicurezza.
Si passa quindi all’analisi dei rischi, preliminare e necessaria per la valutazione e l’adozione delle misure di sicurezza.
Le minacce sono di tipo fisico e di tipo logico: così accesso non autorizzato alla sede dell’impresa, come intrusione nel sistema informatico.
Un altro punto del documento programmatico sulla sicurezza concerne la descrizione delle misure che si intendono adottare per garantire l’integrità e la disponibilità dei dati.

Occorre anche descrivere le misure di tipo fisico a protezione delle aree e dei locali. Il documento programmatico sulla sicurezza deve quindi descrivere le misure organizzative e tecniche per rilevare l’eventuale danneggiamento dei dati e per garantire il ripristino entro tempi certi compatibili con i diritti dell’interessato e comunque non superiori a sette giorni. Grande enfasi è sulla formazione: alla base della sicurezza vi è cultura della sicurezza. Spesso, infatti la carenza non è negli investimenti tecnologici, quanto nei comportamenti. Non è adeguatamente valutata l’importanza della policy di sicurezza, ancora poco diffuse nelle imprese e nelle amministrazioni italiane. Tutti gli incaricati del trattamento " quindi, nella maggior parte dei casi, tutti i dipendenti e i collaboratori- vanno informati dei rischi, delle responsabilità , delle misure minime da adottare, delle modalità di aggiornamento, della normativa sulla protezione dei dati personali.

La formazione va effettua al momento dell’ingresso in servizio, per i cambiamenti di mansione, nonchè per l’introduzione di nuovi strumenti. Nel documento programmatico sulla sicurezza, per dare concretezza al piano di formazione e per consentire lo stanziamento del relativo budget, vanno individuati gli interventi formativi che saranno effettuati, le metodologie di formazione, indicativamente i numeri dei soggetti o le categorie dei soggetti che verranno formati.

SCADENZE:
30 Aprile 2004  - Notifica al Garante
30 Giugno 2004- Doc. Programmatico e misure minime

INFO:
EUROPOL SRL
Via Borgo dei Leoni 91, 44100 Ferrara
Tel./Fax 0532206836
http://www.europolinvestigazioni.com -