Privacy: le aziende hanno tempo fino a marzo 2006 per mettersi in regola

Alessandro Biancardi

Reporter:

WhatsApp 328 3290550

Letture:

868

PESCARA. La Confcommercio illustra gli adempimenti da adottare nelle aziende per essere in regola con le nuove norme.
La Confcommercio di Pescara informa tutte le aziende interessate che, con l'approvazione del cosiddetto Decreto “Milleproroghe” del 22 dicembre scorso, sono stati ulteriormente prorogati al 31 marzo 2006 i termini per adottare le misure minime di sicurezza per la salvaguardia dei dati, nonché l'eventuale redazione del documento programmatico previsti dal nuovo codice della privacy.

Vengono quindi posticipati al 31 marzo 2006, anziché al 31 dicembre 2005:
- l'adozione delle misure di sicurezza per la protezione dei dati, obbligatoria per tutte le aziende che svolgono trattamenti di dati;
- la redazione del DPS (documento programmatico sulla sicurezza), obbligatorio solo per i soggetti che trattano su computer dati sensibili o giudiziari.

La Confcommercio ricorda inoltre che le misure di sicurezza da adottare entro il prossimo 31 marzo 2006 consistono in:

Adozione di un sistema di autenticazione informatica, che assegni ad ogni persona incaricata del trattamento dei dati via computer le cosiddette "credenziali di autenticazione" (user-id e password)

Le credenziali di autenticazione consistono pertanto in un codice per l'identificazione del singolo incaricato (cosiddetta user-id), associato ad una password, sempre e solo di ri-ferimento esclusivo di quell'incaricato. A ciascun incaricato dovranno essere impartite specifiche istruzioni sulle necessarie cautele per assicurare la segretezza della user-id e della password.

La password deve essere di almeno 8 caratteri, va modificata dopo il primo utilizzo e, successivamente, almeno ogni 6 mesi (o almeno 90 giorni in caso di trattamento di dati sen-sibili).

Sistema di autorizzazione all'utilizzo soltanto di alcuni programmi - Tale sistema deve essere utilizzato nel caso in cui, all'interno di un sistema informatico, un incaricato può uti-lizzare solo uno o alcuni programmi. In questo caso, ad ogni incaricato va assegnato un "profilo di autorizzazione", sempre attraverso un sistema di user-id e password, che indi-vidui "chi" può usare quel determinato programma, consentendo a "quell'incaricato" l'acceso ai soli dati necessari per effettuare le operazioni di trattamento assegnate.

Nomina degli incaricati al trattamento dei dati, individuazione dei tipi di trattamenti cui possono essere ammessi i singoli incaricati e aggiornamento periodico dell'indivi-duazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla ge-stione dei computer – L'aggiornamento deve avere cadenza almeno annuale. La lista degli incaricati può essere redatta anche per classi omogenee di incarico.

Protezione dei computer dai "virus", attraverso l'utilizzo di appositi programmi antivirus, da far girare con cadenza almeno trimestrale, mentre gli aggiornamenti periodici degli anti-virus vanno effettuati con cadenza almeno annuale (o almeno semestrale in caso di tratta-mento dei dati sensibili).

Dotare il sistema informatico di procedure di sicurezza antintrusione (ad es. sistema "firewall"), che impediscano accessi e intrusioni indesiderate all'interno dei computer in occasione della navigazione in internet o in caso di ricevimento di e-mail.

Effettuazione di copie di sicurezza dei dati (backup), adozione di procedure per la cu-stodia di copie di sicurezza e per il ripristino della disponibilità dei dati e dei sistemi. In questo caso dovranno essere impartite agli incaricati specifiche istruzioni che prevedano il salvataggio dei dati e le copie dei dati stessi (procedure di back-up) con frequenza almeno settimanale.

Redazione del DPS (documento programmatico sulla sicurezza), obbligatorio solo per chi effettua su computer trattamento di dati sensibili o giudiziari. La redazione del documento programmatico sulla sicurezza non è invece obbligatoria in caso di trattamenti di dati sensibili (o giudiziari) effettuato in forma cartacea.

Vale la pena di ricordare che sono considerati:
- dati sensibili quelli idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati perso-nali idonei a rivelare lo stato di salute e la vita sessuale.
- dati giudiziari quelli idonei a rivelare provvedimenti in materia di casellario giudiziale, ecc.

In caso di trattamenti manuali, effettuati cioè senza l'inserimento dei dati all'inter-no di un sistema informatico, sarà sufficiente che il titolare impartisca agli incaricati istru-zioni scritte finalizzate al controllo e alla custodia degli atti e dei documenti contenenti dati personali, impedendone l'accesso da parte di estranei o di persone non ammesse (ad es. cu-stodendo i dati in armadi o cassetti con chiusura a chiave).
28/12/2005 12.49