Circolare n. 17/00 del 11.10.00

 

Documento programmatico sulla sicurezza (DPSS): motivazioni precise e serie per usufruire della proroga

Le aziende titolari di trattamenti di dati personali che non hanno provveduto entro il 29 marzo ad adottare le misure minime di sicurezza previste nel Dpr 318/1999, potranno farlo fino al 31 dicembre 2000.

Per usufruire dei nuovi termini sarà necessario documentare per iscritto le "particolari esigenze tecniche ed organizzative" che hanno costretto l'impresa ad usufruire della proroga. Il documento deve essere completato entro un mese dalla data di pubblicazione della legge e avere una data certa. Non va spedito al Garante della protezione dei dati personali, ma conservato presso l'azienda a cura del soggetto interessato.

Nel documento è necessario esporre sinteticamente:

Per comprendere la portata dell’intervento organizzativo necessario è opportuno ricordare che la legge 675/1996, impone (all’articolo 15, comma 1) che i dati personali oggetto di trattamento devono essere custoditi e controllati in modo da ridurre al minimo, mediante l’adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta. La sicurezza inoltre deve essere posta anche in relazione alle conoscenze acquisite in base al progresso tecnologico, alla natura dei dati e alle specifiche caratteristiche del trattamento.

La sicurezza è perciò rappresentata come un insieme di azioni dinamiche e non statiche, definite (articolo 1 Dpr 318/99) come il complesso delle misure tecniche, informatiche, organizzative, logistiche e procedurali di sicurezza, che configurano il livello minimo di protezione richiesto in relazione ai rischi predetti. Le sanzioni penali per gli inadempimenti sono fino a due anni di reclusione (articolo 36 della legge 675/96).

La legge, perciò dispone:

Nel documento aziendale da predisporre per godere del rinvio dovranno essere indicate le une e le altre. Allo scopo sarà necessaria una precisa ricognizione aziendale di tutti i trattamenti, di quelli svolti con strumenti elettronici o comunque automatizzati (computer), e di quelli fatti con strumenti diversi (cartacei), distinguendo i dati comuni da quelli particolari, fare l’analisi dei rischi connessi, censire le misure minime mancanti, individuare le soluzioni tecniche ed organizzative, nonché le figure aziendali preposte alla realizzazione del progetto.

Le verifiche, in funzione delle circostanze, dovranno riguardare molti aspetti, tra i quali: l’individuazione degli incaricati e le eventuali necessarie designazioni e autorizzazioni scritte; l’esistenza di una parola chiave per l’accesso ai dati e la possibilità di sostituirla autonomamente organizzandone anche la custodia e l’individuazione dei soggetti preposti a conservarla; il codice identificativo personale per l’accesso ai computer in rete; gli anti-virus e la produzione dei dati da programmi pericolosi; le autorizzazioni agli addetti della manutenzione e gli accessi agli strumenti; il riutilizzo controllato dei supporti; le autorizzazioni all’ingresso nei locali, il controllo dell’accesso e la protezione delle aree; le tutele all’integrità dei dati; la sicurezza delle trasmissioni dei dati; le restrizioni all’accesso per via telematica; le necessità di formazione per rendere edotto il personale dei rischi che incombono sui dati. Inoltre, per i trattamenti cartacei: l’accesso dati, la conservazione in archivi, la custodia degli atti e documenti, la restituzione degli atti al termine delle operazioni, la conservazione in contenitori muniti di serratura, l’accesso controllato agli archivi, l’identificazione e la registrazione dei soggetti ammessi agli archivi dopo l’orario di chiusura, la custodia e conservazione delle riproduzioni.

La ricognizione consentirà di compilare il programma di adeguamento articolato in precise linee guida, integrandolo con le valutazioni e gli indirizzi di intervento per l’adozione di più ampie misure di sicurezza orientate alla custodia e controllo dei dati e idonee a ridurre al minimo i rischi analizzati.

 

Fonte: Il Sole 24 Ore - 11.10.00