FaGal
Nuovo Utente
- Registrato
- 21/7/02
- Messaggi
- 17.980
- Punti reazioni
- 231
24 marzo 2004
Rischio «penale» senza documento
Privacy. D’obbligo l’atto programmatico
Entro il 30 giugno 2004, secondo la risposta del Garante della privacy a un quesito di Confindustria (si veda «Il Sole-24 Ore» di ieri), occorre che i soggetti interessati adottino o aggiornino il documento programmatico sulla sicurezza. La sanzione per la mancata adozione è di natura penale, dal momento che il documento rappresenta una delle misure minime di sicurezza. I soggetti tenuti ad adottare il documento programmatico sulla sicurezza sono tutti coloro che trattano dati sensibili o giudiziari con mezzi informatici, anche se hanno già redatto il documento programmatico sulla sicurezza nel 2003. Entro il 30 giugno occorre che il titolare del trattamento dei dati rediga il documento programmatico sulla sicurezza, anche attraverso il responsabile della sicurezza, se nominato. L’atto non va trasmesso al Garante. L’allegato B del decreto legislativo 196/2003 prevede, inoltre, che il titolare del trattamento riferisca nella relazione accompagnatoria del bilancio d’esercizio, se dovuta, dell’avvenuta redazione o aggiornamento del documento programmatico sulla sicurezza. Il documento programmatico è atto da rinnovarsi ogni anno, riassume lo stato della sicurezza informatica nell’organizzazione e determina le principali azioni da intraprendere, evidenziandone le priorità. Il primo punto del documento è costituito dal censimento dei trattamenti di dati personali e dall’individuazione delle responsabilità. Ciò implica l’aggiornamento costante della lista degli incaricati e dei responsabili di trattamento e dei relativi compiti. Peraltro, quest’obbligo è propedeutico all’adozione delle altre misure minime di sicurezza. Si passa quindi all’analisi dei rischi, preliminare e necessaria per la valutazione e l’adozione delle misure di sicurezza. Le minacce sono di tipo fisico e di tipo logico: così accesso non autorizzato alla sede dell’impresa, come intrusione nel sistema informatico. Un altro punto del documento programmatico sulla sicurezza concerne la descrizione delle misure che si intendono adottare per garantire l’integrità e la disponibilità dei dati. Occorre anche descrivere le misure di tipo fisico a protezione delle aree e dei locali. Il documento programmatico sulla sicurezza deve quindi descrivere le misure organizzative e tecniche per rilevare l’eventuale danneggiamento dei dati e per garantirne il ripristino entro tempi certi compatibili con i diritti dell’interessato e comunque non superiori a sette giorni. Grande enfasi è sulla formazione: alla base della sicurezza vi è la cultura della sicurezza. Spesso, infatti, la carenza non è negli investimenti tecnologici, quanto nei comportamenti. Non è adeguatamente valutata l’importanza delle policy di sicurezza, ancora poco diffuse nelle imprese e nelle amministrazioni italiane. Tutti gli incaricati del trattamento — quindi, nella maggior parte dei casi, tutti i dipendenti e i collaboratori — vanno informati dei rischi, delle responsabilità, delle misure minime da adottare, delle modalità di aggiornamento, della normativa sulla protezione dei dati personali. La formazione va effettuata al momento dell’ingresso in servizio, per i cambiamenti di mansione, nonché per l’introduzione di nuovi strumenti. Nel documento programmatico sulla sicurezza, per dare concretezza al piano di formazione e per consentire lo stanziamento del relativo budget, vanno individuati gli interventi formativi che saranno effettuati, le metodologie di formazione, indicativamente i numeri dei soggetti o le categorie dei soggetti che verranno formati. Se alcuni trattamenti di dati personali sono stati affidati all’esterno, oltre a disciplinare il rapporto relativo specificamente sotto il profilo della protezione dei dati personali, occorre descrivere nel documento programmatico sulla sicurezza i criteri adottati per garantire le misure minime di sicurezza. Oltre a misure tecniche, si tratterà in questo caso, di idonee previsioni negoziali, contenute ad esempio nei contratti di outsourcing. In questi casi, se il titolare si avvale di soggetti esterni alla propria struttura per adottare misure minime di sicurezza, deve ricevere da questi una descrizione dell’intervento effettuato e una dichiarazione di conformità all’allegato B del decreto legislativo 196/2003. Infine, per i dati personali idonei a rivelare lo stato di salute e la vita sessuale, trattati da organismi sanitari o esercenti le professioni sanitarie, occorre individuare i criteri da adottare per la cifratura o la separazione di tali dati dagli altri dati personali.
http://www.assinews.it/rassegna/articoli/sole240304ris.html
Rischio «penale» senza documento
Privacy. D’obbligo l’atto programmatico
Entro il 30 giugno 2004, secondo la risposta del Garante della privacy a un quesito di Confindustria (si veda «Il Sole-24 Ore» di ieri), occorre che i soggetti interessati adottino o aggiornino il documento programmatico sulla sicurezza. La sanzione per la mancata adozione è di natura penale, dal momento che il documento rappresenta una delle misure minime di sicurezza. I soggetti tenuti ad adottare il documento programmatico sulla sicurezza sono tutti coloro che trattano dati sensibili o giudiziari con mezzi informatici, anche se hanno già redatto il documento programmatico sulla sicurezza nel 2003. Entro il 30 giugno occorre che il titolare del trattamento dei dati rediga il documento programmatico sulla sicurezza, anche attraverso il responsabile della sicurezza, se nominato. L’atto non va trasmesso al Garante. L’allegato B del decreto legislativo 196/2003 prevede, inoltre, che il titolare del trattamento riferisca nella relazione accompagnatoria del bilancio d’esercizio, se dovuta, dell’avvenuta redazione o aggiornamento del documento programmatico sulla sicurezza. Il documento programmatico è atto da rinnovarsi ogni anno, riassume lo stato della sicurezza informatica nell’organizzazione e determina le principali azioni da intraprendere, evidenziandone le priorità. Il primo punto del documento è costituito dal censimento dei trattamenti di dati personali e dall’individuazione delle responsabilità. Ciò implica l’aggiornamento costante della lista degli incaricati e dei responsabili di trattamento e dei relativi compiti. Peraltro, quest’obbligo è propedeutico all’adozione delle altre misure minime di sicurezza. Si passa quindi all’analisi dei rischi, preliminare e necessaria per la valutazione e l’adozione delle misure di sicurezza. Le minacce sono di tipo fisico e di tipo logico: così accesso non autorizzato alla sede dell’impresa, come intrusione nel sistema informatico. Un altro punto del documento programmatico sulla sicurezza concerne la descrizione delle misure che si intendono adottare per garantire l’integrità e la disponibilità dei dati. Occorre anche descrivere le misure di tipo fisico a protezione delle aree e dei locali. Il documento programmatico sulla sicurezza deve quindi descrivere le misure organizzative e tecniche per rilevare l’eventuale danneggiamento dei dati e per garantirne il ripristino entro tempi certi compatibili con i diritti dell’interessato e comunque non superiori a sette giorni. Grande enfasi è sulla formazione: alla base della sicurezza vi è la cultura della sicurezza. Spesso, infatti, la carenza non è negli investimenti tecnologici, quanto nei comportamenti. Non è adeguatamente valutata l’importanza delle policy di sicurezza, ancora poco diffuse nelle imprese e nelle amministrazioni italiane. Tutti gli incaricati del trattamento — quindi, nella maggior parte dei casi, tutti i dipendenti e i collaboratori — vanno informati dei rischi, delle responsabilità, delle misure minime da adottare, delle modalità di aggiornamento, della normativa sulla protezione dei dati personali. La formazione va effettuata al momento dell’ingresso in servizio, per i cambiamenti di mansione, nonché per l’introduzione di nuovi strumenti. Nel documento programmatico sulla sicurezza, per dare concretezza al piano di formazione e per consentire lo stanziamento del relativo budget, vanno individuati gli interventi formativi che saranno effettuati, le metodologie di formazione, indicativamente i numeri dei soggetti o le categorie dei soggetti che verranno formati. Se alcuni trattamenti di dati personali sono stati affidati all’esterno, oltre a disciplinare il rapporto relativo specificamente sotto il profilo della protezione dei dati personali, occorre descrivere nel documento programmatico sulla sicurezza i criteri adottati per garantire le misure minime di sicurezza. Oltre a misure tecniche, si tratterà in questo caso, di idonee previsioni negoziali, contenute ad esempio nei contratti di outsourcing. In questi casi, se il titolare si avvale di soggetti esterni alla propria struttura per adottare misure minime di sicurezza, deve ricevere da questi una descrizione dell’intervento effettuato e una dichiarazione di conformità all’allegato B del decreto legislativo 196/2003. Infine, per i dati personali idonei a rivelare lo stato di salute e la vita sessuale, trattati da organismi sanitari o esercenti le professioni sanitarie, occorre individuare i criteri da adottare per la cifratura o la separazione di tali dati dagli altri dati personali.
http://www.assinews.it/rassegna/articoli/sole240304ris.html