Ingegneria Organizzativa Responsabilità amministrativa (D.Lgs. 231/01) Quali sono le condizioni di esonero dal D.Lgs. 231/01 per le società "miste"?Trattamento dati personali
D.Lgs. 196/03: le misure minime in materia di sicurezza e il DPS
| 
| Visite: 1917
L'allegato B) al decreto legislativo del 30 giugno 2003 n. 196 consiste in un disciplinare tecnico che detta le misure minime di sicurezza in materia di trattamento dei dati personali.
Il disciplinare tecnico è suddiviso in due parti fondamentali: la prima è relativa ai trattamenti che avvengono con l'utilizzo di strumenti elettronici mentre la seconda riguarda il caso complementare, ossia quei trattamenti che avvengono, invece, senza l'ausilio di strumenti elettronici.
Le misure descritte nel disciplinare sono le misure minime richieste ed è opportuno che non vengano violate se non si vuole incorrere nel rischio di una sanzione da parte del Garante per la protezione dei dati personali.
Tutte le misure descritte nel disciplinare tecnico hanno un'applicabilità generale ma possono essere soggette a delle semplificazioni a seguito di provvedimenti del Garante stesso. Si cita, in particolare, il provvedimento del 27 novembre 2008 "Semplificazione delle misure di sicurezza contenute nel disciplinare tecnico di cui all'allegato B) al codice in materia di protezione dei dati personali". In questo provvedimento il Garante individua due tipologie di soggetti che possono ricorrere a misure semplificate. Tale provvedimento sarà oggetto di un successivo articolo, in quanto il presente si focalizza sulle misure minime valide in generale.
Trattamenti con strumenti elettronici
Nei casi in cui il trattamento dei dati personali avviene con l'utilizzo di strumenti elettronici è necessario che siano tenute in considerazione una serie di misure atte a prevenire violazioni della sicurezza dei dati trattati. In particolare è necessario che venga redatto un Documento Programmatico sulla Sicurezza (DPS) e che vengano prese determinate misure relativamente ai sistemi di autenticazione informatica e al sistema di autorizzazione.
Il sistema di autenticazione informatica
Il trattamento dei dati personali con sistemi informatici è consentito solo ad operatori dotati di specifiche credenziali di autenticazione. Tali credenziali devono consistere in un codice identificativo dell'operatore e in una parola chiave conosciuta solamente dall'incaricato. Tale parola chiave può essere, eventualmente, sostituita dall'utilizzo di un dispositivo di autenticazione che sia in possesso o in uso esclusivo all'incaricato, così come da uno o più caratteristiche biometriche dell'operatore stesso. Queste misure possono essere tra loro combinate (ossia, ad esempio, caratteristica biometrica e parola chiave).
Una lettura semplificata del D.Lgs. 196/03
| | Visite: 1912
La normativa cosiddetta sulla "privacy" è un argomento in cui ci si imbatte molto frequentemente ma, data la complessità della materia, risulta incomprensibile ai più. Ad aggravare la situazione vi sono le numerose raccomandazioni del Garante e le quasi infinite casistiche possibili.
Scopo di questo articolo, inizio di una serie sull'argomento, è cercare di dare una prima risposta ai quesiti fondamentali, partendo da una descrizione schematica della legge.
Il D.Lgs. 196/03 è conosciuto come "legge sulla privacy". In realtà si tratta di una normativa sulla protezione dei dati personali.
Il decreto legislativo 196/03 vede, sostanzialmente, coinvolte quattro tipologie di persone: il Titolare del trattamento dati, il Responsabile del trattamento dati, l'Incaricato del trattamento dati, l'Interessato dal trattamento dati.
Queste quattro figure, che discuteremo più nel dettaglio nelle sezioni seguenti, vengono "monitorate" da una quinta figura che è quella del Garante.
Il decreto legislativo 196 del 2003 prevede, nel cosiddetto allegato B, un disciplinare tecnico indicante le misure minime di sicurezza da adottarsi.
I Dati Personali
Prima di entrare nel merito del testo è necessario che venga definito il concetto di "dato personale".