Misure minime di sicurezza:
chiarimenti necessari.
da Italiascuola del 5/1/2006
Sono giunte alla redazione di Italiascuola.it richieste di chiarimento in merito alle scadenze che riguardano l'adozione delle misure minime di sicurezza previste dagli articoli 33 e 35 e dall'allegato B) del Dlgs 196/2003 (Codice Privacy), con particolare riguardo ai trattamenti effettuati con strumenti elettronici.
Ancora una volta, va evidenziato che la recente proroga al 31 Marzo 2006, al pari delle precedenti altre, riguarda solamente le misure minime di sicurezza che non erano già previste dalla precedente normativa, in particolare dal D.P.R 28 luglio 1999, n° 318.
Dunque, anche in materia di misure minime di sicurezza, ci sono delle cose che le scuole dovevano già aver fatto, per la cui mancata adozione non può essere invocata la proroga appena citata. Vediamo quali sono.
1) Trattamenti di dati personali effettuati mediante elaboratori non accessibili da altri elaboratori o terminali (computer non in rete tra loro).
In tali casi, andava sicuramente previsto l’utilizzo di una parola chiave per l'accesso ai dati, da fornire agli incaricati del trattamento e, ove tecnicamente possibile in relazione alle caratteristiche dell'elaboratore, ne andava consentita l'autonoma periodica sostituzione.
Andavano anche individuati per iscritto, in caso di presenza di più incaricati del trattamento e di diverse parole chiave, i soggetti preposti alla custodia di copia delle medesime.
2) Trattamenti di dati personali effettuato mediante elaboratori accessibili in rete.
In tal caso a ciascun utente o incaricato del trattamento doveva già essere stato attribuito un codice identificativo personale per l'utilizzazione dell'elaboratore.
Questi codici identificativi personali dovevano essere assegnati e gestiti in modo che ne fosse prevista la disattivazione in caso di perdita della qualità che consentiva l'accesso all'elaboratore o di mancato utilizzo dei medesimi per un periodo superiore ai sei mesi.
Era già in vigore, per queste ipotesi, l’obbligo di proteggere gli elaboratori con adeguati programmi antivirus.
L’unica deroga prevista era relativa alle disposizioni riguardanti l’utilizzo dei codici identificativi, che non si applicavano ai trattamenti dei dati personali di cui fosse consentita la diffusione.
In caso di trattamenti di dati sensibili e giudiziari, erano necessarie delle apposite autorizzazioni per gli incaricati del trattamento, soggette a periodica revisione e limitate ai casi strettamente indispensabili.
Anche in questo caso, era prevista una deroga per i trattamenti di dati personali di cui fosse consentita la diffusione.
3) Documento programmatico sulla sicurezza.
Il Documento programmatico sulla sicurezza va adottato entro il 31 marzo 2006 e adeguato ogni anno entro lo stesso termine. Il termine del 31 marzo 2006 vale ovviamente solo per i soggetti che non avevano già l’obbligo di adozione in base alla normativa antecedente all’entrata in vigore del Codice.
Tale normativa (si veda proprio il D.P.R n° 318/1999) prevedeva già l’obbligo di predisporre e aggiornare il DPS, ma solo per il caso di trattamenti di dati sensibili e giudiziari effettuati attraverso elaboratori accessibili mediante una rete di telecomunicazioni disponibili al pubblico. Ora l’obbligo è stato esteso a tutti coloro che effettuano trattamenti di dati sensibili e giudiziari attraverso strumenti elettronici. Dunque, per le scuole si tratta di una nuova misura minima, per cui in tal caso è invocabile il termine del 31 marzo 2006.