Misure di sicurezza minime, idonee e… necessarie


cxf2263Oramai è entrato nel gergo aziendale il termine misura minima di sicurezza ad indicare l’elenco di accorgimenti obbligatori, previsti dal Codice e specificati nel suo Allegato B, al di sotto del quale il livello di sicurezza nel trattamento dati personali è ritenuto inaccettabile. (V. Dlgs 196/2003: Art. 4 c. 3 lett. a, Artt. Da 33 a 35, Allegato B).

Allo stesso modo si è giunti ad una certa dimestichezza con l’altro termine misure idonee di sicurezza, il quale indica l’innalzamento della soglia di attenzione, dal minimo previsto da Leggi e Regolamenti, all’optimum che mette l’Azienda al riparo, non solo da sanzioni amministrative e penali, ma anche da un’eventuale richiesta di risarcimento avanzata da terzi per danni derivanti da un trattamento di dati personali. (V. Dlgs 196/2003: Artt. 15, 31. Codice civile: art. 2050).

Ma le misure necessarie? Di cosa si tratta?

Si tratta di un tertium genus rimesso all’iniziativa del Garante e solidamente supportato da sanzioni amministrative cha vanno da 30.000 a 180.000 euro (Art. 162 c. 2-ter Dlgs 196/2003).

Tali nuove misure di sicurezza “necessarie” sono introdotte attraverso lo strumento del Provvedimento ex art. 154 comma 1 lett. c) e d) al fine di:

  • prescrivere anche d’ufficio ai titolari del trattamento le misure necessarie o opportune al fine di rendere il trattamento conforme alle disposizioni vigenti, ai sensi dell’articolo 143;
  • vietare anche d’ufficio, in tutto o in parte, il trattamento illecito o non corretto dei dati o disporne il blocco ai sensi dell’articolo 143, e di adottare gli altri provvedimenti previsti dalla disciplina applicabile al trattamento dei dati personali.

Di tali adempimenti obbligatori non c’è traccia ne’ sul Codice privacy (Dlgs 196/2003) ne’ sul relativo Allegato B, ma la loro obbligatorietà è fuori discussione.

Gli esempi più rilevanti:

  1. “Disciplinare interno sull’uso di Internet e Posta elettronica”, documento obbligatorio attraverso il quale si comunica ai Dipendenti e Collaboratori la Policy aziendale circa l’uso corretto della posta elettronica e della rete Internet indicando chiaramente le modalità di uso degli strumenti messi a disposizione e  in che misura e con quali modalità vengano effettuati controlli (Provvedimento Garante 1 marzo 2007);
  2. Documentazione delle scelte relative al sistema di Videosorveglianza”: in caso di installazione di un sistema di videosorveglianza (anche senza registrazione), le ragioni delle scelte che hanno portato ad escludere altre misure meno invasive, la descrizione dell’impianto, delle aree riprese, etc. (v. Provvedimento Garante 29 aprile 2004) devono essere adeguatamente documentate in un atto autonomo conservato presso il titolare e il responsabile del trattamento (ciò anche ai fini dell’eventuale esibizione in occasione di visite ispettive, oppure dell’esercizio dei diritti dell’interessato o di contenzioso).
  3. Nuove misure per gli Amministratori di sistema: si veda al riguardo SMBlog. il termine per l’adozione di tali misure è stato prorogato al 30 giugno 2009.

Annunci

Rispondi

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...