NORMATIVE E SICUREZZA

La legislazione italiana segue l'evoluzione della tecnologia adeguandosi alle nuove esigenze di sicurezza e alle nuove modalità di comunicazione delle informazioni.
Per le aziende la protezione dei dati è, oltre che un obbligo giuridico, un problema quotidiano: virus, intrusioni, crash di sistema, sono un pericolo legale ed economico, soprattutto quando vengono messi a rischio dati personali e/o sensibili.
Per questo la normativa in materia di tutela dei dati personali è stata modificata e resa ancora più severa, sia nelle disposizioni sia nelle sanzioni.

Dal 1 gennaio 2004 entrerà in vigore il Nuovo Testo Unico sulla Privacy (G.U. 29/07/2003) che sostituirà la legge n. 675/1996 e molte disposizioni di legge e di regolamento attualmente in vigore.

Cosa cambierà?
Vediamo in dettaglio gli articoli del Nuovo Testo Unico sulla Privacy e le disposizoni del DPR 28 luglio 1999, n° 318.

"Chiunque gestisca dati personali è tenuto alla loro protezione"
( DPR 28 luglio 1999, n° 318)
http://www.giustizia.it/cassazione/leggi/dpr318_99.html#TESTO

Scan-edge: investite in sicurezza

Tutti i soggetti, pubblici e privati, che, nello svolgimento della propria attività, si avvalgono di sistemi informativi per la raccolta e il trattamento di dati personali o sensibili, sono tenuti a dotare tali sistemi di meccanismi di protezione efficaci e periodicamente aggiornati. Scan-edge è la garanzia che non avete sottovalutato il problema sicurezza, e che avete fatto in modo di tutelare il vostro sistema e i dati in vostro possesso.

CODICE - ART. 31 Obblighi di sicurezza
1. I dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.

ART. 33 Misure minime
1. Nel quadro dei più generali obblighi di sicurezza di cui all’articolo 31, o previsti da speciali disposizioni, i titolari del trattamento sono comunque tenuti ad adottare le misure minime individuate nel presente capo o ai sensi dell’articolo 58, comma 3, volte ad assicurare un livello minimo di protezione dei dati personali.

ART. 34 Trattamenti con strumenti elettronici
1. Il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell’allegato B), le seguenti misure minime:
a) autenticazione informatica;
b) adozione di procedure di gestione delle credenziali di autenticazione;
c) utilizzazione di un sistema di autorizzazione;
d) aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici;
e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici;
f) adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi;
g) tenuta di un aggiornato documento programmatico sulla sicurezza;
h) adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari.

Adottare misure di sicurezza non basta

Il controllo sicurezza è un obiettivo da perseguire nel tempo.
I sistemi di sicurezza devono essere periodicamente monitorati e, se necessario, aggiornati. Scan-edge vi consente di effettuare verifiche in completa autonomia e in qualsiasi momento.
Grazie a Scan-edge potete farlo in assoluta autonomia.

D.P.R. n. 318/99 -CAPO II - ART. 6 Documento programmatico sulla sicurezza
2. L'efficacia delle misure di sicurezza adottate ai sensi del comma 1, deve essere oggetto di controlli periodici, da eseguirsi con cadenza almeno annuale.

D.P.R. n. 318/99 -CAPO II - ART. 4 Codici identificativi e protezione degli elaboratori
c) Gli elaboratori devono essere protetti contro il rischio di intrusione ad opera di programmi di cui all’art. 615 quinquies del codice penale, mediante idonei programmi la cui efficacia ed aggiornamento sono verificati con cadenza almeno semestrale.

CODICE
ALLEGATO B
DISCIPLINARE TECNICO IN MATERIA DI MISURE MINIME DI SICUREZZA
ARTT. da 33 a 36 del codice
Trattamenti con strumenti elettronici

Altre misure di sicurezza
16. I dati personali sono protetti contro il rischio di intrusione e dell’azione di programmi di cui all’art. 615-quinquies del codice penale, mediante l’attivazione di idonei strumenti elettronici da aggiornare con cadenza almeno semestrale.
17. Gli aggiornamenti periodici dei programmi per elaboratore volti a prevenire la vulnerabilità di strumenti elettronici e a correggerne difetti sono effettuati almeno annualmente. In caso di trattamento di dati sensibili o giudiziari l’aggiornamento è almeno semestrale.

Programmare la sicurezza è indispensabile

Il primo passo per qualsiasi piano di intervento è un'analisi approfondita del sistema, delle sue vulnerabilità e potenzialità in termini di sicurezza.
La legge prevede inoltre come obbligatoria la stesura di documenti programmatici da elaborare con cadenza annuale, che indichino lo stato del sistema e la definizione di policies aziendali.

D.P.R. n. 318/99 -CAPO II - ART. 6 Documento programmatico sulla sicurezza
1. Nel caso di trattamento dei dati di cui agli articoli 22 e 24 della legge effettuato mediante gli elaboratori indicati nell'articolo 3, comma l, lettera b), deve essere predisposto e aggiornato, con cadenza annuale, un documento programmatico sulla sicurezza dei dati per definire, sulla base dell'analisi dei rischi, della distribuzione dei compiti e delle responsabilità nell'ambito delle strutture preposte al trattamento dei dati stessi:
a) i criteri tecnici e organizzativi per la protezione delle aree e dei locali interessati dalle misure di sicurezza nonché le procedure per controllare l'accesso delle persone autorizzate ai locali medesimi;
b) i criteri e le procedure per assicurare l'integrità dei dati;
c) i criteri e le procedure per la sicurezza delle trasmissioni dei dati, ivi compresi quelli per le restrizioni di accesso per via telematica;
d) l'elaborazione di un piano di formazione per rendere edotti gli incaricati del trattamento dei rischi individuati e dei modi per prevenire danni.

CODICE
ALLEGATO B
DISCIPLINARE TECNICO
IN MATERIA DI MISURE MINIME DI SICUREZZA
ARTT. da 33 a 36 del codice
Trattamenti con strumenti elettronici

Documento programmatico sulla sicurezza
19. Entro il 31 marzo di ogni anno, il titolare di un trattamento di dati sensibili o di dati giudiziari redige anche attraverso il responsabile, se designato, un documento programmatico sulla sicurezza contenente idonee informazioni riguardo:
19.1. l’elenco dei trattamenti di dati personali;
19.2. la distribuzione dei compiti e delle responsabilità nell’ambito delle strutture preposte al trattamento dei dati;
19.3. l’analisi dei rischi che incombono sui dati;
19.4. le misure da adottare per garantire l’integrità e la disponibilità dei dati, nonché la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità;
19.5. la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento di cui al successivo punto 23;
19.6. la previsione di interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare. La formazione è programmata già al momento dell’ingresso in servizio, nonché in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati personali;
19.7. la descrizione dei criteri da adottare per garantire l’adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformità al codice, all’esterno della struttura del titolare;
19.8. per i dati personali idonei a rivelare lo stato di salute e la vita sessuale di cui al punto 24, l’individuazione dei criteri da adottare per la cifratura o per la separazione di tali dati dagli altri dati personali dell’interessato.

Proteggere i vostri dati è importantissimo;
proteggere i dati dei Vostri clienti è un dovere tassativo

La mancata adozione di idonee misure di sicurezza per la protezione dei dati è na grave omissione, punibile con l'arresto fino a due anni e all'obbligo di risarcimento, nel caso in cui l'inadempienza arrechi danni ad altri.

TITOLO IV: DISPOSIZIONI MODIFICATIVE, ABROGATIVE, TRANSITORIE E FINALI
CAPO II: DISPOSIZIONI TRANSITORIE
ART. 180 Misure di sicurezza
1. Le misure minime di sicurezza di cui agli articoli da 33 a 35 e all’allegato B) che non erano previste dal decreto del Presidente della Repubblica 28 luglio 1999, n. 318, sono adottate entro il 30 giugno 2004.

TITOLO III: SANZIONI
CAPO II: ILLECITI PENALI
ART. 169 Misure di sicurezza
1. Chiunque, essendovi tenuto, omette di adottare le misure minime previste dall’articolo 33 è punito con l'arresto sino a due anni o con l'ammenda da diecimila euro a cinquantamila euro.

L. 675/1996
www.garanteprivacy.it

D.P.R. n. 318/99
www.giustizia.it