Dal primo gennaio 2004 é entrato in vigore il nuovo testo Unico sulla protezione dei dati personali (Decreto Legislativo del 29/07/2003 n. 196)
Il nuovo testo unico (il "codice") introduce il concetto nuovo di "tutela" dei dati, riferendosi al bisogno di proteggere il trattamento e l'esistenza stessa dei dati con riferimento non solamente ai dati "sensibili" ma a tutte le categorie di dati.
Il concetto di "riservatezza" dei dati (privacy) esprime invece solamente la necessità di impedire e regolamentare la diffusione di certe particolari categorie di dati (i dati "sensibili")
Il nuovo tracciato normativo stabilisce infatti che "chiunque ha diritto alla protezione dei dati personali lo riguardano". Tale protezione investe qualsiasi tipo di informazione riguardante persone fisiche o giuridiche, mentre per la protezione dei dati sensibili facenti capo alla sfera privata continua a rendersi applicabile anche il diritto alla privacy.
Il nuovo testo unico azzera e sostituisce tutte le norme precedenti
. Quindi la vecchia legge non vale più.
La notifica al garante
La notifica consiste nella comunicazione al Garante dell'esistenza del trattamento di dati (non solo sensibili ma tutti i dati) da chiunque effettuato, con esclusione delle sole categorie individuate dal decreto legislativo 196/2003
Attualmente la notifica può essere effettuata unicamente on-line e mediante utilizzo della firma digitale (dalle prime informazioni sembra non funzioni quella distribuita dalla CCIAA!!!)
Le misure minime di sicurezza
Il trattamento di dati personali effettuato con strumenti elettronici è consentito solamente se sono adottate alcune misure minime di sicurezza tra cui:
autenticazione informatica;
adozione di procedure di gestione delle credenziali di autenticazione;
utilizzazione di un sistema di autorizzazione;
aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici;
protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici;
adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi;
tenuta di un aggiornato documento programmatico sulla sicurezza;
adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari.
L'applicazione teorica e pratica delle misure minime di sicurezza deve risultare da documento/i con data; trattiamo ora del principale di tali documenti
il DPSS - Documento Programmatico sulla Sicurezza dei Sistemi
il Manuale DPSS è il principale documento nel panorama della sicurezza del sistema. Esso attesta che la struttura ha effettuato la valutazione dei rischi dei trattamenti ed ha adottato un "piano" per la riduzione e misura dei rischi derivanti dal trattamento, che funge da prova in caso di controlli.
Il manuale deve avere data certa ed ogni anno necessita entro il 31 marzo di aggiornamento. Deve essere conservato e custodito presso la struttura ed esibito alle competenti autorità in caso di controlli.
Nel DPSS è descritta ed analizzata l'adozione delle misure minime di sicurezza ed il loro miglioramento strutturale nel tempo finalizzato a recepire il nuovo codice sulla privacy.
Per la predisposizione del manuale si rende quindi necessaria una attenta valutazione dei trattamenti di dati effettuati e per la sua stesura possono essere impiegate svariate settimane.
Pesantissime le sanzioni
sanzioni penali da un minimo di due mesi ad un massimo di tre anni
sanzioni amministrative fino a 120.000 €
risarcimento del danno provocato, compreso il risarcimento del danno morale arrecato.
Il nuovo testo unico (il "codice") introduce il concetto nuovo di "tutela" dei dati, riferendosi al bisogno di proteggere il trattamento e l'esistenza stessa dei dati con riferimento non solamente ai dati "sensibili" ma a tutte le categorie di dati.
Il concetto di "riservatezza" dei dati (privacy) esprime invece solamente la necessità di impedire e regolamentare la diffusione di certe particolari categorie di dati (i dati "sensibili")
Il nuovo tracciato normativo stabilisce infatti che "chiunque ha diritto alla protezione dei dati personali lo riguardano". Tale protezione investe qualsiasi tipo di informazione riguardante persone fisiche o giuridiche, mentre per la protezione dei dati sensibili facenti capo alla sfera privata continua a rendersi applicabile anche il diritto alla privacy.
Il nuovo testo unico azzera e sostituisce tutte le norme precedenti
. Quindi la vecchia legge non vale più.
La notifica al garante
La notifica consiste nella comunicazione al Garante dell'esistenza del trattamento di dati (non solo sensibili ma tutti i dati) da chiunque effettuato, con esclusione delle sole categorie individuate dal decreto legislativo 196/2003
Attualmente la notifica può essere effettuata unicamente on-line e mediante utilizzo della firma digitale (dalle prime informazioni sembra non funzioni quella distribuita dalla CCIAA!!!)
Le misure minime di sicurezza
Il trattamento di dati personali effettuato con strumenti elettronici è consentito solamente se sono adottate alcune misure minime di sicurezza tra cui:
autenticazione informatica;
adozione di procedure di gestione delle credenziali di autenticazione;
utilizzazione di un sistema di autorizzazione;
aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici;
protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici;
adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi;
tenuta di un aggiornato documento programmatico sulla sicurezza;
adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari.
L'applicazione teorica e pratica delle misure minime di sicurezza deve risultare da documento/i con data; trattiamo ora del principale di tali documenti
il DPSS - Documento Programmatico sulla Sicurezza dei Sistemi
il Manuale DPSS è il principale documento nel panorama della sicurezza del sistema. Esso attesta che la struttura ha effettuato la valutazione dei rischi dei trattamenti ed ha adottato un "piano" per la riduzione e misura dei rischi derivanti dal trattamento, che funge da prova in caso di controlli.
Il manuale deve avere data certa ed ogni anno necessita entro il 31 marzo di aggiornamento. Deve essere conservato e custodito presso la struttura ed esibito alle competenti autorità in caso di controlli.
Nel DPSS è descritta ed analizzata l'adozione delle misure minime di sicurezza ed il loro miglioramento strutturale nel tempo finalizzato a recepire il nuovo codice sulla privacy.
Per la predisposizione del manuale si rende quindi necessaria una attenta valutazione dei trattamenti di dati effettuati e per la sua stesura possono essere impiegate svariate settimane.
Pesantissime le sanzioni
sanzioni penali da un minimo di due mesi ad un massimo di tre anni
sanzioni amministrative fino a 120.000 €
risarcimento del danno provocato, compreso il risarcimento del danno morale arrecato.
