|
Documento programmatico per
la sicurezza
Adempimenti in tema di protezione dei dati
personali
Informazioni generali
La normativa sulla protezione dei dati personali e sul
cosiddetto diritto alla privacy si trova attualmente condensata nel
Testo Unico sulla protezione dei dati personali (Decreto Legislativo
n. 196 del 29/07/2003) in vigore dal primo gennaio 2004.
In sostanza, in base all'evoluzione della normativa in
questione, un'azienda o organizzazione che, per sua natura e/o scopo,
detiene e/o elabora archivi di dati relativi a persone fisiche o
giuridiche, si trova di fronte agli obblighi di
A)
garantire la
cosiddetta privacy, ossia garantire che i dati che rientrano nella
categoria di dati sensibili (per esemplificare dati relativi ad
orientamento sessuale, politico, filosofico, appartenenza ad
associazioni politiche, sindacali, dati di natura giudiziaria, dati
sullo stato di salute, ecc.) non vengano diffusi in maniera
indiscriminata.
B)
Garantire
che i dati personali, anche di natura non sensibile, vengano tutelati
cioè sia garantita la protezione dell'esistenza e del trattamento
dei dati stessi.
Campo di applicabilitÃ
L'introduzione del concetto di tutela dei dati personali, che
travalica il concetto di privacy, pone praticamente ogni tipo di
organizzazione o azienda di fronte alla necessità di adeguarsi
a quanto prescritto dalla normativa vigente.
Gli obblighi in sintesi
In sostanza una normale organizzazione deve prevedere una
serie di misure di sicurezza relative alla conservazione e alla manipolazione
dei dati tali da impedire accesso, distruzione e/o alterazioni,
diffusione non autorizzati ai dati conservati sia in forma cartacea
sia in formato elettronico. L'arbitrarietà insita in questi
concetti (ad esempio sui livelli minimi indispensabili di sicurezza)
è ridotta da prescrizioni più puntuali relativi allo stato
dell'avanzamento tecnologico presenti in un prontuario allegato alla
norma già citata. E prescritta formalmente la redazione di un
documento ufficiale denominato Documento Programmatico per la
Sicurezza (DPS) che descriva analiticamente l'analisi fatta
dall'organizzazione sui rischi che corrono i suoi archivi e
attività di trattamento dei dati, e sulle misure di sicurezza
realmente messe in opera per contrastare in maniera efficace tali
rischi. Attualmente la data limite per la redazione di suddetto
documento il 31 dicembre del corrente anno. E previsto che tale
documento vada revisionato obbligatoriamente entro il 31 marzo di
ogni anno. Il documento deve essere conservato negli uffici operativi
dell'organizzazione e deve avere le caratteristiche di atto avente
data certa. Si devono adottare dunque strumenti atti ad attribuire
data certa al documento, come la firma autenticata, la presentazione
ad un ufficio postale, ecc.
Mancato adeguamento alla normativa
IL mancato rispetto di quanto prescritto dalla normativa
vigente assume valenza sia penale che amministrativa:
¨
Le sanzioni
penali previste vanno da un minimo di due mesi ad un massimo di tre
anni
¨
Le sanzioni
amministrative giungono fino ad una penale di 120000 euro
¨
Chi ritiene
di aver ricevuto un vulnus per il mancato rispetto delle garanzie sui
dati personali può esercitare azione legale per ottenere
risarcimento anche del danno morale arrecato
ResponsabilitÃ
La responsabilità del rispetto di quanto previsto dalla
normativa in oggetto è da attribuire alla figura nell'organizzazione
cui competano in ultima istanza le decisioni in ordine alla
finalità , alle modalità del trattamento dei dati
personali e agli strumenti utilizzati ivi compreso il profilo della
sicurezza; in sostanza, la responsabilità risale alla figura
apicale nella gerarchia operativa dellorganismo che effettua la
conservazione e il trattamento dei dati personali.
Questa figura,
identificata dalla normativa come il titolare, può nominare un
responsabile del trattamento dati che si occupi della gestione delle
misure di sicurezza e delle modalit di gestione del trattamento dei
dati, previste dallorganizzazione per assolvere agli obblighi di
legge.
|
::
