Privacy Italia - aggiornamento DPS privacy 2008 - avast antivirus, quickdps, server privacy

Links utili

Garante Privacy
Scint
Punto Informatico
Clusit
Sikurezza.org
InterLex
C.L.I.
DirittoeDiritti
DirittosuWeb
Altalex
IusReporter
Overlex
FiloDiritto
Computer law
Giuristi Telematici
Assintel

Produttori di Antivirus

Alwil Software
Symantec
McAfee
Computer Associates
F-Secure
H+BEDV Datentechnik GmbH
Kaspersky Labs
Norman
Trend Micro
Panda Software
TUTTI I PRODUTTORI >>

Linux

Informazioni commerciali

Scarica il Decreto Legislativo n. 196 del 30 Giugno 2003

Il nuovo "Codice in materia di protezione dei dati personali"

La nuova legge sulla Privacy interviene a tutela del diritto alla riservatezza dei dati personali in relazione allo sviluppo delle tecnologie informatiche degli ultimi anni ed alla crescente necessità di sicurezza informatica.

Il decreto legislativo n. 196 del 30 giugno 2003 fornisce una nuova regolamentazione in merito alla protezione dei dati personali, in particolar modo prevede delle misure minime da rispettare.

A chi è rivolta

Con la nuova normativa, le misure minime di sicurezza diventano un obbligo per tutte le organizzazioni, pubbliche e private, che trattano dati personali relativi a persone fisiche, persone giuridiche, enti od associazioni con l’uso di strumenti elettronici anche se questi non sono collegati ad una rete pubblica.

La tenuta di una semplice anagrafica clienti rappresenta un caso sufficiente per essere soggetti alle nuove disposizioni di legge.

Cosa cambia nelle aziende

Le misure minime fanno riferimento alle metodologie di utilizzo dei sistemi informatici e riguardano i profili di autorizzazione, i sistemi di autenticazione, le procedure di ripristino dei dati in caso di danneggiamento degli stessi, le regole organizzative e la formazione degli incaricati.

Quindi, prima ancora di attuare le misure correttive sul sistema informativo, è necessario agire a livello organizzativo.

L’adozione delle misure minime di sicurezza presenta una complessità tale da obbligare i responsabili aziendali ad una tempestiva programmazione per non ritrovarsi a ridosso del termine perentorio del 31 dicembre 2005 con l’adeguamento non ancora ultimato.

Non sempre all’interno della struttura organizzativa aziendale ci sono le competenze professionali idonee alla definizione di una politica di sicurezza aziendale. Con la nuova normativa questo problema si fa ancora più rilevante viste le sanzioni previste in caso di mancata o insufficiente adozione delle misure minime di sicurezza.

Misure minime:

La legge sancisce che il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell’allegato B, le seguenti misure minime:

autenticazione informatica;
adozione di procedure di gestione delle credenziali di autenticazione;
utilizzazione di un sistema di autorizzazione;
aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici;
protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici;
adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi;
tenuta di un aggiornato documento programmatico sulla sicurezza;
adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari.

In caso di mancanza delle misure minime, occorre indicare nel DPS le date entro le quali verranno adottate.

Documento Programmatico sulla Sicurezza

Entro e non oltre il 31 dicembre 2005 e da aggiornare ogni anno entro e non oltre il 31 marzo, il titolare di un trattamento di dati personali redige, nei modi e nelle circostanze previste dall'Allegato B, un documento programmatico sulla sicurezza contenente idonee informazioni riguardo:

l'elenco dei trattamenti di dati personali;
la distribuzione dei compiti e delle responsabilità nell'ambito delle strutture preposte al trattamento dei dati;
l'analisi dei rischi che incombono sui dati;
le misure da adottare per garantire l'integrità e la disponibilità dei dati, nonché la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità;
la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento;
la previsione di interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare. La formazione è programmata già al momento dell'ingresso in servizio, nonché in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati personali;
la descrizione dei criteri da adottare per garantire l'adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformità al codice, all'esterno della struttura del titolare;
per i dati personali idonei a rivelare lo stato di salute e la vita sessuale, l'individuazione dei criteri da adottare per la cifratura o per la separazione di tali dati dagli altri dati personali dell'interessato.

Sanzioni:

Chiunque, essendovi tenuto, omette di adottare le misure minime previste dalla normativa è punito con un'ammenda da 10.000 a 50.000 Euro o con l’arresto fino a due anni (D.Lgs. n. 196 Art. 169).

Ispezioni:

E' stato siglato un protocollo d'intesa tra la Guardia di Finanza ed il Garante della Privacy per un’intensa ed efficace attività di controllo sul territorio nazionale del rispetto del nuovo codice sulla privacy.