Privacy: aggiornamento annuale

Alle Aziende che lo hanno predisposto, ricordiamo il termine del 31 marzo per l’aggiornamento del DPS (documento programmatico sulla sicurezza) come previsto dal punto 19 del “Disciplinare tecnico in materia di misure minime di sicurezza” (allegato B al Codice della privacy).

Più in generale, ricordiamo che la normativa sulla privacy prevede che ogni Azienda debba adottare misure di sicurezza nel trattamento dei dati personali.

Un primo tipo di misure sono definite genericamente “idonee e preventive”, finalizzate a ridurre al minimo i rischi di distruzione o perdita, anche accidentale, dei dati, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta (art. 31 del Codice).

A questo primo tipo, l’art. 33 aggiunge la seconda categoria delle “misure minime”: i titolari del trattamento sono, comunque, tenuti ad adottare uno specifico elenco di misure minime (definite in particolare nell’allegato B al Codice della privacy) volte ad assicurare, appunto, un livello minimo di protezione dei dati personali.

Va, anzi, chiarito che le misure di sicurezza devono essere approntate, non solo per i trattamenti effettuati con strumenti elettronici, ma anche per quelli eseguiti in forma cartacea.

Relativamente al trattamento di dati personali effettuato con strumenti elettronici, l’art. 34 dispone che esso sia consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell’allegato B, le seguenti misure minime:

a) autenticazione informatica;

b) adozione di procedure di gestione delle credenziali di autenticazione;

c) utilizzazione di un sistema di autorizzazione;

d) aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici;

e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici;

f) adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi;

g) tenuta di un aggiornato documento programmatico sulla sicurezza.

Per quanto riguarda, invece, i trattamenti eseguiti senza l’ausilio di strumenti elettronici, l’art. 35 prevede che lo stesso sia consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell’allegato B, le seguenti misure minime:

a) aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati o alle unità organizzative;

b) previsione di procedure per un’idonea custodia di atti e documenti affidati agli incaricati per lo svolgimento dei relativi compiti;

c) previsione di procedure per la conservazione di determinati atti in archivi ad accesso selezionato e disciplina delle modalità di accesso finalizzata all’identificazione degli incaricati.

Annunci

Lascia un commento

Archiviato in Privacy

Rispondi

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...