torna alle news
1 luglio 2004

CODICE DELLA PRIVACY

Il 22 giugno 2004 il Consiglio dei Ministri ha varato un
provvedimento (in forma di Decreto Legge) che dispone una serie di proroghe per
i termini in scadenza a fine giugno.

In questo modo, le nuove misure minime di sicurezza
previste dagli articoli 33 (Misure minime), 34 (Trattamenti con strumenti
elettronici), 35 (Trattamenti senza l’ausilio di strumenti elettronici) e il
richiamato allegato B) al codice della privacy, hanno da oggi un nuovo termine
per la loro adozione.

Tale termine, non perentorio, è stato fissato in data
31 dicembre 2004: ciò implica che l’adozione di misure minime di
sicurezza in materia di riservatezza, tra cui la redazione del Documento
Programmatico Sulla Sicurezza, sono differite, senza alcun onere aggiuntivo in
termini di adempimenti, alla fine dell’anno in corso.

Sono escluse da queste disposizioni le norme che
riguardano la predisposizione delle informative e l’ottenimento dei
relativi consensi.

 

 

MISURE MINIME DI
SICUREZZA

Art. 33

Misure minime

1. Nel quadro dei più
generali obblighi di sicurezza di cui all’articolo 31, o previsti da speciali
disposizioni, i titolari del trattamento sono comunque tenuti ad adottare le
misure minime individuate nel presente capo o ai sensi dell’articolo 58, comma
3, volte ad assicurare un livello minimo di protezione dei dati personali.

Art. 34

Trattamenti con strumenti
elettronici

1. Il trattamento di dati
personali effettuato con strumenti elettronici è consentito solo se sono
adottate, nei modi previsti dal disciplinare tecnico contenuto nell’allegato
B), le seguenti misure minime:

a) autenticazione
informatica;

b) adozione di procedure
di gestione delle credenziali di autenticazione;

c) utilizzazione di un
sistema di autorizzazione;

d) aggiornamento
periodico dell’individuazione dell’ambito del trattamento consentito ai singoli
incaricati e addetti alla gestione o alla manutenzione degli strumenti
elettronici;

e) protezione degli strumenti elettronici e dei dati
rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a
determinati programmi informatici;

f) adozione di procedure
per la custodia di copie di sicurezza, il ripristino della disponibilità dei
dati e dei sistemi;

g) tenuta di un
aggiornato documento programmatico sulla sicurezza
;

h) adozione di tecniche
di cifratura o di codici identificativi per determinati trattamenti di dati
idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi
sanitari.

 

 

 

Art. 35

Trattamenti senza
l’ausilio di strumenti elettronici

1. Il trattamento di dati
personali effettuato senza l’ausilio di strumenti elettronici è

consentito solo se sono
adottate, nei modi previsti dal disciplinare tecnico contenuto nell’allegato
B), le seguenti misure minime:

a) aggiornamento
periodico dell’individuazione dell’ambito del trattamento consentito ai singoli
incaricati o alle unità organizzative;

b) previsione di
procedure per un’idonea custodia di atti e documenti affidati agli incaricati
per lo svolgimento dei relativi compiti;

c) previsione di
procedure per la conservazione di determinati atti in archivi ad accesso

selezionato e disciplina
delle modalità di accesso finalizzata all’identificazione degli incaricati.

 

Insieme alla scadenza del 30
giugno viene differita anche quella che riserva un margine ulteriore di
tempo a tutti coloro che
, pur gestendo dati personali attraverso strumenti
elettronici , non siano in grado, per obiettive ragioni tecniche (e documentate
con data certa), di adottare, in tutto o in parte, le misure minime di
sicurezza entro fine mese.

Questi avrebbero avuto tempo per
farlo fino al 31 dicembre prossimo, ora possono contare su altri tre mesi e
mettersi in regola entro il 31 marzo 2005.