Misure minime di sicurezza nel nuovo Codice Privacy - parte I

Dal primo gennaio 2004 entrerà in vigore il nuovo Codice in materia di protezione dei dati personali.
Il Codice si basa sul principio di necessità, secondo cui i sistemi informativi ed i programmi informatici dovranno essere configurati riducendo al minimo l’utilizzazione di dati personali e di dati identificativi al fine di escludere il trattamento quando le finalità perseguite potranno essere realizzate mediante dati anonimi o tecniche di identificazione del soggetto solo in caso di necessità.

Di rilevante interesse per coloro che trattano i dati mediante strumenti elettronici, appare il titolo V del Codice che disciplina la sicurezza dei dati e dei sistemi.

In particolare, in relazione alle misure di sicurezza, il Codice stabilisce che i dati personali oggetto di trattamento debbono essere custoditi e controllati anche in relazione alle conoscenze acquisiti in base al progresso tecniche nonché alla natura dei dati ed alle specifiche caratteristiche del trattamento al fine di ridurre al minimo, mediante l’adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita dei dati, di accesso non autorizzato o di trattamento non consentito o non conforme alla finalità della raccolta.
Vige pertanto un obbligo di adozione di misure minime di sicurezza.

Ma cosa si intende con tale espressione?
È il Codice stesso che ci risponde, definendo misure minime quel complesso di misure tecniche, informatiche, organizzative, logistiche e procedurali di sicurezza che configurano il livello minimo di protezione normativamente richiesto rispetto ai rischi sopraelencati.
In pratica, il Codice identifica tali misure in un elenco preciso, secondo cui il trattamento dei dati personali effettuato con strumenti elettronici è subordinato all’adozione di specifiche misure.

Innanzi tutto occorre predisporre l’utilizzazione di un sistema di autenticazione informatica, ovvero il trattamento dei dati personali deve essere consentito solo agli incaricati muniti di credenziali di autenticazione, cioè di un codice per l’identificazione dell’incaricato associato ad una parola chiave riservata e conosciuta esclusivamente dall’incaricato stesso, sul quale grava l’obbligo di adozione delle cautele necessarie al fine di assicurare la segretezza della componente riservata della credenziale, nonché l’obbligo di custodire diligentemente i dispositivi in suo possesso ed uso esclusivo. Peraltro, il legislatore stabilisce un minimo di otto caratteri per quanto riguarda la parola chiave (salvo il caso in cui lo strumento elettronico non lo consenta dovendo pertanto adottare una parola chiave composta secondo il numero massimo di caratteri consentiti); altra misura di sicurezza è identificata nell’obbligo di modifica della parola chiave almeno ogni sei mesi, salvo tre nei casi in cui il trattamento con strumenti elettronici abbia ad oggetto dati sensibili o giudiziari.

Altro obbligo imposto sta nel fatto che le credenziali di autenticazione non utilizzate da almeno sei mesi debbono essere disattivate, derogando solo nell’ipotesi di un utilizzo meramente finalizzato alla gestione tecnica, per cui non è richiesta tale scadenza di modifica.

Dott.ssa Valentina Frediani
Consulente Legale Informatico

www.consulentelegaleinformatico.it - Il sito offre un'ampia panoramica giuridica sulle condotte configurabili in internet ed inquadrabili nell'attuale ordinamento legislativo, ciascuna descritta e suddivisa in argomenti. Mediante articoli pubblicati nella sezione "Approfondimenti" si prende conoscenza di tematiche di particolare interesse quali la responsabilità dei provider, il danno informatico, la diffamazione on line, la riproduzione illecita di software ed altro. Innovativo il servizio di consulenza legale informatica on line (per e-mail, ICQ, telefono).