|
PROTEZIONE DI DATI PERSONALI (PRIVACY) Adempimenti e scadenze |
Decreto Legislativo 196/2003 “Codice in materia di trattamento di Dati Personali”
Tutte le Pubbliche Amministrazioni dovevano adempiere entro date certe a quanto prescritto dalla previgente normativa sulla privacy (legge 675/96 e provvedimenti collegati): per l’adozione delle misure minime di sicurezza previste dal DPR 388/99 l’ultima scadenza era il 31 marzo 2006.
Principali adempimenti obbligatori disposti del Codice (D.Lgs 196/2003) per le P.A.:
individuazione e nomina delle figure previste dalla legge: responsabile/i e incaricati del trattamento
adozione delle misure minime di sicurezza
redazione del Documento programmatico sulla sicurezza
redazione del Regolamento sul trattamento dei dati sensibili
predisposizione dell’informativa agli interessati
formazione del personale
Le scadenze definite dal Codice, entrato in vigore dal 1° gennaio 2004, sono le seguenti:
entro il 31 marzo di ogni anno revisione del Documento programmatico sulla sicurezza
31 marzo 2006 adeguamento alle nuove misure di sicurezza (le “vecchie” misure di sicurezza disposte dalla legge 675/96 e specificate dal DPR 318/99 dovevano essere già state adottate)
entro 31 dicembre 2006 approvazione del regolamento per il trattamento dei dati sensibili
AMMINISTRATORE DI SISTEMA
Il Provvedimento del Garante della protezione dei dati personali del 27/11/200 definisce quale amministratore di sistema “la figura professionale dedicata alla gestione e manutenzione di impianti di elaborazione con i quali vengano effettuati trattamenti di dati personali, compresi i sistemi per la gestione di basi di dati, reti locali, gli apparati di sicurezza
Il Provvedimento stabilisce che il titolare deve provvedere a:
attribuire formalmente, attraverso nomina scritta, le funzioni di amministratore di sistema “previa valutazione dell'esperienza, della capacità e della affidabilità”;
redigere e aggiornare l’elenco degli amministratori di sistema interni; Qualora l'attività degli amministratori di sistema riguardi anche indirettamente servizi o sistemi che trattano o che permettono il trattamento di informazioni di carattere personale dei lavoratori, i titolari sono tenuti a rendere nota o conoscibile l'identità degli amministratori di sistema nell'ambito delle proprie organizzazioni;
nel caso di esternalizzazione dei servizi informatici, nominare il titolare della società responsabile esterno, anche attraverso l’inserimento nel contratto di servizio specifiche clausole; il titolare o il responsabile esterno devono conservare direttamente e specificamente, per ogni eventuale evenienza, gli estremi identificativi delle persone fisiche preposte quali amministratori di sistema;
programmare attività di verifica sull’operato degli amministratori di sistema;
attivare sistemi di registrazione degli accessi da parte degli amministratori di sistema e tracciabilità degli stessi (acces log).
Quanto sopra doveva essere realizzato entro 15/12/09
Almeno annualmente il titolare deve verificare che l’operato dell’amministratore di sistema sia conforme a quanto disposto daa normativa
Il Codice prevede sanzioni amministrative e penali per chi non assolve agli adempimenti previsti (particolarmente significative quelle relative alla mancata adozione delle misure minime di sicurezza, articolo 169: arresto fino a due anni o ammenda da 10’000 a 50’000 Euro).