Pillole, news, informazioni varie dal mondo della sicurezza.
Questo sito, nato come integrazione del sito aziendale vuole essere uno strumento per mettere a disposizione di tutti gli operatori del settore le notizie, gli eventi, le opportunità, le novità, le normative, la privacy e tutto quanto ruota intorno al mondo della sicurezza, raccolto in giro per il web.
![www.diesissrl.it - Sito Diesis istituzionale - presentazione azienda, catalogo prodotti, accesso ad area riservata agli iscritti, contatti - [collegamento a pagina esterna]](logo_diesis_small_2.gif){kind=logo}
![sostieni constile.org il sito italiano dedicato ai fogli di stile - [collegamento a pagina esterna]](constile.gif){kind=small}
![Open Directory Project la più grande directory del web - Humans do it better [collegamento a pagina esterna]](http://dmoz.org/user-banners/banner10.gif){kind=small}
![www.google.it [collegamento a pagina esterna]](Logo_25wht.gif){kind=logo}
Obblighi di sicurezza e documento programmatico: prorogata al 30 giugno la redazione del "dps"
Comunicato stampa del Garante - 23 marzo 2004
Aziende private e amministrazioni pubbliche avranno tempo fino
al 30 giugno 2004 per adottare le nuove “misure
minime” di sicurezza introdotte dal Codice della privacy a
salvaguardia dei dati personali contenuti negli archivi e per
redigere il documento programmatico in materia di sicurezza
(dps).
Il dps deve contenere, in particolare, l’analisi dei rischi
che incombono sui dati personali e le tutele da adottare per
prevenire la loro distruzione, l’accesso abusivo e la
dispersione ed è obbligatorio per chi raccoglie, utilizza
e conserva dati sensibili o giudiziari.
Potranno usufruire del termine del 30 giugno sia coloro che
devono predisporre tale documento per la prima volta sia coloro
che ne abbiano già redatto o aggiornato uno nel
2003.
Un modello base semplificato sarà disponibile a breve sul
sito del Garante www.garanteprivacy.it
Dal prossimo anno, decorso il periodo transitorio connesso
all’entrata in vigore del Codice della privacy, il termine
per l’aggiornamento del dps rimarrà fissato al 31
marzo.
Queste in sintesi le indicazioni che l’Ufficio del Garante
ha fornito ad amministrazioni pubbliche e società private
per una corretta applicazione delle novità normative
introdotte dal Codice della privacy in materia di “misure
minime” di sicurezza e dei sistemi informatici e
telematici.
Le "misure minime", già previste dalla legge n.675/1996,
sono l’insieme degli accorgimenti tecnici e organizzativi
che l’azienda deve adottare per assicurare almeno il
livello minimo di sicurezza per la protezione dei dati
personali.
Il Codice, entrato in vigore il 1 gennaio 2004, ha confermato la
disciplina in materia di sicurezza dei dati personali introdotta
nel 1996. In particolare, è stato ribadito il principio
secondo cui le "misure minime" sono solo una parte degli
accorgimenti obbligatori in materia di sicurezza.
Vi è infatti il dovere più generale di custodire i
dati personali per contenere il più possibile il rischio
che essi siano distrutti, dispersi, conoscibili fuori dei casi
consentiti o trattati in modo illecito, nonché di
introdurre ogni utile dispositivo di protezione legato alle nuove
conoscenze tecniche. Oltre ad attenersi, quindi, a queste
disposizioni generali, i soggetti pubblici e privati hanno il
dovere di adottare in ogni caso le "misure minime", la cui
mancata adozione costituisce reato.
Il Codice ha però aggiornato l’elenco delle "misure
minime" di sicurezza e ha indicato modalità di
applicazione (allegato B del Codice). Analogamente a quanto
avveniva in passato, le "misure minime" sono diverse a seconda
che il trattamento sia effettuato o meno con strumenti
elettronici o riguardi dati sensibili o giudiziari.
Anche il documento programmatico sulla sicurezza, che in base al
nuovo Codice deve essere adottato da chiunque effettua un
trattamento di dati sensibili o giudiziari con strumenti
elettronici, rientra tra le misure minime. Si tratta di una
misura non nuova anche se è parzialmente cambiato il
contenuto del documento, è più ampia la categoria
dei dati giudiziari ed è aumentato il numero dei soggetti
destinatari dell’obbligo. Proprio in considerazione delle
novità introdotte e del numero dei nuovi soggetti
interessati, il Garante ha ritenuto che, in sede di prima
applicazione del nuovo quadro normativo, il dps possa essere
predisposto, al più tardi entro il 30 giugno 2004.
Va ricordato, infine, che il termine concesso oggi agli operatori
riguarda solo ed esclusivamente l’adozione delle nuove
misure introdotte dal Codice. Le "vecchie2 misure minime, che
erano già obbligatorie in passato, devono essere infatti
adottate senza attendere il termine del 30 giugno.
Il parere del Garante è consultabile sul sito.
![inviaci il tuo commento [apertura del Client di posta per l’invio della e-mail]](commenti.jpg){kind=small}
Documento programmatico della sicurezza: si avvicina la scadenza del 31 marzo 2004
Il primo gennaio 2004 è entrato in vigore il nuovo
Testo Unico della Privacy ( Decreto Legislativo n. 196/2003) che
fissa le misure minime di sicurezza da adottare al fine di non
permettere la perdita, la distruzione o il trattamento non
autorizzato dei dati personali.
Come dettato dall’articolo n. 169 del D.L. 196/2003,
"Chiunque, essendovi tenuto, omette di adottare le misure
minime previste dall’articolo 33 è punito con
l’arresto sino a due anni o con l’ammenda da
diecimila € a cinquantamila €".
Con questo articolo il legislatore ha tenuto a sottolineare
l’importanza della normativa, quindi l’importanza di
adottare le misure minime di sicurezza.
Gli articoli del testo unico che regolano le misure minime di
sicurezza sono quelli che vanno dal 33 al 36, ma soprattutto
è stato creato un’allegato, l’allegato B del
Testo Unico, dove sono elencate tutte le indicazioni tecniche per
poter procedere correttamente alla stesura del manuale
programmatico.
Il Documento Programmatico della Sicurezza deve essere redatto,
da tutti i soggetti che trattano dati personali, una volta
all’anno entro il 31 marzo di ogni anno e deve contenere
idonee informazioni circa:
19.1. l’elenco dei trattamenti di dati
personali
19.2. la distribuzione dei compiti e delle
responsabilità nell’ambito delle strutture preposte
al trattamento dei dati
19.3. l’analisi dei rischi che incombono sui
dati
19.4. le misure da adottare per garantire
l’integrità e la disponibilità dei dati,
nonchè la protezione delle aree e dei locali, rilevanti ai
fini della loro custodia e accessibilità
19.5. la descrizione dei criteri e delle modalità
per il ripristino della disponibilità dei dati in seguito
a distruzione o danneggiamento di cui al successivo punto
23
19.6. la previsione di interventi formativi degli
incaricati del trattamento, per renderli edotti dei rischi che
incombono sui dati, delle misure disponibili per prevenire eventi
dannosi, dei profili della disciplina sulla protezione dei dati
personali più rilevanti in rapporto alle relative
attività, delle responsabilità che ne derivano e
delle modalità per aggiornarsi sulle misure minime
adottate dal titolare. La formazione è programmata
già al momento dell’ingresso in servizio,
nonchè in occasione di cambiamenti di mansioni, o di
introduzione di nuovi significativi strumenti, rilevanti rispetto
al trattamento di dati personali
19.7. la descrizione dei criteri da adottare per garantire
l’adozione delle misure minime di sicurezza in caso di
trattamenti di dati personali affidati, in conformità al
codice, all’esterno della struttura del titolare
19.8. per i dati personali idonei a rivelare lo stato di
salute e la vita sessuale di cui al punto 24,
l’individuazione dei criteri da adottare per la cifratura o
per la separazione di tali dati dagli altri dati personali
dell'interessato
Oltre alle misure minime di sicurezza, l’allegato B
prescrive, anche misure di tutela e garanzia.
26. Il titolare riferisce, nella relazione
accompagnatoria del bilancio d’esercizio, se dovuta,
dell’avvenuta redazione o aggiornamento del documento
programmatico sulla sicurezza.
Questo sancisce l’ ingresso della privacy nei bilanci della
società, in quanto l’osservanza degli obblighi
imposti dal DL 196/03 diventa un contenuto obbligatorio nella
redazione dello stesso
Videosorveglianza e protezione dati personali: le indicazioni dei Garanti dell’Unione Europea
Fonte: Garante
per la protezione dei dati personali
News Letter 202 del 23 - 29 febbraio 2004
Riportiamo di seguito il testo della news letter relativa:
Fissare regole e garanzie precise sull’installazione di
telecamere e fornire un quadro uniforme e armonizzato a livello
europeo che serva da riferimento comune per i soggetti privati e
pubblici che intendano ricorrere alla videosorveglianza, anche in
vista dell’adozione o della modifica di strumenti
legislativi in materia.
Sono questi i principali obiettivi del documento (Parere 4/2004)
approvato lo scorso 11 febbraio dal Gruppo di lavoro che riunisce
le autorità di protezione dati dell’Ue www.europa.eu.int/ sulla
base di un documento predisposto dal segretario generale
dell’Autorità italiana, Giovanni Buttarelli.
Il Parere contiene un “decalogo” (vedi Newsletter 24
febbraio -2 marzo 2003) sulle cautele ed i principi da osservare
in materia di videosorveglianza.
I Garanti hanno tenuto conto delle indicazioni giunte attraverso
la consultazione pubblica conclusasi il 31 maggio 2003, alla
quale hanno contribuito numerosi soggetti (aziende, studi legali)
ed anche singoli cittadini.
Il documento affronta innanzitutto alcuni aspetti essenziali,
quali l’esigenza di armonizzare il quadro normativo sulla
base della direttiva europea per la protezione dei dati, ma anche
di altri strumenti sovranazionali (Carta dei diritti fondamentali
dell’Ue, Convenzione n. 108/1981 del Consiglio
d’Europa sulla protezione dei dati); la necessità,
per chi installa telecamere, di accertare in via preliminare se
le immagini rilevate con i sistemi di videosorveglianza
comportino il trattamento di dati personali, ossia se si
riferiscano a soggetti identificabili (spesso, infatti, le
immagini acquisite con le telecamere sono associate ad altri dati
come impronte digitali, registrazioni sonore); l’obbligo di
far riferimento alle regole elaborate dai Garanti, che si
applicano anche ai trattamenti che non sono soggetti
espressamente alle disposizioni della direttiva europea (ad
esempio trattamenti effettuati per scopi di sicurezza pubblica o
per il perseguimento di reati, oppure trattamenti effettuati da
una persona fisica per scopi esclusivamente privati o
familiari).
I principi indicati dai Garanti sono così
riassumibili:
a) Stabilire la liceità del ricorso alla
videosorveglianza, facendo riferimento alle norme di diritto
interno applicabili, anche per quanto riguarda quelle relative al
diritto all’immagine ed alla tutela del domicilio.
b) Garantire che le finalità della
videosorveglianza siano specifiche e lecite, in particolare
evitando utilizzazioni ulteriori delle immagini rilevate e
indicando le finalità della videosorveglianza in un
documento che fornisca anche chiarimenti ulteriori sulla privacy
policy seguita dal titolare.
c) Assicurarsi della legittimità del trattamento,
verificando il rispetto di almeno uno dei criteri di
legittimità previsti dall’articolo 7 della Direttiva
europea. Per quanto riguarda, in particolare, i soggetti
pubblici, è opportuno ricordare che i trattamenti
effettuati mediante telecamere devono essere previsti da norme di
legge.
d) Verificare che il ricorso alla videosorveglianza sia
proporzionato, ossia che gli scopi perseguiti siano tali da
giustificare realmente l’impiego di dispositivi del genere,
e sempre a condizione che altre forme di tutela o altri
dispositivi di sicurezza si dimostrino chiaramente inadeguati o
non siano applicabili al caso specifico. (Per quanto riguarda
l’Italia, ricordiamo che il Codice in materia di protezione
dei dati personali prevede, all’articolo 3, l’obbligo
di rispettare il principio di necessità nel trattamento
dei dati personali, ossia di ridurre al minimo
l’utilizzazione di dati personali o identificativi).
e) Verificare che l’attività di
videosorveglianza sia effettuata in modo proporzionato: in questo
caso si tratta di minimizzare l’impiego di dati personali,
anche attraverso opportuni accorgimenti tecnici (angolo di
ripresa delle immagini, periodo di conservazione in ogni molto
breve, rischi legati all’eventuale associazione con altri
dati che facilitino l’identificazione delle persone). Su
questo punto utili suggerimenti sono venuti dai contributi della
consultazione pubblica.
f) Informare adeguatamente gli interessati, utilizzando
indicazioni ben visibili e posizionate in modo corretto.
Può trattarsi di informative sintetiche, secondo un
approccio “stratificato” per cui l’interessato
potrà ottenere informazioni più dettagliate
rivolgendosi direttamente al titolare; tuttavia,
l’informativa deve essere efficace. Pertanto, è
necessario specificare sempre le finalità dell’uso
di telecamere, e indicare chi sia il titolare del
trattamento.
g) Garantire agli interessati l’esercizio dei
diritti di accesso, rettifica, cancellazione ecc., e in
particolare il diritto di opporsi al trattamento per motivi
legittimi e prevalenti.
h) Rispettare eventuali ulteriori requisiti, come ad
esempio l’obbligo di notificare il trattamento effettuato
attraverso sistemi di videosorveglianza e di adottare idonee
misure di sicurezza, preoccupandosi anche di formare in modo
adeguato il personale impegnato in tale attività.
i) Adottare precauzioni ulteriori in rapporto a specifiche
attività di videosorveglianza: ad esempio, se le immagini
permettono la raccolta di dati sensibili, oppure se sono previste
interconnessioni fra più sistemi di videosorveglianza,
oppure se si intendono associare le immagini rilevate con dati di
tipo biometrico (impronte digitali, ad esempio) o si prevede di
utilizzare sistemi per il riconoscimento automatico della voce o
del viso di una persona. In tutti questi ambiti si dovrà
compiere una valutazione caso per caso, alla luce dei principi
sopra ricordati.