Legge n.675/96 sulla “privacy” e misure minime di sicurezza

Uno di questi è quello riguardante le cd. “misure minime di sicurezza”, la cui omessa adozione è punita ( salvo il caso del ravvedimento operoso che estingue il reato con il pagamento di ¼ del massimo dell’ammenda prevista ) con l’arresto sino a due anni e con l’ammenda da 5.164,57 a 41.316,55 Euro.

Tali misure “minime” costituiscono un qualcosa di ulteriore e diverso rispetto agli gli istituti tipici e più conosciuti della legge, quali ad esempio il consenso e l’informativa del soggetto interessato, e si concretizzano nell’adozione di particolari accorgimenti per la protezione dei dati custoditi dall’Azienda, siano essi automatizzati o cartacei; accorgimenti idonei ed adeguati – anche in relazione allo sviluppo tecnologico - a prevenire rischi di “distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta” e che sono stati individuati, in maniera esemplificativa, nel Regolamento emanato con D.P.R.n.318/1999 e tuttora in vigore, che li ha suddivisi in base alla tipologia dei dati trattati ed alle modalità , automatizzate o non, del trattamento.

Si spazia, al riguardo, dalla semplice attivazione della “password” sul singolo terminale alla redazione di un complesso “documento programmatico sulla sicurezza”, dove devono essere evidenziati i criteri, le procedure ed il piano di formazione del personale adottati.

Altri aspetti di rilievo della normativa sulla privacy sono rappresentati dalla necessità di individuare e nominare, anche attraverso un efficace sistema di deleghe che conferisca le rispettive responsabilità, le necessarie figure ( titolare, responsabile, incaricato etc.) all’interno dell’Azienda così come richieste dalla normativa e di improntare anche i rapporti con i terzi ( clienti, fornitori , enti ) al reciproco rispetto degli accorgimenti previsti in materia.

Un approccio pratico deve, in sintesi, prevedere l’adozione dei prescritti accorgimenti ovvero una revisione di quelli eventualmente adottati dall’Azienda in tema di privacy verificando la procedura , quantomeno di massima, attraverso la seguente check-list:

- analisi dei rischi;
- censimento dei trattamenti;
- censimento delle banche dati;
- individuazione figure responsabili incaricati;
- assegnazione formali incarichi ai predetti;
- verifiche e aggiornamenti periodici delle misure;
- revisione modulistica informativa e consenso;
- revisione rapporti contrattuali con i terzi.

Non può, da ultimo, non essere posto in risalto come, in una visione strategica più ampia, l’impostazione di una adeguata “politica della sicurezza”, in particolare nei sistemi informatici e nelle reti aziendali, costituisca, al di là dell’aspetto cogente costituito dal necessario rispetto delle prescrizioni normative, un importante risorsa dell’Azienda in termini di affidabilità, efficienza e competitività, essendo sempre più diffusa la sensibilità su questi temi e concreti i rischi di pregiudizio alle relazioni ed all’immagine dell’Azienda sul mercato.