Privacy: il Garante vara procedure semplificate per le misure minime di sicurezza e la notificazione

Con un comunicato stampa del 9 dicembre 2008  il Garante per la protezione dei dati personali ha dato notizia di un provvedimento pubblicato sulla Gazzetta Ufficiale che prosegue l'opera di semplificazione di alcuni adempimenti in materia di protezione dei dati personali. Le nuove garanzie, adottate sentito il Ministro per la semplificazione normativa, interessano:

• amministrazioni pubbliche e società private che utilizzano dati personali non sensibili (nome, cognome, indirizzo, codice fiscale, numero di telefono) o che trattano come unici dati sensibili dei dipendenti quelli relativi allo stato di salute o all'adesione a organizzazioni sindacali;
• piccole e medie imprese, liberi professionisti o artigiani che trattano dati solo per fini amministrativi e contabili.

Obiettivo dell'Autorità è quello di mantenere un adeguato livello per le misure minime di sicurezza venendo però incontro alle esigenze prospettate da imprese, soprattutto di piccole dimensioni, volte a snellire le procedure, graduare le cautele a seconda della delicatezza dei trattamenti e a contenere i costi.

In base al provvedimento del Garante, le categorie interessate:

• possono impartire agli incaricati le istruzioni in materia di misure minime anche oralmente;
• possono utilizzare per l'accesso ai sistemi informatici un qualsiasi sistema di autenticazione basato su un username e una password; lo username deve essere disattivato quando viene meno il diritto di accesso ai dati (es. non si opera più all'interno dell'organizzazione);
• in caso di assenze prolungate o di impedimenti del dipendente possono mettere in atto procedure o modalità che consentano comunque l'operatività e la sicurezza del sistema ( ad es. l'invio automatico delle mail ad un altro recapito accessibile);
• devono aggiornare i programmi di sicurezza (antivirus) almeno una volta l'anno, e effettuare backup dei dati almeno una volta al mese.

Con il provvedimento, inoltre, il Garante ha fornito a piccole e medie imprese, artigiani, liberi professioni, soggetti pubblici e privati che trattano dati solo a fini amministrativi e contabili, alcune indicazioni per la redazione di un documento programmatico per la sicurezza semplificato.
Procedure semplificate sono state indicate anche per chi tratta dati senza l'impiego di sistemi informatici.
Insieme a quello sulle misure minime di sicurezza, il Garante ha adottato anche un provvedimento che semplifica il modello utilizzato per effettuare le notificazioni, ossia le dichiarazioni da fare all'Autorità quando si avvia un trattamento di particolari tipi di dati (genetici, biometrici, procreazione assistita, ecc.).
Il provvedimento sulle misure di sicurezza è immediatamente applicabile senza necessità di istanze o comunicazioni al Garante, mentre quello sulla notificazione sarà operativo entro 60 giorni dalla pubblicazione in Gazzetta e non comporterà l'obbligo di notificare di nuovo o modificare le notificazioni a carico di chi lo abbia già fatto.

Chi è Panfilo Marcelli?

L’ingegner Panfilo Marcelli ha lavorato per oltre vent’anni presso primarie aziende informatiche e di consulenza (IPACRI, Euros Consulting, OASI) con incarichi, anche direttivi, in ambito Information Technology, Privacy e Protezione dei dati personali, Qualità e Certificazione ISO9000 e ISO27001, Workflow Management e Business Process Reengineering, Internet, Intranet e gestione di siti con sistemi CMS. Attualmente é socio di CMa Consulting società specializzata in servizi, consulenza e formazione in ambito Compliance, Privacy, Qualità e Sicurezza. Può essere contattato via email: p.marcelli@cmaconsulting.it 

Altri articoli di Panfilo Marcelli

• Privacy: come rottamare il pc in tutta tranquillità
• Privacy - Newsletter del Garante n. 316 del 2 dicembre 2008
• Privacy: varato il codice deontologico privacy per avvocati e investigatori privati
• Disponibile online il volume "Privacy e giornalismo" a cura di Mauro Paissan
• Numero speciale di "Le Scienze" dedicato alla Privacy
• Privacy - Newsletter del Garante n. 314 del 29 ottobre 2008
• Privacy: le raccomandazioni dei Garanti privacy mondiali sui social network
• Privacy – guida pratica: marketing e comunicazioni commerciali
• Privacy: stop del Garante al marketing selvaggio e alle telefonate promozionali indesiderate
• Privacy: relazione 2008 del Garante (relativa al 2007)
• Privacy – Ribadito il divieto di invio di fax ed email promozionali senza consenso
• Privacy – guida pratica: diritto d’accesso
• Privacy – Abrogazione del DPS per chi tratta solo dati sensibili relativi alla salute dei dipendenti
• Privacy – nuove semplificazioni del Garante per la PMI
• Privacy – guida pratica: videosorveglianza e registrazione di immagini
• Privacy: un esempio di DPS per la PMI (con licenza aperta)
• Glossario della Privacy
• La privacy nella piccola e media impresa:
• parte prima: il quadro di riferimento
• parte seconda: analisi dei rischi e misure di sicurezza
• parte terza: la formazione
• Cos’è la privacy? (parte prima – le domande più frequenti, parte seconda - il DPS)
• Privacy: 10 errori da evitare nella redazione o aggiornamento del DPS (prima e seconda parte)
• Privacy e Compliance: di cosa occorre tenere conto nell'aggiornamento del DPS, 2-03-2008
• Privacy: le novità normative di cui tener conto nel DPS, 27-02-2008
• Privacy: gli adempimenti per le aziende entro il 31 marzo, 18-02-2008