|
|
|||||
|
||||||
|
||||||
|
In attuazione a quanto previsto dalla Legge 675/96, il 14 settembre 1999 è stato pubblicato sulla G.U. n. 216 il DPR 318/99, che detta le misure minime da attuare sia da parte delle Aziende che da parte degli Studi professionali in materia di tutela dei dati personali. Le misure minime di sicurezza dovevano essere adottate entro il 29 marzo 2000, ma per usufruire della proroga al 31 dicembre 2000 del termine relativo all'attuazione di dette misure minime, per effetto dell'art. 1 della Legge 325/00, bisogna redigere un documento in cui si stabiliscono le misure già adottate e quelle che si adotteranno entro il 01 gennaio 2001 (vedi Allegato 5). Tale documento deve avere data certa non successiva all'11 Dicembre 2000. In Sintesi, a partire dal 01 gennaio 2001 le aziende dovranno aver adottato le misure minime di sicurezza di cui una sintesi viene riportata nell'Allegato 5. Tali misure consistono in una revisione delle misure tecniche, informatiche, organizzative, logistiche e procedurali di sicurezza e configurano il livello minimo di protezione in modo da ridurre al minimo i rischi di distruzione, perdita anche accidentale dei dati stessi, accesso non autorizzato o trattamento non consentito o non conforme alle finalità della raccolta dei dati stessi. Occorre quindi, entro tale data, aver provveduto a rivedere le procedure operative ed i sistemi utilizzati per l'uso di personal computer e server, quali ad esempio prevedere il funzionamento di password di Bios, password di rete, dotarsi di un software antivirus e prevedere almeno semestralmente l'aggiornamento del software stesso, valutare l'adeguatezza dei sistemi di protezione dei locali, degli archivi, disporre procedure nel caso di riutilizzo di supporti informatici quali, ad esempio, i floppy disk, nonché delle necessarie politiche di salvataggio (backup). Deve essere stato nominato almeno un responsabile del trattamento dei dati, informare gli incaricati del trattamento dei dati e fornire tutte le informazioni necessarie per la conoscenza della normativa in vigore e degli obblighi che incombono su tali soggetti; nel caso di nuove assunzioni sarà inoltre necessario procedere all'informazione del personale in merito alle misure minime di sicurezza. È inoltre consigliabile, anche se non obbligatorio per gli elaboratori in rete non accessibili dal pubblico, redigere comunque un documento interno sulla sicurezza dei dati, documento che dovrà essere rivisto nel caso di sostituzione di computer ed attrezzature con caratteristiche tecniche diverse dalle precedenti. L'art. 36 della Legge 675/96 punisce con la reclusione sino ad un anno "Chiunque, essendovi tenuto, omette di adottare le misure necessarie a garantire la sicurezza dei dati personali, in violazione delle disposizioni dei regolamenti di cui ai commi 2 e 15" (il primo di detti regolamenti è rappresentato appunto dal DPR 318/99). Al Regolamento emanato con DPR 318/99 ne seguiranno altri, almeno ogni due anni, che aggiorneranno ai processi tecnologici le misure minime di sicurezza. Visto la complessità dell'argomento, lo Studio invita i Sigg. Clienti a contattare il Dott. Alberto Almerighi al fine di approfondire le varie problematiche relative agli adempimenti ex Legge 675/96.
|
||||||
|
|
||||||
|
||||||
