Dal primo gennaio 2004 sarà in vigore il nuovo Codice in materia di protezione dei dati personali. Questo testo, approvato con il Decreto legislativo 30 giugno 2003, n. 196, riunifica tutta la materia precedente, abrogando tra l’altro addirittura la famosa legge 675/1996 sul trattamento dei dati personali ed il relativo regolamento di attuazione, e componendo in un’unica “legge” tutte le disposizioni in materia di privacy. E’ bene specificare subito che tutti i diritti che venivano prima garantiti agli utenti continueranno ad essere tutelati anche col nuovo codice. Esso, comunque, non è solo una raccolta, ci sono anche alcune novità. Si possono vedere alcune delle più importanti, precisando che in allegato il nuovo codice presente una utilissima “tavola di corrispondenza” delle sue disposizioni alla normativa previgente, che, grazie al confronto tra le nuove disposizioni e quelle vecchie rende più facile capire cosa cambia. Chi è interessato a prendere visione del testo integrale e degli allegati, può collegarsi al sito del Garante all’indirizzo http://www.garanteprivacy.it/garante/document?ID=228213.
Il primo, molto positivo, cambiamento riguarda l’obbligo di notifica al garante che, da generale, diventa residuale. Non è quindi più previsto per tutti ma solo in alcuni casi. Anche se ci sono voluti diversi anni, si è finalmente capito che inondare di carta gli uffici del Garante non serve a niente ed anzi comporta lavoro inutile, sia per le aziende che per lo stesso ente di controllo. Sono gli artt. 37 e 38 del nuovo codice a specificare quando questo obbligo è previsto, come ad esempio in caso di dati genetici, biometrici o che consentono di individuare la posizione geografica di soggetti, come nel caso delle “celle” della rete di telefonia mobile.
Sono poi introdotte altre modiche volte alla semplificazione generale della gestione dei trattamenti dei dati. Il nuovo codice, infatti, si basa sul principio di necessità, secondo cui i sistemi informativi dovranno essere in ogni caso configurati riducendo al minimo l’utilizzazione di dati personali e di dati identificativi. In altri termini, dovranno essere impiegate tecniche di identificazione del soggetto solo in caso di necessità in tutti i casi in cui ciò sia possibile, ad esempio associando un ID ad una determinata persona, sempre che le finalità del trattamento siano realizzabili anche in questo modo.
Rimangono, ovviamente, le norme in materia di misure di sicurezza che devono essere adottate da tutti coloro che gestiscono un sistema informatico, regolate nel titolo V del nuovo codice. E’ al riguardo confermato che i dati personali oggetto di trattamento debbono essere custoditi e controllati anche in relazione alle conoscenze acquisite in base al progresso tecnico nonché alla natura dei dati al fine di ridurre al minimo, mediante l’adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita dei dati, di accesso non autorizzato o di trattamento non consentito o non conforme alla finalità della raccolta. Sono le già note “misure minime di sicurezza”, definite dal nuovo codice come quel complesso di misure tecniche, organizzative, logistiche e procedimentali di sicurezza che sono in grado di dare un livello minimo di protezione. Il codice si spinge oltre e identifica le singole misure da adottare definendone gli aspetti tecnici.
A) Innanzi tutto occorre predisporre l’utilizzazione di un sistema di autenticazione informatica, quindi ai computer deve potersi accedere solo ed esclusivamente previo inserimento di user name e password. La password dovrà poi essere custodita dai soggetti autorizzati in modo da garantirne la segretezza. La password, per essere a norma, deve essere composta da un minimo di 8 caratteri, salvo il caso in cui non sia possibile per il tipo di software che si sta utilizzando. Inoltre la password deve essere modificata ogni sei mesi, addirittura tre nel caso di trattamenti di dati sensibili o giudiziari, anche se è difficile capire come le Autorità potranno procedere ad accertare violazioni di questo obbligo. Le password devono inoltre essere dotate di scadenza. Le credenziali di autenticazione non utilizzate da almeno sei mesi debbono essere disattivate, derogando solo nell’ipotesi di un utilizzo meramente finalizzato alla gestione tecnica.
B) Il codice vuole poi dire la sua anche in fatto di definizione dei permessi degli utenti e dei relativi gruppi, parlando di “profili di autorizzazione”. Viene specificato che i profili di autorizzazione per ciascun incaricato o per classi omogenee di incaricati, dovranno essere individuati e configurati anteriormente all’inizio del trattamento: questo al fine di limitare l’accesso ai soli dati effettivamente necessari alla realizzazione delle operazioni di trattamenti cui sono preposti gli incaricati; la verifica in relazione alle condizioni sussistenti la conservazione dei profili di autorizzazione deve avvenire almeno annualmente.
E’ stato ereditato dal vecchio DPR 318/1999 l’obbligo di redazione del documento programmatico sulla sicurezza. In sostanza, entro il 31 marzo di ogni anno l’amministratore di sistema dovrebbe redigere questo documento, secondo il disciplinare tecnico allegato al codice, dove in sostanza devono essere indicate le caratteristiche del trattamento, i rischi che incombono sullo stesso, le misure intraprese e i metodi per ripristinare in caso di crash del sistema o intrusione.. Quest’obbligo suscita qualche perplessità, perché forse si poteva semplificare ulteriormente, bisognerà vedere comunque in futuro come anche questa novità, insieme a tutto il resto del codice, verrà assorbita dalle aziende e da tutti gli altri soggetti interessati ai trattamenti di dati.
