PRIVACY, ARRIVANO LE SEMPLIFICAZIONI

Il Garante per la protezione dei dati personali ha semplificato le misure minime di sicurezza sulla protezione dei dati personali. Cadono alcune prescrizioni, inutilmente impegnative per realtà organizzative ridotte come quelle libero professionali. Il Garante per la protezione dei dati personali, sollecitato da segnalazioni e quesiti, ha semplificato le misure minime di sicurezza sulla protezione dei dati personali. Con il nuovo provvedimento, pubblicato in Gazzetta Ufficiale il 9 dicembre, vengono individuate alcune modalità semplificate per i soggetti, come i liberi professionisti, che trattano dati che devono restare dentro un livello idoneo di sicurezza, ma che non giustificano un eccesso di adempimenti, anche "tenendo conto delle ridotte dimensioni di alcune realtà organizzative".

Le modalità semplificate sono applicabili dai soggetti pubblici o privati che: a) utilizzano dati personali non sensibili o che trattano come unici dati sensibili - riferiti ai propri dipendenti e collaboratori anche a progetto - quelli costituiti dallo stato di salute o malattia senza indicazione della relativa diagnosi, ovvero dall'adesione a organizzazioni sindacali o a carattere sindacale; b) trattano dati personali unicamente per correnti finalità amministrative e contabili, in particolare presso liberi professionisti.

Una prima semplificazione riguarda le istruzioni da impartire agli incaricati del trattamento: precedentemente le istruzioni sulle misure minime di sicurezza (es. controllo e custodia) dovevano essere obbligatoriamente impartite per iscritto; d'ora in poi basterà farlo oralmente.

Un'altra semplificazione riguarda l'accesso ai sistemi informatici: cadono le indicazioni sulle caratteristiche delle password ( in precedenza: parola chiave composta da almeno otto caratteri oppure, nel caso in cui lo strumento elettronico non lo permetta, da un numero di caratteri pari al massimo consentito; essa non contiene riferimenti agevolmente riconducibili all'incaricato ed è modificata da quest'ultimo al primo utilizzo e, successivamente, almeno ogni sei mesi. In caso di trattamento di dati sensibili e di dati giudiziari la parola chiave andava modificata almeno ogni tre mesi). Si può utilizzare un qualsiasi sistema di autenticazione basato su uno «username» per identificare chi accede ai dati, associato a una «password», in modo che: a) l'username individui in modo univoco una sola persona, evitando che soggetti diversi utilizzino codici identici; b) la password sia conosciuta solo dalla persona che accede ai dati.

E sempre in fatto di password, sarà possibile utilizzare quelle già disponibili sul sistema operativo delle postazioni connesse ad una rete. Qualora poi fosse necessario diversificare l'ambito del trattamento consentito, ci si potrà avvalere delle password "incorporate nelle applicazioni software o nei sistemi operativi, cosi' da limitare l'accesso ai soli dati necessari per effettuare le operazioni di trattamento" .
Non si dovrà più mettere per iscritto le procedure da adottare in caso di prolungata assenza o impedimento dell'incaricato. Quando indispensabile e indifferibile intervenire per esclusive necessita' di operativita' e di sicurezza del sistema, il titolare puo' assicurare la disponibilita' di dati o strumenti elettronici con procedure o modalita' predefinite anche in forma non scritta.
L'username deve essere disattivato quando l'incaricato non ha piu'
la qualita' che rende legittimo l'utilizzo dei dati (ad esempio, in quanto non opera piu' all'interno dell'organizzazione).
L'ambito del trattamento dei singoli incaricati e agli addetti alla gestione e manutenzione degli strumenti elettronici e i profili di autorizzazione non sono più da aggiornarsi a cadenza predefinita, ma solo quando è necessario in funzione dei principi di adeguatezza, proporzionalità e necessità.

La frequenza di aggiornamento dell'antivirus, del firewall, del sistema operativo e degli altri software utilizzati per il trattamento dei dati viene diminuita.

Anche la frequenza del backup dei dati viene diminuita; inoltre può essere limitata ai soli dati modificati nel caso quelli immodificati siano già stati salvati su un supporto di backup.

Infine, il documento programmatico di sicurezza deve essere redatto prima dell'inizio del trattamento e deve essere aggiornato entro il 31 marzo di ogni anno solo nel caso in cui, nel corso dell'anno solare precedente, siano intervenute modifiche rispetto a quanto dichiarato nel precedente documento. Precedentemente il DPS doveva essere redatto ogni anno anche se non erano intervenute modifiche, inoltre il documento ha caratteristiche più semplici e contiene informazioni più generali. Giorgio Neri