La legge sulla privacy e il software

Scrivo in breve misure minime di sicurezza introdotte dal Codice della privacy a salvaguardia dei dati personali contenuti negli archivi e per redigere il documento programmatico in materia di sicurezza (dps). Il dps deve contenere, in particolare, l'analisi dei rischi che incombono sui dati personali e le tutele da adottare per prevenire la loro distruzione, l'accesso abusivo e la dispersione ed è obbligatorio per chi raccoglie, utilizza e conserva dati sensibili o giudiziari.
Potranno usufruire del termine del 30 giugno sia coloro che devono predisporre tale documento per la prima volta sia coloro che ne abbiano già redatto o aggiornato uno nel 2003. Un modello base semplificato sarà disponibile a breve sul sito del Garante www.garanteprivacy.it.
Il documento, in PDF, è stato realmente prodotto ed è scaricabile dalla Home page del sito del Garante (qui il link).
C'è un dato importante. Non tutti i software, non tutti i sistemi operativi, sono certificati. Pensiamo ad esempio a Panda Antivirus, che è parecchio diffuso. Questo però genera confusione e soprattutto un esborso per le aziende e per i professionisti.
In pratica Un antivirus, un firewall aziendale aggiornati, insieme a password e criptazione dei dati sensibili sono misure più che sufficienti. Ma a quindi giorni dall'entrata in vigore, il caos regna sovrano. Tanto che anche il Garante ha fissato in venerdì la data per un convegno sul tema.
Riassumo qui i fatti più importanti.
Annualmente, aggiornare l'individuazione dell'ambito di trattamento consentito ai singoli incaricati, ove variato, anche parzialmente.
Annualmente, e precisamente entro il 31 marzo di ogni anno, il Titolare che tratta dati sensibili o dati giudiziari con strumenti elettronici è obbligato a redigere tale documento come previsto all'articolo 34, comma 1 lett. g) secondo le modalità previste al punto 19 dell'Allegato B, "Disciplinare tecnico in materia di misure minime di sicurezza". In realtà, se il Documento programmatico sulla sicurezza rispecchia l'effettiva realtà aziendale, permettendo cioè di verificare il livello di sicurezza dei dati a fronte di un'analisi delle aree maggiormente a rischio, rappresenta lo strumento più idoneo per gestire al meglio tutti gli aspetti della sicurezza dati. Per questa ragione è consigliato che ogni titolare, indipendentemente dai tipi di dati trattati e dagli strumenti utilizzati, si appresti a redigerlo.
Aggiornamento semestrale per gli antivirus (!).
Aggiornare con cadenza almeno annuale (semestrale nel caso di trattamenti di dati sensibili) i programmi per computer, patch comprese.
Backup ogni settimana.
Parole chiave di autenticazione, cambiate ogni tre mesi.
Corsi di formazione per chi deve trattare i dati.
Le multe saranno salatissime. Quindi raccomando a tutti la massima attenzione sul tema. www.garanteprivacy.it per saperne di più.