Articolo a cura
dell’Avv. Giacomina Picheo tel. 3473770563
studiolegalepicheo@gmail.com
SCADE IL 31 MARZO 2006 IL TERMINE PER ADOTTARE LE MISURE DI SICUREZZA E PREDISPORRE IL DOCUMENTO PROGRAMMATICO SULLA SICUREZZA: OBBLIGHI ANCHE PER OTTICI E OPTOMETRISTI
Nessun ulteriore rinvio è stato concesso dal legislatore per l’adozione delle misure minime di sicurezza e per la redazione del documento programmatico sulla sicurezza (DPS) previsti dal Codice in materia di dati personali, approvato con Decreto Legislativo n. 196 del 30 giugno 2003 (di seguito Codice).
Il termine rimane fissato all’ormai prossimo 31 marzo 2006.
Soggetti obbligati
Il provvedimento riguarda anche gli Ottici e Optomestristi che abbiano una banca dati cartacea o elettronica inerente i dati dei propri clienti o che, in ogni caso, operino un “trattamento” di dati personali.
Per maggiore chiarezza si rammenta che per “trattamento” si intende qualunque operazione o complesso di operazioni, effettuati anche senza l'ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati.
Oggetto
In materia di privacy gli Ottici e Optomestristi hanno già, sin dal 1 gennaio 2004, l’obbligo di raccogliere il consenso informato scritto dei clienti che forniscono i propri dati personali e quelli inerenti i propri difetti visivi.
Ai fini dell’applicazione del Codice, occorre precisare che proprio quest’ultima categoria di dati, raccolti durante le visite optometriche o semplicemente dedotti da ricette mediche o dalla lettura delle lenti mediante appositi strumenti o comunque in altro modo, debbono considerarsi “dati sensibili” in quanto idonei a rivelare lo stato di salute del cliente.
I dati sensibili costituiscono una particolare categoria di dati personali e sono oggetto di specifica attenzione da parte del legislatore, tanto che, per il loro trattamento, è prescritto il consenso scritto degli interessati.
Il Codice, inoltre, prevede che per essi siano adottate particolari misure di sicurezza.
Misure Minime di Sicurezza
I dati personali oggetto di trattamento devono essere custoditi e controllati in modo da ridurre al minimo i rischi di:
- distruzione o perdita, anche accidentale, dei dati stessi,
- accesso non autorizzato,
- trattamento non consentito o non conforme alle finalità della raccolta.
Nell’ambito di tali obblighi generali, il legislatore impone ai titolari del trattamento di adottare comunque le misure minime previste dal Codice.
Tale obbligo assume un notevole rilievo laddove si consideri sono previste specifiche sanzioni penali (l'arresto sino a due anni o l'ammenda da diecimila euro a cinquantamila euro) in caso di omissione.
Le misure minime da adottare sono diverse nel caso di trattamenti effettuati con o senza strumenti elettronici.
Trattamenti con strumenti elettronici:
Il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell'Allegato B), le seguenti misure minime:
a) autenticazione informatica;
b) adozione di procedure di gestione delle credenziali di autenticazione;
c) utilizzazione di un sistema di autorizzazione;
d) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici;
e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici;
f) adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi;
g) tenuta di un aggiornato documento programmatico sulla sicurezza;
h) adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari.
Trattamenti senza strumenti elettronici:
Il trattamento di dati personali effettuato senza l'ausilio di strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell'allegato B), le seguenti misure minime:
a) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati o alle unità organizzative;
b) previsione di procedure per un'idonea custodia di atti e documenti affidati agli incaricati per lo svolgimento dei relativi compiti;
c) previsione di procedure per la conservazione di determinati atti in archivi ad accesso selezionato e disciplina delle modalità di accesso finalizzata all'identificazione degli incaricati.
Modalità tecniche
L’Allegato B al Codice chiarisce cosa si intende per autenticazione, credenziali, cifratura, etc. e definisce le modalità tecniche con cui vanno adottate le misure minime indicate e prevede, tra di esse, l’adozione del DPS.
Di seguito si indicano, in modo sintetico, le modalità tecniche più importanti individuate dall’Allegato B:
A) Trattamento con strumenti elettronici
a) autenticazione informatica:
gli incaricati devono essere dotati di credenziali di autenticazione che consentano il superamento di una procedura di autenticazione relativa a uno specifico trattamento o ad un insieme di trattamenti;
le credenziali di autenticazione consistono in un codice per l’identificazione associato ad una parola chiave riservata o in un dispositivo in possesso esclusivo dell’incaricato o in una caratteristica biometria dell’incaricato;
la parola chiave deve essere composta da almeno otto caratteri oppure, nel caso in cui lo strumento elettronico non lo permetta, da un numero di caratteri pari al massimo consentito; essa non contiene riferimenti agevolmente riconducibili all'incaricato ed è modificata da quest'ultimo al primo utilizzo e, successivamente, almeno ogni tre mesi in caso di trattamento di dati sensibili;
gli incaricati non devono lasciare incustodito e accessibile lo strumento elettronico durante una sessione di trattamento;
b) sistema di autorizzazione:
serve a limitare l'accesso ai soli dati necessari per effettuare le operazioni di trattamento;
anteriormente all'inizio del trattamento sono individuati e configurati i profili di autorizzazione per ciascun incaricato;
quando per gli incaricati sono individuati profili di autorizzazione di ambito diverso è utilizzato un sistema di autorizzazione;
periodicamente, e comunque almeno annualmente, è verificata la sussistenza delle condizioni per la conservazione dei profili di autorizzazione;
c) altre misure:
aggiornamento almeno annuale dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati;
attivazione di idonei strumenti elettronici, da aggiornare con cadenza almeno semestrale, contro il rischio di intrusione e dell'azione di programmi diretti a danneggiare o interrompere un sistema informatico;
aggiornamento almeno semestrale, in caso di trattamento di dati sensibili, dei programmi per elaboratore volti a prevenire la vulnerabilità di strumenti elettronici e a correggerne difetti;
salvataggio dei dati con frequenza almeno settimanale;
d) Documento Programmatico sulla Sicurezza:
entro il 31 marzo di ogni anno, il titolare di un trattamento di dati sensibili redige un documento programmatico sulla sicurezza contenente informazioni riguardo:
1. l'elenco dei trattamenti di dati personali;
2. la distribuzione dei compiti e delle responsabilità nell'ambito delle strutture preposte al trattamento dei dati;
3. l'analisi dei rischi che incombono sui dati;
4. le misure da adottare per garantire l'integrità e la disponibilità dei dati, nonché la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità;
5. la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento;
6. la previsione di interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare;
7. la descrizione dei criteri da adottare per garantire l'adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformità al codice, all'esterno della struttura del titolare;
8. per i dati personali idonei a rivelare lo stato di salute e la vita sessuale, l'individuazione dei criteri da adottare per la cifratura o per la separazione di tali dati dagli altri dati personali dell'interessato;
e) ulteriori misure per il trattamento di dati sensibili:
i dati sensibili sono protetti contro l'accesso abusivo mediante l'utilizzo di idonei strumenti elettronici;
sono impartite istruzioni organizzative e tecniche per la custodia e l'uso dei supporti rimovibili su cui sono memorizzati i dati al fine di evitare accessi non autorizzati e trattamenti non consentiti;
i supporti rimovibili contenenti dati sensibili se non utilizzati sono distrutti o resi inutilizzabili, ovvero possono essere riutilizzati da altri incaricati, non autorizzati al trattamento degli stessi dati, se le informazioni precedentemente in essi contenute non sono intelligibili e tecnicamente in alcun modo ricostruibili;
sono adottate idonee misure per garantire il ripristino dell'accesso ai dati in caso di danneggiamento degli stessi o degli strumenti elettronici, in tempi certi compatibili con i diritti degli interessati e non superiori a sette giorni;
gli esercenti le professioni sanitarie effettuano il trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale contenuti in elenchi, registri o banche di dati tenuti con l'ausilio di strumenti elettronici, con tecniche di cifratura o mediante l'utilizzazione di codici identificativi o di altre soluzioni che, considerato il numero e la natura dei dati trattati, li rendono temporaneamente inintelligibili anche a chi è autorizzato ad accedervi e permettono di identificare gli interessati solo in caso di necessità, anche al fine di consentire il trattamento disgiunto dei medesimi dati dagli altri dati personali che permettono di identificare direttamente gli interessati;
il trasferimento dei dati in formato elettronico è cifrato;
f) misure di tutela e garanzia:
il titolare che adotta misure minime di sicurezza avvalendosi di soggetti esterni alla propria struttura, per provvedere alla esecuzione riceve dall'installatore una descrizione scritta dell'intervento effettuato che ne attesta la conformità alle disposizioni del disciplinare tecnico allegato al Codice;
il titolare riferisce, nella relazione accompagnatoria del bilancio d'esercizio, se dovuta, dell'avvenuta redazione o aggiornamento del documento programmatico sulla sicurezza.
B) Trattamento senza strumenti elettronici
Agli incaricati sono impartite istruzioni scritte finalizzate al controllo ed alla custodia, per l'intero ciclo necessario allo svolgimento delle operazioni di trattamento, degli atti e dei documenti contenenti dati personali;
nell'ambito dell'aggiornamento periodico con cadenza almeno annuale dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati, la lista degli incaricati può essere redatta anche per classi omogenee di incarico e dei relativi profili di autorizzazione;
quando gli atti e i documenti contenenti dati personali sensibili sono affidati agli incaricati del trattamento per lo svolgimento dei relativi compiti, i medesimi atti e documenti sono controllati e custoditi dagli incaricati fino alla restituzione in maniera che ad essi non accedano persone prive di autorizzazione, e sono restituiti al termine delle operazioni affidate;
l'accesso agli archivi contenenti dati sensibili è controllato: le persone ammesse, a qualunque titolo, dopo l'orario di chiusura, sono identificate e registrate; quando gli archivi non sono dotati di strumenti elettronici per il controllo degli accessi o di incaricati della vigilanza, le persone che vi accedono sono preventivamente autorizzate.
Conclusioni
Molti Ottici e Optometristi sono probabilmente già dotati di alcune delle suddette misure di sicurezza.
Si pensi ad esempio, con particolare riferimento ai trattamenti con ausilio di strumenti elettronici, alla installazione di programmi idonei a impedire l’accesso informatico esterno, come i programmi antivirus, o a garantire la riservatezza, come l’adozione di codici e password all’accensione del computer.
Tuttavia, per il legislatore, queste misure, seppur necessarie, non sono sufficienti a garantire la sicurezza dei dati personali soprattutto in caso di trattamento di dati sensibili.
Occorre, infatti, che codici e password siano attive anche ed indipendentemente per l’accesso diretto alla banca dati dei clienti ed è necessaria, inoltre, la separazione dei dati personali da quelli sensibili, ad es. mediante l’utilizzo di archivi diversi su cui registrare i due tipi di dati da richiamare magari tramite apposito link di collegamento.
In merito alla redazione del DPS è consigliabile seguire il modello predisposto sul sito del Garante della Privacy: www.garanteprivacy.it, dove è possibile scaricare la normativa di riferimento e leggere le apposite istruzioni per la redazione del documento, che, si rammenta, andrà aggiornato al 31 marzo di ogni anno.
Si consiglia, inoltre, di far apporre sullo stesso un timbro con “data certa”, recandosi presso qualunque sportello delle Poste, e ciò al fine di dimostrare il rispetto del termine predetto.
Riguardo agli archivi cartacei occorre impedire l’accesso ad estranei, perciò è consigliabile conservarli in armadi chiusi a chiave.
Per ulteriori chiarimenti è possibile contattarmi al seguente indirizzo e-mail: gennypico@hotmail.com
(riproduzione riservata)
Vai a Privacy e diritto di accesso alla documentazione bancaria