SICUREZZA INFORMATICA: SIETE IN REGOLA ?
LA SICUREZZA CAMBIA PAGINA
Con l'entrata in vigore del "Testo Unico della Privacy" tutte le aziende sono obbligate a garantire la sicurezza dei loro dati. Dlgs 196/03 "Codice in materia di protezione dei dati personali".
CHI DEVE ADEGUARSI
Devono adeguarsi tutti coloro che trattano dati personali : aziende, professionisti, cooperative, associazioni, P.A., scuole, comuni, ospedali, enti pubblici, ecc (ovvero chiunque tratti dati personali dei clienti, cittadini, dipendenti, fornitori, utenti, pazienti, colleghi, soci, associati ecc.).
Ovviamente gli adempimenti sono diversi a seconda delle dimensioni della struttura e della tipologia di trattamento dei dati .
LE MISURE "MINIME" DA ADOTTARE (artt. 31 e 34)
Ogni IT Manager deve adottare misure preventive in modo da garantire la salvaguardia dei dati personali non solo durante le normali attività, ma anche da fenomeni accidentali (black-out, incidenti non dipendenti dalla volontà o dalla negligenza delle persone) e dal rischio di violazione della rete aziendale.
In particolare la Legge prevede (art. 34) la possibilità del trattamento dei dati personali con strumenti elettronici solamente adottando le seguenti misure minime :
- autenticazione informatica
- adozione di procedure di gestione delle credenziali di autentificazione
-
utilizzo di un sistema di autorizzazione
- aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati ed addetti alla gestione o alla manutenzione degli strumenti elettronici
- protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici
- adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi
- tenuta di un aggiornato documento programmatico sulla sicurezza
- adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rilevare lo stato di salute o la vita sessuale effettuati da organismi sanitari
- protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici
ILLECITI, SANZIONI E RISARCIMENTO DEL DANNO - segue tabella riassuntiva
ILLECITI CIVILI
Art. 161 assenza informativa privacy
assenza informativa privacy per dati sensibili o giudiziari in caso di trattamenti che presentano rischi specifici o di maggior rilevanza del pregiudizio.
art. 163 omessa o incompleta notificazione al garante
art. 164 omissione di fornire informazioni o esibire documenti richiesti dal garante privacy
|
sanzione
sanzione da 3.000 a 18.000 €
sanzione da 5.000 a 30.000 € (moltiplicabile per 3 a seconda delle condizioni economiche del contravventore)
sanzione da 10.000 a 60.000 €
sanzione da 4.000 a 24.000 € |
|
|
ILLECITI PENALI
ART. 167 TRATTAMENTO ILLECITO DI DATI PERSONALI
ART. 168 FALSITA' NELLE DICHIARAZIONI E NOTIFICAZIONI AL GARANTE
ART. 169 OMESSA ADOZIONE DI MISURE NECESSARIE ALLA SICUREZZA DEI DATI
ART. 170 INNOSERVANZA DEI PROVVEDIMENTI DEL GARANTE
|
SANZIONI
RECLUSIONE DA 6 MESI A 3 ANNI. POSSIBILE ESTINGUERE IL REATO (EX ART 169) PAGANDO UNA SOMMA DI DENARO SE CI SI REGOLARIZZA ENTRO IL TERMINE PRESCRITTO (NON + DI 6 MESI)
SANZIONE PENALE, RECLUSIONE DA 6 MESI A 3 ANNI
ARRESTO FINO A 2 ANNI O SANZIONE AMMINISTRATIVA, PAGAMENTO DI UNA SOMMA DA 10.000 A 50.000 €
ARRESTO DA 3 MESI A 2 ANNI |
|
RISARCIMENTO DEL DANNO |
|
|
ART. 169 DEL “TESTO UNICO 36 DELLA LEGGE 675/96 PER OMESSA ADOZIONE DI MISURE NECESSARIE ALLA SICUREZZA DEI DATI
ART. 2050 C.C. RESPONSABILITA’ OGGETTIVA PER ESERCIZIO DI ATTIVITA’ PERICOLOSA |
LEGGE 547/1993 “CRIMINI INFORMATICI COMMESSI DAI DIPENDENTI ED ADDEBITATI ALLE AZIENDE
ART. 2049 C.C. RESPONSABILITA’ PREVISTA IN CAPO A PADRONI E COMMITTENTI |
CHI CONTROLLA
Il Garante ha il potere di fare ispezioni ma ha poche risorse ispettive così nell'ottobre 2002 ha stipulato una convenzione con la
Guardia di Finanza che lo affianca nei controlli per le verifiche sull'applicazione di questa legge. Ad essi si aggiunte
l'Autorità Giudiziaria che può disporre accertamenti. Inoltre, per le aziende di settori speciali valgono anche i controlli delle
autorità di vigilanza che devono controllare tutte le conformità.