Il 1° Gennaio 2004 è entrato in vigore il nuovo codice privacy e di conseguenza anche il quadro delle misure minime di sicurezza che devono essere adottate nel trattamento dei dati personali, che è profondamente cambiato rispetto a quello previsto dalla vecchia legge 675/96 e dal Dpr 318/99, ora non più validi. 
Le nuove misure sono molto più stringenti di quelle previste dalla vecchia normativa, in particolare nei confronti dei profili di autorizzazione, dei sistemi di autenticazione, delle procedure di ripristino dell'accesso ai dati in caso di danneggiamento degli stessi e delle regole organizzative e della formazione degli Incaricati.

Con le nuove norme, il DPS diventa un obbligo per tutte le organizzazioni, pubbliche e private, che trattano dati sensibili con l'uso di strumenti elettronici, anche se questi ultimi non sono collegati a una rete pubblica. Il che significa che è sufficiente che dei dati sensibili risiedano su un singolo PC, anche se questo non è collegato ad alcuna rete, perché il DPS diventi obbligatorio.

IL DOCUMENTO PROGRAMMATICO SULLA SICUREZZA

Come sottolineato, l'obbligo di redigere il Documento Programmatico sulla Sicurezza viene esteso a tutti in casi in cui si trattino dati sensibili o giudiziari con l'utilizzo di strumenti elettronici, anche nell'ipotesi in cui tali strumenti non siano in rete. È quindi sufficiente che tali dati siano trattati anche con un singolo elaboratore, perché si debba procedere alla redazione del documento.
Viene inoltre fissato una scadenza per la redazione e l'aggiornamento, che devono essere effettuati entro il 31 marzo di ogni anno.

Il punto 19 del Disciplinare tecnico prescrive che il DPS debba contenere idonee informazioni riguardo:

• l'elenco dei trattamenti di dati personali;
• la distribuzione dei compiti e delle responsabilità nell'ambito delle strutture preposte al trattamento dei dati;
• l'analisi dei rischi che incombono sui dati;
• le misure da adottare per garantire l'integrità e la disponibilità dei dati, nonché la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità;
• la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento;
• la previsione di interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare.
  La formazione è programmata già al momento dell'ingresso in servizio, nonché in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati personali;
• la descrizione dei criteri da adottare per garantire l'adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformità al codice, all'esterno della struttura del titolare;
• per i dati personali idonei a rivelare lo stato di salute e la vita sessuale, l'individuazione dei criteri da adottare per la cifratura o per la separazione di tali dati dagli altri dati personali dell'interessato.

Oltre ad essere un obbligo di legge, il DPS ha anche una importante funzione interna di guida alla adozione ed al miglioramento delle misure di sicurezza: è quindi opportuno concepirlo come un vero e proprio piano per la sicurezza, estendendo il suo contenuto a tutti gli aspetti legati a tale problematica, che vanno anche oltre gli elementi obbligatori prescritti dal disciplinare tecnico.

Il DPS costituisce inoltre il punto di partenza per definire interventi e strategie per la sicurezza dei dati, perché permette di verificare il livello della sicurezza informatica e quindi di identificare subito le aree maggiormente a rischio. La specificità delle strutture nei diversi soggetti fanno sì che il DPS non sia un documento uguale per tutti, ma il frutto di una valutazione specifica da parte delle singole aziende, congiuntamente ai propri consulenti.

Certo la stesura del Documento Programmatico sulla Sicurezza è un'attività che richiede esperienza e competenze specifiche, senza le quali si corre il rischio di ridurre l'operazione ad un'inutile attività burocratica. Data Security, grazie alla competenza dei suoi consulenti e a una esperienza consolidata in decine di DPS in aziende e enti pubblici, può garantire il supporto in tutte le fasi di redazione, aggiornamento e certificazione del Documento Programmatico sulla Sicurezza.

E se, come spesso accade, nella fase di verifica viene riscontrata la necessità di provvedimenti urgenti, Data Security è attrezzata a fornire soluzioni chiavi in mano in grado di assicurare a pieno il rispetto dei requisiti di legge e gli standard internazionali per la sicurezza informatica.

L'ORGANIZZAZIONE DELLA PRIVACY

La prima e più urgente misura di sicurezza è quindi quella di carattere organizzativo. Il processo della sicurezza richiede infatti che, prima ancora di pensare all'adozione delle misure concrete, vengano definite una serie di compiti e procedure che regolino gli aspetti organizzativi del trattamento dei dati personali effettuato dall'Azienda.

È quindi necessario procedere preventivamente alla definizione di ruoli, compiti e responsabilità per la gestione di tutte le fasi del trattamento dei dati personali, con particolare riferimento alla necessità di garantire la loro sicurezza e alla adozione di specifiche procedure, che vadano a completare e rafforzare le contromisure tecnologiche adottate.

I consulenti Data Security possono affiancare i responsabili dell'organizzazione per la privacy all'interno dell'azienda per tutte le procedura di nomina, di approntamento di regolamenti, per la redazione di convenzioni per la comunicazione dei dati ad altre aziende private e ad enti pubblici e per stabilire le più adeguate policy di sicurezza.

LA FORMAZIONE

Il nuovo Codice sulla Privacy sancisce ancora una volta l'obbligatorietà di interventi formativi per gli incaricati del trattamento dei dati personali, già prevista dalla legge 675/96, dal D.P.R. 318/99 e dalle altre disposizioni in materia di privacy.

La legge prescrive di effettuare corsi per:

• informare gli incaricati del trattamento sui rischi che possono compromettere la sicurezza e la privacy dei dati;
• descrivere le misure di sicurezza disponibili per prevenire eventi dannosi;
• rendere edotti gli incaricati dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività;
• approfondire le responsabilità che ne derivano e le modalità per aggiornarsi sulle misure minime adottate dal titolare.

Questa formazione dovrebbe essere programmata già al momento dell'ingresso in servizio, nonché in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti rilevanti rispetto al trattamento di dati personali.

A questo scopo Data Security ha messo a punto e collaudato in diverse realtà, pubbliche e private, un Corso per gli Incaricati del Trattamento dei dati personali che illustra le responsabilità legate alle proprie funzioni, i rischi che minacciano i dati, le misure di sicurezza necessarie e i provvedimenti che tutte le aziende devono adottare.

Gli interventi formativi, sempre personalizzati per essere realmente coerenti con le prassi specifiche adottate in azienda, aiutano le diverse figure a conoscere meglio i rischi tipici nella gestione di dati personali e sensibili e le misure da adottare per ridurre i rischi e per ottenere un ragionevole livello di sicurezza e di privacy.

Oltre che per gli incaricati, infatti, la formazione sui temi della sicurezza e della privacy è utile anche per i Responsabili del trattamento dei dati, per i Dirigenti e gli Amministratori dell'azienda.
Per queste figure sono a disposizione sessioni formative personalizzate che si focalizzano maggiormente sulle responsabilità specifiche dei ruoli dirigenziali.