Privacy Stampa
Giovedì 13 Settembre 2007 10:07
There are no translations available.

15.1.2006

La legge Num. 675 del 31/12/1996 (legge sulla privacy) riguarda la tutela delle persone rispetto al "trattamento" dei dati personali, ovvero la circolazione dei dati riservati.La legge sulla privacy si applica indifferentemente al trattamento di dati con mezzi informatici che al trattamento di dati effettuato con altri mezzi, ad esempio cartacei. Riguarda, dunque, i dati in rete così come i dati contenuti negli archivi o nei registri cartacei.

Questa legge è stata integrata e modificata da molte altre disposizioni normative, cosicché è stato predisposto un testo unico sulla privacy: il decreto legislativo 30 giugno 2003 Num. 196 avente per oggetto Il Codice in materia di protezione dei dati personali.

Tale decreto ha sostituito l'attuale legge sulla privacy 675 e il regolamento Dpr 318/99, ed è stato convertito tenendo conto di alcune modifiche apportate dalla legge 26/2/2004 n. 45 .

Riportiamo alcune delle principali definizioni:

  • Dato anonimo: il dato che in origine, o a seguito di trattamento, non può essere associato a un interessato identificato o identificabile.
  • Dato personale: "qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati od identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione ivi compreso un numero di identificazione personale".
  • Dati sensibili: i dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale.
  • Trattamento: "Qualunque operazione o complesso di operazioni concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione dei dati".
  • Titolare del trattamento dei dati: è l'istituto scolastico e la titolarità è esercitata dal dirigente scolastico.
  • Responsabile del trattamento dei dati: è designato dal titolare e deve garantire il rispetto delle norme in materia di trattamento dati e di sicurezza, i suoi compiti devono essere elencati per iscritto. La nomina del responsabile è facoltativa e non esonera da responsabilità il titolare.
  • Responsabile del sistema informativo: è il referente istituito dal dlgs 39/93 cui compete la pianificazione degli interventi di automazione, l'adozione delle cautele e delle misure di sicurezza.
  • Incaricato: il soggetto, nominato dal titolare o dal responsabile, che tratta i dati personali.
  • Interessato: il soggetto al quale si riferiscono i dati personali.

Le segreterie delle istituzioni scolastiche si troveranno, a breve termine (vedi cm114/2002), ad avere delle reti locali di personal computer che ospiteranno dati soggetti a privacy. Tali reti saranno connesse ad Internet per consentire lo scambio di posta elettronica ed in genere per accedere ai servizi che il MIUR ed eventualmente gli Enti Locali renderanno disponibili. Questa nuova situazione configura la necessità di ampliare le misure di sicurezza da adottare nel trattamento dei dati sensibili per via informatica.

L'allegato B del Dlg N. 196 indica le modalità tecniche da adottare a cura del titolare, del responsabile, ove designato, e dell'incarivato, in caso di trattamento con strumenti elettronici. Nello specifico il decreto prende in esame le misure per l'accesso ai dati sensibili e stabilisce che debba essere predisposto e aggiornato, con cadenza annuale, un documento programmatico per la sicurezza per illustrare i seguenti aspetti:

  • elenco dei trattamenti di dati personali;
  • distribuzione compiti e responsabilità;
  • analisi dei rischi;
  • misure da adottare per garantire l'integrità;
  • modalità per l'eventuale ripristino dei dati;
  • elaborazione di un piano di formazione per gli incaricati del trattamento.

La mancata adozione delle misure minime di sicurezza configura il reato di omessa adozione di misure necessarie alla sicurezza dei dati, introdotto dall'articolo 169 della legge Dlg N. 196.

La norma ha come potenziali destinatari non solo il titolare del trattamento, ma anche il responsabile, nel caso in cui fosse anche responsabile per la sicurezza.

Ricordiamo inoltre che l'adozione delle misure minime di sicurezza consente di evitare la responsabilità penale relativa all'omessa adozione.

Cosa devono fare i Dirigenti scolastici:

  • nominare uno o più responsabili;
  • nominare gli incaricati;
  • fare il censimento dei trattamenti nell'organizzazione per potere effettuare le notificazioni;
  • emanare un regolamento sul trattamento, la comunicazione e la diffusione dei dati;
  • predisporre l'informativa;
  • adottare un piano per aumentare le misure di sicurezza e predisporre il documento programmatico per la sicurezza.

Responsabili

In generale il titolare del trattamento, ovvero il dirigente scolastico, ha l'opzione di nominare uno o più responsabili, ad esempio:

  • uno o più responsabili del sistema informativo che si occupano della funzionalità della rete, compresi i dispositivi di sicurezza (firewall e filtri). Ove disponibile nominare il docente che ha seguito la formazione C2 del progetto FORTIC;
  • uno o più responsabili del trattamento dei dati riservati con compiti di monitoraggio del rispetto delle vigenti disposizioni in materia di trattamento dei dati (procedure, password, copie di salvataggio, ecc.). Consigliamo di nominare il DSGA.

Va sottolineato, comunque, che il responsabile del sistema informativo e della sicurezza informatica non può essere considerato responsabile del trattamento dei dati personali in assenza di un atto formale di nomina in cui siano per iscritto elencati i suoi nuovi compiti.

Il garante della privacy, http://www.garanteprivacy.it, ha pubblicato una guida operativa per redigere il documento programmatico sulla sicurezza.

Scadenze

  • È stato differito al 31 marzo 2006 il termine per adottare le nuove misure minime di sicurezza non previste dalla disciplina precedente al Codice. Simmetricamente, è differito al 30 giugno 2006 un termine di legge connesso.
    Di questo differimenti possono beneficiare soggetti pubblici e privati (v. art. 180 del Codice);

^top

Ultimo aggiornamento Venerdì 05 Ottobre 2007 08:37