Policy sui dati sensibili
Una policy sui dati sensibili è un certo tipo di documenti che hanno lo scopo di orientare l'utente nell'elaborazione, nell'accumulazione e nella trasmissione di dati sensibili.
Il Codice in materia di protezione dei dati personali (d.lgs. 196/2003), art. 4, disciplina e specifica quali dati siano da considerare sensibili. Esistono inoltre particolari politiche atte a favorire la sicurezza e la segretezza dei dati nelle procedure di trasmissione on line (Internet Security Policy).
Il codice, nella fattispecie, definisce come trattamento di dati personali «qualunque operazione o complesso di operazioni, effettuati anche senza l'ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati» (art. 4, lett. a, del Codice della Privacy - D.Lgs 196/2003).
Sensibilità dell'informazione
[modifica | modifica wikitesto]Il principale obiettivo diventa dunque quello di garantire l'opportuna protezione e segretezza dell'informazione, a tale scopo, vengono definiti diversi livelli di sensibilità dell'informazione.
Le security policy, infatti, definiscono:
- chi può avere accesso all'informazione sensibile
- il grado di sensibilità dell'informazione immagazzinata e/o trasmessa
- in quali sistemi l'informazione sensibile deve essere collocata
- quali livelli dell'informazione sensibile possono essere stampati su stampanti difficilmente controllabili
- il modo in cui il dato sensibile deve essere rimosso dai sistemi e dai dispositivi di immagazzinamento
Il principio di sicurezza
[modifica | modifica wikitesto]Qualsiasi soggetto che effettui trattamento di dati personali, deve adottare una serie di misure tecniche ed organizzative atte a garantire la sicurezza dei dati personali trattati, come stabilito dall'art. 31 D.Lgs. 196/2003: «I dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta».
Criterio di idoneità e adeguatezza
[modifica | modifica wikitesto]Il Codice prevede inoltre che vengano regolate le misure minime preventive di sicurezza da adottare per il trattamento corretto dei dati personali. Questo criterio è relativo e varia in relazione allo stato della tecnica, alla natura dei dati trattati e alle specifiche caratteristiche del trattamento.
Sanzioni
[modifica | modifica wikitesto]La mancata osservazione o l'omissione di misure atte a garantire la sicurezza dei dati costituisce trattamento illecito sanzionato sia dal punto di vista civile che da quello penale. Sotto il profilo civile il responsabile dell'omissione è tenuto al risarcimento dei danni causati dal trattamento, sia di quelli relativi al difetto di sicurezza nel sistema, che al difetto di sicurezza del sistema.
L'omessa adozione - da parte del titolare e del responsabile - di misure preventive di sicurezza, rientrando nel concetto di trattamento non corretto, comporta oltre al risarcimento del danno patrimoniale anche di quello non patrimoniale. Il titolare del trattamento, nel caso in cui l'omessa osservanza delle norme di sicurezza determini un danno, può sottrarsi alla relativa responsabilità civile solo dimostrando di avere adottato tutte le misure idonee a evitare il danno.
Voci correlate
[modifica | modifica wikitesto]- Codice in materia di protezione dei dati personali
- Internet Security Policy
- Trattamento dei dati personali
Collegamenti esterni
[modifica | modifica wikitesto]- blogs.sdf.unige.it, https://web.archive.org/web/20100305093226/http://blogs.sdf.unige.it/wordpressMU121/s2821492/ . URL consultato il 5 luglio 2007 (archiviato dall'url originale il 5 marzo 2010).