Archiviazione ignifuga
LEGGE SULLA PRIVACY -
D.L. 196
La legge tutela i “dati personali”, cioè i dati che
permettono l’identificazione diretta dell’interessato
come per es. nome, cognome, codice fiscale, busta
paga, fotografia, la voce, impronte digitali, ma
soprattutto i “dati sensibili”, cioè dati personali idonei
a rivelare l’origine razziale ed etnica, le convinzioni
religiose, filosofiche o di altro genere, le opinioni
politiche, l’adesione a partiti, sindacati, associazioni
od organizzazioni a carattere religioso, filosofico,
politico o sindacale, nonché dati personali idonei
a rivelare lo stato di salute e la vita sessuale, dati,
questi ultimi due, che devono addirittura essere
conservati separati da altri dati personali trattati
per finalità che non richiedono il loro utilizzo, come
previsto dall’articolo 22, comma 7. Infine i “dati
giudiziari”, cioè dati personali idonei a rivelare
provvedimenti in materia di casellario giudiziale, di
anagrafe delle sanzioni amministrative dipendenti
da reato e dei relativi carichi pendenti o la qualità di
imputato o di indagato.
A chi si rivolge
Qualsiasi persona fisica o giuridica che tratta dati
personali, sensibili e/o giuridici di terzi, come per
esempio, dati dei clienti, fornitori e dipendenti. Da
queste prime considerazioni si capisce bene che
praticamente tutti devono adeguarsi alla normativa
e adottare le cosiddette “misure minime di sicurezza”
per la protezione dei dati.
Ma cosa sono queste misure?
L’articolo 4, comma 3, lettera “a”, definisce “misure
minime” il complesso delle misure tecniche,
informatiche, organizzative, logistiche e procedurali
di sicurezza che configurano il livello minimo
Perché è obbligatoria l’adozione di un prodotto ignifugo per la protezione dei dati.
di protezione richiesto in relazione ai rischi previsti
nell’articolo 31.
Ma, soprattutto, da quali rischi devono
essere protetti i dati accolti?
Il titolo V, Capo I, art. 31 stabilisce che i dati personali
oggetto di trattamento sono custoditi e controllati,
anche in relazione alle conoscenze acquisite in
base al progresso tecnico, alla natura dei dati e alle
specifiche caratteristiche del trattamento, in modo
da ridurre al minimo, mediante l’adozione di
idonee e
preventive
misure di sicurezza, i rischi di distruzione
o perdita,
anche accidentale (fuoco, acqua o
smagnetizzazione)
, dei dati stessi, di accesso non
autorizzato o di trattamento non consentito o non
conforme alle finalità della raccolta.
Come si vede, tutti devono dotarsi di sistemi in grado
di proteggere i dati anche da eventi accidentali:
quindi anche da un possibile
incendio, allagamento,
smagnetizzazione
, oltre che dalla possibilità di
accesso a persone non autorizzate o dal furto.
Attenzione perché...
L’art. 34, comma 1, lettera f, stabilisce, infatti, che il
trattamento dei dati personali effettuato con strumenti
elettronici è consentito solo se sono adottate
procedure per la custodia di copie di sicurezza e per il
ripristino della disponibilità dei dati e dei sistemi entro
un termine massimo di 7 giorni.
L’art. 35 stabilisce, invece, che il trattamento dei
dati cartacei è possibile solamente se si prevede
l’adozione di procedure idonee per la custodia di atti
e documenti affidati agli incaricati per lo svolgimento
dei loro compiti (lett. b) e l’adozione di procedure
per la conservazione di atti in archivi ad accesso
selezionato e disciplina le modalità di accesso
finalizzate all’identificazione degli incaricati.
Controlli e sanzioni
Con questo nuovo Decreto legislativo, a differenza
della precedente legge 675/96, il Garante può
disporre accessi a banche dati,archivi o altre ispezioni
e verifiche nei luoghi ove si svolge il trattamento o
nei quali occorre effettuare rilevazioni comunque utili
al controllo del rispetto della disciplina in materia di
trattamento dei dati personali (art. 158, comma 1).
Tali controlli, sono eseguiti da personale dell’Ufficio,
ma il Garante si avvale, ove necessario, della
collaborazione di altri organi dello Stato (comma 2).
Questa è una grande novità introdotta dal Decreto
Legislativo. Ci possono essere dei controlli per
verificare se la legge sulla privacy viene applicata o
meno.
Questo comprende anche la verifica dell’adozione
delle misure minime di sicurezza. Quindi, tra l’altro,
anche della presenza o meno di casseforti, schedari
o archiviatori ignifughi atti a custodire i dati al riparo
da qualsiasi evento.
Art. 169 - Omessa adozione di misure
necessarie alla sicurezza dei dati.
Arresto fino a 2 anni o sanzione
amministrativa con pagamento di una
somma da 10.000 a 50.000 euro
44
