misure minime di sicurezza

Casella di testo:

Casella di testo: Misure minime di sicurezza per la Privacy Il concetto di misure minime di sicurezza è definito dal Codice sulla protezione dei dati personali. Le misure di sicurezza sono costituite dal complesso delle misure organizzative, tecniche, informatiche, logistiche e procedurali volte a ridurre al minimo i rischi di distruzione o perdita, anche accidentale, dei dati, accesso non autorizzato; trattamento non consentito o non conforme alle finalità della raccolta, modifica dei dati in conseguenza di interventi non autorizzati o non conformi alla regole. Una importante misura minima di sicurezza prevista è l'obbligo di adozione annuale da parte dei titolari di un documento programmatico sulla sicurezza. Soggetti obbligati all'adozione delle misure Tutti i titolari di trattamento sono tenuti ad adottare misure minime individuate dal Codice e secondo le modalità previste nel Disciplinare tecnico allegato al Codice. Va sottolineato come l'articolo 31 del Codice non fa differenza tra violazione della riservatezza dei dati personali propriamente detta - quale si avrebbe ad esempio nel caso di accesso a dati sensibili da parte di terzi non autorizzati - e distruzione o perdita accidentale di dati già legittimamente raccolti e trattati. La mancata custodia dei dati è comunque causa di un danno, e il responsabile di questo danno è sanzionato. Infatti dal solo danno della distruzione o perdita dei dati derivano varie gravi conseguenze: ad esempio il blocco delle attività, costi gestionali imprevisti, danno di immagine. Inoltre poiché il privato deve poter fare affidamento sui dati che ha già comunicato, ne consegue che in caso di negligente custodia egli può richiedere il risarcimento del danno. Per questi motivi il soggetto che non adotta misure di sicurezza adeguate è sanzionato penalmente (se le misure non rispettano i parametri previsti dal regolamento sulle misure minime secondo le modalità previste dal Disciplinare Tecnico) e può essere chiamato a rispondere civilmente per il risarcimento del danno (se le misure non sono idonee). Ai sensi dell’art 31 del Codice, le misure di sicurezza adottate per il trattamento dei dati personali devono essere: adeguate in relazione alle conoscenze acquisite in base al progresso tecnico e tali da ridurre al minimo i rischi di distruzione dei dati o accesso non autorizzato; adottate in via preventiva e differenziate in base alla natura dei dati e alle specifiche caratteristiche del trattamento. Differenza tra misure minime e misure idonee In altre parole esistono due diversi livelli di responsabilità. Il titolare deve individuare preventivamente misure di sicurezza che devono almeno rispettare i parametri di sicurezza minimi individuati nel Codice (articoli 33, 34, 35 e 36); se le misure di sicurezza adottate non rispettano i parametri minimi contenuti nel regolamento, scatta la responsabilità penale. Ma l'individuazione di misure che rispettano i parametri previsti come minimi non è sufficiente a liberare da ogni responsabilità il soggetto che effettua il trattamento. Se le misure adottate non sono idonee ad evitare il danno, vi può essere comunque la responsabilità civile, anche se non ci sono gli estremi per la responsabilità penale prevista dalla legge. Conseguenze sanzionatorie Le conseguenze della mancata adozione di misure di sicurezza sono quindi le seguenti: la sanzione penale per omessa adozione delle misure minime è quella prevista dall'articolo 169 del Codice (arresto sino a due anni o ammenda da diecimila a cinquantamila euro); il risarcimento del danno - nel caso le misure adottate non siano idonee ad evitare il danno - è previsto dall'art. 15 legge del Codice che rimanda all’art. 2050 del Codice Civile (relativa allo svolgimento di attività pericolose); in questo tipo di responsabilità è prevista una presunzione speciale di colpa a carico del responsabile del danno (in questo caso chi effettua il trattamento): il responsabile ha l’onere della prova di aver adottato tutte quanto era possibile per evitare il danno, facendo riferimento ad adeguate prassi tecniche conosciute di sicurezza informatica, mentre il danneggiato deve solo dimostrare l'esistenza del danno. Fonte : wikipedia

NORME MINIME DI SICUREZZA