|
TECNOPASS
S.O.S. COMPUTER A ROMA
____________________
____________________
|
new !
www.serataromantica.net
il nostro e-commerce
|
Backup e privacy : i consigli
dell'avvocato
Anche il Garante si occupa di backup! La normativa in
materia di privacy prevede infatti obbligatoriamente
l'adozione di misure di sicurezza per prevenire i rischi
di distruzione o perdita dei dati personali oggetto di
trattamento. Trova di seguito una sintesi di quanto
richiesto dall'Autorità Garante e alcune raccomandazioni
per fare un backup "a norma".
*****************
I riferimenti giuridici
In materia di privacy il Decreto Legislativo n.
196/2003 (Codice in materia di protezione dei dati
personali) prevede espressamente che il titolare del
trattamento (o il responsabile eventualmente nominato)
provvedano ad adottare tutte le misure di sicurezza di cui
all'Allegato B del predetto codice. Secondo il legislatore
i dati personali oggetto di trattamento sono custoditi e
controllati, anche in relazione alle conoscenze acquisite
in base al progresso tecnico, alla natura dei dati e alle
specifiche caratteristiche del trattamento, in modo da
ridurre al minimo, mediante l'adozione di idonee e
preventive misure di sicurezza, i rischi di distruzione o
perdita. Oltre al generico obbligo quindi di adottare un
sistema di backup, in caso di detenzione di dati sensibili
la regola si fa più stringente dovendo il titolare del
trattamento adottare idonee misure per garantire il
ripristino dell'accesso ai dati in caso di danneggiamento
degli stessi o degli strumenti elettronici, in tempi certi
compatibili con i diritti degli interessati e non
superiori a sette giorni.
Tecnopass il tuo antivirus a Roma
*****************
Il consiglio dell'avvocato
Se da una parte, in relazione ai dati contabili e
amministrativi, non sussiste un obbligo di definire la
periodicità del backup (purché si garantisca il ripristino
dei dati), dall'altra, sul fronte dati sensibili e
giudiziari, il legislatore richiede espressamente dei
termini brevi di ripristino non superiori ai sette giorni
solari. Per far ciò occorre ovviamente organizzare
temporalmente non solo la parte tecnica del backup ma le
modalità di riavvio del trattamento. E' molto importante
quindi verificare a priori le tipologie di dati che
costituiscono oggetto della normativa: dovremmo infatti
considerare che per taluni dati il backup non è
obbligatorio ma rimesso alla discrezionalità del titolare
(vedasi dati di produzione), per altri invece occorre
adottare una soluzione che sia compatibile con l'obbligo
di legge (dati clienti, fornitori, dipendenti, utenti).
Ricordiamoci infine che le modalità di backup devono
essere riportate nel documento programmatico di sicurezza
in caso di obbligo di redazione e che anche il recente
provvedimento in materia di amministratore di sistema è
coinvolto nell'obbligo di backup: dovendo conservare i log
minimo sei mesi, il titolare dovrà adottare un sistema di
ripristino dati qualora la macchina principale sia
danneggiata.
Tecnopass il tuo antivirus a Roma
Maggio
2010 -
Avira Antivir e privacy: i consigli dell'avvocato
La normativa in materia di privacy
prevede obbligatoriamente l’adozione di un sistema per
prevenire i rischi derivanti da malware.
Per
facilitarLa, Le propongo una sintesi di quanto richiede
l’Autorità Garante e una traccia di quanto potrà esserLe
utile integrare nel regolamento informatico interno.
*****************
I riferimenti giuridici
L’allegato B del Codice privacy (Decreto Legislativo n.
196/2003) prevede espressamente l’obbligo di adozione di
sistemi anti-intrusione (punto 16) al fine di evitare
accessi non consentiti ai dati di cui è titolare la
struttura che li tratta.
Tale obbligo normativo è
particolarmente rilevante in considerazione anche delle
conseguenze che potrebbero derivare da un accesso non
consentito o da un danneggiamento dei dati consequenziale
ad un erroneo o doloso accesso da parte di soggetti non
incaricati al trattamento.
Il legislatore peraltro
obbliga ad effettuare aggiornamenti periodici dei
programmi per elaboratore volti a prevenire la
vulnerabilità di strumenti elettronici e a correggerne
difetti; tali aggiornamenti devono essere effettuati
almeno annualmente. In caso di trattamento di dati
sensibili o giudiziari l'aggiornamento deve essere almeno
semestrale.
Quindi se il programma è installato su
server/pc che ospitano dati sensibili (vedasi dati dei
dipendenti in materia di certificati medici, ritenuta
sindacale) piuttosto che dati giudiziari (cedolini paga
soggetti a pignoramento, decreti ingiuntivi promossi
contro clienti insolventi) occorrerà provvedere ad
aggiornare il programma semestralmente.
*****************
Il consiglio dell'avvocato
Si
riporta di seguito una specifica osservazione su eventuali
controlli pratici che possano essere avanzati dagli organi
competenti.
L’obbligo di adozione di misure
anti-intrusione è fondamentale al fine di dimostrare di
aver adeguatamente risposto agli obblighi normativi
vigenti in materia di misure minime di sicurezza, come
indicato dal legislatore.
Difatti, l’omissione delle
misure di sicurezza comporta responsabilità anche di tipo
penale.
Di conseguenza, le misure atte a prevenire
tutta una serie di "danni"ai dati trattati, dovranno
essere adeguatamente dimostrate, sia nel caso di
intervento delle Autorità Controllanti (vedasi
perquisizione o controllo da parte della Guardia di
Finanza mediante operatori presso la struttura) sia nel
caso di richiesta di conferma di adozione che può avvenire
da parte dell’Autorità Garante. Pertanto, occorrerà avere
la soluzione di sicurezza effettivamente sussistente o la
relativa documentazione di acquisto (nel caso di richiesta
scritta da parte dell’Autorità di asseverare l’adempimento
inerente le misure di sicurezza), al fine di dimostrare di
aver ottemperato nei termini di legge (quindi a decorrere
dal primo gennaio 2004 oppure dalla data di avvio del
trattamento effettuato con l’ausilio del pc/server).
Marzo 2010 - Accessi internet e mail personale del
dipendente.
Il 23 febbraio scorso la Corte di Cassazione ha stabilito
che il datore di lavoro non può controllare con
apparecchiature elettroniche gli accessi a internet ed
alla posta elettronica dei dipendenti, e non solo, qualche
accesso al web per motivi
personali non è giusta causa
di licenziamento.
E’ ovvio che questa sentenza non va
letta come un divieto assoluto di presenza di programmi di
controllo o monitoraggio, ma, data la facilità per
quest’ultimi di trasformarsi in mezzi di controllo a
distanza, ancora una volta è chiaro come sia
indispensabile adottare un regolamento informatico e mai
dimenticare tutta la documentazione necessaria dal punto
di vista degli obblighi privacy.
Per saperne di più
http://www.consulentelegaleinformatico.it/sentenzedett.asp?id=45
http://www.consulentelegaleinformatico.it/approfondimentidett.asp?id=221
Febbraio 2010 - Misure di sicurezza
e controllo Guardia di Finanza
Ieri ho assistito ad un intervento della guardia di
finanza su un cliente in materia di privacy: a parte
richiedere tutta la documentazione, sul fronte sicurezza
si sono concentrati particolarmente sulla gestione del
back-up ed hanno provato a chiedere ad alcuni operatori la
loro password, per vedere se era a norma di legge.
Evidentemente gli aspetti in materia di antivirus ed
anti-intrusione non sono particolarmente sentiti. Eppure
le maggiori vulnerabilità dal punto di vista informatico
dovrebbero derivare da questi aspetti… hanno chiesto però
nell’occasione la mappatura dei programmi detenuti… della
serie: ogni occasione è buona!
Avv. Valentina
Frediani
CONTATTACI
|
