Privacy: una check-list
di Edo Berti (Studio Impresa srl)
Marzo 2008
Ci stiamo avvicinando al 31 marzo, data che viene abitualmente presa come riferimento per
programmare il periodico controllo sulla corretta applicazione delle procedure interne relative
alla gestione della sicurezza dei dati, conformemente a quanto previsto dalla normativa della
privacy (D.Lgs. 196/03).
La data del 31 marzo corrisponde con la data limite per l'aggiornamento del documento programmatico
della sicurezza, come evidenziato dal punto 19 dell'"Allegato B. Disciplinare tecnico in materia
di minure minime di sicurezza":
«Entro il 31 marzo di ogni anno, il titolare di un trattamento di dati sensibili o di dati
giudiziari redige anche attraverso il responsabile, se designato, un documento programmatico sulla
sicurezza contenente idonee informazioni riguardo».
Come ormai noto, tutte le aziende, private o pubbliche, si devono adeguare alla normativa vigente;
devono quindi gestire dati "personali" (clienti, fornitori, dipendenti, ecc.) all'interno di un
sistema informatico e organizzativo che ne protegga la riservatezza e la sicurezza; questo sistema
deve essere documentato e verificabile in caso di controlli degli organi preposti (come ad esempio,
la Guardia di Finanza).
In questo contesto, ci proponiamo di mettervi a disposizione un efficace strumento di supporto, in
grado di darvi un'indicazione sul livello di adeguamento della vostra impresa riguardo al testo unico
sulle privacy, in vigore ormai dal primo gennaio 2004 (in sostituzione della precedente Legge 675/96).
Con questo obiettivo, forniamo una
lista di controllo
utilizzabile da chi, in azienda,
segue gli adempimenti relativi alla normativa sulla privacy.
E' ovvio che per poter utilizzare efficacemente la lista di seguito riportata è necessario
il prerequisito di conoscenza di base della normativa privacy e quindi del significato della
terminologia relativa ("trattamento dati", "dati sensibili", "autenticazione informatica", ecc.).
Per dare spunti semplici e facilmente perseguibili, sono state volutamente evitate argomentazioni
relative realtà particolarmente complesse, come le obbligazioni riguardanti "organismi sanitari"
che sono naturalmente e giustamente maggiormente articolate. Non è stato inoltre preso in
considerazione il caso di trasferimento dati all'estero e l'eventualità di sedi estere o società
estere con sedi in Italia.
In ogni caso, per maggiori informazioni sull'argomento, si può fare riferimento al nostro documento
dal titolo
Auditing interno sulla privacy: siamo in regola?.
Si sottolinea che anche solo una risposta negativa merita in seguito un approfondimento, in
particolare se la regola viene definita come obbligatoria (vedi seconda colonna della lista di
controllo, dove F = facoltativo e O = obbligatorio).
Apri la
lista di controllo.
Nota: il contenuto del documento deve essere interpretato in relazione al periodo
in cui è stato redatto.
|
