Policy sui dati sensibili
Da Wikipedia, l'enciclopedia libera.
Le policy sui dati sensibili sono documenti che orientano l'utente nell'elaborazione, nell'accumulazione e nella trasmissione di dati sensibili. Il Codice sulla protezione dei dati personali (d.lgs. 196/2003), art.4, disciplina e specifica quali dati siano da considerarsi sensibili. Esistono inoltre particolari politiche atte a favorire la sicurezza e la segretezza dei dati nelle procedure di trasmissione on line (Internet Security Policy). Il principale obiettivo è quello di garantire l'opportuna protezione e segretezza dell'informazione; inoltre, vengono definiti diversi livelli di sensibilità dell'informazione. Le security policy, infatti:
- definiscono chi può avere accesso all'informazione sensibile;
- definiscono il grado di sensibilità dell'informazione immagazzinata e/o trasmessa;
- definiscono in quali sistemi l'informazione sensibile deve essere collocata;
- decidono quali livelli dell'informazione sensibile possono essere stampati su stampanti difficilmente controllabili;
- definiscono il modo in cui il dato sensibile deve essere rimosso dai sistemi e dai dispositivi di immagazzinamento
Indice |
[modifica] Il principio di sicurezza
Qualsiasi soggetto che effettui trattamento di dati personali, deve adottare una serie di misure tecniche ed organizzative atte a garantire la sicurezza dei dati personali trattati, come stabilito dall'art. 15 L. 675/96: «I dati personali oggetto di trattamento devono essere custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta».
La legge all'art. 15, comma 2 prevede inoltre che vengano regolate le misure minime preventive di sicurezza da adottare per il trattamento corretto dei dati personali. Il criterio di idoneità e adeguatezza è relativo e varia in relazione allo stato della tecnica, alla natura dei dati trattati e alle specifiche caratteristiche del trattamento.
[modifica] Sanzioni
La mancata osservazione o l'omissione di misure atte a garantire la sicurezza dei dati costituisce trattamento illecito sanzionato sia dal punto di vista civile che da quello penale. Sotto il profilo civile il responsabile dell'omissione è tenuto al risarcimento dei danni causati dal trattamento, sia di quelli relativi al difetto di sicurezza nel sistema, che al difetto di sicurezza del sistema.
L'omessa adozione - da parte del titolare e del responsabile - di misure preventive di sicurezza, rientrando nel concetto di trattamento non corretto (ex art. 9 comma 1, lett. a), comporta oltre al risarcimento del danno patrimoniale anche di quello non patrimoniale.
Il titolare del trattamento, nel caso in cui l'omessa osservanza delle norme di sicurezza determini un danno, può sottrarsi alla relativa responsabilità civile solo dimostrando di avere adottato tutte le misure idonee ad evitare il danno.
