Privacy: adempimenti da tenere in considerazione

Autorità e normativeSorveglianza

Alcuni aspetti pratici rispetto al ?Codice della Privacy? in merito a
password e al DPS

In seguito all’adozione della direttiva comunitaria 95/46/CE, nel 1995, i parlamenti nazionali dei diversi stati dell’Unione Europea hanno cominciato ad approvare leggi che ne recepivano le indicazioni. L’iter legislativo italiano è iniziato con la legge 675/96 e si è concluso con l’adozione del decreto legislativo 196 del 30 giugno 2003, quando l’intera materia è stata ricondotta a un testo unico:?Codice sulla Protezione dei dati personali ? che contiene in forma organica e coerente, tutte le norme in vigore relative alla tutela della privacy. La parte attuativa, dopo numerosi rinvii, è entrata in vigore lo scorso 31 marzo e la scadenza ha spinto tutti i soggetti interessati ad adeguarsi. Ma in molti casi l’operazione è stata frettolosa e approssimativa come dimostra il fatto che molti imprenditori e responsabili aziendali non sono ancora a conoscenza dei punti critici degli adempimenti da attuare. Per diradare la confusione abbiamo pensato di offrire ai nostri lettori una serie di articoli per conoscere meglio la normativa italiana, ma anche quella internazionale e le tendenze in atto rispetto a questo delicato contesto.

Secondo Massimo Farina, consulente e docente di Istituzioni di diritto privato presso la facoltà di Giurisprudenza dell’Università di Cagliari, tra le novità meno percepite, troviamo per esempio il sistema di gestione delle credenziali della password. Forse non tutti sanno che questo indispensabile elemento di tutela all’accesso delle informazioni deve essere costituita da almeno otto caratteri e non deve essere riconducibile all’individuo che la utilizza. Le password, inoltre devono essere modificate con una certa frequenza: ogni tre mesi per i dati sensibili o giudiziari e ogni sei mesi per i dati comuni identificativi di soggetti.

Se, invece spostiamo la nostra attenzione all’adozione di procedure di gestione delle credenziali, scopriamo che la disattivazione della password è una questione tuttaltro che secondaria. La password va disabilitata se non viene utilizzata per almeno sei mesi o a seguito della perdita della qualità, (quando permette un facile accesso alle informazioni). Deve anche essere garantita la disponibilità dei dati o degli strumenti elettronici in caso di prolungata assenza o impedimento dell’incaricato che ha le credenziali di autenticazione. Le procedure vanno previste in modo autonomo rispetto al tipo di dati e dal modo d’accesso previsto per lo strumento elettronico. ?Per quanto riguarda il sistema di autorizzazione – spiega Farina – occorre prevedere una verifica almeno annuale delle condizioni per l’autorizzazione, procedura, questa, che nella precedente disciplina era prevista solo per i dati sensibili o giudiziari oppure trattati con specifici dispositivi elettronici?.

Autore: ITespresso
Clicca per leggere la biografia dell'autore  Clicca per nascondere la biografia dell'autore