» Home
» Hardware & Software
» Web Agency
» Privacy » Sicurezza
» Software Gestionali

   Web Mail

- Controlla la Tua Posta -

» Profilo
» Contatti
» Informative

Obbligo Caselle Posta Certificata
tutti  i termini e gli obblighi...
La Tua P.E.C. con SoluzioniWeb.EU
...

Glossario Privacy

Trattamento: qualunque operazione o complesso di operazioni, effettuati anche senza l’ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l’organizzazione, la conservazione, la consultazione, l’elaborazione, la modificazione, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione dati, anche se non registrati in una banca di dati (art. 4 comma 1 lettera a)

Dato personale: qualunque informazione relativa a persona fisica, persona giuridica, ente o associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale (art. 4 comma 1 lettera b)

Dato anonimo: il dato che in origine, o a seguito di trattamento, non può essere associato in alcun modo ad un interessato identificato o identificabile

Dati identificativi: i dati personali che permettono l’identificazione diretta dell’interessato (art. 4 comma 1 lettera c)

Dati sensibili: i dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale (art. 4 comma 1 lettera d). Alcuni esempi: i dati riferiti ai giorni di malattia dei dipendenti, la dichiarazione del versamento dell’8x1000 nella dichiarazione dei redditi, i certificati medici.

Dati giudiziari: i dati personali idonei a rivelare provvedimenti di cui all'articolo 3, comma 1, lettere da a) a o) e da r) a u), del d.P.R. 14 novembre 2002, n. 313, in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualità di imputato o di indagato ai sensi degli articoli 60 e 61 del codice di procedura penale (art. 4 comma 1 lettera e)

Titolare del trattamento: la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità ed alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza”. Per un’azienda è quindi, secondo l’Art. 28, “l’entità nel suo complesso o l’unità od organismo periferico che esercita un potere decisionale del tutto autonomo sulle finalità e sulle modalità del trattamento, ivi compreso il profilo della sicurezza”, ovvero la ditta stessa. Al titolare spetta quindi la direzione delle attività di trattamento dei dati personali e le decisioni strategiche di fondo su come (modalità) e perché (finalità) raccogliere e trattare i dati, nonché sull’organizzazione del trattamento e sulle risorse (strumenti) da dedicarvi, anche per garantire la sicurezza. Nel caso di strutture articolate in una struttura centrale e in una o più unità od organismi periferici dipendenti, il titolare è comunque l’azienda nel suo complesso. Se però l’unità o l’organismo periferico esercitano un potere decisionale del tutto autonomo, sulle finalità e sulle modalità del trattamento, ivi compreso il profilo della sicurezza, il titolare diviene l’unità o l’organismo periferico stesso, per quanto riguarda i dati da esso trattati. 

Responsabile: la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali (rif. art. 4 comma 1 lettera g e art. 29). I confini generali di tale ruolo vengono delineati dal combinato disposto degli articoli 4 e 29 del codice, ai sensi dei quali si può definire responsabile: “il soggetto preposto dal titolare al trattamento dei dati personali, che deve essere individuato tra i soggetti che per esperienza, capacità ed affidabilità forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza”. Tale soggetto deve quindi possedere una competenza insieme tecnica e legale, in materia di privacy ed organizzativa. 
In generale, una società impostata con criteri funzionali, nominerà il direttore del personale come responsabile dei dati personali relativi ai dipendenti; quello amministrativo per il trattamento dei dati di clienti e fornitori vi saranno poi figure di responsabili, cui viene attribuito l’incarico con riguardo ad una intera area di problematiche, quale ad esempio quella della sicurezza nel trattamento dei dati personali. Ogni tipologia di responsabile dovrà rispondere al Titolare del trattamento o al “Responsabile Generale Privacy” di quanto è di sua pertinenza. Pur tenendo presente che, in materia, viene lasciata ampia facoltà decisionale ai soggetti che trattano i dati personali, è opportuno soffermarsi su taluni compiti di responsabilità, cui la norma dedica particolari attenzioni.
Il nuovo codice ha altresì eliminato la figura dell’Amministratore del Sistema Informatico, un ruolo definito dal precedente Dpr 318/1999 come “il soggetto cui è conferito il compito di sovrintendere alle risorse del sistema operativo di un elaboratore o di un sistema di base dati e di consentirne l’utilizzazione”. Sotto il profilo formale, il Dpr 318/1999 tendeva a considerare questa figura come un incaricato (il soggetto cui è conferito il compito), non come un responsabile del trattamento. In realtà, dato il novero delle problematiche che si devono affrontare nel campo dell’informatica, pur non essendo citato nel nuovo ordinamento, è opportuno che tale ruolo venga di fatto assunto dal responsabile delle misure di sicurezza. Molte organizzazioni, con particolare riferimento a quelle di più limitate dimensioni, possono trovare conveniente ricorrere a specialisti esterni, invece che a personale interno. 
Il Responsabile per il diritto di accesso di cui l’articolo 7 del codice prevede che l’interessato, i cui dati personali vengono trattati o presume possano venire trattati da un determinato soggetto, ha il diritto di conoscere quali siano i suoi dati trattati, nonché di fare valere alcune pretese, nei confronti del titolare del trattamento. E’ quindi buona norma che, ad uno o più dei responsabili, venga attribuito il compito di strutturare l’organizzazione in modo tale, da essere in grado di rispondere prontamente alle richieste di accesso dei soggetti interessati

Incaricati: il Codice li definisce come le persone fisiche autorizzate a compiere operazioni di trattamento dal titolare o dal responsabile (rif art. 4 comma1 lettera h e art. 30), specificando all’Art.30 che “le operazioni di trattamento possono essere effettuate solo da incaricati che operano sotto la diretta autorità del titolare o del responsabile, attenendosi alle istruzioni impartite”. Il Garante, dando fin dall’inizio un’interpretazione restrittiva, prevede che l’incaricato debba essere sempre ed esclusivamente una persona fisica, e mai una struttura organizzativa complessa.
Verranno quindi considerati Incaricati, tutte le persone fisiche che fanno parte dell’organizzazione riferita all’attività del Titolare del Trattamento, sia che essi siano dipendenti, consulenti, agenti o in qualsiasi altra forma subordinata.
Il Preposto alla custodia delle parole chiave, che consentono l’accesso agli elaboratori elettronici, è una figura di incaricato, originariamente introdotta dal vecchio Regolamento sulle misure minime di sicurezza (Dpr 28 luglio 1999 n. 318). Il suo compito è quello di custodire una copia delle parole chiave (passwords), che gli incaricati elaborano per accedere agli strumenti elettronici.
La nuova normativa, prevede l’obbligo della presenza di questo ruolo solo nei casi identificati dal Disciplinare Tecnico – Allegato B - punto 10, che cita: “quando l’accesso ai dati e agli strumenti elettronici è consentito esclusivamente mediante uso della componente riservata della credenziale per l’autenticazione, sono impartite idonee e preventive disposizioni scritte, volte a individuare chiaramente le modalità con le quali il titolare può assicurare la disponibilità di dati o strumenti elettronici, in caso di prolungata assenza o impedimento dell’incaricato, che renda indispensabile e indifferibile intervenire, per esclusive necessità di operatività e di sicurezza del sistema”. Ha quindi senso la nomina di questa figura solamente se l’esecuzione di interventi indifferibili di manutenzione al sistema informatico, venga subordinata alla conoscenza della password di uno o più incaricati (esempio: l’accensione di un computer è subordinata alla richiesta della password del Bios). In tutti i casi in cui l’amministratore del sistema, attraverso la propria credenziale di autenticazione (utente e password), ha la possibilità di eseguire tutte le attività di manutenzione al sistema informatico, senza restrizioni e impedimenti, fa decadere la necessità di conoscere la password dei singoli incaricati e di conseguenza anche la figura del preposto alla custodia delle password. 
L’incaricato alla manutenzione del sistema era definito dal Dpr 318/1999, che disciplinava in precedenza le misure minime di sicurezza, come la persona che viene incaricata per iscritto di compiere determinate operazioni, dall’amministratore del sistema, e che opera sotto la sua autorità. Con il nuovo codice è nominalmente sparito, ma di fatto è più presente che mai, in organizzazioni sempre più informatizzate. E’ infatti uno degli incarichi più delicati poiché, nell’espletamento delle loro mansioni, questi incaricati possono avere in genere accesso ai database, in cui è contenuta la maggiore parte dei dati di natura personale trattati dall’organizzazione. 
Il custode dell’archivio ad accesso controllato viene definito al punto 28 del disciplinare tecnico (Allegato B) sulle misure minime di sicurezza, analogamente a quanto stabiliva il precedente Dpr 318/1999, impone di archiviare i documenti contenenti dati sensibili, o a carattere giudiziario, in archivi ad accesso controllato, con le seguenti caratteristiche:
tali archivi devono essere costituiti da luoghi, o da mobili, chiudibili a chiave;
i soggetti che vengono ammessi agli archivi, dopo l’orario di chiusura degli stessi, devono essere identificati e registrati.
E’ quindi necessario nominare uno o più incaricati alla custodia di tali archivi, che controllino l’accesso agli stessi e tengano il registro dei soggetti che vi accedono dopo l’orario di chiusura.

Interessato: la persona fisica, la persona giuridica,l’ente o l’associazione cui si riferiscono i dati personali (rif art. 4 comma 1 lettera i)

Credenziale di autenticazione: nel caso di utilizzo di sistemi informatici per il trattamento di dati personali, consiste in un codice per l’identificazione dell’incaricato associato a una parola chiave riservata conosciuta solamente dal medesimo (utente + password) oppure in un dispositivo di autenticazione in possesso e uso esclusivo dell’incaricato, eventualmente associato a un codice identificativo o a una parola chiave, oppure in una caratteristica biometrica dell’incaricato, eventualmente associata a un codice identificativo o a una parola chiave. La parola chiave (password), quando è prevista dal sistema di autenticazione, è composta da almeno otto caratteri oppure, nel caso in cui lo strumento elettronico non lo permetta, da un numero di caratteri pari al massimo consentito; essa non contiene riferimenti agevolmente riconducibili all’incaricato ed è modificata da quest’ultimo al primo utilizzo e, successivamente, almeno ogni sei mesi. In caso di trattamento di dati sensibili e di dati giudiziari la parola chiave è modificata almeno ogni tre mesi. Il codice per l’identificazione, laddove utilizzato, non può essere assegnato ad altri incaricati, neppure in tempi diversi. Le credenziali di autenticazione non utilizzate da almeno sei mesi sono disattivate, salvo quelle preventivamente autorizzate per soli scopi di gestione tecnica. Le credenziali sono disattivate anche in caso di perdita della qualità che consente all’incaricato l’accesso ai dati personali.

Sistema di autorizzazione: quando per gli incaricati sono individuati profili di autorizzazione di ambito diverso è utilizzato un sistema di autorizzazione. I profili di autorizzazione, per ciascun incaricato o per classi omogenee di incaricati, sono individuati e configurati anteriormente all’inizio del trattamento, in modo da limitare l’accesso ai soli dati necessari per effettuare le operazioni di trattamento. Periodicamente, e comunque almeno annualmente, è verificata la sussistenza delle condizioni per la conservazione dei profili di autorizzazione.

Strumenti elettronici: sono gli elaboratori, i programmi per elaboratori (ad esempio il software gestionale) e qualunque dispositivo elettronico o comunque automatizzato con cui si effettua il trattamento (rif. art. 4 comma 3 lettera b). La definizione che il Codice attribuisce agli strumenti elettronici è molto chiara e va tenuta ben presente quando si va ad applicare le disposizioni del “Disciplinare Tecnico in materia di Misure Minime di Sicurezza“ (ALLEGATO B). E’ quindi di fondamentale importanza, eseguire una scrupolosa analisi del proprio sistema informatico, assieme al proprio responsabile (o consulente esterno), per stabilire quali strumenti eseguono effettivamente i trattamenti di dati personali. Un’azienda che utilizza un software gestionale per la tenuta della propria contabilità generale, l’emissione di DDT e quant’altro, dovrà verificare che all’accesso della procedura, venga richiesto un codice utente e relativa password, oppure che tale credenziale di autenticazione venga “ereditata” dal sistema operativo che quindi dovrà richiederla obbligatoriamente subito dopo l’accensione. E’ bene ricordare che il Codice prevede inoltre, dove esistano ruoli diversi negli incaricati, l’attivazione di un adeguato sistema di autorizzazione, ovvero la possibilità di discriminare per ogni utente o per categorie omogenee di utenti “chi fa che cosa”. E’ questa la definizione dei permessi di accesso rivolti agli utenti, che dovranno essere ritrovati e configurati negli strumenti elettronici che eseguono il trattamento dei dati. In base a quest’ultima definizione potremmo identificare nei sistemi operativi il caso in cui si voglia discriminare chi può prendere visione dei files (esempio lettere di word o files di Excel) a carattere amministrativo, rispetto ai files di carattere commerciale, oppure nel software gestionale, la regolamentazione differenziata dei permessi di accesso degli utenti alla procedura di contabilità, rispetto a quella di emissione dei Documenti di Trasporto o di gestione dei carichi /scarichi di magazzino.

Banca di Dati: qualsiasi complesso organizzato di dati personali, ripartito in una o più unità dislocate in uno o più siti. Possono essere considerate Banche Dati, gli archivi del software gestionale, l’archivio di Outlook per la gestione della posta elettronica, la directory contenente tutte le lettere in formato Word inviate ai clienti, l’archivio in formato elettronico dei fax ricevuti attraverso un modem-fax e l’apposito software, etc…

 

© 2005 Fabrizio Colombo -  TFSystem -