Skip Navigation Links
Skip Navigation Links
Skip Navigation Links
Aggiornamenti
Recentissime
Newsletter
Servizio Clienti
Dove trovarci
lunedì 06 settembre 2010
SCADE IL ... 31 luglio 2010
Aggiornamento software antivirus e patch: misure a tutela della privacy
di Luca Christian Natali
Il presente contributo-schema si occupa dell'aggiornamento dei software antivirus e delle "patch" dei programmi per computer, quali strumenti specificativi del generale obbligo di sicurezza posto dal Codice Privacy, con la precisazione che il mancato adempimento impedisce al titolare il corretto trattamento dei dati.

[NDR: Si precisa che le dichiarazioni e opinioni espresse dall’autore nel presente scadenzario hanno natura personale e quindi non vincolante per gli enti di appartenenza del medesimo. ]

LE FONTI:

Gli adempimenti in questione sono posti dal disciplinare tecnico dell’allegato B al Codice Privacy, d. lgs. n. 196/2003, per i trattamenti con strumenti elettronici, quali modalità tecnica da adottare a cura del titolare, del responsabile ove designato e dell'incaricato, assieme ad altre, fra cui il sistema di autenticazione informatica.

Precisamente, essi sono previsti dai nn. 16 e 17 dell’allegato in questione: n. I6)

"I dati personali sono protetti contro il rischio di intrusione e dell'azione di programmi di cui all'art. 615-quinquies del codice penale, mediante l'attivazione di idonei strumenti elettronici da aggiornare con cadenza almeno semestrale.” n.17) “Gli aggiornamenti periodici dei programmi per elaboratore volti a prevenire la vulnerabilità di strumenti elettronici e a correggerne difetti sono effettuati almeno annualmente. In caso di trattamento di dati sensibili o giudiziari l'aggiornamento è almeno semestrale”

Essi rientrano nelle misure “minime” di sicurezza, attualmente disciplinate, in via generale, dal Codice Privacy (d. lgs. n. 196/2003), precisamente dagli artt. 33 ss. e dall’allegato B:

“Nel quadro dei più generali obblighi di sicurezza di cui all'articolo 31 […] i titolari del trattamento sono comunque tenuti ad adottare le misure minime individuate nel presente capo […] volte ad assicurare un livello minimo di protezione dei dati personali.”

Le misure minime specificano, grazie al contenuto spesso prescrittivo, il detto generale obbligo di sicurezza, e assumono, per diretta volontà legislativa, il ruolo di

“ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita […] di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.”

Va evidenziato che, proprio in quanto misure “minime”, il mancato o inadeguato aggiornamento impedisce al titolare un corretto trattamento dei dati.

Al riguardo, occorre peraltro evidenziare che l’art. 34 comma 1-bis ha attribuito al Garante Privacy il potere, sentito il Ministro per la semplificazione normativa, di individuare, con proprio provvedimento, da aggiornare periodicamente

“…..modalità semplificate di applicazione del disciplinare tecnico di cui all'Allegato B) in ordine all'adozione delle misure minime ”

Norma successivamente attuata mediante il provvedimento generale del 27 novembre 2008 per la “Semplificazione delle misure di sicurezza contenute nel disciplinare tecnico di cui all'Allegato B) al Codice in materia di protezione dei dati personali” (pubblicato nella G.U. n. 287 del 9 dicembre 2008).

COSA:

Occorre aggiornare i software antivirus, per tutti i tipi di dati.

Occorre aggiornare le "patch" dei programmi per computer, nel caso di trattamento di dati sensibili.

SOGGETTI TENUTI

I soggetti tenuti ai due adempimenti in questione sono: A) Il titolare del trattamento; B)il responsabile ove designato; C)l’incaricato.

Ma sempre che si tratti di trattamento con strumenti elettronici, poiché sono adempimenti tecnici strettamente collegati a operazioni di trattamento elettronico dei dati.

Ne consegue che, invece, non sono soggetti a tale adempimento i titolari che trattano dati personali senza strumenti elettronici, a prescindere dalla natura anche sensibile .

QUANDO (TERMINE DI SCADENZA)

Luglio 2010 (come per ogni anno, con cadenza semestrale).

È scadenza che non comporta adempimenti esterni (come comunicazioni o notificazioni al Garante Privacy), ma comunque da osservare, anzitutto ai fini della tutela dei dati personali in rilievo e anche, in ottica di tutela aziendale, perché un’eventuale ispezione effettuata dall’Autorità possa avere – sullo specifico e delicato punto - esito negativo, senza incorrere dunque in sanzioni amministrative e anche penali, qual è l’art. 169 del Codice Privacy, sull’inosservanza delle misure di sicurezza, secondo cui:

“Chiunque, essendovi tenuto, omette di adottare le misure minime previste dall’articolo 33 è punito con l’arresto sino a due anni.”

COME:

L’aggiornamento in questione può essere fatto direttamente dall’imprenditore medesimo – titolare del trattamento se dotato di adeguate capacità tecnico-operative, o, altrimenti, mediante esperto informatico, dipendente aziendale, o anche esterno alla impresa che deve provvedere.

Si precisa che

il titolare, nella relazione accompagnatoria del bilancio d'esercizio, deve indicare tutte le eventuali variazioni che si siano nel frattempo verificate in azienda se hanno coinvolto o possono coinvolgere il trattamento dei dati: ad es. l’acquisto di un nuovo pc, o di un nuovo sistema antivirus: v., in questo senso, punto n. 26, allegato B) .

Al riguardo, va segnalato che l’allegato B, quando passa a trattare le “misure di tutela e garanzia”, stabilisce che:

il titolare (del trattamento), che adotta misure minime di sicurezza (come quelle in oggetto) avvalendosi di soggetti esterni alla propria struttura, per provvedere alla esecuzione riceve (rectius: deve ricevere) dall'installatore una descrizione scritta dell'intervento effettuato che ne attesta la conformità alle disposizioni del presente disciplinare tecnico

SITI DI RIFERIMENTO:

www.garanteprivacy.it (sito istituzionale del Garante della Privacy)

Copyright Wolters Kluwer Italia - P.I. 10209790152