La gestione dei dati in formato elettronico

In riferimento ai trattamenti di dati effettuati in azienda mediante l’utilizzo di strumenti elettronici (Pc fissi o portatili, palmari, ecc.), si vuole evidenziare di seguito, in modo schematico, quali siano i principali obblighi previsti dal D. Lgs. 196/2003 (Legge Privacy).

E’ fondamentale ricordare che, parallelamente all’assolvimento degli adempimenti di natura informatica sotto elencati, è necessario stilare anche apposita documentazione amministrativa (informative, lettere d’incarico, istruzioni, regolamenti interni, ecc.), da rilasciarsi a tutti i dipendenti/collaboratori preposti alla gestione dei dati aziendali.

La continua evoluzione normativa esige inoltre che tale documentazione sia costantemente aggiornata ed oggetto di accurate revisioni, al fine di evitare le pesanti sanzioni previste dal legislatore e/o contenziosi interni.

Le procedure informatiche descritte mirano a proteggere le informazioni da accessi abusivi e/o fraudolenti alle informazioni stesse, posti in essere da dipendenti/collaboratori o terzi in genere, costituendo quindi anche un’enorme forma di tutela per l’azienda.

Codice utente (user name): per accedere allo strumento elettronico ogni incaricato deve anzitutto utilizzare un “codice utente” attribuitogli dall’azienda. Il codice utente può essere costituito da un numero, da delle lettere o dalla combinazione di tali elementi anche con altri simboli. Esso è pubblico ed identifica inequivocabilmente il singolo incaricato, il quale non può cambiare per nessun motivo il suo il codice utente, salvo autorizzazione scritta della società.

Parola chiave (password): l’anzidetto codice utente deve poi essere utilizzato in costante abbinamento con una parola chiave, la quale deve avere le seguenti caratteristiche tassative ed inderogabili:

  • deve essere costituita da almeno 8 caratteri alfanumerici;
  • deve essere segreta e personale e non può essere conosciuta da alcuno all’infuori dell’incaricato;
  • deve essere digitata in condizioni di massima riservatezza;
  • non deve contenere riferimenti facilmente riconducibili alla persona dell’incaricato (es. proprio nome e data di nascita);
  • non deve essere banale (es. mese ed anno in corso);
  • deve essere cambiata almeno ogni 3 mesi (per trattamenti di dati sensibili) od almeno ogni 6 mesi (per trattamenti di dati personali comuni);
  • deve essere completamente differente da quelle che l’hanno preceduta.

Al fine di proteggere i dati contenuti nei singoli Pc e più in generale nella rete aziendale, è fondamentale individuare, da parte di tutti gli incaricati, delle così dette password  "forti"  e tutelarle nel modo più opportuno.

In pratica, nella creazione della password, si dovrà necessariamente utilizzare una vasta gamma di lettere e numeri ed, eventualmente, anche simboli presenti sulla tastiera.

A titolo esemplificativo, si vedano i seguenti esempi:

Password conforme e forte:  W54!ZC&21F

Tale password risulta:

  • ridondante di caratteri (10),
  • composta da numeri, lettere e simboli,
  • non banale e senza riferimenti personali,
  • non contenuta in nessun vocabolario.

 

Password non valida o debole: Giovanni60

Tale password, seppur costituita  da almeno 8 caratteri, risulta:

  • banale ed intuibile,
  • contenente riferimenti quasi certamente riconducibili all’incaricato,
  • carente di simboli.

Dispositivi di autenticazione informatica (smart card e similari): ai sensi del punto 2, allegato B) D. Lgs. 196/2003 ed in alternativa all’utilizzo del codice utente e della parola chiave, l’azienda può consegnare agli incaricati degli appositi dispositivi che consentono l’accesso agli strumenti elettronici (ad esempio smart card, penne usb e similari).

Tali dispositivi sono da considerarsi strettamente personali e potranno essere utilizzati solo ed esclusivamente dall’incaricato che li ha legittimamente ricevuti.

Caratteristiche biometriche: ai sensi del punto 2, allegato B) D. Lgs. 196/2003 ed in alternativa all’utilizzo del codice utente e della parola chiave, l’azienda può anche introdurre riconoscitori di caratteristiche biometriche (ad esempio impronte digitali, timbro della voce, retina, ecc.), che consentono l’accesso agli strumenti elettronici da parte degli  incaricati, solo dopo l’identificazione.

Profilo di autorizzazione/ambito del trattamento: ogni incaricato, una volta che abbia avuto accesso allo strumento elettronico e quindi ai dati da trattare, per obbligo di legge deve tassativamente rispettare il proprio profilo di autorizzazione assegnatogli con idonea lettera d’incarico.

All’infuori di tale profilo, l’incaricato non può accedere e trattare alcun dato, se non appositamente e preventivamente autorizzato per iscritto dall’azienda.

Il profilo di autorizzazione deve essere verificato con cadenza almeno annuale, al fine di verificare che l’incaricato non tratti dati ridondanti rispetto alle sue reali necessità lavorative.

Screen saver con parola chiave e procedure di logout: sempre al fine di proteggere i dati, il legislatore prevede che sia obbligatorio impostare sui Pc un idoneo screen saver con richiesta di parola chiave alla ripresa della sessione di lavoro e con tempo di entrata in funzione non superiore a minuti 15. Il singolo incaricato deve in ogni caso avere cura di chiudere la propria sessione di lavoro con idoneo logout, ogni qual volta si dovesse assentare dalla stanza in cui è collocato lo strumento elettronico.

Aggiornamenti dei sistemi operativi e programmi utilizzati (patch e similari): al fine di prevenire malfunzionamenti e/o perdite di dati, l’azienda deve infine provvedere all’aggiornamento almeno semestrale dei sistemi operativi e programmi utilizzati sui Pc.

In conclusione e solo per completezza, si evidenzia che svariati altri obblighi di natura informatica (omessi in questa sede per motivi di spazio), sono oggigiorno previsti in capo alle aziende dal D. Lgs. 196/2003 (es. registrazione dei “logs” degli Amministratori di sistema).  

I nostri contatti

+39 0522-38.79.97 / +39 0522-38.28.11
+39 0522-38.79.96
Questo indirizzo email è protetto dagli spambots. E' necessario abilitare JavaScript per vederlo.
Via Piccard 16/G - 42124 Reggio Emilia