ADEMPIMENTI PRIVACY
Da ANMVI OGGI del 27/03/06:
Il Consiglio dei Ministri ha fissato al 31 marzo 2006 la data entro la quale adottare le disposizioni sulla privacy ovvero conformare al nuovo Codice sulla Privacy le misure di sicurezza per il trattamento dei dati personali con mezzi cartacei e informatici (ad esempio nel caso dei dati informatici è necessario proteggerli con password di accesso, antivirus, backup dei dati, strumenti anti-intrusione ecc.).
Tra le misure indicate entro il 31 marzo figura anche la redazione del DPS, il Documento programmatico di sicurezza che, è bene ribadire, è di pertinenza dei soli veterinari che trattano "dati sensibili" con mezzi elettronici (eventualità, questa, che si verifica poco frequentemente).
Giova ricordare che per "dato sensibile", s'intende un dato idoneo a rivelare "l'origine razziale o etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale" dei clienti proprietari o delle persone giuridiche (aziende, allevamenti con personalità giuridica ecc.).
Cosa deve fare dunque il veterinario che non tratta dati sensibili, o che li tratta solo con mezzi diversi da quelli elettronici?
PER I TRATTAMENTI CON DATI INFORMATICI DEVE:
a) prevedere una parola chiave per l’accesso ai dati, che dovrà essere strutturata come previsto dal Codice sulla Privacy ("La parola chiave, quando è prevista dal sistema di autenticazione, è composta da almeno 8 caratteri oppure, nel caso in cui lo strumento elettronico non lo permetta, da un numero di caratteri pari al massimo consentito; essa non contiene riferimenti agevolmente riconducibili all'incaricato ed è modificata da quest'ultimo al primo utilizzo e, successivamente, almeno ogni sei mesi";
b) Individuare l’ambito dei trattamenti a cui sono autorizzati gli incaricati, e disporre affinché gli stessi non abbiano accesso a dati che non sono autorizzati a trattare;
c) Prevedere il salvataggio dei dati con cadenza almeno settimanale, e predisporre un sistema al ripristino dei dati eventualmente danneggiati o distrutti;
d) installare dei programmi e prendere delle misure adatte ad evitare accessi indebiti ai dati personali;
e) aggiornare costantemente tali programmi, nonché il sistema operativo e gli applicativi adibiti al trattamento dei dati, al fine di evitare “buchi” nella protezione.
PER I TRATTAMENTI CON MEZZI CARTACEI DEVE:
a) disporre che gli incaricati abbiano accesso ai soli dati personali la cui conoscenza sia strettamente necessaria per adempiere ai compiti loro assegnati;
b) Conservare gli atti e i documenti contenenti i dati in archivi ad accesso selezionato e, in caso di affidamento dei dati agli incaricati del trattamento, disporre che siano da questi ultimi conservati e restituiti al termine delle operazioni affidate.
Da “Professione Veterinaria” 44/2005 pag. 6:
Tra gli obblighi in capo ad ogni titolare di trattamento di dati personali, il legislatore ha previsto anche l’adozione di:
- misure minime di sicurezza: sono predefinite (es. autenticazione informatica, protezione strumenti elettronici, adozione di procedure x la custodia di copie di sicurezza) e la loro non adozione prevede sanzioni di tipo penale; si tratta di misure che vanno prese da chiunque tratti dati personali. L’unica eccezione è quella relativa al Documento Programmatico della Sicurezza dei dati personali, che deve essere redatto solo da coloro che trattino dati sensibili o giudiziari con mezzi elettronici. Pertanto se un vet. non tratta dati personali o sensibili, le misure minime che sarà obbligato a soddisfare in ragione dei trattamenti eseguiti al computer saranno:
· autenticazione informatica: cioè accesso ai dati solo tramite un UserId e una password (avente le caratteristiche indicate nell’all. B del codice sulla privacy)
· adozione di procedure di gestione delle credenziali di autenticazione, che consistono in regole idonee x es. ad assegnare, conservare ed annullare le password in regime di adeguata segretezza (sempre nei modi previsti dall’all. B)
· utilizzazione di un sistema di autorizzazione qualora vi siano incaricati che abbiano accesso a categorie diverse di dati (in questo caso le password dovranno essere organizzate in modo che ogni incaricato possa accedere solo ai dati che è autorizzato a trattare); anche in questo caso il riferimento è l’all. B
· aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici (sempre secondo le modalità dell’all. B)
· protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici e quindi installazione di un programma antivirus, di un programma firewall e di un programma antispy che devono essere periodicamente aggiornati, nonché l’adozione di tutte le misure di sicurezza (e es. e a discrezione dei titolare del trattamento: serrature, antifurti, sorveglianza durante gli orari di apertura, ecc.) volti ad impedire l’accesso fisico ai computer o la trafugazione dei dati (anche in questo caso vedasi l’all. B)
· adozione di procedure x la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi, e quindi predisposizione di una procedura di backup con conseguente adozione delle stesse misure di sicurezza anche nei confronti dei supporti contenti le copie dei dati), onde evitare la perdita o la distruzione irreparabile dei dati (ved. all. B)
- misure idonee di sicurezza: non sono determinate a priori, ma devono essere definite a discrezione e sotto la responsabilità del titolare e, se nominato, del responsabile del trattamento, e la loro mancata adozione comporta una responsabilità di tipo civile; si tratta di quelle misure adeguate alla realtà ove i dati sono trattati e prese utilizzando le migliori tecnologie del momento, in modo da minimizzare i rischi di distruzione o perdita anche accidentale dei dati, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.