| Ogni persona che accede al pc per effettuare il
trattamento dei dati, lo può fare attraverso una username ed una
password personali ed incedibili e non facilmente associabili
all'incaricato. |
| La mia user è Mario, la mia password è Rossi, va
bene? |
No.
La password deve essere lunga almeno 8 caratteri, cambiata al primo
accesso (in modo che solo l'incaricato la conosca) e poi ogni sei
mesi (addirittura ogni tre mesi se i dati trattati sono sensibili).
Tutti i sistemi operativi windows server, ad esempio, prevedono
nella "gestione user" la possibilità di settare queste preferenze.
Bisogna predisporre un sistema per il quale l'utilizzo di quell'account
sia disponibile a terzi in caso di assenza dell'incaricato.
Windows lo prevede in modo automatico; si può anche affidare ad un
custode le copie delle credenziali in busta chiusa sigillata. |
| Tali procedure di sicurezza, espressamente richieste
dalle misure minime, vanno sistematizzate mediante l'adozione di un
Regolamento Aziendale di Sicurezza. |
| La password è solo per il sistema operativo o anche
per i software? |
Dipende.
La misure di sicurezza dicono genericamente che "Il trattamento di
dati personali con strumenti elettronici è consentito agli
incaricati dotati di credenziali di autenticazione che consentano il
superamento di una procedura di autenticazione relativa a uno
specifico trattamento o a un insieme di trattamenti".
Il problema principale è che il titolare è responsabile dei dati
degli interessati e l'imperizia di un incaricato può costare caro al
titolare, (anche se la colpa più grave sarebbe proprio del titolare
che non ha predisposto un'adeguata procedura per tutelarsi): deve
essere sempre possibile tracciare le azioni intraprese da ogni
singolo incaricato su ogni dato. Il problema è l'imputazione della
responsabilità. Chi rompe, paga. E bisogna capire chi è chi!
D'altro canto l'accesso ai programmi e/o dati deve essere
differenziato. |
Sistema di autorizzazione: I dati personali vanno trattati in modo differenziato. Cioè, non
tutti i dipendenti possono accedere ai tutti dati, ma ogni
dipendente accede esclusivamente a quella serie di dati che deve
trattare per svolgere le sue mansioni.
Va quindi implementata una procedura, periodicamente sottoposta a
revisione, che chiarisce chi accede a che cosa e per quali finalità.
Tali autorizzazioni normalmente tendono a riprodurre la struttura
aziendale organizzata per flussi e per processi. Naturalmente in una
piccola realtà aziendale si potranno organizzare i dati per aree
omogenee, con due dipendenti che accedono ai medesimi dati per
finalità commerciali ed un incaricato che si occupa di contabilità,
ad esempio; i primi incaricati avranno accesso al medesimo software che
tratta nominativi e numeri di telefono; mentre solamente il secondo incaricato
avrà accesso a quella banca dati necessaria per fare le
buste paga. |
| Ma siamo 3 lavoratori, la procedura è implicita! |
No.
La procedura sarà più semplice, ma deve sempre essere esplicita.
Anche perché una buona procedura serve sempre ad un'azienda, anche
se è piccolissima.
Vale la pena sottolineare che un'azienda può essere chiamata
a
rispondere delle sue azioni, in caso di supposta violazione del
Testo Unico.
Come ti difendi se non hai i documenti? |
| Vabbè, come sempre noi aziende dobbiamo sprecare tante carte e
subire tante regolamentazioni! |
| Lasciando da parte le tue valutazioni liberalistiche, il Testo Unico
ti permette di implementare una più ampia policy di trasparenza, che
i tuoi clienti, consumatori consapevoli, sapranno sicuramente
apprezzare. |
| Ma dobbiamo fare tante carte! |
| Questa legge va capita e realizzata in un'ottica di gestione
virtuosa dei processi aziendali! Il titolare deve vigilare sulle
procedure di sicurezza, nell'ambito del normale auditing delle
qualità aziendale. |
| Ma abbiamo solo due dipendenti, non facciamo il Total Quality
Management! |
| Ma credi veramente che la "qualità" non ti serva, solo perché sei
piccolo?! |
Vedi Indice Misure Minime di Sicurezza - Indice Articoli Privacy |
