|
L'implementazione di un sistema
di sicurezza nel trattamento dei dati richiede che vengano definiti ruoli,
compiti e responsabilità per la gestione di tutte le fasi del trattamento, e
che vengano adottate specifiche procedure che vadano a completare e
rafforzare le misure tecniche utilizzate.
Il nuovo codice prevede l'aggiornamento periodico dell'individuazione
dell'ambito di trattamento consentito, sia ai singoli incaricati, sia agli
addetti alla gestione o manutenzione degli strumenti elettronici.
- il
titolare
del trattamento, nel caso di persona giuridica, è l'Azienda nel suo
complesso o comunque un soggetto che esercita un potere decisionale del tutto
autonomo sulle finalità e sulle modalità del trattamento, ivi compreso il
profilo della sicurezza.
- il responsabile del trattamento,
la cui nomina è facoltativa, viene nominato dal titolare del trattamento.
Possono essere uno o più persone fisiche e giuridiche, sia interni che esterni.
La nomina del responsabile non è un esonero di responsabilità del titolare e non
ne costituisce un'attenuazione, al massimo una corresponsabilità.
- l'incaricato è la persona fisica autorizzata dal titolare (o dal
responsabile) a compiere operazioni di trattamento. Può essere un dipendente o
un collaboratore e deve attenersi alle istruzioni impartite dal titolare (o dal
responsabile).
- l'amministratore di sistema è la persona fisica cui è conferito il
compito di sovrintendere alle risorse del sistema operativo di un elaboratore o
di un sistema di base dati e di consentirne l'utilizzo. Questa figura non è più
obbligatoria ma è opportuno che vi sia un soggetto preposto a svolgere questo
ruolo.
- l'incaricato della custodia delle parole chiave è la persona fisica
predisposta a custodire una copia delle parole chiave che gli incaricati
utilizzano per accedere agli strumenti elettronici.
- gli incaricati della manutenzione del sistema sono i soggetti, sia
interni che esterni, che possono avere accesso ai database, in cui è contenuta
la maggior parte dei dati di natura personale trattati da un'azienda. Nella
lettera di incarico a questi soggetti è opportuno porre l'accento sul dovere di
non effettuare alcun trattamento sui dati personali contenuti nell'elaboratore
e, nel caso in cui la manutenzione
venisse affidata ad una società esterna, è opportuno ricevere dalla
stessa i nominativi delle persone che provvederanno alla manutenzione, al fine
di redigere una lettera di incarico delle stesse.
- l'incaricato della custodia dell'archivio ad accesso controllato è la
persona (anche più di una) che controlla l'accesso agli archivi dove sono stati
custoditi (chiusi a chiave) i documenti contenenti dati sensibili o
giudiziari. L'accesso a tali archivi deve essere autorizzato e le persone
ammesse dopo l'orario di chiusura degli stessi devono
essere identificate e registrate dall'incaricato della custodia dell'archivio.
- il mansionario della privacy è la raccolta di tutte le delibere e le
lettere di nomina e di incarico. Il Codice della privacy impone di aggiornare
almeno con cadenza annuale l'individuazione dell'ambito del trattamento
consentito ai singoli incaricati, o alle unità organizzative, rilevando quali
siano gli strumenti, sia elettronici che non, utilizzati per il trattamento.
Inoltre, per i trattamenti effettuati con strumenti elettronici, il Codice
prevede di aggiornare periodicamente anche l'individuazione dell'ambito del
trattamento consentito agli addetti alla gestione o alla manutenzione di tali
strumenti.
|
