Trattamento con strumenti elettronici

In base alla legge, rientrano nella categoria degli strumenti elettronici, gli elaboratori, i programmi per elaboratori e qualunque dispositivo elettronico o comunque automatizzato con cui si effettua il trattamento.

L'accesso agli strumenti elettronici deve essere consentito solo a chi è autorizzato. Ciò deve avvenire tramite :
- l'impostazione di un sistema di autenticazione informatica, ovvero un metodo per il riconoscimento dell'incaricato;
- l'adozione di procedure di gestione delle credenziali di autenticazione, utilizzati per l'autenticazione informatica.

In tal senso, il nuovo codice prevede che ad ogni incaricato sia assegnata una username ed una password, la cui elaborazione prevede dei criteri ben precisi, quali la sussistenza della segretezza, la lunghezza minima di 8 caratteri e la durata massima di sei mesi (tre nel caso di trattamenti di dati giudiziari).
Tramite le proprie credenziali di autenticazione, l'incaricato potrà poi accedere a determinate aree dati a seconda del proprio profilo di autorizzazione.

Il Disciplinare Tecnico prevede l'obbligo generalizzato di proteggere i dati personali contro il rischio di intrusione e dall'azione di programmi aventi lo scopo di danneggiare il sistema informatico o telematico, dei dati o dei programmi in esso contenuti o ad esso pertinenti.
In pratica si tratta dell'obbligo generalizzato di difendersi dall'attacco di virus informatici, attivando idonei strumenti elettronici (programmi antivirus) da aggiornare con cadenza almeno semestrale.

In caso di trattamento di dati sensibili o giudiziari si è obbligati a proteggere tali dati dall' accesso abusivo mediante l'utilizzo di idonei strumenti elettronici; i firewall sono dei sistemi hardware e software che hanno il compito di controllare gli accessi alle risorse di rete interconnesse, filtrando i messaggi in transito e facendo passare solo quelli che rispondono ai requisiti definiti dalle politiche di sicurezza. Ovviamente l'obbligo di dotare gli strumenti elettronici di sistemi firewall non si estende per gli elaboratori che non sono in rete e che non dispongono di accesso ad internet.

Nel caso di trattamento di dati personali con strumenti elettronici, il nuovo Codice della privacy disciplina anche l'adozione di procedure per la custodia di copie di sicurezza e il ripristino della disponibilità dei dati e dei sistemi; la scelta di un buon sistema di backup dati va fatta non solo per ottemperare al nuovo Codice, ma anche come misura di sicurezza per ovviare l'eventualità di un'irrimediabile perdita dei dati. Le istruzioni prevedono espressamente il salvataggio dei dati con frequenza almeno settimanale ma  la pratica quotidiana ha insegnato che il salvataggio settimanale dei dati spesso è insufficiente, quindi sarebbe meglio procedere ai salvataggi con cadenza giornaliera.

Particolare attenzione viene riservata per la custodia e l'uso dei supporti rimovibili (floppy disk, compact disk, ecc.) contenenti dati sensibili o giudiziari; tali supporti devono essere custoditi in modo da impedire accessi non autorizzati (compresi eventuali furti) e trattamenti non consentiti, magari impartendo istruzioni affinché siano conservati in cassetti chiusi a chiave. Una volta cessate le ragioni per la conservazione dei dati, i supporti non possono venire abbandonati, ma si devono adottare opportuni accorgimenti finalizzati a rendere illeggibili e non ricostruibili tecnicamente i dati, prevedendo anche la distruzione del supporto stesso.

Infine, il Disciplinare Tecnico prevede che, in tutti i casi, ci si debba dotare anche di programmi per prevenire la vulnerabilità degli strumenti elettronici e per correggere i difetti insiti negli strumenti stessi. Tra i principali punti deboli di un sistema informatico vi sono il Sistema Operativo e le applicazioni che, sfruttando gli eventuali bugs in essi presenti, potrebbero anche consentire l'accesso abusivo al sistema. Le contromisure da adottare contro questi pericoli sono l'installazione di patch, non appena viene scoperto il bug, e la verifica periodica dell'installazione e della configurazione dei prodotti software.