può sostituirla l’incaricato del trattamento

Autorità Garante per la Protezione dei Dati Personali

Risposta del 23 Febbraio 2001

———

il punto:

L’Autorità risponde ad alcuni lavoratori che avevano rivolto un quesito in ordine ad alcuni aspetti della disciplina in materia di misure di sicurezza.

La parola chiave per l’accesso ai dati personali può essere autonomamente sostituita dagli incaricati del trattamento.

Si suggerisce anche una modalità per la comunicazione della sostituzione al soggetto preposto alla custodia delle password.

——–

il testo:

(…)

Con il fax indicato a margine è stato richiesto se sia conforme alla normativa vigente in materia di misure di sicurezza richiedere ai propri dipendenti, che utilizzano strumenti informatici, di servirsi di password loro singolarmente assegnate dal responsabile del settore informatico della società, con il contestuale divieto di autonoma modifica della stessa.

In merito si osserva preliminarmente che la legge n. 675/1996 nell’introdurre disposizioni che regolano il trattamento dei dati personali ha riconosciuto una precisa base giuridica agli obblighi relativi alle misure di sicurezza che riguardano il trattamento automatizzato e non automatizzato di dati.

In particolare la legge prevede l’obbligo di custodire e controllare i dati trattati mediante l’adozione di idonee e preventive misure di sicurezza, individuate alla luce delle conoscenze acquisite in base al progresso tecnico, in relazione alla natura dei dati e alle specifiche caratteristiche del trattamento, tali da ridurre al minimo i rischi di loro distruzione, perdita accidentale, accesso non autorizzato, trattamento non consentito o, comunque, non conforme alle finalità della raccolta (art.15, comma 1 legge n. 675/96).

La mancata predisposizione di tali misure comporta la responsabilità per danni eventualmente cagionati (art. 18 legge n. 675).

Lo stesso art. 15 prevede, inoltre, ai commi 2 e 3, l’individuazione, tramite regolamento, di “misure minime di sicurezza” che prevede diversi adempimenti a seconda della modalità di trattamento e della natura dei dati trattati e alla cui mancata osservanza sono collegate sanzioni di carattere penale (art. 36 legge n. 675).

Tutto ciò premesso si osserva che il regolamento, emanato con il d.P.R. n. 318/1999, richiede l’adozione di una parola chiave per l’accesso ai dati che deve essere fornita a tutti gli incaricati del trattamento quando questo è effettuato tramite strumenti elettronici o, comunque, automatizzati. In tal caso agli stessi incaricati, ove tecnicamente possibile, deve essere consentito di procedere autonomamente alla sua sostituzione previa comunicazione ai soggetti preposti alla loro custodia (art. 2, comma 1, lett. a) ).

Secondo la relazione ministeriale allo schema di regolamento la prescritta comunicazione della sostituzione delle chiavi al preposto alla custodia deve essere effettuata dallo stesso incaricato in modo che la parola chiave non risulti in chiaro, sia protetta e reperibile da parte del titolare del trattamento per interventi consentiti nel caso di assenza o di impedimento dell’incaricato (es. comunicazione effettuata tramite busta chiusa).

Tali modalità, al cui rispetto sono tenuti sia i soggetti pubblici, sia quelli privati, consentono di proteggere i dati personali dalla possibile intrusione di soggetti non legittimati all’accesso e contestualmente permettono al titolare del trattamento di accedere in caso di necessità e d’urgenza ai dati contenuti nella memoria del computer per trattamenti consentiti.

Quanto sopra riguarda, come si è detto la parola chiave. Si tenga però presente che in caso di elaboratori accessibili in rete, oltre la parola chiave, è necessario utilizzare i codici identificativi come previsto all’art. 4 del citato d.P.R..

(…)

Clicca qui per ricevere gratuitamente la Newsletter di Giurdanella.it

Il nostro sito utilizza i cookie al fine di migliorare i servizi. Se accedi a un qualunque elemento sottostante questo banner acconsenti all`uso dei cookie. Maggiori informazioni | Chiudi