Decreto legislativo 30
giugno 2003, n. 196
(G.U. 29 luglio 2003, n. 174 - Supplemento ordinario
n. 123/L)
Le misure minime di sicurezza
Il trattamento di dati personali effettuato con strumenti
elettronici è consentito solamente se sono
adottate alcune misure minime di sicurezza tra cui:
autenticazione informatica;
adozione di procedure di gestione delle credenziali
di autenticazione;
utilizzazione di un sistema di autorizzazione;
aggiornamento periodico dell'individuazione dell'ambito
del trattamento consentito ai singoli incaricati e
addetti alla gestione o alla manutenzione degli strumenti
elettronici;
protezione degli strumenti elettronici e dei dati
rispetto a trattamenti illeciti di dati, ad accessi
non consentiti e a determinati programmi informatici;
adozione di procedure per la custodia di copie di
sicurezza, il ripristino della disponibilità
dei dati e dei sistemi;
tenuta di un aggiornato documento programmatico sulla
sicurezza;
adozione di tecniche di cifratura o di codici identificativi
per determinati trattamenti di dati idonei a rivelare
lo stato di salute o la vita sessuale effettuati da
organismi sanitari.
La certificazione che quanto adottato tecnicamente
sia conforme al
disciplinare Tecnico (allegato B) del DL. 196/2003
come richesto al punto 25 dello stesso.
L'applicazione teorica e pratica delle misure minime
di sicurezza deve risultare da documento/i con data
certa;
l'
Art. 4 (Definizioni) del DL. 196/2003 riporta :
3. Ai fini del presente codice si intende, altresì,
per:
a) “misure minime”,
il complesso delle misure tecniche, informatiche,
organizzative, logistiche e procedurali di sicurezza
che configurano il livello
minimo di protezione richiesto in relazione ai rischi
previsti nell’articolo 31;
b) “strumenti elettronici”,
gli elaboratori, i programmi per elaboratori e qualunque
dispositivo elettronico o comunque automatizzato con
cui si effettua il trattamento;
c) “autenticazione
informatica”, l’insieme degli strumenti
elettronici e delle procedure per la verifica anche
indiretta dell’identità;
d) “credenziali di
autenticazione”, i dati ed i dispositivi,
in possesso di una persona, da questa conosciuti o
ad essa univocamente correlati, utilizzati per l’
autenticazione informatica;
e) “parola chiave”,
componente di una credenziale di autenticazione associata
ad una persona ed a questa nota, costituita da una
sequenza di caratteri o altri dati in forma elettronica;
f) “profilo di autorizzazione”,
l’insieme delle informazioni, univocamente associate
ad una persona, che consente di individuare a quali
dati essa può accedere, nonché i trattamenti
ad essa consentiti;
g) “sistema di autorizzazione”,
l’insieme degli strumenti e delle procedure
che abilitano l’accesso ai dati e alle modalità
di trattamento degli stessi, in
funzione del profilo di autorizzazione del richiedente.
