SCADENZE E PRIVACY, DEVO FARE IL DPS?

Il Consiglio dei Ministri ha fissato al 31 marzo 2006 la data entro la quale adottare le disposizioni sulla privacy ovvero conformare al nuovo Codice sulla Privacy le misure di sicurezza per il trattamento dei dati personali con mezzi cartacei e informatici ( ad esempio nel caso dei dati informatici è necessario proteggerli con password di accesso, antivirus, backup dei dati, strumenti anti-intrusione ecc.) Tra le misure indicate entro il 31 marzo figura anche la redazione del DPS, il Documento programmatico di sicurezza che, è bene ribadire, è di pertinenza dei soli medici veterinari che trattano "dati sensibili" con mezzi elettronici (eventualità, questa, che si verifica poco frequentemente). Giova ricordare che per "dato sensibile", s'intende un dato idoneo a rivelare "l'origine razziale o etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale" dei clienti proprietari o delle persone giuridiche (aziende, allevamenti con personalità giuridica ecc.). Cosa deve fare dunque il medico veterinario che non tratta dati sensibili, o che li tratta solo con mezzi diversi da quelli elettronici? PER I TRATTAMENTI CON DATI INFORMATICI DEVE: a) prevedere una parola chiave per l’accesso ai dati, che dovrà essere strutturata come previsto dal Codice sulla Privacy ("La parola chiave, quando è prevista dal sistema di autenticazione, è composta da almeno otto caratteri oppure, nel caso in cui lo strumento elettronico non lo permetta, da un numero di caratteri pari al massimo consentito; essa non contiene riferimenti agevolmente riconducibili all'incaricato ed è modificata da quest'ultimo al primo utilizzo e, successivamente, almeno ogni sei mesi"); b) Individuare l’ambito dei trattamenti a cui sono autorizzati gli incaricati, e disporre affinché gli stessi non abbiano accesso a dati che non sono autorizzati a trattare; c) Prevedere il salvataggio dei dati con cadenza almeno settimanale, e predisporre un sistema al ripristino dei dati eventualmente danneggiati o distrutti; d) installare dei programmi e prendere delle misure adatte ad evitare accessi indebiti ai dati personali; e) aggiornare costantemente tali programmi, nonché il sistema operativo e gli applicativi adibiti al trattamento dei dati, al fine di evitare “buchi” nella protezione. PER I TRATTAMENTI CON MEZZI CARTACEI DEVE: a) disporre che gli incaricati abbiano accesso ai soli dati personali la cui conoscenza sia strettamente necessaria per adempiere ai compiti loro assegnati; b)Conservare gli atti e i documenti contenenti i dati in archivi ad accesso selezionato e,in caso di affidamento dei dati agli incaricati del trattamento,disporre che siano da questi ultimi conservati e restituiti al termine delle operazioni affidate. GIORGIO NERI