PRIVACY

Allegato B al Codice Privacy (parte 2): i sistemi di autorizzazione informatica

Schermata-2015-04-17-alle-09.03.39
Scritto da Alberto Nicolai

In questo secondo articolo sull’Allegato B al Codice della Privacy, altresì denominato “Disciplinare tecnico in materia di misure minime di sicurezza” (di cui agli artt. 33-36 del D.lgs. 196/2003) vedremo assieme cosa prevedono le regole 12-13-14 in tema di “Trattamenti con strumenti elettronici”, che nello specifico trattano dei sistemi di autorizzazione.

allegato B - autorizzazione

Lo schema esplicato

Nel precedente articolo abbiamo trattato dei sistemi di autenticazione informatica, ovvero del meccanismo attraverso il quale gli Incaricati designati ex art. 30 Codice Privacy possono (rectius devono) trattare i dati personali tramite credenziali di autenticazione, rispettando una serie di regole individuate dal legislatore per garantire uno standard minimo di sicurezza.

Ma che differenza c’è tra sistemi di autenticazione (di cui al precedente articolo) e sistemi di autorizzazione (di cui al presente)?

  • Sistema di autenticazione = processo attraverso il quale l’incaricato viene riconosciuto dal sistema informatico, e può accedere in sicurezza trattando i dati per i quali dispone di specifica autorizzazione.
  • Autorizzazione (sistema di autorizzazione) = processo attraverso il quale vengono individuati i confini entro i quali l’Incaricato può muoversi all’interno dello specifico ambiente informatico.

In sostanza, qualora vi siano più Incaricati con mansioni differenti, con relativi ambiti di trattamento dei dati ben delimitati (ex art. 30 Codice Privacy) sarà necessario predisporre uno specifico sistema di autorizzazione, in modo tale che ciascun incaricato, ovvero classi omogenee di incaricati, possano trattare (ricordiamo che il termine trattare ex art. 4, lett.a), d.lgs 196/2003 è onnicomprensivo di qualunque operazione o complesso di operazioni riguardanti i dati personali, ovvero raccolta, registrazione, conservazione, consultazione, elaborazione, modificazione etc.) i dati degli interessati compatibilmente con l’incarico svolto all’interno della compagnie aziendale.

Tale sistema di autorizzazione deve essere predisposto anteriormente all’inizio del trattamento, e strutturato in modo tale da limitare l’accesso ai soli dati necessari per effettuare le operazioni di trattamento: tale specificazione è senz’altro ispirata ai generali principi di liceità, correttezza, pertinenza, e non eccedenza che ispirano l’intero Codice Privacy.

Il sistema così strutturato dovrà essere verificato periodicamente, o come minimo annualmente, così da confermare i diversi profili già autorizzati, rideterminarli, ampliando o restringendo le aree di trattamento, ovvero eliminarli se divenuti obsoleti.

Nel prossimo articolo (Parte 3) si parlerà di antivirus, aggiornamenti software e back-up (regole 15-18 Allegato B).

Info sull'Autore

Alberto Nicolai

Avvocato. Appassionato di informatica dai tempi del 286 con MS-Dos e Windows 3.1, mi occupo prevalentemente di Diritto Informatico, ICT, Privacy e Website Legal Compliance. Il mio sito personale è albertonicolai.it

Leggi articolo precedente:
Foto di srgpicker, Flickr
La disciplina delle intercettazioni in tensione tra esigenze investigative e tutela della Privacy

Sfondo Podcast dirittiweb
Dirittiweb #05 – I soggetti del trattamento dei dati personali: Il Titolare, il Responsabile, l’Incaricato, l’Interessato ed i suoi diritti

12696032183_0d9622ae98_z
L’accesso abusivo a sistema informatico: l’utilizzo di carte di credito falsificate

Chiudi