Il Garante privacy ha varato procedure semplificate per le misure minime di sicurezza. Sono state individuate modalità più snelle per l’applicazione delle misure minime di sicurezza
da parte di soggetti pubblici e privati senza ridurre le garanzie per i
cittadini.
Le nuove garanzie, adottate sentito il Ministro per la semplificazione normativa, interessano:
a) amministrazioni pubbliche e società private che utilizzano dati personali non sensibili (nome, cognome, indirizzo, codice fiscale, numero di telefono) o che trattano come unici dati sensibili dei dipendenti quelli relativi allo stato di salute o all’adesione a organizzazioni sindacali;
b) piccole e medie imprese, liberi professionisti o artigiani che trattano dati solo per fini amministrativi e contabili.
Obiettivo dell’Autorità è quello di mantenere un adeguato livello per le misure minime di sicurezza venendo però incontro alle esigenze prospettate da imprese, soprattutto di piccole dimensioni, volte a snellire le procedure, graduare le cautele a seconda della delicatezza dei trattamenti e a contenere i costi.
In base al provvedimento del Garante, le categorie interessate:
– possono impartire agli incaricati le istruzioni in materia di misure minime anche oralmente;
– possono utilizzare per l’accesso ai sistemi informatici un qualsiasi sistema di autenticazione basato su un username e una password; lo username deve essere disattivato quando viene meno il diritto di accesso ai dati (es. non si opera più all’interno dell’organizzazione);
– in caso di assenze prolungate o di impedimenti del dipendente possono mettere in atto procedure o modalità che consentano comunque l’operatività e la sicurezza del sistema (ad esempio l’invio automatico delle mail ad un altro recapito accessibile);
– devono aggiornare i programmi di sicurezza (antivirus) almeno una volta l’anno ed effettuare backup dei dati almeno una volta al mese.
Con il provvedimento, inoltre, il Garante ha fornito a piccole e medie imprese, artigiani, liberi professioni, soggetti pubblici e privati che trattano dati solo a fini amministrativi e contabili, alcune indicazioni per la redazione di un documento programmatico per la sicurezza semplificato.
Procedure semplificate sono state indicate anche per chi tratta dati senza l’impiego di sistemi informatici.