Il Documento Programmatico sulla Sicurezza

Il Decreto Legislativo 30 giugno 2003 n. 196  (Codice in materia di protezione dei dati personali) introduce il diritto alla protezione dei dati personali al fine di garantire che " il trattamento dei dati si svolga nel rispetto dei diritti e delle libertà fondamentali, nonchè della dignità dell' interessato, con particolare riferimento alla riservatezza, all' identità personale e al diritto alla protezione dei dati personali ".
Ciò obbliga tutte le entità titolari del trattamento siano esse aziende private, pubbliche amministrazioni o qualsiasi altro ente, associazione od organismo a trattare i dati personali secondo "misure minime di sicurezza", come previsto nell' allegato B.

La classificazione dei dati, l' individuazione dei soggetti che ne effettuano il trattamento assieme alle relative modalità di conservazione e  trattamento, e la valutazione del rischio di possibili perdite e/o trattamenti non conformi a quanto indicato dal D. L. 196/2003 costituiscono la base di partenza per la redazione del Documento Programmatico sulla Sicurezza ( DPS ).

Sulla base di tali premesse  il DPS rappresenta lo strumento di riferimento per la definizione delle strategie di sicurezza da adottare al fine di ridurre i rischi derivanti dal trattamento dei dati. Tali misure vanno descritte nel Documento Programmatico sulla Sicurezza, che riporta le modalita' di trattamento e di conservazione dei dati personali e sensibili. Il DPS deve indicare, inoltre, le modalità per il ripristino dei dati in seguito a distruzione e/o danneggiamenti.

La redazione del DPS presuppone quindi una attenta valutazione dei dati e del loro relativo trattamento,  sia esso in forma documentale e/o elettronica, per cui l' elaborazione del documento implica una conoscenza specifica nel settore della sicurezza logica, fisica e procedurale.

Il D. L. 196/2003 non fornisce indicazioni in merito a quali siano le misure di sicurezza più appropriate, ma impone ad ogni  entità titolare del trattamento di allestire l' opportuna struttura informatica ed organizzativa per proteggere i propri dati. Le entità titolari che trattano dati con l' ausilio di strumenti elettronici sono tenute alla salvaguardia dei dati attraverso un sistema di autenticazione informatica e l' installazione dove le circostanze lo richiedono di antivirus per la protezione da virus informatici e firewall per impedire accessi non autorizzati dall' esterno. La normativa obbliga il titolare del trattamento ad attuare le misure minime di sicurezza, tra le quali e' prevista la redazione del DPS, che va tenuto costantemente aggiornato ed esibito all' autorita' giudiziaria in caso di richiesta.

La formazione

Il Codice in materia di protezione dei dati personali prevede interventi formativi per gli incaricati del trattamento, al fine di informarli sui rischi che possono compromettere la sicurezza e la privacy dei dati, sulle misure di sicurezza disponibili per prevenire eventi dannosi, sugli aspetti della disciplina sulla protezione dei dati personali piu' rilevanti, in riferimento alle relative attivita' e sulle responsabilita' che ne derivano, e sulle modalita' di aggiornamento relative alle misure minime adottate dal titolare.

Sicurezza nella PA

La diffusione dell' utilizzo delle reti rappresenta ormai una necessità gestionale e di colloquio delle Pubbliche Amministrazioni tra loro, con le imprese e con i cittadini. Internet sta divenendo sempre più il sistema di scambio di informazioni  evidenziando nel contempo tutta la sua vulnerabilità.

Il Comitato Tecnico Nazionale sulla Sicurezza Informatica ha redatto nel marzo 2004 un documento che contiene le proposte concernenti le strategie in materia di sicurezza informatica e delle telecomunicazioni per la pubblica amministrazione.

La sicurezza informatica deve essere un elemento fondamentale nel processo di avvicinamento, tramite la tecnologia, del cittadino e delle istituzioni private alla PA. Infatti, aldilà della disponibilità di servizi, è necessario fornire al "cittadino" precise garanzie in relazione al rispetto delle principali proprietà di sicurezza dei servizi stessi, al fine di assecondare quelle attività di coinvolgimento e di collaborazione tra "cittadino" e PA, che sono alla base di ogni processo di
e-government.

Le Pubbliche Amministrazioni sono, perciò, chiamate ad adeguare le proprie strutture informatiche a quanto richiesto dal CNSI, individuando i responsabili sicurezza al proprio interno o affidando la gestione a figure esterne (outsourcing).