Contrariamente a quanto si possa pensare, l’adeguamento alla legge sulla tutela dei dati personali da parte degli enti che li trattano non si limita a predisporre una informativa da far visionare a clienti e fornitori per ottenere il consenso al trattamento, ma comporta un’analisi molto approfondita circa la realtà fisica dell’azienda, la sua struttura organizzativa, le logiche comportamentali dei soggetti che eseguano il trattamento, le tipologie di dati trattati e gli strumenti utilizzati per trattarli.
Da questa analisi si determinano le necessità e le misure da adottare per rispondere alle prescrizioni della normativa sulla privacy.
La legge, infatti, nasce dall’esigenza ben precisa di regolamentare i comportamenti dei soggetti che utilizzano e comunicano dati personali in una società dell’informazione in cui tutto è possibile e veloce: per questo prevede l’adozione di una serie di misure di sicurezza idonee a prevenire la distruzione, la perdita dei dati stessi, gli accessi non autorizzati o il trattamento non consentito.
Queste misure consistono in:

• redazione di un documento, il “Documento Programmatico sulla Sicurezza” (D.P.S.) che ha lo scopo di descrivere la realtà aziendale per quel che concerne le tipologie di trattamento, le strutture preposte ad effettuarlo, gli strumenti utilizzati, i soggetti legittimati a farlo, i rischi fisici e logici a cui sono sottoposti i dati e le relative misure di sicurezza adottate o da adottare;
• previsione di sistemi di back up dei dati per consentirne il recupero in caso di perdita o distruzione degli stessi;
• attuazione di sistemi di protezione fisici ed elettronici all’accesso illecito ai dati;
• informazione e formazione agli incaricati del trattamento circa le metodologie di sicurezza per il corretto utilizzo dei dati.

Oltre alla realizzazione di queste misure di sicurezza, il nuovo Codice privacy prescrive la necessità di ottenere dal soggetto interessato l’autorizzazione al trattamento dei propri dati personali: è indispensabile, quindi, redigere una informativa in cui si specificano le modalità di trattamento, i soggetti che lo eseguono, i responsabili in caso di uso illecito, etc. che l’interessato dovrà conoscere per acconsentire la comunicazione dei suoi dati. Queste informative dovranno contenere indicazioni specifiche previste dalla legge sulle caratteristiche dell’azienda.
Tutti i PC utilizzati nel trattamento devono essere forniti di apposite password, modificate periodicamente e registrate in un apposito registro custodito da un responsabile.
Periodicamente è necessario effettuare delle verifiche e controlli degli strumenti hardware e dei programmi software, degli antivirus e delle password: nelle realtà più grandi, quindi, si rende indispensabile la predisposizione di uno scadenziario finalizzato ad organizzare questa attività.
I supporti cartacei che contengono dati sensibili, giudiziari o sanitari devono seguire una procedura, per il loro utilizzo e custodia, ben delineata dalla legge, al fine di evitare la diffusione dei dati stessi.
I documenti non più utilizzati per cessazione dello scopo del trattamento devono essere distrutti: si rende necessaria, quindi, la previsione di un piano a riguardo.
Dai soggetti esterni all’azienda, che trattano gli stessi dati personali del titolare dell’azienda, inoltre, è necessario farsi rilasciare una certificazione di garanzia di corretto trattamento dei dati secondo la legge n. 196/2003: in questo modo ci sarà la certezza che anche quando i dati non sono più sotto il diretto controllo del titolare, vengano utilizzati con la medesima sicurezza di chi ha ottemperato alle misure previste dalla legge.
Il decreto legislativo n. 196/2003 contempla specifiche prescrizioni per ognuno dei casi spiegati sopra; per ogni settore di attività, inoltre, prevede l’adozione di misure ad hoc in funzione della tipologia e metodologia di trattamento dei dati personali.