La sicurezza dei dati “sensibili” è un argomento fondamentale della disciplina della privacy, ad essa è dedicato l’intero Titolo V del decreto legislativo 196/2003, dall’articolo 31 al 41 più l’allegato B che disciplina in modo pratico l’applicazione della normativa.

Gli adempimenti a carico del titolare del trattamento possono essere divisi in linea generale in due gruppi principali:

1. Gli obblighi di sicurezza, ossia linsieme delle misure idonee, in base alle conoscenze tecniche, a ridurre al minimo i rischi di distruzione, perdita dei dati, utilizzo improprio o da parte di persone non autorizzate,utilizzo scorretto o per finalità diverse da quelle autorizzate (ad esempio salvare i file contenenti i dati in più hard disk) (articoli 31, 32)
2. Misure minime di sicurezza, ovvero gli accorgimenti tecnici da effettuare obbligatoriamente nei casi stabiliti dal Codice (articoli 33, 34, 35) nel caso di trattamento di dati personali (per dato personale si intende qualunque informazione relativa alla persona fisica o giuridica, ente o associazione identificata o identificabile), queste vengono regolate dalla normativa negli articoli dal 33 al 36 e da un punto di vista pratico dall’allegato B.

Le misure minime di sicurezza variano a seconda che il trattamento avvenga o no con l’ausilio di strumenti elettronici. Nel caso di trattamento senza strumenti elettronici (articolo 35 e nella parte finale dell’allegato B) le misure sono finalizzate al controllo e alla custodia dei dati, per tutto il ciclo necessario allo svolgimento delle operazioni per le quali sono stati raccolti.

L’individuazione dell’ambito di trattamento dei dati, i singoli incaricati e il trattamento loro consentito deve essere aggiornato con cadenza almeno annuale; è necessario prevedere una procedura di conservazione degli atti e dei documenti contenenti dati personali, nonché la creazione di archivi ad accesso selezionato. Le persone ammesse ai suddetti archivi devono essere autorizzate, identificate e registrate.

Le misure minime necessarie nel caso di trattamento di dati con strumenti elettronici sono elencate nell’articolo 34.

Il trattamento di dati personali attraverso elaboratori elettronici è consentito solo ai soggetti che risultano in possesso di apposite credenziali di autenticazione. Queste possono consistere in un codice identificativo, esempio una parola chiave login e password in possesso del solo incaricato, una caratteristica biometrica dello stesso, una tessera magnetica o un codice di sblocco del sistema di accesso in possesso del solo incaricato.

La parola chiave, come specificato nell’allegato B, deve essere composta da almeno 8 caratteri (nel caso in cui il sistema preveda un numero di caratteri inferiore, con il massimo consentito), non deve contenere alcun riferimento che riconduca con facilità all’addetto e deve essere modificata ogni 6 mesi (3 mesi se si tratta dati sensibili o giudiziari).

Le credenziali di autenticazione devono essere assegnate singolarmente ad ogni incaricato e devono essere disattivate se non utilizzate per 6 mesi o nel caso venga meno l’incaricato identificato con la credenziale. In altre parole: nel caso in cui l’incaricato venga cambiato di ruolo, la sua credenziale non può essere trasferita al nuovo addetto, ma deve essere disattivata e creata una nuova per il sostituto.

L’incaricato del trattamento deve essere informato dal titolare del trattamento circa l’importanza della segretezza e della conservazione delle credenziali, inoltre il titolare deve individuare per iscritto i soggetti che devono conservare e custodire le credenziali di autenticazione, che sono tenuti ad informarlo circa l’eventuale diffusione delle stesse dovuta a situazioni di emergenza.