Per quanto attiene alle misure di sicurezza in essere e da adottare, occorre elencare gli strumenti per contrastare i rischi
individuati. È necessario, pertanto, indicare sia gli interventi tecnici ed organizzativi per prevenire/contrastare/ridurre una ipotetica specifica minaccia, che le attività definibili di manutenzione ordinaria come i controlli periodici nel tempo, essenziali ai fini dell’efficacia. Inoltre, le misure di sicurezza devono essere idonee ed aggiornate in relazione al progresso tecnologico. Risulta fondamentale il rispetto di alcuni requisiti tecnici: qualità delle password, scadenza degli account, backup, antivirus, aggiornamenti software, protezione perimetrale della rete, idoneità dei locali e degli armadi.
Non bisogna, infine, trascurare l’erogazione di iniziative di formazione rivolte agli incaricati dei trattamenti dei dati personali
ed orientate a sensibilizzarli e formarli sulle tematiche della privacy e della sicurezza.
Il principio generale – come stabilito dall’art. 3 del Codice della Privacy – deve essere quello di necessità:
è necessario limitare al minimo possibile, compatibilmente con le caratteristiche del trattamento, l’esposizione ed il trattamento di dati personali e, laddove possibile, è sempre consigliata l’elaborazione in forma anonima. Per quanto attiene la PA, il Garante con Provv. n. 17/2007 del 19/4/2007 ha stilato le linee guida al fine di tutelare
la pubblicazione e la diffusione online di atti e documenti da parte degli enti locali. Tutti gli atti della PA sono pubblici (ad eccezione di quelli considerati “riservati” per espressa indicazione di legge) e, conseguentemente, è compito della PA stessa disciplinare le modalità del loro rilascio con un apposito regolamento che assicuri ai cittadini sia il diritto alla privacy che il diritto di accesso alle informazioni in possesso dell’Amministrazione.
A titolo esemplificativo cito l’applicazione operata dalla Provincia di Milano che, in merito alla pubblicazione delle graduatorie riguardanti l’assegnazione di borse di studio per il contributo contro il “Caro scuola 2007”, ha deciso di non pubblicarle sia sul sito istituzionale che all’Albo Pretorio. La Provincia di Milano ha, invece, inviato a tutti i partecipanti una lettera, presso la loro residenza, con l’esito della domanda di partecipazione.
Allo stato attuale il DPS non basta e la connessione di rete impone che la tutela della riservatezza non possa trascurare
questi quattro aspetti fondamentali:
- raccolta dei dati personali via Internet
- cookie
- data log
- spamming
I contratti online e più genericamente i formulari online devono essere trasparenti. Al contraente che rilascia i suoi dati personali occorre fornire tutte le garanzie previste dal Codice della Privacy. Il file definito “cookie”, ossia testi generati da programmi che raccolgono informazioni sulle abitudini dell’utente, viola quanto disposto dall’art.6 lettera e della Direttiva 95/46/CE secondo cui i dati personali devono essere «conservati in modo da consentire l’identificazione delle persone interessate per un arco di tempo non superiore a quello necessario al conseguimento delle finalità per le quali sono rilevati o sono successivamente trattati». Inoltre, considerato che l’utente non viene informato dell’esistenza del dato sul proprio Hard Disk, si configura una violazione degli artt. 10, 11 e 12 della suindicata Direttiva: senza il consenso dell’interessato non è possibile procedere al trattamento dei dati.
