In caso di violazioni o incidenti informatici il Garante va informato entro 48 ore
Le pubbliche amministrazioni che intendono mettere a disposizione delle altre Pa, gli accessi telematici alle proprie banche dati, in attesa della definizione degli “standard di comunicazione e le regole tecniche” da parte dell’Agenzia per l’Italia digitale (Agid), dovranno adottare le misure di sicurezza fissate dal Garante privacy. Il provvedimento, in corso di pubblicazione nella Gazzetta ufficiale, riafferma le misure tecniche e organizzative individuate nel parere dato all’Agid nel 2013: regole rigorose a protezione dei data base della Pa, contraddistinti da un’ingente mole di dati trattati, dalla delicatezza delle informazioni contenute e dalla molteplicità dei soggetti autorizzati ad accedervi. Dovranno, invece, mettersi in regola entro il 31 dicembre 2015 le amministrazioni che hanno previsto modalità di accesso non conformi a quanto previsto dal Garante nel 2013. Esulano dall’intervento odierno le amministrazioni che hanno già sottoposto le modalità di accesso alle banche dati all’esame del Garante nell’ambito di specifici provvedimenti. Il Garante inoltre, per innalzare ulteriormente i livelli di tutela dei dati, ha prescritto che le amministrazioni dello Stato – compresi gli istituti e le scuole di ogni ordine e grado, le Regioni e le Province, anche quelle autonome, i Comuni, le aziende e gli enti del Servizio sanitario nazionale e gli enti pubblici non economici – devono comunicare allo stesso Garante, entro quarantotto ore dalla conoscenza del fatto, tutte le violazioni o gli incidenti informatici (i cosiddetti “data breach”) che possono avere un impatto significativo sui dati personali contenuti nelle banche dati. Le comunicazioni devono essere redatte secondo il modello predisposto dal Garante e inviate via mail all’indirizzo databreach.pa@pec.gpdp.it. Tra le dettagliate misure individuate dall’Autorità in un allegato al provvedimento vanno segnalate: la redazione da parte della Pa erogatrice di un documento, costantemente aggiornato, con l’elenco delle banche dati accessibili e i dati disponibili ai fruitori esterni; il divieto per il soggetto pubblico fruitore di estrarre dati in via automatica e massiva e di creare nuove banche dati; l’identificazione dei soggetti che hanno accesso alla banca dati e l’adeguato tracciamento delle operazioni compiute; la cifratura dei dati sensibili e giudiziari.
c.s. Garante della Privacy
