9 Dicembre 2008 Privacy

Il Garante Privacy semplifica (troppo?) gli obblighi in materia di misure minime di sicurezza


Prosegue l’opera di semplificazione portata avanti dal Garante in relazione ad alcuni adempimenti imposti dal Codice Privacy: dopo il provvedimento relativo a informativa e consenso è stato reso pubbblico oggi quello (tanto atteso) in materia di misure minime di sicurezza.

Il testo integrale del provvedimento – che si riferisce soltanto ad alcuni tipi di trattamento – è disponibile qui.
Le finalità di semplificazione sono sicuramente condivisibili, ma il provvedimento finisce per attenuare eccessivamente le cautele necessarie in materia di misure minime di sicurezza; per rendersene conto è sufficiente leggere l’art. 2.4 (Altre misure di sicurezza) nella parte in cui prevede che

Gli aggiornamenti periodici dei programmi per elaboratore volti a prevenire la vulnerabilità di strumenti elettronici (ad esempio, antivirus), anche con riferimento ai programmi di cui all’art. 615-quinquies del codice penale, nonché a correggerne difetti, sono effettuati almeno annualmente. Se il computer non è connesso a reti di comunicazione elettronica accessibili al pubblico (linee Adsl, accesso a Internet tramite  rete aziendale, posta elettronica), l’aggiornamento deve essere almeno biennale.

Non c’è bisogno di essere un tecnico per capire che l’aggiornamento di un antivirus con cadenza annuale non ha praticamente senso (per non parlare degli aggiornamenti con cadenza biennale).

Possibile che non esista una via di mezzo tra adempimenti troppo complessi ed altri pressochè inesistenti? Non si rischia di far perdere ulteriormente di credibilità ad una normativa ancora poco applicata come quella in materia di privacy?

2 commenti su “Il Garante Privacy semplifica (troppo?) gli obblighi in materia di misure minime di sicurezza

  1. tra l’altro il provvdimento è molto ambiguo, in quanto una cosa è aggiornare il programmma, un’altra è aggiornare il db delle ‘signatures’ dei virus …. 😉

    h.d.

  2. @ herr doktor

    Oltre che ambiguo direi confuso; come mai nel momento in cui si detta la disciplina per il “computer connesso a reti di comunicazione elettronica accessibili al pubblico” si parla solo di adsl o rete aziendale? 🙂

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Salvo dove diversamente specificato, i contenuti di questo sito sono distribuiti con licenza CC BY-NC 4.0 | Privacy policy
Designed by Lago digitale