LA PRIVACY NELLE ASSOCIAZIONI DI VOLONTARIATO E NON PROFIT
37
Il D.T. prevede inoltre che il titolare debba impartire agli incaricati istruzioni per: non lasciare incustodito e accessibile il computer durante una sessione di trattamento. Le istruzioni saranno contenute nella già vista lettera di nomina ad incaricato65 e potranno comprendere, oltre al sistema delle “credenziali di autenticazione”, e un semplice e tradizionale controllo visivo, anche uno screensaver abbastanza frequente e coperto da password. Particolari e ulteriori regole sono dettate dal D.T. in caso di trattamento mediante computer di dati sensibili o giudiziari: • predisporre un sistema di conservazione dei dati e dei sistemi attraverso copie di sicurezza, per consentirne il ripristino in caso di perdita o distruzione in tempi certi compatibili con i diritti dell’interessato ed in ogni caso non superiori a sette giorni • distruggere i supporti esterni quando non sono più utilizzati o cancellarne definitivamente il contenuto quando sono utilizzati da altri incaricati66.
23. Le associazioni devono nominare un Amministratore di Sistema? Come si è visto, l’adozione delle misure di sicurezza informatiche richiede una specifica competenza tecnica, che nella quasi totalità dei casi è estranea all’associazione e ai soci. I titolari e anche gli enti non profit, per loro tutela e in considerazione delle gravi sanzioni previste in caso di mancata adozione delle misure di sicurezza informatiche, devono quindi perlomeno inizialmente affidarsi ad un tecnico informatico, che viene comunemente identificato con il termine Amministratore di Sistema (ADS). Questa figura era stata prevista dal D.P.R. n. 318/99, ma non è stata più riproposta nel Codice. E’ stata però “riesumata” ed espressamente regolata dal Garante per la Protezione dei Dati Personali con provvedimento a carattere generale (ex art. 154, comma 1, lett. c) del Codice) del 27.11.2008, che ha suscitato anche dubbi di legittimità costituzionale, avendo posto stringenti e ulteriori regole (e termini per adeguarvisi) in via amministrativa e in assenza di una previsione di legge67. Il Garante ha definito l’ADS come quella “figura professionale dedicata alla gestione e alla manutenzione di impianti di elaborazione con cui vengano effettuati trattamenti di dati personali”, escludendo che assumano tale ruolo “quelle persone che solo occasionalmente intervengono (per esempio per scopi di manutenzione a seguito di guasti o malfunzioni) sui sistemi di elaborazione e sui sistemi software”. 65 66
67
Cfr. parte seconda, esempio F (nomina ad Incaricato del trattamento). Si ricordi che la semplice cancellazione dei file dai dischetti non comporta la loro distruzione/eliminazione definitiva; è necessaria una completa formattazione. A tal proposito si segnala che il Garante ha emesso in data 13.10.2008 apposite “Istruzioni pratiche per una cancellazione sicura dei dati”, ovvero per la cancellazione dei dati, per l’impiego, riciclaggio e smaltimento dei PC (cfr. www.garanteprivacy.it). Cfr. M. A. Quiroz Vitale, La nuova disciplina della privacy: la semplificazione mancata, in Enti Non Profit, n. 3/09, p. 45.