I dipendenti possono modificare in maniera autonoma le password loro assegnate a protezione dei dati conservati nei computer.

Lo ha ricordato l'Autorità in risposta ad un quesito rivolto da alcuni dipendenti di una società privata che hanno chiesto di sapere se è conforme alla normativa in materia di misure di sicurezza il divieto, imposto dalla società ai lavoratori che utilizzano strumenti informatici, di cambiare autonomamente la password loro singolarmente assegnata.

L'Autorità ha innanzitutto ricordato che la legge n.675 del 1996 ha previsto l'obbligo di custodire e controllare i dati utilizzati mediante l'adozione di idonee misure di sicurezza, individuate alla luce dell'evoluzione delle conoscenze tecnologiche, in relazione alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo tale da ridurre al minimo i rischi di distruzione delle informazioni, perdita accidentale, accesso non autorizzato, trattamento non consentito o non conforme alle finalità della raccolta. La mancata predisposizione di tali misure comporta la responsabilità per i danni che si dovessero eventualmente causare.

Il regolamento sulle misure minime di sicurezza, emanato con il d.p.r. n.318 del 1999, richiede poi l'adozione di una parola chiave per l'accesso ai dati, la quale deve essere fornita al personale incaricato del trattamento quando esso è effettuato tramite strumenti elettronici o, comunque, automatizzati.

Alla luce di questo quadro normativo, al dipendente deve essere consentito di procedere autonomamente alla sostituzione della parola chiave, quando ciò è tecnicamente possibile in base alle caratteristiche degli elaborati, previa comunicazione ai soggetti preposti alla custodia delle password.

La prescritta comunicazione della sostituzione delle chiavi al personale preposto alla custodia deve essere effettuata con modalità tali da non consentire la facile conoscibilità della password, ma da renderla in casi particolari accessibile da parte dell'azienda o dell'amministrazione pubblica per interventi consentiti dalla legge, come nel caso di assenza o di impedimento del dipendente: un esempio può essere quello della comunicazione in busta chiusa.

Tali modalità consentono di proteggere i dati personali dalla possibile intrusione da parte di soggetti non legittimati all'accesso, permettendo contestualmente al titolare del trattamento di accedere in caso di necessità e di urgenza alle informazioni contenute nella memoria del computer per utilizzi consentiti dalla legge.