Centrostudi

Articoli e approfondimenti sulle ultime normative

Prorogata al 31 dicembre 2004 l'adozione delle misure minime di sicurezza in tema di privacy

  • 30/06/2004
  • Privacy

Prorogato al 31 dicembre 2004 il temine per l'adozione delle misure minime di sicurezza previste dal Codice della privacy

Prima di fornire alcuni chiarimenti in merito agli adempimenti richiesti dal Codice in materia di protezione dei dati personali ricordiamo che, con D. Lgs. n. 158 del 24 giugno u.s. è stato prorogato , dal 30 giugno 2004 al 31 dicembre 2004 , il termine ultimo per l'adozione delle misure minime di sicurezza previste dal codice stesso.

Il Codice in materia di protezione dei dati personali (D.Lgs. 30 giugno 2003 n. 196) ha aggiornato l'elenco delle "misure minime" le cui modalità di applicazione, sulla base di alcune prescrizioni di ordine generale (artt. 33-35 del Codice), sono indicate analiticamente nelle 29 regole incluse nell'Allegato B (riportato in calce alla presenta trattazione) del medesimo Codice. Ex art. 4, comma 3, del Codice, misure minime sono “ il complesso delle misure tecniche, informatiche, organizzative, logistiche e procedurali di sicurezza che configurano il livello minimo di protezione richiesto in relazione ai rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o non conforme alle finalità della raccolta ”.

Analogamente a quanto avveniva in passato, le misure minime di sicurezza sono diverse a seconda che il trattamento sia effettuato o meno con strumenti elettronici, oppure riguardi dati sensibili o giudiziari.

Per dati sensibili si intendono i dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonchè i dati personali idonei a rivelare lo stato di salute e la vita sessuale (art. 4, comma 1, lett. d), del D. Lgs. n. 196/2003).

Dati giudiziari sono, invece, i dati personali di un soggetto, idonei a rivelare i provvedimenti che devono essere iscritti al casellario giudiziale, e che riguardino la qualità di imputato o di indagato del soggetto stesso.

Il termine transitorio che permette di adottare le misure entro il 31 dicembre 2004 riguarda solo le nuove misure (art. 180, comma 1, D.Lgs. n. 196/2003; per la precedente disciplina, v. gli artt. 15 , comma 2 e 41 l. n. 675/1996, il d.P.R. n. 318/1999 e la L. n. 325/2000).

È previsto, comunque, un periodo più ampio (fino al 31 marzo 2005. Termine così prorogato dal D. Lgs. n. 158/04. Il termine precedente era il 1 gennaio 2005) per l'adeguamento solo se, in un caso del tutto particolare, ricorrano obiettive ragioni di natura tecnica.

Si tratta dell'ipotesi specifica (che riguarda solo i trattamenti effettuati con strumenti elettronici) in cui il titolare del trattamento, alla data del 1° gennaio scorso, disponeva di strumenti elettronici che, per le predette obiettive ragioni esclusivamente tecniche, documentate in un atto avente data certa, non consentono di applicare immediatamente, in tutto o in parte, le nuove misure minime. Sempre in questo circoscritto caso, nel quale si è obbligati a prevenire comunque un incremento dei rischi, occorre conservare il documento a data certa il quale non va trasmesso al Garante, che può però richiederne l'esibizione in sede di accertamento anche ispettivo (artt. 157 ss. del Codice).

Il Documento programmatico della sicurezza.

La redazione del DPS (Documento programmatico della sicurezza) è una "misura minima", prevista dall'Allegato B).

Si tratta di una misura non nuova, sebbene sia aumentato il numero dei soggetti che deve redigere il DPS e sia parzialmente diverso il suo necessario contenuto.

Infatti, la precedente disciplina prevedeva già l'obbligo di predisporre e aggiornare il DPS, almeno annualmente, in caso di trattamento di dati sensibili o relativi a determinati provvedimenti giudiziari effettuato mediante elaboratori accessibili tramite una rete di telecomunicazioni disponibili al pubblico.

In base al nuovo Codice, la misura minima del DPS deve essere ora adottata dal titolare di un trattamento di dati sensibili o giudiziari effettuato con strumenti elettronici , attraverso l'organo, ufficio o persona fisica a ciò legittimata in base all'ordinamento aziendale o della pubblica amministrazione interessata.

Il DPS deve essere redatto da alcuni soggetti che non vi erano precedentemente tenuti (ad esempio, da chi trattava dati sensibili o giudiziari, ma con elaboratori non accessibili mediante una rete di telecomunicazioni disponibili al pubblico).

Inoltre, a differenza di quanto accadeva in passato, la categoria dei dati giudiziari è oggi rappresentata anche da altri dati personali, riferiti ad esempio a provvedimenti giudiziari non definitivi o alla semplice qualità di imputato o indagato.

Benché non si tratti a rigore di una misura "nuova", si può, quindi, affermare che il DPS da redigere quest'anno per la prima volta, o da aggiornare, possa essere predisposto al più tardi entro il 31 dicembre 2004 , anziché necessariamente entro il 31 marzo, data che è invece prevista a regime per i prossimi anni, a partire dal 2005.

Adempimenti per gli studi tecnici e le imprese edili.

Ricordiamo che per i dati personali comuni, cioè non qualificabili né come giudiziari né come sensibili (quali sono i dati trattati dagli studi professionali e dalle imprese edili; ad es. i dati anagrafici relativi a clienti, fornitori od altri soggetti con i quali lo studio o l'impresa intrattiene rapporti), gli adempimenti previsti dalla normativa non sono molti. Riassumiamoli in breve:

1) al committente devono essere fornite tutte le informazioni relative ai dati in possesso del professionista;

2) devono essere adottate tutte le misure di sicurezza necessarie per tutelare l'integrità dei dati custoditi e impedirne la diffusione non autorizzata;

3) è necessario individuare e nominare i dipendenti o collaboratori incaricati del trattamento;

Anche per i dati comuni si pone, comunque, la necessità di proteggerli da accessi non autorizzati, fornendo, a ciascun incaricato del trattamento, un Nome Utente ed una password univoci, e da perdite accidentali, effettuando, almeno settimanalmente, delle copie di salvataggio e dotando dei dati stessi, nonché dotando i propri elaboratori di programmi antivirus aggiornati.

Relativamente ai dati non sensibili e non giudiziari, il Codice non prevede l'obbligo di adottare alcun documento particolare che attesti l'adozione delle misure minime di sicurezza. E' possibile, comunque, qualora lo si ritenga opportuno, redigere un documento interno che fornisca tali informazioni.