Obblighi di sicurezza e documento programmatico

Gli obblighi di sicurezza e documento programmatico
previsti dal Testo Unico sulla Privacy

Misure minime di sicurezza e DPS

Secondo il Testo Unico sulla Privacy (D.Lgs. 196/2003), aziende private e amministrazioni pubbliche, enti ed associazioni, liberi professionisti, hanno tempo fino al 31 dicembre 2004 per adottare le nuove “misure minime” di sicurezza a salvaguardia dei dati personali contenuti negli archivi e per redigere il documento programmatico in materia di sicurezza (DPS). La precedente scadenza del 30 giugno 2004 è stata infatti prorogata sino a fine anno da un Decreto Legge proposto dal Ministro Casterlli il 22 giugno 2004, ed approvato dal Consiglio dei Ministri.

Il DPS deve contenere, in particolare, l’analisi dei rischi che incombono sui dati personali e le tutele da adottare per prevenire la loro distruzione, l’accesso abusivo e la dispersione. Il DPS è obbligatorio per chi raccoglie, utilizza e conserva dati sensibili o giudiziari. Possono usufruire del termine del 30 giugno sia coloro che devono predisporre tale documento per la prima volta sia coloro che ne abbiano già redatto o aggiornato uno nel 2003. Un modello base semplificato è disponibile sul sito del Garante www.garanteprivacy.it.

Dal prossimo anno, decorso il periodo transitorio connesso all’entrata in vigore del Codice della privacy, il termine per l’aggiornamento del DPS rimarrà fissato al 31 marzo.

Obblighi e scadenze

Il Codice della privacy ha confermato la disciplina in materia di sicurezza dei dati personali introdotta nel 1996. In particolare, è stato ribadito il principio secondo cui le "misure minime" sono solo una parte degli accorgimenti obbligatori in materia di sicurezza. Vi è infatti il dovere più generale di custodire i dati personali per contenere il più possibile il rischio che essi siano distrutti, dispersi, conoscibili fuori dei casi consentiti o trattati in modo illecito, nonché di introdurre ogni utile dispositivo di protezione legato alle nuove conoscenze tecniche.

Oltre ad attenersi, quindi, a queste disposizioni generali, i soggetti pubblici e privati hanno il dovere di adottare in ogni caso le "misure minime", la cui mancata adozione costituisce reato. Il Codice ha però aggiornato l’elenco delle "misure minime" di sicurezza e ha indicato modalità di applicazione (allegato B del Codice). Analogamente a quanto avveniva in passato, le "misure minime" sono diverse a seconda che il trattamento sia effettuato o meno con strumenti elettronici o riguardi dati sensibili o giudiziari.

Anche il documento programmatico sulla sicurezza, che in base al nuovo Codice deve essere adottato da chiunque effettua un trattamento di dati sensibili o giudiziari con strumenti elettronici, rientra tra le misure minime. Si tratta di una misura non nuova anche se è parzialmente cambiato il contenuto del documento, è più ampia la categoria dei dati giudiziari ed è aumentato il numero dei soggetti destinatari dell’obbligo. Proprio in considerazione delle novità introdotte e del numero dei nuovi soggetti interessati, il Garante ha ritenuto che, in sede di prima applicazione del nuovo quadro normativo, il DPS possa essere predisposto al più tardi entro il 30 giugno 2004.

Va ricordato che il termine concesso oggi agli operatori riguarda solo ed esclusivamente l’adozione delle nuove misure introdotte dal Codice. Le "vecchie" misure minime, che erano già obbligatorie in passato, devono essere infatti adottate senza attendere il termine del 30 giugno.

Diversi principi affermati dal nuovo Codice non sono quindi nuovi per gli operatori. In particolare è stato confermato il principio (evidenziato con maggiore chiarezza dalle nuove disposizioni) secondo cui le "misure minime", di importanza tale da indurre il legislatore a prevedere anche una sanzione penale, sono solo una parte degli accorgimenti obbligatori in materia di sicurezza (art. 33 del Codice).

Gli obblighi in dettaglio

In materia, come già previsto dalla Legge n. 675/1996, si distinguono due distinti obblighi:

a) l’obbligo più generale di ridurre al minimo determinati rischi.
Occorre custodire e controllare i dati personali oggetto di trattamento per contenere nella misura più ampia possibile il rischio che i dati siano distrutti, dispersi anche accidentalmente, conoscibili fuori dei casi consentiti o altrimenti trattati in modo illecito. Resta in vigore, oltre alle cosiddette "misure minime", l’obbligo di adottare ogni altra misura di sicurezza idonea a fronteggiare le predette evenienze, avuto riguardo alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle caratteristiche del trattamento, di cui si devono valutare comunque i rischi (art.31). Come in passato, l’inosservanza di questo obbligo rende il trattamento illecito anche se non si determina un danno per gli interessati. Il trattamento illecito viola quindi i diritti degli interessati, compreso il diritto fondamentale alla protezione dei dati personali che può essere esercitato nei confronti del titolare del trattamento (artt. 1 e 7, comma 3, del Codice), ed espone a responsabilità civile per danno anche non patrimoniale qualora, davanti al giudice ordinario, non si dimostri di aver adottato tutte le misure idonee ad evitarlo (artt. 15 e 152 del Codice).

b) nell’ambito del predetto obbligo più generale, il dovere di adottare in ogni caso le "misure minime". Nel quadro degli accorgimenti più ampi da adottare per effetto dell’obbligo ora richiamato, occorre assicurare comunque un livello minimo di protezione dei dati personali. Pertanto, in aggiunta alle conseguenze appena ricordate, il Codice conferma l’impianto secondo il quale l’omessa adozione di alcune misure indispensabili ("minime"), le cui modalità sono specificate tassativamente nell’Allegato B) del Codice, costituisce anche reato (art. 169 del Codice, che prevede l’arresto sino a due anni o l’ammenda da 10 mila euro a 50 mila euro, e l’eventuale "ravvedimento operoso" di chi adempie puntualmente alle prescrizioni impartite dal Garante una volta accertato il reato ed effettua un pagamento in sede amministrativa, ottenendo così l’estinzione del reato).

Documento programmatico e misure di sicurezza

Una risposta moderna, flessibile ed efficace a tutte le esigenze di protezione dei dati. La ventennale esperienza maturata da EtaBeta nella trasposizione, informatizzazione, riordino e gestione di grandi archivi ci permette di proporre un prodotto che sin dalla sua nascita si è caratterizzato come un vero e proprio standard nel settore della protezione e sicurezza dei dati

siti consigliati