Misure minime di sicurezza

Per quanto concerne la generalità dei soggetti, si osserva che a partire dal 1° gennaio 2004, data di entrata in vigore del nuovo codice, le misure minime di sicurezza, che devono essere adottate, sono previste dal disciplinare tecnico, che va a sostituirsi al Dpr 318/1999.
Conscio del fatto che una scadenza così ravvicinata potrebbe creare problemi di ordine tecnico, ai soggetti che trattano dati personali, il legislatore ha differito, con le disposizioni transitorie, il termine ultimo entro il quale è possibile adeguarsi a quanto previsto dal disciplinare tecnico, nei seguenti termini:

§ per tutti i soggetti, il comma 1 dell’articolo 180 stabilisce il termine ultimo del 31 dicembre 2004*, per adottare le nuove misure minime (cioè quelle che, essendo state introdotte dal disciplinare tecnico, non erano in precedenza previste dal Dpr 318/1999).

§ nel solo caso in cui si possiedano strumenti elettronici tecnicamente inadeguati, i commi 2 e 3 dell’articolo 180 differiscono ulteriormente al 31 marzo 2005* il termine ultimo, entro cui si devono adottare le nuove misure minime.

La norma detta le condizioni, che autorizzano ad avvalersi del maggiore termine:

• la circostanza di disporre di strumenti elettronici che, per obiettive ragioni tecniche, non consentono in tutto o in parte l’immediata applicazione delle misure minime, deve essere verificata in data 1° gennaio 2004. Chi si trovasse in questa situazione può quindi beneficiare del maggiore termine, anche nell’ipotesi in cui gli strumenti elettronici venissero sostituiti, con strumenti adeguati, prima del 31 dicembre 2004;
• entro il 31 dicembre 2004, il titolare deve redigere un documento a data certa, da custodire presso la propria struttura (non va quindi inviato al Garante), nel quale espone le ragioni per cui gli strumenti elettronici sono, in tutto o in parte, inadeguati. Si ricorda che, per ottenere il requisito della data certa, non è necessario recarsi da un notaio o all’Ufficio del registro, ma è ad esempio sufficiente inviare a sé stessi il documento, mediante piego raccomandato con ricevuta di ritorno
• il titolare deve comunque adottare ogni possibile misura di sicurezza, in relazione agli strumenti elettronici detenuti, in modo da evitare, anche sulla base di idonee misure organizzative, logistiche o procedurali, un incremento dei rischi per la sicurezza.

REDAZIONE DEL DOCUMENTO PROGRAMMATICO SULLA SICUREZZA (Art.34, comma 6)

L’obbligo di redigere il documento programmatico di sicurezza viene generalizzato, a tutti in casi in cui si trattino dati sensibili o giudiziari con l’utilizzo di strumenti elettronici, anche nell’ipotesi in cui tali strumenti non siano in rete (con il nuovo codice, è quindi sufficiente che tali dati siano trattati con un singolo elaboratore, perché si debba procedere alla redazione del documento).

Viene inoltre fissato un termine generale, entro il 31 marzo di ogni anno, per la redazione e, negli anni successivi, l’aggiornamento di tale documento.

Per il solo anno 2004, il Garante ha fissato al 31 dicembre 2004* il termine ultimo, entro il quale redigere per la prima volta o aggiornare il documento.  L’Autorità ha imposto tale scadenza a tutti i soggetti che trattano dati sensibili o giudiziari con elaboratori, per cui si osserva quanto segue:

§ per i soggetti che erano già tenuti alla redazione del DPSS, in vigenza del Dpr 318/1999, il più lungo temine del 31 dicembre è motivato dal fatto che nel nuovo DPSS si devono includere informazioni aggiuntive, rispetto a quelle in precedenza richieste, e si deve inoltre dare conto di avere adottato, o di essere in procinto di adottare, misure di sicurezza che possono essere in parte nuove, rispetto a quelle previste dal Dpr 318/1999 stesso.

Per inciso, tali soggetti sono tenuti a redigere il DPSS per il 2004 entro il 31 dicembre anche nell’ipotesi in cui, a tale data, sia trascorso meno di un anno dall’ultimo aggiornamento effettuato in base alle vecchie regole, previste dal Dpr 318/1999

§ per i soggetti che non erano tenuti alla redazione del DPSS, in vigenza del Dpr 318/1999, ma lo sono ai sensi del nuovo codice privacy, la scadenza del 31 dicembre 2004, imposta dal Garante, costituisce in realtà un anticipo, rispetto alla data che si sarebbe potuta ipotizzare, dalla lettura della norma (31 marzo 2005). Il Garante ritiene infatti che non sussistano margini per sostenere che, nel caso in esame, il DPSS possa essere redatto per la prima volta solo nel 2005

§ la stessa regola vale per i soggetti che, disponendo di strumenti elettronici tecnicamente inadeguati, redigono entro il 31 dicembre 2004 un documento avente data certa, per differire al 31 marzo 2005 il termine ultimo entro cui adottare le nuove misure minime di sicurezza. Se trattano dati sensibili o giudiziari con l’utilizzo di elaboratori, tali soggetti devono comunque rispettare il termine del 31 dicembre per redigere per la prima volta, o aggiornare, il DPSS, in quanto il Garante ha affermato che si tratta di una misura da adottare con un documento, non di un accorgimento da applicare direttamente a strumenti elettronici, per cui non è possibile invocare un differimento al 2005, neppure in applicazione dello speciale meccanismo a proposito delle obiettive ragioni tecniche relative a strumenti elettronici.

* (termini modificati dal decreto legge del 22 giugno 2004)