MISURE MINIME DI SICUREZZA
(Art. 33-36)
Per
quanto concerne la generalità dei soggetti, si osserva che a partire dal
1° gennaio 2004, data di entrata in vigore del nuovo codice, le misure
minime di sicurezza, che devono essere adottate, sono previste dal
disciplinare tecnico, che va a sostituirsi al Dpr 318/1999.
Conscio del fatto che una scadenza così ravvicinata potrebbe creare
problemi di ordine tecnico, ai soggetti che trattano dati personali, il
legislatore ha differito, con le disposizioni transitorie, il termine
ultimo entro il quale è possibile adeguarsi a quanto previsto dal
disciplinare tecnico, nei seguenti termini:
§ per tutti i
soggetti, il comma 1
dell’articolo 180 stabilisce il termine ultimo del 31 dicembre 2004*,
per adottare le nuove misure minime (cioè quelle che, essendo state
introdotte dal disciplinare tecnico, non erano in precedenza previste
dal Dpr 318/1999).
§ nel solo
caso in cui si possiedano strumenti elettronici tecnicamente inadeguati,
i commi 2 e 3 dell’articolo
180 differiscono ulteriormente al 31 marzo 2005* il
termine ultimo, entro cui si devono adottare le nuove misure minime.
La
norma detta le condizioni, che autorizzano ad avvalersi del maggiore
termine:
-
la circostanza di
disporre di strumenti elettronici che, per obiettive ragioni
tecniche, non consentono in tutto o in parte l’immediata
applicazione delle misure minime, deve essere verificata in data 1°
gennaio 2004. Chi si trovasse in questa situazione può quindi
beneficiare del maggiore termine, anche nell’ipotesi in cui gli
strumenti elettronici venissero sostituiti, con strumenti adeguati,
prima del 31 dicembre 2004;
-
entro il
31 dicembre 2004, il titolare deve redigere un documento a data
certa, da custodire presso la propria struttura (non va quindi
inviato al Garante), nel quale espone le ragioni per cui gli
strumenti elettronici sono, in tutto o in parte, inadeguati. Si
ricorda che, per ottenere il requisito della data certa, non è
necessario recarsi da un notaio o all’Ufficio del registro, ma è ad
esempio sufficiente inviare a sé stessi il documento, mediante piego
raccomandato con ricevuta di ritorno
-
il titolare deve
comunque adottare ogni possibile misura di sicurezza, in relazione
agli strumenti elettronici detenuti, in modo da evitare, anche sulla
base di idonee misure organizzative, logistiche o procedurali, un
incremento dei rischi per la sicurezza.
REDAZIONE DEL DOCUMENTO
PROGRAMMATICO SULLA SICUREZZA
(Art.34, comma 6)
L’obbligo di redigere il documento programmatico di sicurezza viene
generalizzato, a tutti in casi in cui si trattino dati sensibili o
giudiziari con l’utilizzo di strumenti elettronici,
anche nell’ipotesi in cui tali strumenti non siano in rete
(con il nuovo codice, è quindi sufficiente che tali dati siano trattati
con un singolo elaboratore, perché si debba procedere alla redazione del
documento).
Viene
inoltre fissato un termine
generale, entro il 31 marzo di ogni anno, per la
redazione e, negli anni successivi, l’aggiornamento di tale documento.
Per il solo anno 2004, il
Garante ha fissato al 31 dicembre 2004* il termine ultimo, entro il
quale redigere per la prima volta o aggiornare il documento.
L’Autorità ha imposto tale scadenza a tutti i soggetti che trattano dati
sensibili o giudiziari con elaboratori, per cui si osserva quanto segue:
§ per i
soggetti che erano già tenuti alla redazione del DPSS, in vigenza del
Dpr 318/1999, il più lungo temine del 31 dicembre è motivato dal fatto
che nel nuovo DPSS si devono includere informazioni aggiuntive, rispetto
a quelle in precedenza richieste, e si deve inoltre dare conto di avere
adottato, o di essere in procinto di adottare, misure di sicurezza che
possono essere in parte nuove, rispetto a quelle previste dal Dpr
318/1999 stesso.
Per inciso, tali soggetti sono tenuti a redigere il DPSS per il 2004
entro il 31 dicembre anche nell’ipotesi in cui, a tale data, sia
trascorso meno di un anno dall’ultimo aggiornamento effettuato in base
alle vecchie regole, previste dal Dpr 318/1999
§ per i
soggetti che non erano tenuti alla redazione del DPSS, in vigenza del
Dpr 318/1999, ma lo sono ai sensi del nuovo codice privacy, la scadenza
del 31 dicembre 2004, imposta dal Garante, costituisce in realtà un
anticipo, rispetto alla data che si sarebbe potuta ipotizzare, dalla
lettura della norma (31 marzo 2005). Il Garante ritiene infatti che non
sussistano margini per sostenere che, nel caso in esame, il DPSS possa
essere redatto per la prima volta solo nel 2005
§ la stessa
regola vale per i soggetti che, disponendo di strumenti elettronici
tecnicamente inadeguati, redigono entro il 31 dicembre 2004 un documento
avente data certa, per differire al
31 marzo 2005 il
termine ultimo entro cui adottare le nuove misure minime di sicurezza.
Se trattano dati sensibili o giudiziari con l’utilizzo di elaboratori,
tali soggetti devono comunque
rispettare il termine del 31 dicembre per redigere per
la prima volta, o aggiornare, il DPSS, in quanto il Garante ha affermato
che si tratta di una misura da adottare con un documento, non di un
accorgimento da applicare direttamente a strumenti elettronici, per cui
non è possibile invocare un differimento al 2005, neppure in
applicazione dello speciale meccanismo a proposito delle obiettive
ragioni tecniche relative a strumenti elettronici.
*
(termini modificati dal
decreto legge del 22 giugno 2004)
|