SU
ItaliaOggi (Giustizia e Società)
Numero 070, pag. 27 del 23/3/2004
di Antonio Ciccia
La novità è contenuta nel vademecum per le aziende diffuso ieri dal garante Stefano Rodotà.
Privacy, primi adeguamenti al 30/6
C'è la proroga per il documento programmatico sulla sicurezza
Ci sarà tempo fino al prossimo mese di giugno per predisporre il documento sulla sicurezza privacy. Inoltre, in ausilio dei titolari medio Ð piccoli delle aziende, sarà presto disponibile il modello base e semplificato del documento programmatico sulla sicurezza, elaborato dal garante. Sono queste alcune delle novità contenute nel vademecum del garante Stefano Rodotà e diffuso ieri in materia di applicazione delle misure di sicurezza sul trattamento dei dati personali dettate dalla legislazione sulla privacy e rivisitate dal decreto legislativo 196/2003.
Il documento, atteso da imprese, pubbliche amministrazioni e professionisti, si colloca in un quadro di semplificazione, che il garante deve ancora completare. Si aspetta ora un'analoga pronuncia in materia di notificazioni, preannunciata dallo stesso Rodotà con una lettera indirizzata a Confindustria e attesa già per la prossima settimana.
Il contenuto saliente del parere sulle misure di sicurezza è rappresentato certamente dall'indicazione al 30 giugno 2004 della scadenza unica per l'adeguamento alle nuove misure minime previste dal codice della privacy (nell'allegato b), compreso il documento programmatico sulla sicurezza (dps), ma non vanno sottovalutate altre indicazioni operative.
Innanzitutto viene ribadito che il sistema delle misure di sicurezza privacy è un sistema caratterizzato da un doppio binario: le misure di sicurezza minime e quelle ulteriori. Il rispetto delle prime vale a evitare sanzioni penali, mentre il rispetto delle seconde consente di evitare anche il rischio del risarcimento del danno. Da questo punto di vista non va dimenticato che tutti i titolari di trattamento, tenuti a effettuare la notificazione in base all'articolo 37 del Codice, devono dichiarare nella stessa se hanno o meno adeguato i propri archivi sia alle misure minime sia a quelle ulteriori.
Peraltro anche coloro che non sono tenuti alla notificazione sono tenuti a uno speciale obbligo di trasparenza, anche sulle misure di sicurezza adottate (articolo 38 comma 6).
Il messaggio del garante è chiaro: non preoccupiamoci solo delle misure minime di sicurezza, ma in generale del sistema di sicurezza. Tra l'altro va anche sottolineato che una eventuale dichiarazione negativa nel modello di notifica al garante circa lo stato di attuazione delle misure di sicurezza ulteriori a quelle minime potrebbe essere considerata quale confessione stragiudiziale dell'inadeguatezza dei propri sistemi, per esempio ai fini della decisione di una causa per risarcimento dei danni.
Altro punto importante del vademecum del garante è che si è ampliata la platea dei soggetti tenuti ad adottare una particolare misura minima di sicurezza, che va sotto il nome di documento programmatico sulla sicurezza.
Sono tenuti al Dps tutti coloro che trattano dati sensibili e giudiziari con elaboratori elettronici. Peraltro va segnalato che con questa interpretazione viene fugato il dubbio derivante dalla formulazione letterale dell'articolo 34 del codice; e cioè che il mero trattamento con elaboratori obbligasse al Dps. Oltre a ciò occorre, infatti, che il trattamento concerna dati sensibili e giudiziari. Peraltro si è tenuti al Dps anche se il trattamento avviene con elaboratori non accessibili in rete pubblica (condizione invece prima richiesta dal dpr 318/1999).
Da queste considerazioni si può giungere a un primo risultato: tutti i titolari di trattamento devono tenere archivi sicuri (anche se usano solo archivi cartacei); alcuni accorgimenti di sicurezza minimali devono essere realizzati a pena di responsabilità penali. Chi tratta dati sensibili e giudiziari con elaboratori elettronici deve redigere il documento programmatico sulla sicurezza.
Da qui l'allargamento della platea dei destinatari (imprese, p.a. e professionisti, tra tutti) per adempimenti che hanno nel giugno 2004 la scadenza. Il garante peraltro ha promesso un modello semplificato a uso delle piccole realtà.
È previsto un periodo più ampio per l'adeguamento (fino al 1° gennaio 2005) solo se, in un caso del tutto particolare, ricorrano obiettive ragioni di natura tecnica, da dichiarare in un atto avente data certa da redigere entro il 30 giugno 2004, anch'esso.
Le altre precisazioni di dettaglio, previste nel documento, riguardano l'annotazione nei bilanci di esercizio il proprio grado di adeguamento alla sicurezza privacy.
Chi era già tenuto al Dps deve riferire su quelli già adottati (fino al 2003 o anche nel 2004) e/o dichiarare l'adeguamento in itinere all'allegato B) del Codice.
Per chi non era tenuto al Dps l'obbligo di riferire scatta per il bilancio del 2004. Un'ultima precisazione: le ´misure minime' che erano già obbligatorie in passato (in base al vecchio regolamento dpr 318/1999) devono essere adottate ancora oggi senza attendere il decorso di termini transitori, che valgono solo per quelle nuove di cui all'allegato b) al Codice. (riproduzione riservata)
ItaliaOggi pubblica il testo del parere del garante per la privacy datato 22 marzo 2004 avente a oggetto: ´Prima applicazione del Codice in materia di protezione dei dati personali in materia di ”misure minime” di sicurezza (artt. 31-36 e Allegato B) al dlgs n. 196/2003)'
Il Codice entrato in vigore il 1° gennaio 2004 ha confermato e aggiornato la disciplina in materia di sicurezza dei dati personali e dei sistemi informatici e telematici introdotta nel 1996.
Diversi principi affermati dal nuovo Codice non sono nuovi per gli operatori.
In particolare è stato confermato il principio (evidenziato con maggiore chiarezza dalle nuove disposizioni) secondo cui le ´misure minime', di importanza tale da indurre il legislatore a prevedere anche una sanzione penale, sono solo una parte degli accorgimenti obbligatori in materia di sicurezza (art. 33 del Codice).
In materia, come già previsto dalla legge n. 675/1996, si distinguono due distinti obblighi:
a) l'obbligo più generale di ridurre al minimo determinati rischi.
Occorre custodire e controllare i dati personali oggetto di trattamento per contenere nella misura più ampia possibile il rischio che i dati siano distrutti, dispersi anche accidentalmente, conoscibili fuori dei casi consentiti o altrimenti trattati in modo illecito.
Resta in vigore, oltre alle cosiddette ´misure minime', l'obbligo di adottare ogni altra misura di sicurezza idonea a fronteggiare le predette evenienze, avuto riguardo alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle caratteristiche del trattamento, di cui si devono valutare comunque i rischi (art. 31).
Come in passato, l'inosservanza di questo obbligo rende il trattamento illecito anche se non si determina un danno per gli interessati; viola inoltre i loro diritti, compreso il diritto fondamentale alla protezione dei dati personali che può essere esercitato nei confronti del titolare del trattamento (artt. 1 e 7, comma 3, del Codice), e espone a responsabilità civile per danno anche non patrimoniale qualora, davanti al giudice ordinario, non si dimostri di aver adottato tutte le misure idonee a evitarlo (artt. 15 e 152 del Codice);
b) nell'ambito del predetto obbligo più generale, il dovere di adottare in ogni caso le ´misure minime'.
Nel quadro degli accorgimenti più ampi da adottare per effetto dell'obbligo ora richiamato, occorre assicurare comunque un livello minimo di protezione dei dati personali.
Pertanto, in aggiunta alle conseguenze appena ricordate, il Codice conferma l'impianto secondo il quale l'omessa adozione di alcune misure indispensabili (´minime'), le cui modalità sono specificate tassativamente nell'Allegato B) del Codice, costituisce anche reato (art. 169 del Codice, che prevede l'arresto sino a due anni o l'ammenda da 10 mila euro a 50 mila euro, e l'eventuale ´ravvedimento operoso' di chi adempie puntualmente alle prescrizioni impartite dal garante una volta accertato il reato ed effettua un pagamento in sede amministrativa, ottenendo così l'estinzione del reato).
1. LE NUOVE ´MISURE MINIME': TERMINI PER L'ADOZIONE
1.1. Il Codice, come previsto dalla legge n. 675/1996 e come dovrà avvenire periodicamente in base all'evoluzione tecnologica (art. 36 del Codice), ha aggiornato l'elenco delle ´misure minime' le cui modalità di applicazione, sulla base di alcune prescrizioni di ordine generale (artt. 33-35 del Codice), sono indicate analiticamente nelle 29 regole incluse nell'Allegato B) del medesimo Codice.
Analogamente a quanto avveniva in passato, le misure minime sono diverse a seconda che il trattamento sia effettuato o meno con strumenti elettronici, oppure riguardi dati sensibili o giudiziari.
Per alcune di esse sono previste scadenze periodiche, ma le ´misure minime' che erano già obbligatorie in passato devono essere adottate ancora oggi senza attendere il decorso di termini transitori.
1.2. Il termine transitorio che permette di adottare le misure entro il 30 giugno 2004 riguarda solo le nuove misure (art. 180, comma 1, dlgs n. 196/2003; per la precedente disciplina, v. gli artt. 15, comma 2, e 41 legge n. 675/1996, il dpr n. 318/1999 e la legge n. 325/2000).
È previsto un periodo più ampio per l'adeguamento (fino al 1° gennaio 2005) solo se, in un caso del tutto particolare, ricorrano obiettive ragioni di natura tecnica.
Si tratta dell'ipotesi specifica (che riguarda solo i trattamenti effettuati con strumenti elettronici) in cui il titolare del trattamento, alla data del 1° gennaio scorso, disponeva di strumenti elettronici che, per le predette obiettive ragioni esclusivamente tecniche, documentate in un atto a data certa da redigere al più tardi entro il 30 giugno 2004, non consentono di applicare immediatamente, in tutto o in parte, le nuove misure minime. Sempre in questo circoscritto caso, nel quale si è obbligati a prevenire comunque un incremento dei rischi (art. 180, comma 3, del Codice), occorre conservare il documento a data certa il quale non va trasmesso al garante, che può però richiederne l'esibizione in sede di accertamento anche ispettivo (artt. 157 ss. del Codice).
Per quanto riguarda le modalità per far risultare una ´data certa' si dovrà applicare la disciplina civilistica in materia di prova documentale (v. in particolare, gli artt. 2702-2704 del codice civile) e si potranno tenere presenti i suggerimenti formulati dal garante in un parere del 2000 qui allegato, e redatto a proposito di un analogo documento previsto in tema di sicurezza (art. 1 legge n. 325/2000).
In materia di ´misure minime', anche quando si rediga il documento a data certa, non va pertanto effettuata alcuna comunicazione al garante; dalla circostanza che l'Autorità abbia ricevuto eventuali note in proposito, spesso peraltro succinte, il titolare del trattamento non potrà inoltre desumere, anche in caso di mancato riscontro, alcun assenso o autorizzazione del garante a proseguire il trattamento dei dati con le modalità dichiarate.
2. IL DOCUMENTO PROGRAMMATICO SULLA SICUREZZA
2.1 Anche la redazione del Dps è una ´misura minima', prevista dall'Allegato B).
Si tratta di una misura non nuova, sebbene sia aumentato il numero dei soggetti che deve redigere il Dps e sia parzialmente diverso il suo necessario contenuto.
Infatti, la precedente disciplina prevedeva già l'obbligo di predisporre e aggiornare il Dps, almeno annualmente, in caso di trattamento di dati sensibili o relativi a determinati provvedimenti giudiziari effettuato mediante elaboratori accessibili mediante una rete di telecomunicazioni disponibili al pubblico (artt. 22 e 24 legge n. 675/1996; art. 6 dpr n. 318/1999).
I soggetti tenuti a predisporre il Dps hanno potuto redigerlo per la prima volta entro il 29 marzo 2000 o, al più tardi, entro il 31 dicembre 2000 (artt. 15, comma 2, e 41, comma 3 legge n. 675/1996; legge n. 325/2000); dovendo rispettare l'obbligo di revisione almeno annuale, hanno dovuto aggiornare il Dps negli anni successivi, anche nel 2003.
2.2. In base al nuovo Codice, la misura minima del Dps deve essere ora adottata dal titolare di un trattamento di dati sensibili o giudiziari effettuato con strumenti elettronici, attraverso l'organo, ufficio o persona fisica a ciò legittimata in base all'ordinamento aziendale o della pubblica amministrazione interessata (art. 34, comma 1, lett. g), del Codice; regola 19 dell'Allegato B).
Come accennato, il Dps deve essere redatto da alcuni soggetti che non vi erano precedentemente tenuti (per esempio, da chi trattava dati sensibili o giudiziari, ma con elaboratori non accessibili mediante una rete di telecomunicazioni disponibili al pubblico).
Inoltre, a differenza del passato, la categoria dei dati giudiziari è oggi rappresentata anche da altri dati personali, riferiti per esempio a provvedimenti giudiziari non definitivi o alla semplice qualità di imputato o indagato (v. art. 4 del Codice).
Infine, il contenuto stesso del Dps è arricchito da nuovi elementi che si aggiungono a quelli necessari in base alla precedente disciplina o ne specificano alcuni aspetti. Per esempio, nel Dps occorre descrivere ora i criteri e le modalità per ripristinare la disponibilità dei dati in caso di distruzione o danneggiamento delle informazioni o degli strumenti elettronici; occorre individuare poi i criteri da adottare per cifrare o per separare i dati idonei a rivelare lo stato di salute e la vita sessuale trattati da organismi sanitari ed esercenti le professioni sanitarie (regole 19.8 e 24 dell'Allegato B).
2.3. Benché non si tratti a rigore di una misura ´nuova', è quindi legittimamente sostenibile che il Dps da redigere quest'anno per la prima volta, o da aggiornare, possa essere predisposto al più tardi entro il 30 giugno 2004, anziché necessariamente entro il 31 marzo, data che è invece prevista a regime per i prossimi anni, a partire dal 2005 (cfr. regola 19).
Si perviene a questa conclusione per tutti i destinatari dell'obbligo:
a) sia per coloro che devono redigere il Dps per la prima volta nel 2004;
b) sia per chi, già dotato di un Dps redatto o aggiornato nel 2003, ritenga necessario utilizzare un trimestre in più, rispetto al prossimo 31 marzo, per curare la stesura di un testo significativo e più impegnativo nella ricognizione dei rischi e degli interventi previsti.
Il termine più ampio del 30 giugno 2004 permetterà di utilizzare facoltativamente il modello-base e semplificato di Dps che il garante è in procinto di porre a disposizione dei titolari del trattamento interessati, soprattutto per le realtà medio-piccole che non si attiveranno entro il 31 marzo.
Non sussistono infine margini per sostenere che il Dps possa essere redatto per la prima volta o aggiornato solo nel 2005. Il Dps è peraltro una misura da adottare con un documento, anziché un accorgimento da applicare direttamente a strumenti elettronici, per cui non è possibile invocare un differimento al 2005 neppure in applicazione dello speciale meccanismo già descritto a proposito delle obiettive ragioni tecniche relative a strumenti elettronici.
3. RELAZIONE ACCOMPAGNATORIA AL BILANCIO D'ESERCIZIO
3.1 Le scelte di fondo sulle modalità di trattamento sotto il profilo della sicurezza competono alle persone e agli organi legittimati ad adottare decisioni e esprimere a vari livelli, in base al proprio ordinamento interno, la volontà della società, ente o altro organismo titolare del trattamento (art. 4, comma 1, lett. f), del Codice).
In questo quadro, il Codice ha introdotto una nuova regola per rendere meglio edotti gli organi di vertice del titolare del trattamento e responsabilizzarli in materia di sicurezza, attraverso l'obbligo di riferire nella relazione di accompagnamento a ciascun bilancio di esercizio circa l'avvenuta redazione o aggiornamento del Dps che sia obbligatorio come misura ´minima' o che sia stato comunque adottato (regola 26 Allegato B).
Anche questa menzione rappresenta una misura ´minima' nuova, indicata tra quelle di ´tutela e garanzia' (regole 25 e 26).
3.2 I soggetti pubblici e privati tenuti in passato a predisporre o aggiornare il Dps, e che per il 2004 possono come detto aggiornarlo entro il 30 giugno del presente anno, dovranno riferire secondo la regola 26 già a partire dalla relazione sul bilancio di esercizio per il 2003, con riferimento al Dps già eventualmente aggiornato per il 2004, oppure menzionando l'adozione o aggiornamento avvenuto nel 2003 e indicando sinteticamente che si aggiornerà il Dps entro il 30 giugno 2004.
I soggetti pubblici e privati tenuti invece per la prima volta a redigere il Dps nel 2004 (come si è detto entro il 30 giugno), non devono indicare nella relazione alcunché se il Dps 2003 o il Dps 2004 non sono stati adottati. I medesimi soggetti, qualora alla data in cui predispongono la predetta relazione abbiano redatto già il Dps 2004, indicheranno invece tale circostanza; potranno infine indicare facoltativamente quanto eventualmente già fatto nel 2003 e, sempre facoltativamente, l'aggiornamento 2004 in itinere. Diamo in conclusione risposta alla vostra richiesta nei predetti termini, tenendo presenti altri quesiti pervenuti su questioni collegate e allegando una tabella esemplificativa delle principali scadenze (si vedano le tabelle a pag. 27).
