Oggetto: Adempimenti in materia di sicurezza dettati dal D.L. 196/03
Dal 1 gennaio 2004 è entrato in vigore il nuovo testo Unico sulla protezione dei dati personali (Codice in materia di protezione dei dati personali – D.L. del 30/6/2003 n. 196). La normativa che esso prevede introduce il concetto nuovo di “tutela” dei dati (e non solo per i dati sensibili), riferendosi all’obbligo del titolare del trattamento di attivarsi e mettere in essere tutti quegli accorgimenti atti a rendere sicuro il trattamento dei dati personali.
Il nuovo Testo Unico, oltre a stabilire con esattezza la distinzione tra dati sensibili, giudiziari e dati personali (questi ultimi come semplici informazioni riguardanti persone fisiche o giuridiche) detta la regola secondo la quale “chiunque ha diritto alla protezione dei dati personali che lo riguardano”. Tale protezione investe qualsiasi tipo di informazione.
Il decreto legislativo 196/03 definisce una serie di adempimenti che devono essere ottemperati dalle società in base al tipo di dato trattato ed al tipo di titolare in oggetto, oltre a definire in modo preciso i termini temporali entro i quali tali misure devono essere adottate.
Devono adeguarsi tutti i soggetti che trattano dati personali: aziende, professionisti, cooperative, associazioni, Pubblica Amministrazione, scuole, comuni, ospedali, enti pubblici (ovvero chiunque tratti dati personali di clienti, dipendenti, fornitori, utenti, pazienti, colleghi, soci, associati e quanto altro.
Per trattamento deve intendersi qualunque operazione o complesso di operazioni, effettuati anche senza l’ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l’organizzazione, la conservazione, la consultazione, l’elaborazione, la modifica, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca dati (art. 4 comma 1 lettera a).
Per dato personale si intende qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale (D. L. 196/03 art. 4 comma 1 lettera b).
Il D. L. 196/03 prevede l’adozione delle misure minime di sicurezza (ed il loro adeguamento annuale) per il trattamento dei dati personali entro la data del 31 marzo di ogni anno. Per il solo anno in corso, la data è stata prorogata al 30.6.2004. Tale adempimento coinvolge tutti i soggetti previsti dalla legge. Nella fattispecie stabilisce che il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate alcune misure minime di sicurezza tra cui:
– autenticazione informatica;
– adozione di procedure di gestione delle credenziali di autenticazione;
– utilizzazione di un sistema di autorizzazione;
– aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici;
– protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici;
– adozione di procedure per la custodia di copie di sicurezza, il ripristino delle disponibilità dei dati e dei sistemi;
– tenuta di un aggiornato documento programmatico sulla sicurezza
– adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari.
(D. L. 196/03 Allegato B)
L’applicazione teorica o pratica delle misure minime di sicurezza deve risultare dalla stesura di un documento, a data certa, il cui contenuto è tracciato in modo ben definito dal legislatore) chiamato Documento Programmatico sulla Sicurezza (DPS) (art. 19 Allegato B del D.L. 196/03). Il decreto, pur stabilendo l’obbligatorietà di tale documento solo per i titolari che trattano dati sensibili o giudiziari) individua in esso l’unico strumento adeguato a fornire una prova certa della buona fede del titolare in caso di contestazione e ne fa quindi uno strumento indispensabile per tutti i titolari di trattamento di dati personali, anche alla luce del fatto che il D.L. 196/03 prevede l’inversione dell’onere della prova identificando il trattamento dei dati personali come attività pericolosa (art. 15 D.L. 196/03 e conseguentemente art. 2050 Codice Civile). Il legislatore impone come data di compilazione e in seguito di revisione del DPS la data del 31/3 di ogni anno, e solo per l’anno in corso la data è stata prorogata al 30.6.2004. Il DPS deve essere allegato al bilancio di esercizio e nella relazione annuale deve esserne menzionata l’esistenza.
Il D, L. in oggetto stabilisce anche i termini di legge entro i quali coloro che operano il trattamento di dati sensibili e/o giudiziari deve procedere alla notifica al Garante (anche se in passato il Titolare abbia già provveduto a presentare notifica, in base alla legge 675/96). Il Garante, dal canto suo, ha chiarito, con deliberazione n. 1 del 31.3.04 e pubblicata sulla G. U. n. 81 del 6 aprile 2004, coloro i quali, tra i titolari di trattamento, debbano essere esentati dalla notifica allo stesso.
La notifica deve essere effettuata esclusivamente on-line (tramite il sito del Garante) e la data termine per presentarla è stata stabilita nel giorno del 30.4.2004, in seguito prorogata alla mezzanotte del giorno 15.5.04 per sopraggiunti evidenti problemi tecnici sul sito dello garante. La notifica deve essere effettuata con l’ausilio della firma digitale.
A fronte della complessa legislazione vigente e delle pesantissime sanzioni previste a cui si può incorrere nei casi di inadempienza, lo Studio Aldeghi si propone ai suoi clienti al fine di stabilire una adeguata linea di intervento, definire l’analisi dei rischi, operare gli adeguamenti e procedere nella stesura del DPS al fine di presentarsi alla scadenza del 30.6.2004 in regola con la normativa vigente in oggetto.
Restando a disposizione per eventuali chiarimenti, colgo l’occasione per porgere cordiali saluti.
