Obblighi di sicurezza e documento programmatico: slitta al 30 giugno la redazione del “dps”
Comunicato stampa del Garante per la protezione dei dati personali del 23 marzo 2004
Aziende private e amministrazioni pubbliche avranno tempo fino al 30 giugno 2004 per adottare le nuove “misure minime” di sicurezza introdotte dal Codice della privacy a salvaguardia dei dati personali contenuti negli archivi e per redigere il documento programmatico in materia di sicurezza (dps). Il dps deve contenere, in particolare, l’analisi dei rischi che incombono sui dati personali e le tutele da adottare per prevenire la loro distruzione, l’accesso abusivo e la dispersione ed è obbligatorio per chi raccoglie, utilizza e conserva dati sensibili o giudiziari.
Potranno usufruire del termine del 30 giugno sia coloro che devono predisporre tale documento per la prima volta sia coloro che ne abbiano già redatto o aggiornato uno nel 2003. Un modello base semplificato sarà disponibile a breve sul sito del Garante www.garanteprivacy.it.
Dal prossimo anno, decorso il periodo transitorio connesso all’entrata in vigore del Codice della privacy, il termine per l’aggiornamento del dps rimarrà fissato al 31 marzo.
Queste in sintesi le indicazioni che l’Ufficio del Garante ha fornito ad amministrazioni pubbliche e società private per una corretta applicazione delle novità normative introdotte dal Codice della privacy in materia di “misure minime” di sicurezza e dei sistemi informatici e telematici. Le “misure minime”, già previste dalla legge n.675/1996, sono l’insieme degli accorgimenti tecnici e organizzativi che l’azienda deve adottare per assicurare almeno il livello minimo di sicurezza per la protezione dei dati personali.
Il Codice, entrato in vigore il 1 gennaio 2004, ha confermato la disciplina in materia di sicurezza dei dati personali introdotta nel 1996. In particolare, è stato ribadito il principio secondo cui le “misure minime” sono solo una parte degli accorgimenti obbligatori in materia di sicurezza. Vi è infatti il dovere più generale di custodire i dati personali per contenere il più possibile il rischio che essi siano distrutti, dispersi, conoscibili fuori dei casi consentiti o trattati in modo illecito, nonché di introdurre ogni utile dispositivo di protezione legato alle nuove conoscenze tecniche. Oltre ad attenersi, quindi, a queste disposizioni generali, i soggetti pubblici e privati hanno il dovere di adottare in ogni caso le “misure minime”, la cui mancata adozione costituisce reato.
Il Codice ha però aggiornato l’elenco delle “misure minime” di sicurezza e ha indicato modalità di applicazione (allegato B del Codice). Analogamente a quanto avveniva in passato, le “misure minime” sono diverse a seconda che il trattamento sia effettuato o meno con strumenti elettronici o riguardi dati sensibili o giudiziari.
Anche il documento programmatico sulla sicurezza, che in base al nuovo Codice deve essere adottato da chiunque effettua un trattamento di dati sensibili o giudiziari con strumenti elettronici, rientra tra le misure minime. Si tratta di una misura non nuova anche se è parzialmente cambiato il contenuto del documento, è più ampia la categoria dei dati giudiziari ed è aumentato il numero dei soggetti destinatari dell’obbligo. Proprio in considerazione delle novità introdotte e del numero dei nuovi soggetti interessati, il Garante ha ritenuto che, in sede di prima applicazione del nuovo quadro normativo, il dps possa essere predisposto, al più tardi entro il 30 giugno 2004.
Va ricordato, infine, che il termine concesso oggi agli operatori riguarda solo ed esclusivamente l’adozione delle nuove misure introdotte dal Codice. Le “vecchie” misure minime, che erano già obbligatorie in passato, devono essere infatti adottate senza attendere il termine del 30 giugno.