Aziende private e amministrazioni pubbliche avranno tempo fino al 30 giugno 2004  per adottare le nuove “misure minime” di sicurezza introdotte dal Codice della privacy a salvaguardia dei dati personali contenuti negli archivi e per redigere il documento programmatico in materia di sicurezza (dps). Lo ha precisato il Garante per la protezione dei dati personali in occasione di un parere fornito alla Confindustria: il dps deve contenere, in particolare, l’analisi dei rischi che incombono sui dati personali e le tutele da adottare per prevenire la loro distruzione, l’accesso abusivo e la dispersione ed e’ obbligatorio per chi raccoglie, utilizza e conserva dati sensibili o giudiziari.
Potranno usufruire del termine del 30 giugno sia coloro che devono predisporre tale documento per la prima volta  sia  coloro che  ne abbiano gia’ redatto o aggiornato  uno nel 2003. Dal prossimo anno, decorso il periodo transitorio connesso all’entrata in vigore del Codice della privacy, il termine per l’aggiornamento del dps rimarra’ fissato al  31 marzo.

Il Codice, entrato in vigore il 1 gennaio 2004, ha confermato la disciplina in materia di sicurezza dei dati  personali introdotta nel 1996. In particolare, e’ stato ribadito il principio secondo cui le “misure minime” sono solo una  parte degli accorgimenti obbligatori in materia di sicurezza. Vi e’ infatti il dovere piu’ generale di custodire i dati personali per contenere il piu’ possibile il rischio che essi siano distrutti, dispersi, conoscibili fuori dei casi consentiti o trattati in modo illecito, nonche’ di introdurre ogni utile dispositivo di protezione legato alle nuove conoscenze tecniche. Oltre ad attenersi, quindi, a queste disposizioni generali, i soggetti pubblici e privati hanno il dovere di adottare in ogni caso le “misure minime”, la cui mancata adozione costituisce reato. 
Il Codice ha pero’ aggiornato l’elenco delle “misure minime” di sicurezza e ha indicato  modalita’ di applicazione (allegato B del Codice). Analogamente a quanto avveniva in passato, le “misure minime” sono diverse a seconda che il trattamento sia effettuato o meno con strumenti elettronici o riguardi dati sensibili o giudiziari.
Anche il documento programmatico sulla sicurezza, che in base al nuovo Codice deve essere adottato da chiunque effettua un  trattamento di dati sensibili o giudiziari con strumenti elettronici,  rientra tra le misure minime.
Si tratta di una misura non nuova, sebbene sia aumentato il numero dei soggetti che deve redigere il dps e sia parzialmente diverso il suo necessario contenuto.
Infatti, la precedente disciplina prevedeva gia’ l’obbligo di predisporre e aggiornare il dps, almeno annualmente, in caso di trattamento di dati sensibili o relativi a determinati provvedimenti giudiziari effettuato mediante elaboratori accessibili mediante una rete di telecomunicazioni disponibili al pubblico (artt.  22 e  24 l. n. 675/1996; art. 6 d. P.R. n. 318/1999).

I soggetti tenuti a predisporre il dps hanno potuto redigerlo per la prima volta entro il 29 marzo 2000 o, al piu’ tardi, entro il 31 dicembre 2000 (artt.  15, comma 2 e  41, comma 3 l. n. 675/1996;  l. n. 325/2000); dovendo rispettare l’obbligo di revisione almeno annuale, hanno dovuto aggiornare il dps negli anni successivi, anche nel 2003.
In base al nuovo Codice, la misura minima del dps deve essere ora adottata dal titolare di un trattamento di dati sensibili o giudiziari effettuato con strumenti elettronici, attraverso l’organo, ufficio o persona fisica a cio’ legittimata in base all’ordinamento aziendale o della pubblica amministrazione interessata (art.  34, comma 1, lett. g), del Codice;  regola 19 dell’Allegato B).

Come accennato, il dps deve essere redatto da alcuni soggetti che non vi erano precedentemente tenuti (ad esempio, da chi trattava dati sensibili o giudiziari, ma con elaboratori non accessibili mediante una rete di telecomunicazioni disponibili al pubblico).
Inoltre, a differenza del passato, la categoria dei dati giudiziari e’ oggi rappresentata anche da altri dati personali, riferiti ad esempio a provvedimenti giudiziari non definitivi o alla semplice qualita’ di imputato o indagato (v.  art. 4 del Codice).
Infine, il contenuto stesso del dps e’ arricchito da nuovi elementi che si aggiungono a quelli necessari in base alla precedente disciplina o ne specificano alcuni aspetti. Ad esempio, nel dps occorre descrivere ora i criteri e le modalita’ per ripristinare la disponibilita’ dei dati in caso di distruzione o danneggiamento delle informazioni o degli strumenti elettronici; occorre individuare poi i criteri da adottare per cifrare o per separare i dati idonei a rivelare lo stato di salute e la vita sessuale trattati da organismi sanitari ed esercenti le professioni sanitarie (regole 19.8 e 24 dell’Allegato B)).
Benche’ non si tratti a rigore di una misura “nuova”, e’ quindi legittimamente sostenibile che il dps da redigere quest’anno per la prima volta,  o da aggiornare, possa essere predisposto al piu’ tardi entro il 30 giugno 2004, anziche’ necessariamente entro il 31 marzo, data che e’ invece prevista a regime per i prossimi anni, a partire dal 2005 (cfr.  regola 19).
Il termine piu’ ampio del 30 giugno 2004 permettera’ di utilizzare facoltativamente il modello-base e semplificato di dps che il Garante e’ in procinto di porre a disposizione dei titolari del trattamento interessati, soprattutto per le realta’ medio-piccole che non si attiveranno entro il 31 marzo.
Il Garante ha inoltre precisato che non sussistono margini per sostenere che il dps possa essere redatto per la prima volta o aggiornato solo nel 2005. Il dps e’ peraltro una misura da adottare con un documento, anziche’ un accorgimento da applicare direttamente a strumenti elettronici, per cui non e’ possibile invocare un differimento al 2005 neppure in applicazione dello speciale meccanismo gia’ descritto a proposito delle obiettive ragioni tecniche relative a strumenti elettronici.

Si ricorda che le misure minime di sicurezza sono state disciplinate dal codice di protezione dei dati personali dagli artt. 33-34-35-36. In particolare l’art. 33 sulla scorta di quanto originariamente disposto dall’art. 15, comma 2, della legge 675/96 ha sancito l’obbligo per i titolari del trattamento di adottare le misure minime di sicurezza previste dalla normativa. Rispetto al precedente art. 15, la disposizione in argomento individua con precisione il titolare del trattamento come destinatario fondamentale della disciplina della sicurezza. In effetti il responsabile e’ solo una figura eventuale, che ripete i propri poteri dal titolare del trattamento, anche se la nomina e’ effettuata tra soggetti che forniscano idonea garanzia del pieno rispetto delle disposizioni, ivi compreso il profilo relativo alla sicurezza.
L’art. 34 disciplina ed elenca principalmente le misure minime di sicurezza da adottare nel caso di trattamenti di dati personali effettuati con strumenti elettronici, demandando la determinazione delle modalita’ di applicazione alle disposizioni contenute nel Disciplinare tecnico allegato al codice (allegato B).
Rispetto alle disposizioni contenute nel D.P.R. 28 luglio 1999, n. 318, emanato in attuazione dell’art. 15 della legge n. 675/1996, il sistema delle misure minime di sicurezza viene semplificato e aggiornato sulla base dell’esperienza applicativa degli ultimi tre anni e dell’evoluzione tecnologica.
Ai fini dell’applicazione delle misure minime richieste, si conferma la distinzione fra trattamenti effettuati con strumenti elettronici e trattamenti “cartacei”.
Riguardo i primi disciplinati da tale disposizione, si evidenzia la diversa configurazione della distinzione, presente a determinati effetti nel D.P.R. 318/1999, tra trattamenti effettuati con elaboratori non accessibili da altri elaboratori o terminali e trattamenti con elaboratori “accessibili” in rete, e, tra questi ultimi, dell’ulteriore distinzione tra l’accessibilita’ attraverso reti disponibili o non disponibili al pubblico.
Non ha piu’ una sua espressa rilevanza formale la figura dell’amministratore di sistema, mentre viene confermato l’obbligo di provvedere alla custodia di copie delle parole chiave per l’autenticazione, qualora sia tecnicamente indispensabile per garantire l’accesso ai dati in caso di impedimento di un incaricato.

Per il trattamento con strumenti elettronici si prevede l’obbligo di adottare l’autenticazione informatica dell’utente, anche mediante l’utilizzo di eventuali sistemi biometrici, e adeguate procedure di gestione delle relative credenziali di autenticazione.
Il titolare deve curare l’aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati, la protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici, la tenuta di un aggiornato documento programmatico sulla sicurezza e l’adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari.

A tal proposito si sottolinea che la sicurezza nell’informatica equivale ad attuare tutte le misure e tutte le tecniche necessarie per proteggere l’hardware, il software ed i dati dagli accessi non autorizzati (intenzionali o meno), per garantirne la riservatezza, nonche’ eventuali usi illeciti, dalla divulgazione, modifica e distruzione.
Si include, quindi, la sicurezza del cuore del sistema informativo, cioe’ il centro elettronico dell’elaboratore stesso, dei programmi, dei dati e degli archivi.
L’art. 35 disciplina ed elenca principalmente le misure minime di sicurezza da adottare nel caso di trattamenti di dati personali effettuati senza l’ausilio di strumenti elettronici, demandando la determinazione delle modalita’ di applicazione alle disposizioni contenute nel Disciplinare tecnico allegato al codice (allegato B).
Si tratta naturalmente di casi residuali, considerato che nell’attuale era informatica, nella maggior parte dei casi, esistono dei trattamenti automatizzati. Comunque, i trattamenti cartacei continuano ad essere in uso in molte amministrazioni pubbliche e ad essi vengono dedicate misure molto semplificate, anche al fine di evitare rilevanti aumenti di complessita’ del lavoro in contesti in cui sono gia’ presenti, di solito, prescrizioni o consuetudini volte ad assicurare la conservazione e la custodia dei documenti.
 Particolarmente importante e’ l’obbligo della conservazione degli atti in archivi ad accesso selezionato. L’allontanamento degli atti dall’archivio puo’ avere luogo solo per le necessita’ del trattamento. In tal caso i documenti sono affidati alla custodia dell’addetto al trattamento, che ha l’obbligo di restituirli all’archivio al termine delle operazioni affidategli.

Ad ogni modo e’ opportuno precisare che laddove la limitatezza tecnologica degli strumenti in uso o la loro obsolescenza non consentano di attuare completamente il dettato normativo, si prevede l’obbligo da parte del titolare di descrivere in un documento a data certa, da custodire presso la propria struttura, gli impedimenti tecnici che hanno reso impossibile o parziale l’immediata applicazione delle misure minime di sicurezza. Viene inoltre introdotto, in relazione alla possibile inadeguatezza di alcuni elaboratori a consentire l’applicazione delle misure minime, un termine di un anno per dare tempo ai titolari di adeguare la propria dotazione tecnologica in modo da consentire l’applicazione delle misure minime di sicurezza (art. 180).
Infine l’art. 36 del codice prende spunto dall’art. 15, 3° comma della legge 675/96 con la fondamentale differenza rappresentata dall’esistenza di un disciplinare tecnico da aggiornare periodicamente.

Scritto da