ROMA. Il Garante per la protezione dei dati personali in occasione di unparere fornito alla Confindustria ha precisato che aziende private eamministrazioni pubbliche avranno tempo fino al 30 giugno 2004 per adottarele nuove “misure minime” di sicurezza introdotte dal Codice della privacy asalvaguardia dei dati personali contenuti negli archivi e per redigere ildocumento programmatico in materia di sicurezza (dps). Il dps devecontenere, in particolare, l’analisi dei rischi che incombono sui datipersonali e le tutele da adottare per prevenire la loro distruzione, l’accesso abusivo e la dispersione ed e’ obbligatorio per chi raccoglie,utilizza e conserva dati sensibili o giudiziari.Potranno usufruire del termine del 30 giugno sia coloro che devonopredisporre tale documento per la prima volta sia coloro che ne abbianogia’ redatto o aggiornato uno nel 2003.Dal prossimo anno, decorso il periodo transitorio connesso all’entrata invigore del Codice della privacy, il termine per l’aggiornamento del dpsrimarra’ fissato al 31 marzo.Il Codice, entrato in vigore il 1 gennaio 2004, ha confermato la disciplinain materia di sicurezza dei dati personali introdotta nel 1996. Inparticolare, e’ stato ribadito il principio secondo cui le “misure minime”sono solo una parte degli accorgimenti obbligatori in materia di sicurezza.Vi e’ infatti il dovere piu’ generale di custodire i dati personali percontenere il piu’ possibile il rischio che essi siano distrutti, dispersi,conoscibili fuori dei casi consentiti o trattati in modo illecito, nonche’di introdurre ogni utile dispositivo di protezione legato alle nuoveconoscenze tecniche. Oltre ad attenersi, quindi, a queste disposizionigenerali, i soggetti pubblici e privati hanno il dovere di adottare in ognicaso le “misure minime”, la cui mancata adozione costituisce reato.Il Codice ha pero’ aggiornato l’elenco delle “misure minime” di sicurezza eha indicato modalita’ di applicazione (allegato B del Codice). Analogamentea quanto avveniva in passato, le “misure minime” sono diverse a seconda cheil trattamento sia effettuato o meno con strumenti elettronici o riguardidati sensibili o giudiziari.Anche il documento programmatico sulla sicurezza, che in base al nuovoCodice deve essere adottato da chiunque effettua un trattamento di datisensibili o giudiziari con strumenti elettronici, rientra tra le misureminime.Si tratta di una misura non nuova, sebbene sia aumentato il numero deisoggetti che deve redigere il dps e sia parzialmente diverso il suonecessario contenuto.Infatti, la precedente disciplina prevedeva gia’ l’obbligo di predisporre eaggiornare il dps, almeno annualmente, in caso di trattamento di datisensibili o relativi a determinati provvedimenti giudiziari effettuatomediante elaboratori accessibili mediante una rete di telecomunicazionidisponibili al pubblico (artt. 22 e 24 l. n. 675/1996; art. 6 d. P.R. n.318/1999).I soggetti tenuti a predisporre il dps hanno potuto redigerlo per la primavolta entro il 29 marzo 2000 o, al piu’ tardi, entro il 31 dicembre 2000(artt. 15, comma 2 e 41, comma 3 l. n. 675/1996; l. n. 325/2000); dovendorispettare l’obbligo di revisione almeno annuale, hanno dovuto aggiornare ildps negli anni successivi, anche nel 2003.In base al nuovo Codice, la misura minima del dps deve essere ora adottatadal titolare di un trattamento di dati sensibili o giudiziari effettuato construmenti elettronici, attraverso l’organo, ufficio o persona fisica a cio’legittimata in base all’ordinamento aziendale o della pubblicaamministrazione interessata (art. 34, comma 1, lett. g), del Codice;regola 19 dell’Allegato B)).Come accennato, il dps deve essere redatto da alcuni soggetti che non vierano precedentemente tenuti (ad esempio, da chi trattava dati sensibili ogiudiziari, ma con elaboratori non accessibili mediante una rete ditelecomunicazioni disponibili al pubblico).

Scritto da