Obblighi di sicurezza e documento programmatico: al 30 giugno la redazione del “dps”
Aziende private e amministrazioni pubbliche
avranno tempo fino al 30 giugno 2004 per adottare le nuove “misure minime†di
sicurezza introdotte dal Codice della privacy a salvaguardia dei dati personali
contenuti negli archivi e per redigere il documento programmatico in materia di
sicurezza (dps). Il dps deve contenere, in particolare, l’analisi dei rischi che
incombono sui dati personali e le tutele da adottare per prevenire la loro
distruzione, l’accesso abusivo e la dispersione ed è obbligatorio per chi
raccoglie, utilizza e conserva dati sensibili o giudiziari.
Potranno usufruire del termine del 30 giugno sia coloro che devono predisporre
tale documento per la prima volta sia coloro che ne abbiano già redatto o
aggiornato uno nel 2003. Un modello base semplificato sarà disponibile a breve
sul sito del Garante www.garanteprivacy.it.
Dal prossimo anno, decorso il periodo
transitorio connesso all’entrata in vigore del Codice della privacy, il termine
per l’aggiornamento del dps rimarrà fissato al 31 marzo.
Queste in sintesi le indicazioni che l’Ufficio
del Garante ha fornito ad amministrazioni pubbliche e società private per una
corretta applicazione delle novità normative introdotte dal Codice della privacy
in materia di “misure minime†di sicurezza e dei sistemi informatici e
telematici. Le "misure minime", già previste dalla legge n.675/1996, sono
l’insieme degli accorgimenti tecnici e organizzativi che l’azienda deve adottare
per assicurare almeno il livello minimo di sicurezza per la protezione dei dati
personali.
Il Codice, entrato in vigore il 1 gennaio
2004, ha confermato la disciplina in materia di sicurezza dei dati personali
introdotta nel 1996. In particolare, è stato ribadito il principio secondo cui
le "misure minime" sono solo una parte degli accorgimenti obbligatori in
materia di sicurezza. Vi è infatti il dovere pi๠generale di custodire i dati
personali per contenere il pi๠possibile il rischio che essi siano distrutti,
dispersi, conoscibili fuori dei casi consentiti o trattati in modo illecito,
nonché di introdurre ogni utile dispositivo di protezione legato alle nuove
conoscenze tecniche. Oltre ad attenersi, quindi, a queste disposizioni generali,
i soggetti pubblici e privati hanno il dovere di adottare in ogni caso le
"misure minime", la cui mancata adozione costituisce reato.
Il Codice ha però aggiornato l’elenco delle
"misure minime" di sicurezza e ha indicato modalità di applicazione (allegato B
del Codice). Analogamente a quanto avveniva in passato, le "misure minime" sono
diverse a seconda che il trattamento sia effettuato o meno con strumenti
elettronici o riguardi dati sensibili o giudiziari.
Anche il documento programmatico sulla
sicurezza, che in base al nuovo Codice deve essere adottato da chiunque effettua
un trattamento di dati sensibili o giudiziari con strumenti elettronici,
rientra tra le misure minime. Si tratta di una misura non nuova anche se è
parzialmente cambiato il contenuto del documento, è pi๠ampia la categoria dei
dati giudiziari ed è aumentato il numero dei soggetti destinatari dell’obbligo.
Proprio in considerazione delle novità introdotte e del numero dei nuovi
soggetti interessati, il Garante ha ritenuto che, in sede di prima applicazione
del nuovo quadro normativo, il dps possa essere predisposto, al pi๠tardi entro
il 30 giugno 2004.
Va ricordato, infine, che il termine concesso
oggi agli operatori riguarda solo ed esclusivamente l’adozione delle nuove
misure introdotte dal Codice. Le "vecchie" misure minime, che erano già
obbligatorie in passato, devono essere infatti adottate senza attendere il
termine del 30 giugno.
Il parere del Garante è consultabile sul sito.
Roma, 23 marzo 2004
Related Posts
Commento all'articolo