Privacy Redazione 15 Giugno 2004 0 Commenti

Guida alla privacy. Il vademecum per imprese, professionisti e p.a. per adeguarsi alle misure minime di sicurezza e al Dps Le misure di sicurezza

Una delle regole principali di privacy è
rappresentata dalla sicurezza dei dati e dei sistemi. Si tutela la privacy delle
persone adeguando i propri archivi e i propri elaboratori a misure di sicurezza,
che impediscono la perdita accidentale del dato e l’accesso abusivo agli stessi.

Il rispetto
delle misure minime rappresenta un interesse anche per chi deve utilizzare i
dati: si raggiunge così una comunanza di intenti: quello degli interessati di
evitare che i propri dati personali entrino in possesso di malintenzionati;
quello dei titolari del trattamento che sbarrano la strada a hacker e simili.

Il Testo
unico della privacy riprende le disposizioni sulla sicurezza privacy presenti
nella legge 675/1996 (articolo 15) e ne fornisce una disciplina pià¹ analitica.

I dati
personali oggetto di trattamento devono essere sempre custoditi e controllati,
in modo da ridurre al minimo, mediante l’adozione di idonee e preventive misure
di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati
stessi, di accesso non autorizzato o di trattamento non consentito o non
conforme alle finalità della raccolta (articolo 31 del Testo unico della
privacy).

Tutto ciò
deve essere realizzato anche in relazione alle conoscenze acquisite in base al
progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del
trattamento,

Le misure
idonee devono comunque essere garantite, anche a scanso delle responsabilità
civili.

Le imprese e
tutti i titolari del trattamento, fermo restando che devono realizzare tutte
misure idonee, sono comunque tenuti ad adottare alcune misure minime volte ad
assicurare un livello minimo di protezione dei dati personali. Insomma il
livello deve essere almeno il minimo di legge (così si evitano conseguenze
penali); se però in base al caso concreto si potevano predisporre misure
ulteriori, queste dovevano essere approntate, altrimenti c’è il rischio di
dovere risarcire i danni eventualmente cagionati.

1. Chi è
obbligato

Sono
obbligati al rispetto delle misure di sicurezza nel trattamento di dati tutti
coloro che trattano dati altrui. L’esonero dall’ambito di applicazione della
disciplina della privacy non esonera dal rispetto delle regole di sicurezza.
Come dire: la sicurezza la devono rispettare tutti senza eccezioni.

In
particolare sono tenuti al rispetto delle misure di sicurezza tutti i titolari
di trattamento, come per esempio imprese, associazioni, enti non personificati,
professionisti, società , ditte individuali, studi associati, enti pubblici, enti
pubblici economici, onlus.

Ora
affrontiamo tre casi particolari e cioè il trattamento effettuato da privati per
scopi personali e i trattamenti delle forze di polizia e quelli degli organi
della giustizia.

I
trattamenti personali di dati

Un dubbio
che può venire riguarda il trattamento di dati personali effettuato da persone
fisiche per fini esclusivamente personali. La rubrica personale dei numeri di
telefono o la propria agendina e così via rappresenta comunque un trattamento
dei dati delle persone. In base all’articolo 5 del Codice della privacy tale
trattamento è soggetto all’applicazione del presente codice solo se i dati sono
destinati ad una comunicazione sistematica o alla diffusione. Si applicano,
però, in ogni caso le disposizioni in tema di responsabilità e di sicurezza dei
dati di cui agli articoli 15 e 31.

Anche ai
trattamenti personali (non professionali) si applicano le regole di sicurezza
privacy. Attenzione, però, a non cadere in esagerazioni ingiustificate. Ai
trattamenti personali si applicano solo l’articolo 15 e l’articolo 31 del Codice
della privacy. Ovvero l’articolo che stabilisce l’obbligo di risarcire i danni
anche non patrimoniali per illecito trattamento di dati, nonché l’articolo 31
relativo all’obbligo generale di mantenere sicuri gli strumenti e i trattamenti.
In altre parole non vi è richiamo espresso all’articolo 33 e all’allegato B) del
codice. In sostanza il privato che tratta dati per le esigenze di relazione
poste dai rapporti quotidiani non è direttamente assoggettato alle misure minime
di sicurezza (articoli 33 e seguenti e allegato B) al codice), ma è soggetto
alla regola generale di non provocare, dolosamente o colposamente, danni a
terzi.

I
trattamenti delle forze di polizia

Anche ai
trattamenti delle forze di polizia si applicano le norme sulla sicurezza.

L’articolo
53 del codice prescrive infatti che: ´1. Al trattamento di dati personali
effettuato dal centro elaborazione dati del dipartimento di pubblica sicurezza o
da forze di polizia sui dati destinati a confluirvi in base alla legge, ovvero
da organi di pubblica sicurezza o altri soggetti pubblici per finalità di tutela
dell’ordine e della sicurezza pubblica, prevenzione, accertamento o repressione
dei reati, effettuati in base ad espressa disposizione di legge che preveda
specificamente il trattamento, non si applicano le seguenti disposizioni del
codice:

a) articoli
9, 10, 12, 13 e 16, da 18 a 22, 37, 38, commi da 1 a 5, e da 39 a 45;

b) articoli
da 145 a 151.

Come è
evidente ai trattamenti delle forze di polizia si applicano

– l’articolo
15 sulla responsabilità civile per danni;

– gli
articoli da 31 a 36 sulle misure di sicurezza, comprese quelle minime e quindi
quelle di cui all’allegato b) al Codicè.

I
trattamenti per fini di giustizia

A proposito
dei trattamenti per fini di giustizia l’articolo 47 del Codice prescrive che:
´In caso di trattamento di dati personali effettuato presso uffici giudiziari di
ogni ordine e grado, presso il consiglio superiore della magistratura, gli altri
organi di autogoverno e il ministero della giustizia, non si applicano, se il
trattamento è effettuato per ragioni di giustizia, le seguenti disposizioni del
codice:

a) articoli
9, 10, 12, 13 e 16, da 18 a 22, 37, 38, commi da 1 a 5, e da 39 a 45;

b) articoli
da 145 a 151.

Come è
evidente ai trattamenti per fini di giustizia si applicano

– l’articolo
15 sulla responsabilità civile per danni

– gli
articoli da 31 a 36 sulle misure di sicurezza, comprese quelle minime e quindi
quelle di cui all’allegato b) al Codicè.

2. Le
scadenze

La materia
delle scadenze entro le quali adeguarsi alle misure di sicurezza è
particolarmente importante.

Salvo
decisioni governative dell’ultima ora, il 30 giugno 2004 rappresenta una
scadenza perentoria. La fonte normativa della scadenza è rappresentata
dall’articolo 180 del Codice della privacy.

L’articolo
180 del codice prescrive, infatti, che ´le misure minime di sicurezza di cui
agli articoli da 33 a 35 e all’allegato B) che non erano previste dal decreto
del presidente della repubblica 28 luglio 1999, n. 318, sono adottate entro il
30

giugno
2004′.

Questo primo
comma dell’articolo 180 distingue:

-) misure
previste dal decreto del presidente della repubblica 28 luglio 1999, n. 318

-) misure
non erano previste dal decreto del presidente della repubblica 28 luglio 1999,
n. 318.

Il
riferimento è al dpr del 1999, n. 318, che conteneva l’elenco delle misure
minime di sicurezza, che dovevano essere adottate nel 2000.

L’articolo
180 del Codice dà tempo fino alla fine di giugno 2004 per le misure ´nuovè.

Il dibattito
sulla distinzione tra misure vecchie e misure nuove si è sviluppato soprattutto
con riferimento al Documento programmatico sulla sicurezza (siglato Dps), in
ordine al quale il garante ha stabilito la scadenza al 30 giugno 2004, anche se
si tratta di una misure non completamente nuova (era prevista già dal dpr
318/99, seppure con presupposti e contenuti parzialmente divergenti).

Per il
garante, benché il Dps non sia a rigore una misura ´nuovà, è legittimamente
sostenibile che il Dps da redigere nel 2004 per la prima volta, o da aggiornare,
possa essere predisposto al pià¹ tardi entro il 30 giugno 2004, anziché
necessariamente entro il 31 marzo, data che è invece prevista a regime gli anni,
a partire dal 2005.

Insomma la
scadenza del 30 giugno 2004 vale:

a) sia per
coloro che devono redigere il Dps per la prima volta nel 2004;

b) sia per
chi, già dotato di un Dps redatto o aggiornato nel 2003, ritenga necessario
utilizzare un trimestre in pià¹, rispetto al prossimo 31 marzo, per curare la
stesura di un testo significativo e pià¹ impegnativo nella ricognizione dei
rischi e degli interventi previsti.

Il termine
pià¹ ampio del 30 giugno 2004 permette di utilizzare facoltativamente le linee
guida emanate dal garante.

Non
sussistono invecemargini per sostenere che il Dps possa essere redatto per la
prima volta o aggiornato solo nel 2005. Il Dps è peraltro una misura da adottare
con un documento, anziché un accorgimento da applicare direttamente a strumenti
elettronici, per cui non è possibile invocare un differimento al 2005 neppure in
applicazione dello speciale meccanismo già descritto a proposito delle obiettive
ragioni tecniche relative a strumenti elettronici.

Il
differimento a gennaio 2005

Ai sensi
dell’articolo 180, comma 2, del Codice, il titolare del trattamento che dispone
di strumenti elettronici che, per obiettive ragioni tecniche, non consentono in
tutto o in parte l’immediata applicazione delle misure minime di cui
all’articolo 34 e delle corrispondenti modalità tecniche di cui all’allegato B),
descrive le medesime ragioni in un documento a data certa da conservare presso
la propria struttura.

In questo
caso, il titolare adotta ogni possibile misura di sicurezza in relazione agli
strumenti elettronici detenuti in modo da evitare, anche sulla base di idonee
misure organizzative, logistiche o procedurali, un incremento dei rischi di cui
all’articolo 31, adeguando i medesimi strumenti al pià¹ tardi entro un anno
dall’entrata in vigore del codice (cioè entro il 1° gennaio 2005).

Pertanto ci
sono sei mesi in pià¹ (rispetto al 30 giugno 2004) solo se per obiettive ragioni
tecniche i propri elaboratori non sono in grado di supportare il livello minimo
di sicurezza. Beninteso anche per queste ipotesi ci sono effetti immediati: non
aggravare e non rendere precarie le condizioni di sicurezza attuali.

Si tratta,
ha spiegato il garante, dell’ipotesi specifica (che riguarda solo i trattamenti
effettuati con strumenti elettronici) in cui il titolare del trattamento, alla
data del 1° gennaio 2004, disponeva di strumenti elettronici che, per le
predette obiettive ragioni esclusivamente tecniche, documentate in un atto a
data certa da redigere al pià¹ tardi entro il 30 giugno 2004, non consentono di
applicare immediatamente, in tutto o in parte, le nuove misure minime. Sempre in
questo circoscritto caso, nel quale si è obbligati a prevenire comunque un
incremento dei rischi (art. 180, comma 3, del Codice), occorre conservare il
documento a data certa il quale non va trasmesso al garante, che può però
richiederne l’esibizione in sede di accertamento anche ispettivo (artt. 157 ss.
del Codice).

Per quanto
riguarda le modalità per far risultare una ´data certà si dovrà applicare la
disciplina civilistica in materia di prova documentale (in particolare, gli artt.
2702-2704 del codice civile) e si potranno tenere presenti i suggerimenti
formulati dal garante in un parere del 2000 redatto a proposito di un analogo
documento previsto in tema di sicurezza (art. 1, legge n. 325/2000) (nota
garante 22 marzo 2004) (vedi tabelle: Disposizioni transitorie: le scadenze
nello schema del garante (nota 22 marzo 2004 e Documento programmatico sulla
sicurezza).

<span style=

http://www.italiaoggi.it

L’Inferno Monacale di Suor Arcangela Tarabotti

Antitrust blocca Meta: WathsApp deve aprire ai Chtbot rivali

I limiti del Pacifismo

LA RIVOLUZIONE CONCRETA DEL ” LO STATO MODERNO”

LA NOSTRA SEZIONE SHOPPING

LA PAZZIA DI FRA TOMMASO CAMPANELLA

Il fascino eterno dei portafortuna

Servizi Cloud tra sovranità digitale, privacy e proprietà intellettuale: il caso Kaganski e la crisi del modello cloud-centrico