La proroga non vale per tutti. Pubbliche amministrazioni ed enti religiosi alle prese con le scadenze del 30 giugno
Tra le proroghe
recentemente varate con decreto legge (si veda «Il Sole-24 Ore» del 23 giugno)
vi sono i termini per l’attuazione delle misure minime di sicurezza e per
l’adeguamento di strumenti elettronici che non consentono di attuare le misure
minime di sicurezza. Non sono stati prorogati, pero’, altri termini previsti dal
Codice della privacy. Misure minime di sicurezza. Il termine entro il quale
dovevano essere adottate le misure minime di sicurezza era il 30 giugno. Fra le
misure minime di sicurezza richieste a chi tratta dati personali con mezzi
informatici, vi è l’obbligo di una password individuale di almeno otto
caratteri, di programmi antivirus e del salvataggio settimanale dei dati. Le
misure minime di sicurezza sono dettate dall’articolo 33 e seguenti e sono
precisate in dettaglio nell’allegato B, «Disciplinare tecnico in materia di
misure minime di sicurezza». La mancata adozione delle misure minime di
sicurezza configura anche un illecito penale. Il termine per adottare le misure
minime è ora quello del 3• dicembre 2004, poichè sono stati concessi altri sei
mesi per l’adeguamento. Ma il termine prorogato riguarda in realtà le misure
"nuove" e non quelle che già dovevano essere adottate, in vigenza del Dpr
318/99. L’articolo 180 del decreto legislativo 196/03, come modificato, dispone,
infatti, che le misure minime di sicurezza che non erano già previste dal Dpr
318/99 devono essere adottate entro il 31 dicembre 2004. Documento programmatico
sulla sicurezza. La redazione del documento programmatico sulla sicurezza
costituisce una delle misure minime di sicurezza. Il termine per la redazione
del «Dps» sarà, a regime, quello del 3• marzo di ogni anno, secondo il punto 19
dell’Allegato B. Per il primo anno, il termine per la redazione da parte dei
soggetti per i quali essa costituisce una misura "nuova" era quello del 30
giugno, come è stato chiarito dal Garante, ma ora il termine è quello del 3•
dicembre 2004. Disposizioni transitorie. Secondo l’articolo 180, comma 2, nel
caso in cui il titolare non sia in grado di adottare le nuove misure, ma solo se
ricorrono «obiettive ragioni tecniche», disponendo di strumenti elettronici che
non consentono di adottarle, deve redigere un documento avente data certa, da
conservare presso la propria struttura, in cui descrive le ragioni della mancata
attuazione. In quest’ultimo caso il titolare deve comunque adottare ogni misura
idonea a evitare un incremento dei rischi. L’adeguamento degli strumenti
elettronici deve essere effettuato al più tardi entro il 31 marzo 2005, dopo la
proroga che è intervenuta. Termini non prorogati. Non sono stati prorogati
altri termini dettati dal Codice in materia di protezione dei personali. Ad
esempio, ai sensi dell’articolo 181, le pubbliche amministrazioni dovranno
comunque entro il 30 giugno effettuare le comunicazioni al Garante previste
dall’articolo 39. Si tratta dei casi in cui un soggetto pubblico comunica dati
ad altro soggetto pubblico, senza che cio’ sia previsto da norme di legge o di
regolamento. Le comunicazioni al Garante concernenti dati già trattati prima
del 1 gennaio 2004 dovranno essere effettuate entro il 30 giugno. L’articolo 39
prevederebbe l’utilizzo di un modulo predisposto dal Garante e la trasmissione
telematica. Non essendo attualmente disponibile il modulo, si dovrà utilizzare
una delle altre modalità previste dall’articolo 39, cioè la trasmissione
mediante telefax o lettera raccomandata. Altro termine non prorogato è quello
dell’articolo 26, comma 3, lettera a: gli enti religiosi devono entro il 30
giugno determinare idonee garanzie con riferimento al trattamento dei dati
sensibili. Inoltre, ai sensi dell’articolo 26, comma 4, lettera a, le
associazioni e gli enti senza scopo di lucro devono rendere noti agli
interessati entro il 30 giugno le modalità di utilizzo dei dati sensibili e le
garanzie adottate. Rimane fermo, infine, il termine del 30 settembre per
l’adozione del regolamento sul trattamento dei dati sensibili da parte delle
pubbliche amministrazioni.
Giusella
Finocchiaro –
www.ilsole24ore.com
Related Posts
Commento all'articolo