|
Testo
|
Con la presente, venendo incontro ad una serie di richieste in tal senso, si rende noto che con il parere datato 22/03/2004, in risposta ad un quesito proveniente da Confindustria, il Garante della privacy ha dettato una serie di importanti precisazioni e indicazioni riguardo gli obblighi attuativi derivanti dalla recente entrata in vigore del decreto legislativo 30/06/2003 n. 196 (“Codice in materia di protezione dei dati personali”, su cui v. circolare CNI n. 328 del 17/12/2003).
Come già segnalato in precedenza, infatti, il Codice della privacy impone a tutti coloro, soggetti pubblici o privati, che realizzano un trattamento di dati personali, di mettere in opera e predisporre una serie di misure, atte a garantire che tale trattamento si svolga nel rispetto di determinate cautele, per assicurare l’integrità, la protezione e la sicurezza delle informazioni trattate.
All’interno del Codice in materia di protezione dei dati personali, come riportato nella circolare CNI n. 328/2003, pertanto, è agli articoli 34 e 35 e all’allegato B del decreto che occorre fare riferimento per quanto riguarda le prescrizioni da seguire per mettersi in regola ai sensi di legge in materia di misure minime di sicurezza.
Ebbene, con il parere 22/03/2004 citato (rinvenibile sul sito internet www.garanteprivacy.it e per comodità qui allegato), tra l’altro, il Garante per la protezione dei dati personali ha innovativamente affermato che il termine per adottare il principale documento in tema di sicurezza è da intendersi "al più tardi entro il 30 giugno 2004, anziché necessariamente entro il 31 marzo".
Il Garante fa riferimento al Documento Programmatico sulla Sicurezza, previsto al punto 19 dell’Allegato B al decreto legislativo 196/2003 (intitolato “Disciplinare tecnico in materia di misure minime di sicurezza”).
E’ bene per chiarezza ricordare che il Documento Programmatico sulla Sicurezza (DPS) costituisce un documento da redigere e conservare presso l’Ente, a cura del Titolare del trattamento dei dati o del Responsabile (per tali nozioni si rinvia ancora alla circolare CNI n. 328/2003) qualora il trattamento riguardi "dati sensibili o dati giudiziari".
In tale caso – e solo in tale caso – il punto 19 dell’Allegato B al Codice della privacy impone che entro il 31 marzo di ogni anno i soggetti suindicati compilino questa apposita relazione in cui vengono messe per iscritto e rese note le cautele ed i criteri, organizzativi e tecnici, che sono stati predisposti per garantire la sicurezza dei dati trattati e ridurre al minimo le possibilità di intrusioni ed eventi dannosi (v. punti da 19.1 a 19.8 dell’Allegato B).
Con l’importante pronunciamento allegato, invece, il Garante della privacy, in via interpretativa, da una lettura sistematica delle norme di legge in questione, ritiene ed afferma a chiare lettere che tale obbligo deve essere adempiuto non più entro il 31 marzo 2004, bensì entro il 30 giugno 2004, concedendo quindi a tutti gli interessati un termine maggiore per mettersi in regola.
Il termine del 30 giugno, comunque, varrà soltanto per quest’anno mentre a partire dal 2005 tale adempimento dovrà avvenire entro il 31 marzo di ogni anno (in quanto è previsto per legge che il DPS debba essere aggiornato annualmente).
E’ importante sottolineare che nello stesso parere in esame il Garante per la protezione dei dati personali ha affermato che tale spostamento di data permetterà a coloro che sono tenuti ad adottare il DPS (e quindi anche gli Ordini provinciali, qualora trattino dati sensibili e giudiziari mediante strumenti elettronici) di utilizzare, se lo vorranno, il modello base semplificato di DPS che lo stesso Garante sta per mettere a disposizione degli interessati, al fine di agevolarli e venire incontro alle comprensibili difficoltà in sede di redazione ed elaborazione di tale Documento Programmatico della Sicurezza.
Sarà ovviamente cura di questo Consiglio informare i destinatari della presente non appena il suddetto modello esemplificativo sarà stato dal Garante approntato.
La risposta del Garante inoltre chiarisce un altro aspetto importante degli obblighi derivanti dal Codice della privacy in tema di sicurezza.
Nel parere datato 22/03/2004, infatti, viene anche precisato che i soggetti tenuti alla redazione del DPS devono darne notizia già nella relazione al bilancio per il 2003.
Questo perché il punto 26 dell’Allegato B al decreto legislativo 196/2003 prevede che si debba far menzione del DPS nella relazione accompagnatoria al bilancio di esercizio ("Il titolare riferisce, nella relazione accompagnatoria del bilancio d’esercizio, se dovuta, dell’avvenuta redazione o aggiornamento del documento programmatico sulla sicurezza").
Nel parere il Garante afferma che la menzione nella relazione accompagnatoria al bilancio di esercizio dell’avvenuta redazione del DPS assolve alla funzione di "rendere meglio edotti gli organi di vertice e responsabilizzarli in materia di sicurezza".
E’ da rilevare come il parere del Garante non indichi con precisione che cosa debba intendersi per “relazione accompagnatoria” al bilancio (come invece gli aveva richiesto Confindustria).
Riepilogando, e cercando di tirare le somme delle direttive contenute nel parere del Garante, si sottolinea che:
a) tale parere fornisce chiarimenti sugli adempimenti da osservare in tema di misure di sicurezza e, pur avendo il carattere di una risposta individuale, assume valenza e portata generale;
b) esso concerne, come detto, tutti coloro, soggetti pubblici e privati, che trattano dati sensibili e giudiziari (per le cui nozioni si rimanda all’articolo 4, comma 1, lettere d) ed e) del Codice sulla privacy) con strumenti elettronici, e quindi riguarda anche gli Ordini provinciali, ma soltanto qualora gestiscano tali tipologie di dati e in via elettronica;
c) la prima indicazione riguarda il Documento Programmatico sulla Sicurezza di cui all’Allegato B del decreto legislativo 196/2003, per il quale il termine ultimo di adozione viene spostato dal 31 marzo al 31 giugno 2004;
d) a breve lo stesso Garante della privacy predisporrà un modello-base esemplificativo che gli interessati potranno utilizzare come schema cui rifarsi per redigere il proprio DPS;
e) la seconda indicazione riguarda il fatto che l’obbligo contenuto nell’Allegato B del Codice della privacy, di riferire nella relazione di accompagnamento del bilancio di esercizio (se dovuta) dell’avvenuta redazione del DPS, è da intendersi operativo già a partire dalla relazione sul bilancio di esercizio per il 2003 (se a quella data già è stato predisposto il DPS).
In conclusione è bene che tutti gli interessati provvedano ad adempiere agli obblighi di legge suddetti, approfittando del più ampio termine concesso per mettersi in regola, tenendo presente che questo Consiglio resta a disposizione per ogni ulteriore chiarimento necessario.
Allegato: parere Garante privacy del 22/03/2004.
|
