Proroga concessa dal garante per l’adozione delle nuove misure minime di sicurezza

CyberwarSicurezza

Le aziende private e le amministrazioni pubbliche avranno tempo fino al
30giugno 2004 per adottare le nuove "misure minime" di sicurezza
introdotte dal Codice della privacy.

ROMA. Il Garante per la protezione dei dati personali in occasione di un parere fornito alla Confindustria ha precisato che aziende private e amministrazioni pubbliche avranno tempo fino al 30 giugno 2004 per adottare le nuove “misure minime” di sicurezza introdotte dal Codice della privacy a salvaguardia dei dati personali contenuti negli archivi e per redigere il documento programmatico in materia di sicurezza (dps). Il dps deve contenere, in particolare, l’analisi dei rischi che incombono sui dati personali e le tutele da adottare per prevenire la loro distruzione, l’ accesso abusivo e la dispersione ed e’ obbligatorio per chi raccoglie, utilizza e conserva dati sensibili o giudiziari. Potranno usufruire del termine del 30 giugno sia coloro che devono predisporre tale documento per la prima volta sia coloro che ne abbiano gia’ redatto o aggiornato uno nel 2003. Dal prossimo anno, decorso il periodo transitorio connesso all’entrata in vigore del Codice della privacy, il termine per l’aggiornamento del dps rimarra’ fissato al 31 marzo. Il Codice, entrato in vigore il 1 gennaio 2004, ha confermato la disciplina in materia di sicurezza dei dati personali introdotta nel 1996. In particolare, e’ stato ribadito il principio secondo cui le “misure minime” sono solo una parte degli accorgimenti obbligatori in materia di sicurezza. Vi e’ infatti il dovere piu’ generale di custodire i dati personali per contenere il piu’ possibile il rischio che essi siano distrutti, dispersi, conoscibili fuori dei casi consentiti o trattati in modo illecito, nonche’ di introdurre ogni utile dispositivo di protezione legato alle nuove conoscenze tecniche. Oltre ad attenersi, quindi, a queste disposizioni generali, i soggetti pubblici e privati hanno il dovere di adottare in ogni caso le “misure minime”, la cui mancata adozione costituisce reato. Il Codice ha pero’ aggiornato l’elenco delle “misure minime” di sicurezza e ha indicato modalita’ di applicazione (allegato B del Codice). Analogamente a quanto avveniva in passato, le “misure minime” sono diverse a seconda che il trattamento sia effettuato o meno con strumenti elettronici o riguardi dati sensibili o giudiziari. Anche il documento programmatico sulla sicurezza, che in base al nuovo Codice deve essere adottato da chiunque effettua un trattamento di dati sensibili o giudiziari con strumenti elettronici, rientra tra le misure minime. Si tratta di una misura non nuova, sebbene sia aumentato il numero dei soggetti che deve redigere il dps e sia parzialmente diverso il suo necessario contenuto. Infatti, la precedente disciplina prevedeva gia’ l’obbligo di predisporre e aggiornare il dps, almeno annualmente, in caso di trattamento di dati sensibili o relativi a determinati provvedimenti giudiziari effettuato mediante elaboratori accessibili mediante una rete di telecomunicazioni disponibili al pubblico (artt. 22 e 24 l. n. 675/1996; art. 6 d. P.R. n. 318/1999). I soggetti tenuti a predisporre il dps hanno potuto redigerlo per la prima volta entro il 29 marzo 2000 o, al piu’ tardi, entro il 31 dicembre 2000 (artt. 15, comma 2 e 41, comma 3 l. n. 675/1996; l. n. 325/2000); dovendo rispettare l’obbligo di revisione almeno annuale, hanno dovuto aggiornare il dps negli anni successivi, anche nel 2003. In base al nuovo Codice, la misura minima del dps deve essere ora adottata dal titolare di un trattamento di dati sensibili o giudiziari effettuato con strumenti elettronici, attraverso l’organo, ufficio o persona fisica a cio’ legittimata in base all’ordinamento aziendale o della pubblica amministrazione interessata (art. 34, comma 1, lett. g), del Codice; regola 19 dell’Allegato B)). Come accennato, il dps deve essere redatto da alcuni soggetti che non vi erano precedentemente tenuti (ad esempio, da chi trattava dati sensibili o giudiziari, ma con elaboratori non accessibili mediante una rete di telecomunicazioni disponibili al pubblico).

Autore: ITespresso
Clicca per leggere la biografia dell'autore  Clicca per nascondere la biografia dell'autore