Loading...loading
logo ordine avvocati

Aggiornamento in tema di adempimenti per il trattamento dei dati personali con strumenti elettronici

14/06/2005 Ricordiamo che a partire dal 1° gennaio 2004, data di entrata in vigore del nuovo codice, le misure minime di sicurezza, che devono essere adottate, sono previste dal disciplinare tecnico all. B) del d.lgs. 196/2003, che ha sostituito il dpr. 318/1999.
La legge 26/2005 ha ulteriormente differito i termini entro cui i soggetti che trattano dati personali devono adottare le misure di sicurezza introdotte dal d.lgs. 196/2003.

L’art. 6 bis, infatti, inserito in sede di conversione del d.l. 314/2004, dispone che al co. 1 dell’art. 180 del cosiddetto codice della privacy (d.lgs. 196/2003) il termine del 30 giugno 2005 sia sostituito con quello del 31 dicembre 2005;
e che al comma 3 il termine del 30 settembre 2005 sia sostituito con quello del 31 marzo 2006.

Quindi, le misure minime di sicurezza che non erano già previste dal dpr. n. 318/1999 devono essere adottate entro il 31 dicembre;
tuttavia il titolare che disponga di strumenti elettronici che per obiettive ragioni tecniche non consentano in tutto od in parte l’immediata applicazione delle nuove misure deve adempiere le formalità autocertificative del II° co. dell’art. 180 e provvedere all’adeguamento entro il 31 marzo 2006.
Il titolare deve comunque adottare ogni possibile misura di sicurezza, in relazione agli strumenti elettronici detenuti, in modo da evitare, anche sulla base di idonee misure organizzative, logistiche o procedurali, un incremento dei rischi per la sicurezza
In assenza di disposizioni ufficiali, è sorto il dubbio in merito a quale fosse il termine ultimo, entro cui redigere l’autocertificazione ed attribuire ad essa data certa:
alla luce delle precedenti interpretazioni, avallate anche dal garante, in occasione dei precedenti provvedimenti di proroga, si può convenire che il termine entro cui redigere ed attribuire data certa al documento di autocertificazione possa ora individuarsi nel 31 dicembre 2005.
* * * * *
Il nuovo provvedimento di proroga nulla dice in merito al d.p.s…
Con il nuovo codice, l’obbligo di redigere il documento programmatico sulla sicurezza viene generalizzato, a tutti i casi in cui si trattino dati sensibili o giudiziari con l’utilizzo di strumenti elettronici, anche nell’ipotesi in cui tali strumenti non siano in rete (con il nuovo codice, è quindi sufficiente che tali dati siano trattati anche con un singolo elaboratore, perché si debba procedere alla redazione del documento). Viene inoltre fissato un termine generale, entro il 31 marzo di ogni anno, per la redazione e, negli anni successivi, l’aggiornamento periodico di tale documento.
In sede di prima applicazione del d.lgs. 196/2003, il termine ultimo, entro il quale redigere per la prima volta o aggiornare il documento era stato fissato al 30 giugno 2004 (si veda la risoluzione del garante del 22 marzo 2004). Tale termine, peraltro, emergeva da una lettura organica dell’art. 180 in combinato con gli artt. 33/35 d.lgs. 196/2003.
L’Autorità aveva imposto tale scadenza a tutti i soggetti che trattano dati sensibili o giudiziari con elaboratori, anche per coloro che non erano tenuti alla redazione del DPSS, in vigenza del Dpr 318/1999. In realtà, la scadenza del 30 giugno 2004, imposta dal Garante, rappresentava un anticipo del tutto incoerente per l’adempimento di tale formalità in quanto l’adozione delle nuove misure minime di sicurezza (rinviata inizialmente al 31.12.2004 poi ulteriormente prorogate) costituisce l’antecedente logico del d.p.s..
Il Garante aveva infatti ritenuto che non sussistessero margini per sostenere che, nel caso in esame, il d.p.s. potesse essere redatto per la prima volta solo nel 2005 in quanto si tratta di una misura da adottare con un documento, non di un accorgimento da applicare direttamente a strumenti elettronici, per cui non era possibile invocare un differimento al 2005, neppure in applicazione dello speciale meccanismo a proposito delle obiettive ragioni tecniche relative a strumenti elettronici.

Successivamente, il d.l. 9 novembre 2004 n. 266 aveva opportunamente disposto che il termine ultimo entro cui redigere il d.p.s. fosse, in tutti i casi, il 30 giugno 2005, corrispondente a quello previsto (prima dell’ultima proroga) per l’adozione delle nuove misure minime di sicurezza.

Nel silenzio del d.l. n. 314/2004 (ultimo provvedimento di proroga per l’adozione delle misure minime di sicurea) in relazione ai termini di redazione del d.p.s., in teoria si potrebbe far riferimento ai criteri in precedenza espressi dal garante.
Essi, tuttavia, non appaiono logici né coerenti con i termini previsti dalle norme del d.lgs. 196/2003. Infatti, poiché la proroga riguarda le nuove misure di sicurezza di cui agli artt. 33-35 d.lgs. 196/2003, dovrebbe ritenersi compreso anche il d.p.s. che conseguentemente andrebbe adottato, nel termine massimo del 31 marzo 2006. Per coloro, infatti, che non erano tenuti precedentemente, il d.p.s. costituisce una nuova misura, la cui adozione prima dell’installazione delle macchine appare curiosa. Se si osservano i fac-simili di d.p.s. che anche l’ufficio del garante ha predisposto emerge chiaramente che solo dopo la materiale installazione di tutti i macchinari, postazioni, sistemi di sicurezza e controllo si possa predisporre un d.p.s. organico e completo.
Nuove | 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | 11 | 12 | 13 | 14 | 15 | 16 | 17 | 18 | 19 | 20 | 21 | 22 | 23 | 24 | 25 | 26 | 27 | 28 | 29 | 30 | 31 | 32 | 33 | 34 | 35 | 36 | 37 | 38 | 39 | 40 | 41 | 42 | 43 | 44 | 45 | 46 | 47 | 48 | 49 | 50 | 51 | 52 | 53 | 54 | 55 | 56 | 57 | 58 | 59 | 60 | 61 | 62 | 63 | 64 | 65 | 66 | 67 | 68 | 69 | 70 | 71 | 72 | 73