Il provvedimento del Garante Privacy del 27 novembre 2008 ha introdotto modalità semplificate di applicazione delle misure minime di sicurezza contenute nel disciplinare tecnico di cui all’Allegato B) al Codice in materia di protezione dei dati personali.
Già con l’art. 29 del decreto legge 25 giugno 2008 come modificato dalla legge di conversione 6 agosto 2008, n. 133, erano stateapprovate alcune semplificazioni relative ai trattamenti effettuati con strumenti elettronici da parte dei soggetti che utilizzano soltanto dati personali non sensibili e che trattano, come unici dati sensibili, quelli inerenti allo stato di salute o alla malattia dei propri dipendenti e collaboratori anche a progetto, senza indicazione della relativa diagnosi, ovvero all’adesione a organizzazioni sindacali o a carattere sindacale. Per questi casi, la tenuta di un aggiornato documento programmatico sulla sicurezza (art. 34, comma 1, lett. g) del Codice) è stata sostituita da un obbligo di autocertificazione, resa dal titolare del trattamento ai sensi dell’articolo 47 del testo unico di cui al decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, di trattare soltanto tali dati in osservanza delle altre misure di sicurezza prescritte. Due le ragioni dello scarso successo della misura di semplificazione: da un lato la platea ristrettissima di soggetti potenzialmente beneficiari, dall’altro l’alto livello di responsabilità anche penale connessa alla dichiarazione sostitutiva di assolvimento degli obblighi di sicurezza, anche considerato che per i non esperti del settore è difficile essere sicuri della regolarità dei trattamenti.
In relazione ai trattamenti sopra menzionati per i quali è stata introdotta l’autocertificazione, ma anche per quelli effettuati da chiunque per correnti finalità amministrative e contabili, in particolare presso piccole e medie imprese, liberi professionisti e artigiani, il Garante ha individuato con il provvedimento in discussione nuove modalità volte a semplificare incisivamente l’applicazione di varie regole contenute nell’Allegato B) al Codice Privacy.
Queste le principali novità introdotte.
Fermo restando che come detto sopra per alcuni casi è già previsto per disposizione di legge che si possa redigere un’autocertificazione in luogo del documento programmatico sulla sicurezza, è stata introdotta la possibilità di redigere prima dell’inizio del trattamento un documento programmatico sulla sicurezza dal contenuto semplificato e che deve essere aggiornato entro il 31 marzo di ogni anno solo nel caso in cui, nel corso dell’anno solare precedente, siano intervenute modifiche rispetto a quanto dichiarato nel precedente documento.
Il documento deve avere i seguenti contenuti: le coordinate identificative del titolare del trattamento, e se designati, dei responsabili e degli incaricati del trattamento. Nel caso in cui l’organizzazione preveda una frequente modifica dei responsabili e degli incaricati designati, potranno essere indicate le modalità attraverso le quali è possibile individuarne l’elenco aggiornato; una descrizione generale del trattamento o dei trattamenti realizzati, le finalità del trattamento, le categorie di persone interessate e dei dati o delle categorie di dati relativi alle medesime, nonché i destinatari o le categorie di destinatari a cui i dati possono essere comunicati; una descrizione delle altre misure di sicurezza adottate per prevenire i rischi di distruzione o perdita, anche accidentale, dei dati, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.
Tra le maggiori semplificazioni previste per i trattamenti effettuati tramite strumenti elettronici vi è anche la previsione che le istruzioni in materia di misure minime di sicurezza previste dall’Allegato B) possono essere impartite agli incaricati del trattamento oralmente (non è più necessaria la forma scritta), con indicazioni di semplice e chiara formulazione; inoltre, per l’accesso ai sistemi informatici si può utilizzare un qualsiasi sistema di autenticazione basato su un codice per identificare chi accede ai dati (username), associato a una parola chiave (password), in cui l’username venga disattivato quando l’incaricato non ha più titolo per accedere ai dati (trasferimento, cessazione dal servizio). Non si prevede più espressamente l’automatica scadenza dell’username per non uso semestrale, l’obbligo di almeno otto caratteri per la password e l’obbligo di modifica della password con cadenza trimestrale (per i dati sensibili) o semestrale (per i dati comuni). Termini più lunghi sono inoltre previsti per il backup dei dati che non è più obbligatorio settimanalmente ma solo mensilmente e per l’aggiornamento dei programmi di sicurezza che diventa annuale.
Infine, per i trattamenti realizzati senza l’ausilio di strumenti elettronici il provvedimento in materia di semplificazioni dispone che quando gli atti e i documenti contenenti dati personali sensibili o giudiziari sono affidati agli incaricati del trattamento per lo svolgimento dei relativi compiti, i medesimi atti e documenti sono controllati e custoditi dai medesimi incaricati fino alla restituzione, in modo che a essi non accedano persone prive di autorizzazione e sono restituiti al termine delle operazioni affidate; le istruzioni agli incaricati, finalizzate al controllo e alla custodia, per l’intero ciclo necessario allo svolgimento delle operazioni di trattamento, degli atti e dei documenti contenenti dati personali sono impartite anche solo oralmente.
Se da un lato la semplificazione di alcuni adempimenti appariva opportuna, dall’altro questo nuovo provvedimento del Garante rischia di creare ulteriore confusione, in particolare sui destinatari delle agevolazioni e di svuotare la normativa in materia di protezione dei dati personali. Pertanto è fondamentale che ciascuna organizzazione aziendale e professionale, nell’individuare le misure di sicurezza da adottare, non consideri la normativa in materia di privacy soltanto come un obbligo cui adempiere per il pericolo delle sanzioni, ma si concentri sulle effettive esigenze della propria realtà aziendale con il fine della protezione dei dati personali ed in particolare sensibili.
Avv. Loredana Narducci
Scrivi un commento
Accedi per poter inserire un commento