Misure di sicurezza

Il tema delle misure di sicurezza dei trattamenti è quello che ha subito le maggiori rivisitazioni a seguito della emanazione del codice della privacy.
Il principio generale, tuttavia, riconferma quanto già disposto dalla legge n. 675/96 ed in particolare che i dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.

A tale proposito il codice individua misure specifiche, la cui osservanza da parte dei titolari è necessaria per adeguare i trattamenti ad un livello minimo di sicurezza, tenendo conto del fatto che comunque la valutazione del rischio di distruzione, perdita o accesso non autorizzato dovrà comunque essere effettuata discrezionalmente dal titolare, in relazione alla tipologia dei dati trattati, in modo coerente alle esigenze di tutela specifiche richieste dai trattamenti svolti (introducendo, eventualmente, misure adeguate più stringenti rispetto a quelle indicate delle norme).

Il codice mantiene la distinzione fra trattamenti effettuati con e senza l'ausilio di strumenti elettronici, secondo quanto già previsto dalla legge n. 675/96 ed in particolare:

TRATTAMENTO SENZA L'AUSILIO DI STRUMENTI INFORMATICI
Le misure minime sono individuate dall'articolo 35, e riguardano:
a) l'aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati o alle unità organizzative;
b) la previsione di procedure per un'idonea custodia di atti e documenti affidati agli incaricati per lo svolgimento dei relativi compiti;
c) la previsione di procedure per la conservazione di determinati atti in archivi ad accesso selezionato e disciplina delle modalità di accesso finalizzata all'identificazione degli incaricati

Le modalità tecniche per corrispondere a tali prescrizioni consistono in:
a) istruzioni scritte agli incaricati finalizzate al controllo ed alla custodia, per l'intero ciclo necessario allo svolgimento delle operazioni di trattamento, degli atti e dei documenti contenenti dati personali. Nell'ambito dell'aggiornamento periodico con cadenza almeno annuale dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati, la lista degli incaricati può essere redatta anche per classi omogenee di incarico e dei relativi profili di autorizzazione;
b) custodia e controllo di atti e i documenti contenenti dati personali sensibili o giudiziari affidata agli incaricati del trattamento per lo svolgimento dei relativi compiti, in maniera che ad essi non accedano persone prive di autorizzazione, per il tempo necessario al trattamento e fino alla restituzione al termine delle operazioni affidate;
c) controllo degli accessi agli archivi contenenti dati sensibili o giudiziari. Le persone ammesse, a qualunque titolo, dopo l'orario di chiusura, devono essere identificate e registrate;
d) quando gli archivi non sono dotati di strumenti elettronici per il controllo degli accessi o di incaricati della vigilanza, le persone che vi accedono devono essere preventivamente autorizzate.

TRATTAMENTO CON L'AUSILIO DI STRUMENTI INFORMATICI
Le misure minime riguardano:
a) autenticazione informatica;
b) adozione di procedure di gestione delle credenziali di autenticazione;
c) utilizzazione di un sistema di autorizzazione;
d) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici;
e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici;
f) adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi;
g) tenuta di un aggiornato documento programmatico sulla sicurezza;
h) adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari.

Le modalità tecniche per corrispondere a tali prescrizioni sono contenute nel disciplinare tecnico, allegato B del Decreto Legislativo 196 del 30/6/2003.
Queste comunque saranno oggetto di una scheda sintetica che verrà allegata ad uno dei prossimi speciali sulla privacy.

IL DOCUMENTO PROGRAMMATICO SULLA SICUREZZA (DPS)
Anche la redazione del DPS è una "misura minima". Si tratta di una misura non nuova, sebbene sia aumentato il numero dei soggetti che lo deve redigere e sia parzialmente diverso il suo contenuto.
Infatti, la precedente disciplina (la legge 675/96) prevedeva già l'obbligo di predisporre e aggiornare il DPS, almeno annualmente, in caso di trattamento di dati sensibili o relativi a determinati provvedimenti giudiziari effettuato mediante elaboratori accessibili mediante una rete di telecomunicazioni disponibili al pubblico I soggetti tenuti a predisporre il DPS hanno potuto redigerlo per la prima volta entro il 29 marzo 2000 o, al più tardi, entro il 31 dicembre 200; dovendo rispettare l'obbligo di revisione almeno annuale, hanno dovuto aggiornare il DPS negli anni successivi, anche nel 2003.
In base al nuovo Codice, la misura minima del DPS deve essere ora adottata dal titolare di un trattamento di dati sensibili o giudiziari effettuato con strumenti elettronici.
Come accennato, il DPS deve essere redatto da alcuni soggetti che non vi erano precedentemente tenuti (ad esempio, da chi trattava dati sensibili o giudiziari, ma con elaboratori non accessibili mediante una rete di telecomunicazioni disponibili al pubblico).
Infine, il contenuto stesso del DPS è arricchito da nuovi elementi che si aggiungono a quelli necessari in base alla precedente disciplina o ne specificano alcuni aspetti. Ad esempio, nel DPS occorre descrivere ora i criteri e le modalità per ripristinare la disponibilità dei dati in caso di distruzione o danneggiamento delle informazioni o degli strumenti elettronici.
Benché non si tratti a rigore di una misura "nuova", è quindi legittimamente sostenibile che il DPS da redigere quest'anno per la prima volta, o da aggiornare, possa essere predisposto al più tardi entro il 30 giugno 2004, anziché necessariamente entro il 31 marzo, data che è invece prevista a regime per i prossimi anni, a partire dal 2005.
Si perviene a questa conclusione per tutti i destinatari dell'obbligo:
a) sia per coloro che devono redigere il DPS per la prima volta nel 2004;
b) sia per chi, già dotato di un DPS redatto o aggiornato nel 2003, ritenga necessario utilizzare un trimestre in più, rispetto al prossimo 31 marzo, per curare la stesura di un testo significativo e più impegnativo nella ricognizione dei rischi e degli interventi previsti.

RELAZIONE ACCOMPAGNATORIA AL BILANCIO D'ESERCIZIO
il Codice della Privacy, ha introdotto una nuova regola per rendere meglio informati gli organi di vertice del titolare del trattamento e responsabilizzarli in materia di sicurezza, attraverso l'obbligo di riferire nella relazione di accompagnamento a ciascun bilancio di esercizio circa l'avvenuta redazione o aggiornamento del DPS che sia obbligatorio come misura "minima" o che sia stato comunque adottato.
Anche questo richiamo rappresenta una misura "minima" nuova, indicata tra quelle di "tutela e garanzia".
I soggetti tenuti in passato a predisporre o aggiornare il DPS, e che per il 2004 possono aggiornarlo entro il 30 giugno del presente anno, dovranno riferire già a partire dalla relazione sul bilancio di esercizio per il 2003, con riferimento al DPS già eventualmente aggiornato per il 2004, oppure menzionando l'adozione o aggiornamento avvenuto nel 2003 e indicando sinteticamente che si aggiornerà il DPS entro il 30 giugno 2004.
Le imprese tenute invece per la prima volta a redigere il DPS nel 2004 (entro il 30 giugno), non devono indicare nella relazione alcunché se il DPS 2003 o il DPS 2004 non sono stati adottati. Queste, qualora alla data in cui predispongono la predetta relazione abbiano redatto già il DPS 2004, indicheranno invece tale circostanza; potranno infine indicare facoltativamente quanto eventualmente già fatto nel 2003 e, sempre facoltativamente, l'aggiornamento 2004 in itinere.

INDICAZIONI RELATIVE A PARTICOLARI CATEGORIE DI TRATTAMENTO

TRATTAMENTI DI DATI PERSONALI EFFETTUATI DALLE IMPRESE PER ESIGENZE DI GESTIONE AMMINISTRATIVA E CONTABILE

a) In materia di informativa e consenso non appare necessario procedere ad ulteriori adempimenti. Ricordiamo che l'informativa deve essere sempre resa e che è opportuno procedere alla raccolta del consenso degli interessati, anche soltanto documentato per iscritto;
b) non deve essere effettuata la notifica;
c) devono essere impartite istruzioni scritte agli incaricati;
d) non deve essere redatto il documento programmatico per la sicurezza. E' tuttavia opportuno consigliare la redazione del Documento per la Sicurezza se vengono trattati dati sensibili, nel caso di trattamenti informatizzati.

TRATTAMENTI DI DATI PERSONALI EFFETTUATI DALLE IMPRESE CHE TRATTANO ANCHE DATI SENSIBILI

a) In materia di informativa e consenso non appare necessario procedere ad ulteriori adempimenti. Ricordiamo che l'informativa deve essere sempre resa e che è opportuno procedere alla raccolta del consenso sottoscritto degli interessati;
b) non deve essere effettuata la notifica;
c) devono essere impartite istruzioni scritte agli incaricati;
d) non devono essere richieste autorizzazioni al Garante per il trattamento di dati sensibili in quanto vale l'autorizzazione generale;
e) deve essere redatto il documento programmatico per la sicurezza.