Con pubblicazione sulla G.U. del 25/6 numero 147 è stata data ufficiale diffusione a quanto si vociferava da tempo: un decreto legge in base al quale gli adempimenti previsti dalla legge 196/03 sarebbero prorogati al 31/12/04.
Il decreto cita diversi commi di altrettanti decreti.
Questa analisi prenderà in esame solo ciò che attiene strettamente al Testo Unico in materia di trattamento dati personali (T.U.).
Nell'articolo 3 del decreto si legge quanto segue:
“Art. 3.
1. Al decreto legislativo 30 giugno 2003, n. 196, concernente il codice in materia di protezione dei dati personali, sono apportate le seguenti modifiche:
a) all'articolo 180, comma 1, le parole: «30 giugno 2004» sono sostituite dalle seguenti: «31 dicembre 2004»;”
L'articolo a cui si fa riferimento è un articolo del T.U. inerente a disposizioni modificative, abrogative e transitorie e più precisamente:
“1. Le misure minime di sicurezza di cui agli articoli da 33 a 35 e all'allegato B) che non erano previste dal decreto del Presidente della Repubblica 28 luglio 1999, n. 318, sono adottate entro il 30 giugno 2004 (vedi modifica apportata).”
Come si legge dall'estratto del T.U. di cui sopra è fatto riferimento alla normativa precedente in materia indicando chiaramente che le misure minime la cui adozione slitterà al 31 dicembre 2004 sono quelle che non erano prevista dal decreto n. 318/99.
A questo punto occorre comprendere quali siano dette misure previste che, di conseguenza, VANNO GIA' ADOTTATE INDIPENDENTEMENTE DALLA PROROGA.
…omissis…
“Trattamento dei dati personali effettuato mediante elaboratori non accessibili da altri elaboratori o terminali.”
Elaboratori non in rete.
…omissis…
“Salvo quanto previsto dall'articolo 8, se il trattamento dei dati personali è effettuato per fini diversi da quelli di cui all'articolo 3 della legge mediante elaboratori non accessibili da altri elaboratori o terminali, devono essere adottate, anteriormente all'inizio del trattamento, le seguenti misure:”
1) password per l'accesso ai dati con, ove tecnicamente possibile, sostituzione della stessa con una nuova da parte degli incaricati al trattamento
2) comunicazione dell'avvenuta sostituzione della password ai soggetti, ove designati, preposti alla conservazione delle credenziali elettroniche
3) individuazione per iscritto dei soggetti, quando vi è più di un incaricato e sono in uso più parole chiave, che custodiranno ed avranno accesso alle credenziali elettroniche dei vari incaricati
Elaboratori accessibili in rete (intranet e/o internet).
1) gestione dei codici identificativi (username e password), dei soggetti coinvolti nel trattamento dei dati, tali da essere disattivati per perdita delle qualità che permettevano al soggetto di accedere ai dati o per mancato utilizzo di detti codici per più di sei mesi consecutivi.
2) adozione di programmi (antivirus, firewall, patch del sistema operativo, ecc.) per proteggere gli elaboratori contro il rischio di intrusione da parte di terzi (per esempio virus, worm, ecc.);
3) aggiornamento di detti programmi di protezione con cadenza almeno semestrale;
4) per i trattamenti di dati sensibili e/o giudiziari l'accesso per effettuare le operazioni di trattamento è determinato sulla base di autorizzazioni assegnate agli incaricati del trattamento e della manutenzione;
se il trattamento è effettuato con elaboratori elettronici accessibili mediante una rete di telecomunicazioni disponibile al pubblico (internet), anche gli strumenti che possono essere utilizzati per la connessione a detta rete di telecomunicazioni sono soggetti ad autorizzazione;
5) sarà necessario effettuare un censimento degli elaboratori elettronici utilizzati per i trattamenti ed accessibili mediante una rete di telecomunicazioni disponibile al pubblico; tale censimento andrà poi opportunamente riportato nell'autorizzazione di cui sopra;
6) la validità dei presupposti sui quali è stata emessa l'autorizzazione è verificata con cadenza almeno annuale dal titolare del trattamento o dal responsabile, se designato;
Documento programmatico sulla sicurezza (DPSS).
Per trattamenti di dati sensibili e/o giudiziari con elaboratori elettronici accessibili mediante una rete di telecomunicazioni disponibile al pubblico (internet) si dovrà prevedere la redazione e l'aggiornamento di un DPSS, almeno annualmente, che contempli l'analisi dei rischi che incombono sui dati, la distribuzione dei compiti e delle responsabilità per quanto attiene al trattamento dei dati (censimento dei soggetti, dei locali, degli strumenti elettronici che intervengono a vario titolo nei trattamenti).
La corretta adozione delle misure di sicurezza adottate dovrà essere verificata con cadenza almeno annuale.
In aggiunta a quanto sopra si dovrà inserire nel DPSS:
1) criteri tecnici ed organizzativi per la protezione delle aree e dei locali interessati dalle misure di sicurezza;
2) controllo dell'accesso delle persone autorizzate ai locali di cui sopra;
3) criteri e procedure per rendere sicure le trasmissioni dei dati (comprese le restrizioni di accesso per via telematica per esempio cifratura dei dati e sbarramenti dei file a mezzo password);
4) piano di formazione degli incaricati in materia di privacy e trattamento dati (ivi compresi i rischi).
Le politiche di riutilizzo dei supporti di memorizzazione dei dati (hard disk, cd rom, dvd rom, iomega, ecc.) per trattamenti di dati sensibili e/o giudiziari debbono essere delineate in azienda al fine di rendere tecnicamente irrecuperabili ovvero non più presenti sul supporto ovvero non più leggibili i dati in detti supporti un tempo contenuti.
Da una prima analisi del decreto emesso nel mese di Giugno sembrerebbe a disposizione del grande pubblico una sanatoria generale.
Occorre tenere presente che la normativa 196/03 in materia di trattamento dei dati è figlia di altri codici e leggi già in esecuzione prima della nascita del T.U.
Ne consegue che tutti coloro che erano e sono obbligati ad adottare determinati comportamenti allorché vengano trattati i dati (con particolare attenzione per i dati sensibili o giudiziari) in virtù delle precedenti normative, non possono rendersi inadempienti nei confronti di tali normative appellandosi alla proroga appena ratificata dal decreto legge di Giugno.
In altre parole tutti i comportamenti previsti dalla normativa precedente, limitatamente ai soggetti contemplati dalla stessa, dovrebbero essere già a norma e, nel caso di nuovi trattamenti di dati, dovrebbero adottare le misure indicate ancor prima di dare corso alle sessioni di trattamento.
In aggiunta a quanto so pra occorre ricordare che “trattamento di dati personali da parte di privati o di enti pubblici economici è ammesso solo con il consenso espresso dell'interessato. ” e che “ Il consenso è validamente prestato solo se è espresso liberamente e specificamente in riferimento ad un trattamento chiaramente individuato, se è documentato per iscritto, e se sono state rese all'interessato le informazioni di cui all'articolo 13. ” , “Il consenso è manifestato in forma scritta quando il trattamento riguarda dati sensibili.” (art. 23 comma 1, 3 e 4).
L'articolo 13 del T.U. citato si riferisce all'informativa da fornire ai soggetti. Tale documento è frutto di un analisi, cardine anche del DPSS, che ha come fine quello di scomporre ai minimi termini i trattamenti dati effettuati identificandone le banche dati sorgente dei dati trattati nonché le figure professionali (classi omogenee di incaricati) che intervengono a vario titolo nelle sessioni di trattamento.
Degna di nota sono le sanzioni per coloro che non trasmettono l'informativa circa il trattamento dei dati all'interessato: “La violazione delle disposizioni di cui all'articolo 13 è punita con la sanzione amministrativa del pagamento di una somma da tremila euro a diciottomila euro o, nei casi di dati sensibili o giudiziari o di trattamenti che presentano rischi specifici ai sensi dell'articolo 17 o, comunque, di maggiore rilevanza del pregiudizio per uno o più interessati, da cinquemila euro a trentamila euro. La somma può essere aumentata sino al triplo quando risulta inefficace in ragione delle condizioni economiche del contravventore.” (art. 161 comma 1)
La disamina di cui sopra è stata redatta da Mario Alessandro Fiore , consulente in materia di privacy e titolare della piattaforma web www.leggesullaprivacy.it .