|
| |
| Le misure minime di sicurezza
privacy
|
|
| |
|
|
| Autore: |
Marco Bernasconi |
|
| Data di pubblicazione: |
15 Marzo
2008 - 2° Edizione |
|
| Numero Pagine: |
216 pagine
il manuale +
gli allegati e 43 pagine le bozze |
|
| Dimensione
files scaricabili: |
da 327KB
a 1292KB, a seconda del formato che si
decide di scaricare. I formati disponibili sono Word e Pdf. |
|
ESTRATTO DEL
MANUALE
Nono capitolo
Il documento programmatico sulla sicurezza
CODICE
PRIVACY
34[1]Il trattamento di dati personali effettuato con strumenti elettronici
è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell’allegato B), le seguenti misure minime:
g) tenuta di un aggiornato documento programmatico sulla sicurezza |
DISCIPLINARE
TECNICO
19. Entro il 31 marzo di ogni anno, il titolare di un trattamento di dati
sensibili o di dati giudiziari redige anche attraverso il responsabile, se
designato, un documento programmatico sulla sicurezza contenente idonee
informazioni riguardo:
19.1. l’elenco dei trattamenti di dati personali;
19.2. la distribuzione dei compiti e delle responsabilità nell’ambito delle
strutture preposte al trattamento dei dati;
19.3. l’analisi dei rischi che incombono sui dati;
19.4. le misure da adottare per garantire l’integrità e la disponibilità dei
dati, nonché la protezione delle aree e dei locali, rilevanti ai fini
della loro custodia e accessibilità;
19.5. la descrizione dei criteri e delle modalità per il ripristino della
disponibilità dei dati in seguito a distruzione o danneggiamento di cui
al successivo punto 23;
19.6. la previsione di interventi formativi degli incaricati del trattamento,
per renderli edotti dei rischi che incombono sui dati, delle misure
disponibili per prevenire eventi dannosi, dei profili della disciplina
sulla protezione dei dati personali più rilevanti in rapporto alle
relative attività, delle responsabilità che ne derivano e delle modalità
per aggiornarsi sulle misure minime adottate dal titolare. La formazione
è programmata già al momento dell’ingresso in servizio, nonché in
occasione di cambiamenti di mansioni, o di introduzione di nuovi
significativi strumenti, rilevanti rispetto al trattamento di dati
personali;
19.7. la descrizione dei criteri da adottare per garantire l’adozione delle
misure minime di sicurezza in caso di trattamenti di dati personali
affidati, in conformità al codice, all’esterno della struttura del
titolare;
19.8. per i dati personali idonei a rivelare lo stato di salute e la vita
sessuale di cui al punto 24, l’individuazione dei criteri da adottare
per la cifratura o per la separazione di tali dati dagli altri dati
personali dell’interessato.
26. Il titolare riferisce, nella relazione accompagnatoria del bilancio
d’esercizio, se dovuta, dell’avvenuta redazione o aggiornamento del
documento programmatico sulla sicurezza.
|
Con
il codice privacy, l’obbligo di redigere il documento programmatico sulla
sicurezza è stato generalizzato, a tutti i casi in cui si trattino dati sensibili
o giudiziari con l’utilizzo di strumenti elettronici,
anche nell’ipotesi in cui tali strumenti non siano in rete (con il codice
privacy, è quindi sufficiente che tali dati siano trattati anche con un singolo
elaboratore, perché si debba procedere alla redazione del documento).
Il
codice ha inoltre fissato un termine generale, entro
il 31 marzo di ogni anno, per la redazione e, negli anni successivi, l’aggiornamento
periodico di tale documento, in
relazione alla novità, di ordine assoluto, prevista dal punto 26. del
disciplinare tecnico: il titolare riferisce, nella relazione
accompagnatoria del bilancio d’esercizio, se dovuta, dell’avvenuta
redazione o aggiornamento del documento programmatico sulla sicurezza.
Come è
facilmente intuibile, tale disposizione è stata introdotta per rafforzare
l’obbligo di redigere ed aggiornare il DPS: non a caso, esso è divenuto di
moda a partire dal 2004, cioè dall’entrata in vigore del codice privacy,
dopo che nei primi quattro anni di esistenza era vissuto in uno stato di
semi-clandestinità (in parole povere, non se lo era filato nessuno).
Il
termine entro cui redigere per la prima volta il documento, seguendo i dettami
previsti dal nuovo disciplinare tecnico, è stato definitivamente fissato nel 31 marzo 2006, dopo una
serie continua di proroghe.
9.1
La duplice natura del documento programmatico
Il documento in
esame ha innanzitutto una importante funzione interna, di guida alla
adozione ed al miglioramento delle misure di sicurezza: è quindi opportuno
concepirlo come un vero e proprio piano
per la sicurezza,
estendendo il suo contenuto a tutti
gli aspetti legati a tale problematica, che vadano anche oltre gli
elementi obbligatori prescritti dal punto 19. del disciplinare tecnico.
In tale senso,
la sua puntuale redazione ed aggiornamento, ed il conseguente rispetto delle
misure in esso previste, può costituire un elemento di assoluto rilievo, per
dimostrare l’adozione, da parte del titolare, delle misure idonee di
sicurezza (si rimanda alle considerazioni svolte nel primo capitolo): si
ricorda che solo l’adozione di tali misure può esentare il titolare dalla
responsabilità civile, o minimizzare perlomeno l’esborso monetario derivante
dalla stessa, per i danni provocati dal trattamento di dati personali.
In
quest’ottica, è opportuno che tutte le organizzazioni che
trattano dati, ivi incluse quelle che non utilizzano strumenti elettronici per
trattare dati sensibili o giudiziari (che non sono quindi tenute alla redazione
del DPS, ai fini della responsabilità penale), provvedano a redigere e ad
aggiornare annualmente tale documento.
D’altra
parte, si deve però considerare che, in caso di trattamento di dati sensibili o
giudiziari con l’impiego di strumenti elettronici, la redazione del DPS è
imposta da una norma di legge: esso è quindi, in un certo senso, un documento
pubblico, del quale potrebbe prima o poi essere richiesta
l’esibizione, dal Garante per la protezione dei dati personali o da chi per
esso. Questa seconda natura configge profondamente con la prima, di
essere un documento – guida, poiché il documento potrebbe in taluni
casi costituire una confessione, di non avere attuato, in tutto o in
parte, le misure minime di sicurezza imposte dalla legge.
Si rende quindi
opportuno utilizzare molta diplomazia, in sede di redazione del
documento, per evitare di rimarcare l’eventuale circostanza di non avere
ancora adottato, in tutto o in parte, le misure minime imposte dalla normativa:
in pratica, si deve evitare di confessare, in un documento che ha tutti i
crismi della ufficialità, di avere commesso un reato penalmente perseguito (si
veda il paragrafo 1.3.1 del primo capitolo).
9.2 Il DPS nell’ambito del bilancio di esercizio
Con riferimento
all’obbligo, imposto dal punto 26. del disciplinare tecnico, per cui il
titolare riferisce, nella relazione accompagnatoria del bilancio d’esercizio,
se dovuta, dell’avvenuta redazione o aggiornamento del documento programmatico
sulla sicurezza, vi sono alcuni aspetti da approfondire.
Un primo punto
riguarda il significato che, per gli scopi in esame, si deve attribuire al
termine bilancio di esercizio, alla luce di un passaggio della
risoluzione del 22 marzo 2004 del Garante, nella quale l’Autorità afferma che i soggetti pubblici e privati devono riferire nella relazione
accompagnatoria: il fatto che il Garante non limiti il riferimento alle sole
società pubbliche o private, ma lo estenda ai soggetti in generale, può
fare ritenere che tale obbligo ricada non solo sulle società, tenute alla
predisposizione del bilancio ai sensi del codice civile, ma anche su enti di
natura diversa, comunque tenuti a predisporre un documento contabile annuale
assimilabile ad un bilancio societario. Tale interpretazione appare plausibile,
alla luce delle finalità generali per cui è stato introdotto l’obbligo in
esame.
Un secondo
punto concerne il significato di relazione accompagnatoria del bilancio di
esercizio: se a tale termine viene data una interpretazione strettamente
civilistica, con tale documento si deve intendere la relazione sulla gestione di
cui all’articolo 2428 del codice civile, che deve essere tassativamente
allegata al bilancio di esercizio solo dai soggetti che lo redigono in forma
ordinaria.
I soggetti che,
potendo redigere il bilancio in forma abbreviata ai sensi dell’articolo
2435-bis del codice civile, si avvalgono dalla facoltà di non redigere la
relazione sulla gestione, non dovrebbero invece essere tenuti a dare
informazioni sul DPS nella nota integrativa: tale documento è infatti
considerato a tutti gli effetti una parte integrante del bilancio di esercizio,
non un suo accompagnamento.
Nulla osta ad
una eventuale interpretazione in senso opposto, da parte del Garante:
l’Autorità potrebbe infatti stabilire che, analogamente a quanto avviene per
le informazioni richieste dai numeri 3) e 4) dell’articolo 2428 c.c., anche le
informazioni in merito alla redazione del DPS debbano essere incluse nella nota
integrativa, qualora ci si avvalesse della facoltà di non redigere la relazione
sulla gestione (si evidenzia come tale interpretazione non sia stata però fatta
propria dal Garante, né in sede di adozione del provvedimento del 22 marzo
2004, né successivamente).
Un terzo punto
riguarda i soggetti che non sono tenuti a redigere il DPS, poiché non trattano
dati sensibili o giudiziari con l’utilizzo di strumenti elettronici: in questi
casi, è opportuno che nella relazione accompagnatoria al bilancio di esercizio
essi attestino di non essere tenuti alla redazione del DPS, in quanto non
trattano dati personali sensibili o giudiziari con l’utilizzo di strumenti
elettronici.
Qualora tali
soggetti decidessero, invece, di redigere il DPS su base facoltativa,
nonostante non siano obbligati dalla norma, è opportuno che nella relazione
accompagnatoria al bilancio di esercizio si faccia riferimento a tale
circostanza: ad esempio, si può scrivere che si è deciso di procedere alla
redazione / aggiornamento del DPS, nonostante non si rientri nel novero dei
soggetti, che trattano dati personali sensibili o giudiziari con l’utilizzo di
strumenti elettronici, per i quali la norma prevede un obbligo tassativo in tale
senso.
Un quarto punto
concerne quale debba essere il DPS al quale si deve fare riferimento, nella
relazione accompagnatoria del bilancio d’esercizio: se quello redatto o
aggiornato nel periodo cui il bilancio si riferisce (es. nel corso del 2007, per
la relazione accompagnatoria che viene predisposta nei primi mesi del 2008),
ovvero l’ultimo redatto, prima dell’approvazione della relazione
accompagnatoria (es. nel corso del febbraio 2008, per la relazione
accompagnatoria che viene predisposta entro i primi giorni di aprile 2008): la
risoluzione del Garante del 22 marzo 2004 fa propria questa seconda
interpretazione, che appariva già pacifica in sede di lettura della legge.
In tale ottica,
la scadenza generale del 31 marzo non è casuale, ma è stata introdotta affinché
le società con esercizio coincidente con l’anno solare redigano, o
aggiornino, il DPS prima di formalizzare la relazione accompagnatoria del
bilancio, nella quale si dovrà quindi fare riferimento al DPS fresco di
stampa.
Un cenno merita
infine il dovere, per gli eventuali organi preposti al controllo della gestione
della società o dell’ente, di verificare che il DPS sia stato redatto, o
aggiornato, oppure che il soggetto sia esentato dalla redazione e tenuta di tale
documento: l’eventuale omissione, da parte del titolare del trattamento, deve
essere oggetto di specifico rilievo, da parte dell’organo di controllo sulla
gestione.
9.3
Chi deve redigere il documento
Il documento
deve essere redatto dal titolare del trattamento, anche attraverso il
responsabile per la sicurezza, se designato: ci si chiede se, in questa
seconda ipotesi, nella quale il responsabile può essere anche un soggetto
esterno all’organizzazione, il titolare possa evitare di firmare, o di
approvare ufficialmente, in caso di presenza di un organo collegiale, il
documento. La risposta è negativa, perché il titolare è sempre e comunque
tenuto in prima persona ad assumersi le responsabilità inerenti la
sicurezza privacy, ivi incluse quelle legate alla redazione del documento sulla
sicurezza, ed alla corretta realizzazione e gestione delle misure in esso
descritte.
Nel caso in cui
la redazione avvenga attraverso il responsabile, l’onere di firmare il
documento, assumendo le relative responsabilità, sarà a carico anche di
quest’ultimo: nell’ipotesi in cui la redazione sia affidata ad un
soggetto esterno, nominato responsabile per la sicurezza, troveranno inoltre
applicazione le previsioni del punto 25. del disciplinare tecnico, per cui il
soggetto esterno dovrà attestare la conformità del documento redatto,
alle disposizioni del disciplinare tecnico stesso (si veda il paragrafo 6.7 del
sesto capitolo).
9.4
L’attribuzione della data certa
Un particolare
aspetto concerne l’opportunità di attribuire al DPS data certa: tale
adempimento non viene imposto né dalla legge, né dal provvedimento del 22
marzo 2004 del Garante (a differenza di quanto è avvenuto, ad esempio, per il
documento con il quale i soggetti che disponevano di strumenti elettronici
tecnicamente inadeguati hanno potuto attestare tale fatto, per beneficiare del
differimento al 30 giugno 2006 del termine ultimo, entro cui adottare le nuove
misure minime di sicurezza, introdotte dal codice privacy).
Se si ragiona
su un piano logico, l’attribuzione della data certa al documento appare
effettivamente inutile: ad esempio, se nel corso di un’ispezione il DPS
venisse prontamente esibito dal titolare, non si vedono le ragioni per le quali
l’Autorità inquirente dovrebbe sindacare che la data apposta sullo stesso
(es. 26 marzo) potrebbe essere fittizia.
D’altra
parte, è notorio che, nel Paese dei cavilli, le Autorità sono
bravissime nel trovare simili ragioni, anche dove non se ne vedrebbe la
necessità, per cui è di fatto suggeribile attribuire al documento in esame
data certa.
Tale requisito
viene attribuito, in modo automatico, nei casi in cui si verbalizzi,
anche nei libri sociali, l’approvazione del documento, allegando lo stesso al
verbale.
Al di fuori di
questi casi, si rende opportuno ricorrere ad uno dei metodi che il Garante ha
suggerito, per ottenere l’attribuzione della data certa:
- ricorso alla cosiddetta autoprestazione,
presso gli uffici postali, con apposizione del timbro direttamente sul
documento, anziché sull’involucro che lo contiene
- adozione, per le amministrazioni
pubbliche, di una delibera di cui sia certa la data, in base alla
concreta disciplina della formazione, numerazione e pubblicazione dell’atto
- apposizione della cosiddetta marca
temporale sui documenti informatici
- apposizione di autentica, deposito
del documento o vidimazione di un verbale presso un notaio
- registrazione o produzione del
documento presso un ufficio pubblico.
Un ultimo
aspetto riguarda il fatto che il DPS non deve essere inviato al Garante,
ma deve essere tenuto negli uffici del titolare, per esibirlo in caso di
eventuali richieste da parte delle Autorità.
9.5
L’approvazione del documento
Si presenta
una bozza di delibera, per i casi in cui il documento debba essere approvato da
un organo collegiale (es. consiglio di amministrazione).
In data XX XX
200X si riunisce il consiglio di amministrazione delle Società Sigma Spa per
approvare il documento programmatico sulla sicurezza, per il trattamento dei
dati personali, ai sensi dell’articolo 34, comma 1 lettera g) del codice in
materia di protezione dei dati personali, approvato con il Dlgs 196/2003, e del
punto 19. del relativo disciplinare tecnico in materia di misure minime di
sicurezza.
Si osserva che
(scegliere l’opzione):
- tale documento viene redatto per la prima volta, in quanto la società
non era in precedenza tenuta a tale adempimento
- si tratta del periodico aggiornamento, essendo tale documento già stato
redatto in passato (la precedente versione è stata approvata il…………..)
(Se la
redazione è stata curata dal responsabile della sicurezza, aggiungere la
seguente frase): La redazione è stata curata dal responsabile per la
sicurezza, che ha provveduto a firmare in originale il documento (chiarire se
si tratta di un responsabile interno, o di un soggetto esterno
all’organizzazione).
Dopo esaurienti
discussioni, il consiglio delibera di approvare il documento programmatico sulla
sicurezza, che viene allegato sub…., della cui redazione / del cui
aggiornamento si riferisce nella relazione sulla gestione, che accompagna il
bilancio di esercizio.
|
