1. Legge 31 dicembre 1996, n. 675 (estratto)
2. Decreto del Presidente della Repubblica 28 luglio 1999, n. 318 (testo completo)
3. Legge 3 novembre 2000, n. 325 (testo completo)
4. Maggiore attenzione alle misure di sicurezza (Newsletter n. 15)
5. Protezione dei dati e misure minime di sicurezza nelle aziende (Newsletter n. 20)
6. Misure minime di sicurezza (Provvedimento del Garante - 29.02.2000 - testo completo)
7. Modifica al modello per la notifica del trattamento (Delib. 29 febbraio 2000 - testo completo)
8. Entro il 29 marzo misure di sicurezza obbigatorie per P.A. e privati (Newsletter n. 31)
9. Misure di sicurezza: non occorrono nuove notifiche (Newsletter n. 32)
10. Misure minime di sicurezza, superfluo l'invio di comunicazioni al Garante (Newsletter n. 44)
11. Misure minime di sicurezza - Chiarimenti sulla data certa dell'atto previsto dall'art. 1 della L. 325/2000
      - Provvedimento  del Garante - 05.12.2000 (testo completo)

1. Estratto dalla legge 31 dicembre 1996, n. 675 

Art. 15 - Sicurezza dei dati

1. I dati personali oggetto di trattamento devono essere custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.

2. Le misure minime di sicurezza da adottare in via preventiva sono individuate con regolamento emanato con decreto del Presidente della Repubblica, ai sensi dell'articolo 17, comma 1, lettera a), della legge 23 agosto 1988, n. 400, entro centottanta giorni dalla data di entrata in vigore della presente legge, su proposta del Ministro di grazia e giustizia, sentiti l'Autorità per l'informatica nella pubblica amministrazione e il Garante.

3. Le misure di sicurezza di cui al comma 2 sono adeguate, entro due anni dalla data di entrata in vigore della presente legge e successivamente con cadenza almeno biennale, con successivi regolamenti emanati con le modalità di cui al medesimo comma 2, in relazione all'evoluzione tecnica del settore e all'esperienza maturata.

4. Le misure di sicurezza relative ai dati trattati dagli organismi di cui all'articolo 4, comma 1, lettera b), sono stabilite con decreto del Presidente del Consiglio dei ministri con l'osservanza delle norme che regolano la materia.

Art. 36 - Omessa adozione di misure necessarie alla sicurezza dei dati

1. Chiunque, essendovi tenuto, omette di adottare le misure necessarie a garantire la sicurezza dei dati personali, in violazione delle disposizioni dei regolamenti di cui ai commi 2 e 3 dell'articolo 15, è punito con la reclusione sino ad un anno. Se dal fatto deriva nocumento, la pena è della reclusione da due mesi a due anni.

2. Se il fatto di cui al comma 1 è commesso per colpa si applica la reclusione fino a un anno.

Art. 41 - Disposizioni transitorie

3. Le misure minime di sicurezza di cui all'articolo 15, comma 2, devono essere adottate entro il termine di sei mesi dalla data di entrata in vigore del regolamento ivi previsto. Fino al decorso di tale termine, i dati personali devono essere custoditi in maniera tale da evitare un incremento dei rischi di cui all'articolo 15, comma 1.

4. Le misure di cui all'articolo 15, comma 3, devono essere adottate entro il termine di sei mesi dalla data di entrata in vigore dei regolamenti ivi previsti.

4. Maggiore attenzione alle misure di sicurezza (Newsletter n. 15)

L'Autorità Garante ha chiesto ad un Comune di verificare la rispondenza delle misure di sicurezza adottate ai requisiti previsti dalla legge sulla protezione dei dati personali e di operare le opportune modifiche di natura organizzativa ed informatica per ridurre al minimo i rischi di violazione dei dati trattati.
Nei locali del Comune, infatti, si era verificato il furto di alcuni tagliandi contenenti dati anagrafici e foto identificative, corrispondenti alle carte di identità rilasciate ai cittadini.
Nell'invito rivolto all'amministrazione comunale, l'Autorità ha evidenziato che la legge n. 675 del 1996, nell'introdurre disposizioni che regolano il trattamento dei dati personali, ha assegnato una precisa base giuridica agli obblighi relativi alle misure di sicurezza che riguardano il trattamento anche non automatizzato di dati.
In base a tali disposizioni, i soggetti, sia pubblici sia privati, che gestiscono dati personali, devono osservare modalità di conservazione e di controllo dei dati tali da ridurre al minimo i rischi di eventuale distruzione o perdita degli stessi ed essere, inoltre, idonee ad impedire l'accesso non autorizzato o un trattamento abusivo o non conforme alla legge. La mancata predisposizione di tali misure comporta la responsabilità per i danni eventualmente causati.
Il Garante ha sottolineato, inoltre, che il recente regolamento sulle misure minime di sicurezza (D.P.R. 14 settembre 1999, n.318) impone, anche per quanto riguarda i trattamenti cartacei, l'adozione di accorgimenti e cautele (misure organizzative, conservazione in archivi ad accesso selezionato, ecc.) che dovranno essere operative entro sei mesi dall'entrata in vigore del decreto stesso. La mancata osservanza di queste norme comporta anche sanzioni di carattere penale.

5. Protezione dei dati e misure minime di sicurezza nelle aziende (Newsletter n. 20)

Claudio Manganelli, componente del Garante per la protezione dei dati personali e Giovanni Buttarelli, segretario generale dell'Autorità, sono intervenuti al seminario organizzato dalla Confindustria il 29 novembre sulle misure minime di sicurezza per il trattamento dei dati personali.
Il complesso di accorgimenti e cautele di tipo organizzativo e tecnologico che le imprese, così come la pubblica amministrazione, devono adottare al fine di evitare la dispersione, la perdita o l'uso illecito dei dati contenuti nei loro data base, rappresenta uno degli adempimenti più importanti previsti dalla legge n.675 del 1996, la cui individuazione è stata affidata al regolamento n.318 del luglio 1999.
Il regolamento stabilisce che tali misure debbano essere adottate entro il 29 marzo 2000 ed è viva, pertanto, l'attenzione del mondo delle imprese ai problemi di adeguamento. L'incontro tecnico ha avuto, quindi, lo scopo di dissipare, attraverso il confronto e il dialogo con il Garante, dubbi interpretativi e difficoltà di applicazione delle norme.
Nella sua relazione, Manganelli ha messo in luce come la legge sulla privacy offra oggi per la prima volta la grande opportunità di definire una metodologia aziendale capace non solo di promuovere una reale cultura della protezione dei dati, ma anche di salvaguardare un patrimonio aziendale, quale quello rappresentato, appunto, dalle informazioni in possesso delle imprese, evitando danni economici e di immagine. "La verifica delle misure minime idonee a garantire la sicurezza dei dati deve avvenire - ha affermato Manganelli - innanzitutto sul campo, attraverso il monitoraggio delle modalità organizzative e l'aggiornamento costante a livello tecnologico".
Buttarelli ha, invece, affrontato il nodo dei vari adempimenti e delle sanzioni, dando rassicurazioni sui possibili rischi. "Il fine del regolamento non è - ha dichiarato - quello di stabilire la "politica" complessiva di un'azienda riguardo alla sicurezza, ma solo quello di far scattare le sanzioni penali per chi non adotta neanche le misure minime di sicurezza fissate dalla legge sulla privacy ". Inoltre, il marcato carattere transitorio del regolamento, il quale deve essere aggiornato ogni due anni, testimonia la volontà del legislatore di correggere le eventuali difficoltà applicative e di consentire un rapido adeguamento delle norme alle veloci conquiste tecnologiche.
Nello sviluppo di una cultura della protezione dei dati, ha ricordato Buttarelli, un ruolo fondamentale avrà la formazione del personale.
Nel dibattito che è seguito alle relazioni, è emersa la consapevolezza che le misure per la sicurezza e la protezione dei dati non devono essere viste come un vincolo ma come un'occasione di crescita, che consente una maggiore trasparenza dei flussi di informazioni, la revisione delle attività svolte e delle procedure di gestione e il riordino degli archivi.

8. Entro il 29 marzo misure di sicurezza obbligatorie per P.A. e privati (Newsletter n. 31)

Entro il 29 marzo del 2000 tutte le pubbliche amministrazioni, nessuna esclusa, e i soggetti privati che nell'ambito della propria attività pongano in essere trattamenti di dati personali dovranno adottare le misure minime di sicurezza dettate dal Governo con il regolamento n. 318/1999.
Con un provvedimento approvato il 29 febbraio il Garante ha inteso richiamare l'attenzione degli operatori sull'imminente scadenza del termine a partire dal quale tali misure diventeranno obbligatorie e cioè sei mesi dopo l'entrata in vigore (29 settembre 1999) del citato regolamento, così come previsto dalla legge n. 675/1996.
Si tratta di una serie di adempimenti da attuare per poter trattare i dati. La loro necessità è sottolineata dalla previsione delle sanzioni penali della legge n. 675 che si applicano pure nei casi di colpa, qualora non siano rispettati, anche in parte, gli standard previsti dal Dpr n. 318/99. Quest'ultimo prevede, tra l'altro, per i trattamenti informatizzati, l'identificazione dell'utente, l'autorizzazione all'accesso alle funzioni, la registrazione degli ingressi e l'inserimento di una password che inibisca l'accesso al sistema o ai dati contenuti negli elaboratori stabilmente accessibili da altri elaboratori.
Il regolamento prevede anche l'individuazione di figure nuove come quella dell'amministratore di sistema che sovrintende alla gestione della base dati. Per quanto riguarda poi i dati sensibili (convinzioni religiose, appartenenze politiche, vita sessuale, informazioni sulla salute etc.) trattati da "elaboratori accessibili mediante una rete di telecomunicazioni disponibili al pubblico", è necessario predisporre un documento programmatico sulla sicurezza da aggiornare con cadenza annuale. Nel caso di trattamenti riguardanti archivi di tipo cartaceo, invece, o effettuati con strumenti automatizzati diversi da quelli elettronici, il regolamento stabilisce, tra l'altro, la designazione per iscritto degli incaricati abilitati ad accedere all'archivio e, qualora si tratti di dati sensibili, anche l'obbligo di conservare le informazioni in contenitori muniti di serratura.
Tali misure, che certamente comportano una attenzione e un impegno particolari, si inseriscono nella cornice più ampia delle cautele previste dalla legge sulla privacy per ridurre il rischio di distruzione o perdita, anche accidentale, dei dati personali, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta: situazioni rispetto alle quali vige un più generale obbligo di adottare ulteriori misure, oltre quelle minime, per garantire una costante riduzione del rischio attraverso l'applicazione di accorgimenti di tipo organizzativo e tecnico la cui mancata predisposizione comporta l'obbligo del risarcimento del danno in sede civile.
Il regolamento sulle misure minime di sicurezza, evidenzia il Garante, ha gettato le basi per una più articolata disciplina della sicurezza nell'attività informatica e telematica la cui importanza emerge, tra l'altro, dalla circostanza che le disposizioni vigenti in tale ambito si applicano anche ai trattamenti pubblici in materia di polizia, giustizia, difesa e sicurezza dello Stato.
L'applicazione delle nuove norme è tesa, pertanto, a favorire un'ulteriore diffusione di quella cultura della sicurezza già presente, peraltro, in diversi settori del mondo privato.
Va ricordato, infine, che il Garante ha modificato il modello di notificazione per evitare che i soggetti che hanno adottato le misure minime previste dal Dpr n. 318/99 debbano a loro volta modificare le precedenti notifiche presentate all'autorità.

9. Misure di sicurezza : non occorrono nuove notifiche (Newsletter n. 32)

L'adozione delle misure minime di sicurezza, che a partire dal prossimo 29 marzo soggetti pubblici e privati dovranno predisporre per adeguarsi alle norme introdotte dal regolamento n. 318/1999 per prevenire trattamenti illeciti o dispersioni dei dati personali, non comporta l'obbligo di ripresentare la notifica a suo tempo inviata al Garante per segnalare l'esistenza di un trattamento.
Con un provvedimento approvato il 29 febbraio 2000 e ora in corso di pubblicazione in Gazzetta Ufficiale, l'Autorità ha chiarito alcuni aspetti applicativi della nuova normativa in materia di sicurezza rispetto agli altri adempimenti previsti dalla legge sulla privacy.
La legge n. 675 del 1996, infatti, prevede che le notificazioni sull'esistenza di trattamenti di dati personali, da comunicare al Garante prima del loro inizio e per una sola volta a prescindere dal numero di archivi e di operazioni da svolgere, debbano però essere aggiornate in caso di variazione di uno degli elementi essenziali della notifica. Tra questi elementi figura anche una descrizione delle misure organizzative, fisiche e logiche, adottate per la sicurezza dei dati da fornire attraverso una serie di indicazioni.
Per evitare che l'applicazione delle nuove norme sulla sicurezza comporti la necessaria rettifica delle precedenti comunicazioni, e allo scopo quindi di semplificare l'attuazione della legge, il Garante ha dunque stabilito che i soggetti che hanno notificato i trattamenti dei dati personali prima del 29 marzo 2000 non dovranno presentare una nuova dichiarazione, qualora abbiano adottato, nel rispetto dei nuovi obblighi, le misure di sicurezza previste dal regolamento n. 318/99. Una specifica avvertenza verrà, infatti, inserita in tal senso nel riquadro relativo alla descrizione delle misure di sicurezza del modello di notificazione già approvato dal Garante.
Per chi debba comunque effettuare nuove notificazioni si potrà in ogni caso continuare ad utilizzare la modulistica già in circolazione (disponibile presso uffici postali e altri soggetti convenzionati, come Internet provider, associazioni di categoria, editori), in attesa che entro la fine dell'anno l'Autorità aggiorni il modello di notifica alla luce delle novità introdotte e dell'esperienza acquisita.
Va ricordato che l'obbligo di notifica non riguarda numerose attività svolte nell'ambito di categorie espressamente esonerate dalla legge n. 675/96 e, tra queste, gli artigiani, i piccoli imprenditori, i liberi professionisti, le associazioni e le fondazioni senza scopo di lucro, la comune gestione degli adempimenti fiscali, contabili e retributivi e i condomini.

10. Misure minime di sicurezza, superfluo l'invio di comunicazioni al Garante (Newsletter n. 44)

E' superfluo l'invio al Garante per la protezione dei dati personali di ogni comunicazione relativa agli adempimenti previsti dal regolamento n. 318/99 sulle misure minime di sicurezza, entrato in vigore dal 29 marzo scorso.
E' quanto chiarisce l'Autorità in un provvedimento adottato in relazione alla trasmissione al Garante, da parte di numerosi soggetti pubblici e privati, di comunicazioni di vario tenore sulle iniziative da essi intraprese per adeguare archivi e banche dati alle misure volte a garantire la sicurezza ed a prevenire la distruzione, la dispersione o l'uso illecito dei dati personali in essi contenute.
L'Autorità sottolinea, infatti, che nei confronti dei soggetti interessati non sussiste alcun obbligo di comunicare al Garante le determinazioni eventualmente adottate in attuazione del regolamento, e tanto meno ciò può discendere da un disegno di legge, attualmente in discussione in Parlamento e approvato in prima lettura dal Senato, che introduce un termine di adeguamento più ampio alle nuove norme.
Nel provvedimento, che sarà trasmesso anche ai soggetti che hanno inviato al Garante in queste settimane note e documentazioni sull'adozione delle misure minime di sicurezza, viene inoltre precisato che gli atti previsti dal regolamento, come il documento programmatico sulla sicurezza o la designazione dei responsabili e degli incaricati del trattamento, devono essere esibiti all'Autorità solo a seguito di una eventuale e specifica richiesta in sede di ispezione o di controllo.
Tali indicazioni si aggiungono a quelle già fornite dal Garante nelle decisioni adottate il 29 febbraio scorso (e disponibili sul sito ufficiale dell'Autorità all'indirizzo www.garanteprivacy.it) per richiamare l'attenzione dei soggetti obbligati sulle misure minime di sicurezza e per chiarire che l'adozione di tali misure non comporta la necessità per i titolari dei trattamenti di dati di modificare le notificazioni a suo tempo presentate al Garante.
L'Autorità si è comunque riservata di tornare a breve sulla materia, una volta che il Parlamento abbia deliberato sul disegno di legge in discussione, con un provvedimento che conterrà ulteriori suggerimenti volti a favorire una piena e corretta attuazione del regolamento n. 318/99.