Aziende private e amministrazioni pubbliche avranno tempo fino al 30 giugno 2004  per adottare le nuove "misure minime" di sicurezza introdotte dal Codice della privacy a salvaguardia dei dati personali contenuti negli archivi e per redigere il documento programmatico in materia di sicurezza (dps). Il dps deve contenere, in particolare, l'analisi dei rischi che incombono sui dati personali e le tutele da adottare per prevenire la loro distruzione, l'accesso abusivo e la dispersione ed è obbligatorio per chi raccoglie, utilizza e conserva dati sensibili o giudiziari.
Potranno usufruire del termine del 30 giugno sia coloro che devono predisporre tale documento per la prima volta  sia  coloro che  ne abbiano già redatto o aggiornato  uno nel 2003. Un modello base semplificato sarà disponibile a breve sul sito del Garante www.garanteprivacy.it.

Dal prossimo anno, decorso il periodo transitorio connesso all'entrata in vigore del Codice della privacy, il termine per l'aggiornamento del dps rimarrà fissato al  31 marzo.

Queste in sintesi le indicazioni che l'Ufficio del Garante ha fornito ad amministrazioni pubbliche e società private per una corretta applicazione delle novità normative introdotte dal Codice della privacy in materia di "misure minime" di sicurezza e dei sistemi informatici e telematici. Le "misure minime", già previste  dalla legge n.675/1996, sono l'insieme degli accorgimenti tecnici e organizzativi che l'azienda deve adottare per assicurare almeno il livello minimo di sicurezza per la protezione dei dati personali.

Il Codice, entrato in vigore il 1 gennaio 2004, ha confermato la disciplina in materia di sicurezza dei dati  personali introdotta nel 1996. In particolare, è stato ribadito il principio secondo cui le "misure minime" sono solo una  parte degli accorgimenti obbligatori in materia di sicurezza. Vi è infatti il dovere più generale di custodire i dati personali per contenere il più possibile il rischio che essi siano distrutti, dispersi, conoscibili fuori dei casi consentiti o trattati in modo illecito, nonché di introdurre ogni utile dispositivo di protezione legato alle nuove conoscenze tecniche. Oltre ad attenersi, quindi, a queste disposizioni generali, i soggetti pubblici e privati hanno il dovere di adottare in ogni caso le "misure minime", la cui mancata adozione costituisce reato.  

Il Codice ha però aggiornato l'elenco delle "misure minime" di sicurezza e ha indicato  modalità di applicazione (allegato B del Codice). Analogamente a quanto avveniva in passato, le "misure minime" sono diverse a seconda che il trattamento sia effettuato o meno con strumenti elettronici o riguardi dati sensibili o giudiziari.

Anche il documento programmatico sulla sicurezza, che in base al nuovo Codice deve essere adottato da chiunque effettua un  trattamento di dati sensibili o giudiziari con strumenti elettronici,  rientra tra le misure minime. Si tratta di una misura non nuova anche se è parzialmente cambiato il contenuto del documento, è più ampia la categoria dei dati giudiziari ed è aumentato il numero dei soggetti destinatari dell'obbligo. Proprio in considerazione delle novità introdotte e del numero dei nuovi soggetti interessati, il Garante ha ritenuto che, in sede di prima applicazione del nuovo quadro normativo, il dps possa essere predisposto, al più tardi entro il  30 giugno 2004.

Va ricordato, infine, che il termine concesso oggi agli operatori riguarda solo ed esclusivamente l'adozione delle nuove misure introdotte dal Codice. Le "vecchie" misure minime, che erano già obbligatorie in passato, devono essere infatti adottate senza attendere il termine del 30 giugno.

Il parere del Garante è qui

Roma, 23 marzo 2004