Roma – Sono in arrivo modifiche per il già modificato art. 180 del D.Lgs. 196/2003! Le (nuove) misure di sicurezza dovranno essere adottate entro il 31 dicembre 2005 (e tra queste, quindi, anche il tanto “odiato” D.P.S., il documento sulla sicurezza) e, in caso di utilizzo di strumenti elettronici obsoleti e che, quindi, per ragioni tecniche non consentano l’adeguamento alle misure di sicurezza del Codice Privacy, lo slittamento del termine è previsto al 31 marzo 2006.
Questo quanto contenuto nel nuovo articolo 6-bis, rubricato “Misure di sicurezza nel trattamento dei dati personali” , introdotto il 9 febbraio 2005 dalla Camera dei Deputati nel disegno di legge n. 5521 di conversione, con modifiche, del decreto legge n. 314 del 30 dicembre 2004 (cd. Decreto “Mille Proroghe” – in G.U. n. 306 del 31/12/2004). Il disegno di legge di conversione prorogherà quindi ulteriormente i termini già prorogati dal decreto legge n. 314!
Sembra incredibile, sembra di partecipare a un gioco a scommesse (arriverà o non arriverà un’altra proroga??), ma è la pura realtà…
In particolare l’art. 180, con le imminenti modifiche, così reciterà:
“Art. 180 (Misure di sicurezza)
1. Le misure minime di sicurezza di cui agli articoli da 33 a 35 e all’allegato B) che non erano previste dal decreto del Presidente della Repubblica 28 luglio 1999, n. 318, sono adottate entro il 31 dicembre 2005.
2. Il titolare che alla data di entrata in vigore del presente codice dispone di strumenti elettronici che, per obiettive ragioni tecniche, non consentono in tutto o in parte l’immediata applicazione delle misure minime di cui all’articolo 34 e delle corrispondenti modalità tecniche di cui all’allegato B), descrive le medesime ragioni in un documento a data certa da conservare presso la propria struttura.
3. Nel caso di cui al comma 2, il titolare adotta ogni possibile misura di sicurezza in relazione agli strumenti elettronici detenuti in modo da evitare, anche sulla base di idonee misure organizzative, logistiche o procedurali, un incremento dei rischi di cui all’articolo 31, adeguando i medesimi strumenti al più tardi entro il 31 marzo 2006″.
Il testo del ddl si trova attualmente presso la Commissione Affari Costituzionali del Senato per la approvazione definitiva. La conversione in legge dovrà avvenire entro il primo marzo 2005.
Giova ricordare che la proroga riguarderà solo le “nuove” misure di sicurezza (cioè, le misure di sicurezza previste per la prima volta con il cd. Codice privacy e, quindi, non contenute nella legge 675/1996 – D.P.R. 1999, n. 318). In particolare, chi era tenuto ad adottare il D.P.S. (Documento Programmatico sulla Sicurezza) con la precedente normativa rimane ancora obbligato alla redazione di questo importante (ma ormai fantomatico ) documento.
Ma tutte le misure minime di sicurezza (previste dagli artt. 33-35 del Codice e dall’Allegato B allo stesso) vecchie e nuove andrebbero sempre considerate indispensabili nella strategia di qualsiasi amministrazione, impresa, studio professionale, almeno in considerazione dell’art. 15 del Codice che prevede (si rammenta) che “chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell’articolo 2050 del codice civile. Il danno non patrimoniale è risarcibile anche in caso di violazione dell’articolo 11” . Tutte le misure minime di sicurezza andrebbero, quindi, sempre implementate in una corretta “privacy policy” quali misure idonee per la sicurezza dei trattamenti effettuati.
Ma questo curioso, continuo “balzello privacy” , non si può certo negarlo, danneggia sino alle fondamenta la credibilità di tutti questi adempimenti e tutti ne sono responsabili.
La normativa sulla privacy, nonostante i tanti sforzi dell’Autorità garante, viene avvertita dalla coscienza sociale come un burocratico e costoso adempimento, un nuovo modo per fare business a danno di imprese e amministrazioni. Chi se l’è potuto permettere, ha adempiuto ai “doveri privacy” pagando profumatamente i “professionisti della privacy e della sicurezza” (che hanno fatto di tutto – diciamocelo – per rendere difficoltosissima la lettura di queste norme e un misterioso rebus il Documento Programmatico per la Sicurezza!).
Per il resto, nessuno ha voluto prendere in seria considerazione la nuova normativa e basta guardare le informative privacy per rendersene conto: la maggior parte delle informative (di amministrazioni e imprese) recano ancora l’indicazione della abrogata legge 675/1996…e meno male che sono previste pesanti sanzioni in caso di omessa o inidonea informativa!!!
Anche queste proroghe fanno parte di un pericoloso “gioco di tiro a piattello” nei confronti della normativa sul trattamento dei dati personali, la quale ha certamente delle carenze, ma probabilmente doveva essere preceduta da una più corretta “alfabetizzazione privacy”, che non c’è stata, o almeno non in maniera adeguata…
Infine, un’ultima considerazione: se la proroga del 3° comma dell’art. 180 può anche spiegarsi con la difficoltà tecnica (ed economica) di adeguare tutti i sistemi operativi obsoleti (e, forse, si poteva pensare sin dall’inizio ad un periodo di adeguamento lungo e/o ad una maggiore elasticità normatva); appare invece veramente incomprensibile questa ulteriore proroga per la redazione del D.P.S.!
Non si comprende quale possa essere la ragione di questo ulteriore slittamento del termine! Quale difficoltà operativa ha la redazione di un documento di carattere programmatico e “fotografico” della politica aziendale in tema di sicurezza dei dati personali? Le risposte, spiace dirlo, sono da ricercarsi in questioni che hanno poco di giuridico e molto di “business”…
Avv. Andrea Lisi
(Titolare dello Studio associato D.&L. – curatore del sito www.scint.it )
Ti potrebbe interessare
28 feb 2005