La proroga del Documento programmatico

di Giancarlo Barbon (Lidis.it) - Il Garante ha espresso un Parere che porta chiarezza su una questione importante per molti soggetti: i tempi del DPS. Rimangono però aperti degli interrogativi. Il quadro

Roma - Le aziende private e le amministrazioni pubbliche, che effettuano trattamenti di dati sensibili o giudiziari con strumenti elettronici, avranno tempo fino al 30 giugno 2004 per adottare le misure "minime" di sicurezza di cui al Nuovo Codice della Privacy (Decreto Legge 196/2003) e per redigere il Documento Programmatico in materia di Sicurezza (DPS). Lo ha chiarito il Garante della Privacy con Parere del 20 marzo 2004 ("Obblighi di Sicurezza e documento programmatico: al 30 giugno la redazione del "dps").

La notizia, diffusa attraverso un comunicato del Garante, ha sciolto parte dei dubbi relativi all'applicazione del Nuovo codice sulla Privacy (D.Lgs. 196/2003), facendo tirare un sospiro di sollievo a chi, direttamente interessato, vedeva nel 31 marzo 2004 il termine ultimo per la redazione del Documento Programmatico sulla Sicurezza (DPS) e delle altre misure minime per la tutela dei dati personali, ed alimentando ulteriormente in rete il già vivace dibattito che ha fatto seguito all'introduzione del nuovo Testo Unico in materia di Privacy.

Dunque, un sospiro di sollievo e qualche preoccupazione in meno.
Ma le lacune e i lati oscuri della nuova normativa in materia di privacy permangono. E con essi la preoccupazione e l'esigenza di chiarezza da parte delle imprese interessate.
La notizia si è diffusa rapidamente in rete e subito si sono aperti dibattiti sulla "proroga" del termine disposta dal Garante per l'adozione delle misure minime di sicurezza e per la redazione del Documento Programmatico (DPS).

Ma è proprio corretto parlare di "proroga" del termine al 30 giugno 2004?
Per non lasciare nel disagio i soggetti direttamente interessati - e vistosamente preoccupati dall'adeguamento alle nuove disposizioni del Codice - è doveroso fare un po' di chiarezza sulla questione.

Da un'attenta analisi delle disposizioni del Nuovo Codice sulla Privacy, risulta come quanto disposto dal Garante, con Parere del 20 marzo 2004, non costituisca per tutti i soggetti obbligati una "proroga" del termine per l'adozione delle misure "minime" sulla sicurezza e del Documento Programmatico sulla Sicurezza.
Difatti, il termine del 30 giugno 2004 è già indicato dal Codice della Privacy come termine ultimo per l'adozione di alcune misure minime di sicurezza.

Ma analizziamo il dato normativo.
L'art. 180 (Misure di sicurezza) del Capo II (Disposizioni transitorie) del Codice della Privacy precisa, al primo comma, che "le misure minime di sicurezza di cui agli art. 33 a 35 e all'allegato B che non erano previste dal decreto del Presidente della Repubblica 28 luglio 1999, n.318,sono adottate entro il 30 giugno 2004".
La norma stabilisce, peraltro in modo piuttosto contorto, che le misure minime di sicurezza "diverse" da quelle previste dal d.P.R. 28 luglio 1999 n.318 devono essere adottate entro il 30 giugno 2004.

Il Garante della Privacy, nel testo del Parere in discussione, precisa che tale termine riguarda solo le "nuove misure" minime di sicurezza. Di qui la questione: la redazione del Documento Programmatico sulla Sicurezza rientra tra le nuove misure minime di sicurezza e soggiace al termine di cui all'art. 180 del Codice della Privacy (30 giugno 2004) o rientra tra le misure di sicurezza già previste nel d.P.R. 28 luglio 1999 n.318, soggiacendo al termine del 31 marzo 2004? La redazione del DPS non rientra tra le misure di sicurezza già previste nel d.P.R. 28 luglio 1999 n.318?

Il Garante risolve la questione precisandola, non senza difficoltà, nello stesso Parere del 20 marzo.
Sebbene la redazione del DPS rientri tra le misure di sicurezza già previste nel d.P.R. 28 luglio 1999 n.318, e dunque - argomenta il Garante - non rientri a rigore tra le misure "nuove", "è tuttavia legittimamente sostenibile che il DPS da redigere quest'anno per la prima volta, o da aggiornare, possa essere predisposto al più tardi entro l 30 giugno 2004, anziché necessariamente entro il 31 marzo".

Conclude il Garante disponendo che il documento programmatico sulla sicurezza può essere predisposto "al più tardi entro il 30 giugno 2004 anche da parte di chi "già dotato di un DPS redatto o aggiornato nel 2003, ritenga necessario utilizzare un trimestre in più, rispetto al prossimo 31 marzo, per curare la stesura di un testo significativo e più impegnativo nella ricognizione dei rischi e degli interventi previsti".

A quanto argomentato dal Garante nel Parere del 20 marzo 2004 aggiungiamo le seguenti considerazioni:
- il d.P.R. 28 luglio 1999 n.318 prevedeva l'obbligo di predisporre il Documento Programmatico sulla Sicurezza (DPS) solo nel caso di trattamento di dati sensibili o relativi a determinati provvedimenti giudiziari effettuato mediante "elaboratori accessibili mediante una rete di telecomunicazioni disponibile al pubblico".
Pertanto si può a ragione sostenere che, per i soggetti che trattano dati sensibili o giudiziari con elaboratori non accessibili mediante una rete di telecomunicazioni disponibili al pubblico, il DPS costituisca una misura "diversa" da quelle previste dal d.P.R. 28 luglio 1999 n.318: ciò legittima l'individuazione del termine ultimo per l'adozione di tale misura al 30 giugno 2004.

Per concludere:

Il Codice all'art. 180 concede un termine più ampio (30 giugno 2004) a chi si imbatte per la prima volta nella stesura del Documento Programmatico sulla Sicurezza.

Il Garante, con il Parere del 20 marzo, concede a sua volta un trimestre in più, rispetto al termine del 31 marzo 2004, a "chi, già dotato di un DPS redatto o aggiornato nel 2003... debba curare la stesura di un testo significativo e più impegnativo nella ricognizione dei rischi e degli interventi previsti".

Solo in questo secondo caso è corretto parlare di "proroga" del termine per l'adozione del Documento Programmatico sulla Sicurezza. Ma qui si apre un'altra drammatica questione: può un Parere di un Garante prorogare un termine disposto da un Decreto Legislativo?

Fare chiarezza sulle diverse questioni sollevate sul tema non è certo cosa di poco conto, considerando, tra l'altro, che il Codice prevede, per omessa adozione del DPS (o di altra misura minima di sicurezza), l'arresto sino a due anni o l'ammenda da 10.000 euro a 50.000 euro.

Avv. Giancarlo Barbon
Studio Legale Sarzana & Partners
www.lidis.it
TAG: privacy
21 Commenti alla Notizia La proroga del Documento programmatico
Ordina
  • ma questo documento va redatto da tutte le aziende piccole medie grandi che hanno un collegamento internet e che dunque hanno della posta?
    non+autenticato
  • qui:

    www.vesema.it

    Saluti e spero di essere stato di aiuto a qualcuno,
    Alessandro Marzini
    non+autenticato
  • Grazie mille, mi sei stato davvero di aiuto.
    Laura
    non+autenticato
  • Anche qui www.privacyitalia.it
    non+autenticato
  • La legge è scritta in burocratese in alcuni paragrafi ho fatto delle tabelle sperando di aver capito giusto. E' troppo difficile mettere sul sito del garante un dps standard che dopo ogni azienda scarica e modifica in base alle sue caratteristiche? Così ti tocca interpretare o affidarsi ad uno studio esterno che ti spara cifre incredibili.
    non+autenticato
  • In un articolo del Sole24ore di martedì 24 marzo 2004 pag 29, è riportato un intervento del Garante dove si dice che prima del 30 giugno verrà messo a disposizione un modello-base semplificato di DPS per le piccole-medie imprese...
    non+autenticato
  • grazie 1000 per la dritta
    non+autenticato
  • E il facsimile verrà pronto il 29 giugno...
    non+autenticato
  • Perchè non hanno capito neanche loro cosa bisogna metterci...
    non+autenticato

  • - Scritto da: Anonimo
    > Perchè non hanno capito neanche loro
    > cosa bisogna metterci...

    ma chissa perchè riesumate sti trhead ....
    non+autenticato
  • Basta farlo gratis su www.privacyitalia.it
    non+autenticato
  • Quest'ultima precisazione fornita dall'avvocato rende in modo evidente le cose molto più semplici di quanto si immaginava: malgrado le strette analogie, il DPR indicato nuova normativa è formalmente diverso da quello cui si riferiva la precedente normativa. Pertanto, in assenza di uno specifico atto legislativo che chiarisca i legami fra il vecchio DPR ed il nuovo non ci sarebbero dubbi: le scadenze rimarrebbero immutate, a marzo per il vecchio documento e a giugno per quello nuovo.
    In tal caso chi non ottemperasse alle disposizioni relative al vecchio documento non dovrebbe comunque preoccuparsi delle pene associate al nuovo DPR. Qualunque causa scaturirebbe da interpretazioni diverse che finirebbe senzaltro per affondare nei meandri dei ricorsi e quindi risolversi in una bolla di sapone.
    Chi ci guadagna e chi ci perde comunque? Ci potrebbero guadagnare forse coloro che professionalmente vivono dei contenziosi.
    Ci perde senz'altro il Legislatore che non è riuscito a evitare i dubbi atavici disseminati nel testo. Ci perde ovviamente chi ha il compito di Governare in tempo queste situazioni.

    Peraltro c'è da dire che in temi di informatica e di sue ricadute sulla società dell'informazione, il Legislatore non è scevro da errori, a cominciare dall'assurdo apostolato di dequalificazione dei laureati in scienze dell'informazione che dagli anni '60 alla fine del secolo hanno rappresentato la crema degli esperti professionali del settore, negando loro l'accesso al *nuovo et unico* album professionale dedicato all'informatica -in cui sono invece confluiti senza dover sostenere esami di informatica ingegneri meccanici e civili-.

    Non intendo ripercorrere i motivi che hanno condotto il Governo del Signor Berlusconi nel maggio 2002 a impedire che i laureati in scienze dell'informazione partecipassero all'esame di stato per l'abilitazione professionale contemplata dal settore dell'informazione. Vale però la pena, da un punto di vista politico, fare alcune osservazioni programmatiche che sono valide per tutti gli schieramenti.
    La nuova normativa mette nello stesso calderone tutte le PA e le aziende dalle multinazionali alle piccole imprese. Questo crea confusione appunto, a iniziare dai principali operatori -avvocati, economisti, commercialisti, ecc.- che abbiamo sentito dire di tutto e il contrario di tutto. Questa confusione non fa bene nè allo Stato, nè all'economia, nè ai cittadini! Sarebbe stato preferibile affrontare questi temi distintamente con diversi atti legislativi. Le PA e alcune aziende importanti -assicurazioni, banche, ecc.- presentano da una parte gli aspetti più critici legati alla sicurezza e dall'altra parte costituiscono l'area di maggiore interesse da parte dei cittadini dal punto di vista della privacy. Ci sono poi le grosse aziende che hanno problemi specifici, legati al gran numero di dipendenti, ai particolari tipi di trattamento, all'estensione in diverse unità dislocate, ecc. Infine ci sono le piccole imprese, le associazioni, ecc. che hanno problemi senzaltro diversi e quindi una normativa semplificata conquisterebbe l'applauso del folto numero di interessati, compresi i cittadini.

    Infine concludo con una considerazione banale: se la corretta tenuta del DPR pone al riparo da conseguenze penali, cos'altro manca per dormire sogni tranquilli?

    E' più facile che entro i prossimi 5 anni l'8 per mille venga per default dirottato a favore degli *istituti laici di assistenza sociale e orfanotrofi* oppure che si assista presto ad una corsa di massa verso qualche novità del tipo RC privacy?
    Creatività? O solo l'illusione di una autotassazzione alternativa? Diciamo spontanea!

    Adriano Liberale
    non+autenticato
  • Il problema è che il Garante non ha minimente fatto cenno ad un altro aspetto, secondo me molto più importante. In questo articolo, come in altri già letti su PI e su altre riviste, si da per assodato che il DPS debba essere redatto solo da chi tratta dati sensibili o giudiziari. L'intreccio delle norme in realtà crea non poca confusione. L'articolo 34 elenca il DPS come una delle misure minime per i soggetti che effettuano il trattamento dei dati personali. L'allegato B, che definisce in maniera puntuale le misure minime, al punto 19 riferisce che "Entro il 31 marzo di ogni anno, il titolare di un trattamento di dati sensibili o di dati giudiziari redige [...] un documento programmativo sulla sicurezza [...]".
    Mi conforta sapere che questo dubbio interpretativo effettivamente esiste. Sul Sole24ore di martedì 23 marzo, pag 29, in un trafiletto a centro pagina leggo che il presidente della Fondazione Luca Pacioli (credo si tratti di una associazione di ragionieri) ha scritto al Garante proprio per avere chiarimenti in merito...

    E poi scusate, ma il Garante, che ha il sito giù due giorni su tre avrà adottato almeno le misure minime e le misure idonee per garantire all'interessato la disponibilità dei suoi dati??? Avrà previsto una procedura per il ripristino? Triste
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 8 discussioni)