DPS obbligatorio per i dati elettronici

di Valentina Frediani (www.consulentelegaleinformatico.it) e Andrea Lisi (www.scint.it) - Il Documento Programmatico sulla Sicurezza obbligatorio per tutti coloro che trattano elettronicamente dati personali. Ecco perché

Roma - Scade il 30 giugno il termine per la redazione del documento programmatico sulla sicurezza dei dati (di seguito anche D.P.S. (1)). Ma l'interrogativo che si/ci pongono varie società e professionisti è se la redazione sia obbligatoria solo per chi fa trattamento elettronico di dati sensibili e/o giudiziari o anche per chi fa, in generale, il trattamento elettronico di dati personali.

Per rispondere occorre visionare nella sua globalità sia il codice in materia di protezione dei dati personali (D.Lgs. 196/03), sia l'allegato B) al codice, recante il disciplinare tecnico in materia di misure minime di sicurezza. Infatti, dalla lettura del codice emerge chiaramente che alcune misure di sicurezza "minime" (tra le quali rientra la redazione del D.P.S.) debbono essere adottate per i dati personali trattati in formato elettronico, e per i dati sensibili, sia trattati in formato elettronico sia in formato cartaceo.

In particolare, sembra eliminare qualsiasi tipo di dubbio l'art. 34 del codice, il quale al punto g) dice espressamente e univocamente: "? il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell'allegato B), le seguenti misure minime: ?g) tenuta di un aggiornato documento programmatico sulla sicurezza?".
L'articolo, quindi, non fa assolutamente riferimento in modo esclusivo ai dati sensibili o giudiziari, ma al contrario cita le misure di sicurezza minime riferibili ai dati personali in generale (e diversamente si è comportato il legislatore nel punto h) dello stesso articolo dove ha specificato che solo per alcuni dati inerenti la salute trattati da organismi sanitari occorre procedere al trattamento utilizzando tecniche di cifratura).
Taluni sono stati indotti in errore nella lettura interpretativa di tali norme dal disciplinare tecnico allegato al codice, il quale alla voce documento programmatico sulla sicurezza, ha espressamente stabilito: "Entro il 31 marzo di ogni anno, il titolare del trattamento di dati sensibili o di dati giudiziari redige anche attraverso il responsabile se designato, un documento programmatico sulla sicurezza contenente idonee informazioni?".

Ma basta leggere con attenzione la norma per sostenere che l'allegato tecnico, eventualmente, prevede soltanto che il DPS vada redatto per il trattamento elettronico di dati sensibili e/o giudiziari entro una certa data e, cioè, il 31 marzo di ogni anno, ma di certo tale asserzione non esclude l'obbligo generale di redazione del DPS in caso di trattamento elettronico di dati comuni (come indicato, si ripete, nell'art. 34 lett. g)! Altrimenti l'allegato tecnico comporterebbe una sorta di abrogazione implicita di un principio generale fornito nell'art. 34 e ciò costituirebbe veramente un curioso precedente nella tecnica normativa usualmente utilizzata dal nostro legislatore.

Inoltre, dalla stessa voce del disciplinare tecnico emerge chiaramente al punto 19.1, ovvero in relazione all'obbligo di inserire nel documento programmatico determinati elementi, quello di inserire l'elenco dei trattamenti di dati personali: ed ecco perdersi nuovamente la distinzione tra dato sensibile o meno!

Infine, a favore della ovvia lettura della norma che preveda un obbligo generale di redazione del documento programmatico in capo a tutte quelle società, enti pubblici o studi professionali che gestiscano sia anagrafiche relative a clienti e fornitori, sia dati dei dipendenti, vi è la stessa ratio sottesa dal Codice per gli adempimenti inerenti alle misure di sicurezza: far evolvere la sicurezza nelle strutture aziendali o professionali attraverso l'imposizione di misure che siano concretamente capaci di ridurre la vulnerabilità della perdita o del danneggiamento di tutti i dati (comuni o sensibili che siano). Tanto che è logico prospettare che ogni società abbia il preciso obbligo di verificare la sussistenza delle misure minime di sicurezza all'interno della propria realtà, divenendo così il documento programmatico semplicemente una fotografia della sicurezza vigente nell'azienda con uno sguardo proiettato verso le misure che in un futuro prossimo appariranno adeguate non solo a livello normativo, ma soprattutto alla luce della necessità della struttura aziendale stessa di preservare il proprio patrimonio fatto sostanzialmente di dati (e, infatti, si parla di documento programmatico sulla sicurezza).

Per concludere, poniamo a tutti una domanda provocatoria: chi può con tranquillità sostenere di essere totalmente sicuro di trattare nel proprio sistema informatico solo e soltanto dati comuni e non anche sensibili (2)? E nell'incertezza è giusto forse rischiare le pesanti sanzioni previste dal legislatore in caso di violazione dell'obbligo di adozione di misure minime di sicurezza (arresto sino a due anni o ammenda da diecimila euro a cinquantamila euro ex art. 169 del Codice)?


avv. Valentina Frediani
Consulentelegaleinformatico.it

avv. Andrea Lisi
Studio Legale Lisi


NOTE

(1) Per un approfondimento della materia si consiglia la lettura dell'articolo "I nuovi faticosi adempimenti del Codice della Privacy per Pubbliche Amministrazioni, Imprese e Professionisti. Il Documento Programmatico sulla Sicurezza serve un po' a tutti coloro che trattano elettronicamente dati personali...e non solo a loro!", a cura di A. Lisi, visibile alla pagina http://www.scint.it/appr_new.php?id=109

(2) La definizione di dati sensibili fornita dalla legge è così vasta che possono rientrarvi molti dati personali che trattiamo quotidianamente (anche, in alcuni casi, le stesse e-mail, qualora contengano direttamente o indirettamente dei "requisiti di appartenenza" a particolari categorie: es. e.mail tiziosempronio@partitopolitico.it)
73 Commenti alla Notizia DPS obbligatorio per i dati elettronici
Ordina
  • nella stesura del dps bisogna elencare i dati anagrafici in archivio oppure soltanto il tipo di dati(comuni,sensibili o giudiziari)
    non+autenticato
  • Qualcuno sa darmi conferma di questa notizia?
  • Slitta di sei mesi (al 31/12/2004) il termine per l'adeguamento alle misure minime di sicurezza previste dal Codice della Privacy, tra cui la compilazione del Documento Programmatico sulla Sicurezza. Lo prevede il decreto legge che è stato approvato ieri dal governo.
    non+autenticato
  • Gestisco da 2 anni un sito internet amatoriale (con suffisso .com preferito al .it solo per risparmiare tempo) che si occupa di fornire agli autori (nel senso più ampio
    del termine) notizie su corsi, concorsi, eventi e roba del genere. Alcune pagine del sito ospitano inoltre una specie di database (ma il termine è alquanto improprio) in cui qualsiasi autore voglia segnalare la propria attività può farlo gratis indicandomi il suo nome, la categoria autoriale in cui opera, un sito internet o un'e-mail di riferimento e fornendomi una
    scheda da pubblicare. La cosa si è sempre svolta in modo molto "amatoriale", tanto che non ho mai neanche richiesto un'autorizzazione alla pubblicazione dei dati (forse avrei dovuto farlo?) ed io non ho mai riportato su un file del mio computer nè i nominativi segnalati sul sito nè gli indirizzi e-mail. Praticamente se volessi creare una newsletter per gli autori che vengono segnalati nella pagina dovrei andare sul mio sito e rintracciarmi uno ad uno gli indirizzi, per dirvi il livello non professionale della cosa!!! Ciò che ora non riesco a capire se questo dps riguarda anche me e se devo chiudere il sito. Perchè, sia pur con la morte nel cuore, tra una multa così notevole e la chiusura del sito... scelgo quest'ultima. P.S. Ma il mio curriculum posso ancora tenerlo on line?
    non+autenticato
  • Ok, bravi Frediani e Lisi che firmate l?articolo che stiamo commentando: la vostra interpretazione letterale del D.Lgs. 196/03 non fa una grinza.
    Se ci si dovesse basare solo sulla lettera del codice privacy sarebbe logico fare come dite voi. In particolare scrivete: ??L'articolo (art. 34, quello che consente il trattamento dei dati personali solo se si adottano le misure minime), quindi, non fa assolutamente riferimento in modo esclusivo ai dati sensibili o giudiziari, ma al contrario cita le misure di sicurezza minime riferibili ai dati personali in generale??
    Poi aggiungete: ?Taluni sono stati indotti in errore nella lettura interpretativa di tali norme dal disciplinare tecnico allegato al codice??


    Vi dimenticate però di dire che tra quelli che sono stati indotti in errore c?è anche il dott. Giovanni Buttarelli, segretario generale dell?autorità garante per la protezione dei dati personali il quale, nell?arcinoto parere del 22 marzo 2004 (www.garanteprivacy.it), dà una lettura dell?art. 34 combinato col disciplinare tecnico (allegato B) tale da sostenere che ?In base al nuovo Codice, la misura minima del DPS deve essere ora adottata dal titolare di un trattamento di dati sensibili o giudiziari effettuato con strumenti elettronici, attraverso l?organo, ufficio o persona fisica a ciò legittimata in base all?ordinamento aziendale o della pubblica amministrazione interessata (art. 34, comma 1, lett. g), del Codice; regola 19 dell?Allegato B)).?

    Pur sapendo noi tutti che il garante per la privacy non è la legge, ma dà del codice sulla privacy un?interpretazione, ci permettiamo di tenere in maggiore considerazione la sua rispetto alla vostra (che pure, lo ripetiamo, ci sembra più aderente alla lettera del decreto!)

    Francamente riteniamo scandaloso il fatto che negli ultimi mesi, pur essendo rimasto invariato il codice privacy (che è del giugno 2003), gli obblighi e gli obbligati a questo o a quell?adempimento siano cambiati decine di volte. Ora per il mutare dell?orientamento della dottrina, ora per qualche nuovo parere dell?autorità.
    Vi sembra serio che il garante pubblichi la guida operativa per la redazione del DPS il giorno 11 di giugno quando la scadenza è ancora fissata al 30 del mese? La cosa è addirittura grottesca considerando che il DPS dovrebbe essere l?ultimo passo sulla lunga strada della regolarizzazione in fatto di protezione dei dati personali: il documento che spiega nei dettagli come si stanno tutelando i dati dei cittadini.

    Vorremmo che qualcuno dica chiaramente chi deve fare cosa. E che poi lasci un po? di tempo perché tutti si adeguino.
    Fin?ora non è stato certo così.
    non+autenticato
  • Condivido pienamente.

    Sono un consulente informatico e a causa di queste incomprensioni sto avendo non pochi problemi.
    Mi trovo nella condizione di vedere i miei attuali e potenziali clienti con un grado di soddisfazione del mio servizio molto basso.
    Come faccio a spiegare a titolari di micro e piccole imprese artigianali che utilizzano programmi di creazione DDT e fatturazione che sono equiparati a strutture con un sistema informatico e organizzativo più avanzato? Con quale logica?

    Dall'atra parte, se consiglio i miei assistiti di mettersi tecnicamente in regola senza fare il DPS, vengono tartassati da altri professionisti e/o società che adottando politiche di impaurimento con una retorica convincente.

    Sia nell'uno che nell'altro caso mi trovo nelle condizioni piena impotenza.
    E' una situazione molto frustrante........
    non+autenticato
  • Buon giorno a tutti,
    una domanda che mi riguarda.

    Gestisco un piccolo hotel dove, a norma di legge,
    sono obbligato a richiedere i dati dei clienti per la registrazione.
    Questi dati vengono registrati e spediti giornalmente alla Questura.
    Utilizziamo un software antidiluviano in DOS fornitoci dalla Questura stessa.

    Non usiamo i dati per nessuna altra operazione e facciamo firmare al cliente una dichiarazione dove è specificato che i dati sono utilizzati solo per la comunicazione delle presenze agli organi di Polizia.

    Ora mi chiedo, se i dati del cliente siano considerati "sensibili".

    Vi ringrazio anticipatamente per le vostre risposte.

    Gianni
    non+autenticato
  • - Scritto da: Anonimo

    > Questi dati vengono registrati e spediti
    > giornalmente alla Questura.

    non sapevo che alloggiare in albergo fosse illegale strano paese il vostro quasi peggio della cina ma se a voi sta bene cosi' allora tanto peggio per voi
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
1 | 2 | 3 | 4 | 5 | 6 | Successiva
(pagina 1/6 - 26 discussioni)