La prima scadenza fondamentale per adeguarsi alle nuove norme sulla privacy è scattata il 31 marzo 2006, e riguarda la redazione del Documento programmatico sulla sicurezza (DPS) che tutti i titolari (privati e pubblici) di un trattamento di dati sensibili e giudiziari con strumenti elettronici hanno dovuto adottare. Il Documento determina molteplici attività a carico di tali soggetti e costituisce una misura minima, il cui contenuto deve essere conforme alle regole dalla numero 19.1 alla numero 19.8 dell’allegato B al Dlgs 196/2003.  Tale documento, una volta redatto, dovrà essere predisposto od aggiornato e revisionato con cadenza annuale entro il 31 marzo di ogni anno (regola 19, allegato B, Dlgs 196/2003).

Gli adempimenti   

Gli adempimenti a carico delle imprese sono brevemente riassumibili in:  

  • adempimenti nei confronti dei clienti (trattamento dei dati previa informativa e consenso, trattamento e custodia dei dati stessi); 
  • adempimenti nei confronti del Garante della privacy (notificazioni, autorizzazioni e comunicazioni relative ai dati sensibili trattati); 
  • adempimenti organizzativi (nomina di responsabili e incaricati del trattamento dei dati, organizzazione interna e tutela dei dati trattati). 
  • Il tutto al fine di tutelare la riservatezza dei dati personali e la sicurezza dell’infrastruttura preposta al loro trattamento, rispondendo all’interesse sia di chi è titolare di un diritto legittimo a trattare i dati, sia di chi è proprietario dei dati oggetto di trattamento. 
  • L’obbligo di rispondere a questi adempimenti comporta una serie di attività o di iniziative all’interno dell’organizzazione (anche la più semplice) dell’attività svolta, quali esemplificando: 

    A- Valutazione dell’idoneità delle misure di sicurezza adottate a fronte delle misure minime di sicurezza richieste dal D.Lgs. 196/2003, attivando un check-up finalizzato a verificare l’applicazione delle misure minime previste dalla normativa che potrà essere svolto come di seguito specificato: 

      • Incontro con i responsabili dell’azienda incaricati di seguire gli archivi e/o responsabile dei sistemi informativi per un rilevamento generale della situazione;
      • Analisi delle misure di sicurezza attualmente esistenti per ciascun trattamento; 
      • Confronto, per ciascun archivio e trattamento, tra le misure attualmente adottate e quelle previste dal provvedimento con l’individuazione di eventuali situazioni non conformi;   

      B- Audit normativo : con riferimento al quadro normativo sulla tutela dei dati personali (D. Lgs. 196/2003 e successivi chiarimenti normativi) e sulla base del documento programmatico della sicurezza, potranno essere svolte le seguenti attività:

      •  
        •  Rilevazione delle modalità di trattamento dei dati;
        • Documento di nomina degli incaricati con indicazioni operative (legato a mansionario o regolamento di lavoro); 
        • Lettera di accettazione responsabile, amministratori di sistema e incaricati;
        • Elenco delle Società Outsourcers;
        • Contratti e normative con società di manutenzione (verifica esistenza delle autorizzazioni);
        •  Eventuali normative per la custodia documenti (verifica sicurezza per servizio di posta interna e di eventuali normative esistenti); 
        • Normative per il controllo accesso ai locali.   
        • C- Analisi dei rischi: in questa fase potranno essere individuati in modo organico i rischi cui è soggetto il patrimonio informativo aziendale, sia esso detenuto in forma cartacea, informatica o in altra forma, con particolare riferimento ai rischi di perdita, trafugamento, danneggiamento, trattamento non autorizzato e non conforme ai regolamenti. D- Documento programmatico della sicurezza: infine potrà essere predisposto il DPS, che ha per obbiettivo la definizione dei seguenti elementi:

          •  I criteri tecnici e organizzativi per la protezione delle aree e dei locali interessati dalle misure di sicurezza nonché le procedure per controllare l’accesso delle persone autorizzate ai locali medesimi;
          • I criteri e le procedure per la sicurezza delle trasmissioni dei dati, ivi compresi quelli per le restrizioni di accesso per via telematica; 
          • Elaborazione delle procedure di sicurezza di tipo logico, organizzativo e fisico;
          • Descrizione procedure di backup, antivirus, riutilizzo dei supporti magnetici;
          • Regolamento aziendale per l’utilizzo del sistema informatico;
          • I principi guida per un piano di formazione permanente per rendere edotti gli incaricati del trattamento dei rischi individuati e dei modi per prevenire i danni;
          • Indicazioni circa la presenza di strumenti di videosorveglianza o di rilevatori biometrici;   
          •  Stesura e verifica finale del documento cartaceo (DPS).
          • Ravvedimento per i ritardatari 

            Si segnala infine che la data del 31 marzo 2006 rappresentava un termine tassativo da non confondere con il maggior termine del 30 giugno 2006 previsto dall’articolo 180 comma 3, Dlgs 196/2003, esclusivamente per l’ipotesi specifica di quei titolari impossibilitati ad applicare immediatamente tutte o alcune delle “nuove” misure minime per ragioni «esclusivamente tecniche» documentate in un atto a data certa da redigere entro il 31 marzo 2006 (si veda il parere del Garante del 22 marzo 2004).
            Pertanto, chiunque, essendovi obbligato, non abbia redatto entro il termine del 31 marzo 2006 il dps commette un reato sanzionato dall’articolo 169 del Dlgs 196/2003, con l’arresto sino a due anni o l’ammenda da 10mila a 50mila euro, salvo l’eventuale ravvedimento operoso di chi adempie puntualmente alle prescrizioni impartite dal Garante una volta accertato il reato ed effettua un pagamento in sede amministrativa, ottenendo così l’estinzione del reato.

Share Button