La semplificazione delle procedure ai fini degli adempimenti per le misure minime di sicurezza e notificazione


Il 9 Dicembre è stato pubblicato sulla Gazzetta Ufficiale il provvedimento del Garante per la privacy intitolato: “Semplificazione delle misure di sicurezza contenute nel disciplinate tecnico di cui all’Allegato B) al Codice in materia di protezione dei dati personali (del 27.11.2008, con pubblicazione in G.U. nr. 287 del 9 Dicembre 2008).


 


L’Autorità del Garante per la protezione dei dati personali, nell’impegno precipuo di semplificazione delle procedure inerenti alcuni adempimenti in materia di trattamento dei dati personali e sentito il Ministro per la semplificazione normativa (il quale ha rilasciato parere favorevole con nota del 21 Novembre 2008), con riferimento alle amministrazioni pubbliche e società private i quali trattano dati non sensibili (cioè dati anagrafici e residenziali) e dati sensibili dei propri dipendenti (riferiti solo ai dati che rilevano lo stato di salute e/o l’adesione ad organizzazioni sindacali) nonché alle piccole e medie imprese anche in forma artigianale e liberi professionisti  i quali trattano solo dati amministrativi e contabili, ha adottato delle semplificazioni le quali non sottraggono i soggetti economici interessati dagli obblighi sulla privacy come ad esempio l’adozione, tenuta ed aggiornamento del Documento Programmatico di Sicurezza, ma snellisce soltanto alcune procedure con un duplice obiettivo: da un lato non esimere tali soggetti dagli obblighi sulla privacy e dall’altro evitare, e quindi togliere, procedure troppo onerose sotto ogni profilo.


 


Il Garante, a tal fine, ha premesso nel provvedimento in questione la necessità specifica di semplificare delle procedure ai “soggetti che trattano soltanto dati personali non sensibili e che trattano come unici dati sensibili quelli costituiti dallo stato di salute o malattia dei propri dipendenti e collaboratori anche a progetto, senza indicazione della relativa diagnosi, ovvero dall’adesione ad organizzazioni sindacali o a carattere sindacale”, nonché rispetto a “trattamenti comunque effettuati per correnti finalità amministrative e contabili, in particolare presso piccole e medie imprese, liberi professionisti e artigiani”, nel rispetto dei diritti degli interessati (comma 1-bis art. 34 cit.).


 


Pertanto alla luce del nuovo provvedimento i soggetti economici interessati potranno godere delle seguenti semplificazioni:


        possono impartire agli incaricati le istruzioni in materia di misure minime anche oralmente;


        possono utilizzare per l’accesso ai sistemi informatici un qualsiasi sistema di autenticazione basato su un username e una password; lo username deve essere disattivato quando viene meno il diritto di accesso ai dati (es. non si opera più all’interno dell’organizzazione);


        in caso di assenze prolungate o di impedimenti del dipendente possono mettere in atto procedure o modalità che consentano comunque l’operatività e la sicurezza del sistema ( ad es. l’invio automatico delle mail ad un altro recapito accessibile);


        devono aggiornare i programmi di sicurezza (antivirus) almeno una volta l’anno, e effettuare backup dei dati almeno una volta al mese.


 


Il Garante ha consentito, altresì, una semplificazione del documento programmatico di sicurezza e procedure più snelle per i soggetti economici che trattano dati senza l’ausilio di strumenti informatici. Per ciò che attiene il primo punto il DPS dovrà avere i seguenti contenuti:


        le coordinate identificative del titolare del trattamento, nonché, se designati, gli eventuali responsabili. Nel caso in cui l’organizzazione preveda una frequente modifica dei responsabili designati, potranno essere indicate le modalità attraverso le quali è possibile individuare l’elenco aggiornato dei responsabili del trattamento;


        una descrizione generale del trattamento o dei trattamenti realizzati, che permetta di valutare l’adeguatezza delle misure adottate per garantire la sicurezza del trattamento. In tale descrizione vanno precisate le finalità del trattamento, le categorie di persone interessate e dei dati o delle categorie di dati relativi alle medesime, nonché i destinatari o le categorie di destinatari a cui i dati possono essere comunicati;


        l’elenco, anche per categorie, degli incaricati del trattamento e delle relative responsabilità. Nel caso in cui l’organizzazione preveda una frequente modifica dei responsabili designati, potranno essere indicate le modalità attraverso le quali è possibile individuare l’elenco aggiornato dei responsabili del trattamento con le relative responsabilità;


        una descrizione delle altre misure di sicurezza adottate per prevenire i rischi di distruzione o perdita, anche accidentale, dei dati, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.


 


Per quei soggetti, che invece, trattano dati senza l’ausilio di strumenti informatici ed elettronici, potranno impartire ai loro incaricati, anche in forma orale le istruzioni utili ai fini del controllo e custodia dei dati trattati che nel caso concreto saranno rappresentati da atti e documenti; per gli atti e documenti contenenti dati sensibili e giudiziari dovranno essere sempre custoditi e controllati dai soggetti incaricati al trattamento fino alla loro restituzione ai rispettivi titolari.


In fine, l’ulteriore semplificazione introdotta dal Garante è quella concernente la notificazione; intanto essa dovrà essere fatto esclusivamente per via telematica e con firma digitale, secondo le istruzioni dell’Autorità; la nuova notificazione dovrà contenere i seguenti dati: le coordinate identificative del titolare del trattamento e, eventualmente, del suo rappresentante, nonché le modalità per individuare il responsabile del trattamento se designato; la o le finalità del trattamento; una descrizione della o delle categorie di persone interessate e dei dati o delle categorie di dati relativi alle medesime; i destinatari o le categorie di destinatari a cui i dati possono essere comunicati; i trasferimenti di dati previsti verso Paesi terzi; una descrizione generale che permetta di valutare in via preliminare l’adeguatezza delle misure adottate per garantire la sicurezza del trattamento.


 


La notificazione è dovuta per tutti quei soggetti che trattano: dati genetici, biometrici, e che indicato la posizione geografica di persone od oggetto mediante idonei strumenti elettronici; dati concernenti la sfera sessuale e psichiatrica dei soggetti; dati trattati con l’ausilio di strumenti elettronici i quali sono in grado di esaminare e tracciare il profilo e la personalità di un individuo; dati trattati ai fini della selezione di risorse umane, indagini e ricerche di mercato; dati registrati in banche dati le quali hanno la funzione di monitorare lo stato di solvibilità e quant’altro affine di un individuo.


 


La notificazione va presentata al Garante prima dell’inizio del trattamento dei dati in questione ed è unica. Se ne può fare una nuova nel caso di cessazione del trattamento dei dati o di variazione di qualche elemento da indicare nella stessa.


 


Il Garante ha reso noto che il nuovo modello semplificato sarà reso usufruibile entro e non oltre i 60 giorni dalla data di pubblicazione del presente provvedimento.


 


Appare, importante rilevare, che le semplificazioni che concernono il Documento Programmatico di Sicurezza con particolare riferimento alla formazione degli incaricati, la quale può avvenire oralmente, non esimono il titolare del trattamento a redigere e far firmare le lettere di incarico, le quali espressamente dovranno indicare il tipo di formazione e come essa è avvenuta.


 


Luigi Risolo


5 gennaio 2009


Partecipa alla discussione sul forum.