Registrazione    Accedi
 
Privacy: Misure Minime e Relative Sanzioni Privacy: Misure Minime e Relative Sanzioni  

 Autore: Danilo Gonella
 Pubblicato il: 21 Gennaio 2008
 Email: infolegislazione@windowserver.it

Introduzione
Il D.Lgs. 196 del 30 giugno 2003, detto anche Testo Unico sulla Privacy o, più semplicemente, Codice, ha raccolto il susseguirsi di norme, chiarimenti, interpretazioni relative alla privacy che sono state nel tempo modificate, tagliate ed infine raccolte nel Decreto appena citato. A tanti appare un decreto “esagerato”, forse “inutile”: in effetti, almeno dal punto di vista ecologico, il codice è per così dire “sproporzionato” in quanto impone vari obblighi, tra cui l’informativa che bisogna fornire e ricevere praticamente a e da chiunque: questo da una parte “sponsorizza” le poste italiane che, in questo modo, si vedono spedire milioni di lettere, dall’altra le imprese di telecomunicazione, che si vedono spedire altrettanti fax. In entrambi i casi è tutta carta sprecata che forse nessuno leggerà mai. Dei documenti da realizzare a corredo del D.P.S. né parleremo in un altro articolo. Non tutto quanto previsto dal Codice, fortunatamente, è “inutile”: ad esempio la definizione delle misure minime e la loro applicazione prevista dal Disciplinare Tecnico (allegato B del Codice. In questo articolo ci soffermeremo sulle misure minime (rispetto a quelle idonee) e le relative sanzioni: soprattutto la differenza di queste ultime è rilevante in quanto per la mancata adozione delle misure minime sono previste sanzioni anche penali mentre per la mancata adozione di quelle idonee sono previste esclusivamente sanzioni amministrative (responsabilità civile per danno).

Cosa deve garantire la sicurezza
L’art. 31 comma 1 del Codice recita: “I dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.”.
 
Cosa significa? Che in base alla natura dei dati trattati (comuni, sensibili e/o giudiziari) ed alle caratteristiche del trattamento (cartaceo, informatico, ecc.) è obbligatorio adottare in via preventiva misure che riducano al minimo i rischi di:
 
- Accesso non autorizzato ai dati non solo dall’esterno (ad esempio in mancanza di firewall o protezioni adeguate) ma anche dall’interno tenendo ben presente la regola generale che dice che una persona può accedere solo ai dati a lei utili e necessari per lo svolgimento del suo ruolo (ad esempio, una persona che si occupa di contabilità non deve aver accesso ai dati dei dipendenti e viceversa).
 
- Distruzione o perdita (anche accidentale) dei dati: potrebbero verificarsi eventi fisici (furti, incendi, perdite, ecc.) oppure informatici (cancellazioni, modifiche non autorizzate, ecc.).
 
- Trattamento non consentito o non conforme alle finalità della raccolta: ad esempio nell’informativa al cliente diciamo che trattiamo i dati esclusivamente per obblighi normativi contabili mentre invece creiamo sul nostro sito un portfolio con nome, logo o quant’altro.
 
Le Misure Minime
Per iniziare a parlare di misure minime dobbiamo avere chiari 3 articoli del Codice e quindi ve li riporto di seguito:

Art. 4 comma 3: “Ai fini del presente codice si intende, altresì, per: a) “misure minime”, il complesso delle misure tecniche, informatiche, organizzative, logistiche e procedurali di sicurezza che configurano il livello minimo di protezione richiesto in relazione ai rischi previsti nell’articolo 31; … omissis …”;

Art. 33: “Nel quadro dei più generali obblighi di sicurezza di cui all’articolo 31, o previsti da speciali disposizioni, i titolari del trattamento sono comunque tenuti ad adottare le misure minime individuate nel presente capo … omissis … volte ad assicurare un livello minimo di protezione dei dati personali.

Art. 36: “Il disciplinare tecnico di cui all’allegato B), relativo alle misure minime di cui al presente capo, è aggiornato periodicamente con decreto del Ministro della giustizia di concerto con il Ministro per le innovazioni e le tecnologie, in relazione all'evoluzione tecnica e all'esperienza maturata nel settore.

Nel Codice le misure minime hanno rappresentato una parte importante; lo dimostra il fatto che, mentre la precedente Legge 675 ne rimandava l’individuazione ad un D.P.R., da emanare successivamente, il Codice gli dedica addirittura un allegato (il B), ridisegnandole radicalmente e imponendone l’applicazione, nell’art. 33, a tutti i soggetti che trattano dati personali.
A questo punto è conveniente verificare cosa dice il Disciplinare Tecnico. Si compone di due parti:

1) Modalità tecniche da adottare a cura del titolare, del responsabile ove designato e dell’incaricato, in caso di trattamento con strumenti elettronici, che a sua volta si compone di:

- “Sistema di autenticazione informatica” (dal punto 1 al 11)
- “Sistema di autorizzazione” (dal punto 12 al 14)
- “Altre misure di sicurezza” (dal punto 15 al 18)
- “Documento programmatico sulla sicurezza” (il punto 19)
- “Ulteriori misure in caso di trattamento di dati sensibili o giudiziari” (dal punto 20 al 24)
- “Misure di tutela e garanzia” (dal punto 25 al 26)

2) Modalità tecniche da adottare a cura del titolare, del responsabile, ove designato, e dell’incaricato, in caso di trattamento con strumenti diversi da quelli elettronici: dal punto 27 al 29.

Le sanzioni penali per la omessa adozione delle Misure Minime
Anche in questo caso vorrei citare un articolo, il 169, che dice al comma 1 “Chiunque, essendovi tenuto, omette di adottare le misure minime previste dall’articolo 33 è punito con l'arresto sino a due anni o con l'ammenda da diecimila euro a cinquantamila euro.” e al comma 2 “All’autore del reato, all’atto dell’accertamento o, nei casi complessi, anche con successivo atto del Garante, è impartita una prescrizione fissando un termine per la regolarizzazione non eccedente il periodo di tempo tecnicamente necessario, prorogabile in caso di particolare complessità o per l’oggettiva difficoltà dell’adempimento e comunque non superiore a sei mesi. Nei sessanta giorni successivi allo scadere del termine, se risulta l’adempimento alla prescrizione, l'autore del reato è ammesso dal Garante a pagare una somma pari al quarto del massimo dell'ammenda stabilita per la contravvenzione. L'adempimento e il pagamento estinguono il reato. L’organo che impartisce la prescrizione e il pubblico ministero provvedono nei modi di cui agli articoli 21, 22, 23 e 24 del decreto legislativo 19 dicembre 1994, n. 758, e successive modificazioni, in quanto applicabili.”.
 
Vorrei richiamare l’attenzione sul fatto che, affinché scattino le sanzioni, è sufficiente l’omissione nell’adozione delle misure minime essendo ininfluente il fatto che concretamente sia derivato o meno un danno a terzi; l’omessa adozione delle misure di sicurezza è inoltre punita anche se il fatto è commesso semplicemente per colpa, e cioè per imprudenza, imperizia, negligenza, inosservanza di leggi, regolamenti, ordini e discipline.
 
Conclusione
In conclusione, si evidenzia che la norma punisce chiunque, essendovi tenuto, omette di adottare le misure minime, volte ad assicurare un livello minimo di protezione dei dati personali.
Condizioni d'uso  |  Privacy  |  Copyright 2007 - WindowServer.it 2.0 | PI 02988870123