Confindustria Firenze
Confindustria Firenze:

Provvedimento del Garante in materia di "Semplificazione delle misure minime di sicurezza contenute nel Disciplinare Tecnico di cui all'Allegato B) del Codice in materia di protezione dei dati personali"

13 Febbraio 2009

D.Lgs. 196/2003

Il Garante per la protezione dei dati personali, con provvedimento del 27 novembre 2008, e' intervenuto nello specifico ambito della sicurezza in materia di protezione dei dati personali. Il provvedimento prevede procedure piu' snelle per applicare le misure minime di sicurezza nei trattamenti di dati personali effettuati da Piccole e Medie Imprese, liberi professionisti ed artigiani.


DESTINATARI

a) le imprese che utilizzano dati personali non sensibili (es. dati anagrafici di dipendenti, fornitori, ecc.) e che trattano come unici dati sensibili dei propri dipendenti e collaboratori, anche a progetto, quelli relativi allo stato di salute o malattia senza indicazione della relativa diagnosi (cd. dati sanitari), ovvero, all'adesione a organizzazioni sindacali o a carattere sindacale (cd. dati sindacali).


 b) le Piccole e Medie Imprese (oltre ai liberi professionisti e artigiani) che trattano dati personali - anche sensibili - unicamente per correnti finalita' amministrative e contabili. La definizione di micro, piccola e media impresa rilevante per individuare l'ambito soggettivo di applicazione del provvedimento e' quella prevista dal Decreto 18 aprile 2005 del Ministero delle Attivita' Produttive (oggi, Ministero dello Sviluppo Economico), alla quale si rinvia.


In questo caso, sono destinatari delle semplificazioni dettate dal Garante, soltanto le imprese che soddisfano contemporaneamente sia i requisiti dimensionali, sia che effettuano il trattamento dati soltanto per correnti finalita' amministrative e contabili.


Sono applicabile alle imprese di cui alla lettera a) e b) le misure di sicurezza, diverse dal Documento Programmatico sulla Sicurezza (DPS), secondo le modalita' semplificate previste dal provvedimento del 27 novembre 2008.


Le imprese di cui alla lettera a) potranno inoltre sostituire la redazione del Documento Programmatico sulla Sicurezza (DPS) con un'autocerticazione sostituiva[1] (v. news del 14/7/2008).


Le imprese di cui alla lettera b) potranno redigere un DPS semplificato secondo le indicazioni fornite nel provvedimento del 27 novembre 2008.


Al di fuori delle ipotesi di cui alle lettere a) e b), l'obbligo del DPS continua ad applicarsi alle imprese sulla base delle condizioni e del contenuto fissati dalle regole 19.1 a 19.8 del Disciplinare Tecnico.


L'allegata Tabella 1 illustra l'ambito rilevante di applicazione delle misure minime di sicurezza.


E' opportuno fornire preliminarmente un chiarimento sull'ambito aggettivo di efficacia del provvedimento del 27 novembre 2008, in particolare, su alcuni aspetti la cui interpretazione risulta essenziale ai fini di una corretta applicazione delle semplificazioni introdotte.



˜       Il provvedimento del Garante si limita a precisa che i trattamenti che consentono di adempiere in maniera semplificata agli obblighi sulla sicurezza sono quelli connessi allo svolgimento di attivita' esclusivamente di "natura amministrativa e contabile". Non sono, pero', forniti espressi chiarimenti sul significato di tale espressione.


Al riguardo, in un precedente provvedimento[2] il Garante ha precisato, a titolo esemplificativo, che le "" ricorrono quando il trattamento dei dati e' svolto in relazione all'adempimento di obblighi contrattuali, precontrattuali o normativi. Nel medesimo provvedimento, ha affermato che le informazioni trattate per scopi amministrativo-contabili sono quelle attinenti ad altre imprese, amministrazioni, clienti, fornitori e dipendenti.


Pertanto, in sede interpretativa, e' possibile ritenere che l'espressione si riferisca a tutti - e soltanto - i trattamenti connessi allo svolgimento delle ordinarie attivita' d'impresa. Tali ordinarie attivita' dovrebbero, pertanto, ricomprendere il trattamento di qualsiasi informazione personale (riconducibile cioe' a persone fisiche o giuridiche), anche di natura sensibile ai sensi dell'art. 4, lett.

·                         la tenuta dei contratti relativi sia a soggetti interni alla struttura del titolare (es. lavoratori) che terzi (es. clienti, fornitori); la gestione del personale (es. trattamenti relativi allo stato di salute dei propri lavoratori, alla gestione delle trattenute, dei permessi, delle aspettative sindacali o per incarichi politici, a servizi di mensa, permessi per festivita' religiose, ecc.);

·                         : tutti gli adempimenti che rientrano nella tenuta della contabilita' aziendale, a fini sia civilistici che fiscali (es. contabilizzazione dei dati fiscali relativi a clienti e fornitori, predisposizione dei documenti di bilancio, ecc.). Nell'ambito delle finalita' amministrativo-contabili si possono inoltre ricomprendere quegli adempimenti di natura finanziaria connessi ai rapporti con banche o altri intermediari finanziari per l'ordinaria gestione di conti correnti (anche di terzi, ad es., nel caso dei propri dipendenti) o per la richiesta di prestiti, linee di credito e garanzie.


 


Il provvedimento del 27 novembre 2008 si applica, pertanto, alle imprese che, nello svolgimento della propria attivita' organizzativa, amministrativa, finanziaria e contabile, utilizzano tali dati esclusivamente per adempiere a obblighi di legge o derivanti da contratti. Saranno invece escluse le imprese che utilizzano, anche in parte, dati o informazioni di propri lavoratori o anche di terzi nell'ambito di rapporti con finalita' di natura commerciale (ad esempio, pubblicitaria).



˜       Regole nn.20 e da 22 a 26 del Disciplinare Tecnico


Il provvedimento del 27 novembre 2008, nell'individuare modalita' applicative semplificate degli obblighi di sicurezza in materia di trattamenti con strumenti elettronici, di cui all'art. 34 del Codice e alle regole 1-26 del Disciplinare, omette di fare riferimento ad alcune specifiche regole (nn. 20 e da 22 a 26 del Disciplinare tecnico). Rispetto a queste ultime regole manca quindi una previsione di semplificazione diretta a sostituirne l'applicazione, per cui e' dubbio se gli adempimenti in esse descritti debbano considerarsi ancora in vigore (come ad esempio gia' sostenuto da alcuni primi commentatori).


Si tratta, ad esempio, delle regole che obbligano l'impresa titolare del trattamento a:


·                         predisporre strumenti (cd.

·                         distruggere i supporti rimovibili su cui sono stati memorizzati dati sensibili, quando non sono piu' utilizzati, e nel caso si voglia riutilizzarli, rendere non intelligibili e tecnicamente non ricostruibili le informazioni in essi precedentemente contenute (regola 22);


·                         adottare procedure di ripristino dei dati quando questi ultimi ovvero gli strumenti elettronici con cui sono trattati siano danneggiati (mediante sistemi di ). Il ripristino deve avvenire entro sette giorni (regola 23);


·                         rispettare specifiche cautele e garanzie (trattamento disgiunto mediante tecniche di cifratura e separazione dei dati attinenti a stato di salute e vita sessuale), qualora il trattamento sia svolto nell'ambito dell'esercizio di prestazioni sanitarie e abbia quindi ad oggetto dati supersensibili. E' il caso degli organismi sanitari, anche privati (regola 24);


·                         richiedere al soggetto esterno che ha effettuato l'installazione delle misure minime di sicurezza in azienda, una dichiarazione che attesti la conformita' dell'intervento tecnico realizzato alle disposizioni del Disciplinare tecnico (regola 25);


·                         indicare l'avvenuta redazione o aggiornamento del DPS nella relazione al bilancio degli amministratori (solo per le societa' di capitali; regola 26).


 


Per evidenti ragioni di certezza giuridica, l'interpretazione preferibile sembrerebbe essere quella che considera il contenuto del Provvedimento del Garante del 27 novembre 2008 integralmente sostitutivo del Disciplinare tecnico, anche per le parti non da esso richiamate. Questa lettura sembrerebbe essere quella piu' coerente alla luce di un'interpretazione sistematica e letterale delle previsioni del Provvedimento. Le esigenze di semplificazione e proporzionalita' cui sono ispirati i recenti interventi del Garante e del legislatore sembrano, infatti, giustificare la sussistenza di regimi di applicazione delle misure minime di sicurezza tra loro alternativi (rispettivamente, il Disciplinare tecnico e il Provvedimento del Garante). Lo stesso Provvedimento 27 novembre 2008, al par. 2 dedicato ai trattamenti con strumenti elettronici, nell'autorizzare l'applicazione semplificata della disciplina sulla sicurezza dei dati fa riferimento all'art. 34 del Codice e alle regole da 1 a 26 del Disciplinare tecnico. Cio' puo' avvalorare un'applicazione di tali modalita' semplificate sostitutiva delle modalita' ordinarie.


Qualora dovesse prevalere l'interpretazione contraria, le PMI sarebbero tenute ad applicare sia le modalita' semplificate indicate dal Provvedimento del Garante sia le ulteriori misure tecniche del Disciplinare tecnico che non risultino espressamente menzionate nel citato provvedimento del 27 novembre 2008, le quali dovrebbero pertanto intendersi ancora in vigore. Si tratta, come gia' accennato, delle regole di cui ai punti 20, 22, 23, 24, 25 e 26 del Disciplinare Tecnico.


In attesa di eventuali ulteriori interventi del Garante, la problematica relativa all'abrogazione o alla vigenza di dette regole, rimane pertanto ancora aperta.


Di seguito si riportano le semplificazioni introdotte relative ai trattamenti effettuati con strumenti elettronici e a quelli realizzati in modalita' cartacee, dettate dal Garante in sostituzione delle procedure contenute nel Disciplinare tecnico.


In corrispondenza delle diverse modalita' di applicazione delle misure minime sono indicati, in parentesi, gli specifici adempimenti del Disciplinare tecnico semplificati. Per quanto riguarda le altre misure minime non espressamente richiamate nel Provvedimento del Garante, si rinvia alle considerazioni svolte nel precedente paragrafo. 


o        Il Provvedimento 27 novembre 2008 prevede innanzitutto la possibilita' di impartire agli incaricati del trattamento istruzioni in materia di misure minime anche oralmente. Tale semplificazione, tuttavia, non fa venir meno l'obbligo dell'impresa-titolare del trattamento di nominare per iscritto gli incaricati (con la lettera di nomina) e di individuare dettagliatamente l'ambito del trattamento loro consentito (art. 30 del Codice).



·                         le cautele idonee a garantire la segretezza della password, la diligente custodia dei dispositivi in possesso e uso esclusivo dell'incaricato (es. pc, notebook, palmari, telefoni cellulari, smart card, ecc.) e la protezione degli strumenti elettronici - es. mediante screensaver - specie durante le sessioni del trattamento (regole 4 e 9);


·                         le misure organizzative e tecniche per effettuare il back-up dei dati, nonche' quelle finalizzate alla corretta custodia e uso di supporti rimovibili contenenti dati personali (es. cd, dvd, memory card, ecc.), in modo da evitare accessi non autorizzati e trattamenti non consentiti (regole 18 e 21);


·                         le procedure per garantire la disponibilita' e l'accesso a dati e strumenti elettronici, in caso di assenze prolungate dell'incaricato (sul punto, v. infra lett. b).


E' stato chiarito che per identificare chi accede a strumenti informatici si puo' utilizzare qualsiasi sistema di autenticazione basato su una username (codice identificativo) e una password (parola chiave). L'autenticazione puo' avvenire anche mediante le procedure di login utilizzate dai sistemi operativi delle postazioni di lavoro connesse a una Rete.


La semplificazione ha interessato la tipologia delle credenziali di autenticazione, riducendone la previsione al solo username e password (non si fa piu' riferimento, ad esempio, a dispositivi di autenticazione in possesso e uso esclusivo dell'incaricato o a caratteristiche biometriche, ne' alla possibilita' di assegnare ad un medesimo incaricato piu' credenziali).


Restano fermi gli obblighi di univocita' dello username, che potra' essere associato e utilizzato da una sola persona, e di segretezza della password per ciascun incaricato, il quale non dovra' quindi comunicarla o renderla conoscibile a terzi.


Non sono piu' previsti termini di scadenza per la modifica della password (6 mesi per i dati comuni, 3 mesi per quelli sensibili), ne' vincoli di lunghezza della password (regola 5). Viene precisato che l'obbligo di disattivare lo username sussiste quando l'incaricato non opera piu' azienda o, piu' in generale, ha perso le qualita' per accedere legittimamente ai dati, ma e' venuto meno l'obbligo di disattivazione per mancato utilizzo dello username per piu' di sei mesi (regola 7).


Possono inoltre essere fornite anche oralmente, come gia' anticipato, le istruzioni che, in caso di impedimenti o assenze prolungate dell'incaricato, garantiscano comunque l'accesso ai dati e la disponibilita' degli strumenti elettronici da questi utilizzati, qualora lo richiedano indifferibili esigenze di operativita' e sicurezza del sistema. Per le medesime finalita' connesse alla continuita' del lavoro in azienda, viene anche suggerita, per le ipotesi di assenze del lavoratore programmate - quali le ferie o impegni fuori sede - l'attivazione di procedure di risposta automatica ai messaggi di posta elettronica ricevuta, con indicazione di ulteriori indirizzi o recapiti della struttura accessibili[3].


L'incaricato dovra' in ogni caso essere informato dell'intervento effettuato dal Titolare.


E' stato conseguentemente eliminato l'obbligo di nominare per iscritto il custode delle credenziali e la relativa procedura di custodia e sostituzione delle password (regola 10).


Viene confermata la necessita' di prevedere profili di autorizzazione al trattamento differenti per singoli incaricati o categorie omogenee di incaricati, nel caso in cui l'accesso ad alcuni dati sia limitato soltanto ad essi per esigenze lavorative (es. dipendenti che hanno accesso ad archivi riservati). Anche l'accesso a specifici ambiti di autorizzazione puo' avvenire mediante procedure previste da applicativi software o sistemi operativi.


. Sono stati eliminati gli obblighi di predisposizione di una lista degli incaricati autorizzati e di verifica annuale dei profili di autorizzazione al trattamento assegnati in azienda, ma le verifiche e gli aggiornamenti andranno effettuati "quando necessario" (regola 15). 


Viene esteso da 6 mesi a 1 anno l'obbligo di aggiornare gli antivirus e gli altri programmi diretti a prevenire la vulnerabilita' degli strumenti elettronici o a correggere gli errori dei sistemi informatici (es. release o patch di aggiornamento). E' inoltre previsto che se il computer non e' in Rete o accessibile al pubblico (linee Adsl, accesso a Internet tramite rete aziendale, posta elettronica), l'aggiornamento deve essere almeno biennale.


Per quanto riguarda il back-up, la procedura di salvataggio dei dati deve avvenire con frequenza mensile, non piu' settimanale, e puo' riguardare anche solo i dati modificati rispetto al momento dell'ultimo salvataggio effettuato (cd. dati dinamici). Per i dati che non hanno subito variazioni e' sufficiente conservarne una copia di sicurezza per l'eventuale ripristino. 


d) Documento Programmatico sulla Sicurezza (regola 19, punti da 19.1 a 19.8)


Viene semplificato il contenuto del DPS per le imprese che trattano dati personali, anche sensibili, unicamente per correnti finalita' amministrative e contabili. Queste ultime potranno pertanto, con decorrenza immediata, sostituire il DPS che hanno gia' predisposto con un DPS dal contenuto semplificato.



·                         puo' essere materialmente predisposto dal titolare del trattamento o da un responsabile appositamente delegato, prima che venga avviato un nuovo trattamento (e' il caso delle imprese di nuova costituzione) ovvero in sostituzione del DPS ordinario gia' adottato;


·                         deve essere sottoscritto direttamente dal titolare (il rappresentante legale, nel caso di enti o imprese) e custodito presso la sede di quest'ultimo. Il DPS, infatti, va esibito all'Autorita' ispettiva solo in caso di accertamenti o controlli, ma non e' richiesta alcuna comunicazione o invio dello stesso al Garante;


·                         deve essere aggiornato ogni anno (entro il 31 marzo) solo se sono intervenute modifiche rispetto a quanto dichiarato nel DPS riferito all'anno solare precedente (modifiche organizzative o dell'attivita' sociale rilevanti rendono, ad es., obbligatorio l'aggiornamento annuale);


·                         non necessita dell'apposizione della data certa. Tale adempimento non e' infatti richiesto dalla legge quale requisito di validita' del documento, ma potrebbe valere esclusivamente su base volontaria e a fini probatori ai sensi della vigente disciplina civilistica in materia di prove documentali (cfr. art. 2704 c.c.). In questo caso, si richiama il parere 5 dicembre 2000 del Garante, nel quale sono individuate alcune modalita' per fornire la prova della data certa (tra le altre, si segnala la formazione per atto pubblico; la registrazione o produzione del documento presso un ufficio pubblico; la cd. autoprestazione postale; la marcatura temporale su un documento informatico, ecc.).


Con riferimento al contenuto minimo del DPS, l'intervento di semplificazione si e' concentrato su tre aspetti principali: a) l'assetto organizzativo della struttura del titolare (ruoli, compiti e responsabilita'); b) l'elencazione dei trattamenti effettuati; c) le misure di sicurezza approntate in azienda.



1.                              l'individuazione del titolare del trattamento, degli eventuali responsabili e l'elenco, anche per categorie, degli incaricati del trattamento e delle relative responsabilita'. Nel caso in cui l'assetto interno sia soggetto a frequenti modifiche organizzative, gli elenchi aggiornati dei responsabili - eventualmente designati - e degli incaricati del trattamento possono essere resi conoscibili secondo altre modalita' espressamente indicate (ad es., rinvio al sito internet o ad altri documenti aziendali);


2.                              una descrizione generale dei trattamenti realizzati, con l'indicazione delle finalita' del trattamento, delle categorie di interessati e dei dati ad essi relativi (anche per categorie, ad es. anagrafica dei clienti, elenco delle controparti pubbliche), nonche' dei soggetti a cui i dati possono essere comunicati (es. consulenti esterni, banche, altre societa' del gruppo, PA, ecc.). Tale descrizione, che ha ad oggetto le medesime informazioni fornite in sede di informativa, rappresenta il parametro di riferimento per valutare l'adeguatezza delle misure di sicurezza adottate;


3.                              una descrizione delle misure di sicurezza adottate per prevenire i rischi di distruzione o perdita dei dati, anche accidentale, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalita' della raccolta.


L'allegata Tabella n. 2 mette a confronto il contenuto minimo richiesto per la redazione del DPS nella sua versione integrale o semplificata e i rispettivi presupposti applicativi. 


o        Le istruzioni agli incaricati di trattamenti in cartaceo, dirette a garantire il controllo e la custodia degli atti e dei documenti contenenti dati personali, possono essere impartite anche oralmente. Non e' piu' necessario aggiornare annualmente l'ambito di trattamento consentito ai singoli incaricati, ne' predisporre una lista degli incaricati autorizzati.


Nel caso di documenti contenenti dati sensibili o giudiziari, rimane fermo l'obbligo per gli incaricati di controllare e custodire tali documenti fino alla loro restituzione al termine delle operazioni affidate, in modo da impedire che vi accedano persone prive di autorizzazione. E' stato invece eliminato l'obbligo di registrazione e di preventiva autorizzazione per accedere agli archivi al di fuori dell'orario di lavoro.


Una check list delle misure minime che devono essere adottate dal titolare del trattamento secondo le modalita' semplificate indicate dal Garante e' disponibile, nell'allegata Tabella n.3.



 



1 L'autocertificazione sostitutiva del DPS deve essere resa ai sensi dell'art. 47 del TU in materia di documentazione amministrativa (DPR 28/12/200, n.445)


[2] Provvedimento del 18 giugno 2008


[3] Sul punto, si rinvia a quanto indicato nel Provvedimento 1° marzo 2007 - Linee guida del Garante per posta elettronica e internet


 

 

Allegati

Per l'apertura dei documenti pdf è consigliabile installare l'ultima versione di Acrobat Reader

Login utenti registrati


Agenda
«  

Luglio 2014

  »
Lun Mar Mer Gio Ven Sab Dom
 
1
 
2
 
3
 
4
 
5
 
6
 
7
 
8
 
9
 
10
 
11
 
12
 
13
 
14
 
15
 
16
 
17
 
18
 
19
 
20
 
21
 
22
 
23
 
24
 
25
 
26
 
27
 
28
 
29
 
30
 
31