Il legislatore italiano, con il decreto legge 112/2008, convertito in Legge n. 133/2008, ha introdotto una modalità semplificata di adempimento del “famigerato” Documento Programmatico per la Sicurezza (di seguito anche DPS), una delle misure di sicurezza previste dalla normativa sulla privacy (D.lgs. 196/2003).
Infatti, oggi chiunque tratta come UNICI dati sensibili quelli costituiti dallo stato di salute o malattia dei propri dipendenti o collaboratori anche a progetto, senza indicazione della relativa diagnosi, ovvero dall’adesione a organizzazioni sindacali o a carattere sindacale, possono sostituire il DPS con una dichiarazione sostitutiva (un’autocertificazione).
Quest’ultima altro non è che una autocertificazione in cui il titolare del trattamento dichiara di trattare soltanto i dati sensibili per la gestione delle presenze di dipendenti e collaboratori. Tale autocertificazione è da rendere a pena di responsabilità penali per falsa dichiarazione. Il rischio di incorrere in pesanti sanzioni per inesattezze nella dichiarazione è il motivo che, fino ad ora, ha disincentivato l’utilizzo della semplificazione introdotta dal Legislatore.
Oggi il Garante ha introdotto nuove misure di semplificazione, pensate per venire incontro a realtà piccole o piccolissime (aziende, ma anche artigiani o liberi professionisti) per le quali le misure ad oggi previste possono essere sproporzionate o costituire eccessivi costi.
Si precisa che il provvedimento e le misure di semplificazione adottate sono immediatamente applicabili.
Vediamo nel dettaglio le semplificazioni previste.
BENEFICIARI
Possono avvalersi della semplificazione:
a) le pubbliche amministrazione sia le imprese e professionisti che utilizzano dati personali non sensibili (nome, cognome, indirizzo, codice fiscale, numero di telefono) o che trattano come unici dati sensibili dei dipendenti quelli relativi allo stato di salute o all’adesione a organizzazioni sindacali;
b) piccole e medie imprese, liberi professionisti o artigiani che trattano dati solo per fini amministrativi e contabili.
LE MISURE DI SEMPLIFICAZIONE PER I TRATTAMENTI CON STRUMENTI ELETTRONICI
I soggetti indicati potranno adempiere agli obblighi privacy con le semplificazioni che seguono.
1. ISTRUZIONI.
È possibile fornire agli incaricati istruzioni in materia di misure minime anche oralmente con indicazione di semplice e chiara formulazione
2. AUTENTICAZIONE.
Per l’accesso ai sistemi informatici si può utilizzare un qualsiasi sistema di autenticazione basato su un codice per identificare chi accede ai dati (ovvero lo “username”) associato a una parola chiave (ovvero la “password”), ed è possibile utilizzare anche la procedura di login disponibile sul sistema operativo delle postazioni di lavoro connesse a una rete.
L’username deve individuare una sola persona evitando che soggetti diversi utilizzino codici identici e la password deve essere conosciuta solo dall’incaricato che accede ai dati.
L’username deve essere disattivato quando l’incaricato non ha più titolo o qualità per accedere ai dati (ad esempio per trasferimento o cessazione dal servizio).
In caso di prolungata assenza o impedimento dell’incaricato che renda indispensabile e indifferibile intervenire per esclusive necessità di operatività e di sicurezza del sistema, se l’accesso ai dati e agli strumenti elettronici è consentito esclusivamente mediante uso della password, il titolare può assicurare la disponibilità di dati o strumenti elettronici con procedure o modalità predefinite.
In altri termini il titolare/ datore di lavoro deve fornire un’informativa specifica e preventiva su come avverrà l’accesso ai dati per assicurare la disponibilità dei dati o degli strumenti di lavoro in assenza del dipendente (ad esempio, si pensi all’invio automaticamente messaggi di posta elettronica ad un altro recapito accessibile in caso di assenza).
3. SISTEMA DI AUTORIZZAZIONE
Qualora sia necessario diversificare l’ambito del trattamento consentito a ciascun incaricato, è possibile assegnare i diversi profili di trattamento agli incaricati anche tramite un sistema di autorizzazione o funzioni di autorizzazione incorporate nelle applicazioni software o nei sistemi operativi utilizzati.
4. ALTRE MISURE
Gli aggiornamenti periodici dei programmi per elaboratore volti a prevenire la vulnerabilità di strumenti elettronici (ad esempio, antivirus), anche con riferimento ai programmi di cui all’art. 615-quinquies del codice penale, nonché a correggerne difetti, possono essere effettuati non più almeno semestralmente ma almeno annualmente.
Se poi il computer non è connesso a reti di comunicazione elettronica accessibili al pubblico (linee Adsl, accesso a Internet tramite rete aziendale, posta elettronica), l’aggiornamento può essere fatto anche biennale.
Il salvataggio dei dati invece, passa da un obbligo di frequenza settimanale ad un obbligo di frequenza almeno mensile. Inoltre, il salvataggio periodico può non riguardare i dati non modificati dal momento dell’ultimo salvataggio effettuato (dati statici), purché ne esista una copia di sicurezza da cui effettuare eventualmente il ripristino.
5. DOCUMENTO PROGRAMMATICO PER LA SICUREZZA
Il Documento Programmatico per la sicurezza (ovvero il DPS) la cui redazione è obbligatoria per tutti coloro che utilizzano dati sensibili o giudiziari mediante «strumenti elettronici» (si veda art. 34, regole 1 e 19 Allegato B Codice Privacy, Parere Garante privacy 22/03/2004 punto 2.2.) può essere sostituita da una autocertificazione da parte dei soggetti pubblici e privati che trattano come unici dati sensibili quelli dei dipendenti relativi allo stato di salute o all’adesione a organizzazioni sindacali (art. 29 d.l. n. 112/2008).
Invece per i soggetti pubblici e privati che trattano dati personali unicamente per correnti finalità amministrative e contabili, in particolare presso liberi professionisti, artigiani e piccole e medie imprese, possono oggi redigere un documento programmatico sulla sicurezza semplificato sulla base delle indicazioni di seguito riportate.
Il documento deve contenere:
a) le coordinate identificative del titolare del trattamento, nonché, se designati, gli eventuali responsabili e le modalità attraverso le quali è possibile individuare l’elenco aggiornato dei responsabili se questi vengono frequentemente cambiati;
b) una descrizione generale del trattamento o dei trattamenti realizzati che permetta di valutare l’adeguatezza delle misure adottate per garantire la sicurezza del trattamento (finalità del trattamento, categorie di persone interessate e dei dati, i destinatari o le categorie di destinatari a cui i dati possono essere comunicati);
c) l’elenco, anche per categorie, degli incaricati del trattamento e delle relative responsabilità.
d) una descrizione delle altre misure di sicurezza adottate per prevenire i rischi di distruzione o perdita, anche accidentale, dei dati, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.
Il documento deve essere redatto prima dell’inizio del trattamento e deve essere aggiornato entro il 31 marzo di ogni anno nel caso in cui, nel corso dell’anno solare precedente, siano intervenute modifiche rispetto a quanto dichiarato nel precedente documento.
LE MISURE DI SEMPLIFICAZIONE PER I TRATTAMENTI CON STRUMENTI CARTACEI
Sono previste istruzioni anche orali, agli incaricati del trattamento finalizzate al controllo e alla custodia, per l’intero ciclo necessario allo svolgimento delle operazioni di trattamento, degli atti e dei documenti contenenti dati personali.
(Alessandra Delli Ponti per NL)
