Il contenuto del Documento Programmatico sulla Sicurezza (DPS)

Scade il prossimo 31 marzo il termine per la stesura del Documento programmatico
per la sicurezza (Dps), come
previsto
dall’art.
34,
primo
comma,
lettera
g) e dall’allegato B) al Codice della Privacy
(Decreto Legislativo 30 giugno 2003 n. 196, "Codice in materia di
protezione
dei dati personali". Il regolamento sui dati sensibili e giudiziari
scade invece il prossimo 15 maggio.

Il Dps fa parte delle "misure minime di sicurezza" indicate agli
articoli 34 e 35 del Codice Privacy e dal Disciplinare tecnico in materia di
misure minime di sicurezza, contenuto nell’allegato B). La
sua tenuta è obbligatoria per chi effettua un trattamento di dati sensibili
e giudiziari con l’ausilio di strumenti elettronici.

Il Dps, a stretto rigore, non può essere definito una vera e propria
misura nuova in quanto già la precedente disciplina di cui al D.P.R.
n. 318/99 prevedeva, a determinate condizioni , l’obbligo di predisporre
ed aggiornare il DPS almeno annualmente (art. 22 e 24 legge n. 675/96; art.
6 D.P.R. n. 318/99).

Oggi il Dps deve essere redatto anche da soggetti che in precedenza non vi
erano tenuti (chi trattava, ad esempio, dati sensibili o giudiziari, ma senza
l’uso di elaboratori accessibili mediante una rete di telecomunicazioni
disponibile al pubblico).

Il Dps deve contenere i seguenti elementi (punti 19-19.8 dell’All. B):

1) L’elenco dei trattamenti di dati personali che si effettua all’interno
della struttura, riportandone le informazioni essenziali (descrizione,
natura dei dati, struttura di riferimento, altre strutture esterne che concorrano
al trattamento, descrizione degli strumenti utilizzati, eventuali ulteriori
elementi per descrivere i trattamenti). Occorre, quindi, effettuare un vero
e proprio «censimento» per capire quali dati circolano all’interno.

2) La distribuzione dei compiti e delle responsabilità nell’ambito
della struttura di volta in volta interessata e preposta al trattamento dei
dati (struttura, trattamento, descrizione dei compiti e delle responsabilità).

3) L’analisi dei rischi che incombono sui dati trattati. Andranno descritti
i possibili rischi, in riferimento al comportamento degli operatori, agli strumenti
utilizzati (virus informatici, etc.) e, infine, al contesto fisico-ambientale
(ingressi non autorizzati, etc.).

4) Le misure adottate o da adottare per garantire la integrità e disponibilità dei
dati nonché per la protezione delle aree e dei locali di interesse.

5) La descrizione dei criteri e delle modalità di ripristino della disponibilità dai
dati in seguito a distruzione e danneggiamento.

6) I criteri di pianificazione degli interventi formativi previsti, sia dal
punto di vista organizzativo sia come formazione vera e propria in favore del
personale interessato.

7) Per singola struttura, gli eventuali trattamenti affidati all’esterno
(contabilità, fatturazione ecc.).

8) Infine, i criteri per la cifratura o, comunque, la separazione dei dati
idonei a rivelare lo stato di salute o la vita sessuale trattati da organismi
sanitari
ed esercenti la professione sanitaria.

Il Dps dovrà essere adottato dall’organo, ufficio o persona fisica
a ciò legittimati
in base all’ordinamento dell’ente.

Come ha avuto modo di precisare il Garante nel parere del 22 marzo 2004, scaduto
il periodo transitorio di adeguamento previsto dal Codice dopo la sua entrata
in vigore, il termine per aggiornare annualmente il Dps rimarrà fissato
alla scadenza del 31 marzo di ogni anno, come peraltro dispone la regola tecnica
n. 19 dell’allegato B) al Codice.

Le misure minime di sicurezza sono volte ad assicurare un livello
minimo di protezione dei dati personali; la loro inosservanza configura il
reato di cui all’art. 169 del Codice, punito con l’arresto sino
a due anni o con l’ammenda da diecimila a cinquantamila euro.

Esiste tuttavia il cd. ravvedimento operoso, di cui all’art. 169, comma
2, del Codice: all’autore del reato, in sede di accertamento o, nei casi
complessi, anche con successivo atto del Garante, è impartita una prescrizione,
con un termine per la regolarizzazione non eccedente il periodo di tempo tecnicamente
necessario, prorogabile in caso di particolare complessità o per l’oggettiva
difficoltà dell’adempimento e comunque non superiore a sei mesi.
Nei sessanta giorni successivi allo scadere del termine, se risulta l’adempimento
alla prescrizione, il responsabile è ammesso dal Garante a pagare una
somma pari al quarto del massimo dell’ammenda stabilita per la contravvenzione.
L’adempimento e il pagamento estinguono il reato.

Riportiamo di seguito gli articoli di riferimento:

Codice della Privacy

Decreto Legislativo 30 giugno 2003 n. 196, "Codice in materia di protezione
dei dati personali"

(…)

CAPO II
MISURE MINIME DI SICUREZZA

Articolo 33
(Misure minime)

1. Nel quadro dei più generali obblighi di sicurezza di cui all’articolo
31, o previsti da speciali disposizioni, i titolari del trattamento sono comunque
tenuti ad adottare le misure minime individuate nel presente capo o ai sensi
dell’articolo 58, comma 3, volte ad assicurare un livello minimo di protezione
dei dati personali.

Articolo 34
(Trattamenti con strumenti elettronici)

1. Il trattamento di dati personali effettuato con strumenti elettronici è consentito
solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto
nell’allegato B), le seguenti misure minime:
a) autenticazione informatica;
b) adozione di procedure di gestione delle credenziali di autenticazione;
c) utilizzazione di un sistema di autorizzazione;
d) aggiornamento periodico dell’individuazione dell’ambito del trattamento
consentito ai singoli incaricati e addetti alla gestione o alla manutenzione
degli strumenti elettronici;
e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti
illeciti di dati, ad accessi non consentiti e a determinati programmi informatici;
f) adozione di procedure per la custodia di copie di sicurezza, il ripristino
della disponibilità dei dati e dei sistemi;
g) tenuta di un aggiornato documento programmatico sulla sicurezza;
h) adozione di tecniche di cifratura o di codici identificativi per determinati
trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale
effettuati da organismi sanitari.

Articolo 35
(Trattamenti senza l’ausilio di strumenti elettronici)

1. Il trattamento di dati personali effettuato senza l’ausilio di strumenti
elettronici è consentito solo se sono adottate, nei modi previsti
dal disciplinare tecnico contenuto nell’allegato B), le seguenti misure minime:
a) aggiornamento periodico dell’individuazione dell’ambito del trattamento
consentito ai singoli incaricati o alle unità organizzative;
b) previsione di procedure per un’idonea custodia di atti e documenti affidati
agli incaricati per lo svolgimento dei relativi compiti;
c) previsione di procedure per la conservazione di determinati atti in archivi
ad accesso selezionato e disciplina delle modalità di accesso finalizzata
all’identificazione degli incaricati.

(…)

CAPO II
DISPOSIZIONI TRANSITORIE

Art. 180
(Misure di sicurezza)

1. Le misure minime di sicurezza di cui agli articoli da 33 a 35 e all’allegato
B) che non erano previste dal decreto del Presidente della Repubblica 28 luglio
1999, n. 318, sono adottate entro il 31 marzo 2006.

(…)

ALLEGATO B

DISCIPLINARE TECNICO IN MATERIA DI MISURE MINIME DI SICUREZZA

(…)

Documento programmatico sulla sicurezza

19. Entro il 31 marzo di ogni anno, il titolare di un trattamento di dati
sensibili o di dati giudiziari redige anche attraverso il responsabile, se
designato, un documento programmatico sulla sicurezza contenente idonee informazioni
riguardo:

19.1. l’elenco dei trattamenti di dati personali;

19.2. la distribuzione dei compiti e delle responsabilita’ nell’ambito delle
strutture preposte al trattamento dei dati;

19.3. l’analisi dei rischi che incombono sui dati;

19.4. le misure da adottare per garantire l’integrita’ e la disponibilita’
dei dati, nonche’ la protezione delle aree e dei locali, rilevanti ai fini
della loro custodia e accessibilita’;

19.5. la descrizione dei criteri e delle modalita’ per il ripristino della
disponibilita’ dei dati in seguito a distruzione o danneggiamento di cui al
successivo punto 23;

19.6. la previsione di interventi formativi degli incaricati del trattamento,
per renderli edotti dei rischi che incombono sui dati, delle misure disponibili
per prevenire eventi dannosi, dei profili della disciplina sulla protezione
dei dati personali piu’ rilevanti in rapporto alle relative attivita’, delle
responsabilita’ che ne derivano e delle modalita’ per aggiornarsi sulle misure
minime adottate dal titolare. La formazione e’ programmata gia’ al momento
dell’ingresso in servizio, nonche’ in occasione di cambiamenti di mansioni,
o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento
di dati personali;

19.7. la descrizione dei criteri da adottare per garantire l’adozione delle
misure minime di sicurezza in caso di trattamenti di dati personali affidati,
in conformita’ al codice, all’esterno della struttura del titolare;

19.8. per i dati personali idonei a rivelare lo stato di salute e la vita
sessuale di cui al punto 24, l’individuazione dei criteri da adottare per la
cifratura o per la separazione di tali dati dagli altri dati personali dell’interessato.

(…)