Privacy: semplificazione delle misure minime di sicurezza

Transcript

1 Privacy: semplificazione delle misure minime di sicurezza 1. Premessa Facciamo seguito a quanto comunicato sul Notiziario n. 1 gennaio per informare che è stato pubblicato sul sito Web del Garante per la protezione dei dati personali ( e sulla Gazzetta Ufficiale (HYPERLINK " cher?service=1&datagu= &task=dettaglio&numgu=287&redaz=08A09199&tmstp= " GU n. 287 del ) HYPERLINK " il Provvedimento 27 novembre 2008 del Garante, in materia di Semplificazione delle misure minime di sicurezza contenute nel Disciplinare tecnico di cui all'allegato B) al Codice in materia di protezione dei dati personali (d.lgs. n. 196/2003, di seguito Codice ). Le nuove previsioni sono immediatamente applicabili da parte di soggetti pubblici e privati, in quanto non richiedono alcuna comunicazione o notifica all Autorità, e potranno essere aggiornate dall Autorità stessa con cadenza periodica. Il presente documento illustra le principali novità introdotte dal Provvedimento in esame e fornisce prime indicazioni operative alle imprese associate per attuare le procedure semplificate in esso indicate e adempiere correttamente agli obblighi in materia di sicurezza dei dati. 2. Profili generali della semplificazione Il Provvedimento 27 novembre 2008 si pone in linea di continuità con l intervento normativo di semplificazione della disciplina sulla privacy, avviato la scorsa estate nell ambito della cd. Manovra economica 2009 (DL n. 112/2008, convertito con modifiche in HYPERLINK " Legge 6 agosto 2008, n GU n. 195 del , Suppl. Ord. n. 196). In particolare, il Provvedimento del Garante, sul quale è stato formulato il prescritto parere del Ministro per la semplificazione normativa, interviene nuovamente sullo specifico ambito della sicurezza, individuando procedure più snelle per applicare le misure minime nei trattamenti di dati personali effettuati, in particolare, da Piccole e Medie Imprese, liberi professionisti e artigiani, in attuazione della delega contenuta nell art. 29 del citato DL n. 112/08. L obiettivo perseguito è quello di contemperare le esigenze di sicurezza del trattamento con quelle che sovrintendono allo svolgimento delle attività economiche d impresa, secondo i fondamentali principi di proporzionalità, efficacia, semplificazione e finalità, dettati dal Codice e dalla normativa comunitaria di riferimento (direttiva 95/46/CE). In questo senso, il Provvedimento 27 novembre 2008 prevede una revisione delle misure minime diretta a rimodulare, sulla base del menzionato criterio di proporzionalità normativa, il rigore degli adempimenti richiesti in funzione delle effettive caratteristiche dimensionali o di struttura delle imprese titolari del trattamento, della natura dei trattamenti, nonché per esigenze di riduzione dei costi (cfr. HYPERLINK " derpath=comunicati+stampa%2f2008" Comunicato stampa del Garante del 9 dicembre 2008). Al riguardo, appare condivisibile l approccio regolamentare adottato, che distingue le aziende che trattano dati sensibili per finalità di business (es. vendite e marketing diretti, recruiting, compimento di ricerche di mercato e sondaggi, prestazioni sanitarie, ecc.) o che effettuano trattamenti che presentano, comunque, rischi specifici (è il caso della prestazione di determinati servizi resi in ambito bancario e assicurativo o 16

2 mediante reti di comunicazione elettronica), dalle imprese che, nel normale svolgimento della propria attività organizzativa, amministrativa e contabile, utilizzano tali dati esclusivamente per adempiere a obblighi di legge o derivanti da contratto. In quest ultimo caso, la finalità dei rispettivi trattamenti è esclusivamente orientata alla gestione interna dell attività d impresa. Come si vedrà nel seguito, ci si riferisce ai trattamenti realizzati per adempiere a specifici obblighi o per eseguire specifici compiti previsti dalla normativa (comunitaria e nazionale, sia di rango primario che secondario) o da contratti, in particolar modo a fini di gestione del rapporto di lavoro in tutte le sue fasi, nonché di applicazione delle norme in materia previdenzale-assistenziale, di salute, igiene e sicurezza sul lavoro, fiscale, sindacale, di pari opportunità, di tenuta della contabilità, ecc L obbligo del DPS e l autocertificazione sostitutiva Prima di illustrare le semplificazioni introdotte dal Provvedimento 27 novembre 2008 in tema di sicurezza dei dati, vale la pena soffermare l attenzione sul Documento Programmatico sulla Sicurezza (DPS). L art. 29 del DL n. 112, nella versione approvata a seguito della conversione in legge, ha già modificato l art. 34 del Codice proprio in relazione all obbligo del DPS, inserendovi un nuovo comma 1-bis. Quest ultima norma, infatti, oltre ad assegnare al Garante il potere di semplificare il Disciplinare tecnico in materia di misure minime di sicurezza (di seguito anche: Disciplinare tecnico ), ha dettato un importante agevolazione per le imprese titolari di particolari trattamenti. Si è, infatti, previsto che le imprese - e tutti gli altri soggetti che, mediante strumenti elettronici, utilizzano dati personali comuni (vale a dire, non sensibili) e trattano quali unici dati sensibili quelli rappresentati dallo stato di salute o malattia dei propri dipendenti e collaboratori anche a progetto, senza indicazione della relativa diagnosi (es. certificati di assenza per malattia), ovvero quelli relativi all'adesione ad organizzazioni sindacali o a carattere sindacale (es. permessi, aspettative, trattenute sindacali, ecc.), possano sostituire l obbligo della tenuta - e dell aggiornamento - del DPS con un autocertificazione da rendere ai sensi dell'art. 47 del TU in materia di documentazione amministrativa (DPR 28 dicembre 2000, n. 445). L autocertificazione sostitutiva deve essere sottoscritta dal titolare del trattamento (nel caso di ente o persona giuridica, dal rappresentante legale) e conservata presso la sede di quest ultimo per essere esibita in caso di controlli, unitamente a fotocopia non autenticata di un documento di identità del sottoscrittore (cfr. art. 38, TU cit.). Con l autocertificazione (rectius: dichiarazione sostitutiva dell atto di notorietà), che può essere adottata solo in presenza dei requisiti fissati dalla legge, l impresa titolare del trattamento dovrà attestare che i dati personali comuni e quelli sensibili sopra indicati sono trattati in osservanza delle altre misure di sicurezza prescritte. Per agevolare le imprese che intendano avvalersi di tale beneficio, è disponibile, presso i nostri uffici, un modello di autocertificazione sostitutiva. In via interpretativa, si ritiene che l autocertificazione debba avere ad oggetto la conformità del trattamento alle sole misure minime di sicurezza richieste dal Codice (artt ) e dal Disciplinare tecnico, e non già anche all osservanza del più generale obbligo di adottare idonee e preventive misure di sicurezza ai sensi dell art. 31 del Codice. In tale ultimo caso, infatti, si correrebbe il rischio di estendere oltremodo il contenuto dell autocertificazione, facendovi rientrare anche la realizzazione di un livello di idoneità di protezione dei dati personali che difficilmente può essere valutato ex ante dal titolare e che può essere accertato in concreto soltanto all insorgere di situazioni patologiche (es. contenziosi azionati dagli interessati, a seguito di domanda giudiziale per il risarcimento del danno patito). Ciò avrebbe la conseguenza, sul piano effettuale, di accrescere il rischio di responsabilità penali dei beneficiari dell autocertificazione per falsa dichiarazione (falso ideologico in atto pubblico ex art. 483 c.p.), nelle ipotesi in cui il grado di sicurezza di dati e dei sistemi approntato dal titolare, benchè rispondente ai requisiti minimi richiesti dalla legge, non sia ritenuto - in sede di contenzioso - idoneo a prevenire gli ulteriori rischi connessi al trattamento. Tale inidoneità e le con- 17

3 nesse responsabilità penali potrebbero, infatti, emergere soltanto a seguito di una verifica da parte delle autorità competenti, quindi ex post. Benché si tratti di ipotesi dal carattere eventuale e difficilmente verificabili in concreto, un interpretazione estensiva sarebbe, comunque, da respingere, poiché avrebbe l effetto di disincentivare il ricorso alla semplificazione riconducibile all autocertificazione da parte dei destinatari. Vale la pena sottolineare, peraltro, che il beneficio dell autocertificazione non esonera dall adempimento degli altri obblighi in materia di sicurezza richiesti dal Codice (artt. 33 e ss.) e dal Disciplinare tecnico (anche nella forma semplificata indicata dal Provvedimento del Garante), per cui, in caso di inosservanza delle restanti misure minime, il titolare del trattamento sarà, comunque, tenuto a risponderne sul piano penale e amministrativo. D altra parte, l interpretazione restrittiva, secondo cui il titolare deve certificare soltanto l osservanza delle misure minime prescritte, diverse ovviamente dal DPS, trova conferma anche in ragione della collocazione sistematica del nuovo comma 1-bis, art. 34, nell ambito del Capo II del Codice, relativo alle misure minime di sicurezza, e dei criteri di imputazione delle responsabilità penali. Al riguardo, la fattispecie di falsità ideologica non può che riferirsi ad elementi in concreto predeterminati dalla legge, quali sono soltanto le misure tassativamente individuate agli artt. 34 e 35 del Codice (nelle modalità ordinarie o semplificate). Tale assunto è avvalorato dalla considerazione secondo cui le disposizioni penali che rinviano a norme extra-penali per la descrizione degli elementi costitutivi di una fattispecie devono essere strettamente conformi ai principi di determinatezza e tassatività del fatto tipico penalmente rilevante. In ogni caso, si invitano le imprese associate a valutare attentamente l opportunità di sostituire la tenuta di un DPS aggiornato con il beneficio dell autocertificazione, tenendo conto, qualora si opti per tale scelta, del concreto contesto di operatività aziendale, dei rapporti in essere (o che potranno sorgere) all interno e, soprattutto, all esterno dell azienda, nonché di qualsiasi altro ambito di attività che possa dar vita a un trattamento di dati personali sensibili, diversi da quelli indicati all art. 34, co. 1-bis del Codice (dati sanitari e sindacali) e, quindi, rilevante ai fini dell obbligo del DPS. Ciò sia allo scopo di non disperdere le risorse e i vantaggi, in termini di trasparenza e corretta gestione dei dati personali in azienda, che conseguono alla tenuta di un aggiornato DPS, sia in considerazione della potenziale crescita e dello sviluppo delle attività aziendali in una prospettiva di medio-lungo periodo. Alla luce di tali considerazioni, infine, si fa presente che, qualora intervengano variazioni in ordine alle caratteristiche dei trattamenti o alla tipologia dei dati utilizzati dal titolare (in conseguenza, ad es., di modifiche dell attività d impresa), tali da fare venir meno i presupposti dell autocertificazione, il titolare è tenuto a predisporre il DPS per non incorrere in sanzioni penali. Infatti, si ricorda che ai sensi dell art. 76, co. 2 del TU in materia di documentazione amministrativa, l'esibizione di un atto contenente dati non più rispondenti a verità equivale ad uso di atto falso Destinatari della semplificazione Per quanto riguarda l ambito dei soggetti cui si applica il Provvedimento sulla semplificazione, il Garante ha attuato fedelmente la delega di cui all art. 29 DL 112/08. Con particolare riferimento al contesto imprenditoriale, infatti, i soggetti che possono beneficiare delle modalità semplificate di applicazione delle misure minime di sicurezza nel trattamento di dati personali, effettuato con o senza l impiego di strumenti informatici, sono: a) le imprese che utilizzano dati personali non sensibili (es. dati anagrafici di dipendenti, fornitori, ecc.) e che trattano come unici dati sensibili dei propri dipendenti e collaboratori, anche a progetto, quelli relativi allo stato di salute o malattia senza indicazione della relativa diagnosi (cd. dati sanitari), ovvero all'adesione a organizzazioni sindacali o a carattere sindacale (cd. dati sindacali). Al riguardo il dato sanitario relativo all assenza per malattia è solitamente trattato dalle imprese nell ambito dell ordinaria gestione del rapporto di lavoro, sulla base di norme di legge e contrattuali, mentre il dato sindacale rileva ai fini della gestione dei permessi, delle aspettative e delle trattenute sindacali e, più in generale, degli altri adempimenti relativi all adesione a simili organizzazioni; 18

4 b) le Piccole e Medie Imprese (oltre ai liberi professionisti e artigiani) che trattano dati personali - anche sensibili - unicamente per correnti finalità amministrative e contabili. La definizione di micro, piccola e media impresa rilevante al fine di individuare l ambito soggettivo di applicazione del presente Provvedimento è quella prevista dal HYPERLINK " Decreto 18 aprile 2005 del Ministero delle Attività Produttive (oggi, Ministero dello Sviluppo Economico), alla quale si rinvia, che ha recepito le indicazioni della Raccomandazione della Commissione europea 2003/361/CE. In questo caso, l individuazione dei destinatari delle semplificazioni dettate dal Garante è rimessa alla sussistenza di due condizioni concorrenti, di natura qualitativa, l una, e quantitativa, l altra: rispettivamente le finalità del trattamento e l aspetto dimensionale che, oltre ad essere richiamato espressamente dal Garante (nelle premesse del Provvedimento), è in linea con le esigenze di proporzionalità normativa sottese a tale intervento. Pertanto, è importante fin d ora sottolineare che rispetto ad entrambe le categorie di soggetti sopra indicate l unica differenza rilevante, in termini di misure di sicurezza applicabili, riguarda l obbligo del DPS. A questo riguardo, infatti, potranno valersi del già illustrato beneficio dell autocertificazione sostitutiva soltanto le imprese di cui alla lettera a). Rispetto a quelle di cui alla lettera b), invece, il Provvedimento del Garante fornisce indicazioni per la redazione di un DPS semplificato. Al di fuori di queste due ipotesi, l obbligo del DPS continuerà ad applicarsi alle imprese sulla base delle condizioni e del contenuto fissati dalle regole 19.1 a 19.8 del Disciplinare tecnico. Sono, invece, applicabili sia alle imprese di cui alla lett. a) che a quelle ex lett. b) le altre misure di sicurezza dettate dal Provvedimento 27 novembre Come anticipato, è a disposizione, presso i nostri uffici, una Tabella di sintesi che illustra l ambito rilevante ai fini dell applicazione delle misure minime di sicurezza Ambito oggettivo di applicazione della semplificazione È opportuno fornire un chiarimento sull ambito oggettivo di efficacia del Provvedimento del 27 novembre 2008, in particolare, su alcuni aspetti la cui interpretazione risulta essenziale ai fini di una corretta applicazione delle semplificazioni introdotte. In primo luogo, con riguardo alle PMI che effettuano trattamenti di dati unicamente per correnti finalità amministrative e contabili (cfr. par. 1, lett b), il Provvedimento del Garante si limita a precisare, rispetto a quanto indicato nella delega (art. 29, DL 112/08), che i trattamenti che consentono di adempiere in maniera semplificata agli obblighi sulla sicurezza sono quelli connessi allo svolgimento di attività esclusivamente di natura amministrativa e contabile. Non sono però fornite espresse chiarificazioni circa il significato di tale ultima espressione, peraltro già utilizzata in precedenti interventi di semplificazione (cfr. cit. art. 29, DL 112/08 e, soprattutto, Provvedimento Garante 19 giugno 2008). Una corretta interpetazione della locuzione correnti finalità amministrative e contabili risulta, quindi, necessaria ai fini dell individuazione dell ambito operativo del Provvedimento medesimo. Al riguardo, il precedente HYPERLINK " Provvedimento del Garante del 19 giugno 2008, nel semplificare alcuni adempimenti in ambito pubblico e privato rispetto a trattamenti svolti per finalità amministrative e contabili, ha precisato, a titolo esemplificativo, che tali finalità ricorrono quando il trattamento dei dati è svolto in relazione all'adempimento di obblighi contrattuali, precontrattuali o normativi. Nel medesimo contesto, si è affermato che le informazioni trattate per scopi amministrativo-contabili sono quelle attinenti ad altre imprese, amministrazioni, clienti, fornitori e dipendenti. Pertanto, in sede interpretativa, è possibile ritenere che l espressione in esame si riferisca a tutti - e soltanto - i trattamenti connessi allo svolgimento delle ordinarie attività d impresa. Tali ordinarie attività dovrebbero, pertanto, ricomprendere il trattamento di qualsiasi informazione personale (riconducibile cioè a persone fisiche o giuridiche), anche di natura sensibile ai sensi dell art. 4, lett. d) del Codice, effettuato nell ambito della gestione: amministrativa: vi rientrerebbero, a titolo esemplificativo, le 19

5 attività riguardanti: a) l organizzazione aziendale; b) la tenuta dei contratti relativi sia a soggetti interni alla struttura del titolare (es. lavoratori) che terzi (es. clienti, fornitori); c) la gestione del personale (es. trattamenti relativi allo stato di salute dei propri lavoratori, alla gestione delle trattenute, dei permessi, delle aspettative sindacali o per incarichi politici, a servizi di mensa, permessi per festività religiose, ecc.); d) gli adempimenti nei confronti delle PA; contabile: tutti gli adempimenti che rientrano nella tenuta della contabilità aziendale, a fini sia civilistici che fiscali (es. contabilizzazione dei dati fiscali relativi a clienti e fornitori, predisposizione dei documenti di bilancio, ecc.). Nell ambito delle finalità amministrativo-contabili si possono, inoltre, ricomprendere quegli adempimenti di natura finanziaria connessi ai rapporti con banche o altri intermediari finanziari per l ordinaria gestione di conti correnti (anche di terzi, ad es., nel caso dei propri dipendenti) o per la richiesta di prestiti, linee di credito e garanzie. Pertanto, come anticipato, il Provvedimento in esame si applica alle imprese che, nello svolgimento della propria attività organizzativa, amministrativa, finanziaria e contabile, utilizzano tali dati esclusivamente per adempiere a obblighi di legge o derivanti da contratti. Saranno invece escluse le imprese che utilizzano, anche in parte, dati o informazioni di propri lavoratori o anche di terzi nell ambito di rapporti con finalità di natura commerciale (ad esempio, pubblicitaria). In secondo luogo, va considerato che il Provvedimento 27 novembre 2008, nell individuare modalità applicative semplificate degli obblighi di sicurezza in materia di trattamenti con strumenti elettronici, di cui all art. 34 del Codice e alle regole 1-26 del Disciplinare, omette di fare riferimento ad alcune specifiche regole (nn. 20 e da 22 a 26 del Disciplinare tecnico). Rispetto a queste ultime regole manca quindi una previsione di semplificazione diretta a sostituirne l'applicazione, per cui è dubbio se gli adempimenti in esse descritti debbano considerarsi ancora in vigore (come ad esempio già sostenuto da alcuni primi commentatori). Si tratta, ad esempio, delle regole che obbligano l'impresa titolare del trattamento a: predisporre strumenti (cd. firewall) volti ad impedire gli accessi abusivi ai sistemi di natura telematica o informatica su cui sono contenuti dati sensibili (regola 20); distruggere i supporti rimovibili su cui sono stati memorizzati dati sensibili, quando non sono più utilizzati, e nel caso si voglia riutilizzarli, rendere non intelligibili e tecnicamente non ricostruibili le informazioni in essi precedentemente contenute (regola 22); adottare procedure di ripristino dei dati quando questi ultimi ovvero gli strumenti elettronici con cui sono trattati siano danneggiati (mediante sistemi di disaster recovery e business continuity). Il ripristino deve avvenire entro sette giorni (regola 23); rispettare specifiche cautele e garanzie (trattamento disgiunto mediante tecniche di cifratura e separazione dei dati attinenti a stato di salute e vita sessuale), qualora il trattamento sia svolto nell ambito dell esercizio di prestazioni sanitarie e abbia quindi ad oggetto dati supersensibili. È il caso degli organismi sanitari, anche privati (regola 24); richiedere al soggetto esterno che ha effettuato l installazione delle misure minime di sicurezza in azienda, una dichiarazione che attesti la conformità dell intervento tecnico realizzato alle disposizioni del Disciplinare tecnico (regola 25); indicare l'avvenuta redazione o aggiornamento del DPS nella relazione al bilancio degli amministratori (solo per le società di capitali; regola 26). Allo scopo di fornire indicazioni utili alle imprese interessate all applicazione delle misure di semplificazione e, soprattutto, per evidenti ragioni di certezza giuridica, l interpretazione preferibile sembra essere quella che considera il contenuto del Provvedimento del Garante quale integralmente sostitutivo del Disciplinare tecnico, anche per le parti non specificamente da esso richiamate. Questa lettura sembra essere quella più coerente alla luce di una interpretazione sistematica e letterale delle previsioni del Provvedimento. Infatti, le esigenze di semplificazione e proporzionalità cui sono ispirati i recenti interventi del Garante e del legislatore sembrano giustificare la sussistenza di regimi di applicazione delle misure minime di sicurezza tra loro alternativi (rispetti- 20

6 vamente, il Disciplinare tecnico e il Provvedimento del Garante). In particolare, l art. 29, DL 112/08, delega espressamente l Autorità a individuare modalità semplificate di applicazione dell intero Disciplinare tecnico. Lo stesso Provvedimento 27 novembre 2008, al par. 2 dedicato ai trattamenti con strumenti elettronici, nell autorizzare l applicazione semplificata della disciplina sulla sicurezza dei dati fa riferimento all art. 34 del Codice e alle regole da 1 a 26 del Disciplinare tecnico. Ciò che può avvalorare un applicazione di tali modalità semplificate tout court sostitutiva delle modalità ordinarie. Qualora dovesse prevalere l interpretazione contraria, le PMI sarebbero tenute ad applicare sia le modalità semplificate indicate dal Provvedimento del Garante sia le ulteriori misure tecniche del Disciplinare tecnico che non risultino espressamente menzionate nel citato Provvedimento, le quali dovrebbero pertanto intendersi ancora in vigore. Si tratta, come già accennato, delle regole di cui ai punti 20, 22, 23, 24, 25 e 26 del Disciplinare. 3. Profili particolari della semplificazione Si commentano di seguito le semplificazioni relative ai trattamenti effettuati con strumenti elettronici e a quelli realizzati con modalità cartacee, dettate dal Garante in sostituzione delle procedure ordinarie contenute nel Disciplinare tecnico. In corrispondenza delle diverse modalità di applicazione delle misure minime sono indicati, in parentesi, gli specifici adempimenti del Disciplinare tecnico semplificati. Per quanto riguarda le altre misure minime non espressamente richiamate nel Provvedimento del Garante, si rinvia alle considerazioni svolte nel precedente paragrafo Trattamenti con strumenti elettronici a) Istruzioni agli incaricati del trattamento (regole 4, 9, 18 e 21) Il Provvedimento 27 novembre 2008 prevede, innanzitutto, la possibilità di impartire agli incaricati del trattamento istruzioni in materia di misure minime anche oralmente. Tale semplificazione, tuttavia, non fa venir meno l obbligo dell impresatitolare del trattamento di nominare per iscritto gli incaricati (con la lettera di nomina) e di individuare dettagliatamente l ambito del trattamento loro consentito (art. 30 del Codice). Le istruzioni, la cui comunicazione, scritta o orale, deve avvenire in forma semplice e chiara, riguardano: le cautele idonee a garantire la segretezza della password, la diligente custodia dei dispositivi in possesso e uso esclusivo dell incaricato (es. pc, notebook, palmari, telefoni cellulari, smart card, ecc.) e la protezione degli strumenti elettronici - es. mediante screensaver - specie durante le sessioni del trattamento (regole 4 e 9); le misure organizzative e tecniche per effettuare il back-up dei dati, nonché quelle finalizzate alla corretta custodia e uso di supporti rimovibili contenenti dati personali (es. cd, dvd, memory card, ecc.), in modo da evitare accessi non autorizzati e trattamenti non consentiti (regole 18 e 21); le procedure per garantire la disponibilità e l accesso a dati e strumenti elettronici, in caso di assenze prolungate dell incaricato (sul punto, v. infra lett. b). b) Sistemi di autenticazione informatica e di autorizzazione (regole 1-3, 5-8 e 10-15) È stato chiarito che per identificare chi accede a strumenti informatici si può utilizzare qualsiasi sistema di autenticazione basato su una username (codice identificativo) e una password (parola chiave). L autenticazione può avvenire anche mediante le procedure di login utilizzate dai sistemi operativi delle postazioni di lavoro connesse a una Rete. La semplificazione ha interessato la tipologia delle credenziali di autenticazione, riducendone la previsione al solo username e password (non si fa più riferimento, ad esempio, a dispositivi di autenticazione in possesso e uso esclusivo dell incaricato o a caratteristiche biometriche, né alla possibilità di assegnare ad un medesimo incaricato più credenziali). Restano fermi gli obblighi di univocità dello username, che potrà essere associato e utilizzato da una sola persona, e di segretezza della password per ciascun incaricato, il quale non dovrà quindi comunicarla o renderla conoscibile a terzi. Non sono più previsti termini di scadenza per la modifica della password (6 mesi per i dati comuni, 3 mesi per quelli 21

7 sensibili), né vincoli di lunghezza della password (regola 5). Viene precisato che l obbligo di disattivare lo username sussiste quando l'incaricato non opera più azienda o, più in generale, ha perso le qualità per accedere legittimamente ai dati, ma è venuto meno l obbligo di disattivazione per mancato utilizzo dello username per più di sei mesi (regola 7). Possono, inoltre, essere fornite anche oralmente, come già anticipato, le istruzioni che, in caso di impedimenti o assenze prolungate dell incaricato, garantiscano, comunque, l accesso ai dati e la disponibilità degli strumenti elettronici da questi utilizzati, qualora lo richiedano indifferibili esigenze di operatività e sicurezza del sistema. Per le medesime finalità connesse alla continuità del lavoro in azienda, viene anche suggerita, per le ipotesi di assenze del lavoratore programmate - quali le ferie o impegni fuori sede - l attivazione di procedure di risposta automatica ai messaggi di posta elettronica ricevuta, con indicazione di ulteriori indirizzi o recapiti della struttura accessibili (ad es. quelli di un collega. Sul punto, si rinvia a quanto indicato nel HYPERLINK " Provvedimento 1 marzo Linee guida del Garante per posta elettronica e internet). L incaricato dovrà, in ogni caso, essere informato dell intervento effettuato dal Titolare. È stato, conseguentemente, eliminato l obbligo di nominare per iscritto il custode delle credenziali e la relativa procedura di custodia e sostituzione delle password (regola 10). Viene confermata la necessità di prevedere profili di autorizzazione al trattamento differenti per singoli incaricati o categorie omogenee di incaricati, nel caso in cui l'accesso ad alcuni dati sia limitato soltanto ad essi per esigenze lavorative (es. dipendenti che hanno accesso ad archivi riservati). Anche l accesso a specifici ambiti di autorizzazione può avvenire mediante procedure previste da applicativi software o sistemi operativi. L ambito di trattamento consentito ai singoli incaricati e agli addetti alla gestione e manutenzione degli strumenti elettronici deve essere individuato in osservanza dei principi di adeguatezza, proporzionalità e necessità. Sono stati eliminati gli obblighi di predisposizione di una lista degli incaricati autorizzati e di verifica annuale dei profili di autorizzazione al trattamento assegnati in azienda, ma le verifiche e gli aggiornamenti andranno effettuati quando necessario (regola 15). c) Altre misure di sicurezza: antivirus, software di aggiornamento e procedure di backup (regole 16, 17 e 18) Viene esteso da 6 mesi a 1 anno l obbligo di aggiornare gli antivirus e gli altri programmi diretti a prevenire la vulnerabilità degli strumenti elettronici o a correggere gli errori dei sistemi informatici (es. release o patch di aggiornamento). È, inoltre, previsto che se il computer non è in Rete o accessibile al pubblico (linee Adsl, accesso a Internet tramite rete aziendale, posta elettronica), l'aggiornamento deve essere almeno biennale. Per quanto riguarda il back-up, la procedura di salvataggio dei dati deve avvenire con frequenza mensile, non più settimanale, e può riguardare anche solo i dati modificati rispetto al momento dell'ultimo salvataggio effettuato (cd. dati dinamici). Per i dati che non hanno subito variazioni è sufficiente conservarne una copia di sicurezza per l eventuale ripristino. d) Documento Programmatico sulla Sicurezza (regola 19, punti da 19.1 a 19.8) Viene semplificato il contenuto del DPS per le imprese che trattano dati personali, anche sensibili, unicamente per correnti finalità amministrative e contabili (su cui, v. supra). Queste ultime potranno pertanto, con decorrenza immediata, sostituire il DPS che hanno già predisposto con un DPS dal contenuto semplificato. Si ribadiscono in questa sede alcune regole operative applicabili al DPS semplificato (analogamente a quanto avviene per il DPS ordinario), secondo le quali il documento: può essere materialmente predisposto dal titolare del trattamento o da un responsabile appositamente delegato, prima che venga avviato un nuovo trattamento (è il caso delle imprese di nuova costituzione) ovvero in sostituzione del DPS ordinario già adottato; deve essere sottoscritto direttamente dal titolare (il rappresentante legale, nel caso di enti o imprese) e custodito presso la sede di quest ultimo. Il DPS, infatti, va esibito all Autorità 22

8 ispettiva solo in caso di accertamenti o controlli, ma non è richiesta alcuna comunicazione o invio dello stesso al Garante; deve essere aggiornato ogni anno (entro il 31 marzo) solo se sono intervenute modifiche rispetto a quanto dichiarato nel DPS riferito all anno solare precedente (modifiche organizzative o dell attività sociale rilevanti rendono, ad es., obbligatorio l aggiornamento annuale); non necessita dell apposizione della data certa. Tale adempimento non è infatti richiesto dalla legge quale requisito di validità del documento, ma potrebbe valere esclusivamente su base volontaria e a fini probatori ai sensi della vigente disciplina civilistica in materia di prove documentali (cfr. art c.c.). In questo caso, si richiama il parere 5 dicembre 2000 del Garante, nel quale sono individuate alcune modalità per fornire la prova della data certa (tra le altre, si segnala la formazione per atto pubblico; la registrazione o produzione del documento presso un ufficio pubblico; la cd. autoprestazione postale; la marcatura temporale su un documento informatico, ecc.). Con riferimento al contenuto minimo del DPS, l intervento di semplificazione si è concentrato su tre aspetti principali: a) l assetto organizzativo della struttura del titolare (ruoli, compiti e responsabilità); b) l elencazione dei trattamenti effettuati; c) le misure di sicurezza approntate in azienda. Il DPS semplificato deve infatti prevedere: l individuazione del titolare del trattamento, degli eventuali responsabili e l'elenco, anche per categorie, degli incaricati del trattamento e delle relative responsabilità. Nel caso in cui l assetto interno sia soggetto a frequenti modifiche organizzative, gli elenchi aggiornati dei responsabili - eventualmente designati - e degli incaricati del trattamento possono essere resi conoscibili secondo altre modalità espressamente indicate (ad es., rinvio al sito internet o ad altri documenti aziendali); una descrizione generale dei trattamenti realizzati, con l indicazione delle finalità del trattamento, delle categorie di interessati e dei dati ad essi relativi (anche per categorie, ad es. anagrafica dei clienti, elenco delle controparti pubbliche), nonché dei soggetti a cui i dati possono essere comunicati (es. consulenti esterni, banche, altre società del gruppo, PA, ecc.). Tale descrizione, che ha ad oggetto le medesime informazioni fornite in sede di informativa, rappresenta il parametro di riferimento per valutare l adeguatezza delle misure di sicurezza adottate; una descrizione delle misure di sicurezza adottate per prevenire i rischi di distruzione o perdita dei dati, anche accidentale, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta. La Tabella n. 2, da richiedere, sempre, ai nostri uffici a confronto il contenuto minimo richiesto per la redazione del DPS nella sua versione integrale o semplificata e i rispettivi presupposti applicativi Trattamenti senza l ausilio di strumenti elettronici (regole 27-29) Le istruzioni agli incaricati di trattamenti in cartaceo, dirette a garantire il controllo e la custodia degli atti e dei documenti contenenti dati personali, possono essere impartite anche oralmente. Non è più necessario aggiornare annualmente l ambito di trattamento consentito ai singoli incaricati, né predisporre una lista degli incaricati autorizzati. Nel caso di documenti contenenti dati sensibili o giudiziari, rimane fermo l obbligo per gli incaricati di controllare e custodire tali documenti fino alla loro restituzione al termine delle operazioni affidate, in modo da impedire che vi accedano persone prive di autorizzazione. È stato invece eliminato l obbligo di registrazione e di preventiva autorizzazione per accedere agli archivi al di fuori dell orario di lavoro. 23