Nuovi dubbi e vecchie certezze sul documento programmatico sulla sicurezza

Nuovi dubbi e vecchie certezze sul documento programmatico sulla sicurezza

di Avv. Giancarlo Barbon (Studio Sarzana & Partners – www.lidis.it)

***

Con il Parere reso a Confindustria il 22 marzo 2004 (” Obblighi di Sicurezza e documento programmatico: al 30 giugno la redazione del “dps”), il Garante per la protezione dei dati personali sembra fugare definitivamente alcuni dubbi e preoccupazioni relativi all’adozione del Documento Programmatico sulla Sicurezza (DPS), esprimendosi in merito sia al termine ultimo (dilatorio) per la formazione o l’aggiornamento del Dps, sia ai soggetti obbligati all’adozione di tale misura minima di sicurezza. Ma il Parere del Garante, pur portando chiarezza su alcune questioni, ripropone vecchi dubbi e solleva nuovi interrogativi.

1. Sul termine ultimo per l’adozione del DPS

Con la pronuncia del 22 marzo, il Garante comunica ai privati, alle aziende ed alle pubbliche amministrazioni che avranno tempo fino al 30 giugno 2004 per adottare le “nuove misure” minime di sicurezza di cui all’art. 180, comma 1, del nuovo Testo Unico in materia di trattamento di dati personali ( D.lg. n. 196/2003).

Il Garante precisa, nello stesso provvedimento, che potranno usufruire del termine ultimo (dilatorio) del 30 giugno sia coloro che devono predisporre il DPS per la prima volta che coloro che hanno gi‡ provveduto a redigerlo, o ad aggiornarlo, nel 2003.

Dunque, qualche respiro in pi˘ per chi, direttamente interessato, vedeva nel 31 marzo 2004 il termine ultimo per la redazione del Documento Programmatico sulla Sicurezza (DPS) e delle altre misure minime per la tutela dei dati personali.

Ma tale chiarimento era del tutto necessario? E’ corretto parlare, in questo caso, di “proroga” dei termini per l’adozione del DPS?

Un’attenta analisi dei dati normativi di riferimento porta a concludere che soltanto per la redazione del DPS da parte di “chi, gi‡ dotato di un DPS redatto o aggiornato nel 2003… debba curare la stesura di un testo significativo e pi˘ impegnativo nella ricognizione dei rischi e degli interventi previsti”, il Garante, con il Parere in discussione, ha disposto una “proroga” del termine dilatorio, concedendo un trimestre in pi˘ rispetto al termine del 31 marzo gi‡ fissato dal D.lg. n. 196/2003 e ribadito dall’art. 19 dell’Allegato B) al nuovo Testo Unico sul trattamento dei dati personali.

Per l’adozione delle misure di sicurezza “nuove” non si puÚ parlare, invece, di “proroga” dei termini, dal momento che il nuovo Testo Unico sul trattamento dei dati personali individua gi‡, all’art. 180, il 30 giugno 2004 come termine dilatorio per la redazione del DPS da parte di chi si imbatte per la prima volta nella stesura dello stesso, trattandosi per l’appunto di una misura minima di sicurezza “nuova” (ovvero “diversa” secondo l’art. 180 del D.lg. n. 196/2003): le misure minime di sicurezza “diverse” da quelle previste dal d.P.R. 28 luglio 1999 n.318 – recita la norma – devono essere adottate entro il 30 giugno 2004.

Il Garante indica inoltre un termine ultimo (1∞ gennaio 2005) nel caso in cui ricorrano quelle “obiettive ragioni tecniche che non consentono in tutto o in parte l’immediata applicazione delle misure minime di cui all’art. 34 e delle corrispondenti modalit‡ tecniche di cui all’allegato B) di cui all’art. 180, 2∞ comma, del D.lg. n. 196/2003. In tal caso, l’azienda dovr‡ predisporre un documento con data certa riportante le ragioni che impediscono di fatto l’applicazione di tali misure nel termine del 30 giugno; il documento non dovr‡ essere inviato al Garante bensÏ conservato in azienda ed esibito eventualmente in sede di accertamento. Si precisa ancora nel parere che “non sussistono margini per sostenere che il DPS possa essere redatto per la prima volta o aggiornato solo nel 2005”.

Le chiarificazioni date dal Garante in materia di termine dilatorio per l’adozione del DPS non permettono tuttavia di superare un’altra “drammatica” questione: puÚ un Parere di un Garante prorogare un termine disposto da un Decreto Legislativo? In base a quale potere il Garante puÚ prorogare un termine di aggiornamento di una misura di sicurezza stabilito da una disposizione di legge? Come si legittima questo “stravolgimento” delle fonti del diritto nella regolamentazione in materia di tutela dei dati personali?

2. Sui soggetti obbligati all’adozione del DPS

Il Garante, con il medesimo Parere, dispone che “in base al nuovo Codice la misura minima del DPS deve essere ora adottata dal titolare di un trattamento di dati sensibili o giudiziari effettuato con strumenti elettronici, attraverso líorgano, ufficio o persona fisica a ciÚ legittimata in base allíordinamento aziendale o della pubblica amministrazione interessata”. Da tale argomentazione del Garante sembrerebbe potersi dedurre che l’adozione del DPS sia obbligatoria soltanto per le aziende private e le amministrazioni pubbliche che effettuano trattamenti di dati sensibili o giudiziari con strumenti elettronici. Ma tale deduzione si scontra con il dettato dell’art. 34 del D.lg. n.196/2003. Sul punto permangono pertanto forti dubbi, gli stessi gi‡ manifestati dai giuristi con l’approvazione del d.P.R. 318 del 1999, in base al quale, dal combinato disposto degli artt. 3 e 6, la dottrina era arrivata a concludere che l’obbligo della redazione del documento programmatico sulla sicurezza fosse a carico soltanto dei soggetti che trattavano i dati di cui all’art. 22 (dati sensibili) ed all’art. 24 (dati giudiziari)della legge 675/96 mediante “elaboratori accessibili mediante reti di telecomunicazione disponibili al pubblico”. Tale dubbi non sembrano essere stati chiariti con l’adozione del nuovo Codice sulla Privacy, nË tantomeno con il Parere del Garante del 22 marzo scorso.

Ma andiamo ad analizzare i dati normativi di riferimento per provare a fare un po’ di chiarezza.

L’art. 34 del D.lg. n.196/2003 (Trattamenti con strumenti elettronici) obbliga chiunque (imprese, privati ed istituzioni) ad adottare un Documento Programmatico sulla sicurezza, disponendo che il trattamento di dati personali effettuato con strumenti elettronici Ë consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell’allegato B), le misure minime previste dalle lettere da a) a g) dell’art. 34, tra le quali Ë ricompresa pure l’adozione del Documento Programmatico sulla Sicurezza. Il testo della norma in questione non fa riferimento ad alcuna specifica tipologia di dati, indicando, quale unico parametro da cui far derivare l’obbligo, che il trattamento sia effettuato con strumenti elettronici. La corretta lettura del testo della norma non sembra pertanto lasciare dubbi interpretativi: il DPS deve essere adottato obbligatoriamente da chiunque tratti dati personali con strumenti elettronici. SenochË, proseguendo nell’ analisi del nuovo Testo Unico, l’occhio cade inevitabilmente sul punto 19 dell’allegato B), norma “secondaria” rispetto al testo della legge. Il punto 19 recita:

“Documento programmatico sulla sicurezza – Entro il 31 marzo di ogni anno, il titolare di un trattamento di dati sensibili o di dati giudiziari redige anche attraverso il responsabile, se designato, un documento programmatico sulla sicurezza contenente idonee informazioni riguardo…”. Dunque, come leggere questa norma che puÚ sembrare in contrasto con la disposizione generale di cui all’art.34?

Due sono le possibili interpretazioni della disposizione in discussione:

1. come norma che impone l’adozione del DPS solo a chi tratti dati sensibili o giudiziari con o senza strumenti elettronici, in contrasto con quanto disposto dall’art. 34 del Testo Unico che impone invece l’adozione del DPS a chi tratti qualsiasi tipo di dati personali con strumenti elettronici;

2. come norma che va ad integrare la norma generale (art. 34), precisando soltanto una scadenza ricorrente( 31 marzo di ogni anno) per l’adozione del DPS da parte di chi tratta dati sensibili o giudiziari, ed a prescindere dall’utilizzo degli strumenti elettronici. Si tratterebbe pertanto di una disposizione dettata per i casi di trattamento di soli dati sensibili e giudiziari, con o senza l’ausilio di strumenti informatici.

La seconda interpretazione Ë senza dubbio quella pÏu coerente e pi˘ rispondente alla ratio della normativa in questione.

Pertanto, possiamo ragionevolmente concludere affermando che chiunque (privati o imprese) tratti dati personali con l’ausilio di strumenti elettronici, Ë obbligato alla redazione del DPS entro i termini prescritti dal legislatore , a prescindere dalla natura di dati personali trattati (dati “comuni”, sensibili o giudiziari).

Avv. Giancarlo Barbon

Studio Legale Sarzana & Partners

www.lidis.it

Lascia un commento

WeeJay