Obbligo di redazione del Documento Programmatico sulla Sicurezza (DPS)
In quest'ultimo periodo, nell'approfondire i termini legali entro cui collocare il Documento Programmatico sulla Sicurezza (DPS) mi sono imbattuto in un'apparente ambiguità del nuovo Codice della privacy (D.Lgs. 196/03): il punto in questione è la definizione chiara dei soggetti obbligati a redigere tale documento, nonché le modalità e i termini di redazione.
L'ambiguità nasce dal fatto che il DPS è introdotto in due distinti punti del testo con apparente contraddizione: per la precisione se ne parla nell'art.34 del codice, ove si stabilisce che il trattamento dei dati personali effettuato con strumenti elettronici è consentito solo se, tra le misure minime di sicurezza, si tiene aggiornato un documento programmatico sulla sicurezza, ma se ne parla anche nel disciplinare tecnico allegato ad esso (All. B) allorché si afferma che "entro il 31 marzo di ogni anno, il titolare di un trattamento di dati sensibili o di dati giudiziari redige anche attraverso il responsabile, se designato, un documento programmatico sulla sicurezza...".
Ed eccoci dunque all'ambiguità: prima sembrerebbe che il DPS vada obbligatoriamente redatto da chi tratta tutti i tipi di dati personali purché con strumenti elettronici, ma poi si individuano come soggetti tenuti alla redazione solo i titolari di dati sensibili o giudiziari, a prescindere dalle modalità di trattamento (e dunque anche in assenza di strumenti elettronici).
Tuttavia, come ho precisato prima, questa ambiguità è a mio avviso solo apparente e, per cogliere meglio tale evidenza, vorrei fare un breve cenno alla normativa vigente prima dell'introduzione del D.Lgs. 196/03.
Nel dpr n. 318/99 l'obbligo di redazione veniva individuato per i titolari del trattamento dei dati di cui agli articoli 22 (Dati sensibili) e 24 (Dati relativi ai provvedimenti di cui all'articolo 686 del codice di procedura penale) della legge 675/96, effettuato mediante gli elaboratori indicati nell'articolo 3, comma 1, lettera b) del medesimo decreto, e cioè solo tramite elaboratori accessibili mediante una rete di telecomunicazioni disponibili al pubblico (escludendo dunque gli stessi trattamenti effettuati tramite elaboratori accessibili da altri elaboratori solo attraverso reti non disponibili al pubblico? n.d.a.).
Facciamo ora un balzo in avanti, saltando per un attimo il codice privacy, ed arrivando ad un parere espresso dal Garante per la Privacy a Confindustria, in data 22 marzo 2004: in tale circostanza è stato affermato che "in base al nuovo Codice, la misura minima del DPS deve essere ora adottata dal titolare di un trattamento di dati sensibili o giudiziari effettuato con strumenti elettronici, attraverso l’organo, ufficio o persona fisica a ciò legittimata in base all’ordinamento aziendale o della pubblica amministrazione interessata (art. 34, comma 1, lett. g), del Codice; regola 19 dell’Allegato B))."
Dunque per continuità tra quanto previsto precedentemente e quanto esplicato nel parere emanato successivamente all'entrata in vigore della legge 196/03 sembrerebbe lecito assumere che l'obbligo sia solo per chi, ribadisco, è titolare di un trattamento di dati sensibili o giudiziari effettuato con strumenti elettronici, e ciò senza alcuna ambiguità.
Inoltre, per dirla tutta, non colgo alcuna contraddizione tra quanto affermato nell'art. 34 del nuovo codice e quanto riportato nel disciplinare tecnico (All. B). Infatti l'art. 34 dispone che il trattamento dei dati personali effettuato con strumenti elettronici è consentito solo se, tra le misure minime di sicurezza, si tiene aggiornato un documento programmatico sulla sicurezza, ma comunque nei modi previsti dal disciplinare tecnico contenuto nell'allegato B). Dunque lo scopo dell'allegato B) è quello di chiarire i modi ed i termini dell'obbligo di redazione del DPS, altrimenti si creerebbe una contraddizione non solo per quanto riguarda il chi, ma anche il come e il quando.
Infine vorrei provare a chiarire le motivazioni di questa duplice modalità di presentazione del DPS, visto che sarebbe stato sicuramente più semplice, e soprattutto meno ambiguo, definire l'ambito di applicazione del DPS in un unico articolo: la spiegazione è presente nell'art. 36 del codice privacy.
In tale articolo (Adeguamento) si chiarisce che il disciplinare presente nell'allegato B) "è aggiornato periodicamente con decreto del Ministro della giustizia di concerto con il Ministro per le innovazioni e le tecnologie, in relazione all'evoluzione tecnica e all'esperienza maturata nel settore."
Dunque, in conclusione, il testo del d.lgs 196/03, che disciplina in modo generale il trattamento dei dati personali, è volutamente astratto per poter comprendere tutte le tipologie, mentre l'allegato B, che può variare periodicamente, chiarisce puntualmente e concretamente l'ambito di applicazione che al momento della redazione si ritiene valido.
Pertanto nella fattispecie, all'interno del codice privacy si fa riferimento ai dati personali tutti, specificando però nell'allegato B che al momento si ritiene indispensabile far redigere il DPS solo a coloro che trattano dati sensibili e giudiziari, senza dover precisare in tale sede le modalità di trattamento (se con supporti elettronici oppure no) in quanto già chiarite nel testo del decreto legislativo.
L'ambiguità nasce dal fatto che il DPS è introdotto in due distinti punti del testo con apparente contraddizione: per la precisione se ne parla nell'art.34 del codice, ove si stabilisce che il trattamento dei dati personali effettuato con strumenti elettronici è consentito solo se, tra le misure minime di sicurezza, si tiene aggiornato un documento programmatico sulla sicurezza, ma se ne parla anche nel disciplinare tecnico allegato ad esso (All. B) allorché si afferma che "entro il 31 marzo di ogni anno, il titolare di un trattamento di dati sensibili o di dati giudiziari redige anche attraverso il responsabile, se designato, un documento programmatico sulla sicurezza...".
Ed eccoci dunque all'ambiguità: prima sembrerebbe che il DPS vada obbligatoriamente redatto da chi tratta tutti i tipi di dati personali purché con strumenti elettronici, ma poi si individuano come soggetti tenuti alla redazione solo i titolari di dati sensibili o giudiziari, a prescindere dalle modalità di trattamento (e dunque anche in assenza di strumenti elettronici).
Tuttavia, come ho precisato prima, questa ambiguità è a mio avviso solo apparente e, per cogliere meglio tale evidenza, vorrei fare un breve cenno alla normativa vigente prima dell'introduzione del D.Lgs. 196/03.
Nel dpr n. 318/99 l'obbligo di redazione veniva individuato per i titolari del trattamento dei dati di cui agli articoli 22 (Dati sensibili) e 24 (Dati relativi ai provvedimenti di cui all'articolo 686 del codice di procedura penale) della legge 675/96, effettuato mediante gli elaboratori indicati nell'articolo 3, comma 1, lettera b) del medesimo decreto, e cioè solo tramite elaboratori accessibili mediante una rete di telecomunicazioni disponibili al pubblico (escludendo dunque gli stessi trattamenti effettuati tramite elaboratori accessibili da altri elaboratori solo attraverso reti non disponibili al pubblico? n.d.a.).
Facciamo ora un balzo in avanti, saltando per un attimo il codice privacy, ed arrivando ad un parere espresso dal Garante per la Privacy a Confindustria, in data 22 marzo 2004: in tale circostanza è stato affermato che "in base al nuovo Codice, la misura minima del DPS deve essere ora adottata dal titolare di un trattamento di dati sensibili o giudiziari effettuato con strumenti elettronici, attraverso l’organo, ufficio o persona fisica a ciò legittimata in base all’ordinamento aziendale o della pubblica amministrazione interessata (art. 34, comma 1, lett. g), del Codice; regola 19 dell’Allegato B))."
Dunque per continuità tra quanto previsto precedentemente e quanto esplicato nel parere emanato successivamente all'entrata in vigore della legge 196/03 sembrerebbe lecito assumere che l'obbligo sia solo per chi, ribadisco, è titolare di un trattamento di dati sensibili o giudiziari effettuato con strumenti elettronici, e ciò senza alcuna ambiguità.
Inoltre, per dirla tutta, non colgo alcuna contraddizione tra quanto affermato nell'art. 34 del nuovo codice e quanto riportato nel disciplinare tecnico (All. B). Infatti l'art. 34 dispone che il trattamento dei dati personali effettuato con strumenti elettronici è consentito solo se, tra le misure minime di sicurezza, si tiene aggiornato un documento programmatico sulla sicurezza, ma comunque nei modi previsti dal disciplinare tecnico contenuto nell'allegato B). Dunque lo scopo dell'allegato B) è quello di chiarire i modi ed i termini dell'obbligo di redazione del DPS, altrimenti si creerebbe una contraddizione non solo per quanto riguarda il chi, ma anche il come e il quando.
Infine vorrei provare a chiarire le motivazioni di questa duplice modalità di presentazione del DPS, visto che sarebbe stato sicuramente più semplice, e soprattutto meno ambiguo, definire l'ambito di applicazione del DPS in un unico articolo: la spiegazione è presente nell'art. 36 del codice privacy.
In tale articolo (Adeguamento) si chiarisce che il disciplinare presente nell'allegato B) "è aggiornato periodicamente con decreto del Ministro della giustizia di concerto con il Ministro per le innovazioni e le tecnologie, in relazione all'evoluzione tecnica e all'esperienza maturata nel settore."
Dunque, in conclusione, il testo del d.lgs 196/03, che disciplina in modo generale il trattamento dei dati personali, è volutamente astratto per poter comprendere tutte le tipologie, mentre l'allegato B, che può variare periodicamente, chiarisce puntualmente e concretamente l'ambito di applicazione che al momento della redazione si ritiene valido.
Pertanto nella fattispecie, all'interno del codice privacy si fa riferimento ai dati personali tutti, specificando però nell'allegato B che al momento si ritiene indispensabile far redigere il DPS solo a coloro che trattano dati sensibili e giudiziari, senza dover precisare in tale sede le modalità di trattamento (se con supporti elettronici oppure no) in quanto già chiarite nel testo del decreto legislativo.
0 Comments:
Posta un commento
<< Home