29/391 LEGGE SULLA PRIVACY 24/11/2000

LEGGE SULLA PRIVACY 675/96, art. 15 c. 2°

MISURE MINIME DI SICUREZZA PER IL TRATTAMENTO DEI DATI PERSONALI

Differimento al 31 dicembre 2000 del termine per l’adeguamento di terminali e archivi: entro il 9 dicembre redazione del documento impegnativo per avvalersi della proroga

Con nostra precedente comunicazione n. 8/126 del 15 marzo scorso avevamo segnalato la scadenza del 29 marzo 2000, quale termine ultimo per l’adozione - da parte sia di soggetti pubblici che di soggetti privati - di una serie di misure minime di sicurezza, previste dal dpr 28 luglio 1999 n. 318 (G.U. n. 126 del 14-9-1999), necessarie per il trattamento dei dati personali da parte di mezzi elettronici o comunque automatizzati e archivi cartacei, la cui mancata adozione comporta responsabilità sia penale che civile.

Come anticipato con circolare n. 28/376 del 16 novembre scorso, a fronte di una generale situazione di difficoltà di adeguamento alle disposizioni contenute nel dpr 318, entro il termine originariamente previsto, è stata definitivamente approvata una legge di proroga che sposta al

31 dicembre 2000

il termine ultimo per l’adozione delle misure minime previste dal dpr 318, a condizione però che il titolare del trattamento documenti per iscritto, con atto avente data certa, le particolari esigenze tecniche ed organizzative che hanno reso necessario un termine più ampio.

Il documento, che dovrà avere data certa (autentica notarile, o di altro pubblico ufficiale, della firma apposta sul documento), dovrà essere redatto entro un mese dalla data di entrata in vigore della legge (la legge n. 325/2000, pubblicata sulla Gazzetta Ufficiale del 9 novembre è entrata in vigore il 10 novembre, pertanto tale documento dovrà essere redatto entro la prima settimana di dicembre), e dovrà contenere:

le particolari esigenze tecniche e organizzative che hanno reso necessario avvalersi di un
termine più ampio di quello scaduto il 29 marzo scorso;
una informazione sintetica sugli accorgimenti adottati o da adottare, gli elementi
caratterizzanti il programma di adeguamento e le singole fasi in cui è ripartito;
le linee-guida per l’attuazione delle misure minime di sicurezza, la cui inosservanza è

sanzionata penalmente ai sensi dell’articolo 36 della legge 675/96, ma anche per

l’attuazione delle maggiori misure di sicurezza idonee a evitare la responsabilità civile.

Il documento di cui sopra, la cui sottoscrizione dovrà essere effettuata dal titolare del trattamento, in persona del suo legale rappresentante pro tempore, non andrà spedito al Garante, ma dovrà essere conservato presso il soggetto interessato per eventuali possibili ispezioni del garante medesimo.

Come già segnalato nelle nostre precedenti comunicazioni, ribadiamo che le misure di sicurezza sono finalizzate ad evitare il rischio di distruzione o perdita, anche accidentale, dei dati raccolti, nonché di accesso non autorizzato o di trattamento non consentito, ovvero non conforme alle finalità della raccolta e che, con riferimento alle misure da adottare, nel caso in cui siano trattati contemporaneamente dati comuni e dati sensibili, dovranno essere osservate le misure previste per la categoria più elevata.

Sul bollettino cartaceo riportiamo nuovamente uno specchietto esemplificativo (che, per un errore in fase di composizione del precedente bollettino, non era stato allegato alla comunicazione n. 28/376) delle misure minime di sicurezza da adottare entro il 31 dicembre prossimo (il testo completo del dpr n. 318 era stato allegato alla comunicazione n. 8/126).

Indice