Diritti interna

Doveri interna

Search Form Portlet

ricerca avanzata

g-docweb-display Portlet

I - Stato di attuazione della legge n. 675/1996 - Sicurezza dei dati e dei sistemi - Relazione 2000 - 17 luglio 2001

SCHEDA
Garante per la protezione dei dati personali
Doc-Web:
1342348
Data:
17/07/01
Tipologia:
Relazione annuale

Indice

Relazione 2000

I - Stato di attuazione della legge n. 675/1996


Sicurezza dei dati e dei sistemi

59. LO STATO DELL´ARTE NELL´APPLICAZIONE DELLE MISURE DI SICUREZZA
La legge del 31 dicembre 1996, n. 675 ha assegnato una precisa base giuridica agli obblighi relativi alle misure di sicurezza che riguardano il trattamento automatizzato e non automatizzato di dati.

La disciplina prevede il dovere di custodire e controllare i dati trattati mediante l´adozione di idonee e preventive misure di sicurezza tali da ridurre al minimo i rischi di distruzione o perdita, anche accidentale, dei dati, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta (art. 15, comma 1, l. n. 675/1996); la mancata predisposizione di tali misure comporta la responsabilità per danni eventualmente cagionati (art. 18, l. n. 675/1996). Lo stesso art. 15, inoltre, ai commi 2 e 3, individua tramite un apposito regolamento le "misure minime di sicurezza " la cui violazione costituisce sicura esposizione al rischio di lesione del diritto alla tutela dei dati personali e comporta l´applicazione di sanzioni di carattere penale (art. 36, l. n. 675/1996).

Il previsto regolamento, emanato con il d.P.R. 28 luglio 1999, n. 318, entrato in vigore il 29 marzo 2000, comporta per il titolare del trattamento non solo l´obbligo di adottare le misure minime previste al comma 2 dell´art. 15 della legge n. 675/1996, ma anche di custodire e controllare i dati adottando le idonee e preventive misure di sicurezza di cui all´art. 15, comma 1.

L´Autorità, con deliberazione del 29 maggio 2000 (in Bollettino n. 13, p. 30), ha chiarito che nei confronti dei soggetti interessati non sussiste alcun obbligo di comunicare sistematicamente al Garante le determinazioni eventualmente adottate in attuazione del regolamento ed ha precisato che gli atti previsti dal regolamento, come il documento programmatico sulla sicurezza o la designazione dei responsabili e degli incaricati del trattamento, devono essere esibiti all´Autorità solo a seguito di un´eventuale e specifica richiesta in sede di ispezione o di controllo.

Successivamente, la legge 3 novembre 2000, n. 325 recante: "Disposizioni inerenti all´adozione delle misure minime di sicurezza nel trattamento dei dati personali previste all´art. 15 della legge 31 dicembre 1996, n. 675", ha consentito a coloro i quali non avevano adottato le misure minime entro il predetto termine del 29 marzo 2000 di beneficiare, seppure non in modo automatico, ma adempiendo a determinate prescrizioni, di un differimento del termine fino al 31 dicembre 2000. Tale differimento, non direttamente rilevante ai fini della responsabilità civile per danno derivante da mancata o inidonea adozione di misure di sicurezza, ha permesso di prorogare al 31 dicembre 2000 l´applicabilità delle previste sanzioni penali (art. 36, l. n. 675/1996). Per contribuire alla corretta applicazione della legge il Garante è intervenuto, con un provvedimento del 5 dicembre 2000 (in Bollettino n. 14/15, p. 19), precisando le modalità applicative per l´adozione del documento previsto dall´art. 1 della legge n. 325/2000 con un atto avente data certa.


60. PRIMI CASI APPLICATIVI
Il Garante nel corso dell´anno 2000 ha affrontato l´argomento delle misure minime di sicurezza in varie occasioni, sia rispondendo a quesiti, sia formulando pareri su gli atti cui è richiesta la consultazione dell´Autorità.

In un parere pronunciato su richiesta della Lega italiana per la lotta all´AIDS (LILA) (in Bollettino, n. 11/12, p. 7) ha ricordato che gli organismi sanitari sono tenuti al rispetto dei principi di correttezza e di pertinenza richiesti per il trattamento di dati sensibili da parte dei soggetti pubblici, e devono adottare specifiche cautele a tutela della riservatezza degli interessati. Tra queste assume carattere di priorità la separazione dei dati anagrafici da quelli sanitari e la cifratura delle informazioni contenute in elenchi o banche dati. Per quanto riguarda, invece, il regolamento sulle misure minime di sicurezza, l´Autorità ha precisato che esso impone l´adozione, da parte di chi utilizza i dati, di idonee cautele e  accorgimenti di tipo organizzativo e tecnico, allo scopo di evitare la distruzione, la perdita e l´uso illecito delle informazioni raccolte, elaborate e conservate. Il Garante ha richiamato, infine, l´attenzione sull´accesso ai dati "particolari" (sensibili e giudiziari) che richiede al titolare o, se designato, al responsabile del trattamento l´obbligo di rilasciare specifiche autorizzazioni agli incaricati del trattamento o della manutenzione dei dati sensibili o di carattere giudiziario. Il rispetto di questi principi dovrà essere ancora più accurato quando si trattano informazioni inerenti all´AIDS o all´infezione da HIV, dalla cui circolazione può derivare un grave pregiudizio per la vita privata e la dignità personale degli interessati.

L´Autorità garante, in un provvedimento del 28 febbraio 2000 (in Bollettino, n. 11/12, p. 9), ha fornito analoghe raccomandazioni agli uffici giudiziari, richiamando il rispetto dei principi di correttezza e di pertinenza in base ai quali possono essere trattati e diffusi i soli dati necessari al perseguimento delle finalità istituzionali, precisando altresì che, al fine di tutelare la sicurezza dei dati raccolti, ciascun ufficio giudiziario, come ogni altra amministrazione, è tenuto al rispetto del regolamento in materia di misure minime di sicurezza e all´adozione delle idonee cautele organizzative e tecniche in modo da ridurre al minimo i rischi di distruzione dei dati e di accessi non autorizzati.

Il Garante, inoltre, nell´esprimere il prescritto parere allo schema di d.P.R. concernente "Disposizioni relative all´uso di strumenti informatici e telematici nel processo civile" (v. Provv. del 4 ottobre 2000, in Bollettino, n. 14/15, p. 13) ha ravvisato la necessità che nello stesso venisse effettuato un espresso richiamo all´art. 15 della legge n. 675/1996 e al connesso d.P.R. n. 318/1999, in quanto il suddetto provvedimento è applicabile ai trattamenti di dati personali effettuati per ragioni di giustizia presso uffici giudiziari (art. 4, comma 2, l. n. 675/1996). Nel medesimo provvedimento il Garante ha richiamato la necessità di precisare che i dati personali acquisiti presso i difensori delle parti a seguito di accesso al sistema informatico civile o, comunque, di ricezione di atti e documenti per via telematica, siano utilizzati in modo lecito e corretto da parte dei vari soggetti che vi possono accedere (sostituti ausiliari, tirocinanti, praticanti, colleghi operanti presso studi associati, associazioni di professionisti; personale amministrativo, ecc.). In tale occasione il Garante ha ricordato di aver impartito in proposito alcune prescrizioni nell´autorizzazione generale n. 4/2000, rilasciata ai sensi dell´art. 22, l. n. 675/1996 in tema di trattamento dei dati sensibili da parte di liberi professionisti. Nuove regole potrebbero essere adottate in materia in occasione del varo del codice di deontologia per il trattamento di tutti i dati personali trattati a fini di indagine difensiva e di difesa di un diritto in sede giudiziaria, promosso dal Garante con provvedimento del 10 febbraio 2000 e attualmente in fase di predisposizione.

Da ultimo l´Autorità, in data 23 febbraio 2001 (v. parere, in Bollettino, n. 17, p. 32), nel rispondere ad un quesito posto da dipendenti di una società, ha chiarito che, ai sensi del regolamento sulle misure minime di sicurezza, non è possibile vietare ai propri dipendenti che devono utilizzare gli strumenti informatici servendosi di password loro singolarmente assegnate, l´autonoma modifica delle stesse. Il Garante ha infatti ricordato che la parola chiave per l´accesso ai dati personali deve essere autonomamente sostituibile ed ha suggerito anche modalità per la prevista comunicazione della sostituzione al soggetto preposto alla sua custodia.