Gli adempimenti previsti dal D. Lg.vo 196/2003

 

a cura dello Studio Sirotti Gaudenzi

www.studiosirottigaudenzi.it

 

 

 

Il decreto legge 273/2005, pubblicato sulla Gazzetta Ufficiale del 30 dicembre 2005, ha disposto la proroga al 31 marzo 2006 del termine entro cui adottare il Documento Programmatico sulla Sicurezza (D.P.S.).

Pertanto, entro quella data ogni titolare di un trattamento di dati sensibili o giudiziari effettuato con strumenti elettronici è tenuto a redigere il D.P.S.

Ogni altra misura minima doveva essere già adottata nei termini indicati dal D. Lgs. 196/2003 (“Codice per la protezione dei dati personali”).

Gli studi legali non sono sottratti all’obbligo di redigere il D.P.S., che peraltro costituisce l’adozione di una misura minima di sicurezza, previsto dagli artt. 33 e ss. del D. Lgs. 196/2003.

Si ricorda che l’omissione delle misure minime di sicurezza è punita dall’art. 33 del D Lgs. 196/2003 con l’arresto sino a due anni o con l’ammenda da diecimila euro a cinquantamila euro.

Il D.P.S. dovrà descrivere lo stato della sicurezza dello studio, indicando –tra le altre cose- la distribuzione dei compiti e delle responsabilità nell’ambito delle strutture preposte al trattamento dei dati.

 

N.B.: Anche gli studi professionali “unipersonali” debbono adottare il D.P.S.

Solo gli studi che trattino dati sensibili o giudiziari con strumenti diversi da quelli elettronici sono esclusi dall’obbligo dalla redazione del documento.

Si raccomanda di fornire data certa al D.P.S.

 

 

 

Brevi note sul decreto legislativo 196/03 ("Codice in materia di protezione dei dati personali”)

- OBBLIGHI DEGLI AVVOCATI -

 

Notificazione – In capo all’avvocato non vi è alcun obbligo di notifica del trattamento dei dati personali al Garante (peraltro, tale notifica –da effettuarsi in via esclusivamente telematica- non comporta l’utilizzo di alcuna forma elettronica avanzata). Neppure si può affermare che l’avvocato debba effettuare tale notifica con riferimento al trattamento di dati personali c.d. sensibili, in considerazione della reiterazione dell’autorizzazione generale (Garante Privacy, deliberazione 24.06.2003, G.U. 19.08.2003). Come noto, anche senza effettuare alcuna notifica al Garante, l'avvocato può trattare i dati giudiziari idonei a rivelare provvedimenti di cui all’art. 3, comma 1, lettere da a) ad o) e da r) a u) del D.P.R. 14 novembre 2002, n. 313 (si veda: G. Riem, Privacy e sicurezza, Simone, 2003).

 

Consenso e informativa - Il consenso al trattamento dei dati personali (a prescindere dal fatto che siano “semplici” o “sensibili”) deve essere sempre acquisito dal Cliente (ovviamente, in forma scritta ai sensi degli artt. 23 e segg. del Codice). Ai sensi dell’art. 13 del Codice, dev’essere sempre formita l’informativa.

 

Misure di sicurezza – L’avvocato è soggetto all'adozione delle misure di sicurezza previste oggi dall'art. 33 e segg. del Codice. Peraltro, non si può dimenticare come tale obbligo fosse già sancito precedentemente dall'art. 15 della l. 675/96 e dal Dpr 318/99 (sia consentito a tal proposito rinviare a: A. Sirotti Gaudenzi, Trattato breve di diritto della rete, Maggioli, 2001). In effetti, l’adozione delle misure minime di sicurezza doveva essere completata dagli avvocati, esercenti al tempo la libera professione, già alla data del 29 marzo 2000 …

L’art. 169 dispone che «chiunque, essendovi tenuto, omette di adottare le misure minime previste dall'articolo 33 è punito con l’arresto sino a due anni o con l'ammenda da diecimila euro a cinquantamila euro». Peraltro, «all'autore del reato, all'atto dell'accertamento o, nei casi complessi, anche con successivo atto del Garante, è impartita una prescrizione fissando un termine per la regolarizzazione non eccedente il periodo di tempo tecnicamente necessario, prorogabile in caso di particolare complessità o per l'oggettiva difficoltà dell’adempimento e comunque non superiore a sei mesi. Nei sessanta giorni successivi allo scadere del termine, se risulta l’adempimento alla prescrizione, l'autore del reato è ammesso dal Garante a pagare una somma pari al quarto del massimo dell'ammenda stabilita per la contravvenzione. L'adempimento e il pagamento estinguono il reato. L'organo che impartisce la prescrizione e il pubblico ministero provvedono nei modi di cui agli articoli 21, 22, 23 e 24 del decreto legislativo 19 dicembre 1994, n. 758, e successive modificazioni, in quanto applicabili».

 

L’art. 180 del Codice stabilisce che «le misure minime di sicurezza di cui agli articoli 33 e 35 e all'allegato B (disciplinare tecnico in materia di misure minime di sicurezza) che non erano previste dal decreto del Presidente della Repubblica del 28 luglio 1999, n. 318, sono adottate entro il 31 marzo 2006».

 

Tale attività dovrà essere reiterata entro il 31 marzo di ogni anno.

Infatti, entro quella data, il titolare di un trattamento effettuato con strumenti elettronici di dati sensibili o di dati giudiziari redige anche attraverso il responsabile, se designato, un Documento Programmatico sulla Sicurezza contenente idonee informazioni riguardo:

«19.1. l’elenco dei trattamenti di dati personali;

19.2. la distribuzione dei compiti e delle responsabilità nell'ambito delle strutture preposte al trattamento dei dati;

19.3. l’analisi dei rischi che incombono sui dati;

19.4. le misure da adottare per garantire l'integrità e la disponibilità dei dati, nonchè la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità;

19.5. la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento di cui al successivo punto 23;

19.6. la previsione di interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare. La formazione e' programmata già al momento dell'ingresso in servizio, nonchè in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati personali;

19.7. la descrizione dei criteri da adottare per garantire l'adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformità al codice, all'esterno della struttura del titolare;

19.8. per i dati personali idonei a rivelare lo stato di salute e la vita sessuale di cui al punto 24, l'individuazione dei criteri da adottare per la cifratura o per la separazione di tali dati dagli altri dati personali dell'interessato».

Ulteriori misure sono peraltro previste in tema di trattamento di dati sensibili e giudiziari.

 

Inoltre, l’allegato B prevede una serie di adempimenti da porre in essere in relazione ai trattamenti effettuati senza l'ausilio di strumenti elettronici:

«27. Agli incaricati sono impartite istruzioni scritte finalizzate al controllo ed alla custodia, per l'intero ciclo necessario allo svolgimento delle operazioni di trattamento, degli atti e dei documenti contenenti dati personali. Nell'ambito dell'aggiornamento periodico con cadenza almeno annuale dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati, la lista degli incaricati può essere redatta anche per classi omogenee di incarico e dei relativi profili di autorizzazione.

28. Quando gli atti e i documenti contenenti dati personali sensibili o giudiziari sono affidati agli incaricati del trattamento per lo svolgimento dei relativi compiti, i medesimi atti e documenti sono controllati e custoditi dagli incaricati fino alla restituzione in maniera che ad essi non accedano persone prive di autorizzazione, e sono restituiti al termine delle operazioni affidate.

29. L’accesso agli archivi contenenti dati sensibili o giudiziari è controllato. Le persone ammesse, a qualunque titolo, dopo l'orario di chiusura, sono identificate e registrate. Quando gli archivi non sono dotati di strumenti elettronici per il controllo degli accessi o di incaricati della vigilanza, le persone che vi accedono sono preventivamente autorizzate».

 

Ulteriori scadenze periodiche indicate dall'allegato B) – Sulla base di un elenco predisposto dal professor Glauco Riem per l’Unione triveneta dei Consigli degli Ordini degli Avvocati, i colleghi debbono osservare altre scadenze:

- aggiornamento almeno annuale relativa alla «individuazione dell'ambito di trattamento consentito ai singoli incaricati» (15 All. B);

- aggiornamento almeno semestrale degli «strumenti elettronici» attivati per la protezione contro il «rischio di intrusione» e di «azione di programmi di cui all'art. 615 quinquies del c.p.» (16 All. B);

- aggiornamento almeno annuale dei «programmi per elaboratore volti a prevenire la vulnerabilità degli strumenti elettronici». L'aggiornamento è almeno semestrale qualora si trattino dati sensibili o giudiziari (17 All. B);

- a cadenza settimanale deve essere eseguito invece il «salvataggio dei dati» sugli strumenti elettronici tramite back up e restore dei dati (18 All. B).

 

                         

 


Torna alla Home Page