La proroga del Documento programmatico

di Giancarlo Barbon (Lidis.it) - Il Garante ha espresso un Parere che porta chiarezza su una questione importante per molti soggetti: i tempi del DPS. Rimangono però aperti degli interrogativi. Il quadro


Roma – Le aziende private e le amministrazioni pubbliche, che effettuano trattamenti di dati sensibili o giudiziari con strumenti elettronici, avranno tempo fino al 30 giugno 2004 per adottare le misure “minime” di sicurezza di cui al Nuovo Codice della Privacy (Decreto Legge 196/2003) e per redigere il Documento Programmatico in materia di Sicurezza (DPS). Lo ha chiarito il Garante della Privacy con Parere del 20 marzo 2004 (“Obblighi di Sicurezza e documento programmatico: al 30 giugno la redazione del “dps”).

La notizia, diffusa attraverso un comunicato del Garante , ha sciolto parte dei dubbi relativi all’applicazione del Nuovo codice sulla Privacy (D.Lgs. 196/2003), facendo tirare un sospiro di sollievo a chi, direttamente interessato, vedeva nel 31 marzo 2004 il termine ultimo per la redazione del Documento Programmatico sulla Sicurezza (DPS) e delle altre misure minime per la tutela dei dati personali, ed alimentando ulteriormente in rete il già vivace dibattito che ha fatto seguito all’introduzione del nuovo Testo Unico in materia di Privacy.

Dunque, un sospiro di sollievo e qualche preoccupazione in meno.
Ma le lacune e i lati oscuri della nuova normativa in materia di privacy permangono. E con essi la preoccupazione e l’esigenza di chiarezza da parte delle imprese interessate.

La notizia si è diffusa rapidamente in rete e subito si sono aperti dibattiti sulla “proroga” del termine disposta dal Garante per l’adozione delle misure minime di sicurezza e per la redazione del Documento Programmatico (DPS).

Ma è proprio corretto parlare di “proroga” del termine al 30 giugno 2004?
Per non lasciare nel disagio i soggetti direttamente interessati – e vistosamente preoccupati dall’adeguamento alle nuove disposizioni del Codice – è doveroso fare un po’ di chiarezza sulla questione.

Da un’attenta analisi delle disposizioni del Nuovo Codice sulla Privacy, risulta come quanto disposto dal Garante, con Parere del 20 marzo 2004, non costituisca per tutti i soggetti obbligati una “proroga” del termine per l’adozione delle misure “minime” sulla sicurezza e del Documento Programmatico sulla Sicurezza.
Difatti, il termine del 30 giugno 2004 è già indicato dal Codice della Privacy come termine ultimo per l’adozione di alcune misure minime di sicurezza.

Ma analizziamo il dato normativo.
L’art. 180 (Misure di sicurezza) del Capo II (Disposizioni transitorie) del Codice della Privacy precisa, al primo comma, che “le misure minime di sicurezza di cui agli art. 33 a 35 e all’allegato B che non erano previste dal decreto del Presidente della Repubblica 28 luglio 1999, n.318,sono adottate entro il 30 giugno 2004”.
La norma stabilisce, peraltro in modo piuttosto contorto, che le misure minime di sicurezza “diverse” da quelle previste dal d.P.R. 28 luglio 1999 n.318 devono essere adottate entro il 30 giugno 2004.

Il Garante della Privacy, nel testo del Parere in discussione, precisa che tale termine riguarda solo le “nuove misure” minime di sicurezza. Di qui la questione: la redazione del Documento Programmatico sulla Sicurezza rientra tra le nuove misure minime di sicurezza e soggiace al termine di cui all’art. 180 del Codice della Privacy (30 giugno 2004) o rientra tra le misure di sicurezza già previste nel d.P.R. 28 luglio 1999 n.318, soggiacendo al termine del 31 marzo 2004? La redazione del DPS non rientra tra le misure di sicurezza già previste nel d.P.R. 28 luglio 1999 n.318?

Il Garante risolve la questione precisandola, non senza difficoltà, nello stesso Parere del 20 marzo.
Sebbene la redazione del DPS rientri tra le misure di sicurezza già previste nel d.P.R. 28 luglio 1999 n.318, e dunque – argomenta il Garante – non rientri a rigore tra le misure “nuove”, “è tuttavia legittimamente sostenibile che il DPS da redigere quest’anno per la prima volta, o da aggiornare, possa essere predisposto al più tardi entro l 30 giugno 2004, anziché necessariamente entro il 31 marzo”.

Conclude il Garante disponendo che il documento programmatico sulla sicurezza può essere predisposto “al più tardi entro il 30 giugno 2004 anche da parte di chi “già dotato di un DPS redatto o aggiornato nel 2003, ritenga necessario utilizzare un trimestre in più, rispetto al prossimo 31 marzo, per curare la stesura di un testo significativo e più impegnativo nella ricognizione dei rischi e degli interventi previsti”.

A quanto argomentato dal Garante nel Parere del 20 marzo 2004 aggiungiamo le seguenti considerazioni:
– il d.P.R. 28 luglio 1999 n.318 prevedeva l’obbligo di predisporre il Documento Programmatico sulla Sicurezza (DPS) solo nel caso di trattamento di dati sensibili o relativi a determinati provvedimenti giudiziari effettuato mediante “elaboratori accessibili mediante una rete di telecomunicazioni disponibile al pubblico”.
Pertanto si può a ragione sostenere che, per i soggetti che trattano dati sensibili o giudiziari con elaboratori non accessibili mediante una rete di telecomunicazioni disponibili al pubblico, il DPS costituisca una misura “diversa” da quelle previste dal d.P.R. 28 luglio 1999 n.318: ciò legittima l’individuazione del termine ultimo per l’adozione di tale misura al 30 giugno 2004.

Per concludere:

Il Codice all’art. 180 concede un termine più ampio (30 giugno 2004) a chi si imbatte per la prima volta nella stesura del Documento Programmatico sulla Sicurezza.

Il Garante, con il Parere del 20 marzo, concede a sua volta un trimestre in più, rispetto al termine del 31 marzo 2004, a “chi, già dotato di un DPS redatto o aggiornato nel 2003… debba curare la stesura di un testo significativo e più impegnativo nella ricognizione dei rischi e degli interventi previsti”.

Solo in questo secondo caso è corretto parlare di “proroga” del termine per l’adozione del Documento Programmatico sulla Sicurezza. Ma qui si apre un’altra drammatica questione: può un Parere di un Garante prorogare un termine disposto da un Decreto Legislativo?

Fare chiarezza sulle diverse questioni sollevate sul tema non è certo cosa di poco conto, considerando, tra l’altro, che il Codice prevede, per omessa adozione del DPS (o di altra misura minima di sicurezza), l’arresto sino a due anni o l’ammenda da 10.000 euro a 50.000 euro.

Avv. Giancarlo Barbon
Studio Legale Sarzana & Partners
www.lidis.it

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • Tony Sarnano scrive:
    Servirebbero risorse, e invece...
    Scrive L. Assenti nella risposta alla lettera:
    La speranza, evidentemente, è quella di un
    rafforzamento della struttura. Ciò, però, richiede
    risorse pubbliche ed è necessario, per ottenerle,
    che chi le gestisce sia d'accordo.Purtroppo temo che attualmente chi gestisce le risorse pubbliche, sia più propenso ad impiegare quel poco in provvedimenti Grande Fratello et similia.Insomma, sono più attenti a fare in modo che internet "non sia una zona franca" (vedi ministro Stanca), a criminalizzare il P2P (vedi ministro Urbani/Di Benedetto) piuttosto che a tutelare i diritti dell'utente e a dare retta alle prediche nel vuoto del buon Rodotà che, temo, il nostro governo considera ormai alla stregua di un vecchio e noioso brontolone.
  • Anonimo scrive:
    Re: Se garanti e authorities...
    semplice, se becchi che la societa e' italiana, non aspettare la giustizia. fattela. vai li , gli fai conto che ti sei scocciato dellle mail e con una bella mazza da baseball.. ehm no no .. mandagli la finanza. e sorridi :D-fra-
  • Anonimo scrive:
    Il Diritto
    Il diritto in Italia non esiste più da anni ormai, anche se il suo fantasma viene visto nelle aule giudiziarie di tanto in tanto.Cesco
  • Anonimo scrive:
    tutto a posto
    .... quindi tutto da ridere!Come al solito.
  • Bruco scrive:
    per trovare i fondi
    Si potrebbe fare in modo che a ogni violazione accertata e sanzionata l'ufficio del garante riceva una percentuale (per il tempo per istruire la pratica) o (se è troppo brutto dire così) che la multa sia da pagare sia nei confronti del danneggiato che del garante per la privacy.Ovviamente, con annesso inasprimento delle sanzioni.
  • Anonimo scrive:
    Se garanti e authorities...
    ... hanno tempi degni della giustizia ordinaria, tanto varrebbe far assorbire le loro competenze strutture e fondi dalla giustizia ordinaria.
Chiudi i commenti