Garante per la protezione
    dei dati personali


Con riguardo agli atti previsti dal regolamento disciplinante le misure minime di sicurezza, come ad esempio il documento programmatico sulla sicurezza o la designazione dei responsabili e degli incaricati del trattamento, questi devono essere esibiti all'Autorità solo a seguito di una eventuale e specifica richiesta in sede di ispezione o di controllo.

GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, con la partecipazione del prof. Stefano Rodotà, presidente, del prof. Giuseppe Santaniello, vice-presidente, del prof. Ugo De Siervo e dell'ing. Claudio Manganelli, componenti e del dott. Giovanni Buttarelli, segretario generale;

Viste le note pervenute all'Ufficio da parte di diversi soggetti pubblici e privati in tema di misure minime di sicurezza del trattamento dei dati;

Visti gli articoli 15 e 41, commi 3 e 4, della legge 31 dicembre 1996, n. 675;

Visto il d.P.R. 28 luglio 1999, n. 318, recante norme per la individuazione delle misure minime di sicurezza per il trattamento dei dati personali;

Vista la documentazione in atti;

Viste le osservazioni dell'Ufficio formulate dal segretario generale ai sensi dell'art. 7, comma 2, lett. a), del d.P.R. 31 marzo 1998, n. 501;

Relatore il prof. Giuseppe Santaniello;

PREMESSO

Con provvedimento del 29 febbraio 1999 (rinvenibile anche in rete sul sito del Garante: www.garanteprivacy.it), questa Autorità ha richiamato l'attenzione dei soggetti pubblici e privati sulle prescrizioni contenute nel d.P.R. n. 318/1999 e sulle connesse sanzioni, nonché sulla scadenza del 29 marzo 2000 prevista per adottare le misure minime di sicurezza introdotte dal medesimo d.P.R. e previste dall'art. 15 della legge n. 675/1996.

In Parlamento è pendente un disegno di legge già approvato dal Senato della Repubblica il 16 marzo 2000 (A.C. 6885/C), che contiene alcune modifiche in materia, finalizzate a prevedere un termine più ampio per adeguare i trattamenti di dati alle prescrizioni del citato d.P.R.

In riferimento alla decorsa scadenza del 29 marzo, nonché alle notizie di stampa relative al citato disegno di legge, sono pervenute all'Ufficio, da parte di vari soggetti pubblici e privati, numerose comunicazioni relative alle iniziative intraprese per adottare le misure minime di sicurezza.

Alcune comunicazioni recano dichiarazioni di semplice assicurazione circa l'avvenuto adeguamento alle prescrizioni del regolamento sopra citato. Altre, invece, contengono in allegato alcuni elementi di valutazione quali il documento programmatico sulla sicurezza (art. 6, d.P.R. n. 318) o l'atto di designazione dei responsabili e degli incaricati del trattamento (artt. 8 e 19, legge n. 675).

In considerazione dell'ingente numero di comunicazioni pervenute, questa Autorità reputa opportuno sottolineare che non sussiste alcun obbligo di comunicazione al Garante delle determinazioni adottate in attuazione del d.P.R. n. 318, se non a seguito di una eventuale e specifica richiesta da parte dell'Autorità ai sensi dell'art. 32, comma 1, della legge n. 675. Tale obbligo non è ipotizzato neanche nel disegno di legge attualmente all'esame del Parlamento.

Al contrario, con ulteriore provvedimento del Garante adottato anch'esso il 29 febbraio 2000 (parimenti rinvenibile al citato indirizzo web), l'adozione delle misure previste con l'entrata in vigore del d.P.R. n. 318 non comporta la necessità, per i titolari dei trattamenti di dati, di modificare la notificazione eventualmente effettuata prima del 29 marzo 2000 ai sensi degli artt. 7, 16 o 28 della legge n. 675.

Il Garante prende comunque atto delle note pervenute, rilevando che la loro trasmissione, oltre ad essere superflua, non innesta un procedimento amministrativo di valutazione dell'adeguatezza delle misure di sicurezza di cui viene data comunicazione.

L'esame della congruità di tali misure non può del resto basarsi solo su un documento riassuntivo, ma presuppone la dettagliata conoscenza di concreti elementi relativi ai singoli trattamenti in essere, nonché ai sistemi informativi utilizzati dal loro titolare e ai dati personali trattati. Solo in tal modo, è infatti possibile comprendere quali specifiche misure, tra quelle prescritte dal d.P.R. n. 318, debbano essere in concreto adottate da ciascun titolare.

Queste considerazioni valgono in modo particolare per quanto riguarda il documento programmatico sulla sicurezza, che non si esaurisce in una mera dichiarazione di intenzioni, oppure in una previsione puramente formale di ipotetici rischi, ma presuppone una valutazione analitica dei vari aspetti indicati dall'art. 6 del d.P.R.

Il Garante coglie peraltro l'occasione per ricordare nuovamente che il d.P.R. non contiene tutte le regole tecniche da adottare in qualunque contesto ai fini della sicurezza dei dati personali, ma individua unicamente i soli requisiti minimi il cui mancato rispetto comporta una maggiore esposizione al rischio del bene giuridico e alla cui mancata osservanza è quindi collegata anche una sanzione di carattere penale (art. 36 legge n. 675). La legge n. 675 prescrive infatti l'adozione non solo delle misure minime di cui al citato regolamento, ma anche di quelle di cui all'art. 15, comma 1, della medesima legge, che obbliga a custodire e a controllare i dati sulla base di più ampie ed idonee misure di protezione dei dati, la cui mancata predisposizione è rilevante anche ai fini della responsabilità civile per gli eventuali danni cagionati (art. 18, legge n. 675).

E' in conclusione opportuno che sia trasmessa copia del presente provvedimento ai singoli titolari di trattamento che hanno inviato al Garante le citate comunicazioni.

Il Garante si riserva di adottare a breve termine un ulteriore provvedimento anche ai sensi dell'art. 31, comma 1, lett. i) della legge n. 675/1996, recante suggerimenti o chiarimenti circa l'adozione delle misure previste dal d.P.R. n. 318/1999, in modo da favorire la piena e corretta attuazione di tale regolamento.

TUTTO CIÒ PREMESSO, IL GARANTE:

prende atto delle comunicazioni pervenute all'Ufficio in materia di misure di sicurezza, nei termini di cui in motivazione.

Roma, li 29 maggio 2000

IL PRESIDENTE
IL RELATORE
IL SEGRETARIO GENERALE