Garante per la protezione
    dei dati personali


Comunicato Stampa

ENTRO IL 29 MARZO TUTTA LA P.A. E I PRIVATI DOVRANNO ADOTTARE LE MISURE MINIME PREVISTE DAL REGOLAMENTO DEL GOVERNO SULLA SICUREZZA DEI DATI PERSONALI

Entro il 29 marzo del 2000 tutte le pubbliche amministrazioni, nessuna esclusa, e i soggetti privati che nell'ambito della propria attività pongano in essere trattamenti di dati personali dovranno adottare le misure minime di sicurezza dal Governo con il regolamento n. 318/1999.

Con un provvedimento approvato il 29 febbraio il Garante ha inteso richiamare l'attenzione degli operatori sull'imminente scadenza del termine a partire dal quale tali misure diventeranno obbligatorie e cioè sei mesi dopo l'entrata in vigore (29 settembre 1999) del citato regolamento, così come previsto dalla legge n. 675/1996.

Si tratta di una serie di adempimenti da attuare per poter trattare i dati. La loro necessità è sottolineata dalla previsione delle sanzioni penali della legge n. 675/1996 che si applicano pure nei casi di colpa, qualora non siano rispettati, anche in parte, gli standard previsti dal Dpr n. 318/1999. Quest'ultimo prevede, tra l'altro, per i trattamenti informatizzati, l'identificazione dell'utente, l'autorizzazione all'accesso alle funzioni, la registrazione degli ingressi e l'inserimento di una password che inibisca l'accesso al sistema o ai dati contenuti negli elaboratori stabilmente accessibili da altri elaboratori.

Il regolamento prevede anche l'individuazione di figure nuove come quella dell'amministratore di sistema che sovrintende alla gestione della base dati. Per quanto riguarda poi i dati sensibili (convinzioni religiose, appartenenze politiche, vita sessuale, informazioni sulla salute etc.) trattati da "elaboratori accessibili mediante una rete di telecomunicazioni disponibili al pubblico", è necessario predisporre un documento programmatico sulla sicurezza da aggiornare con cadenza annuale. Nel caso di trattamenti riguardanti archivi di tipo cartaceo, invece, o effettuati con strumenti automatizzati diversi da quelli elettronici, il regolamento stabilisce, tra l'altro, la designazione per iscritto degli incaricati abilitati ad accedere all'archivio e, qualora si tratti di dati sensibili, anche l'obbligo di conservare le informazioni in contenitori muniti di serratura.

Tali misure, che certamente comportano una attenzione e un impegno particolari, si inseriscono nella cornice più ampia delle cautele previste dalla legge sulla privacy per ridurre il rischio di distruzione o perdita, anche accidentale, dei dati personali, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta: situazioni rispetto alle quali vige un più generale obbligo di adottare ulteriori misure, oltre quelle minime, per garantire una costante riduzione del rischio attraverso l'applicazione di accorgimenti di tipo organizzativo e tecnico la cui mancata predisposizione comporta l'obbligo del risarcimento del danno in sede civile.

Il regolamento sulle misure minime di sicurezza, evidenzia il Garante, ha gettato le basi per una più articolata disciplina della sicurezza nell'attività informatica e telematica la cui importanza emerge, tra l'altro, dalla circostanza che le disposizioni vigenti in tale ambito si applicano anche ai trattamenti pubblici in materia di polizia, giustizia, difesa e sicurezza dello Stato.
L'applicazione delle nuove norme è tesa, pertanto, a favorire un'ulteriore diffusione di quella cultura della sicurezza già presente, peraltro, in diversi settori del mondo privato.

Va ricordato, infine, che il Garante ha modificato il modello di notificazione per evitare che i soggetti che hanno adottato le misure minime previste dal Dpr n. 318/1999 debbano a loro volta modificare le precedenti notifiche presentate all'autorità.

29.2.2000