Entro fine anno le società, i professionisti, le P.A. e in genere chiunque tratti dati personali, dovranno adeguare i loro archivi alle misure minime di sicurezza previste dal DPR 318/99 (entrato in vigore il 29 marzo). Per ottenere la proroga si dovrà predisporre, entro il 9 dicembre, un documento avente data certa indicante le motivazioni del ritardo e gli interventi già realizzati o da realizzare.
Ricordiamo che la mancata adozione delle misure minime di sicurezza comporta l’applicazione di sanzioni penali e quindi la legge in questione costituisce l’ultima possibilità per evitare tale eventualità, ma la proroga comporta un’attività tutt’altro che banale.
Data certa
Entro un mese dall’entrata in vigore della legge si dovrà documentare per iscritto le fasi di intervento. Venendo, quindi, a considerare il significato dell’espressione “documento avente data certa”, bisogna fare riferimento a quanto disposto dall’art. 2704 c.c. ed alle relative pronunce della Corte di Cassazione.
Per l’art. 2704 la data di una scrittura privata non autenticata non è certa se non:
- dal giorno in cui è stata registrata;
- dal giorno della morte o della impossibilità fisica di colui o di uno di coloro che l’hanno sottoscritta;
- dal giorno in cui il contenuto della scrittura è riprodotto in un atto pubblico;
- dal giorno in cui si verifica un altro fatto che stabilisca in modo egualmente certo l’anteriorità della formazione del documento.
In relazione all’ultimo punto, il più vago, viene da chiedersi quali possano essere queste forme alternative di certificazione della data. Anche se non viene espressamente menzionata dall’articolo, lo è sicuramente l’apposizione del timbro postale sul documento.
Numerose sentenze della Corte di Cassazione affermano questo principio ed in particolare la Sentenza Sez. III n. 186 del 11/01/1983 che, nella massima, recita: “Ai sensi dell’art. 2704 c.c., la certezza della data della scrittura privata, non autenticata e non registrata, può essere determinata, nei confronti dei terzi, anche indirettamente, con la prova di un fatto idoneo a stabilire in modo altrettanto sicuro l’anteriorità della formazione del documento, quale l’apposizione del bollo postale sul foglio contenente la scrittura medesima.”. Questa decisione è stata confermata in seguito da altre sentenze della Suprema Corte: la n. 8692 del 24/08/1990, la n. 6943 del 25/07/1997 e la n. 10873 del 01/10/1999.
Il contenuto del documento
Il Titolare del trattamento dovrà redigere un documento indicando:
- le particolari esigenze tecniche e organizzative che rendono necessario avvalersi di un termine più ampio di quello previsto dall’art. 43 L. 675/96 (e cioè il 29 marzo 2000);
- un’esposizione sintetica degli accorgimenti adottati o da adottare e degli elementi caratterizzanti il programma di adeguamento, nonché le singole fasi in cui quest’ultimo è ripartito;
- le linee-guida per l’attuazione delle misure minime di sicurezza (per evitare sanzioni penali), nonché delle misure idonee di sicurezza (più ampie ed atte ad evitare la responsabilità civile) previste dal comma 1 dell’art. 15 L. 675/96.
Il documento va conservato presso la sede del Titolare del trattamento e non va spedito all’Autorità Garante per la protezione dei dati personali. Così come non è necessaria un’ulteriore notificazione.
Chi non rediga il documento entro i termini stabiliti o lo rediga in modo incompleto non potrà beneficiare della proroga esponendosi all’applicazione della sanzione penale prevista dall’art. 36 L. 675/96 (da due mesi a due anni di reclusione).
La differenza tra chi ha adottato per tempo le misure minime di sicurezza e chi invece si adeguerà entro il 31 dicembre si basa su una maggiore onerosità per questi ultimi: i primi non hanno avuto bisogno di adottare linee-guida ulteriori ai principi minimi cosa invece obbligatoria, a pena della invalidità del documento, per i secondi.
Il documento che dovrà essere redatto porta con sé una specificità tipica del Documento Programmatico sulla Sicurezza (come previsto dall’art. 6 DPR 318/99): attraverso questo documento si analizzano i rischi e si attuano le adeguate politiche di sicurezza.
Possiamo dire che chi non si è adeguato entro il 29 marzo dovrà redigere un mini Documento Programmatico investendo figure professionali diverse (dal legale all’amministratore di Sistema, all’esperto in sicurezza).
L’adozione del Documento Programmatico sulla Sicurezza è obbligatorio nei casi di trattamento di dati sensibili effettuato con elaboratori accessibili mediante rete pubblica di telecomunicazioni (ad esempio Internet).
Sarebbe meglio, però, adottarlo in ogni caso, al fine di escludere la responsabilità civile ed anche perché obiettivamente risulta difficile adeguare le misure di sicurezza senza redigere un documento, che di fatto rappresenta il progetto dell'”edificio” Piano Privacy.
I tempi, quindi, sono stretti: meno di un mese per redigere il documento indicante le modalità con sui si intende operare e meno di due mesi per attuare tutte le indicazioni previste dal DPR 318/99.
Link:
Normativa aggiornata sulla Privacy
Legge 3 novembre 2000, n. 325
DPR 318/99
Legge 675/96
L'autore
Iscriviti alla newsletter
Novità, promozioni e approfondimenti per imparare sempre qualcosa di nuovo
