Testo
Il documento programmatico rientra tra le misure minime sulla sicurezza previste dallâallegato B) al Codice della Privacy.
Lâanalisi dei contenuti mostra che il nuovo DPS si è arricchito di elementi che si aggiungono a quelli già necessari in base alla precedente disciplina o ne specificano alcuni aspetti.
La norma di riferimento è lâart. 19 dellâallegato B) al Codice della Privacy, il quale si suddivide in otto sottoregole, secondo le quali il titolare di un trattamento di dati sensibili o di dati giudiziari redige anche, attraverso il responsabile, se designato, un documento programmatico sulla sicurezza contenente idonee informazioni in merito ai dati che seguono.
1) Lâelenco dei trattamenti di dati personali, ovvero di quelli effettuati dal titolare, direttamente o attraverso collaborazioni esterne, con lâindicazione della natura dei dati e della struttura interna od esterna operativamente preposta, nonché degli strumenti elettronici impiegati. Andranno, altresì, indicate le c.d. informazioni essenziali (descrizione sintetica e natura dei dati, struttura di riferimento per il trattamento, descrizione degli strumenti elettronici utilizzati), nonché tutti gli ulteriori elementi per descrivere gli strumenti, e quindi lâidentificativo del trattamento (quale ad esempio un codice per consentire una rapida individuazione del tipo di trattamento), la banca dati in cui sono contenuti i dati trattati.
2) La distribuzione dei compiti e delle responsabilità nellâambito delle strutture preposte al trattamento dei dati, descrivendo sinteticamente lâorganizzazione della struttura di riferimento, i compiti e le relative responsabilità (è possibile utilizzare anche provvedimenti, ordini di servizio, regolamenti interni, circolari).
3) Lâanalisi dei rischi che incombono sui dati, descrivendo anche i principali eventi potenzialmente dannosi per la sicurezza dei dati, valutandone le possibili conseguenze e la gravità in relazione al contesto fisicoâambientale di riferimento e agli strumenti elettronici utilizzati, elencando anche gli eventi che possono generare danni o rischi per la sicurezza dei dati (ad es. errori materiali, comportamenti sleali o fraudolenti, carenza di consapevolezza, disattenzione o incuria, virus informatici, eventi distruttivi naturali, guasti ai sistemi complementari).
4) Le misure da adottare per garantire lâintegrità e la disponibilità dei dati, nonché la protezione delle aree e dei locali, rilevanti ai fini della loro custodia ed accessibilità , descrivendo quindi quelle già adottate e quelle da adottare per contrastare i rischi individuati.
5) La descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento di cui al successivo punto 23 (dellâallegato in esame). Lâimportanza di queste attività deriva dallâeccezionalità delle situazioni in cui il ripristino ha luogo, è essenziale che, quando sono necessarie, le copie dei dati siano disponibili e che le procedure di reinstallazione siano efficaci. Pertanto, è opportuno descrivere sinteticamente anche i criteri e le procedure adottate per il salvataggio dei dati al fine di una corretta esecuzione del loro ripristino.
6) La previsione di interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività , delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare. La formazione è programmata già al momento dellâingresso in servizio, nonché in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati personali. E quindi dovranno indicarsi, nel Documento programmatico sulla sicurezza, le informazioni necessarie per individuare il quadro sintetico degli interventi formativi che si prevede di svolgere, le tipologie di incaricati interessati ed i tempi previsti per lo svolgimento dellâindicata attività .
7) La descrizione dei criteri da adottare per garantire lâadozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformità al codice, allâesterno della struttura del titolare, il soggetto cui sono eventualmente affidati tali compiti, con lâimpegno formale di questo a rispettare gli obblighi imposti dalla disciplina sulla privacy (pena la possibilità di incorrere in responsabilità civili di cui allâart. 15 Codice Privacy).
8) I dati personali idonei a rilevare lo stato di salute e la vita sessuale di cui al punto 24 (Allegato b), lâindividuazione dei criteri da adottare per la cifratura o per la separazione di tali dati dagli altri dati personali dellâinteressato. Questo punto riguarda, comunque, soltanto organismi sanitari ed esercenti professioni sanitarie (sempre regola 24).
Ulteriore problema che si pone, circa il documento programmatico sulla sicurezza, è quello della data della sua emanazione, che secondo il Garante deve essere âcertaâ. Il problema riguarda fondamentalmente i privati che potranno ricorrere a stratagemmi individuati dalla giurisprudenza (es. lâauto invio di lettera raccomandata), ma non anche gli enti pubblici che sono invece comunemente dotati di un sistema di formale protocollazione degli atti.
Inoltre nessun obbligo sussiste in capo al titolare del trattamento circa lâinvio del Documento Programmatico sulla Sicurezza al Garante della privacy. Lâeventuale comunicazione sarebbe totalmente priva di valore giuridico non potendo assumere qualifica di valutazione dellâadeguatezza delle misure adottate. Soltanto a seguito di una specifica richiesta del Garante il soggetto interessato sarà tenuto a trasmettere il documento.
