Lunedì 2 gennaio 2006

PROROGA PRIVACY AL 31 MARZO 2006

a cura di: Studio Valter Franco

Art. 10 del D.L. 30.12.2005 N. 273
su G.U. 303 del 30.12.2005

Le disposizioni sulla proroga pag. 2
Riscritto l’articolo 180 del Codice pag. 3
La proroga delle misure di sicurezza pag. 4
La proroga per l’attuazione delle misure minime di sicurezza pag. 4
Esemplificazione di ciò che è stato prorogato e di ciò che non è stato prorogato (commercialisti, consulenti del lavoro, aziende con elaborazione interna od esterna di paghe) pag. 5-6-7
Il documento programmatico sulla sicurezza pag. 8
Misure “elettroniche” (antivirus –firewall – passwords – patches ) pag. 9-10

Le disposizioni sulla proroga - le proroghe precedenti

La proroga del D.L. 266/2004
L’articolo 6 del D.L. 9 novembre 2004 n. 266 pubblicato sulla G.U. 264 del 10.11.2004 differisce ulteriormente i termini previsti dal Dlgs. 196/2003 in materia di misure di sicurezza dei dati personali.

Il testo del predetto articolo 6 testualmente recita:

Art. 6. - Trattamento di dati personali

  1. All'articolo 180 del decreto legislativo 30 giugno 2003, n. 196, sono apportate le seguenti modifiche:

    a) al comma 1, le parole: «31 dicembre 2004» sono sostituite dalle seguenti: «30 giugno 2005»;
    b) al comma 3, le parole: «31 marzo 2005» sono sostituite dalle seguenti: «30 settembre 2005».


La proroga in sede di conversione del DL. 314/2004 – legge 1.3.2005 n. 26

In sede di conversione in Legge del D.L. 30.12.2004 n. 314, la Camera dei Deputati ha aggiunto l’articolo 6 bis al provvedimento, come segue:

Articolo 6-bis. (Misure di sicurezza nel trattamento dei dati personali)

  1. All’articolo 180 del decreto legislativo 30 giugno 2003, n. 196, e successive modificazioni, sono apportate le seguenti modificazioni:

    a) al comma 1, le parole: «30 giugno 2005» sono sostituite dalle seguenti: «31 dicembre 2005»;
    b) al comma 3, le parole: «30 settembre 2005» sono sostituite dalle seguenti: «31 marzo 2006».

Il provvedimento è stato approvato definitivamente dal senato nella seduta 751^ seduta pomeridiana dell’ 1.3.2005 – Legge 1.3.2005 n. 26 pubblicata sulla G.U. n. 50 del 2.3.2005.

L’ennesima proroga 10 del D.L. 30.12.2005 N. 273 su G.U. 303 30.12.2005

L’ articolo 10 del D.L. 30.12.2005 n. 273 va a modificare le disposizioni di cui all’articolo 180 del Dlgs. 196/2003; detto articolo 10 testualmente dispone

testo dell’ art. 10 del D.L. 30.12.2005 N. 273 su G.U. 303 del 320.12.2005
Garanzie di sicurezza nel trattamento dei dati personali

  1. Al codice in materia di protezione dei dati personali, di cui al decreto legislativo 30 giugno 2003, n. 196, e successive modificazioni, sono apportate le seguenti modifiche:

    a) all'articolo 180:

    1) al comma 1 le parole: «31 dicembre 2005» sono sostituite dalle seguenti: «31 marzo 2006»;
    2) al comma 3 le parole: «31 marzo 2006» sono sostituite dalle seguenti: «30 giugno 2006»;

    b) all'articolo 181, comma 1, lettera a), le parole: «31 dicembre 2005» sono sostituite dalle seguenti: «28 febbraio 2006».

Art. 180 (Misure di sicurezza)

1. Le misure minime di sicurezza di cui agli articoli da 33 a 35 e all’allegato B) che non erano previste dal decreto del Presidente della Repubblica 28 luglio 1999, n. 318, sono adottate entro il 30 giugno 2004.30 giugno 2005 31 dicembre 2005 31 marzo 2006.
2. Il titolare che alla data di entrata in vigore del presente codice dispone di strumenti elettronici che, per obiettive ragioni tecniche, non consentono in tutto o in parte l’immediata applicazione delle misure minime di cui all’articolo 34 e delle corrispondenti modalità tecniche di cui all’allegato
B), descrive le medesime ragioni in un documento a data certa da conservare presso la propria struttura.
3. Nel caso di cui al comma 2, il titolare adotta ogni possibile misura di sicurezza in relazione agli strumenti elettronici detenuti in modo da evitare, anche sulla base di idonee misure organizzative, logistiche o procedurali, un incremento dei rischi di cui all’articolo 31, adeguando i medesimi strumenti al più tardi entro un anno dall’entrata in vigore del codice – 30 giugno 2006

(Nota: termine prorogato al 31 marzo 2005 dall’articolo 3 del D.L. 24.6.2004 N. 158 termine prorogato al 30 settembre 2005 dal DL 266/2004 – termine del 31 marzo 2006 in sede di conversione del DL. 314/2004)

In merito non possiamo che ribadire quanto abbiamo già avuto modo di indicare relativamente ai precedenti provvedimenti di proroga.

La proroga delle misure di sicurezza

L’abitudine è definire “misure di sicurezza” quelle tecniche e quelle relative alle procedure di salvataggio dei dati etc., ma occorre osservare che l’articolo 34 del Codice, inserito nel capo II “misure minime di sicurezza”, definisce misura minima - comma 1 lettera e – “la tenuta di un aggiornato documento programmatico sulla sicurezza”.
Nel caso di elaboratori in rete con trattamento di dati sensibili già l’articolo 6 del D.P.R. 318/99 prevedeva l’obbligo di redigere il DPS e di aggiornarlo annualmente (si veda in proposito il parere del Garante del 22 marzo 2004 che definisce il DPS una misura “non nuova”), così come lo stesso DPR prevedeva l’obbligo di dotazione di un sistema antivirus, così come l’articolo 8 dell’abrogata Legge 675/1996 prevedeva l’obbligo di individuare per iscritto gli obblighi dell’eventuale nominato responsabile per il trattamento, così come l’articolo 19 della Legge 675/1996 prevedeva l’obbligo di designazione scritta degli incaricati del trattamento.

La proroga per l’attuazione delle misure minime di sicurezza
A seguito dei vari provvedimenti di proroga il termine per adempiere alle disposizioni di cui al terzo comma dell’articolo 180 del Dlgs. 196/2003 è ora fissato al 30 giugno 2006; detto comma prevede il termine per l’adeguamento degli strumenti informatici che non consentono l’attuazione delle misure di sicurezza, si ribadisce, al 30 giugno 2006.
Si tratta, ad esempio, dei sistemi operativi “Windows ‘95” relativamente ai quali la casa produttrice non rilascia le patches di aggiornamento (punto 17 del disciplinare tecnico allegato B che prevede l’aggiornamento annuale, semestrale nel caso di trattamento di dati sensibili).
Per le altre misure di sicurezza si richiama quanto espresso dal Garante nel parere 22 marzo 2004 “le misure minime che erano già obbligatorie in passato devono essere adottate ancora oggi senza attendere il decorso di termini transitori”.

ESEMPLIFICAZIONE SU COS’E’ PROROGATO E COSA NON E’ PROROGATO

Dopo l’emanazione della Legge 675/1996 e del D.P.R. 318/1999 abbiamo assistito ad un periodo di “rilassamento” da parte di imprese e professionisti in tema di assolvimento degli obblighi di cui alle citate disposizioni.
Con i provvedimenti di proroga si ritiene – erroneamente - che l’intera questione degli adempimenti privacy sia oggetto di proroga: ciò è fondamentalmente errato, come cercheremo di illustrare negli appunti che seguono.

ESEMPLIFICAZIONE

studio di commercialista: trattamento di dati sensibili trattati in forma elettronica per l’opzione dell’otto per mille gestiti con una rete di computers.
oppure
studio di consulente del lavoro: trattamento di dati sensibili dei dipendenti dei clienti (malattia, infortunio, etc. sottolineando che il punto 4 dell’autorizzazione generale n. 1/2004 del 30.6.2004 del Garante prevede espressamente che siano da considerarsi dati sensibili quelli “ comunque relativi anche all'indicazione della malattia come specifica causa di assenza del lavoratore” ) anche in questo caso gestiti con una rete di personal computers
oppure
azienda “paghe” (commerciale od industriale, con esclusione di poliambulatori, case di cura, pensionati etc.) che elaborava le buste paga dei propri dipendenti all’interno con una rete di personal computers (con trattamento quindi di dati sensibili)
oppure
azienda “no paghe”
(commerciale od industriale, con esclusione di poliambulatori, case di cura, pensionati etc.) che riceveva i documenti anche sensibili dei propri dipendenti in forma cartacea e che si avvaleva di un soggetto esterno per l’elaborazione delle buste paga in forma elettronica

cosa doveva intendersi per una “rete di computers”

il segretario del Garante – vedasi Il Sole 24 Ore del 2.12.1999 pag. 24 - aveva precisato per rete accessibile si intendeva anche quella dedicata che però viaggia con modalità pubbliche, per esempio una rete aziendale accessibile solo ai dipendenti che per i collegamenti utilizza le normali reti telefoniche e che, quindi, è potenzialmente accessibile al pubblico.

Quali obblighi avevano le quattro casistiche di cui sopra antecedentemente al Dlgs. 196/2003 ?

L’ articolo 6 del DPR 318 prevedeva la redazione obbligatoria del documento programmatico sulla sicurezza nel caso ricorressero entrambe le seguenti condizioni:

  • Fosse impiegato un elaboratore accessibile mediante una rete di telecomunicazioni disponibile al pubblico (per la definizione di rete vedasi quanto prima detto)
  • Il trattamento doveva riguardare dati di cui all’articolo 22 e 24 della Legge e cioè dati sensibili o giudiziari.

Quindi i soggetti nell’esemplificazione di cui sopra dovevano aver attuato le seguenti misure ed i seguenti adempimenti:
relativamente ai dati dei dipendenti

  • informativa all’interessato e richiesta di consenso per il trattamento di dati sensibili – obbligatorio in vigenza della legge 675/1996 – articolo 22 comma 1 –
    quindi
  • il commercialista poteva trattare i dati relativi all’otto per mille dei clienti previa informativa e consenso scritto del cliente
  • il commercialista poteva trattare i dati dei propri dipendenti – che comportano il trattamento dei dati sensibili – previa informativa e consenso scritto dell’interessato
  • il consulente del lavoro poteva trattare i dati dei propri dipendenti - che comportano il trattamento di dati sensibili – previo consenso scritto dell’interessato
  • l’azienda “paghe” poteva trattare i dati dei propri dipendenti - che comportano il trattamento di dati sensibili – previo consenso scritto dell’interessato
  • l’azienda “no paghe” poteva trattare i dati dei propri dipendenti - che comportano il trattamento di dati sensibili – previo consenso scritto dell’interessato
  • l’azienda “no paghe” doveva nominare quale responsabile del trattamento il soggetto esterno che elabora le buste paga

I SOGGETTI DI CUI SOPRA NON HANNO ADEMPIUTO ANTE 31.12.2003 o 31.12.2004 A QUANTO SOPRA ?

->
QUESTI ADEMPIMENTI NON FORMANO OGGETTO DI PROROGHE, LE SANZIONI SONO IMMEDIATAMENTE APPLICABILI

PER QUALSIASI TRATTAMENTO DI DATI

La legge 675/1996 all’articolo 19 comma 1 prevedeva che “non si considera comunicazione la conoscenza dei dati personali da parte delle persone incaricate per iscritto di compiere le operazioni del trattamento dal titolare o dal responsabile, e che operano sotto la loro diretta autorità”.

LA DESIGNAZIONE DEGLI INCARICATI DEL TRATTAMENTO ERA GIA’ QUINDI OBBLIGATORIA IN FORZA DELLA LEGGE 675/1996

->
QUESTO ADEMPIMENTO NON FORMA OGGETTO DI PROROGA, LE SANZIONI SONO IMMEDIATAMENTE APPLICABILI

IL DOCUMENTO PROGRAMMATICO SULLA SICUREZZA

il redigere il DPS era obbligatorio nel caso di trattamento con una rete di personal computers (vedi la precedente definizione) di dati sensibili, ai sensi di quanto indicato nel comma 1 dell’articolo 6 del DPR 318/99.

Nel caso dell’esemplificazione oggetto della presente:

  1. il commercialista era tenuto alla redazione del DPS
  2. il consulente del lavoro era tenuto alla redazione del DPS
  3. l’azienda “paghe” era tenuta alla redazione del DPS
  4. l’azienda “no paghe” non trattando in forma elettronica dati sensibili non era tenuta alla redazione del DPS

NEI CASI 1-2-3 SOPRA RIPORTATI IL “vecchio DPS” aggiornato l’ultima volta nel 2004 deve esistere : NON ESISTE ?

->
LE SANZIONI SONO IMMEDIATAMENTE APPLICABILI - redigere il DPS con urgenza – non esistono provvedimenti di proroga -

Nel caso n. 4 (azienda “no paghe”) la redazione del DPS è ora opportuna, con
funzioni di riepilogo delle misure di sicurezza, di distribuzione dei
compiti e responsabilità, di nomine e designazioni.

E’ utile rammentare che il Garante nel documento prot. 2245 del 3.6.2004 “Chiarimenti sui principali adempimenti in materia di protezione di dati personali nello svolgimento dell’attività forense” indirizzato al Consiglio Nazionale Forense, al punto 3 ha indicato espressamente:
“in particolare, se sono trattati con strumenti elettronici dati sensibili o dati giudiziari, occorre redigere un documento programmatico sulla sicurezza.....” ribadendo così che tale documento è obbligatorio nel caso di trattamento di detti dati in forma elettronica
Il redigere il DPS non era invece obbligatorio nel caso di utilizzo di personal computer non in rete (per la definizione di rete vedasi quanto detto in precedenza) mentre il Dlgs. 196/2003 obbliga alla redazione del DPS anche in questo caso, cosicché il solo DPS potrà essere redatto entro il 31.3.2006.

MISURE “ELETTRONICHE “

Per qualsiasi trattamento di dati con personal computer in rete (per miglior definizione vedasi l’art. 3 comma 1 del DPR 318/1999) il DPR attuativo prevedeva che i computers fossero protetti da un sistema antivirus

L’antivirus non è stato installato?

->
LE SANZIONI SONO
IMMEDIATAMENTE APPLICABILI

Il trattamento dei dati avveniva con un personal computer NON in rete

L’antivirus non era installato e non era obbligatorio

->

ora è obbligatorio - adozione nel maggior termine di proroga del 31 marzo 2006

il Firewall

il firewall non era installato

->

l’obbligo del firewall è stato introdotto con il punto 16 dello allegato B al Dlgs. 196/2003
adozione nel maggior termine di proroga del 31 marzo 2006

le passwords di otto caratteri

le passwords erano obbligatorie in forza dell’articolo 2 del DPR 318/99 ma non era obbligatorio che fossero composte da almeno otto caratteri (punto 5 del disciplinare tecnico all. b al dlgs. 196/2003)

->

adozione delle passwords di otto caratteri nel maggior termine di proroga del 31 marzo 2006

aggiornamento delle patches

Non era previsto uno specifico obbligo nella legge 675/1996 e nel DPR 318/1999 – rientrava, si reputa, nei criteri di cui alla lettera b del comma 1 art. 6 DPR 318/99

->

aggiornamento annuale delle patches nel caso di trattamento di dati non sensibili – aggiornamento semestrale nel caso di trattamento di dati sensibili – obbligo previsto dal punto 17 del disciplinare tecnico allegato B

salvataggio dei dati

Non era previsto uno specifico obbligo nella legge 675/1996 e nel DPR 318/1999 – rientrava, si reputa, nei criteri di cui alla lettera b del comma 1 art. 6 DPR 318/99

->

salvataggio dei dati almeno settimanale - punto 18 dell’allegato B al Dlgs. 196/2003


Altri utenti hanno acquistato

Altre notizie

tutte le notizie

AteneoWeb s.r.l.

AteneoWeb.com - AteneoWeb.info

Via Gregorio X, 46 - 29121 Piacenza - Italy
staff@ateneoweb.com

C.f. e p.iva 01316560331
Iscritta al Registro Imprese di Piacenza al n. 01316560331
Capitale sociale 20.000,00 € i.v.
Periodico telematico Reg. Tribunale di Piacenza n. 587 del 20/02/2003
Direttore responsabile: Riccardo Albanesi

Progetto, sviluppo software, grafica: AI Consulting S.r.l.
SEGUICI

Social network

Canali informativi

Canali RSS