Transmenu powered by JoomlArt.com - Mambo Joomla Professional Templates Club

Finalmente il Garante ha reso disponibile la guida operativa (che potete trovare nella nostra area DOWNLOADS) per la stesura del DPS. Essa può essere molto utile per tutte le aziende, specie se di piccole o medie dimensioni, che non abbiano ancora provveduto a redigere il DPS o per quelle che, trattando dati personali e vista la grande confusione normativa, vogliano essere totalmente sicure di non incorrere in sanzioni di nessun tipo.

Infatti vi sono due interpretazioni della legge: secondo alcuni il DPS, rientrando fra le misure minime di sicurezza, deve essere redatto da tutti coloro che trattano dati personali con l'ausilio di mezzi elettronici e solo da coloro che trattano dati sensibili o giudiziari in assenza di mezzi elettronici. Questa l'opinione degli avvocati Lisi e Frediani che, in un articolo dell'11 giugno 2004, pubblicato da Punto Informatico, sostengono: "dalla lettura del codice emerge chiaramente che alcune misure di sicurezza "minime" (tra le quali rientra la redazione del D.P.S.) debbono essere adottate per i dati personali trattati in formato elettronico, e per i dati sensibili, sia trattati in formato elettronico sia in formato cartaceo. In particolare, sembra eliminare qualsiasi tipo di dubbio l'art. 34 del codice, il quale al punto g) dice espressamente e univocamente: "… il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell'allegato B), le seguenti misure minime: …g) tenuta di un aggiornato documento programmatico sulla sicurezza…".".
Tale giudizio va però contro lo stesso parere del Garante che, in una lettera alla Confidustria sostiene : "Analogamente a quanto avveniva in passato, le misure minime sono diverse a seconda che il trattamento sia effettuato o meno con strumenti elettronici, oppure riguardi dati sensibili o giudiziari.(…)In base al nuovo Codice, la misura minima del DPS deve essere ora adottata dal titolare di un trattamento di dati sensibili o giudiziari effettuato con strumenti elettronici, attraverso l'organo, ufficio o persona fisica a ciò legittimata in base all'ordinamento aziendale o della pubblica amministrazione interessata (art.  34, comma 1, lett. g), del Codice;  regola 19 dell'Allegato B))".

Cerchiamo di capire la legge: l'articolo 34 dice: " Il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell'allegato B), le seguenti misure minime (…)". Quindi, quali sono i modi previsti dal disciplinare tecnico? "Entro il 31 marzo di ogni anno, il titolare di un trattamento di dati sensibili o di dati giudiziari redige anche attraverso il responsabile, se designato, un documento programmatico sulla sicurezza contenente idonee informazioni". Sembrerebbe allora che tutti coloro che trattano dati personali che non siano sensibili o giudiziari ne siano esenti. Ma secondo Lisi e Frediani questa limitazione si riferisce solo alla data di scadenza. La legge è cavillosa: leggiamola allora nel modo più rigido possibile (rigido si, ma possibile): essendo il DPS una misura minima di sicurezza e visto che tutte le misure minime devono essere rispettate da coloro che trattano dati personali "nei modi previsti dal disciplinare tecnico" l'unica cosa di cui si può essere certi è che chi non tratta dati sensibili e giudiziari non deve rispettare la scadenza della stesura del DPS entro il 31 marzo.
Anche se poi basta telefonare al centralino del Garante o leggere le sue comunicazioni per capire che nessuno intende così rigidamente la legge; per assurdo se fosse così chiunque in possesso di una rubrica telefonica dovrebbe compilare tale documento e questo non può essere quello che intende la legge.

Altro problema che però dobbiamo tener ben presente è la difficoltà di distinguere chiaramente i dati sensibili dai dati personali: se i dati sensibili vengono definiti come  "i dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché  i dati personali idonei a rivelare lo stato di salute e la vita sessuale", ci rendiamo subito conto che ognuna di queste affermazioni può essere interpretata in moltissimi modi diversi e nessuno può più essere sicuro di trattare esclusivamente dati  personali.

Intanto si vocifera un'ulteriore posticipo del termine di tutti gli adempimenti fissati per il 30 giugno: la proroga è stata annunciata il 9 giugno dal ministro della Giustizia, Roberto Castelli, che ha intenzione di predisporre un decreto legge da presentare al  Consiglio dei ministri che si terrà la prossima settimana.

A questo punto il consiglio per tutti, per essere completamente tutelati, è di provare a redigere il DPS seguendo le indicazioni del Garante; se non altro sarà un lavoro utile per dare un'organizzazione alla pianificazione della sicurezza di una società. C'è però il rischio che, essendo impegnati in tale lavori, i responsabili trascurino le altre misure minime che invece dovrebbero essere al centro dell'attenzione di tutti. Quanto tempo, più o meno contro voglia, si dedicherà alle scartoffie? E quanto alla reale sicurezza?
Staremo a vedere.