Iscrizione
Servizi
- Visibilità (reti on line)
- Aggiornamento (ECM)
- Consulenza
- Riconoscimento titoli
- Servizi informativi
- Mailing list
Archivio
Convenzioni
Privacy: adeguamento certificato
Antonio Ciccia, Italia Oggi, 06/04/2004
Attestazione di conformità sulle misure di privacy. Il tecnico che adegua gli elaboratori agli standard di sicurezza previsti dal codice della privacy è chiamato a sottoscrivere una certificazione di idoneità. È quanto prevede al punto 25 l'allegato b) al decreto legislativo 196/2003, che ha introdotto una serie di misure di sicurezza, aggiornando il vecchio dpr 318/1999. Le misure di sicurezza sono forse l'argomento in materia di disciplina di privacy che sta suscitando il maggiore interesse tra imprenditori, pubbliche amministrazioni, professionisti e in genere i titolari di trattamento.
Il picco di interesse deriva dal fatto che si sta avvicinando il termine, 30 giugno 2004, previsto dall'articolo 180 del codice della privacy per l'adeguamento dei propri archivi al disciplinare tecnico contenuto nel citato allegato b). L'interesse si unisce talvolta ad apprensione se si pensa al rischio penale collegato all'omissione dell'adeguamento alle misure minime di sicurezza: l'omissione è una contravvenzione punita con l'arresto sino a due anni o con l'ammenda da 10 mila a 50 mila euro (articolo 169 codice della privacy). A questo fine può essere sottolineata l'importanza del punto 25 dell'allegato b) al codice della privacy. Ai sensi di questa disposizione: Il titolare che adotta misure minime di sicurezza avvalendosi di soggetti esterni alla propria struttura, per provvedere all'esecuzione riceve dall'installatore una descrizione scritta dell'intervento effettuato che ne attesta la conformità alle disposizioni del disciplinare tecnico.
Le possibilità individuate al punto 25 sono due: adottare le misure minime di sicurezza avvalendosi di soggetti interni; adottare le misure minime di sicurezza avvalendosi di soggetti esterni.
In quest'ultimo caso il citato punto 25 indica all'installatore anche il compito di rendere una dichiarazione scritta sulla tipologia dell'intervento con l'attestazione della conformità dello stesso. La disposizione utilizza l'indicativo presente: il titolareÉ riceve dall'installatore un'attestazione di conformità. Pertanto è da ritenersi che l'attestazione di conformità sia un preciso dovere dell'installatore e correlativamente un diritto del titolare del trattamento a ottenerla. Peraltro è meglio che nel dare l'incarico il titolare del trattamento ponga la redazione dell'attestazione come una condizione specifica dell'attribuzione dell'incarico. L'attestazione di conformità mette in evidenza certamente la responsabilità dell'installatore, che in sostanza fornisce la garanzia della idoneità dell'intervento realizzato. Dall'altro lato il titolare del trattamento (impresa, pubblica amministrazione, professionista ecc.) ricevendo e conservando l'attestazione di conformità può dimostrare la diligenza osservata, non solo ai fini penalistici, ma anche a quelli civilistici. Si rammenti, infatti, che la violazione delle misure di sicurezza comporta la responsabilità per danni, anche non patrimoniali.
Si ritiene, inoltre, che l'attestazione di conformità, debba essere conservata a cura del titolare del trattamento e che non debba essere spedita o recapitata comunque al garante per la protezione dei dati personali. Beninteso il non avere ricevuto la dichiarazione di conformità non implica un illecito quando l'illecito formale non viene sanzionato. Peraltro il non avere la dichiarazione di conformità può avere un valore indiziario in ordine alla scarsa diligenza nell'osservanza della legge. Va inoltre sottolineato che l'assunzione di responsabilità da parte dell'installatore è elemento capace di selezionare l'esperto affidabile da quello dell'ultima ora. Il codice della privacy non prevede particolare abilitazioni per l'installazione delle misure di sicurezza privacy: è chiaro però che debba trattarsi di un esperto informatico, che sia in grado di realizzare le misure necessarie per gli elaboratori e di compilare il documento programmatico sulla sicurezza. In materia si ricorda che siamo in attesa del modello di Documento programmatico sulla sicurezza di livello base, appositamente predisposto dallo stesso garante della privacy per le piccole realtà.