Misure di sicurezza: aggiornamento annuale del documento programmatico sulla sicurezza e annotazione nella relazione accompagnatoria del bilancio
Tra le misure di sicurezza minime obbligatorie, il Codice della privacy (D.Lgs. n. 196/2003) impone l’aggiornamento annuale del documento programmatico sulla sicurezza, da effettuarsi entro il 31 marzo di ogni anno. Connessa a questa misura, il disciplinare tecnico allegato al codice prevede l’ulteriore specifica misura dell’annotazione, concernente la redazione od aggiornamento del documento programmatico, da apporre nella relazione accompagnatoria del bilancio d’esercizio.
Ricordiamo peraltro come, a seguito delle norme di semplificazione introdotte nel 2008, per determinati trattamenti di dati sensibili il titolare possa sostituire il Documento Programmatico sulla Sicurezza con un’autocertificazione (vedi nostra Notizia n. PD08.1175 del 27/08/2008); inoltre, il Garante ha dettato alcune precisazioni sui contenuti obbligatori del Documento, dirette anch’esse a rendere più semplice per le piccole e medie imprese che trattano dati solo per finalità amministrative e contabili, la redazione del Documento stesso.
APPROFONDIMENTI
Documento programmatico sulla sicurezza
In base all’art. 34 del Codice della privacy ed al punto 19 del disciplinare tecnico allegato allo stesso Codice, il documento programmatico sulla sicurezza deve essere redatto obbligatoriamente in caso di trattamento informatico di dati sensibili (od anche giudiziari), anche eventualmente effettuato su un singolo elaboratore isolato. Ricordiamo che il documento, una volta predisposto, non va inviato al Garante o ad altri enti, né deve essere munito di data certa.
Il disciplinare tecnico prescrive inoltre che il documento programmatico debba essere periodicamente aggiornato, con cadenza annuale, entro il 31 marzo di ciascun anno.
Annotazione sulla relazione accompagnatoria al bilancio
Il punto 26 del disciplinare tecnico prevede che gli amministratori della società, nel redigere la relazione sulla gestione accompagnatoria del bilancio di esercizio, riferiscano dell’avvenuta predisposizione od aggiornamento del documento programmatico sulla sicurezza quando il documento stesso risultasse obbligatorio in relazione ai trattamenti svolti dalla società ovvero, pur non essendo obbligatorio, fosse stato da questa ugualmente predisposto.
Sanzioni
La mancata adozione delle misure di sicurezza (e quindi, tra le altre, anche del documento programmatico sulla sicurezza, quando risulti obbligatorio, nonché dell’annotazione sulla relazione accompagnatoria al bilancio) è sottoposta a sanzioni penali in base all’art. 169 del Codice della privacy, con possibilità di conversione della violazione in sanzione pecuniaria amministrativa in caso di successiva regolarizzazione.
Semplificazioni
Il nuovo art. 34, comma 1-bis, del Codice della privacy dispone che i titolari (con particolare riferimento alle aziende di piccole e medie dimensioni) che trattano con strumenti informatici, quali unici dati sensibili, quelli costituiti dallo stato di saluto o malattia dei propri dipendenti o collaboratori, senza indicazione della relativa diagnosi, ovvero dall’adesione dei medesimi ad organizzazioni sindacali o a carattere sindacale, potranno, in sostituzione del Documento Programmatico sulla Sicurezza, redigere una dichiarazione sostitutiva di atto di notorietà (ai sensi dell’art. 47 del D.P.R. n. 445/2000 – T.U. in materia di documentazione amministrativa) con la quale gli stessi titolari del trattamento dichiareranno che unici dati sensibile risultano quelli sopra evidenziati, ed inoltre che tali dati sensibili sono trattati in osservanza delle misure di sicurezza prescritte dal Codice della privacy. L’autocertificazione – alla quale dovrà essere allegata, secondo quanto espressamente prevede il T.U. in materia di documentazione amministrativa, la fotocopia di un documento di identità di chi rende tale dichiarazione – va conservata in azienda ed esibita all’occorrenza in occasione di eventuali ispezioni.
Di conseguenza, le aziende che fino ad oggi erano tenute alla redazione del Documento Programmatico sulla Sicurezza potranno, in forza della recente disposizione, scegliere se continuare a redigere e tenere aggiornato il proprio documento ovvero avvalersi dell’autocertificazione; con l’avvertenza, però, di verificare con attenzione se il trattamento di dati sensibili da loro compiuto avvenga oltre l’ambito indicato dalla disposizione (il che potrebbe, ad esempio, verificarsi se l’azienda gestisse in modo informatico i curricula dei candidati dipendenti, anche con riferimento agli eventuali dati sensibili ivi contenuti, o comunque, in ogni caso, trattasse dati sensibili ulteriori rispetto a quelli previsti dalla norma in commento), oppure se i trattamenti venissero eseguiti senza rispettare le misure di sicurezza. Ù
In questo senso, considerate le conseguenze penali che andrebbero a scaturire avendo reso con l’autocertificazione dichiarazioni non rispondenti al vero – falso ideologico in atto pubblico (art. 483 del Codice penale) e conseguente pena della reclusione fino a due anni – si consiglia alle aziende che nutrano il dubbio di rientrare o meno nella previsione normativa di semplificazione di approntare senz’altro il Documento Programmatico sulla Sicurezza e di non avvalersi della nuova disposizione.
Tale suggerimento viene peraltro esteso anche alle aziende che comunque si sono impegnate negli scorsi anni a redigere ed aggiornare annualmente il Documento, apparendo poco opportuno per queste di abbandonare il lavoro fin qui svolto, anche date le implicazioni che il Documento comporta che vanno oltre il semplice rispetto della disposizione di legge.
Infine, per le piccole e medie imprese che trattano dati solo per finalità amministrative e contabili, ricordiamo che il Garante ha provveduto con deliberazione del 27 novembre 2008, ad indicare alcune semplificazioni sui contenuti obbligatori del Documento Programmatico sulla Sicurezza di cui si riportano le caratteristiche principali:
Destinatari del provvedimento
Innanzitutto, le semplificazioni indicate dal Garante interessano:
a) amministrazioni pubbliche e imprese che utilizzano dati personali non sensibili, o che trattano come unici dati sensibili dei dipendenti quelli relativi allo stato di salute o all’adesione a organizzazioni sindacali;
b) piccole e medie imprese, liberi professionisti o artigiani che trattano dati solo per fini amministrativi e contabili.
Istruzioni agli incaricati (punti 4, 9, 18 e 21 del disciplinare)
Fermo restando l’obbligo disposto dall’art. 30 – 2°comma del codice della privacy, di designare per iscritto gli incaricati del tratttamento (e quindi di delineare correttamente gli ambiti di trattamento, ed i conseguenti profili di autorizzazione), il provvedimento permette di dare istruzioni verbali agli incaricati limitatamente alle misure di sicurezza adottate in azienda.
Sistema di autenticazione (punti 1, 2, 3, 5, 6, 7, 8, 10 e 11 del disciplinare)
Il Garante ricorda che il sistema più semplice di credenziali di autenticazione è quello basato su un username e una password, e che è possibile realizzare il sistema di autenticazione anche utilizzando la procedura di login disponibile sul sistema di rete.
Permane l’obbligo di disattivare lo username quando viene meno il diritto di accesso ai dati (es. non si opera più all’interno dell’organizzazione).
Tra le misure organizzative (già, peraltro, indicate in un precedente provvedimento per la semplificazione del Garante) da adottare in caso di assenze prolungate o di impedimenti del dipendente e dirette a garantire comunque l’operatività e la sicurezza del sistema, viene richiamata quella dell’invio automatico delle mail ad un altro recapito aziendale accessibile.
Antivirus e back up (punti 15, 16, 17 e 18 del disciplinare)
Il provvedimento allunga i termini per l’effettuazione del back up e per l’aggiornamento dei programmi antivirus:i programmi di sicurezza (antivirus) si devono aggiornare almeno una volta l’anno, ed il backup dei dati almeno una volta al mese.
Documento programmatico sulla sicurezza (punti da 19.1 a 19.8 del disciplinare)
Con il provvedimento, inoltre, il Garante ha fornito a piccole e medie imprese, artigiani, liberi professioni, soggetti pubblici e privati che trattano dati solo a fini amministrativi e contabili, alcune indicazioni per la redazione di un documento programmatico per la sicurezza semplificato.
Applicazione
Il provvedimento sulle misure di sicurezza è immediatamente applicabile senza necessità di istanze o comunicazioni al Garante.
Modulistica:
Modello di annotazione sulla relazione del bilancio