Circolare n. 4/2000 del 24 marzo 2000

Faccio seguito alle mie precedenti, per ricordare che entro il 29 marzo 2000 scadono i termini per adottare le misure di sicurezza nel trattamento dei dati personali, previste dall’articolo 15 comma 2 della Legge 675/1996 e dal relativo decreto di attuazione (D.p.r. 318/1999).

La mancata adozione di tali misure comporta l’applicazione delle seguenti sanzioni penali:

Articolo 36 Legge 675/1996: Omessa adozione delle misure necessarie alla sicurezza dei dati

Comma 1. Chiunque, essendovi tenuto, omette di adottare le misure necessarie a garantire la sicurezza dei dati personali, in violazione delle disposizioni dei regolamenti di cui ai commi 2 e 3 dell’articolo 15 (cioè del D.p.r. 318/1999), è punito con la reclusione sino ad un anno. Se dal fatto deriva nocumento, la pena è della reclusione da due mesi a due anni.

Comma 2. Se il fatto di cui al comma 1 è commesso per colpa si applica la reclusione fino ad un anno.

Approssimandosi la scadenza del 29 marzo 2000, ed in considerazione del generale grado di arretratezza nell’adozione delle misure minime di sicurezza, il Senato ha approvato un disegno di legge (S 4531) che differisce di un anno – sino al 29 marzo 2001 – l’entrata in vigore delle sanzioni penali.

Dato il generale consenso sulla materia, è prevedibile che la Camera approvi il provvedimento, che dovrebbe quindi divenire legge a giorni.

  1. La sostanza del provvedimento
  2. Lungi dall’essere un provvedimento che autorizzi cioè a tirare la frettolosa conclusione che delle misure di sicurezza privacy se ne riparlerà tra un anno, esso documento costituisce invece un forte stimolo a programmare ed adottare in tempi celeri le misure minime di sicurezza.

    Si noti innanzitutto che esso solleva chi tratta i dati dalle responsabilità penali sino al 29 marzo 2001, ma non ha alcun riflesso sulla responsabilità civile per gli eventuali danni cagionati dal trattamento (per evitare la quale non è sufficiente limitarsi ad introdurre le misure minime di sicurezza, ma si deve dimostrare di avere adottato le più gravose misure idonee rese disponibili dall’evoluzione tecnica).

    Nell’ambito della responsabilità civile sarà quindi visto dal Giudice con estremo disfavore chi, nell’effettuare il trattamento, non si sia adeguato neppure alle misure minime di sicurezza.

    In secondo luogo, per beneficiare dell’inapplicabilità sino al 29 marzo 2001 delle sanzioni penali, chi effettua il trattamento deve entro il 30 aprile 2000 predisporre un programma di adeguamento, sotto forma di documento avente data certa, indicando la tempistica con cui intende adottare le misure richieste. Per inciso, in relazione alla facoltà di redigere entro il 30 aprile 2000 tale documento, è previsto che sino a tale data non si applichino nella generalità dei casi le sanzioni penali di cui all’articolo 36 L. 675/1996.

  3. Il programma di adeguamento

Il comma 2 dell’articolo 1 del disegno di legge in esame prevede che "i soggetti tenuti all’adozione delle misure minime di sicurezza che abbiano avviato, anteriormente al 29 marzo 2000, un programma di adeguamento delle procedure di trattamento di dati personali in conformità alle prescrizioni contenute nel D.p.r. 318/1999, possono procedere al relativo completamento entro il termine del 29 marzo 2001".

L’agevolazione è concessa alla tassativa condizione che il contenuto di tale programma venga formalizzato entro il 30 aprile 2000 in un documento:

  1. Il contenuto del Documento di adeguamento

Dal documento devono risultare.

  1. tutti i dati del titolare e del responsabile del trattamento, nonché, se esistente, dell’amministratore di sistema
  2. la sintetica esposizione degli elementi caratterizzanti il programma di adeguamento in corso di attuazione, e delle singole fasi in cui lo stesso è eventualmente ripartito
  3. la specificazione degli accorgimenti già adottati e della parte del programma già completata, anche con riferimento alle singole fasi
  4. l’indicazione degli indirizzi di intervento individuati per l’adozione delle più ampie misure di sicurezza previste dal comma 1 dell’articolo 15 L. 675/1996 (cioè delle misure idonee ai fini della responsabilità civile).

4. Conclusioni

Il provvedimento in esame, se da una parte può fare tirare un sospiro di sollievo perché dà un ulteriore anno di tempo per completare l’adeguamento delle misure minime di sicurezza, dall’altra dà un forte impulso perché tale adeguamento venga programmato in tempi brevi (sulla carta entro il 29 marzo 2000, ma sul piano pratico entro il 30 aprile 2000, data entro la quale si dovrà attribuire data certa al Documento di adeguamento).

Chi tratta i dati deve quindi verificare celermente lo stato di attuazione delle misure minime di sicurezza, ed agire di conseguenza come segue: