Programmare la sicurezza per garantire la riservatezza

di Stefano Gorla

26 Maggio 2008 09:00

logo PMI+ logo PMI+
Il "Documento programmatico in materia di sicurezza" deve essere redatto ogni anno, entro il 31 Marzo, data in cui gli interessanti hanno l'occasione per fare il punto della situazione

Ogni anno, entro il 31 Marzo, deve essere redatto il “Documento programmatico in materia di sicurezza” (DPS o DPSS). Non si tratta solo di una misura di sicurezza prevista dall’art. 34 del Codice della Privacy (Decreto Legge 196/2003), ma anche dell’occasione per fare il punto, almeno una volta all’anno, sul sistema adottato e da adottare nell’ambito della propria attività.

Il legislatore afferma all’art. 34 che il DPS deve essere redatto da tutti coloro che trattano dati con strumenti elettronici, e di seguito, all’art. 19 dell’allegato b, afferma invece che il DPS è dovuto
nel caso di trattamento di dati sensibili e giudiziari. Si tratta di una precisazione che ha generato l’interpretazione per cui il DPS è dovuto sempre nell’ipotesi di trattamento con strumenti elettronici di qualsiasi tipo di dato e nelle ipotesi di trattamento di dati sensibili e giudiziari sia con che senza l’ausilio di strumenti elettronici. Mentre nel caso di trattamento di dati senza strumenti elettronici il DPS è facoltativo anche se consigliato.

Non c’è obbligo di presentazione al Garante, ma semplicemente l’obbligo di tenere il DPS aggiornato ed a
disposizione delle autorità nel caso venisse richiesto per eventuali controlli. I destinatari interessati sono sia le aziende private che le amministrazioni pubbliche che effettuano trattamenti di dati sensibili o giudiziari con strumenti elettronici. Il Codice prevede, per omessa adozione del DPS (o di altra misura minima di sicurezza), sanzioni
severe
che vanno dall’arresto sino a due anni o l’ammenda da 10.000 euro a 50.000 euro (art.169). Il Timbro Digitale messo a punto dalla Digitaltrust è applicabile al nostro contesto per dimostrare che l’aggiornamento è avvenuto con cadenza annuale, come stabilisce l’art. 19 del Disciplinare Tecnico (All.B), con la “data certa” acquisita a titolo probatorio.

Come deve essere redatto il DPS (o DPSS)?

In relazione ai trattamenti di dati personali, tra le informazioni essenziali, non possono mancare:

  1. una descrizione sintetica dei trattamenti specificando quale sia la finalità perseguita o l’attivtà svolta
    e quali siano le categorie di persone a cui fanno riferimento i dati;
  2. la natura dei dati trattati indicando se, tra i dati di carattere personale, si trovano dati sensibili o giudiziari;
  3. la struttura di riferimento, ossia l’ufficio in cui viene effettuato il trattamento;
  4. le altre strutture che concorrono al trattamento, da intendersi sia a livello interno che esterno all’azienda o ente;
  5. una descrizione degli strumenti elettronici utilizzati collegati o meno in rete locale o geografica.

Ad esempio, nel caso di una istituzione scolastica la finalità è costituita dalla gestione degli studenti iscritti: gli interessati al trattamento dei dati personali sono gli studenti, il titolare del trattamento è l’istituzione
scolastica e il responsabile è la segreteria didattica. Per quanto attiene ai trattamenti effettuati possiamo distinguere le seguenti fasi:

  1. Raccolta: Lo studente lascia un modulo con i propri dati anagrafici – Incaricati: Gli addetti della segreteria didattica
  2. Registrazione: i dati vengono inseriti in un sistema informatico – Incaricati: gli addetti della segreteria didattica
  3. Conservazione: il modulo viene archiviato – Incaricati: gli addetti della segreteria didattica
  4. Elaborazione: Per fini statistici e altri scopi relativi alla didattica – Incaricati: i responsabili del database dell’area didattica
  5. Estrazione: dall’archivio completo vengono estratti solo i dati richiesti dai Consigli di Classe – Incaricati: i responsabili del database dell’area didattica
  6. Consultazione: l’archivio viene consultato da varie figure (segreteria, docenti coordinatori, dirigente scolastico) – Incaricati: tutti coloro che hanno necessità di visualizzare i dati personali dell’interessato.