ITALIA OGGI 1

ITALIA OGGI 1.12.2000

Dall’ANCITEL una guida sugli adempimenti di dicembre
RUSH FINALE SULLA PRIVACY PER GLI ENTI

DI ANTONIO CICCIA

Enti pubblici chiamati a adeguare i propri archivi alle misure di sicurezza privacy.

In particolare la legge 325/200 impone anche a loro di effettuare una dichiarazione entro il 10/12/2000 (per coloro che non si fossero messi in regola entro lo scorso 29/3/2000) e di completare l’adeguamento comunque entro fine dell'anno 2000.

Gli adempimenti dunque sono due: la dichiarazione di giustificazione e l’adeguamento delle misure vero e proprio.

Naturalmente sono importanti tutti e due: tuttavia l’ente locale non deve correre il rischio di pensare che l'unico adempimento da effettuare e che mette al riparo da rischi sia la dichiarazione di giustificazione. Questo documento (una dichiarazione di giustificazione e di programmazione delle misure idonee a evitare responsabilità penali e anche civili) è essenziale e ci si deve concentrare sulla sua compilazione (altrimenti non si può godere della proroga prevista per l’adeguamento degli archivi cartacei e informatici), ma non bisogna dimenticare l'adeguamento delle misure (dalle password al documento programmatico sulla sicurezza, dagli armadi muniti di serratura alle direttive al personale individuato come incarico del trattamento).

Per gestire la privacy rispondendo ai principali adempimenti richiesti dalla legge n. 675/96 e dal dpr n. 318/99 l'Ancitel ha predisposto dei modelli standard (disponibili sul sito www.ancitel.it) che possono costituire un ausilio per la predisposizione degli adempimenti di legge.

In particolare Ancitel propone di diversificare tre tipologie di situazioni in cui versano gli enti: enti che non hanno ancora adottato le misure minime di sicurezza in base al dpr 318; enti che hanno adottato le misure di sicurezza in base al dpr 318 entro il 29/3/2000, redatto il relativo documento programmatico sulla sicurezza ma vogliono usufruire comunque della proroga; enti che hanno adottato le misure minime di sicurezza entro il 29.3.2000 ma non hanno ancora redatto il documento programmatico sulla sicurezza.

In ogni caso si sottolinea che ogni comune dovrebbe analizzare la propria situazione (lo stato dei propri archivi) e modellare le misure di sicurezza sulle proprie esigenze, soprattutto dal punto di vista delle misure organizzative (un comune di poche migliaia di abitanti è differente da un comune capoluogo con centinaia di migliaia di abitanti). In materia di dichiarazione per la proroga delle misure di sicurezza si precisa che un problema pratico che si pone è rappresentato da chi deve firmare la dichiarazione da elaborare entro il 10/12/ 2000. Per rispondere a tale quesito occorre pensare che tale atto non ha contenuto deliberativo, ma di dichiarazione di scienza. Pertanto potrà essere firmato dal titolare del trattamento, ovvero il comune in persona del sindaco pro tempore. Se designato l'atto stesso potrà essere firmato dal responsabile del trattamento. In caso di pluralità di responsabili del trattamento va fatta comunque un'unica dichiarazione che raccoglie gli elementi dei vari responsabili.

Italia Oggi 1.12.2000

Il provvedimento di adozione del documento sulle misure di sicurezza
ItaliaOggi pubblica lo schema messo a punto dall'Ancitel concernente "approvazione del documento programmatico - piano operativo per l'adozione delle misure di sicurezza nel trattamento dei dati personali nell'ambito delle attività del Comune di ________ , ai sensi del dpr 318/99
Relazione

Premesso:

- che l’articolo 15, comma 1, della legge n. 675/96 stabilisce che i dati personali oggetto di trattamento devono essere custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l’adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita anche accidentale dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta;

- che il medesimo articolo 15 comma 2 demanda l’individuazione degli standard ai quali i soggetti pubblici e privati che trattano dati personali devono attenersi nella adozione delle misure minime di sicurezza ad apposito regolamento;

- che l'insieme delle misure tecniche, informatiche, organizzative per attivare il livello minimo di protezione richiesto dall'articolo 15, comma 1, della legge 675/96 è stato definito con il dpr n. 318/99.

Dato atto che l’articolo 15, comma 3 della già citata legge 675/96 prevede che le misure minime di sicurezza, individuate dal dpr 318/99 siano adeguate, entro due anni dalla data di entrata in vigore della legge e successivamente con cadenza almeno biennale, con successivi regolamenti, in relazione all'evoluzione tecnica ed all'esperienza maturata.

Rilevato che l’articolo 6 del dpr 318/99 prevede che qualora il trattamento dei dati personali definiti sensibili avvenga mediante elaboratori o sistemi automatizzati accessibili mediante una rete di telecomunicazioni disponibile al pubblico, deve essere predisposto e aggiornato con cadenza annuale un documento programmatico sulla sicurezza dei dati per definire, sulla base dell'analisi dei rischi, della distribuzione dei compiti e delle responsabilità nell'ambito delle strutture preposte al trattamento dei dati stessi:

1. i criteri tecnici e organizzativi per la protezione delle aree e dei locali interessati dalle misure di sicurezza nonché le procedure per il controllo dell'accesso delle persone autorizzate ai locali medesimi;

2. i criteri e le procedure per assicurare l’integrità dei dati;

3. i criteri e le procedure per la sicurezza

nella trasmissione dei dati, ivi compresi quelli per le restrizioni all'accesso per via telematica;

4. l’elaborazione di un piano di istruzione e formazione per illustrare agli incaricati del trattamento dei dati personali i rischi individuati e i modi per prevenire eventuali danni;

- che l'efficacia delle misure di sicurezza deve essere oggetto di controlli periodici da eseguirsi con cadenza annuale,

Considerato:

- che la molteplicità dei trattamenti dei dati personali, anche sensibili, nell'ambito dell'amministrazione comunale, nonché la complessità del sistema degli archivi e delle banche dati informatizzate nei quali confluiscono le informazioni personali rendono necessaria tale formalità;

- che a fronte delle finalità delle misure di sicurezza esposte nell'articolo 15 comma 1 legge 675/96, nonché dagli standard minimi delineati nel dpr 318/99, risulta opportuno riportare in un unico documento programmatico a contenuto organizzativo-operativo gli elementi di riferimento necessari per l’adozione, l’adeguamento, lo sviluppo, l’implementazione gestionale di misure di sicurezza incidenti su:

1. trattamento di dati personali, di dati personali particolari (riferiti all'ambito fiscale-tributario), di dati personali sensibili (previsti dagli articoli 22 e 24 della legge 675/96);

2. gestione degli archivi cartacei (correnti, di deposito, storici) e di banche dati conservati su supporti informatizzati -automatizzati (memorie di rete, hard-disk, floppy-disk, cd-rom);

3. gestione di archivi contenenti documenti particolari;

- che tali elementi si configurano come componenti costitutive di un documento programmatico, rispondente a quanto previsto dall'articolo 6 del dpr 318199, volto a fornire adeguate garanzie per il trattamento dei dati personali da parte degli operatori dell'amministrazione comunale, attraverso la definizione di misure di sicurezza organizzative, fisiche e logiche;

- che tali misure di sicurezza, periodicamente riviste e comunque soggette a reimpostazione annuale, costituiscono il riferimento per la definizione mediante apposite determinazioni dirigenziali, di soluzioni operative dettagliate, correlate alla specificità e alla complessità dei singoli settori;

- che l'assetto del quadro di misure riportato nel documento programmatico a valenza operativo-organizzativa contenuto nell'allegato A (omissis), è definito con riguardo a:

1. stato dell'informatizzazione del comune;

2. gestione dei flussi documentali attraverso un sistema informatizzato di protocollazione generale;

3. articolazione organizzativo strutturale degli archivi correnti, di deposito e storici.

Rilevato:

- che l'articolo 41 comma 3 della legge 675/96 stabilisce che le misure di sicurezza definite in base al regolamento di cui all'articolo 15 devono effettivamente e concretamente essere adottate entro il termine di sei mesi decorrente dalla data di entrata in vigore del regolamento stesso, quindi entro il 29 marzo 2000, stante la vigenza del dpr 318/99 a far data dal 29 settembre 1999;

-valutati i contenuti del provvedimento del Garante per la protezione dei dati personali del 29 febbraio 2000, finalizzato a sollecitare tutti i soggetti pubblici e privati al rispetto di quanto previsto dal dpr 31899;

tenuto conto che risulta necessario conferire al presente provvedimento immediata eseguibilità al fine di poter attivare tempestivamente e comunque entro il 10/12/2000 i processi di definizione e di applicazione delle misure di sicurezza per i trattamenti di dati personali sviluppati dai settori dell'amministrazione comunale;

SI PROPONE

- di approvare, il documento programmatico-piano operativo per le misure di sicurezza minime inerenti l'attività dei settori del Comune di _________ in ordine al trattamento dei dati personali, come configurato nell'allegato A (omissis)

Vista l'entroestesa relazione n . del . ..... del settore Informatica-Statistica-Privacy avente per oggetto: "Approvazione del documento programmatico-piano operativo per l'adozione delle misure di sicurezza nel trattamento dei dati personali nell'ambito delle attività del Comune di ____ , ai sensi del dpr 318/99" e in accoglimento delle conclusioni in essa contenute;

- visti i pareri allegati in ordine alla regolarità tecnica e contabile, nonchè l’attestazione di copertura finanziaria ai sensi dell'art. 151 4° comma del dlgs 267 del 18/8/2000;

-visto l'art. 3 della legge 241/90;

con votazione unanime espressa nelle forme di legge;

DELIBERA

Di approvare il documento programmatico-piano operativo per le misure di sicurezza minime inerenti all'attività dei settori del Comune di _________ in ordine al trattamento dei dati personali, come configurato nell'allegato A (omissis), parte integrate del presente atto;

- di dare atto che ciascun funzionario provvederà, con propria determinazione, a definire, nel rispetto del documento programmatico riportato in allegato, soluzioni operative per l'applicazione delle misure minime di sicurezza;

- di dichiarare ai sensi dell'ari. 134 comma 4 del dlgs 267 del 188/2000 la presente deliberazione immediatamente eseguibile per le motivazione esplicitate nella relazione;

- di precisare che il presente atto non comporta alcun impegno di spesa a carico del bilancio comunale e pertanto non ha rilevanza sotto il profilo contabile.