Il Consiglio dei Ministri ha approvato un decreto legge che proroga il termine per l'adozione delle nuove misure minime di sicurezza al 31 dicembre 2004.

Il decreto è stato adottato anche in seguito alle richieste della Confindustria. Il provvedimento modifica le disposizioni transitorie relative alle misure di sicurezza (art. 180) contenute nel Codice in materia di protezione dei dati personali (d. lgs. n. 196/2003) e prevede termini più ampi per l'adeguamento alle nuove disposizioni. In particolare:

- le "nuove" misure minime di sicurezza (quelle non previste dal dpr. 318/99), elencate dagli articoli da 34 e 35 e dall'allegato B) al Codice devono essere adottate entro il 31 dicembre 2004, e non entro il 30 giugno prossimo. La nuova scadenza riguarda tutte le nuove misure minime. Si ricorda che il Garante per la protezione dei dati personali, in un parere del 22 marzo scorso rivolto alla Confindustria, ha chiarito che il termine per l'adeguamento alle nuove misure si riferisce anche alla redazione/aggiornamento del documento programmatico sulla sicurezza.

- i titolari che dispongono di strumenti elettronici che, per obiettive ragioni tecniche, non consentono, in tutto o in parte, l'immediata applicazione delle nuove misure minime possono avvalersi di un termine ulteriore, fissato al 31 marzo 2005. In quest'ultimo caso è necessario predisporre, entro il 31 dicembre prossimo, un documento avente data certa in cui si descrivono le ragioni che non consentono il tempestivo adeguamento ed adottare tutte le possibili misure dirette ad evitare ogni incremento dei rischi incombenti sui dati.

Le misure di sicurezza. Aspetti generali
Il Codice in materia di protezione dei dati personali (art. 31) impone l'adozione di idonee misure di sicurezza finalizzate a ridurre al minimo i seguenti rischi:
- distruzione o perdita, anche accidentale, dei dati;
- accesso non autorizzato;
- trattamento non consentito o non conforme alle finalità della raccolta. Le misure di sicurezza hanno carattere preventivo e devono essere adottate obbligatoriamente dalla generalità dei titolari. Tali misure hanno carattere variabile; il contenuto del generale obbligo di sicurezza è determinato da numerosi fattori (le conoscenze acquisite in base al progresso tecnico, la natura dei dati, le caratteristiche del trattamento) e varia a seconda delle circostanze concrete. Il Codice impone un livello di sicurezza crescente in base alla natura dei dati trattati (dati comuni, sensibili o giudiziari, sanitari etc.).
La violazione dell'obbligo generale di sicurezza può comportare l'obbligo di risarcimento del danno eventualmente arrecato dal titolare. Il Codice (art. 15) sancisce il carattere di attività pericolosa del trattamento dei dati personali: "Chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell'art. 2050 del codice civile". Il titolare del trattamento, pertanto, qualora arrechi un danno ingiusto ad uno o più interessati può sottrarsi all'obbligo di risarcimento solo dimostrando di aver adottato tutte le misure idonee a evitare il verificarsi dell'evento.
Inoltre, qualora siano violate le regole relative alle modalità del trattamento (art. 11), è risarcibile non solo il danno di natura patrimoniale ma anche quello morale.

Per informazioni ed approfondimenti: dr. Fabio Dani, tel 0564.468804, e-mail f.dani@confindustriagrosseto.it

Risorse on line
Il sito del Garante per la Privacy

giugno 2004