|
|
|
CAMERA DEI DEPUTATI
|
N. 5055 |
Pag. 1
Con la presente proposta di legge si intende prorogare il termine del 30 giugno 2004, in quanto, a pochi giorni dalla sua scadenza, la complessità degli adempimenti da compiere rende estremamente difficoltosa la predisposizione delle misure minime di sicurezza nei modi e nei tempi previsti dalla legge. Tale difficoltà si trasforma in una vera e propria impossibilità per quegli studi professionali che si trovano a gestire una ingente quantità di informazioni di carattere sensibile relativa ai propri clienti.
Per alcune misure minime di sicurezza sono state previste scadenze periodiche annuali, mentre per quelle nuove è stato previsto un termine transitorio (30 giugno 2004), entro il quale queste devono essere adottate. È previsto un periodo più ampio per l'adeguamento (1o gennaio 2005) nella ipotesi specifica di trattamenti effettuati con strumenti elettronici che, per obiettive ragioni esclusivamente tecniche, non consentono di applicare immediatamente, in tutto o in parte, le nuove misure minime. La proposta di legge, comunque, mira a prorogare solamente il termine del 30
Pag. 2
Tra le misure minime previste dal citato codice di cui al decreto legislativo n. 196 del 2003, rientra il documento programmatico sulla sicurezza. È vero che si tratta di una misura non nuova, ma è pur vero che è aumentato il numero dei soggetti obbligati a redigere il documento e che è parzialmente diverso il suo contenuto necessario. Esso, infatti, deve essere redatto oltre che da coloro che trattano dati sensibili o relativi a determinati provvedimenti giudiziari attraverso elaboratori accessibili mediante una rete di telecomunicazioni disponibili al pubblico anche da coloro che trattano tali dati con elaboratori non accessibili al pubblico. Inoltre, a differenza del passato, la categoria dei dati giudiziari è oggi rappresentata anche da nuovi dati personali, come quelli riferiti a provvedimenti giudiziari non definitivi o alla semplice qualità di imputato o di indagato.
Le novità relative al documento si estendono anche al suo contenuto. Ad esempio, in esso occorre ora descrivere anche i criteri e le modalità per ripristinare la disponibilità dei dati in caso di distruzione o danneggiamento delle informazioni o degli strumenti elettronici; occorre individuare poi i criteri da adottare per cifrare o per separare i dati idonei a rivelare lo stato di salute e la vita sessuale trattati da organismi sanitari e da esercenti le professioni sanitarie.
Il Garante per la protezione dei dati personali, con un parere del 22 marzo 2004, ha chiarito che, benché non si tratti a rigore di una misura «nuova», il documento programmatico sulla sicurezza da redigere per la prima volta o da aggiornare può essere predisposto al più tardi entro il 30 giugno 2004.
Oltre all'adozione di un atto, quale è il documento programmatico sulla sicurezza, la predisposizione di misure minime si traduce anche nella predisposizione di accorgimenti tecnici da applicare direttamente a strumenti elettronici o comunque alle banche dati. A tale proposito, il citato allegato B, (recante il «disciplinare tecnico in materia di misure minime di sicurezza») annesso al codice, nel delineare le misure minime di sicurezza, distingue i casi in cui il trattamento avvenga con l'ausilio di strumenti informatici da quelli effettuati senza tale ausilio. Si tratta di misure non solamente necessarie per garantire la tutela della privacy, ma anche estremamente gravose per tutte quelle strutture che quotidianamente trattano pratiche che contengono innumerevoli dati sensibili. È proprio per questo motivo che da parte degli studi professionali sono state segnalate forti difficoltà a rispettare la prossima scadenza di fine giugno. Difficoltà che, qualora si traducessero in omissioni, avrebbero conseguenze penali.
La presente proposta di legge è volta a porre rimedio a tali oggettive difficoltà prorogando di sei mesi la scadenza del termine del 30 giugno 2004 previsto per gli adempimenti relativi alla predisposizioni delle misure minime di tutela della privacy prescritte dal codice in materia di protezione dei dati personali, di cui al decreto legislativo n. 196 del 2003.
Pag. 3
1. Il comma 1 dell'articolo 180 del codice in materia di protezione dei dati personali, di cui al decreto legislativo 30 giugno 2003, n. 196, è sostituito dal seguente:
«1. Le misure minime di sicurezza di cui agli articoli da 33 a 35 e all'allegato B) che non erano previste dal regolamento di cui al decreto del Presidente della Repubblica 28 luglio 1999, n. 318, sono adottate entro il 31 dicembre 2004».
|
|