Percorso: Prima pagina/Stato/Pubblica amministrazione
 


L'amministrazione pubblica deve verificare le misure di sicurezza adottate
Sanzioni a chi viola la riservatezza dei dati personali PAGINA PRECEDENTE
(Gar. Privacy)
   
   
Le Amministrazioni pubbliche hanno il dovere di verificare la rispondenza delle misure di sicurezza adottate ai requisiti previsti dalla legge sulla protezione dei dati personali e di adottare le opportune modifiche di natura organizzativa ed informatica per ridurre al minimo i rischi di violazione dei dati trattati. Altrimenti rischiano anche sanzioni penali. Lo ha ribadito il Garante della privacy esaminando il caso di un furto di alcuni tagliandi contenenti dati anagrafici e foto identificative, corrispondenti alle carte di identità rilasciate ai cittadini, verificato in un Comune. Nell'invito rivolto all'amministrazione comunale, l'Autorità ha evidenziato che la legge 675 , nell'introdurre disposizioni che regolano il trattamento dei dati personali, ha assegnato una precisa base giuridica agli obblighi relativi alle misure di sicurezza che riguardano il trattamento anche non automatizzato di dati. In base a tali disposizioni, i soggetti, sia pubblici sia privati, che gestiscono dati personali, devono osservare modalità di conservazione e di controllo dei dati tali da ridurre al minimo i rischi di eventuale distruzione o perdita degli stessi ed essere, inoltre, idonee ad impedire l'accesso non autorizzato o un trattamento abusivo o non conforme alla legge. La mancata predisposizione di tali misure comporta la responsabilità per i danni eventualmente causati. Il Garante ha sottolineato, inoltre, che il recente regolamento sulle misure minime di sicurezza (D.P.R. 14 settembre 1999, n.318) impone, anche per quanto riguarda i trattamenti cartacei, l'adozione di accorgimenti e cautele (misure organizzative, conservazione in archivi ad accesso selezionato, ecc.) che dovranno essere operativi entro sei mesi dall'entrata in vigore del decreto stesso. La mancata osservanza di queste norme comporta anche sanzioni di carattere penale. (17 novembre 1999)  


Oggetto: furto nei locali di un Comune di tagliandi corrispondenti a carte d'identita'

 

  

È pervenuta a questa Autorità una segnalazione con cui è stato comunicato che nei locali di codesto Comune si è verificato un furto di alcuni tagliandi contenenti dati personali (quali i dati anagrafici e foto identificative) corrispondenti alle carte di identità rilasciate ad alcuni residenti.

In merito si evidenzia che la legge 31 dicembre 1996, n. 675, nell'introdurre disposizioni che regolano il trattamento dei dati personali, ha assegnato una precisa base giuridica agli obblighi relativi alle misure di sicurezza che riguardano il trattamento anche non automatizzato di dati (art. 15).

In base a tale disposizione i soggetti, sia pubblici che privati, che gestiscono dati personali, devono osservare modalità di conservazione e di controllo dei dati tali da ridurre al minimo i rischi di eventuale distruzione o perdita dei dati trattati ed essere, inoltre, idonee ad impedire l'accesso non autorizzato o un trattamento non conforme alla legge (art. 15, comma 1, legge n. 675/1996).

Queste modalità presuppongono anche il rispetto delle "misure minime di sicurezza" la cui individuazione è demendata ad un regolamento governativo (artt. 15, comma 2 e 41, comma 3). Precisamente l'art. 15, comma 1, della legge impone al titolare e al responsabile, se designato, l'obbligo di custodire e controllare i dati trattati mediante l'adozione di idonee e preventive misure di sicurezza, individuate alla luce delle conoscenze acquisite in base al progresso tecnico, in relazione alla natura dei dati e alle specifiche caratteristiche del trattamento, tali da ridurre al minimo i rischi di loro distruzione, perdita accidentale, accesso non autorizzato, trattamento non consentito o, comunque, non conforme alle finalità della raccolta.

La mancata predisposizione di tali misure comporta la responsabilità per danni evantualmente cagionati (art. 18). Lo stesso art. 15 prevede poi, al comma 2, l'individuazione, tramite un regolamento poi emanato con il d.P.R. n. 318/1999, di "misure minime di sicurezza". Tale regolamento, che in considerazione dell'evolversi della tecnologia e del costume è destinato ad essere aggiornato con cadenza almeno biennale, è teso ad enucleare quel minimo comune denominatore delle misure di sicurezza vigenti e la cui mancata osservanza comporta sanzioni di carattere penale oltre a ledere i diritti degli interessati (art. 36).

La legge contiene inoltre alcune disposizioni transitorie che, nel prevedere l'obbligo del rispetto delle misure minime di sicurezza entro sei mesi dalla data di entrata in vigore del citato regolamento, dispone che i dati personali debbano essere custoditi nel frattempo in modo tale da evitare un aumento dei rischi richiamati al'art. 15, comma 1 (art. 41, comma 3). Come già osservato dal Garante in un parere relativo ad uno schema di circolare in materia di sicurezza di cui si allega copia, la disciplina di cui all'art. 15 della legge deve essere attuata, innanzitutto, a cura del titolare del trattamento, tramite i soggetti legittimati ad esprimere la volontà dell'ente e che sono tenuti, altresì, ad impartire agli eventuali "responsabili" e/o "incaricati" del trattamento analitiche istruzioni per iscritto e a vigilare sul loro operato (art. 8, legge n. 675).

Le misure di sicurezza devono essere inoltre tali da prevenire, dall'interno o dall'esterno delle amministrazioni interessate, accessi ed utilizzazioni abusive, non corrette o non conformi alle finalità della raccolta.Pare opportuno evidenziare che la legge n. 675 colloca sullo stesso livello le altre scelte organizzative che presuppongono la valutazione delle finalità e delle modalità di trattamento, l'analisi della natura dei dati e della compatibilità degli scopi perseguiti, nonché il rispetto di altre garanzie riconosciute dalla legge. Si segnala pertanto a codesto Comune la necessità di verificare la rispondenza delle misure di sicurezza adottate ai requisiti di legge sopra indicati operando le opportune modifiche di natura organizzativa ed informatica per ridurre al minimo i rischi di violazione dei dati personali trattati.