È pervenuta a questa Autorità una segnalazione con cui
è stato comunicato che nei locali di codesto Comune si è verificato un
furto di alcuni tagliandi contenenti dati personali (quali i dati
anagrafici e foto identificative) corrispondenti alle carte di
identità rilasciate ad alcuni residenti.
In merito si evidenzia che la legge 31 dicembre 1996, n. 675,
nell'introdurre disposizioni che regolano il trattamento dei dati
personali, ha assegnato una precisa base giuridica agli obblighi
relativi alle misure di sicurezza che riguardano il trattamento anche
non automatizzato di dati (art. 15).
In base a tale disposizione i soggetti, sia pubblici che privati,
che gestiscono dati personali, devono osservare modalità di
conservazione e di controllo dei dati tali da ridurre al minimo i
rischi di eventuale distruzione o perdita dei dati trattati ed essere,
inoltre, idonee ad impedire l'accesso non autorizzato o un trattamento
non conforme alla legge (art. 15, comma 1, legge n. 675/1996).
Queste modalità presuppongono anche il rispetto delle "misure
minime di sicurezza" la cui individuazione è demendata ad un
regolamento governativo (artt. 15, comma 2 e 41, comma 3).
Precisamente l'art. 15, comma 1, della legge impone al titolare e al
responsabile, se designato, l'obbligo di custodire e controllare i
dati trattati mediante l'adozione di idonee e preventive misure di
sicurezza, individuate alla luce delle conoscenze acquisite in base al
progresso tecnico, in relazione alla natura dei dati e alle specifiche
caratteristiche del trattamento, tali da ridurre al minimo i rischi di
loro distruzione, perdita accidentale, accesso non autorizzato,
trattamento non consentito o, comunque, non conforme alle finalità
della raccolta.
La mancata predisposizione di tali misure comporta la
responsabilità per danni evantualmente cagionati (art. 18). Lo stesso
art. 15 prevede poi, al comma 2, l'individuazione, tramite un
regolamento poi emanato con il d.P.R. n. 318/1999, di "misure minime
di sicurezza". Tale regolamento, che in considerazione dell'evolversi
della tecnologia e del costume è destinato ad essere aggiornato con
cadenza almeno biennale, è teso ad enucleare quel minimo comune
denominatore delle misure di sicurezza vigenti e la cui mancata
osservanza comporta sanzioni di carattere penale oltre a ledere i
diritti degli interessati (art. 36).
La legge contiene inoltre alcune disposizioni transitorie che, nel
prevedere l'obbligo del rispetto delle misure minime di sicurezza
entro sei mesi dalla data di entrata in vigore del citato regolamento,
dispone che i dati personali debbano essere custoditi nel frattempo in
modo tale da evitare un aumento dei rischi richiamati al'art. 15,
comma 1 (art. 41, comma 3). Come già osservato dal Garante in un
parere relativo ad uno schema di circolare in materia di sicurezza di
cui si allega copia, la disciplina di cui all'art. 15 della legge deve
essere attuata, innanzitutto, a cura del titolare del trattamento,
tramite i soggetti legittimati ad esprimere la volontà dell'ente e che
sono tenuti, altresì, ad impartire agli eventuali "responsabili" e/o
"incaricati" del trattamento analitiche istruzioni per iscritto e a
vigilare sul loro operato (art. 8, legge n. 675).
Le misure di sicurezza devono essere inoltre tali da prevenire,
dall'interno o dall'esterno delle amministrazioni interessate, accessi
ed utilizzazioni abusive, non corrette o non conformi alle finalità
della raccolta.Pare opportuno evidenziare che la legge n. 675 colloca
sullo stesso livello le altre scelte organizzative che presuppongono
la valutazione delle finalità e delle modalità di trattamento,
l'analisi della natura dei dati e della compatibilità degli scopi
perseguiti, nonché il rispetto di altre garanzie riconosciute dalla
legge. Si segnala pertanto a codesto Comune la necessità di verificare
la rispondenza delle misure di sicurezza adottate ai requisiti di
legge sopra indicati operando le opportune modifiche di natura
organizzativa ed informatica per ridurre al minimo i rischi di
violazione dei dati personali trattati.