Il Codice della privacy, dopo le rilevanti modifiche apportate dal decreto ‘Salva-Italia’, è stato oggetto di rinnovato interesse da parte del Legislatore. Nell’ambito di un intervento normativo organico del Governo volto a semplificare numerosi adempimenti previsti in vari settori dell’ordinamento giuridico – difatti - il d.l. 9 febbraio 2012, numero 5 G.U. 9 febbraio 2012, numero 33, Suppl. Ord. numero 27 – noto come ‘Decreto Semplificazioni’ – ha anche previsto all’articolo 45 l’eliminazione dell’obbligo di « tenuta di un aggiornato documento programmatico sulla sicurezza » [ prima disposto dall’articolo 34, comma 1, lett. g , Codice della privacy].
Coerentemente con la eliminazione di tale obbligo normativo generale, il decreto procede altresì sia alla abrogazione delle modalità operative con le quali tale documento doveva essere redatto e aggiornato previste nell’Allegato B al Codice della privacy – «Disciplinare Tecnico in materia di misure minime di sicurezza» - dal punto 19 al punto 19.8 e al punto 26 , sia alla abrogazione della diversa norma l’articolo 34, comma 1- bis, Codice della privacy che – mediante un precedente intervento normativo di semplificazione parziale – aveva già sostituito l’obbligo di adottare il Documento Programmatico sulla Sicurezza DPS con una autocertificazione resa dal titolare del trattamento, in presenza di determinati presupposti, ed avente ad oggetto l’avvenuta adozione delle misure minime di sicurezza che il DPS aveva appunto il compito di certificare e documentare. Obiettivo di questo intervento, articolato in più puntate, è dunque quello di analizzare in primo luogo in cosa consistono le semplificazioni introdotte per poi valutare le conseguenze concrete di tali modifiche, con la finalità di evidenziarne la portata applicativa pratica. Come inquadrare il DPS nel più generale ambito di obbligo di adozione delle misure di sicurezza nei trattamenti di dati personali. Prima di analizzare quali siano in concreto gli effetti dell’ultima semplificazione introdotta al Codice della privacy e dunque comprenderne anche le conseguenze sul piano pratico , appare opportuno ricordare sinteticamente in che cosa consistesse l’obbligo di «tenuta di un aggiornato documento programmatico sulla sicurezza». E per far ciò, occorre inquadrare l’obbligo ora abrogato nell’ambito del più generale panorama delle prescrizioni imposte ai titolari dal Codice della privacy di adottare le misure di sicurezza nei trattamenti di dati personali. Il corollario delle garanzie normative del diritto alla riservatezza è difatti rappresentato dall’obbligo per i titolari o responsabili se designati del trattamento di adottare opportune misure di sicurezza nei trattamenti, dal punto di vista logico, organizzativo, fisico e tecnico, per impedire che le garanzie di legge vengano vanificate dall’assenza di misure specifiche in ordine alla sicurezza del trattamento dei dati personali. In particolare, gli articolo 31 e 33 del Codice della privacy prevedono l’obbligo di adottare misure preventive di sicurezza dei trattamenti distinguendo due diversi livelli a le misure di sicurezza ‘idonee’, di cui all’articolo 31, co. 1, il cui scopo è quello di ridurre al minimo i rischi per la sicurezza dei dati pericolo di distruzione o perdita accidentale dei dati, di accesso non autorizzato, etc. b le misure di sicurezza ‘minime’, di cui all’articolo 33, come meglio individuate dal Disciplinare Tecnico in materia di misure minime di sicurezza - Allegato B al Codice della privacy. Quali sono le differenze tra misure di sicurezza idonee e misure di sicurezza minime entrambe da adottare preventivamente, secondo il dettato normativo ? Le misure di sicurezza idonee comportano per il titolare il duplice obbligo di custodia e di controllo dei dati personali in modo da ridurre al minimo dunque non è richiesto – anche perché non sarebbe possibile – di eliminare del tutto i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta. Tuttavia, è il concetto stesso di ‘idoneità’ di tali misure che può variare l’idoneità, cioè, va rapportata alle conoscenze acquisite in base al progresso tecnico quindi, se determinate misure di sicurezza possono essere considerate idonee in una certa fase, è possibile che non lo siano più se successivamente il progresso tecnico garantisce più elevati livelli di sicurezza , alla natura dei dati ad esempio, la necessità di livelli di sicurezza idonei per il trattamento di dati sanitari è sicuramente maggiore rispetto agli standard che sarebbe necessario adottare per il trattamento di dati personali comuni , alle specifiche caratteristiche del trattamento. In conclusione, il concetto giuridico di ‘idoneità’ delle misure di sicurezza va individuato per relationem tenendo presente i criteri sopra descritti, che sono per loro natura variabili. D’altra parte, le misure di sicurezza ‘minime’, individuate dall’articolo 33, Codice della privacy e – con riferimento alle modalità esecutive – dal Disciplinare Tecnico che ha assorbito, aggiornato ed abrogato il previgente d.p.r. numero 318/1999 recante il regolamento sulle misure minime di sicurezza , rappresentano una base fissa di principi in materia di sicurezza dei trattamenti dei dati personali ai quali i titolari, responsabili se nominati ed incaricati del trattamento devono conformarsi essendo ovviamente liberi di adottare – come spesso sarebbe opportuno - anche standard di sicurezza più elevati rispetto a quelli normativi ‘minimi’ richiesti dal Codice della privacy. La disciplina in materia di misure minime di sicurezza contenuta nel Codice della privacy prevede alcune regole di carattere generale articolo da 33 a 36 che sono appositamente specificate – anche dal punto di vista tecnico – nel Disciplinare Tecnico. L’adozione delle misure minime di sicurezza è un obbligo che grava in ogni caso su tutti i titolari di trattamenti di dati personali sia nel caso di trattamenti manuali o cartacei sia nel caso di trattamenti svolti con l’ausilio di strumenti elettronici e rappresenta una piattaforma per rendere conformi tali trattamenti alle prescrizioni normative volte a garantire un livello minimo di protezione dei dati personali. Il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate misure minime ben precise. L’adozione delle misure minime di sicurezza definite dall’articolo 4, co. 3, lett. a , Codice della privacy, come «il complesso delle misure tecniche, informatiche, organizzative, logistiche e procedurali di sicurezza che configurano il livello minimo di protezione richiesto in relazione ai rischi di distruzione o perdita, anche accidentale, dei dati personali, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta» richiede diversi adempimenti in rapporto alla tipologia di trattamento dei dati effettuato se manuale o svolto con l’ausilio di strumenti elettronici . Difatti, secondo quanto previsto dall’articolo 34, Codice della privacy, il trattamento di dati personali effettuato con strumenti elettronici cioè mediante elaboratori, programmi per elaboratori e qualunque dispositivo elettronico o comunque automatizzato con cui si effettua il trattamento è consentito solo se sono adottate, nei modi previsti dal Disciplinare Tecnico contenuto nell’Allegato B del Codice, le seguenti misure minime a autenticazione informatica l'insieme degli strumenti elettronici e delle procedure per la verifica anche indiretta dell'identità cfr. articolo 4, co. 3, lett. c , Codice della privacy b adozione di procedure di gestione delle credenziali di autenticazione per «credenziali di autenticazione» l’articolo 4, co. 3, lett. d , Codice della privacy intende «i dati ed i dispositivi, in possesso di una persona, da questa conosciuti o ad essa univocamente correlati, utilizzati per l’autenticazione informatica» c utilizzazione di un sistema di autorizzazione per «sistema di autorizzazione» l’articolo 4, co. 3, lett. g del Codice della privacy intende «l'insieme degli strumenti e delle procedure che abilitano l'accesso ai dati e alle modalità di trattamento degli stessi, in funzione del profilo di autorizzazione del richiedente» d aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici e protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici f adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi g tenuta di un aggiornato documento programmatico sulla sicurezza h adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari. Come già si intuisce dalla mera lettura dell’elenco di misure minime di sicurezza previsto all’articolo 34, Codice della privacy, sarebbe gravemente erroneo ritenere che il Decreto Semplificazioni abbia totalmente eliminato l’obbligo per i titolari di adottare le misure di sicurezza nei trattamenti sia minime che – soprattutto – idonee il decreto, con l’abrogazione della sola lett. g del comma 1 dell’articolo 34 del Codice della privacy, ha semplicemente eliminato il mero obbligo di documentare l’adozione di quelle minime, adozione che era e resta obbligatoria, come restano in vigore le relative, dettagliate modalità tecniche ed esecutive previste ai punti da 1 a 18, da 20 a 25 e da 27 a 29 del Disciplinate Tecnico – Allegato B al Codice. D’altro canto, ai sensi del successivo articolo 35, Codice della privacy, il trattamento di dati personali effettuato senza l’ausilio di strumenti elettronici è consentito solo se sono adottate, sempre nei modi previsti dal Disciplinare Tecnico, le seguenti misure minime a aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati o alle unità organizzative b previsione di procedure per un’idonea custodia di atti e documenti affidati agli incaricati per lo svolgimento dei relativi compiti c previsione di procedure per la conservazione di determinati atti in archivi ad accesso selezionato e disciplina delle modalità di accesso finalizzata all'identificazione degli incaricati. E anche tali misure di sicurezza non sono state interessate dal Decreto Semplificazioni.