Il Capo I del Titolo V della prima parte del
D.Lgs. n. 196/2003 (t.u. in materia di privacy) trattava delle misure di sicurezza relative al trattamento dei dati personali. L'intera materia è stata ridefinita dal GDPR, al quale pertanto si rimanda per la trattazione della disciplina vigente. Per quanto attiene a quella abrogata, può essere precisato quanto segue.
Ai sensi dell'
art. 31 t.u. i dati personali oggetto di trattamento erano custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento,
in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi,
di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta. L'
art. 32 t.u.
considerava la speciale attività di alcuni titolari del trattamento. Il fornitore di un servizio di comunicazione elettronica accessibile al pubblico doveva così adottare, ai sensi dell'
art. 31 t.u., idonee misure tecniche e organizzative adeguate al rischio esistente, per salvaguardare la sicurezza dei suoi servizi, l'integrità dei dati relativi al traffico, dei dati relativi all'ubicazione e delle comunicazioni elettroniche rispetto ad ogni forma di utilizzazione o cognizione non consentita
nota1.
Il Capo II del Titolo V assumeva notevole rilevanza, trattando
delle c.d. "misure minime" di sicurezza, la cui mancata adozione si palesava notevolmente rilevante, dal momento che era causa dell'irrogazione al titolare del trattamento di sanzioni di carattere penale (cfr. l'
art. 169 t.u.).
L'
art. 33 t.u., intitolato per l'appunto "misure minime" disponeva che "nel quadro dei più generali obblighi di sicurezza di cui all'
art. 31 t.u., o previsti da speciali disposizioni, i titolari del trattamento (erano) comunque tenuti ad adottare le misure minime individuate nel presente capo o ai sensi dell'
art. 58, comma 3, t.u. volte ad assicurare un livello minimo di protezione dei dati personali".
Gli
artt. 34 e
35 del t.u. si occupavano del trattamento dei dati eseguito con o senza l'ausilio di strumenti elettronici. Come è evidente il caso di gran lunga più frequente era il primo, anche se non si poteva escludere la ricorrenza del secondo.
Ai sensi dell'
art. 34 t.u.
il trattamento di dati personali effettuato con strumenti elettronici era consentito solo se fossero states adottate, nei modi previsti dal disciplinare tecnico contenuto nell'allegato B del t.u., le seguenti misure minime:
a) autenticazione informatica;
b) adozione di procedure di gestione delle credenziali di autenticazione;
c) utilizzazione di un sistema di autorizzazione;
d) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici;
e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici;
f) adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi;
g) Non era invece più necessaria la tenuta di un aggiornato documento programmatico sulla sicurezza: tale requisito era stato eliminato per effetto dell'entrata in vigore del d.l. 5/2012, conv. dalla l. 35/2012 che aveva introdotto un regime semplificato basato sull'autocertificazione: cfr. comma 1 bis della disposizione in parola);
h) adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari.
Ai sensi dell'
art. 35 t.u. il trattamento di dati personali effettuato senza l'ausilio di strumenti elettronici era consentito solo se fossero adottate, nei modi previsti dal disciplinare tecnico contenuto nell'
allegato B, le seguenti misure minime:
a) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati o alle unità organizzative;
b) previsione di procedure per un'idonea custodia di atti e documenti affidati agli incaricati per lo svolgimento dei relativi compiti;
c) previsione di procedure per la conservazione di determinati atti in archivi ad accesso selezionato e disciplina delle modalità di accesso finalizzata all'identificazione degli incaricati.Il disciplinare tecnico di cui all'
allegato B al t.u., relativo alle misure minime di cui al presente capo, veniva, ex
art. 36 t.u., aggiornato periodicamente con decreto del Ministro della giustizia di concerto con il Ministro per le innovazioni e le tecnologie, in relazione all'evoluzione tecnica e all'esperienza maturata nel settore.
Il Titolo VI, Parte I del t.u.
descriveva gli adempimenti che devono essere compiuti dai soggetti coinvolti nel trattamento dei dati personali. Ai sensi dell'
art. 37 t.u.
il titolare doveva notificare al Garante il trattamento di dati personali cui intende procedere, solo se il trattamento riguardasse i seguenti aspetti :
a) dati genetici, biometrici o dati che indicano la posizione geografica di persone od oggetti mediante una rete di comunicazione elettronica;
b) dati idonei a rivelare lo stato di salute e la vita sessuale, trattati a fini di procreazione assistita, prestazione di servizi sanitari per via telematica relativi a banche di dati o alla fornitura di beni, indagini epidemiologiche, rilevazione di malattie mentali, infettive e diffusive, sieropositività, trapianto di organi e tessuti e monitoraggio della spesa sanitaria;
c) dati idonei a rivelare la vita sessuale o la sfera psichica trattati da associazioni, enti od organismi senza scopo di lucro, anche non riconosciuti, a carattere politico, filosofico, religioso o sindacale;
d) dati trattati con l'ausilio di strumenti elettronici volti a definire il profilo o la personalità dell'interessato, o ad analizzare abitudini o scelte di consumo, ovvero a monitorare l'utilizzo di servizi di comunicazione elettronica con esclusione dei trattamenti tecnicamente indispensabili per fornire i servizi medesimi agli utenti;
e) dati sensibili registrati in banche di dati a fini di selezione del personale per conto terzi, nonchè dati sensibili utilizzati per sondaggi di opinione, ricerche di mercato e altre ricerche campionarie;
f) dati registrati in apposite banche di dati gestite con strumenti elettronici e relative al rischio sulla solvibilità economica, alla situazione patrimoniale, al corretto adempimento di obbligazioni, a comportamenti illeciti o fraudolenti.L'
art. 37, comma 1 bis, introdotto dal D.L. n. 81/2004 stabiliva che la notificazione relativa al trattamento dei dati di cui al comma 1 non fosse dovuta se relativa all'attività dei medici di famiglia e dei pediatri di libera scelta, in quanto tale funzione era tipica del loro rapporto professionale con il Servizio sanitario nazionale.
Si osservi che le ipotesi prese in considerazione dal legislatore nell'elenco di cui al I comma non costituivano un numerus clausus. A i sensi dell'
art. 37, comma 2 in esame infatti il Garante poteva individuare altri trattamenti suscettibili di recare pregiudizio ai diritti e alle libertà dell'interessato, in ragione delle relative modalità o della natura dei dati personali, con proprio provvedimento adottato anche ai sensi dell'
art. 17 t.u.. Con analogo provvedimento pubblicato sulla Gazzetta ufficiale della Repubblica italiana il Garante poteva anche individuare, nell'ambito dei trattamenti di cui al comma I, eventuali trattamenti non suscettibili di recare detto pregiudizio e pertanto sottratti all'obbligo di notificazione.
La notificazione era effettuata con unico atto anche quando il trattamento comporta il trasferimento all'estero dei dati.
Il Garante inseriva le notificazioni ricevute in un registro dei trattamenti accessibile a chiunque e determina le modalità per la sua consultazione gratuita per via telematica, anche mediante convenzioni con soggetti pubblici o presso il proprio Ufficio. Le notizie accessibili tramite la consultazione del registro avrebbero potuto essere trattate per esclusive finalità di applicazione della disciplina in materia di protezione dei dati personali.
La notificazione del trattamento veniva presentata ex art. 38 t.u. al Garante prima dell'inizio del trattamento ed una sola volta, a prescindere dal numero delle operazioni e della durata del trattamento da effettuare, e avrebbe potuto anche riguardare uno o più trattamenti con finalità correlate
nota2.
Il titolare del trattamento era poi tenuto in ottemperanza a quanto disposto dall'art. 39 t.u., a comunicare previamente al Garante le seguenti circostanze: a) comunicazione di dati personali da parte di un soggetto pubblico ad altro soggetto pubblico non prevista da una norma di legge o di regolamento, effettuata in qualunque forma anche mediante convenzione;
b) trattamento di dati idonei a rivelare lo stato di salute previsto dal programma di ricerca biomedica o sanitaria di cui al I comma, primo periodo dell'art. 110 t.u. .I trattamenti oggetto di comunicazione ai sensi del comma 1 potevano essere iniziati decorsi quarantacinque giorni dal ricevimento della comunicazione salvo diversa determinazione anche successiva del Garante.
La comunicazione di cui all'
art. 39, comma 1 t.u. era inviata utilizzando il modello predisposto e reso disponibile dal Garante, e trasmessa a quest'ultimo per via telematica osservando le modalità di sottoscrizione con firma digitale e conferma del ricevimento di cui al II comma dell'
art. 38 t.u., oppure mediante telefax o lettera raccomandata.
Era anche previsto il rilascio di
autorizzazioni generali relative a determinate categorie di titolari o di trattamenti (
art. 40 t.u.), in attuazione delle quali il Garante ha emanato i Provvedimenti nn.1-7 del 30 giugno 2004. In tal caso, ai sensi dell'
art. 41 t.u., il titolare del trattamento non era tenuto a presentare al Garante una richiesta di autorizzazione se il trattamento che intende effettuare fosse conforme alle relative prescrizioni
nota3.
Note
nota1
L'
art. 32 t.u. in esame prevedeva inoltre l'interazione, nel problema del trattamento dei dati, delle tecnologie di connettività, soprattutto in relazione al fatto che le stesse potessero essere gestite da un soggetto diverso rispetto al titolare del trattamento.
Quando la sicurezza del servizio o dei dati personali richiedesse anche l'adozione di misure che riguardano la rete, il fornitore del servizio di comunicazione elettronica accessibile al pubblico avrebbe adottato tali misure congiuntamente con il fornitore della rete pubblica di comunicazioni. In caso di mancato accordo, su richiesta di uno dei fornitori, la controversia era definita dall'Autorità per le garanzie nelle comunicazioni secondo le modalità previste dalla normativa allora vigente.
Il fornitore di un servizio di comunicazione elettronica accessibile al pubblico informava gli abbonati e, ove possibile, gli utenti, se fosse sussistito un particolare rischio di violazione della sicurezza della rete, indicando, quando il rischio fosse al di fuori dell'ambito di applicazione delle misure che il fornitore stesso era tenuto ad adottare ai sensi dell'
art. 32, commi 1 e 2 t.u. tutti i possibili rimedi e i relativi costi presumibili. Analoga informativa era resa al Garante e all'Autorità per le garanzie nelle comunicazioni.
top1nota2
Ulteriori modalità erano previste sempre dall'
art. 38 t.u., i cui commi successivi prevedevano che la notificazione fosse validamente effettuata solo se trasmessa per via telematica utilizzando il modello predisposto dal Garante e osservando le prescrizioni da questi impartite, anche per quanto riguarda le modalità di sottoscrizione con firma digitale e di conferma del ricevimento della notificazione.
Il Garante favoriva la disponibilità del modello per via telematica e la notificazione anche attraverso convenzioni stipulate con soggetti autorizzati in base alla normativa vigente, anche presso associazioni di categoria e ordini professionali.
Una nuova notificazione era richiesta solo anteriormente alla cessazione del trattamento o al mutamento di taluno degli elementi da indicare nella notificazione medesima.
Il Garante poteva individuare altro idoneo sistema per la notificazione in riferimento a nuove soluzioni tecnologiche previste dalla normativa allora vigente.
Il titolare del trattamento che non era tenuto alla notificazione al Garante ai sensi dell'
art. 37 t.u. forniva le notizie contenute nel modello di cui all'
art. 38, comma 2 t.u. a chi ne avesse fatto richiesta, salvo che il trattamento riguardasse pubblici registri, elenchi, atti o documenti conoscibili da chiunque.
top2nota3
Tuttavia, ai sensi dell'
art. 41, comma 2 t.u., se una richiesta di autorizzazione avesse riguardato un trattamento autorizzato ai sensi dell'
art. 40 t.u., il Garante avrebbe potuto provvedere comunque sulla richiesta se le specifiche modalità del trattamento lo giustificassero.
L'eventuale richiesta di autorizzazione era formulata utilizzando esclusivamente il modello predisposto e reso disponibile dal Garante e trasmessa a quest'ultimo per via telematica, osservando le modalità di sottoscrizione e conferma del ricevimento di cui all'
art. 38, comma II, del t.u.. La medesima richiesta e l'autorizzazione potevano essere trasmesse anche mediante telefax o lettera raccomandata.
Se il richiedente fosse stato invitato dal Garante a fornire informazioni o ad esibire documenti, il termine di quarantacinque giorni di cui all'
art. 26, comma 2, t.u., sarebbe decorso dalla data di scadenza del termine fissato per l'adempimento richiesto.
In presenza di particolari circostanze, il Garante avrebbe potuto rilasciare un'autorizzazione provvisoria a tempo determinato.
top3