NELLA riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti, e del dott. Giovanni Buttarelli, segretario generale;

VISTO il Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196) e, in particolare gli articoli 33 ss., nonché il relativo Allegato B) contenente il disciplinare tecnico in materia di misure minime di sicurezza;

VISTO l'art. 29 del decreto-legge 25 giugno 2008, n. 112, come modificato dalla legge di conversione 6 agosto 2008, n. 133, con il quale è stato, fra l'altro, modificato l'art. 34 del Codice;

RITENUTA l'esigenza di individuare alcune modalità semplificate di applicazione del predetto disciplinare tecnico da parte dei “soggetti che trattano soltanto dati personali non sensibili e che trattano come unici dati sensibili quelli costituiti dallo stato di salute o malattia dei propri dipendenti e collaboratori anche a progetto, senza indicazione della relativa diagnosi, ovvero dall'adesione ad organizzazioni sindacali o a carattere sindacale”, nonché rispetto a “trattamenti comunque effettuati per correnti finalità amministrative e contabili, in particolare presso piccole e medie imprese, liberi professionisti e artigiani”, nel rispetto dei diritti degli interessati (comma 1-bis art. 34 cit.);

RILEVATA l'ulteriore esigenza che di tali modalità semplificate, da aggiornare periodicamente, sia data la più ampia pubblicità anche attraverso il sito Internet dell'Autorità (http://www.garanteprivacy.it);

VISTO il parere del Ministro per la semplificazione normativa formulato con nota del 21 novembre 2008, sullo schema preliminare del presente provvedimento trasmesso con nota del 3 novembre 2008;

VISTE le osservazioni dell'Ufficio, formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;

RELATORE il prof. Francesco Pizzetti;

Il presente provvedimento individua modalità semplificate di applicazione delle misure minime di sicurezza contenute nel disciplinare tecnico di cui all'Allegato B) al Codice in materia di protezione dei dati personali, di seguito indicato come Allegato B).

La disciplina sulle misure minime di sicurezza

I soggetti che trattano dati personali sono tenuti a proteggerli attraverso adeguate misure di sicurezza.

Alcune di esse sono individuate puntualmente dal Codice e delineano il livello minimo di protezione dei dati: si tratta delle misure indicate dagli articoli 33 ss. del Codice, da adottare nei modi previsti dall'Allegato B).

Di recente sono state introdotte con disposizione di legge alcune semplificazioni relative ai trattamenti effettuati con strumenti elettronici da parte dei soggetti che utilizzano soltanto dati personali non sensibili e che trattano, come unici dati sensibili, quelli inerenti allo stato di salute o alla malattia dei propri dipendenti e collaboratori anche a progetto, senza indicazione della relativa diagnosi, ovvero all'adesione a organizzazioni sindacali o a carattere sindacale.

Per questi casi, la tenuta di un aggiornato documento programmatico sulla sicurezza (art. 34, comma 1, lett. g) del Codice) è stata sostituita da un obbligo di autocertificazione (resa dal titolare del trattamento ai sensi dell'articolo 47 del testo unico di cui al decreto del Presidente della Repubblica 28 dicembre 2000, n. 445) di trattare soltanto tali dati in osservanza delle altre misure di sicurezza prescritte (art. 29 d.l. 25 giugno 2008, n. 112, come modificato dalla legge di conversione 6 agosto 2008, n. 133).

In relazione ai trattamenti sopra menzionati, nonché a quelli effettuati da chiunque per correnti finalità amministrative e contabili in particolare presso piccole e medie imprese, liberi professionisti e artigiani, il Garante deve individuare modalità semplificate di applicazione dell'Allegato B) sentito il Ministro per la semplificazione normativa.

Tale individuazione avviene mediante il presente provvedimento, che sarà aggiornato con cadenza periodica.

Semplificazione per taluni trattamenti

Come il Garante ha già evidenziato nel provvedimento del 19 giugno 2008 (in Gazzetta Ufficiale 1° luglio 2008, n. 152 e in www.garanteprivacy.it, doc. web n. 1526724), nonché mediante la segnalazione al Parlamento e al Governo in materia di misure minime di sicurezza del 19 giugno 2008, da parte di taluni titolari del trattamento le medesime misure di sicurezza possono essere attuate in modo semplificato, alla luce dell'esperienza applicativa e senza diminuire dal punto di vista sostanziale le cautele volte a prevenire determinati rischi (art. 34, comma 1 bis, del Codice, come introdotto dall'art. 29 cit.).

Sono state pertanto individuate alcune nuove modalità volte a semplificare incisivamente l'applicazione di varie regole contenute nell'Allegato B).

L'obiettivo è garantire egualmente un idoneo livello di sicurezza tenendo conto delle ridotte dimensioni di alcune realtà organizzative, nonché della particolare natura di alcuni trattamenti a fini esclusivamente amministrativo-contabili. Ciò, sulla base di una dettagliata ricognizione delle singole questioni e di approfondimenti svolti in ordine alle questioni applicative che sono state poste a vario titolo all'attenzione di questa Autorità, in particolare attraverso quesiti e segnalazioni.

Le modalità semplificate elencate nell'unito prospetto potranno essere applicate immediatamente dai soggetti interessati.

    a) ai sensi dell'art. 34, comma 1-bis, del Codice individua nell'unito prospetto che costituisce parte integrante del presente provvedimento le modalità semplificate per applicare le misure minime di sicurezza per il trattamento dei dati personali;

    b) dispone che copia del presente provvedimento sia trasmessa al Ministero della giustizia-Ufficio pubblicazione leggi e decreti, per la sua pubblicazione sulla Gazzetta Ufficiale della Repubblica italiana.

Roma, 27 novembre 2008