Modifiche del provvedimento del 27 novembre 2008 recante prescrizioni ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni di amministratore di sistema e proroga dei termini per il loro adempimento – 25 giugno 2009 [doc. web n. 1626595]
(G.U. n. 149 del 30 giugno 2009)
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vicepresidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti e del dott. Filippo Patroni Griffi, segretario generale;
VISTO il Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196) e, in particolare, gli artt. 31 ss. e 154, comma 1, lett. c) e h), nonché il disciplinare tecnico in materia di misure minime di sicurezza di cui all’allegato B del medesimo Codice;
VISTO il provvedimento del Garante del 27 novembre 2008 relativo a “misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema”, pubblicato sulla G.U. n. 300 del 24 dicembre 2008 (di seguito, “Provvedimento”);
VISTO il provvedimento del Garante del 12 febbraio 2009 con cui si è disposto di unificare e contestualmente prorogare i termini per l’adempimento delle prescrizioni di cui al citato Provvedimento procrastinandone la scadenza al 30 giugno 2009, pubblicato sulla G.U. n. 45 del 24 febbraio 2009;
VISTO il provvedimento del Garante del 21 aprile 2009 con cui si è deciso di attivare una consultazione pubblica volta ad acquisire osservazioni e commenti da parte dei titolari del trattamento ai quali il provvedimento si rivolge con esclusivo riferimento a quanto prescritto al punto 2 del Provvedimento, dando tempo fino al 31 maggio 2009 per far pervenire osservazioni e commenti, pubblicato sulla G.U. n. 105 dell’8 maggio 2009;
TENUTO CONTO dei numerosi contributi pervenuti, sia da singoli titolari del trattamento sia da associazioni rappresentative di categoria, che evidenziano taluni problemi applicativi relativi alla completa attuazione di alcune delle misure e degli accorgimenti prescritti nel Provvedimento;
CONSIDERATO che, oltre ai predetti contributi, sono pervenute anche richieste di differimento dei termini indicati nel provvedimento del 12 febbraio 2009;
RILEVATA pertanto l’opportunità di integrare e parzialmente modificare il Provvedimento recependo alcune delle indicazioni emerse nel corso della consultazione pubblica per facilitare il corretto adempimento alle prescrizioni impartite, senza compromettere il livello di tutela assicurato agli interessati;
RITENUTO, in particolare, di prevedere che le prescrizioni relative alla conservazione degli estremi identificativi degli amministratori di sistema e alla verifica delle attività da questi svolte possano essere rimesse al responsabile del trattamento, all’atto della sua designazione da parte del titolare o anche tramite opportune clausole contrattuali;
RITENUTA, altresì, la necessità di prorogare i termini previsti per l’adempimento delle prescrizioni, disponendo che tutti i titolari del trattamento (qualunque sia la data di inizio dei trattamenti che li riguardano) adottino le misure e gli accorgimenti di cui al punto 2 del dispositivo del Provvedimento, come modificato e integrato dal presente provvedimento, entro il 15 dicembre 2009;
VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;
RELATORE il prof. Francesco Pizzetti;
DISPONE:
a) di apportare in premessa del Provvedimento le seguenti modifiche:
1. al punto 4.3, primo capoverso, le parole “nel documento programmatico sulla sicurezza, oppure, nei casi in cui il titolare non è tenuto a redigerlo, annotati comunque” sono eliminate;
2. al punto 4.3, terzo capoverso, la parola “deve” è sostituita dalle parole “o il responsabile del trattamento devono”;
3. al punto 4.4, primo capoverso, dopo la parola “titolari” sono aggiunte le parole “o dei responsabili”;
b) di apportare al punto 2 del Provvedimento le seguenti modifiche:
1. alla lettera c), primo capoverso, le parole “nel documento programmatico sulla sicurezza oppure, nei casi in cui il titolare non è tenuto a redigerlo, annotati comunque” sono eliminate; al secondo capoverso, alla fine del penultimo periodo dopo la parentesi, sono aggiunte le parole “o tramite procedure formalizzate a istanza del lavoratore”.
2. alla lettera d), le parole “il titolare deve” sono sostituite con “il titolare o il responsabile esterno devono”;
3. alla lettera e), dopo le parole “titolari del trattamento” sono inserite le parole “o dei responsabili”;
4. dopo il punto 3 è aggiunto il seguente punto 3-bis: “dispone che l’eventuale attribuzione al responsabile del compito di dare attuazione alle prescrizioni di cui al punto 2, lett. d) ed e), avvenga nell’ambito della designazione del responsabile da parte del titolare del trattamento, ai sensi dell’art. 29 del Codice, o anche tramite opportune clausole contrattuali”;
c) di prorogare al 15 dicembre 2009 i termini per l’adempimento delle prescrizioni di cui al punto 2 del Provvedimento, come modificate e integrate dal punto b) del presente provvedimento;
d) di trasmettere copia del presente provvedimento al Ministero della giustizia-Ufficio pubblicazione leggi e decreti per la sua pubblicazione sulla Gazzetta Ufficiale della Repubblica italiana.
Roma, 25 giugno 2009