Modifiche del provvedimento del 27 novembre 2008, recante prescrizioni ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni di amministratore di sistema e proroga dei termini per il loro adempimento. (09A07491)
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
Nella riunione odierna, in presenza del prof. Francesco Pizzetti,
presidente, del dott. Giuseppe Chiaravalloti, vicepresidente, del
dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti e del
dott. Filippo Patroni Griffi, segretario generale;
Visto il codice in materia di protezione dei dati personali
(decreto legislativo 30 giugno 2003, n. 196) e, in particolare, gli
articoli 31 ss. e 154, comma 1, lettere c) e h), nonche’ il
disciplinare tecnico in materia di misure minime di sicurezza di cui
all’allegato B del medesimo codice;
Visto il provvedimento del Garante del 27 novembre 2008 relativo a
«misure e accorgimenti prescritti ai titolari dei trattamenti
effettuati con strumenti elettronici relativamente alle attribuzioni
delle funzioni di amministratore di sistema», pubblicato nella
Gazzetta Ufficiale n. 300 del 24 dicembre 2008 (di seguito,
«Provvedimento»);
Visto il provvedimento del Garante del 12 febbraio 2009 con cui si
e’ disposto di unificare e contestualmente prorogare i termini per
l’adempimento delle prescrizioni di cui al citato Provvedimento
procrastinandone la scadenza al 30 giugno 2009, pubblicato nella
Gazzetta Ufficiale n. 45 del 24 febbraio 2009;
Visto il provvedimento del Garante del 21 aprile 2009 con cui si e’
deciso di attivare una consultazione pubblica volta ad acquisire
osservazioni e commenti da parte dei titolari del trattamento ai
quali il provvedimento si rivolge con esclusivo riferimento a quanto
prescritto al punto 2 del provvedimento, dando tempo fino al 31
maggio 2009 per far pervenire osservazioni e commenti, pubblicato
nella Gazzetta Ufficiale n. 105 dell’8 maggio 2009;
Tenuto conto dei numerosi contributi pervenuti, sia da singoli
titolari del trattamento sia da associazioni rappresentative di
categoria, che evidenziano taluni problemi applicativi relativi alla
completa attuazione di alcune delle misure e degli accorgimenti
prescritti nel provvedimento;
Considerato che, oltre ai predetti contributi, sono pervenute anche
richieste di differimento dei termini indicati nel provvedimento del
12 febbraio 2009;
Rilevata pertanto l’opportunita’ di integrare e parzialmente
modificare il provvedimento recependo alcune delle indicazioni emerse
nel corso della consultazione pubblica per facilitare il corretto
adempimento alle prescrizioni impartite, senza compromettere il
livello di tutela assicurato agli interessati;
Ritenuto, in particolare, di prevedere che le prescrizioni relative
alla conservazione degli estremi identificativi degli amministratori
di sistema e alla verifica delle attivita’ da questi svolte possano
essere rimesse al responsabile del trattamento, all’atto della sua
designazione da parte del titolare o anche tramite opportune clausole
contrattuali;
Ritenuta, altresi’, la necessita’ di prorogare i termini previsti
per l’adempimento delle prescrizioni, disponendo che tutti i titolari
del trattamento (qualunque sia la data di inizio dei trattamenti che
li riguardano) adottino le misure e gli accorgimenti di cui al punto
2 del dispositivo del provvedimento, come modificato e integrato dal
presente provvedimento, entro il 15 dicembre 2009;
Viste le osservazioni formulate dal segretario generale ai sensi
dell’art. 15 del regolamento del Garante n. 1/2000;
Relatore il prof. Francesco Pizzetti;
Dispone:
a) di apportare in premessa del provvedimento le seguenti
modifiche:
1. al punto 4.3, primo capoverso, le parole «nel documento
programmatico sulla sicurezza, oppure, nei casi in cui il titolare
non e’ tenuto a redigerlo, annotati comunque» sono eliminate;
2. al punto 4.3, terzo capoverso, la parola «deve» e’ sostituita
dalle parole «o il responsabile del trattamento devono»;
3. al punto 4.4, primo capoverso, dopo la parola «titolari» sono
aggiunte le parole «o dei responsabili»;
b) di apportare al punto 2 del provvedimento le seguenti modifiche:
1. alla lettera c), primo capoverso, le parole «nel documento
programmatico sulla sicurezza oppure, nei casi in cui il titolare non
e’ tenuto a redigerlo, annotati comunque» sono eliminate; al secondo
capoverso, alla fine del penultimo periodo dopo la parentesi, sono
aggiunte le parole «o tramite procedure formalizzate a istanza del
lavoratore»;
2. alla lettera d), le parole «il titolare deve» sono sostituite
con «il titolare o il responsabile esterno devono»;
3. alla lettera e), dopo le parole «titolari del trattamento» sono
inserite le parole «o dei responsabili»;
4. dopo il punto 3 e’ aggiunto il seguente punto 3-bis: «dispone
che l’eventuale attribuzione al responsabile del compito di dare
attuazione alle prescrizioni di cui al punto 2, lettera d) ed e),
avvenga nell’ambito della designazione del responsabile da parte del
titolare del trattamento, ai sensi dell’art. 29 del Codice, o anche
tramite opportune clausole contrattuali»;
c) di prorogare al 15 dicembre 2009 i termini per l’adempimento
delle prescrizioni di cui al punto 2 del provvedimento, come
modificate e integrate dal punto b) del presente provvedimento;
d) di trasmettere copia del presente provvedimento al Ministero
della giustizia – Ufficio pubblicazione leggi e decreti per la sua
pubblicazione nella Gazzetta Ufficiale della Repubblica italiana.
Roma, 25 giugno 2009
Il presidente: Pizzetti
Il relatore: Pizzetti
Il segretario generale: Patroni Griffi