E’ obbligatorio attuare misure di sicurezza per la conservazione dei dati archiviati, in modo da ridurre al minimo i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.
In materia il Codice in materia di protezione dei dati personali distingue due distinti obblighi:
a) l’obbligo più generale di ridurre al minimo determinati rischi.
Occorre custodire e controllare i dati personali oggetto di trattamento per contenere nella misura più ampia possibile il rischio che i dati siano distrutti, dispersi anche accidentalmente, conoscibili fuori dei casi consentiti o altrimenti trattati in modo illecito.
Oltre alle cosiddette 'misure minime' di sicurezza sussiste l’obbligo di adottare ogni altra misura di sicurezza idonea a fronteggiare le predette evenienze anche in base alle conoscenze acquisite in base al progresso tecnologico, alla natura dei dati e alle caratteristiche del trattamento, di cui si devono valutare comunque i rischi.
L’inosservanza di questo obbligo rende il trattamento illecito anche se non si determina un danno per gli interessati; viola inoltre i loro diritti, compreso il diritto fondamentale alla protezione dei dati personali che può essere esercitato nei confronti del titolare del trattamento, ed espone a responsabilità civile per danno anche non patrimoniale qualora, davanti al giudice ordinario, non si dimostri di aver adottato tutte le misure idonee ad evitarlo.
b) nell’ambito del predetto obbligo più generale, il dovere di adottare in ogni caso le 'misure minime'.
Nel quadro degli accorgimenti più ampi da adottare per effetto dell’obbligo ora richiamato, occorre assicurare comunque un livello minimo di protezione dei dati personali.
Pertanto, in aggiunta alle conseguenze appena ricordate, costituisce anche reato (art. 169 del Codice) l’omessa adozione di alcune misure indispensabili ('minime'), le cui modalità sono specificate tassativamente nell’Allegato B) del Codice visionabile sul sito del Garante.
Tutti i titolari di un trattamento di dati sensibili o giudiziari effettuato con strumenti elettronici sono inoltre tenuti alla redazione del Documento Programmatico sulla sicurezza (DPS). Il Garante ha posto a disposizione dei titolari del trattamento interessati sul sito www.garanteprivacy.it, un modello-base e semplificato di DPS da utilizzare facoltativamente.
La revisione delle procedure di sicurezza e il relativo aggiornamento del DPS devono essere effettuati entro il 31 marzo di ogni anno.
Anche per i trattamenti senza l'ausilio di strumenti elettronici (ad es. dati contenuti in archivi cartacei), sono previste nuove “misure minime di sicurezza”, pur non essendo, per questi ultimi, obbligatorio redigere il DPS.
Qualora, per una ragione qualsiasi, dovesse verificarsi una fuga di dati, il titolare del trattamento dovrà dimostrare di aver osservato tutte le disposizioni in materia di protezione dei dati, e di aver adottato le misure preventive di sicurezza per ridurre il rischio di perdita o distruzione dei dati, di accesso non autorizzato o di trattamento inadeguato.
IN SINTESI
OBBLIGATORIETA’ DELLE MISURE MINIME DI SICUREZZA
Le misure minime di sicurezza, come indicato dal Codice in Materia di Protezione dei Dati (artt. 31-36 e allegato B), sono obbligatorie per tutti i titolari di dati sensibili (e, quindi, anche per gli psicologi), trattati in forma non anonima sia nel caso in cui per tale trattamento adoperino strumenti elettronici, sia che si servano solo di supporti cartacei.
OBBLIGATORIETA’ DEL DPS
E’ obbligatorio redigere il DPS quando sul proprio PC (anche se non accessibile in rete) siano presenti dati sensibili dei pazienti (quali ad es. valutazioni, resoconti ecc.), trattati in forma non anonima o in modo tale da consentire, comunque, l’identificazione del paziente. Il DPS non va inviato al Garante.
NON OBBLIGATORIETA’ DEL DPS
Non è obbligatorio redigere il DPS quando sul proprio PC siano presenti dati sensibili (valutazioni, resoconti ecc.) dei pazienti in forma anonima o comunque non associati a dati personali che consentano l’identificazione del paziente.
Non è obbligatorio redigere il DPS quando i dati sensibili (valutazioni, resoconti ecc.) dei pazienti siano esclusivamente su supporto cartaceo.
In quest’ultimo caso è necessario, però, che gli archivi cartacei siano conservati in armadi/casseforti chiusi a chiave e che i fascicolatori siano protetti da lucchetto.
Il DPS deve essere un documento 'a data certa'?
Non vi e' un espresso obbligo di legge di redigere il documento 'a data certa'.
Tuttavia i consulenti fiscali consigliano in genere, a maggiore garanzia del professionista, di 'autoinviarsi' il documento mediante posta raccomandata con l'apposizione del timbro di spedizione direttamente sul documento avente corpo unico, anziche' sull'involucro che lo contiene.
Come aggiornare il DPS?
Entro il 31 marzo di ogni anno dovrà essere effettuato il rinnovo del DPS (Documento Programmatico sulla Sicurezza) aggiornandone i contenuti.
Per aggiornare il DPS è necessario verificare se la situazione attuale di protezione dei dati sensibili corrisponde ancora a quella indicata nei documenti già redatti.
Se ci sono stati dei cambiamenti (variazione incaricati, aggiornamenti anagrafici, cambiamenti PC, antivirus, etc.), è necessario procedere all'aggiornamento puntuale di tutte le modifiche, datare e firmare il nuovo documento.
Se non ci sono stati cambiamenti di alcun tipo, è necessario procedere alla ristampa dell'intera documentazione indicando nell'ultima pagina che non ci sono state modifiche rispetto all'anno precedente, rinnovando la data e la firma per l'anno in corso.
Regole per i trattamenti effettuati senza l'ausilio di strumenti elettronici
Per i trattamenti di dati con il mezzo cartaceo (effettuati, quindi, senza l’ausilio di strumenti elettronici) non v’è obbligo di redigere il DPS, pur tuttavia il titolare (o il responsabile, ove designato e/o l'incaricato, ove presente), devono adottare le seguenti modalità tecniche:
1. Agli incaricati sono impartite (dal titolare o dal responsabile, se nominato) istruzioni scritte finalizzate al controllo ed alla custodia, per l'intero ciclo necessario allo svolgimento delle operazioni di trattamento, degli atti e dei documenti contenenti dati personali. Nell'ambito dell'aggiornamento periodico con cadenza almeno annuale dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati, la lista degli incaricati può essere redatta anche per classi omogenee di incarico e dei relativi profili di autorizzazione.
2. Quando gli atti e i documenti contenenti dati personali sensibili o giudiziari sono affidati agli incaricati del trattamento per lo svolgimento dei relativi compiti, i medesimi atti e documenti sono controllati e custoditi dagli incaricati fino alla restituzione in maniera che ad essi non accedano persone prive di autorizzazione, e sono restituiti al termine delle operazioni affidate.
3. L'accesso agli archivi contenenti dati sensibili o giudiziari è controllato. Le persone ammesse, a qualunque titolo, dopo l'orario di chiusura, sono identificate e registrate. Quando gli archivi non sono dotati di strumenti elettronici per il controllo degli accessi o di incaricati della vigilanza, le persone che vi accedono sono preventivamente autorizzate.
4. In ogni caso gli archivi cartacei dovranno essere conservati in armadi/casseforti chiusi a chiave e i fascicolatori, contenenti le cartelle dei clienti/pazienti, dovranno essere protetti da lucchetto.
