Entro il 30 giugno 2004 Pubbliche Amministrazione ed aziende private dovranno provvedere all’adozione di nuove misure minime di sicurezza ed alla redazione del Documento programmatico per la sicurezza (Dps), secondo quanto stabilisce il Codice della privacy, adottato col decreto legislativo n.196 del 30 giugno 2003 ed entrato in vigore il 1° gennaio 2004.
Tali misure, di carattere tecnico, informatico, organizzativo, logistico o procedurale hanno l’obiettivo primario di ridurre i rischi di distruzione o perdita dei dati, di accesso non autorizzato o di trattamento non consentito o non conforme alla finalità della raccolta dei dati personali custoditi negli archivi delle pubbliche amministrazioni o delle aziende.
Fra le misure minime rientra, in particolare, la previsione del Documento programmatico per la sicurezza (Dps).
Si tratta di un documento, previsto già dalla precedente disciplina, ma ora modificato dal Codice della privacy, che deve essere adottato da chiunque effettui il trattamento di dati sensibili e giudiziari con strumenti elettronici ed aggiornato periodicamente, entro il 31 marzo di ogni anno.
Si richiede espressamente che il documento contenga un’indicazione dei criteri e delle modalità dirette al ripristino dei dati in caso di distruzione o danneggiamento di informazioni o strumenti elettronici, un’analisi dei rischi che gravano sui dati personali ed una specificazione delle tutele accordate per prevenire la loro distruzione e l’accesso abusivo.
Novità introdotta dal Codice è che nella relazione di accompagnamento a ogni bilancio d’esercizio venga fatta menzione della redazione o dell’aggiornamento del Dps.
La mancata adozione delle misure di sicurezza costituisce reato.
Di conseguenza, chi omette di adottare le misure minime di protezione dei dati è punito con l’arresto fino a due anni o un’ammenda da 10mila a 50mila euro. Tuttavia, se si provvede entro i 60 giorni successivi alla scadenza del termine, il pagamento dell’ammenda è ridotto ad un quarto dell’importo massimo.