Le aziende hanno ora tempo fino al 31 dicembre 2004 per adottare le misure minime di sicurezza prescritte dal Codice in materia di protezione dei dati personali (Dlgs n.196 del 30/6/2003) e che non erano erano previste dal precedente regolamento(Dpr 28/07/1999, n.318). Il nuovo Codice sulla privacy, che ha riformato interamente la materia, è in vigore dal primo gennaio scorso. Chiunque tratti dati personali è tenuto a rispettare la nuova normativa, che prescrive anche l'obbligo di sicurezza per i dati e i sistemi. Il Codice distingue due livelli di sicurezza correlati tra loro: le misure più ampie (art. 31) e le misure minime (artt. 33, 34, 35) da applicare seguendo 29 regole operative elencate nell'allegato B al Codice. Molte imprese sono in ritardo sugli obblighi di sicurezza ed anche per questo si è resa necessaria una proroga dei termini (in precedenza fissati al 30 giugno), deliberata dal Consiglio dei ministri di martedì. Appare finora trascurato dalle imprese uno dei nuovi fondamentali principi del Codice, 'il diritto alla protezione dei dati personali' (art. 1) mutuato dalla Carta dei diritti fondamentali dell'Unione europea, che può essere esercitato nei confronti del titolare ed espone a responsabilità civile per la quale, in caso di richiesta di risarcimento del danno, anche non patrimoniale, si dovrà dimostrare di aver adottato tutte le misure idonee a evitarlo. E sarà difficile farlo se non si è provveduto a svolgere una puntuale analisi dei rischi con la valutazione degli eventi critici che incombono sui dati, le probabilità che possano verificarsi e aver individuato tutte le misure di protezione idonee e necessarie, indipendentemente da quelle minime.
Argomenti correlati