Il Garante osserva che il requisito della data certa indicato dal legislatore nella legge 3 novembre 2000, n. 325 (recante: " Disposizioni inerenti all'adozione delle misure minime di sicurezza nel trattamento dei dati personali previste all'art. 15 della legge 31 dicembre 1996, n. 675") pubblicata sulla Gazzetta ufficiale della Repubblica italiana n. 262 del 9 novembre 2000 si collega con la comune disciplina civilistica in materia di prove documentali e, in particolare, con quanto previsto daglia artt. 2702-2704 del codice civile, i quali recano un'elencazione non esaustiva degli strumenti per attribuire data certa ai documenti, consentendo di provare tale data anche in riferimento a ogni " fatto che stabilisca in modo egualmente certo l'anteriorità della formazione del documento" (art. 2704, terzo comma, cod. civ.).
GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
Nella riunione odierna, con la partecipazione del prof. Stefano Rodotà, presidente, del prof. Giuseppe Santaniello, vice-presidente, del prof. Ugo De Siervo e dell'ing. Claudio Manganelli, componenti e del dott. Giovanni Buttarelli, segretario generale;
Visto l'art. 15, commi 1 e 2, della legge 31 dicembre 1996, n. 675;
Visto il d.P.R. 28 luglio 1999, n. 318, recante norme in materia di misure minime di sicurezza per il trattamento dei dati personali da adottarsi ai sensi del medesimo art. 15, comma 2;
Visto il provvedimento del 29 febbraio 2000 (riportato anche sul sito web del Garante www.garanteprivacy.it) con il quale il Garante ha richiamato l'attenzione dei soggetti pubblici e privati tenuti ad applicare le misure minime di sicurezza di cui al d.P.R. n. 318/99 sulle prescrizioni in esso contenute e sulle connesse sanzioni;
Visto il provvedimento del 29 maggio 2000 (pubblicato anch'esso sul menzionato sito web) con cui il Garante ha sottolineato che non sussiste alcun obbligo di comunicazione al Garante delle determinazioni adottate in attuazione del d.P.R. n. 318 se non a seguito di una specifica richiesta da parte dell'Autorità ai sensi dell'art. 32, comma 1, della legge n. 675;
Vista la legge 3 novembre 2000, n. 325 (recante: "Disposizioni inerenti all'adozione delle misure minime di sicurezza nel trattamento dei dati personali previste all'art. 15 della legge 31 dicembre 1996, n. 675") pubblicata sulla Gazzetta ufficiale della Repubblica italiana n. 262 del 9 novembre 2000;
Considerato che ai sensi dell'art. 31, comma 1, lett. i), della legge n. 675/1996 tra i compiti del Garante vi rientra anche quello di curare la conoscenza tra il pubblico della disciplina in materia di misure di sicurezza;
Viste le osservazioni dell'Ufficio formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000 adottato con deliberazione n. 15 del 28 giugno 2000 e pubblicato nella Gazzetta Ufficiale della Repubblica Italiana n. 162 del 13 luglio 2000;
Relatore l'ing. Claudio Manganelli;
CIÒ PREMESSO IL GARANTE OSSERVA:
Sono pervenuti al Garante alcuni quesiti inerenti le modalità applicative del d.P.R. 28 luglio 1999, n. 318, e della legge 3 novembre 2000, n. 325, con particolare riguardo alle modalità per adottare il documento previsto dall'art. 1 della medesima legge n. 325 con un atto "avente data certa".
Il Garante ritiene opportuno fornire alcuni chiarimenti in ordine a tale aspetto, in quanto rileva ai fini della corretta applicazione delle citate fonti normative.
Occorre anzitutto premettere che il documento previsto dalla legge n. 325/2000 va distinto dal documento programmatico sulla sicurezza disciplinato dall'art. 6 del d.P.R. n. 318/1999.
La redazione del documento non è poi direttamente rilevante ai fini della responsabilità civile per danno derivante da mancata o inidonea adozione di misure di sicurezza, essendo utile, secondo la legge n. 325, solo ai titolari del trattamento che intendano beneficiare di un differimento sino al 31 dicembre 2000 del termine per adottare le misure minime di sicurezza di cui al d.P.R. n. 318/1999, previste a pena di sanzione penale (art. 36 legge n. 675/1996).
Il documento di cui alla legge n. 325/2000 deve contenere una esposizione sintetica delle esigenze tecniche ed organizzative che hanno reso necessario avvalersi, per le misure minime, di un termine più ampio rispetto a quello del 29 marzo 2000.
Il titolare del trattamento dovrà indicare le informazioni a tal fine necessarie, da cui risultino (art. 1, comma 2, l. n. 325/2000):
"gli accorgimenti da adottare o già adottati e gli elementi che caratterizzano il programma di adeguamento, nonché le singole fasi in cui esso è eventualmente ripartito";
"le linee-guida previste per dare piena attuazione alle misure minime di sicurezza, ..., nonché alle più ampie misure di sicurezza previste dal comma 1 dell'articolo 15 della medesima legge n. 675 del 1996 ".
Il documento dovrà essere redatto entro un mese dalla data di entrata in vigore della legge n. 325, e cioè entro l'11 dicembre 2000, e consentirà di avvalersi del differimento del termine al 31 dicembre 2000 solo se sarà redatto con un "atto avente data certa".
In proposito, per quanto di competenza, il Garante osserva che tale requisito si collega con la comune disciplina civilistica in materia di prove documentali e, in particolare, con quanto previsto dagli artt. 2702 - 2704 del codice civile, i quali recano un'elencazione non esaustiva degli strumenti per attribuire data certa ai documenti, consentendo di provare tale data anche in riferimento a ogni "fatto che stabilisca in modo egualmente certo l'anteriorità della formazione del documento" (art. 2704, terzo comma, cod.civ.).
La legge n. 325/2000 presuppone quindi che il documento in questione sia collegabile ad un fatto oggettivo attribuibile al soggetto che lo invoca, ma sottratto alla sua esclusiva sfera di disponibilità.
In questa prospettiva, senza pretesa di indicare in modo esauriente tutti i possibili strumenti idonei ad assegnare al documento una data certa, il Garante richiama l'attenzione dei titolari del trattamento sulle seguenti possibilità che appaiono utilmente utilizzabili:
a) ricorso alla c.d. "autoprestazione" presso uffici postali prevista dall'art. 8 del d.lg. 22 luglio 1999, n. 261, con apposizione del timbro direttamente sul documento avente corpo unico, anziché sull'involucro che lo contiene;
b) in particolare per le amministrazioni pubbliche, adozione di un atto deliberativo di cui sia certa la data in base alla disciplina della formazione, numerazione e pubblicazione dell'atto;
c) apposizione della c.d. marca temporale sui documenti informatici (art. 15, comma 2, legge 15 marzo 1997, n. 59; d.P.R. 10 novembre 1997, n. 513; artt. 52 ss. d.P.C.M. 8 febbraio 1999);
d) apposizione di autentica, deposito del documento o vidimazione di un verbale, in conformità alla legge notarile; formazione di un atto pubblico;
e) registrazione o produzione del documento a norma di legge presso un ufficio pubblico.
Roma, 5 dicembre 2000
IL PRESIDENTE
Rodotà
IL RELATORE
Manganelli
IL SEGRETARIO GENERALE
Buttarelli