Consiglio Nazionale delle Ricerche
Direzione Generale

Circolare n. 8/2010

AMMCNT – CNR
0020901 del 16/03/2010

Ai
Dirigenti/Direttori
delle Unità organiche e Strutture del CNR
Loro Sedi

Oggetto: Documento Programmatico sulla Sicurezza di cui al “codice in materia di protezione dei dati personali”: aggiornamento.

Si ricorda che il 31 Marzo p.v. scade il termine per l’aggiornamento del Documento Programmatico sulla Sicurezza (DPS) di cui al D.lgs. n.196/2003 “Codice in materia di protezione dei dati personali”, di seguito “Codice”.

Come si è già avuto modo di evidenziare nelle precedenti lettere Circolari, di seguito richiamate, il DPS rientra tra le “misure minime di sicurezza” previste dal Codice e più precisamente dagli articoli da 33 a 36 e dal Disciplinare tecnico in materia di misure minime di sicurezza, contenuto nell’allegato b) (vedi allegato 1).

La redazione, la tenuta e l’aggiornamento del DPS è obbligatoria per chi effettua un trattamento di dati sensibili o giudiziari con l’ausilio di strumenti elettronici.

In base ad una recente semplificazione introdotta con il DL n. 112/2008 convertito con modificazioni dalla legge n. 133/2008, il DPS può essere sostituito da una autocertificazione secondo il modello di cui all’allegato 2 se il trattamento con strumenti elettronici riguarda dati non sensibili o se se vengono trattati con strumenti elettronici unicamente dati sensibili nell’ambito della gestione del rapporto di lavoro secondo quanto tassativamente indicato dal comma 1-bis dell’articolo 34 del Codice. In particolare, possono avvalersi della semplificazione coloro che trattano unicamente i dati sensibili costituiti dallo stato di salute o malattia dei propri dipendenti o collaboratori anche a progetto, senza indicazione relativa alla diagnosi, ovvero l’adesione ad organizzazioni sindacali o a carattere sindacale.

Con l’autocertificazione si attesta l’adozione delle misure richieste dalla legge e, per i casi oggetto di semplificazione, il dichiarante può far riferimento anche al Provvedimento dell’Autorità Garante per il Trattamento dei dati personali del 27 novembre 2008 dal titolo “Semplificazione delle misure minime di sicurezza contenute nel disciplinare tecnico, di cui all'allegato B) al codice in materia di protezione dei dati personali” (allegato 3).

Si ricorda che il DPS deve contenere i seguenti elementi (punti 19-19.8 dell’all. b al Codice Privacy):
  1. L’elenco dei trattamenti di dati personali che si effettuano all’interno della struttura, riportandone le informazioni essenziali (descrizione, natura dei dati, struttura di riferimento, altre strutture esterne che concorrono al trattamento, descrizione degli strumenti utilizzati, eventuali ulteriori elementi per descrivere i trattamenti). Occorre quindi effettuare un vero e  proprio “censimento “ dei dati che circolano all’interno delle diverse Strutture dell’Ente.
  2. La distribuzione dei compiti e delle responsabilità nell’ambito della struttura di volta in volta interessata e preposta al trattamento dei dati (struttura, trattamento, descrizione dei compiti e delle responsabilità).
  3. L’analisi dei rischi che incombono sui dati trattati. Vanno descritti i possibili rischi, in riferimento al comportamento degli operatori, agli strumenti utilizzati (virus informatici, etc.) e, infine, al contesto fisico-ambientale (ingressi non autorizzati, etc.).
  4. Le misure adottate o da adottare per garantire la integrità e disponibilità dei dati nonché per la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità.
  5. La descrizione dei criteri e delle modalità di ripristino della disponibilità dei dati a seguito di distruzione o di danneggiamento.
  6. I criteri di pianificazione degli interventi formativi previsti, sia dal punto di vista organizzativo sia come formazione vera e propria a favore del personale interessato.
  7. Per singola struttura, gli eventuali trattamenti affidati all’esterno.
  8. Infine i criteri per la cifratura o, comunque la separazione dei dati idonei a rivelare lo stato di salute o la vita sessuale.
Tanto premesso, e di seguito alle circolari n. 4/05n. 13/05n. 10/07, n. 4/08 e n. 4/09, si comunica che in vista della predetta scadenza del 31 Marzo, gli uffici preposti delle strutture dell’amministrazione centrale del CNR stanno completando la ricognizione dei dati per l’aggiornamento del DPS del CNR. Si rende necessario pertanto che tutti i Dirigenti e Direttori del CNR nominati responsabili del trattamento dei dati personali, comunichino con ogni urgenza, all’indirizzo di posta elettronica trattamentodati@cnr.it, e in forma cartacea al personale incaricato Sig.ra Michela Ruggeri e Sig.ra Anna Lisa Bonfatti  c/o la Direzione generale – Trattamento dati personali, P.le Aldo Moro 7 – 00185 Roma, le variazioni intervenute, rispetto a quanto già in precedenza comunicato, relativamente ai punti sopra riportati.

Qualora ricorressero i presupposti per la semplificazione il Dirigente/Direttore preposto può inviare una autocertificazione con le modalità previste dall’articolo 47 del DPR 445/2000 secondo il modello allegato.

Eventuali chiarimenti in merito a quanto sopra potranno essere richiesti telefonicamente, al n. 06/49932034 o al n. 06/49932096 o contattando direttamente il dott. Riccardo Micolitti (06/49937444) o l’Avv. Giuliano Salberini (06/49932609).

Distinti saluti.

IL DIRETTORE GENERALE