Consiglio Nazionale delle Ricerche
Direzione Generale

Circolare n. 13/2011

AMMCNT – CNR
0021797 del 10/03/2011

Ai
Dirigenti/Direttori delle Unità Organiche e Strutture del CNR
Loro Sedi

Oggetto: Documento Programmatico sulla Sicurezza di cui al "codice in materia di protezione dei dati personali": aggiornamento.

Si ricorda che il 31 Marzo p.v. scade il termine per l’aggiornamento del Documento Programmatico sulla Sicurezza (DPS) di cui al D.lgs. n.196/2003 “Codice in materia di protezione dei dati personali”, di seguito “Codice”.

Come si è già avuto modo di evidenziare nelle precedenti lettere Circolari, di seguito richiamate, il DPS rientra tra le “misure minime di sicurezza” previste dal Codice e più precisamente dagli articoli da 33 a 36 e dal Disciplinare tecnico in materia di misure minime di sicurezza, contenuto nell’allegato b) (vedi allegato 1).

La redazione, la tenuta e l’aggiornamento del DPS è obbligatoria per chi effettua un trattamento di dati sensibili o giudiziari con l’ausilio di strumenti elettronici.

In base alla semplificazione introdotta con il DL n. 112/2008 convertito con modificazioni dalla legge n. 133/2008, il DPS può essere sostituito da una autocertificazione secondo il modello di cui all’allegato 2 se il trattamento con strumenti elettronici riguarda dati non sensibili o se vengono trattati con strumenti elettronici unicamente dati sensibili nell’ambito della gestione del rapporto di lavoro secondo quanto tassativamente indicato dal comma 1-bis dell’articolo 34 del Codice. In particolare, possono avvalersi della semplificazione coloro che trattano unicamente i dati sensibili costituiti dallo stato di salute o malattia dei propri dipendenti o collaboratori anche a progetto, senza indicazione relativa alla diagnosi, ovvero l’adesione ad organizzazioni sindacali o a carattere sindacale.

Con l’autocertificazione si attesta l’adozione delle misure richieste dalla legge e, per i casi oggetto di semplificazione, il dichiarante può far riferimento anche al Provvedimento dell’Autorità Garante per il Trattamento dei dati personali del 27 novembre 2008 dal titolo “Semplificazione delle misure minime di sicurezza contenute nel disciplinare tecnico, di cui all'allegato B) al codice in materia di protezione dei dati personali” (allegato 3).
 
Si ricorda che il DPS deve contenere i seguenti elementi (punti 19-19.8 dell’all. b al Codice Privacy):
  1. L’elenco dei trattamenti di dati personali che si effettuano all’interno della struttura, riportandone le informazioni essenziali (descrizione, natura dei dati, struttura di riferimento, altre strutture esterne che concorrono al trattamento, descrizione degli strumenti utilizzati, eventuali ulteriori elementi per descrivere i trattamenti). Occorre quindi effettuare un vero e proprio "censimento" dei dati trattati;

  2. la distribuzione dei compiti e delle responsabilità nell’ambito della struttura di volta in volta interessata e preposta al trattamento dei dati (struttura, trattamento, descrizione dei compiti e delle responsabilità);

  3. l’analisi dei rischi che incombono sui dati trattati. Vanno descritti i possibili rischi, in riferimento al comportamento degli operatori, agli strumenti utilizzati (virus informatici, etc.) e, infine, al contesto fisico-ambientale (ingressi non autorizzati, etc.);

  4. le misure adottate o da adottare per garantire l’ integrità e la disponibilità dei dati nonché per la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità;

  5. la descrizione dei criteri e delle modalità di ripristino della disponibilità dei dati a seguito di distruzione o di danneggiamento;

  6. I criteri di pianificazione degli interventi formativi previsti, sia dal punto di vista organizzativo sia come formazione vera e propria a favore del personale interessato;

  7. per singola struttura, gli eventuali trattamenti affidati all’esterno e le relative modalità (nomina responsabile/incaricato);

  8. infine i criteri per la cifratura o, comunque la separazione dei dati idonei a rivelare lo stato di salute o la vita sessuale.
Tanto premesso, e facendo  seguito alle precedenti circolari, e da ultimo la  n. 8/10, si comunica che in vista della predetta scadenza del 31 Marzo 2011, tutti i Dirigenti e Direttori del CNR in qualità di responsabili del trattamento dei dati personali, dovranno comunicare se sono intervenute o meno  variazioni, rispetto a quanto già in precedenza comunicato, relativamente ai punti sopra riportati, all’indirizzo di posta elettronica trattamentodati@cnr.it, e in forma cartacea al personale incaricato  c/o la Direzione generale - Ufficio del Consiglio di Amministrazione e del Consiglio Scientifico Generale – con l’indicazione “Trattamento dati personali”, P.le Aldo Moro 7 – 00185 Roma – tel. 06/49933761.

Qualora ricorressero i presupposti per la semplificazione il Dirigente/Direttore preposto può inviare una autocertificazione con le modalità previste dall’articolo 47 del DPR 445/2000 secondo il modello allegato.

Eventuali chiarimenti in merito a quanto sopra potranno essere richiesti telefonicamente, contattando direttamente il dott. Riccardo Micolitti (06/49937444) o l’Avv. Giuliano Salberini (06/49932609).

Distinti saluti.

IL DIRETTORE GENERALE
(Dr. Fabrizio Tuzi)