La nuova normativa sulla
privacy.
Il D.Lgs 30 Giugno 2003, n. 196 lascia pochi
dubbi sulle conseguenze della sua violazione, ed ESTENDE E RIPRENDE in modo
assolutamente chiaro tutti gli articoli della 675/96 e tutte le norme
precedenti.
La nuova
legge
- IMPONE l’adozione di misure minime di sicurezza dei dati
- OBBLIGA tutti i titolari che trattino dati sensibili,
di redigere entro il 31 Marzo di ogni anno il DPSS,
Documento Programmatico Sulla Sicurezza dei dati (Art. 34 e allegato B) Eccezionalmente la scadenza è stata
prorogata al 31 Marzo 2006
- SANCISCE il principio che il trattamento si svolga nel rispetto dei diritti, della dignità e della
riservatezza dell’interessato
- EVIDENZIA che il consenso dovrà essere ESPRESSO, fornito
cioè in riferimento ad un trattamento chiaramente
individuato (Art. 23)
- PRECISA che le figure del Responsabile e degli
Incaricati devono essere individuate per iscritto e
che sia definito il loro ambito di trattamento (Artt. 29 e 30)
- SANZIONA fino ad € 60.000 e impone il risarcimento dei
danni
- PREVEDE la reclusione fino a 3 anni in caso di gravi
violazioni
Se volete ricevere maggiori
informazioni sulla nuova procedura software inviate un’email a: assistenza@procom-computer.it
IL NUOVO CODICE DELLA PRIVACY
Con il Dlgs. 30.06.2003 n. 196 è stato approvato il nuovo Codice in
materia di protezione dei dati personali, che raccoglie e riorganizza la
disciplina in materia di tutela della privacy. Il nuovo Codice è entrato in
vigore l’1.01.2004 e contiene importanti novità sia come
disciplina sia come adempimenti.
- AMBITO DI
APPLICAZIONE
La disciplina di tutela della
privacy si applica a tutti i soggetti che trattano dati personali
sia con mezzi elettronici che
manuali.
In particolare, ai sensi dell’art. 5
del Codice, la disciplina sulla privacy si applica al trattamento di dati
personali effettuati:
ü
da
chiunque (es. imprenditori individuali, professionisti, società di
persone o di capitali, enti e associazioni no-profit,
altri soggetti sia privati che
pubblici);
ü
con qualunque
mezzo, sia con strumenti elettronici che in modo manuale con riferimento ad
archivi cartacei;
ü
nel
territorio italiano, o in un luogo comunque soggetto alla sovranità
italiana (es. navi e aerei), anche se i dati personali sono tenuti
all’estero;
ü
da chiunque è
stabilito nel territorio di un paese non appartenente all’Unione europea ed
impiega, per il trattamento dei dati, strumenti situati nel territorio
italiano, anche diversi da quelli elettronici, salvo che essi siano
utilizzati solo ai fini di transito dei dati nell’Unione
europea.
- LA
NOTIFICAZIONE PREVENTIVA AL GARANTE
Uno degli obblighi previsti dalla
normativa sulla privacy è quello di effettuare una
notificazione al Garante dei trattamenti di dati personali.
In base all’art. 7 della Legge
675/96 ogni trattamento era soggetto a notificazione, a meno che non rientrasse in uno dei casi di esonero o di notificazione
semplificata.
Con il nuovo Codice, al contrario,
la notificazione deve essere effettuata solo se
il trattamento riguarda:
ü
dati
genetici, biometrici o dati che
indicano la posizione geografica di persone od oggetti mediante una rete
di comunicazione elettronica;
ü
dati idonei a
rivelare lo stato di salute e la vita sessuale, trattati a fini di
procreazione assistita, prestazione di servizi sanitari per via
telematica relativi a banche dati o alla fornitura di beni, indagini
epidemiologiche, rilevazione di malattie mentali, infettive e diffusive, sieropositività, trapianto di organi e tessuti e
monitoraggio della spesa sanitaria;
ü
dati idonei a
rivelare la vita sessuale o la sfera psichica trattati da
associazioni, enti od organismi senza scopo di lucro, anche non riconosciuti, a
carattere politico, filosofico, religioso o
sindacale;
ü
dati trattati con
l’ausilio di strumenti elettronici volti a definire il profilo o la
personalità dell’interessato, o ad analizzare abitudini o scelte
di consumo, ovvero a monitorare l’utilizzo di servizi di comunicazione
elettronica con esclusione dei trattamenti tecnicamente indispensabili per
fornire i servizi medesimi agli
utenti;
ü
dati
“sensibili” registrati in banche dati a fini di selezione del
personale per conto di terzi, nonché dati “sensibili” utilizzati per sondaggi di
opinione, ricerche di mercato e altre ricerche
campionarie;
ü
dati registrati
in apposite banche dati gestite con strumenti elettronici e
relative al rischio sulla solvibilità economica, alla situazione patrimoniale,
al corretto adempimento di obbligazioni, a comportamenti illeciti o
fraudolenti.
Termine di
effettuazione della
notificazione
Per i nuovi trattamenti, la
notificazione deve essere effettuata al Garante
prima dell’inizio del trattamento ed una sola
volta.
ü
Per i trattamenti di dati personali
iniziati prima dell’1.01.2004, la notificazione deve essere effettuata entro il 30.04.2004.
Modalità di
effettuazione della
notificazione
La notificazione è validamente
effettuata solo se:
ü
è trasmessa
per via telematica utilizzando il modello predisposto dal
Garante;
ü
osservando le relative
prescrizioni per quanto modalità di sottoscrizione con firma
digitale e conferma del ricevimento della
notificazione.
La notificazione al Garante comporta
la corresponsione di diritti di segretaria, il cui importo è fissato in €
150,00.
Sanzioni
Omessa o
infedele notificazione al Garante Þ sanzioni
amministrative pecuniarie da 10.000,00 a 60.000,00 euro.
3.
OBBLIGHI
RELATIVI ALLA RACCOLTA E TRATTAMENTO DEI DATI
PERSONALI
A) INFORMATIVA
ALL’INTERESSATO
L’art. 13 del Codice stabilisce che
l’interessato o la persona presso la quale sono raccolti i dati personali devono
essere preventivamente informati, oralmente o per iscritto,
circa:
ü
le
finalità e le modalità del trattamento cui sono destinati i
dati;
ü
la
natura obbligatoria o facoltativa del conferimento dei
dati;
ü
le
conseguenze di un eventuale rifiuto di
rispondere;
ü
i
soggetti o le categorie di soggetti ai quali i dati possono essere
comunicati o che possono venirne a conoscenza in qualità di responsabili
o di incaricati, e l’ambito di diffusione dei dati
medesimi;
ü
i
diritti spettanti all’interessato ai sensi dell’art.
7;
ü
gli estremi
identificativi del titolare e, se designati, del suo rappresentante in
Italia o di almeno un responsabile, da individuare nel soggetto eventualmente preposto ai fini dell’esercizio dei diritti
dell’interessato di cui all’art. 7; il titolare deve comunque indicare le
modalità attraverso le quali è conoscibile in modo agevole l’elenco aggiornato
di tutti i responsabili (es. sito
internet).
Modalità di
effettuazione
dell’informativa
L’informativa può essere fornita in
forma scritta o in forma verbale. L’informativa è dovuta anche se non è dovuto il consenso.
Sanzioni
Violazione
delle norme sull’informativa all’interessato Þ sanzioni
amministrative pecuniarie da 3.000,00 a 18.000,00 euro o, nei casi di
dati “sensibili”, “semisensibili” o giudiziari, da 5.000,00 a 30.000,00 euro; la
somma può essere aumentata sino al triplo quando risulta inefficace in ragione delle condizioni economiche del
contravventore.
B) CONSENSO
DELL’INTERESSATO
L’art. 23 del Codice stabilisce che
il trattamento dei dati personali da parte di privati o di enti pubblici economici è ammesso solo con il
consenso
dell’interessato.
Il consenso è validamente prestato
se:
ü
è
espresso liberamente e specificatamente in riferimento ad un trattamento
chiaramente individuato;
ü
è documentato
per iscritto;
ü
sono state rese
all’interessato le informazioni relative alla raccolta dei dati di cui
all’art. 13 (informativa).
La forma scritta del consenso
è, invece, richiesta per il trattamento dei dati “sensibili” di cui
all’art. 26 del Codice.
C) TRATTAMENTO DEI DATI SENSIBILI
E GIUDIZIARI
I dati
sensibili e giudiziari possono
essere oggetto di trattamento solo:
ü
con il
consenso scritto
dell’interessato;
ü
e previa
autorizzazione del Garante.
4.
MISURE DI
SICUREZZA NEL TRATTAMENTO DEI DATI
PERSONALI
In materia di sicurezza dei dati
personali si distinguono, come già previsto dalla L.
675/96, due distinti
obblighi:
a)
l’obbligo più
generale di ridurre al minimo determinati rischi, ossia l’adozione di misure
di sicurezza adeguate o
idonee;
b)
nell’ambito del
predetto obbligo più generale, il dovere di adottare in ogni caso le misure
minime.
Il nuovo Codice in materia di
trattamento dei dati personali innova le disposizioni in materia di
misure minime di sicurezza.
L’art. 33 del Codice stabilisce che
i titolari del trattamento sono comunque tenuti ad
adottare le misure volte ad assicurare un livello minimo di protezione
dei dati personali, previste agli art. 34 e 35 e nel disciplinare
tecnico contenuto nell’allegato B) allo stesso
Codice.
Le nuove misure minime di sicurezza
sono diverse a seconda che il trattamento sia
effettuato o meno con strumenti
elettronici, oppure riguardi dati sensibili o
giudiziari.
L’adozione delle nuove misure minime
deve essere effettuata entro il
30.06.2004.
L’art. 180 co. 1 del Codice stabilisce, in via transitoria, che le
misure minime di sicurezza da esso contemplate e che
non erano previste dal precedente DPR 318/99, siano adottate entro il
30.06.2004.
I successivi co. 2 – 3 stabiliscono però che il titolare, il quale alla
data dell’1.1.2004 dispone di strumenti elettronici
che, per obiettive ragioni tecniche, non consentono in tutto o in parte
l’immediata applicazione delle nuove misure minime di sicurezza, deve descrivere
le ragioni medesime in un documento:
ü
avente data
certa;
ü
da redigere
entro il 30.06.2004;
ü
da conservare
presso la propria struttura ed esibito in caso di controlli e
verifiche.
Sanzioni
Omessa
adozione delle misure minime di sicurezza Þ sanzioni
penali con arresto fino a due anni o con ammenda da 10.000,00 a
50.000,00 euro. L’art. 169 co. 2 del Codice prevede un
meccanismo di “ravvedimento operoso” in relazione a
tale violazione, con conseguente estinzione del reato basato sulla
regolarizzazione entro un determinato termine, comunque non superiore a sei mesi
e sul pagamento di una sanzione ridotta, pari ad un quarto del massimo
dell’ammenda (quindi 12.500,00 euro).
Misure minime di sicurezza per
trattamenti dati personali mediante strumenti
elettronici
Il trattamento di dati personali
effettuato con strumenti elettronici è consentito solo se sono adottate, a cura
del titolare, del responsabile ove designato e dell’incaricato, le seguenti
misure minime.
1.
SISTEMA DI
AUTENTICAZIONE INFORMATICA – Allegato B
(punti 1 – 11 Codice)
L’autenticazione informatica
è “l’insieme degli strumenti elettronici e delle procedure per la
verifica anche indiretta
dell’identità”.
Le credenziali di autenticazione sono “i dati ed i dispositivi, in
possesso di una persona, da questa conosciuti o ad essa univocamente correlati,
utilizzati per l’autenticazione informatica”. Le credenziali di autenticazione, assegnate o associate individualmente ad
ogni incaricato,
consistono:
ü
in un codice
per l’identificazione dell’incaricato (es. login, PIN,
username, ecc..) associato a una “parola chiave”
(password) riservata e conosciuta solamente dal
medesimo;
ü
oppure in un
dispositivo di autenticazione in possesso ed uso esclusivo dell’incaricato (ad
es. smart card), eventualmente associato ad un codice identificativo o a una
parola chiave;
ü
oppure in una
caratteristica biometrica dell’incaricato (es.
impronta digitale), eventualmente associata ad un codice identificativo o a una
parola chiave.
La parola chiave è “la
componente di una credenziale di autenticazione
associata ad una persona ed a questa nota, costituita da una sequenza di
caratteri o di altri cadi in forma elettronica”. La “parola
chiave”:
ü
è composta da
almeno otto caratteri, oppure nel caso in cui lo strumento elettronico
non lo permetta, da un numero di caratteri pari al massimo
consentito;
ü
non deve
contenere riferimenti agevolmente riconducibili
all’incaricato;
ü
è modificata
dall’incaricato al primo utilizzo e, successivamente, almeno ogni sei
mesi (tre mesi in caso di trattamento di “dati sensibili” o
giudiziari).
2.
SISTEMA DI
AUTORIZZAZIONE - Allegato B
(punti 12 -15 Codice)
Il sistema di
autorizzazione è “l’insieme degli strumenti e delle procedure che
abilitano l’accesso ai dati e alle modalità di trattamento degli stessi, in
funzione del profilo di autorizzazione del richiedente” ed il profilo di
autorizzazione è “l’insieme delle informazioni, univocamente associate ad
una persona, che consente di individuare a quali dati essa può accedere, nonché
i trattamenti ad essa consentiti”.
3.
PROGRAMMI
ANTIVIRUS E AGGIORNAMENTO DEL SOFTWARE - Allegato B
(punti 16 – 17
Codice)
I dati personali devono essere
protetti contro il rischio di intrusione
e dell’azione di programmi di cui all’art. 615 quinquies del codice penale (c.d. “virus”), mediante
l’attivazione di idonei strumenti elettronici (c.d. “programmi antivirus”) da
aggiornare con cadenza almeno
semestrale.
4.
BACK-UP
PERIODICO - Allegato B
(punto 18 Codice)
E’ previsto il salvataggio dei dati
(c.d. “back-up) con frequenza almeno
settimanale.
5.
DOCUMENTO
PROGRAMMATICO SULLA SICUREZZA - Allegato B
(punto 19 Codice)
La redazione del documento
programmatico sulla sicurezza è una misura minima prevista dall’Allegato
B).
Infatti, in caso di
trattamento di “dati sensibili” o giudiziari con strumenti
elettronici (es. computer), vi è l’obbligo della redazione del documento
programmatico sulla sicurezza.
Sulla base delle nuove
disposizioni, qualunque
soggetto che tratti “dati sensibili”
o giudiziari mediante un terminale isolato diventa assoggettato
all’obbligo di redazione e aggiornamento del documento programmatico sulla
sicurezza.
Il soggetto obbligato alla redazione
del documento programmatico sulla sicurezza è il titolare, anche
attraverso il responsabile, se
designato.
Il documento programmatico sulla
sicurezza deve essere redatto o aggiornato entro il 31 marzo di ogni anno.
Con il parere del 22.03.2004, il
Garante, in relazione al solo anno 2004, ha
permesso che la redazione o l’aggiornamento del documento programmatico avvenga
entro il 30.06.2004:
Il Codice ha introdotto inoltre al
punto 26 dell’Allegato B) una nuova regola per rendere meglio edotti gli
organi di vertice del titolare del trattamento e responsabilizzarli in materia di sicurezza, attraverso
l’obbligo di riferire, nella relazione accompagnatoria al bilancio
d’esercizio, se dovuta, dell’avvenuta redazione o aggiornamento
del documento programmatico sulla sicurezza.
6. CERTIFICAZIONE DA PARTE DEGLI
INSTALLATORI - Allegato B (punto 25
Codice)
Qualora l’adozione delle misure
minime di sicurezza avvenga avvalendosi di soggetti esterni, il titolare deve
ricevere dall’installatore una descrizione scritta dell’intervento
effettuato che ne attesta la conformità alle
disposizioni del disciplinare tecnico contenuto nell’Allegato B) del
Codice.
Misure minime di sicurezza per
trattamenti dati personali senza strumenti
elettronici
Qualora il trattamento di dati
personali sia effettuato senza l’ausilio di strumenti elettronici (es. archivi
cartacei), ai sensi dell’art. 35 del Codice occorre
adottare le seguenti misure minime di sicurezza, contenute nell’Allegato B)
punti 27 – 29 Codice:
ü
aggiornamento
periodico
dell’individuazione dell’ambito del trattamento consentito ai singoli
incaricati o alle unità
organizzative;
ü
previsione di
procedure per un’idonea custodia di atti e documenti affidati agli
incaricati per lo svolgimento dei relativi
compiti;
ü
previsione di
procedure per la conservazione di determinati atti in archivi ad
accesso selezionato e disciplina delle modalità di accesso finalizzata
all’identificazione degli incaricati.
- RIEPILOGO
DEGLI ADEMPIMENTI E DELLE SCADENZE
Per la maggior parte dei soggetti gli adeguamenti consistono
in:
ü
aggiornare i modelli di
informativa e di richiesta di consenso dell’interessato con i
nuovi riferimenti normativi;
ü
modificare le
misure di sicurezza, adeguandole, entro il 30.06.2004, ai nuovi
requisiti minimi;
ü
predisporre il
documento programmatico sulla sicurezza entro il
30.06.2004;
ü
indicare nella
relazione accompagnatoria al bilancio, ove obbligatoria,
l’avvenuta redazione o aggiornamento del suddetto documento programmatico sulla
sicurezza.
TABELLA RIEPILOGATIVA DELLE SCADENZE
|
DECORRENZA/
TERMINE |
ADEMPIMENTO |
|
1.1.2004 |
Entrata in
vigore del Codice della privacy |
|
30.6.2004
e successivamente 31 marzo di ogni
anno
Prorogata
al
31/03/2006 |
Redazione del documento programmatico sulla
sicurezza.
Il titolare
deve riferire, nella relazione accompagnatoria del bilancio d’esercizio,
se dovuta, dell’avvenuta redazione o aggiornamento del documento
programmatico sulla sicurezza |
|
30.4.2004 |
Effettuazione
della notificazione al Garante, mediante trasmissione in via telematica
con utilizzo della firma digitale, in relazione
ai trattamenti di determinati dati personali alla data
dell’1.1.2004 |
|
30.6.2004
|
Adozione delle nuove misure minime di sicurezza,
oppure in alternativa e qualora ne ricorrano i
presupposti, attestazione del titolare, in un documento avente data certa
da conservare presso la propria struttura, che all’1.1.2004 dispone di
strumenti elettronici che, per obiettive ragioni tecniche, non consentono
in tutto o in parte l’immediata applicazione delle nuove misure minime di
sicurezza |
|
1.1.2005 |
Adozione delle nuove misure minime di sicurezza da
parte dei titolari che
all’1.1.2004 non
disponevano di idonei strumenti elettronici e che lo hanno attestato
nell’apposito documento con data certa di cui al punto
precedente |
