Privacy

Il D. Lgs. 196 del 30 giugno 2003 più noto come "Codice in materia di protezione dei dati personali" o anche "Testo Unico sulla Privacy", sostituisce e riorganizza la precedente legislazione in materia. Entrato in vigore il 1 gennaio 2004, ha apportato una serie di modifiche alla gestione del trattamento dei dati personali tutt'altro che irrilevanti.

Chi è soggetto alla privacy?

L'obbligatorietà dell'adeguamento alla nuova normativa coinvolge tutti coloro che per l'espletamento della loro attività trattano dati personali: enti pubblici, liberi professionisti, aziende, comuni, scuole, ospedali, cooperative e associazioni. Sono in pratica escluse dall'adeguamento alla nuova legge solo le persone fisiche che intendano effettuare il trattamento di dati personali per soli fini personali e in nessun caso, prevedano la cessione o la comunicazione dei dati in loro possesso a terzi. Il Codice stabilisce adempimenti diversi a seconda della tipologia di azienda e dei dati trattati.

Come sono suddivisi i dati personali?

I dati personali sono suddivisibili sostanzialmente in quattro macrocategorie: dati sensibili, dati semisensibili, dati comuni e dati giudiziari.

• I dati sensibili sono dati idonei a rivelare "l'origine razziale o etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale" di una persona.
• I dati semisensibili non sono ancora stati definiti con precisione dal Garante della Privacy, organo preposto a questo compito.
• I dati identificativi sono tutte quelle informazioni che consentono di individuare una persona fisica o giuridica, sia essa anche un ente od associazione (esempio: nome, cognome, partita iva, codice fiscale, indirizzo, numeri di telefono, numero patente ecc…).
• I dati giudiziari sono quelle informazioni idonee a rivelare provvedimenti in materia di casellario giudiziale, anagrafe delle sanzioni amministrative dipendenti da reati o carichi pendenti ecc.

Particolarmente importante, nel nuovo testo, è l'estensione dell'obbligatorietà delle misure minime di sicurezza non solo alle aziende che per la propria attività devono trattare dati sensibili o semisensibili ma a tutte quelle realtà nelle quali viene effettuata l'archiviazione informatica di dati personali di fornitori, clienti dipendenti e quant'altro.

Lo scopo delle misure minime di sicurezza è quello di garantire il più possibile da accessi non consentiti i dati personali dei cittadini in possesso di aziende od enti. A tal fine, nell'allegato tecnico B, il legislatore ha espressamente indicati quali sono i requisiti minimi di sicurezza che dovranno essere implementati da chiunque effettui il trattamento di dati per mezzo di elaboratori informatici. Non ha alcuna importanza che i computer utilizzati per il trattamento dei dati siano connessi ad Internet o ad una rete interna aziendale.

Cosa fare per mettersi in regola?

Gli interventi da attuare per mettersi in regola rispetto alla nuova normativa variano da soggetto a soggetto anche se possono riassumersi come segue:

1. nomina di un titolare e, facoltativamente, di un responsabile per la gestione della protezione dei dati;
2. chiara identificazione da parte del titolare di tutti gli incaricati del trattamento;
3. la messa in sicurezza degli elaboratori utilizzati per il trattamento dei dati contro ogni possibile violazione o inficiamento del funzionamento;
4. trascrizione delle procedure interne da seguire e nella redazione di un DPSS (Documento Programmatico sulla Sicurezza) redatto con data certa entro il 31 marzo del 2004 e successivamente aggiornato con cadenza annuale (31 marzo di ogni anno).

N.B. Il DPSS costituisce l'unico elemento di prova dell'adeguamento aziendale alla nuova normativa.

Nel Codice sono definite le misure minime di sicurezza da adottare, conditio sine qua non per il trattamento dei dati personali effettuato con strumenti elettronici (art. 34) e nello specifico riguardano:

• autenticazione informatica;
• adozione di procedure di gestione delle credenziali di autenticazione;
• utilizzazione di un sistema di autorizzazione;
• aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici;
• protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici;
• adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi;
• tenuta di un aggiornato documento programmatico sulla sicurezza;
• adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari.

Quali sono le sanzioni?

Le responsabilità in cui si rischia di incorrere in caso di mancato adeguamento sono di tipo civile e penale.
Per quanto riguarda le sanzioni civili si va da multe di 3000 a 60000 euro.
Per quanto riguarda le sanzioni penali si va dai 6 mesi di reclusione ai 3 anni.

E' per altro da sottolineare come le pene pecuniarie possano subire sensibili modifiche in casi particolari. Qualora infatti il garante dovesse ritenere il massimo della multa previsto dalla legge inefficace in ragione delle condizioni economiche del contravvenente, la penale potrà essere aumentata sino al triplo. Sono altresì previste riduzioni della pena qualora il soggetto si impegni ad adeguarsi alla normativa in tempi ragionevolmente brevi e coerenti con la quantità di lavori da compiere per l'adeguamento.

Altro elemento estremamente rischioso per le aziende che dovessero risultare non in regola con la nuova normativa è la sospensione dell'attività. In caso infatti di infrazione alla normativa, il Garante per la Privacy può ordinare all'azienda la sospensione di ogni attività di trattamento dei dati personali fino alla risoluzione dei problemi emersi.

Perchè la GI.PA. srl?

La nostra Organizzazione offre a costi competitivi la consulenza necessaria per l'adeguamento alla normativa di riferimento, compresa la redazione del DPSS, adeguato alla realtà dell'azienda cliente. Inoltre, grazie a esperti consulenti di settore è in grado di offrire una consulenza completa per l'adeguamento delle aziende alla normativa volontaria, rappresentata dalla norma ISO 27001:2005. Questa specifica i requisiti per stabilire, implementare, documentare e valutare un Sistema di gestione della Sicurezza dell’Informazione. Tale sistema permette alle imprese, da un lato, di adeguarsi alla legislazione, dall'altro di offrire a clienti, fornitori e altri soggetti esterni, un servizio che garantisca la sicurezza dei loro dati sensibili.