Il D. Lgs. 196 del 30 giugno 2003 più noto come "Codice in materia di protezione dei dati personali" o anche "Testo Unico sulla Privacy", sostituisce e riorganizza la precedente legislazione in materia. Entrato in vigore il 1 gennaio 2004, ha apportato una serie di modifiche alla gestione del trattamento dei dati personali tutt'altro che irrilevanti.
L'obbligatorietà dell'adeguamento alla nuova normativa coinvolge tutti coloro che per l'espletamento della loro attività trattano dati personali: enti pubblici, liberi professionisti, aziende, comuni, scuole, ospedali, cooperative e associazioni. Sono in pratica escluse dall'adeguamento alla nuova legge solo le persone fisiche che intendano effettuare il trattamento di dati personali per soli fini personali e in nessun caso, prevedano la cessione o la comunicazione dei dati in loro possesso a terzi. Il Codice stabilisce adempimenti diversi a seconda della tipologia di azienda e dei dati trattati.
I dati personali sono suddivisibili sostanzialmente in quattro macrocategorie: dati sensibili, dati semisensibili, dati comuni e dati giudiziari.
Particolarmente importante, nel nuovo testo, è l'estensione dell'obbligatorietà delle misure minime di sicurezza non solo alle aziende che per la propria attività devono trattare dati sensibili o semisensibili ma a tutte quelle realtà nelle quali viene effettuata l'archiviazione informatica di dati personali di fornitori, clienti dipendenti e quant'altro.
Lo scopo delle misure minime di sicurezza è quello di garantire il più possibile da accessi non consentiti i dati personali dei cittadini in possesso di aziende od enti. A tal fine, nell'allegato tecnico B, il legislatore ha espressamente indicati quali sono i requisiti minimi di sicurezza che dovranno essere implementati da chiunque effettui il trattamento di dati per mezzo di elaboratori informatici. Non ha alcuna importanza che i computer utilizzati per il trattamento dei dati siano connessi ad Internet o ad una rete interna aziendale.
Gli interventi da attuare per mettersi in regola rispetto alla nuova normativa variano da soggetto a soggetto anche se possono riassumersi come segue:
N.B. Il DPSS costituisce l'unico elemento di prova dell'adeguamento aziendale alla nuova normativa.
Nel Codice sono definite le misure minime di sicurezza da adottare, conditio sine qua non per il trattamento dei dati personali effettuato con strumenti elettronici (art. 34) e nello specifico riguardano:
Le responsabilità in cui si rischia di incorrere in caso di mancato adeguamento sono di tipo civile e penale.
Per quanto riguarda le sanzioni civili si va da multe di 3000 a 60000 euro.
Per quanto riguarda le sanzioni penali si va dai 6 mesi di reclusione ai 3 anni.
E' per altro da sottolineare come le pene pecuniarie possano subire sensibili modifiche in casi particolari. Qualora infatti il garante dovesse ritenere il massimo della multa previsto dalla legge inefficace in ragione delle condizioni economiche del contravvenente, la penale potrà essere aumentata sino al triplo. Sono altresì previste riduzioni della pena qualora il soggetto si impegni ad adeguarsi alla normativa in tempi ragionevolmente brevi e coerenti con la quantità di lavori da compiere per l'adeguamento.
Altro elemento estremamente rischioso per le aziende che dovessero risultare non in regola con la nuova normativa è la sospensione dell'attività. In caso infatti di infrazione alla normativa, il Garante per la Privacy può ordinare all'azienda la sospensione di ogni attività di trattamento dei dati personali fino alla risoluzione dei problemi emersi.
La nostra Organizzazione offre a costi competitivi la consulenza necessaria per l'adeguamento alla normativa di riferimento, compresa la redazione del DPSS, adeguato alla realtà dell'azienda cliente. Inoltre, grazie a esperti consulenti di settore è in grado di offrire una consulenza completa per l'adeguamento delle aziende alla normativa volontaria, rappresentata dalla norma ISO 27001:2005. Questa specifica i requisiti per stabilire, implementare, documentare e valutare un Sistema di gestione della Sicurezza dell’Informazione. Tale sistema permette alle imprese, da un lato, di adeguarsi alla legislazione, dall'altro di offrire a clienti, fornitori e altri soggetti esterni, un servizio che garantisca la sicurezza dei loro dati sensibili.