TUTELA DELLA PRIVACY - D.LGS. 30 GIUGNO 2003, N. 196
Sulla Gazzetta Ufficiale n. 174 del 29
luglio 2003 è stato pubblicato il D.Lgs. 30 giugno 2003, n.
Il provvedimento dovrebbe entrare in vigore
il 1° gennaio 2005.
Si formula riserva di successiva nota
informativa con cui si forniranno ulteriori
chiarimenti, anche in ordine alla documentazione che le imprese dovranno
predisporre per adeguarsi alle previsioni del Decreto, in considerazione della
prean-nunciata possibile proroga dell’entrata in vigore del provvedimento. Gli
uffici del Collegio comunque sono a disposizione per
eventuali chiarimenti.
Il provvedimento in commento riunisce in
unico contesto la legge 675/1996 e gli altri decreti legislativi, regolamenti e
codici deontologici che si sono succeduti nel tempo. Il nuovo provvedimento,
pur introducendo alcune importanti novità, non modifica sostanzialmente la
previgente disciplina. Pertanto, salvo quanto di
seguito esposto, le imprese, in tema di trattamento dei dati potranno
continuare ad operare come in passato.
Prima di illustrare i principali obblighi
posti a carico delle imprese si rileva che, in via generale e salvo casi
particolari, le imprese del settore non devono effettuare
alcuna comunicazione-notificazione al Garante né devono ottenere alcuna
autorizzazione per il trattamento dei dati. Più precisamente, non è
necessaria alcuna notificazione né alcuna autorizzazione
per il trattamento di tutti i dati relativi ai dipendenti dell’impresa e per i
dati personali di clienti e fornitori. Infatti, per il trattamento dei soli
dati personali, che sono gli unici normalmente
richiesti ai clienti e fornitori, il Codice non richiede alcun provvedimento
autorizzatorio da parte del Garante, che, invece, è necessario solo per il
trattamento dei dati sensibili. Per quanto attiene i rapporti di lavoro, il
Garante con il provvedimento n. 1/2004, pubblicato sulla Gazzetta Ufficiale n.
190 del 4 agosto
1) Definizioni
Prima di illustrare i principali
adempimenti cui sono tenute le imprese, si riportano
le definizioni di alcuni termini che verranno utilizzati. Ai sensi dell’art. 4
del Codice, si intende per:
- dato personale qualunque
informazione relativa a persona fisica, persona
giuridica, ente od associazione, identificati o identificabili, anche
indirettamente, mediante riferimento a qualsiasi altra informazione, ivi
compreso un numero di identificazione personale;
- dati identificativi, i dati personali che permettono l’identificazione diretta
dell’interessato;
- dati sensibili, i dati personali
idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose,
filosofiche o di altro genere, le opinioni politiche,
l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere
religioso, filosofico, politico o sindacale, nonché i dati personali idonei a
rivelare lo stato di salute e la vita sessuale” (a mero titolo esemplificativo
rientrano tra i dati sensibili: i certificati di malattia, maternità e
puerperio, di appartenenza a categorie protette, richiesta di fruire permessi
per festività religiose, per svolgere incarichi politici e/o sindacali);
- dati giudiziari, i dati personali
idonei a rivelare provvedimenti di cui all’articolo 3, comma 1, lettere da a) a o) e da r) a u), del D.P.R. 14 novembre 2002, n.
- interessato qualunque soggetto
(persona fisica, società, pubblica amministrazione) cui si riferiscono
i dati personali in possesso dell’impresa;
- titolare è la società (e
non il legale rappresentante della società stessa) cui competono
le decisioni in ordine alle finalità, alle modalità del trattamento di dati
personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza;
- responsabile è la persona
fisica, la persona giuridica preposta dal titolare al
trattamento di dati personali;
- incaricati le persone fisiche
autorizzate a compiere operazioni di trattamento dal titolare o dal
responsabile.
2) Adempimenti a
carico delle imprese
I principali adempimenti cui sono tenute le imprese consistono:
a) nel designare gli incaricati al
trattamento dei dati;
b) nel rendere
l’informativa agli interessati e nell’acquisire, dove previsto dal Codice, il
consenso degli interessati;
c) nel rispettare, nel trattamento dei
dati, la normativa vigente
in materia e l’autorizzazione generale rilasciata dal Garante;
d) nell’adottare e
applicare le misure di sicurezza previste dal Codice;
e) nel tenere corsi di aggiornamento
per gli incaricati.
In ogni caso il titolare dovrà,
periodicamente, verificare la precisa applicazione ed osservanza delle
disposizioni in materia e delle istruzioni impartite.
a) Designazione degli incaricati
La nomina degli incaricati è obbligatoria.
L’art. 30 del Codice prevede due modalità di designazione: in forma scritta
oppure mediante documentata preposizione della persona fisica ad un ufficio.
Secondo la prima modalità, il conferi-mento
dell’incarico dovrà risultare da atto scritto,
contenente le istruzioni cui dovrà attenersi nonché l’indicazione dei
trattamenti affidati all’incaricato.
Nella seconda modalità, la designazione
dell’incaricato è effettuata per mezzo della preposizione della persona fisica
ad un’unità (ufficio, reparto) per la quale è
individuato, per iscritto, l’ambito del trattamento consentito agli addetti
all’unità medesima.
b) Informativa e consenso
L’impresa, prima di acquisire un qualsiasi
tipo di dato personale, deve informare gli interessati e, quando necessario,
deve farsi rilasciare, da tali soggetti, il consenso al trattamento.
L’informativa, il cui contenuto è fissato
dall’art. 13 del Codice, deve riportare:
- le finalità e le modalità del trattamento
dei dati;
- che il
conferimento di tali dati è obbligatorio per il corretto svolgimento del
rapporto contrattuale;
- che l’eventuale
rifiuto a conferire i dati impedisce l’instaurarsi del rapporto contrattuale;
- i soggetti o le categorie di soggetti a
cui i dati personali saranno eventualmente comunicati (ad esempio: studi
legali, commercialista, studi di consulenza fiscale e
elaborazioni paghe,…);
- i diritti dell’interessato;
- gli estremi identificativi del titolare
del trattamento e del responsabile;
- la circostanza che i dati comunicati
potranno venire conosciuti anche dagli incaricati
dell’impresa.
Per quanto attiene il trattamento dei dati
sensibili in ogni caso deve avvenire previa
autorizzazione rilasciata dal Garante. Come detto per quanto attiene, tra l’altro,
i rapporti di lavoro tale autorizzazione è già stata rilasciata dal Garante e
pertanto non deve essere richiesta dalle imprese.
Più precisamente:
1) per quanto attiene i dati relativi ai dipendenti:
all’atto
dell’assunzione, il datore di lavoro deve, in forma scritta o verbale, fornire
al dipendente le informazioni indicate nell’art. 13 del Codice e sopra
indicate.
Al solo fine di rendere più agevole la
prova di aver fornito la prescritta informativa nel
caso di contenzioso, è opportuno che l’informativa sia resa in forma scritta.
Inoltre, il datore di lavoro deve acquisire
il consenso al trattamento dei dati da parte del dipendente. Il consenso
deve essere reso obbligatoriamente in forma scritta.
Tali adempimenti devono essere posti in essere solo nei confronti dei nuovi assunti. Infatti, per i dipendenti già in forza sono validi sia l’informativa
sia il consenso già rilasciati ed acquisiti dall’impresa al momento
dell’assunzione.
2) per quanto attiene ai dati relativi a fornitori e clienti:
nel caso vengano
richiesti, come normalmente accade, solo i dati strettamente necessari per lo
svolgimento del rapporto contrattuale (ad esempio: dati dell’impresa, dati
anagrafici delle persone fisiche, coordinate bancarie, codice fiscale e partita
IVA) le imprese dovranno fornire a tali soggetti solamente un’informativa, anche
in forma non scritta (e dunque oralmente).
Per tali soggetti non è obbligatorio
acquisire il consenso, ai sensi dell’art. 24, comma 1 lett. a) e b) del Codice.
Peraltro, al solo fine di rendere più
agevole la prova di aver fornito la prescritta
informativa nel caso di contenzioso, l’informativa potrà essere resa in forma
scritta, ed eventualmente potrà anche essere richiesto ed acquisito il consenso
dell’interessato.
c) Rispetto, nel trattamento dei
dati, della normativa vigente e dell’autorizzazioni generali
rilasciate dal Garante
In generale, il Codice dispone che il
trattamento dei dati avvenga nel rispetto dei diritti e delle libertà
fondamentali, della dignità dell’interessato, con particolare riferimento alla
riservatezza, all’identità personale ed al diritto alla protezione dei dati
personali. Più precisamente, i dati personali oggetto
del trattamento devono essere:
a) trattati in modo lecito e secondo correttezza;
b) raccolti e
registrati per scopi determinati, espliciti e legittimi, ed utilizzati in altre
operazioni del trattamento in termini compatibili con tali scopi;
c) esatti e, se necessario, aggiornati;
d) pertinenti, completi e non eccedenti
rispetto alle finalità per le quali sono raccolti o
successivamente trattati;
e) conservati in una forma che consenta
l’identificazione dell’interessato per un periodo di tempo non superiore a
quello necessario agli scopi per i quali essi sono
stati raccolti o successivamente trattati.
I dati personali trattati in violazione
della disciplina rilevante in materia di trattamento dei
dati personali non possono essere utilizzati.
Inoltre, il trattamento dei dati diversi da
quelli sensibili e giudiziari che presenta rischi specifici per i diritti e le
libertà fondamentali, nonché per la dignità
dell’interessato, in relazione alla natura dei dati o alle modalità del
trattamento o agli effetti che può determinare, è ammesso nel rispetto di
misure ed accorgimenti a garanzia dell’interessato, ove prescritti (art. 17 del
Codice).
Secondo quanto previsto dall’art. 16 del
Codice, in caso di cessazione, per qualsiasi causa, di un trattamento i dati
sono:
a) distrutti;
b) ceduti ad altro titolare, purché
destinati ad un trattamento in termini compatibili agli scopi per i quali i dati sono raccolti;
c) conservati per
fini esclusivamente personali e non destinati ad una comunicazione sistematica
o alla diffusione;
d) conservati o
ceduti ad altro titolare, per scopi storici, statistici o scientifici, in
conformità alla legge, ai regolamenti, alla normativa comunitaria e
ai codici di deontologia e di buona condotta sottoscritti ai sensi
dell’articolo 12.
Tale previsione deve essere coordinata con
quanto stabilito dalla normativa civilistica, fiscale, previdenziale ed
assicurativa in materia di conservazione della documentazione.
Infine, come già detto, in materia di
rapporti di lavoro il Garante ha rilasciato l’Autorizzazione
n. 1/2004 al trattamento dei dati sensibili, fornendo alcune
prescrizioni. Di seguito si pubblica un ampio stralcio del provvedimento del
Garante, che riguarda il solo trattamento dei dati sensibili nei rapporti di
lavoro.
“Il trattamento può riguardare i dati
sensibili attinenti:
a) a lavoratori dipendenti, anche se
prestatori di lavoro temporaneo o in rapporto di tirocinio, apprendistato e
formazione e lavoro, ovvero ad associati anche in
compartecipazione e, se necessario in base ai punti 3) e 4), ai relativi
familiari e conviventi;
b) a consulenti e a
liberi professionisti, ad agenti, rappresentanti e mandatari;
c) a soggetti che effettuano
prestazioni coordinate e continuative o ad altri lavoratori autonomi in
rapporto di collaborazione con i soggetti di cui al punto 1);
d) a candidati
all’instaurazione dei rapporti di lavoro di cui alle lettere precedenti;
e) a persone fisiche
che ricoprono cariche sociali o altri incarichi nelle persone giuridiche, negli
enti, nelle associazioni e negli organismi di cui al punto 1);
f) a terzi
danneggiati nell’esercizio dell’attività lavorativa o professionale dai
soggetti di cui alle precedenti lettere.
3) Finalità del trattamento
Il trattamento dei dati sensibili deve
essere indispensabile:
a) per adempiere o per esigere l’adempimento
di specifici obblighi o per eseguire specifici compiti previsti dalla normativa
comunitaria, da leggi, da regolamenti o da contratti collettivi anche
aziendali, in particolare ai fini dell’instaurazione, gestione ed estinzione
del rapporto di lavoro, nonché dell’applicazione della
normativa in materia di previdenza ed assistenza anche integrativa, o in
materia di igiene e sicurezza del lavoro o della popolazione, nonché in materia
fiscale, sindacale, di tutela della salute, dell’ordine e della sicurezza
pubblica;
b) anche fuori dei casi di cui alla lettera
a), in conformità alla legge e per scopi determinati e legittimi, ai fini della
tenuta della contabilità o della corresponsione di stipendi, assegni, premi,
altri emolumenti, liberalità o benefici accessori;
c) per perseguire finalità di salvaguardia della vita o dell’incolumità fisica
dell’interessato o di un terzo;
d) per far valere o difendere un diritto
anche da parte di un terzo in sede giudiziaria, nonché
in sede amministrativa o nelle procedure di arbitrato e di conciliazione nei
casi previsti dalle leggi, dalla normativa comunitaria, dai regolamenti o dai
contratti collettivi, sempre che i dati siano trattati esclusivamente per tali
finalità e per il periodo strettamente necessario al loro perseguimento.
Qualora i dati siano idonei a rivelare lo stato di salute e la vita sessuale,
il diritto da far valere o difendere deve essere di rango pari a quello
dell’interessato, ovvero consistente in un diritto
della personalità o in un altro diritto o libertà fondamentale e inviolabile;
e) per esercitare il diritto di accesso ai documenti amministrativi, nel rispetto di
quanto stabilito dalle leggi e dai regolamenti in materia;
f) per adempiere ad obblighi derivanti da
contratti di assicurazione finalizzati alla copertura
dei rischi connessi alla responsabilità del datore di lavoro in materia di
igiene e di sicurezza del lavoro e di malattie professionali o per i danni
cagionati a terzi nell’esercizio dell’attività lavorativa o professionale;
g) per garantire le pari opportunità;
h) per perseguire scopi determinati e
legittimi individuati dagli statuti di associazioni,
organizzazioni, federazioni o confederazioni rappresentative di categorie di
datori di lavoro o dai contratti collettivi, in materia di assistenza sindacale
ai datori di lavoro.
4) Categorie di dati
Il trattamento può avere per oggetto i dati
strettamente pertinenti ai sopra indicati obblighi, compiti o finalità che non possano essere adempiuti o realizzati, caso per caso,
mediante il trattamento di dati anonimi o di dati personali di natura diversa,
e in particolare:
a) nell’ambito dei dati idonei a rivelare
le convinzioni religiose, filosofiche o di altro
genere, ovvero l’adesione ad associazioni od organizzazioni a carattere
religioso o filosofico, i dati concernenti la fruizione di permessi e festività
religiose o di servizi di mensa, nonché la manifestazione, nei casi previsti
dalla legge, dell’obiezione di coscienza;
b) nell’ambito dei dati idonei a rivelare
le opinioni politiche, l’adesione a partiti, sindacati, associazioni od
organizzazioni a carattere politico o sindacale, i dati concernenti
l’esercizio di funzioni pubbliche e di incarichi politici, di attività o
di incarichi sindacali (sempre che il trattamento sia effettuato ai fini della
fruizione di permessi o di periodi di aspettativa riconosciuti dalla legge o,
eventualmente, dai contratti collettivi anche aziendali), ovvero
l’organizzazione di pubbliche iniziative, nonché i dati inerenti alle
trattenute per il versamento delle quote di servizio sindacale o delle quote di
iscrizione ad associazioni od organizzazioni politiche o sindacali;
c) nell’ambito dei dati idonei a rivelare
lo stato di salute, i dati raccolti e ulteriormente trattati in
riferimento a invalidità, infermità, gravidanza, puerperio o allat-tamento, ad
infortuni, ad esposizioni a fattori di rischio, all’idoneità psico-fisica a
svolgere determinate mansioni, all’appartenenza a determinate categorie
protette, nonché i dati contenuti nella certificazione sanitaria attestante lo
stato di malattia, anche professionale dell’interessato, o comunque relativi
anche all’indicazione della malattia come specifica causa di assenza del
lavoratore.
5) Modalità di trattamento
Fermi restando gli obblighi previsti dagli
articoli 11 e 14 del Codice, nonché dagli articoli 31
e seguenti del Codice e dall’Allegato B) al medesimo Codice, il trattamento dei
dati sensibili deve essere effettuato unicamente con operazioni, nonché con
logiche e mediante forme di organizzazione dei dati strettamente indispensabili
in rapporto ai sopra indicati obblighi, compiti o finalità.
I dati sono raccolti, di regola, presso
l’interessato.
La comunicazione di dati all’interessato
deve avvenire di regola direttamente a quest’ultimo o
a un suo delegato (fermo restando quanto previsto
dall’art. 84, comma 1, del Codice), in plico chiuso o con altro mezzo idoneo a
prevenire la conoscenza da parte di soggetti non autorizzati, anche attraverso
la previsione di distanze di cortesia.
Restano inoltre fermi gli obblighi di
informare l’interessato e, ove necessario, di acquisirne il consenso scritto,
in conformità a quanto previsto dagli articoli 13,
23 e 26 del Codice.
6) Conservazione dei dati
Nel quadro del rispetto
dell’obbligo previsto dall’art. 11, comma 1, lett. e), del Codice, i dati
sensibili possono essere conservati per un periodo non superiore a quello
necessario per adempiere agli obblighi o ai compiti di cui al punto 3), ovvero
per perseguire le finalità ivi menzionate. A tal fine, anche mediante controlli
periodici, deve essere verificata costantemente la stretta pertinenza, non
eccedenza e indispensabilità dei dati rispetto al rapporto, alla prestazione o
all’incarico in corso, da instaurare o cessati, anche con riferimento ai dati
che l’interessato fornisce di propria iniziativa. I dati che, anche a seguito
delle verifiche, risultano eccedenti o non pertinenti
o non indispensabili non possono essere utilizzati, salvo che per l’eventuale
conservazione, a norma di legge, dell’atto o del documento che li contiene.
Specifica attenzione è prestata per l’indispensabilità dei dati riferiti a
soggetti diversi da quelli cui si riferiscono
direttamente le prestazioni e gli adempimenti.
7) Comunicazione e diffusione dei
dati
I dati sensibili possono essere comunicati
e, ove necessario diffusi, nei limiti strettamente pertinenti agli obblighi, ai
compiti o alle finalità di cui al punto 3), a soggetti pubblici o privati, ivi
compresi organismi sanitari, casse e fondi di previdenza ed assistenza
sanitaria integrativa anche aziendale, istituti di patronato e di assistenza sociale, centri di assistenza fiscale, agenzie
per il lavoro, associazioni ed organizzazioni sindacali di datori di lavoro e
di prestatori di lavoro, liberi professionisti, società esterne titolari di un
autonomo trattamento di dati e familiari dell’interessato.
Ai sensi dell’art. 26, comma 5, del Codice,
i dati idonei a rivelare lo stato di salute non possono essere diffusi.”
d) Adozione e applicazione delle
misure di sicurezza previste dal Codice
Il Codice ha introdotto rilevanti novità in
materia di misure di sicurezza.
Gli articoli 31-36 e l’Allegato B del
Codice individuano distinti obblighi in capo al titolare: l’obbligo
di adottare misure idonee e l’obbligo di adottare misure minime.
1) Obbligo generale di adottare misure
di sicurezza idonee
L’art. 31 del Codice impone al titolare di
adottare misure di sicurezza idonee e preventive in modo da ridurre al minimo i
rischi:
- di distruzione o perdita, anche
accidentale, dei dati;
- di accesso non
autorizzato ossia il rischio che i dati vengano conosciuti da soggetti non
autorizzati;
- di trattamento non consentito o non
conforme alle finalità della raccolta.
Secondo il parere reso dal garante il 22
marzo 2004, l’inosservanza di questo obbligo generale
rende il trattamento illecito, anche se non determina un danno per gli
interessati, viola inoltre i loro diritti ed espone a responsabilità civile per
danno, anche non patrimoniale, qualora davanti al giudice ordinario il titolare
non dimostri di aver adottato tutte le misure idonee ad evitarlo.
2) Obbligo di adottare misure minime di
sicurezza
Nel quadro dell’obbligo generale di
adottare misure idonee, il titolare deve comunque adottare talune misure di
sicurezze minime, espressamente indicate dal Codice. Si tratta di
misure indispensabili, la cui omissione costituisce anche reato, affinché sia
assicurato un adeguato livello minimo di protezione dei dati personali.
Il Codice mantiene la previgente
distinzione tra trattamento effettuato con o senza
l’ausilio di strumenti elettronici, oppure riguardi dati sensibili o
giudiziari.
Pertanto, al fine di individuare quali
siano gli obblighi posti a carico del titolare del trattamento
è necessario, preliminarmente, verificare se in impresa vengono tratti, o meno,
dati personali mediante strumenti elettronici.
- Trattamento di dati personali con
strumenti elettronici
Qualora l’impresa rientri
in tale ipotesi dovranno essere adottate le seguenti misure minime (art. 34
Codice), nei modi previsti dall’Allegato B del Codice:
a) autenticazione informatica;
b) adozione di procedure di gestione delle
credenziali di autenticazione;
c) utilizzazione di un sistema di autorizzazione;
d)aggiornamento
periodico dell’individua-zione dell’ambito del trattamento consentito ai
singoli incaricati e addetti alla gestione o alla manutenzione degli
strumenti elettronici;
e) protezione degli
strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad
accessi non consentiti e a determinati programmi informatici;
f ) adozione di
procedure per la custodia di copie di sicurezza, il ripristino della
disponibilità dei dati e dei sistemi;
g) tenuta di un aggiornato documento
programmatico sulla sicurezza;
h) adozione di
tecniche di cifratura o di codici identificativi per determinati trattamenti di
dati idonei a rivelare lo stato di salute o la vita sessuale
effettuati da organismi sanitari.
Al riguardo si osserva che è posta una
distinzione tra autenticazione informatica e sistema di autorizzazione.
L’autenticazione consiste in una procedura
con la quale il sistema informatico “riconosce” e, dunque autentica l’utente
abilitandolo all’accesso al sistema stesso. L’autorizzazione invece è una fase ulteriore all’autenticazione con la quale il sistema
autorizza l’utente, già autenticato, ad accedere a determinate categorie di
dati o file. I sistemi di autenticazione sono
sempre obbligatori e quindi devono sempre essere previsti, mentre i sistemi di
autorizzazione sono necessari solo quando per gli incaricati, già autenticati,
sono previsti profili di autorizzazione di ambito diverso (così ad esempio,
all’interno dell’uffico amministrativo dell’impresa, ad ogni incaricato è
assegnato un codice personale di autenticazione - che deve avere almeno otto
caratteri - con il quale è possibile accedere al sistema informatico nel suo
complesso. Se però all’interno del medesimo uffico solo alcuni incaricati
possono accedere a specifiche banche dati - ad esempio
quelle relative alle paghe - dovrà essere previsto un sistema di autorizzazione
che consenta solo a questi incaricati di prendere visione di tali banche dati).
Si osserva ancora che l’obbligo
della redazione del documento programmatico sulla sicurezza non è obbligatoria
in tutti i casi di trattamento di dati con strumenti elettronici ma solo in
talune ipotesi. A tal proposito si rinvia a quanto si dirà più avanti.
- Trattamento di dati personali senza
l’ausilio di strumenti elettronici
Il trattamento di dati personali effettuato
senza l’ausilio di strumenti elettronici è consentito solo se sono adottate,
nei modi previsti dal disciplinare tecnico contenuto nell’allegato B), le
seguenti misure minime:
a) aggiornamento
periodico dell’indivi-duazione dell’ambito del trattamento consentito ai
singoli incaricati o alle unità organizzative;
b) previsione di procedure per un’idonea
custodia di atti e documenti affidati agli incaricati
per lo svolgimento dei relativi compiti;
c) previsione di procedure per la
conservazione di determinati atti in archivi ad accesso selezionato e disciplina
delle modalità di accesso finalizzata
all’identificazione degli incaricati.
In tale ambito l’Allegato B al Codice
precisa che:
- agli incaricati sono
impartite istruzioni scritte finalizzate al controllo ed alla custodia,
per l’intero ciclo necessario allo svolgimento delle operazioni di trattamento,
degli atti e dei documenti contenenti dati personali. Nell’ambito
dell’aggiornamento periodico con cadenza almeno annuale dell’individuazione
dell’ambito del trattamento consentito ai singoli incaricati, la lista degli
incaricati può essere redatta anche per classi omogenee di incarico
e dei relativi profili di autorizzazione;
- quando gli atti e i documenti contenenti
dati personali sensibili o giudiziari sono affidati agli incaricati del
trattamento per lo svolgimento dei relativi compiti, i medesimi atti e
documenti sono controllati e custoditi dagli incaricati fino alla restituzione
in maniera che ad essi non accedano persone prive di
autorizzazione, e sono restituiti al termine delle operazioni affidate;
- l’accesso agli archivi contenenti dati
sensibili o giudiziari è controllato. Le persone
ammesse, a qualunque titolo, dopo l’orario di chiusura, sono identificate e
registrate. Quando gli archivi non sono dotati di strumenti elettronici per il
controllo degli accessi o di incaricati della
vigilanza, le persone che vi accedono sono preventivamente autorizzate.
Tali prescrizioni dovranno essere contenute
nelle lettere di designazione degli incaricati.
3) Obbligo di adottare e aggiornare il
documento programmatico sulla sicurezza
Come precisato dal Garante nel parere del
22 marzo 2004, il documento programmatico sulla sicurezza (DPS) è una delle
misure minime di sicurezza previste dal Codice. Peraltro esso deve essere
predisposto ed aggiornato solo qualora siano trattati dati sensibili o
giudiziari avvalendosi di elaboratori elettronici,
anche isolati (ossia non collegati ad una rete pubblica o locale).
Il DPS deve contenere:
- l’elenco dei trattamenti di dati
personali;
- la distribuzione
dei compiti e delle responsabilità nell’ambito delle strutture preposte al
trattamento dei dati;
- l’analisi dei rischi che incombono sui
dati;
- le misure da adottare per garantire
l’integrità e la disponibilità dei dati, nonché la
protezione delle aree e dei locali, rilevanti ai fini della loro custodia e
accessibilità;
- la descrizione
dei criteri e delle modalità per il ripristino della disponibilità dei dati in
seguito a distruzione o danneggiamento;
- la previsione di interventi
formativi degli incaricati del trattamento, per renderli edotti dei rischi che
incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei
profili della disciplina sulla protezione dei dati personali più rilevanti in
rapporto alle relative attività, delle responsabilità che ne derivano e delle
modalità per aggiornarsi sulle misure minime adottate dal titolare. La
formazione è programmata già al momento dell’ingresso in servizio, nonché in occasione di cambiamenti di mansioni, o di
introduzione di nuovi significativi;
- la descrizione
dei criteri da adottare per garantire l’adozione delle misure minime di
sicurezza in caso di trattamenti di dati personali affidati, in
conformità al codice, all’esterno della struttura del titolare;
- per i dati personali idonei a rivelare lo
stato di salute e la vita sessuale l’indi-viduazione
dei criteri da adottare per la cifratura o per la separazione di tali dati
dagli altri dati personali dell’interessato.
Dell’avvenuta adozione e, per gli anni
successivi, dell’aggiornamento deve essere data
informazione nella relazione al bilancio.
Sul sito del Garante per la privacy (www.garanteprivacy.it)
nella sezione fac-simili e adempimenti è reperibile
una guida operativa per redigere il Documento Programmatico per
3) Sanzioni
Il Codice razionalizza il sistema
sanzio-natorio che prevede illeciti amministrativi e reati penali.
Per gli illeciti penali
si rendono punibili le condotte richiamate solo se dal fatto deriva nocumento,
mentre in precedenza il nocumento costituiva solo un’aggravante.
Si riassumono i principali illeciti penali
e le violazioni amministrative, rammentando che rimane comunque
ferma la responsabilità civile per danni ex art. 2050 cod. civ.,
in base al quale è il titolare del trattamento che deve provare di aver
adottato tutte le misure idonee ad evitare il danno (anche attraverso il
Documento programmatico per la sicurezza).
Illeciti penali
Trattamento illecito di dati
- art. 167 - Chiunque, al fine di trarne
per sé o per altri profitto o di recare ad altri un
danno, procede al trattamento di dati personali in violazione di quanto
disposto dagli art. 18, 19, 23, 123, 126 e 130, ovvero in applicazione
dell’art. 129, è punito, se dal fatto deriva nocumento, con la reclusione da
sei a diciotto mesi o, se il fatto consiste nella comunicazione o diffusione,
con la reclusione da sei a ventiquattro mesi.
- Chiunque, al fine di trarne per sé o per altri profitto o di recare ad altri un danno, procede al
trattamento di dati personali in violazione di quanto disposto dagli artt. 17 (trattamento che presenta rischi specifici) 20,
21, 22, co. 8 e 11, 25, 26, 27 e 45, è punito, se dal
fatto deriva nocumento, con la reclusione da uno a tre anni.
Falsità nelle dichiarazioni e notificazioni
al Garante
- art. 168 - Chiunque, nella notificazione
di cui all’art. 37 o in comunicazioni, atti, documenti o dichiarazioni resi o
esibiti in un procedimento dinanzi al Garante o nel corso di accertamenti,
dichiara o attesta falsamente notizie o circostanze o produce atti o documenti
falsi, è punito con la reclusione da sei mesi a tre anni.
Misure di sicurezza
- art. 169 - Chiunque, essendovi tenuto,
omette di adottare le misure minime previste dall’art. 33, è punito con
l’arresto sino a due anni o ammenda da diecimila euro a cinquantamila euro.
Inosservanza di provvedimenti del Garante
- art. 170 - Chiunque, essendovi tenuto,
non osserva il provvedimento adottato dal Garante ai sensi degli artt. 26, co. 2, 90, 150, co. 1 e 2, e 143, co. 1, lett. c), è punito con la reclusione da tre mesi a
due anni.
Violazioni amministrative
Omessa/inidonea informativa
- art. 161 -
Violazione delle disposizioni di cui all’art. 13 (informativa all’interessato):
sanzione da tremila euro a diciottomila euro.
Quando la violazione riguarda dati
sensibili o giudiziari, trattamenti che presentano rischi specifici ai sensi
dell’art. 17 o, comunque, di maggiore rilevanza del
pregiudizio per uno o più interessati: sanzione da cinquemila euro a trentamila
euro. La somma può essere aumentata sino al triplo se inefficace in ragione
delle condizioni economiche del contravventore.
Omessa/incompleta notificazione
- art. 163 - Chiunque, essendovi tenuto,
non provvede tempestivamente alla notificazione ai sensi degli artt. 37 e 38, ovvero indica in
essa notizie incomplete, è punito con la sanzione da diecimila euro a
sessantamila euro e pubblicazione dell’ordinanza-ingiunzione.
Omessa informazione/esibizione al Garante
- art. 164 - Chiunque omette di fornire le
informazioni o di esibire i documenti richiesti dal Garante ai sensi degli artt. 150, co. 2, e 157, è punito
con la sanzione da quattromila euro a ventiquattro mila euro.