PRIVACY - D.lgs. 196/2003 - SEMPLIFICAZIONE DEGLI ADEMPIMENTI - PROVVEDIMENTO
DEL GARANTE DEL 27 NOVEMBRE 2008
Con
provvedimento del 27 novembre 2008, pubblicato sulla Gazzetta Ufficiale n. 297
del 9 dicembre 2008, l’Autorità Garante per la Protezione dei Dati Personali ha
introdotto alcune semplificazione in ordine agli adempimenti posti a carico
delle imprese dalla vigente legislazione in materia di privacy, D.lgs. n. 196/2003.
Tali
semplificazioni sono da porsi in relazione con la Legge n. 133/2008 che ha
introdotto alcune novità in merito ai trattamenti effettuati con strumenti
elettronici da parte dei soggetti che utilizzano soltanto dati personali non
sensibili e che trattano, come unici dati sensibili, quelli inerenti allo stato
di salute o alla malattia dei propri dipendenti e collaboratori anche a
progetto, senza indicazione della relativa diagnosi, ovvero all’adesione a
organizzazioni sindacali o a carattere sindacale.
Per questi
casi, la tenuta di un aggiornato documento programmatico sulla sicurezza (art.
34, comma 1, lett. g) del Codice) è stata sostituita da un obbligo di
autocertificazione (resa dal titolare del trattamento ai sensi dell’articolo 47
del testo unico di cui al decreto del Presidente della Repubblica 28 dicembre
2000, n. 445) di trattare soltanto tali dati in osservanza delle altre misure
di sicurezza prescritte (art. 29 d.l. 25 giugno 2008, n. 112, come modificato
dalla legge di conversione 6 agosto 2008, n. 133).
Le citate
semplificazioni interessano le:
a)
amministrazioni pubbliche e società private che utilizzano dati personali non
sensibili (nome, cognome, indirizzo, codice fiscale, numero di telefono) o che
trattano come unici dati sensibili dei dipendenti quelli relativi allo stato di
salute o all’adesione a organizzazioni sindacali;
b) piccole e
medie imprese, liberi professionisti o artigiani che trattano dati solo per
fini amministrativi e contabili.
In base al
provvedimento del Garante, le categorie interessate:
- possono
impartire agli incaricati le istruzioni in materia di misure minime anche
oralmente,;
- possono
utilizzare per l’accesso ai sistemi informatici un qualsiasi sistema di
autenticazione basato su un username e una password; lo username deve essere
disattivato quando viene meno il diritto di accesso ai dati (es. non si opera
più all’interno dell’organizzazione);
- in caso di
assenze prolungate o di impedimenti del dipendente possono mettere in atto
procedure o modalità che consentano comunque l’operatività e la sicurezza del
sistema ( ad es. l’invio automatico delle mail ad un altro recapito
accessibile);
- devono
aggiornare i programmi di sicurezza (antivirus) almeno una volta l’anno, e effettuare
backup dei dati almeno una volta al mese.
Con il
provvedimento, inoltre, il Garante ha fornito a piccole e medie imprese,
artigiani, liberi professioni, soggetti pubblici e privati che trattano dati
solo a fini amministrativi e contabili, alcune indicazioni per la redazione di
un documento programmatico per la sicurezza semplificato.
Procedure
semplificate sono state indicate anche per chi tratta dati senza l’impiego di
sistemi informatici.
Di seguito
si pubblica un ampio stralcio del provvedimento del Garante nella parte in cui
illustra le procedure semplificate.
1. Soggetti che possono avvalersi della semplificazione
Le seguenti
modalità semplificate sono applicabili dai soggetti pubblici o privati che:
a)
utilizzano dati personali non sensibili o che trattano come unici dati
sensibili riferiti ai propri dipendenti
e collaboratori anche a progetto quelli
costituiti dallo stato di salute o malattia senza indicazione della relativa
diagnosi, ovvero dall’adesione a organizzazioni sindacali o a carattere
sindacale;
b) trattano
dati personali unicamente per correnti finalità amministrative e contabili, in
particolare presso liberi professionisti, artigiani e piccole e medie imprese
(cfr. art. 2083 cod. civ. e d.m. 18 aprile 2005, recante adeguamento alla
disciplina comunitaria dei criteri di individuazione di piccole e medie
imprese, pubblicato nella Gazzetta Ufficiale 12 ottobre 2005, n. 238).
2. Trattamenti effettuati con strumenti elettronici
I soggetti
di cui al paragrafo 1 possono applicare le misure minime di sicurezza
prescritte dalla disciplina in materia di trattamenti realizzati con l’ausilio
di strumenti elettronici (art. 34 del Codice e regole da 1 a 26 dell’Allegato
B) osservando le modalità semplificate di seguito individuate.
2.1. Istruzioni
agli incaricati del trattamento (modalità applicative delle regole di cui ai
punti 4, 9, 18 e 21 dell’Allegato B))
Le
istruzioni in materia di misure minime di sicurezza previste dall’Allegato B)
possono essere impartite agli incaricati del trattamento anche oralmente, con
indicazioni di semplice e chiara formulazione.
2.2. Sistema
di autenticazione informatica (modalità applicative delle regole di cui ai
punti 1, 2, 3, 5, 6, 7, 8, 10 e 11 dell’Allegato B))
Per
l’accesso ai sistemi informatici si può utilizzare un qualsiasi sistema di
autenticazione basato su un codice per identificare chi accede ai dati (di
seguito, “username”), associato a una parola chiave (di seguito: “password”),
in modo che:
a)
l’username individui in modo univoco una sola persona, evitando che soggetti
diversi utilizzino codici identici;
b) la
password sia conosciuta solo dalla persona che accede ai dati.
L’username
deve essere disattivato quando l’incaricato non ha più la qualità che rende
legittimo l’utilizzo dei dati (ad esempio, in quanto non opera più all’interno
dell’organizzazione).
Può essere
adottata, quale procedura di autenticazione anche la procedura di login
disponibile sul sistema operativo delle postazioni di lavoro connesse a una
rete.
In caso di
prolungata assenza o impedimento dell’incaricato che renda indispensabile e
indifferibile intervenire per esclusive necessità di operatività e di sicurezza
del sistema, se l’accesso ai dati e agli strumenti elettronici è consentito
esclusivamente mediante uso della password, il titolare può assicurare la
disponibilità di dati o strumenti elettronici con procedure o modalità
predefinite. Riguardo a tali modalità,
sono fornite preventive istruzioni agli incaricati e gli stessi sono informati
degli interventi effettuati (ad esempio, prescrivendo ai lavoratori che si
assentino dall’ufficio per ferie l’attivazione di modalità che consentano di
inviare automaticamente messaggi di posta elettronica ad un altro recapito
accessibile: si vedano le Linee guida in materia di lavoro per posta
elettronica e Internet approvate dal Garante e pubblicate nella Gazzetta
ufficiale 10 marzo 2007 , n. 58 [doc. web n. 1387522]).
2.3. Sistema
di autorizzazione (modalità applicative delle regole di cui ai punti 12, 13 e
14 dell’Allegato B))
Qualora sia
necessario diversificare l’ambito del trattamento consentito, possono essere
assegnati agli incaricati –singolarmente o per categorie omogenee corrispondenti profili di autorizzazione,
tramite un sistema di autorizzazione o funzioni di autorizzazione incorporate
nelle applicazioni software o nei sistemi operativi, così da limitare l’accesso
ai soli dati necessari per effettuare le operazioni di trattamento.
2.4. Altre
misure di sicurezza (modalità applicative delle regole di cui ai punti 15, 16,
17 e 18
dell’Allegato B))
I soggetti
di cui al paragrafo 1 assicurano che l’ambito di trattamento assegnato ai
singoli incaricati, nonché agli addetti alla gestione o alla manutenzione degli
strumenti elettronici, sia coerente con i princìpi di adeguatezza,
proporzionalità e necessità, anche attraverso verifiche periodiche,
provvedendo, quando è necessario, ad aggiornare i profili di autorizzazione
eventualmente accordati.
Gli
aggiornamenti periodici dei programmi per elaboratore volti a prevenire la
vulnerabilità di strumenti elettronici (ad esempio, antivirus), anche con
riferimento ai programmi di cui all’art. 615-quinquies del codice penale,
nonché a correggerne difetti, sono effettuati almeno annualmente. Se il
computer non è connesso a reti di comunicazione elettronica accessibili al
pubblico (linee Adsl, accesso a Internet tramite rete aziendale, posta elettronica),
l’aggiornamento deve essere almeno biennale.
I dati
possono essere salvaguardati anche attraverso il loro salvataggio con frequenza
almeno mensile. Il salvataggio periodico può non riguardare i dati non
modificati dal momento dell’ultimo salvataggio effettuato (dati statici),
purché ne esista una copia di sicurezza da cui effettuare eventualmente il
ripristino.
2.5.
Documento programmatico sulla sicurezza (modalità applicative delle regole di
cui ai punti da 19.1 a 19.8
dell’Allegato B))
2.5.1. Fermo
restando che per alcuni casi è già previsto per disposizione di legge che si
possa redigere un’autocertificazione in luogo del documento programmatico sulla
sicurezza (vedi il precedente par. 1, lett. a); art. 29 d.l. n. 112/2008 cit.),
i soggetti pubblici e privati che trattano dati personali unicamente per
correnti finalità amministrative e contabili, in particolare presso liberi
professionisti, artigiani e piccole e medie imprese, possono redigere un
documento programmatico sulla sicurezza semplificato sulla base delle
indicazioni di seguito riportate.
Il documento
deve essere redatto prima dell’inizio del trattamento e deve essere aggiornato
entro il 31 marzo di ogni anno nel caso in cui, nel corso dell’anno solare
precedente, siano intervenute modifiche rispetto a quanto dichiarato nel
precedente documento.
Il documento
deve avere i seguenti contenuti:
a) le
coordinate identificative del titolare del trattamento, nonché, se designati,
gli eventuali responsabili. Nel caso in cui l’organizzazione preveda una
frequente modifica dei responsabili designati, potranno essere indicate le
modalità attraverso le quali è possibile individuare l’elenco aggiornato dei
responsabili del trattamento;
b) una
descrizione generale del trattamento o dei trattamenti realizzati, che permetta
di valutare l’adeguatezza delle misure adottate per garantire la sicurezza del
trattamento. In tale descrizione vanno precisate le finalità del trattamento,
le categorie di persone interessate e dei dati o delle categorie di dati
relativi alle medesime, nonché i destinatari o le categorie di destinatari a
cui i dati possono essere comunicati;
c) l’elenco,
anche per categorie, degli incaricati del trattamento e delle relative
responsabilità. Nel caso in cui l’organizzazione preveda una frequente modifica
dei responsabili designati, potranno essere indicate le modalità attraverso le
quali è possibile individuare l’elenco aggiornato dei responsabili del
trattamento con le relative responsabilità;
d) una
descrizione delle altre misure di sicurezza adottate per prevenire i rischi di
distruzione o perdita, anche accidentale, dei dati, di accesso non autorizzato
o di trattamento non consentito o non conforme alle finalità della raccolta.
3. Modalità applicative per i trattamenti realizzati
senza l’ausilio di strumenti elettronici (modalità applicative delle regole di
cui ai punti 27, 28 e 29 dell’Allegato
B))
I soggetti di
cui al paragrafo 1 possono adempiere all’obbligo di adottare le misure minime
di sicurezza di cui all’art. 35 del Codice applicando le misure contenute
nell’Allegato B) relativamente ai trattamenti realizzati senza l’ausilio di
strumenti elettronici (regole da 27 a 29 dello stesso Allegato B)), con le
modalità semplificate di seguito individuate.
3.1. Agli incaricati sono impartite, anche oralmente, istruzioni
finalizzate al controllo e alla custodia, per l’intero ciclo necessario allo
svolgimento delle operazioni di trattamento, degli atti e dei documenti
contenenti dati personali.
3.2. Quando
gli atti e i documenti contenenti dati personali sensibili o giudiziari sono
affidati agli incaricati del trattamento per lo svolgimento dei relativi
compiti, i medesimi atti e documenti sono controllati e custoditi dai medesimi
incaricati fino alla restituzione in modo che a essi non accedano persone prive
di autorizzazione, e sono restituiti al termine delle operazioni affidate.