Indicazioni di massima sui principali adempimenti previsti dal testo unico sulla tutela dei dati personali

Il 30 giugno 2003 è stato emanato il decreto legislativo n. 196, contenente il codice in materia di protezione dei dati personali.

La finalità del codice della privacy è quella di garantire che il trattamento dei dati personali comuni (nome, cognome, ecc.) e/o sensibili (convinzioni religiose, politiche, ecc.) appartenenti a persona fisica, a società, enti, associazioni, sia effettuato nel rispetto dei diritti e delle libertà fondamentali, e a tale fine disciplina le modalità organizzative e di gestione che deve osservare chiunque gestisca tali dati.

Prima di addentrarci in quelli che sono gli adempimenti richiesti, focalizziamo alcuni termini cui il legislatore fa spesso riferimento:

1. TRATTAMENTO DI DATI : una qualsiasi delle seguenti operazioni - raccolta, registrazione, organizzazione, conservazione, consultazione, elaborazione, modificazione, selezione, estrazione, raffronto, utilizzo, interconnessione, blocco, comunicazione, diffusione, cancellazione, distruzione- effettuate sia con l'ausilio di mezzi elettronici (PC) che senza. Non necessariamente i suddetti dati (anche solo nome e cognome) devono essere registrati in una banca dati

2. DATI PERSONALI: qualunque informazione relativa a persona fisica, persona giuridica, ente o associazione. Si suddividono in:
   1. DATI IDENTIFICATIVI: sottoclasse dei dati personali che permettono l'identificazione diretta dell'interessato ( nome, cognome...)
   2. DATI SENSIBILI: sottoclasse dei dati personali, si intende qualsiasi informazione su origine razziale, convinzioni religiose, dati sulla salute (ricette mediche, destinazione dell'8 per mille del reddito)
   3. DATI GIUDIZIARI: casellario giudiziario

3. INTERESSATO: la persona fisica o giuridica, la pubblica amministrazione, ente o associazione, cui si riferiscono i dati personali

4. TITOLARE : la persona fisica o giuridica, la pubblica amministrazione, ente o associazione, a cui sono comunicati i dati e a cui competono le decisioni, in ordine alle finalità e le modalità del trattamento, agli strumenti utilizzati, compreso il profilo di sicurezza

5. RESPONSABILE: la persona fisica o giuridica, la pubblica amministrazione, ente o associazione, preposto dal titolare al trattamento dei dati. E' questa una figura, facoltativa, che sarà presente in compagini aziendali di dimensioni molto ampie

6. INCARICATI: le persone fisiche autorizzate dal titolare o dal responsabile a compiere operazioni di trattamento e che fisicamente effettuano una delle suddette operazioni di raccolta, di registrazione, organizzazione e via discorrendo.

Per esempio l'azienda viene a contatto con clienti, fornitori, terzi o dipendenti, per cui si trova nella situazione di raccogliere dati (generalmente dati identificativi e sensibili), di archiviarli, di elaborarli, di conservarli, di conseguenza sta effettuando un trattamento per questi dati, pertanto è titolare del trattamento, e i clienti, fornitori eccetera sono gli interessati. Può essere poi che all'interno della compagine aziendale vi siano dei collaboratori/dipendenti, questi sono gli incaricati che saranno stati nominati ed istruiti dal titolare.

ADEMPIMENTI RICHIESTI

Ora che abbiamo inquadrato i soggetti quali: titolare, gli incaricati, gli interessati e l'oggetto della privacy nel trattamento dei dati, andiamo a identificare in linea di massima quelli che sono gli adempimenti, richiesti dalla norma, cui deve far fronte i titolare

Obblighi del titolare nei confronti del garante

• NOTIFICA AL GARANTE: non è sempre necessaria dipende dalla natura del trattamento ed è prevista in soli sei casi tassativamente elencati dal decreto all'art. 37 ( vedi allegato A)

Obblighi del titolare nei confronti diretti dell'interessato

• INFORMATIVA ALL'INTERESSATO : al momento della raccolta dei dati devo informare il mio, per esempio, cliente (inteso come interessato) sul come verranno trattati i dati stessi, su chi li tratterà. Tale informativa ha un contenuto minimo previsto all'art. 13, in essa si dovrà inoltre specificare se il conferimento del dato è facoltativo o obbligatorio e relative conseguenze del rifiuto. Teniamo presente che nell'informativa non si potrà semplicemente riportare il testo dell'art. 13 e che essa deve essere data prima che il trattamento venga effettuato.

• CONSENSO: Il titolare deve sempre richiedere il consenso al trattamento e l'interessato deve darlo solo a seguito di una informativa esaustiva.

Obblighi del titolare da attuare all'interno dell'azienda in relazione al personale:

• INDIVIDUAZIONE DEGLI INCARICATI: il personale che materialmente tratta i dati deve essere designato per iscritto, e sempre per iscritto devono essergli attribuite delle mansioni specifiche

Obblighi del titolare da attuare all'interno dell'azienda in relazione agli strumenti elettronici utilizzati per il trattamento:

GARANTIRE DELLE MISURE MINIME DI SICUREZZA : gli artt. 31-34 del testo unico sulla privacy dicono che i titolari del trattamento sono tenuti ad adottare delle misure minime di sicurezza volte ad ridurre al minimo il rischio di distruzione o perdita dei dati, l'accesso non autorizzato, il trattamento non consentito, il trattamento non conforme. E' stato previsto un disciplinare tecnico, (allegato B del decreto), in cui vengono spiegate le modalità da adottare in caso di trattamento con strumenti elettronici e non.

Individuiamo di seguito un elenco non esaustivo dei requisiti minimi richiesti:

• Occorre istituire un sistema di autenticazione informatica, ovvero un sistema che impedisca l'accesso indiscriminato al computer. Ad ogni singolo computer corrisponde un unico soggetto incaricato al trattamento. Tale sistema si attua tramite l'attribuzione di una password ad ogni incaricato, cui spetterà anche la relativa gestione, la quale gli permetterà di accedere in modo esclusivo ad un determinato computer.
• E' inoltre previsto un sistema di autorizzazione, che consiste nel suddividere la realtà aziendale in ambiti lavorativi diversi, per esempio separare il reparto contabilità dal magazzino e far si che chi lavora in magazzino possa accedere esclusivamente ai dati relativi al magazzino e non a dati contabili. Il frazionare dipende dalla realtà aziendale e dalla valutazione dei soggetti incaricati alla gestione dei dati stessi.
• Dovrà essere installato un antivirus da aggiornare almeno semestralmente, così come annualmente dovrà essere previsto un aggiornamento per correggerne i difetti.
• Si dovrà prevedere un salvataggio dei dati (backup) almeno settimanale

• Chi tratta dati personali con l'ausilio del computer è tenuto alla redazione del documento programmatico sulla sicurezza: è un documento che deve essere redatto entro il 30 marzo di ogni anno , il primo entro il 30 giugno '04. In sostanza questo documento fa un fotografia della realtà aziendale, mettendo in evidenza che tipo di dati sono trattati, i rischi a cui i dati sono assoggettati e prospettando le misure prese per evitarli, informa su come e da chi vengono trattati i dati, su come sono distribuiti i compiti e le responsabilità. Deve essere previsto, inoltre, un piano di ripristino dei dati in caso di distruzione o danneggiamento

SANZIONI

Attenzione: l'unico responsabile nell'ambito del trattamento dei dati è il titolare del trattamento e le sanzioni previste dal codice sono rilevanti, e si suddividono in :

AMMINISTRATIVE

1. omessa, inidonea informativa, sanzione da € 3.000 a 30.000 aumentabili fino al triplo
2. omessa o incompleta notificazione da € 10.000 a 60.000
3. cessione dati, non autorizzata, sanzione da € 5.000 a 30.000
4. comunicazione dati sanitari da € 500 a 3.000
5. omessa informazione o esibizione al Garante, da € 4.000 a 24.000

PENALI

1. omissione misure minime di sicurezza, arresto fino a 2 anni o ammenda da € 10.000 a 50.000
2. trattamento illecito dei dati, per i dati comuni reclusione da 6-18 mesi, per dati sensibili reclusione da 12 a 36 mesi
3. falsità in dichiarazione e notificazione al Garante, reclusione da 6 a 36 mesi
4. inosservanza provvedimenti del Garante, reclusione da 3 a 24 mesi

RESPONSABILITA' CIVILE

Il trattamento dei dati è assimilato allo svolgimento di attività pericolosa, quindi è soggetto alla disciplina dell'art 2050 per cui chiunque cagiona danno ad altri per effetto del trattamento di dati personali, è tenuto al risarcimento se non prova di aver adottato tutte le misure idonee ad evitare il danno.