Immagine categoria approfondimenti tecnici

Privacy: tutti gli adempimenti e la modulistica per i professionisti e le imprese

Il 1° gennaio 2004 è entrato in vigore il D. Lgs. 30.6.2003 n. 196 "Codice in materia di protezione dei dati personali", che raccoglie e riorganizza la disciplina in materia di tutela della Privacy.

Il 1° gennaio 2004 è entrato in vigore il D. Lgs. 30.6.2003 n. 196 “Codice in materia di protezione dei dati personali”, che raccoglie e riorganizza la disciplina in materia di tutela della Privacy.
L’approssimarsi della scadenza del 30 giugno (successivamente prorogata al 31 dicembre 2005), indicata dalla suddetta normativa, ha destato inquietudine anche in ragione della scarsa conoscenza che si ha della materia. Entro tale data, infatti, tutti coloro che per fini professionali acquisiscono o gestiscono informazioni inerenti persone fisiche o giuridiche, sono obbligati ad adottare le misure di sicurezza previste dal nuovo provvedimento.
BibLus-net, sollecitato anche da numerose richieste di chiarimento, ha deciso di fare luce sugli adempimenti a carico degli studi professionali e delle imprese edili, mettendo a disposizione dei suoi lettori tutte le informazioni e la modulistica occorrente per ottemperare alle richieste della normativa.
Per rendere più agevole la lettura in fondo alla Newsletter è presente un “Glossario dei Termini della Privacy”.

1. Basta poco per essere in regola.
Da un’attenta lettura del D.Lgs 196/2003, emerge che gli oneri a carico degli operatori del settore edile risultano essere in genere non eccessivamente gravosi.
Infatti per la natura dei dati normalmente gestiti dagli studi professionali e delle imprese edili, non classificabili come “sensibili” o “giudiziari”, la normativa prevede che:

  1. siano fornite al committente tutte le informazioni circa l’uso dei dati in proprio possesso (informativa allegata) ed acquisito il consenso a tale uso;
  2. siano individuati e nominati per iscritto i dipendenti/collaboratori che gestiscono o semplicemente hanno accesso ai dati di clienti e fornitori (Incaricati del trattamento – vedi allegato);
  3. siano adottate le misure di sicurezza (elencate nell’”Allegato B” del provvedimento) per tutelare l’integrità dei dati e prevenirne la diffusione non autorizzata.

Tutti, quindi, hanno l’obbligo di limitare l’accesso ai dati acquisiti e di tutelarne l’integrità.

Per assolvere a tutti gli adempimenti riportati BibLus-net ha predisposto la seguente modulistica, redatta recependo le indicazioni della normativa, liberamente scaricabile ed utilizzabile:

  • un modello di informativa, con acquisizione del consenso al trattamento dei dati;
  • i modelli per il conferimento della mansione di “incaricato del trattamento” dei dati e di “responsabile del trattamento”;
  • un documento, definito “Documento interno per la sicurezza dei dati e dei sistemi”, che contiene tutte le informazioni per rispettare le misure minime di sicurezza previste dal “Codice della Privacy”, più approfonditamente descritte nel seguito.

2. Le misure minime di sicurezza che TUTTI devono adottare entro il 31 dicembre 2005.
Il “Codice della Privacy”, anzitutto, prevede l’obbligo di ridurre al minimo i rischi di:

  • distruzione o perdita, anche accidentale, dei dati;
  • accesso non autorizzato;
  • trattamento non consentito o non conforme alle finalità della raccolta.

Lo stesso Codice, inoltre, impartisce specifiche disposizioni in funzione della natura delle informazioni trattate e delle modalità di gestione adottate, che qui di seguito illustriamo.

  1. Trattamento dei dati personali “comuni” mediante strumenti elettronici
    Il trattamento di dati personali “comuni” (cioè diversi da quelli detti sensibili e/o giudiziari), effettuato mediante strumenti elettronici, è la situazione in cui ricade la stragrande maggioranza, se non la totalità degli studi professionali e delle imprese. In tale caso sarà necessario:
    • nominare per iscritto uno o più dipendenti che si interessino della manutenzione degli elaboratori elettronici;
    • incaricare per iscritto chiunque abbia accesso a “dati personali”, fornendogli, sempre per iscritto, istruzioni circa le operazioni che gli sono consentite;
    • proteggere l’accesso agli elaboratori che contengono i dati mediante Nome Utente e Password (di almeno 8 caratteri) univoci per ciascun incaricato (Tale operazione è normalmente consentita dagli attuali sistemi operativi). Inoltre la password deve essere modificata dall’incaricato al primo utilizzo ed aggiornata almeno ogni sei mesi (Punto 5 All. B – Anche questa operazione è consentita dagli attuali sistemi operativi);
    • effettuare delle copie di sicurezza (back-up) dei dati con frequenza almeno settimanale;
    • proteggere adeguatamente strumenti elettronici e dati (Vedi il successivo paragrafo 3);
    • dotarsi di antivirus sempre aggiornati;
    • evitare di lasciare incustoditi gli elaboratori dopo che si è effettuato l’accesso.
  2. Trattamento dei dati personali “comuni” senza l’ausilio strumenti elettronici
    Agli incaricati devono essere impartite istruzioni scritte finalizzate al controllo ed alla custodia, per l’intero ciclo necessario allo svolgimento delle operazioni di trattamento, degli atti e dei documenti contenenti dati personali.
  3. Trattamento dei dati personali “sensibili” o “giudiziari”
    Un caso in cui uno studio tecnico, o un’impresa, può trattare dati sensibili è verosimilmente quello in cui tratta dati relativi ai propri dipendenti, quali quelli contenuti nelle cartelle cliniche o nelle buste-paga:
    • se tali dati si trovano su supporto cartaceo, potranno essere trattati adottando semplicemente un più attento controllo dei locali ove tali dati sono depositati;
    • se tali dati vengano gestiti in modalità elettronica, e solo in tal caso,, occorrerà compilare il “Documento Programmatico sulla Sicurezza” (DPS) sulla base delle indicazioni fornite dal Garante della privacy e qui disponibile.
      Il DPS, quindi, deve essere compilato solo nel caso di trattamento di dati sensibili con modalità elettroniche.

3. Conclusioni
Come si evince da quanto precedentemente illustrato, nel caso del trattamento di dati “comuni” il “Codice della Privacy”:

  • richiede l’adozione delle misure minime di sicurezza
  • NON richiede espressamente alcun documento in cui riportare le procedure interne e le misure di sicurezza adottate.

Tuttavia, se si ritiene opportuno, può essere redatto un documento che dimostri l’adozione di procedure conformi alle richieste normative e che, qualora consegnato in copia agli incaricati del trattamento dati, rappresenti una modalità per impartire le istruzioni di cui si è detto ai §§ 2.1 e 2.2.
BibLus-net ha predisposto un esempio di “Documento interno per la sicurezza dei dati e dei sistemi”, agevolmente personalizzabile, nel quale sono descritte procedure interne e misure di sicurezza per la protezione dei dati trattati, in linea con le disposizioni del D.Lgs. 196/2003.
Nel caso del trattamento di dati il “Documento Programmatico sulla Sicurezza” (DPS) deve essere compilato solo nel caso di trattamento di dati sensibili con modalità elettroniche sulla base delle indicazioni fornite dal Garante della privacy.

Appendice 1: Glossario dei termini della Privacy

TERMINE DEFINIZIONE
TRATTAMENTO Per “trattamento”, ai sensi dell’art 4 del D. Lgs. 196/03, si intende “qualunque operazione, effettuata anche senza l’ausilio di strumenti elettronici, concernente la raccolta, la registrazione, l’organizzazione, la conservazione, la consultazione, l’elaborazione, la modificazione, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati”.
DATI PERSONALI Qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero identificazione personale.
DATI SENSIBILI I dati personali idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale.
DATI GIUDIZIARI I dati personali idonei a rivelare i provvedimenti che devono essere iscritti al casellario giudiziale, riguardanti la qualità di imputato o di indagato ai sensi degli artt. 60 e 61 c.p.p.
TITOLARE DEL TRATTAMENTO Il “titolare del trattamento” (art. 28) è chi “esercita un potere decisionale del tutto autonomo sulle finalità e sulle modalità del trattamento, ivi compreso il profilo della sicurezza”. In pratica chi riveste le funzioni di amministrazione e/o rappresentanza.
RESPONSABILE DEL TRATTAMENTO DEI DATI PERSONALI Il “titolare del trattamento” può designare un “responsabile del trattamento dei dati personali”, individuato tra soggetti che per esperienza, capacità ed affidabilità forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia, ivi compreso il profilo relativo alla sicurezza.
INCARICATI DEL TRATTAMENTO Gli “incaricati del trattamento”, sono gli addetti alle fasi di raccolta, gestione, elaborazione e conservazione dei dati personali.
La designazione degli incaricati è effettuata per iscritto, individuando puntualmente l’ambito del trattamento di dati consentito.
INFORMATIVA E CONSENSO AL TRATTAMENTO L’art. 13 del Codice stabilisce che l’interessato deve essere preventivamente informato, in forma scritta o oralmente, circa:

  1. le finalità e le modalità del trattamento cui sono destinati i dati;
  2. la natura obbligatoria o facoltativa del conferimento dei dati;
  3. le conseguenze di un eventuale rifiuto di rispondere;
  4. i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati, e l’ambito di diffusione dei dati medesimi;
  5. i diritti di accesso ai dati personali (specificati all’articolo 7 del Codice)
  6. gli estremi identificativi del titolare e del responsabile, qualora sia stato designato.

L’art. 23 del Codice specifica che il trattamento di dati personali è ammesso solo con il consenso dell’interessato, che deve essere “espresso liberamente e specificamente in riferimento ad un trattamento chiaramente individuato”.
Il consenso deve essere ottenuto necessariamente in forma scritta solo quando il trattamento riguarda dati sensibili, mentre non è necessario quando il trattamento dei dati è necessario per assolvere agli obblighi di un contratto di cui l’interessato sia sottoscrittore.

Appendice 2: Sanzioni

  • Per la violazione delle disposizioni in materia di trattamento dei dati personali (agli artt. 161 – 172 del Codice) sono previste sanzioni piuttosto severe; ne citiamo solo alcune, inerenti le violazioni più comuni.
  • Per violazione delle norme sull’informativa all’interessato sono previste sanzioni amministrative pecuniarie da 3.000,00 a 18.000,00 euro (da 5.000,00 a 30.000,00 euro nel caso di dati sensibili o giudiziari). La sanzione può essere triplicata qualora risulti inefficace in ragione delle condizioni economiche del contravventore.
  • Per omessa adozione delle misure minime di sicurezza è previsto l’arresto fino a due anni o il pagamento di un’ammenda da 10.000,00 a 50.000,00 euro.
  • Per tale violazione, l’art. 169 co. 2 del Codice, consente l’estinzione del reato pagando una sanzione pari al quarto del massimo dell’ammenda (12.500,00 euro) ed adeguandosi alla normative entro entro sei mesi.
  • Per trattamento illecito di dati personali, invece, (violazione delle norme sul consenso dell’interessato, sullo spamming, sui dati sensibili o giudiziari, sulla comunicazione e diffusione, sul trasferimento all’estero, ecc.) sono previste sanzioni penali con reclusione fino a tre anni.
  • Per inosservanza dei provvedimenti del Garante, infine, sono previste sanzioni penali con reclusione fino a due anni.

Privacy: la modulistica occorrente per ottemperare alle richieste della normativa.

N.B. Tutti i modelli sopraelencati sono in formato RTF per consentire un’agevole personalizzazione

Documento Dimensione Formato
Istruzioni del Garante della Privacy per la compilazione del “Documento programmatico sulla Sicurezza” 231 Kb PDF
Decreto Legislativo 30.6.2003 n. 196 “Codice in materia di protezione dei dati personali” 2,84 Mb PDF
ATTENZIONE!
Con il D.L. 24 giugno 2004, n. 158 (pubblicato nella GU n. 147 del 25.6.2004) è stato prorogato al prossimo 31 dicembre il termine per l’adozione delle misure minime di sicurezza precedentemente fissato al 30.06.2004.
 

Vuoi rimanere aggiornato su questo argomento e sulle principali novità legate al mondo dell'edilizia?

Iscriviti GRATIS alla Newsletter

0 commenti

Lascia un Commento

Vuoi partecipare alla discussione?
Fornisci il tuo contributo!

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *