Privacy
Le misure minime di sicurezza da adottare
entro il 30 giugno 2004
Avv. Carlo Alberto Marchi
Studio Associato - Padova - 15 giugno 2004
[[[[Studio Associato
Agenda
 I. Le novità del Codice e le principali scadenze
 II. I destinatari della normativa: Titolare, Responsabile e Incaricato
 III. Adempimenti
 IV. Le tipologie di dati
 V. Le misure di sicurezza
 VI. Responsabilità e organizzazione aziendale
 VII. Le sanzioni
I. Principali scadenze previste dal
D.Lgs. 196/2003
Entrata in vigore
1 gennaio 2004
Misure di sicurezza e DPS
1 gennaio 2004
 Misure minime
 Aggiornamento e/o redazione del Documento
30 giugno 2004
Programmatico sulla sicurezza (DPSS)
 Nuove misure
30 giugno 2004
 Adeguamento posticipato
e successivamente entro il
31 marzo di ogni anno
1 gennaio 2005
Notificazione dei trattamenti
30 aprile 2004
1 gennaio 2005
Prescrizioni mediche
II. I destinatari della normativa
I destinatari della normativa sulla privacy sono:
Titolare: persona fisica, giuridica, pubblica amministrazione od
organismo a cui competono le decisioni in ordine alle modalità del
trattamento di dati personali, compreso il profilo della sicurezza.
Responsabile: persona fisica o giuridica, pubblica amministrazione e
qualsiasi altro ente, associazione od organismo preposti dal Titolare al
trattamento dei dati.
Incaricato: la persona fisica autorizzata a compiere operazioni di
trattamento dal Titolare o dal Responsabile.
III. Adempimenti: nei confronti
dell’interessato
Prima di procedere al trattamento dei dati personali dell’interessato
(persona fisica, persona giuridica, ente o associazione)
il Titolare del trattamento deve:
 ai sensi dell’art. 13 del D.Lgs. 196/2003
fornire all’interessato l’INFORMATIVA
 ai sensi dell’art. 23 del D.Lgs. 196/2003
raccogliere il CONSENSO dell’interessato
Adempimenti: nei confronti del Garante
I principali adempimenti che il titolare deve porre in essere nei
confronti del Garante sono:
 la NOTIFICAZIONE al Garante (art. 37)
 la COMUNICAZIONE di particolari trattamenti (art. 39)
 la RICHIESTA DI AUTORIZZAZIONE al trattamento di dati
sensibili e giudiziari, qualora il trattamento non rientri tra quelli
oggetto delle Autorizzazioni Generali (art. 41)
IV. Le tipologie di dati
Esempi di dati personali e sensibili
Nominativi
personale
dipendente
Fatture
clienti
Elenco
fornitori
Dati Personali
Particolari regimi
alimentari delle
mense
Corrispondenza
Cedolini paga
(ritenute
sindacali,
ecc.)
Curriculum
Vitae
Liste di
distribuzione
marketing
Fatture
fornitori
Certificati medici
Matricole dipendenti
Elenco
clienti
Dati Sensibili
Le tipologie di dati (segue)
Dati personali: qualunque informazione relativa a persona fisica,
persona giuridica, ente o associazione identificati o identificabili,
anche indirettamente mediante riferimento a qualsiasi altra
informazione ivi compreso un numero di identificazione, personale
(art. 4, co. 1, lett. b).
Dati identificativi: i dati personali che permettono l’identificazione
diretta dell’interessato (art. 4, co. 1, lett. c).
Le tipologie di dati (segue)
Dati diversi da quelli sensibili o giudiziari il cui trattamento presenta rischi
specifici: dati diversi da quelli sensibili o giudiziari il cui trattamento presenta
rischi specifici per la dignità dell’interessato, in relazione alla natura dei dati o alle
modalità di trattamento o agli effetti che può determinare. Il trattamento di tali
dati è ammesso nel rispetto di misure ed accorgimenti prescritti dal Garante a
garanzia dell’interessato.
Dati sensibili: dati idonei a rivelare l’origine razziale ed etnica, le convinzioni
religiose, filosofiche, le opinioni politiche, l’adesione a partiti, sindacati,
associazioni od organizzazioni a carattere religioso ecc., nonché i dati personali
idonei a rivelare lo stato di salute e la vita sessuale (art. 4 co. 1 lett. d).
Dati giudiziari: dati personali idonei a rivelare provvedimenti in materia di
casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato
e dei relativi carichi pendenti, o la qualità di imputato o di indagato (art. 4 co. 1
lett. e).
Le tipologie di dati (segue)
Identificazione dei dati personali
I dati personali durante il proprio ciclo di vita possono assumere
formati differenti:
STAMPATI
SCRITTI
SU CARTA
TRASMESSI
ELETTRONICAMENTE
Ne consegue che prerequisito fondamentale per l’adozione delle
misure di sicurezza, in ottemperanza a quanto indicato nell’Allegato
B del Codice in materia di protezione dei dati personali, è
l’identificazione degli archivi cartacei e delle banche dati elettroniche
contenenti dati personali.
Infatti, le misure di sicurezza variano in funzione della tipologia di
dato (personale o particolare) e del supporto fisico su cui è custodito
(cartaceo o elettronico).
V. Le misure di sicurezza
Rischi relativi alla sicurezza dei dati
 I sistemi informativi aziendali sono sottoposti ad un numero sempre più




crescente e sofisticato di minacce (frodi telematiche, virus, accessi abusivi,
ecc.).
La dipendenza sempre maggiore delle aziende dai propri sistemi informativi
comporta una maggior vulnerabilità rispetto alle minacce alla sicurezza.
La connessione tra sistemi differenti, pubblici e privati, per condividere
informazioni accresce la difficoltà di eseguire uno stretto controllo sugli accessi:
la tendenza verso sistemi di elaborazione distribuiti rende meno efficaci i
sistemi di controllo centralizzati.
Un gran numero di sistemi informativi non sono stati progettati considerando
gli aspetti relativi alla sicurezza delle informazioni: le misure di sicurezza
risultano molto più costose ed inefficienti se non vengono implementate
durante le fasi di progettazione e definizione dei requisiti.
I meccanismi di sicurezza tecnici non sono in grado di garantire l’eliminazione
completa dei rischi: occorrono perciò anche strumenti organizzativi e
procedurali.
Le misure di sicurezza (segue)
Rischi relativi alla sicurezza dei dati
La sicurezza nel trattamento dei dati si caratterizza nella salvaguardia di tre
parametri fondamentali delle informazioni:
Riservatezza
Disponibilità
Garantire che i
dati siano
disponibili agli
utenti autorizzati
Garantire che i
dati siano protetti
da accessi non
autorizzati
Integrità
Garantire che i dati
siano aggiornati ed
integri
Le misure di sicurezza (segue)
Il Codice ha trattato in modo completo, anche prevedendo costanti
aggiornamenti, il tema delle misure di sicurezza.
L’art. 31 dispone l’obbligo in capo al Titolare di custodire e
controllare i dati mediante l’adozione di misure di sicurezza
idonee e preventive che riducano al minimo il rischio di:
 distruzione o perdita, anche accidentale, dei dati;
 accesso non autorizzato;
 trattamento non consentito o non conforme alle finalità della
raccolta.
Le misure di sicurezza (segue)
Nell’ambito del più generico obbligo di adottare misure di sicurezza imposto
dall’art. 31, l’art. 33 individua le c.d. misure minime di sicurezza, definite come
“il complesso delle misure tecniche, informatiche, organizzative, logistiche e
procedurali di sicurezza che configurano il livello minimo di protezione
richiesto in relazione ai rischi previsti nell’art. 31”.
Il Codice ha individuato:
-
all’art. 34 le misure minime da adottarsi nel caso di trattamento di dati con
strumenti elettronici con le modalità previste dal disciplinare tecnico contenuto
nell’All. B al Codice;
-
all’art. 35 le misure minime da adottarsi nel caso di trattamento di dati senza
l’ausilio di strumenti elettronici, con le modalità previste dal disciplinare
tecnico contenuto nell’All. B al Codice.
Le misure minime di sicurezza, di cui agli artt. 33-35 e All.B che non erano
previste nel D.P.R. n. 318/99, devono essere adottate entro il 30 giugno 2004.
Novità del Codice Privacy in tema di
sicurezza
 Introduzione del concetto di credenziale
approfondimento sulla parola chiave.
di
autenticazione
e
 Nuove istruzioni per garantire la segretezza della credenziale e la
custodia degli elaboratori.
 Estensione a tutti i dati personali e non solo a quelli sensibili
dell’individuazione dei profili autorizzativi per l’accesso ai dati.
 Individuazione di ulteriori misure di sicurezza per la prevenzione della
vulnerabilità degli strumenti elettronici, il salvataggio dei dati ed il
ripristino in caso di danneggiamento.
 Maggior enfasi sul documento programmatico sulla sicurezza, da
predisporre entro il 31 marzo di ogni anno e da citare nella relazione
accompagnatoria del bilancio di esercizio.
Le misure di sicurezza: art. 34
Autenticazione
informatica
Aggiornamento
periodico
dell’individuazione
dell’ambito di
trattamento consentito
agli incaricati e agli
addetti alla
gestione/manutenzione
degli strumenti
elettronici
Adozione procedure di gestione
delle credenziali di
autenticazione
Utilizzazione di un
sistema di autorizzazione,
(nel caso in cui per gli
incaricati siano individuati
profili di autorizzazione di
ambito diverso)
Trattamento con strumenti
elettronici
Protezione degli
strumenti
elettronici e dei dati
rispetto a
trattamenti illeciti,
ad accessi non
consentiti e a
determinati
programmi
informatici
Tenuta di
un
aggiornato
DPS
Adozione di
procedure per la
custodia di copie
di sicurezza, il
ripristino della
disponibilità dei
dati e dei sistemi
Adozione di
tecniche di
cifratura o
codici
identificativi
per
trattamenti
relativi a dati
idonei a
rivelare stato
di salute, vita
sessuale
effettuati da
organismi
sanitari
Le misure di sicurezza (All. B.)
Trattamenti con strumenti elettronici
Rinvio.
Le misure di sicurezza: art. 35
Aggiornamento periodico
dell’individuazione dell’ambito del
trattamento consentito agli incaricati e
alle unità organizzative
Trattamento senza l’ausilio di
strumenti elettronici
Previsione di procedure per
un’idonea custodia di atti e
documenti affidati agli incaricati
per lo svolgimento dei relativi
compiti
Previsione di procedure per la
conservazione di determinati atti
in archivi ad accesso selezionato
e disciplina delle modalità di
accesso
Le misure di sicurezza (All. B).
Trattamenti senza l’ausilio di strumenti elettronici
Devono essere impartite agli incaricati istruzioni scritte, finalizzate al controllo e
alla custodia, per l’intero ciclo necessario allo svolgimento delle operazioni di
trattamento, degli atti e dei documenti contenenti dati personali. Nell’ambito
dell’aggiornamento periodico con cadenza almeno annuale dell’individuazione
dell’ambito del trattamento consentito ai singoli incaricati, la lista degli incaricati
può essere redatta anche per classi omogenee di incarico e dei relativi profili di
autorizzazione.
Trattamento senza l’ausilio di strumenti
elettronici
Gli atti e i documenti contenenti dati
personali sensibili o giudiziari che
sono affidati agli incaricati del
trattamento per lo svolgimento dei
relativi compiti, devono essere
controllati e custoditi dagli incaricati
fino alla restituzione in maniera che
ad essi non accedano persone prive di
autorizzazione, e sono restituiti al
termine delle operazioni affidate.
L’accesso agli archivi contenenti dati
sensibili o giudiziari è controllato. Le
persone ammesse, a qualunque titolo,
dopo l’orario di chiusura, sono
identificate e registrate. Quando gli
archivi non sono dotati di strumenti
elettronici per il controllo degli accessi o
di incaricati della vigilanza, le persone
che vi accedono sono preventivamente
autorizzate.
Le misure di sicurezza (segue)
Trattamenti senza l’ausilio di strumenti elettronici
La conservazione dei documenti cartacei impone di
garantire:
 accettabili rischi di deperimento / non accessibilità delle
informazioni
 sufficienti livelli di sicurezza per garantire l’autenticità e la
validità giuridica delle informazioni conservate
 ragionevole rapporto costi-benefici dei processi di supporto al
reperimento delle informazioni
Le misure di sicurezza (segue)
Gestione e conservazione dei dati in formato cartaceo
Reperimento delle informazioni:
 aggregazione fisica dei documenti secondo criteri che aumentano
la probabilità di trovare le informazioni che si stanno cercando
 uso di strumenti di classificazione
Rischi di deperimento / non accessibilità:
 locali adeguati alla conservazione, carta e inchiostri non deperibili
Autenticità e validità giuridica:
 firme autografe, sigilli, carta intestata
VI. Responsabilità e organizzazione
aziendale
Il Responsabile
La nomina del Responsabile non è obbligatoria, ma, se
nominato, esso deve essere scelto tra i soggetti che forniscano
idonea garanzia del rispetto delle vigenti disposizioni in materia
di trattamento dei dati personali, ivi compreso il profilo della
sicurezza.
I compiti del Responsabile devono essere analiticamente
individuati per iscritto. Il Responsabile opera secondo le
istruzioni del Titolare, il quale vigila sulla puntuale osservanza
delle disposizioni (es. verifiche).
Responsabilità e organizzazione
aziendale
Il Responsabile (segue)
Modalità di nomina: nel caso di Titolare persona giuridica, suggeriamo la
nomina diretta da parte del CDA dei Responsabili del trattamento, al fine di
consentire, per quanto possibile, che questi ultimi rispondano in prima persona
per le eventuali violazioni poste in essere nell'esercizio dei compiti agli stessi
affidati in tale veste.
Anche secondo il legislatore del 2003, il trattamento di dati personali è
un'attività pericolosa ex art. 2050 c.c. (con conseguente inversione dell'onere
della prova): in sostanza, ai fini della responsabilità civile, se l'interessato
dimostra di aver subito un danno a causa di un trattamento, sarà il Titolare a
dover dimostrare di aver adottato tutte le misure previste dalla legge per evitare
quel danno, altrimenti ne risponde.
Naturalmente tanto più accuratamente viene effettuata la nomina del
Responsabile, maggiori sono le probabilità di ancorare la responsabilità solo in
capo a quest'ultimo.
Responsabilità e organizzazione
aziendale
Il Responsabile (segue)
L’impegno di ogni Responsabile, formalizzato nella lettera di nomina, dovrebbe
consistere nei seguenti compiti ed ambiti di responsabilità, tra i quali:
 sovrintendere a tutte le operazioni di trattamento di dati personali, comuni e




sensibili, effettuati all’interno della propria funzione;
curare le operazioni di classificazione analitica delle banche dati e dei processi
aziendali;
nominare gli incaricati al trattamento dei dati personali, impartendo loro
dettagliate istruzioni;
curare l’attuazione delle misure di sicurezza e del loro periodico
aggiornamento;
collaborare con il Titolare, ai sensi dell’art. 19.1 dell’All.B, per predisporre il
DPS ed eventualmente la notificazione ai sensi dell’art.37;
Responsabilità e organizzazione
aziendale
Il Responsabile (segue)
 predisporre idonee procedure interne finalizzate alla verifica periodica della




corretta applicazione del Codice;
mantenere un costante aggiornamento sull’evoluzione tecnologica di strumenti
e dispositivi di sicurezza;
procedere alla cessazione del trattamento dei dati personali ai sensi dell’art. 16
del Codice;
comunicare al Titolare qualsiasi elemento che possa compromettere il corretto
trattamento dei dati;
curare la formazione e l’aggiornamento degli incaricati del trattamento dei dati
personali.
Responsabilità e organizzazione
aziendale
Gli Incaricati
L’INCARICATO, designato per iscritto, deve attenersi alle istruzioni ricevute dal
titolare o dal responsabile, i quali hanno un costante obbligo di vigilanza sul suo
operato.
L’ambito di operatività dell’Incaricato è predeterminato per iscritto, risulta
dalla nomina, ovvero dall’assegnazione dell’incaricato alla funzione o al reparto.
L’incaricato opera sotto la diretta autorità del Titolare o del Responsabile.
Nella pratica gli Incaricati sono coloro che:
Raccolgon
o i dati
Elaborano i dati con
procedure
informatiche
o manuali
Li
comunican
o
Li
diffondono
Li
archivian
o
Responsabilità e organizzazione
aziendale
Gli Incaricati (segue)
Gli Incaricati al trattamento dei dati possono essere anche
enti/agenzie/personale esterno o devono necessariamente essere
personale interno?
Premesso che sicuramente l’Incaricato deve essere una persona fisica, come
previsto dall’art. 4, co. 1 lett. h) del Codice, si precisa che:
 il soggetto che viene nominato Incaricato deve godere della fiducia di colui che
gli affida l’incarico, deve operare sotto la sua “diretta autorità” e deve essere
legato da un rapporto di “dipendenza” con il titolare o con il responsabile;
 secondo l’interpretazione (non univoca) del Garante, il concetto di
“dipendenza” non presuppone necessariamente un rapporto di lavoro
subordinato;
 nel parere al CSM di data 2.12.1997, interpretando estensivamente l’art. 19 L.
675/96, è stato precisato che possono essere nominati “incaricati” lavoratori
dipendenti o autonomi, collaboratori esterni o soggetti “comunque autorizzati”.
Responsabilità e organizzazione
aziendale
Gli Incaricati (segue)
Gli Incaricati del trattamento dei dati personali, nell’ambito del trattamento
assegnato, hanno le seguenti responsabilità:
•
svolgere le attività conformi al D.Lgs. 196/03;
•
svolgere le attività previste dai trattamenti secondo le direttive del
Responsabile;
•
non modificare i trattamenti esistenti o introdurre nuovi trattamenti senza
l’esplicita autorizzazione del responsabile del trattamento;
•
rispettare le norme di sicurezza per la protezione dei dati personali;
•
informare il Responsabile o l’amministratore dei sistemi informatici in caso di
incidente di sicurezza che coinvolga dati personali o informazioni in genere.
VII. Le sanzioni
Responsabilità penale
Trattamento illecito di dati personali (art. 167, c.1)
 trattamento dei dati personali in violazione degli artt. 18 (trattamenti effettuati da
soggetti pubblici), 19 (trattamento di dati diversi da quelli sensibili o giudiziari); 23
(consenso); 123 (trattamento di dati relativi ad abbonati e utenti con riferimento a
comunicazione elettronica); 126 (trattamento di dati relativi all’ubicazione con
riferimento a comunicazione elettronica); 130 (comunicazioni indesiderate), ovvero in
applicazione dell’art. 129, da parte di chiunque, al fine di trarne per sé o per gli altri
profitto o di recare ad altri un danno, salvo che il fatto costituisca più grave reato.
Sanzione: reclusione da 6 a 18 mesi. Se il fatto consiste nella comunicazione o nella
diffusione reclusione da 6 a 24 mesi.
Trattamento illecito di dati personali (art. 167, co. 2)
 trattamento di dati personali in violazione degli artt. 17 (trattamento che presenta rischi
specifici), 20 (trattamento dei dati sensibili), 21 (trattamento dei dati giudiziari), 22 co.
8 e 11 (trattamento dei dati idonei a rivelare lo stato di salute), 25 (dati sensibili e
giudiziari nell’ambito di test psico-attitudinali), 26 (garanzie per i dati sensibili); 27
(garanzie per i dati giudiziari) e 45 (trasferimenti vietati) al fine di trarne per sé o per
altri profitto o di recare ad altri un danno.
Sanzione: reclusione da 1 a 3 anni se dai fatti deriva nocumento.
Le sanzioni
Responsabilità penale (segue)
Omessa adozione di misure necessarie alla sicurezza dei dati (art. 169)
 omessa adozione delle misure minime di sicurezza previste dall’art. 33
Ammenda da Euro 10.000,00 a Euro 50.000,00 ovvero arresto sino a 2 anni.
Ravvedimento operoso: l’ammenda è preceduta dal cd. “termine per la
regolarizzazione” concesso dal Garante, non superiore a sei mesi, entro cui chi
ha violato la norma può adempiere alla prescrizione normativa e così essere
ammesso al pagamento di una somma, decisa sempre dal Garante, pari al
quarto del massimo dell’ammenda stabilita dalla contravvenzione
Le sanzioni
Responsabilità penale (segue)
Falsità nelle dichiarazioni e nelle notificazioni al Garante (art. 168)
 chi, nelle notificazioni ex art. 37 o in comunicazioni, atti, documenti resi o
esibiti in un procedimento dinanzi al Garante dichiara o attesta falsamente
notizie o circostanze o produce atti o documenti falsi.
Sanzione: reclusione, salvo che il fatto costituisca più grave reato, da sei mesi a
tre anni
Inosservanza dei provvedimenti del Garante (art.170)
 inosservanza dei provvedimenti adottati dal garante ai sensi degli artt. 26, co. 2
(dati sensibili), 90 (dati genetici), 150 co. 1 e 2, (provvedimenti a seguito di
ricorso), 143 co. 1 lett. c) (blocco o divieto di trattamento di dati personali).
Sanzione: reclusione da tre mesi a due anni
Le sanzioni
Responsabilità amministrativa
Omessa o inidonea informativa all’interessato (art. 161)
 per le violazioni di cui all’art. 13 (informativa).
Sanzione: da Euro 3.000,00 ad Euro 18.000,00
Nei casi di dati sensibili o giudiziari o di trattamenti che presentano rischi
specifici ex art. 17, la sanzione è da Euro 5.000,00 ad Euro 30.000,00 (tale
somma può anche essere aumentata sino al triplo quando la sanzione risulta
inefficace in ragione delle condizioni economiche del contravventore).
Altre fattispecie (art. 162)
 cessione di dati in violazione dell’art. 16 co. 1 lett. b) o di altre disposizioni in
materia di trattamento dei dati personali
Sanzione: da Euro 5.000,00 ad Euro 30.000,00
 In caso di violazione dell’art. 84, co. 1, sanzione: da Euro 500,00 ad Euro
3.000,00
Le sanzioni
Responsabilità amministrativa (segue)
Omessa o incompleta notificazione (art. 163)
 chiunque, essendovi tenuto, non provvede tempestivamente alla notificazione
ex artt. 37 e 38 ovvero indica notizie incomplete
Sanzione amministrativa da Euro 10.000,00 a 60.000,00
Sanzione accessoria: pubblicazione ordinanza – ingiunzione.
Omessa informazione o esibizione al Garante (art. 164)
 chiunque omette di fornire informazioni o esibire documenti richiesti dal
Garante ex artt. 150, co. 2 (tutela) e 157 (accertamenti e controlli)
Sanzione: da Euro 4.000,00 ad Euro 24.000,00
Le sanzioni
Responsabilità civile
Danno cagionato per effetto del trattamento (art. 15)
Il Codice ha confermato la sussistenza di una responsabilità per esercizio di
attività pericolose (art. 2050 c.c.) in capo al soggetto che cagiona ad altri un
danno per effetto del trattamento di dati personali, disponendo che il danno
non patrimoniale è risarcibile anche in caso di violazione dell’art. 11
(Modalità del trattamento e requisiti dei dati).
Attenzione: la norma non distingue tra misure di sicurezza e misure minime
di sicurezza.