Impresa e Privacy Il trattamento dei dati deve essere eseguito nel rispetto dei diritti e delle libertà fondamentali, della dignità della persona, con particolare riferimento alla riservatezza, all’identità personale ed al diritto alla protezione dei dati personali. L’imprenditore che tratta dati personali e sensibili, qualsiasi sia la forma giuridica prescelta, è tenuto ad adottare misure di sicurezza per ridurre al minimo i rischi di distruzione o perdita dei dati, d'accesso non autorizzato o di trattamento non consentito o non conforme alla finalità della raccolta. I DATI PERSONALI Costituisce dato personale qualsiasi informazione che identifichi o possa identificare un soggetto ( persona fisica, giuridica, ente, associazione, ecc). La legge distingue i dati personali in dati identificativi, dati sensibili e dati giudiziari, ad ognuno dei quali vanno applicate le norme di tutela più idonee. Dati identificativi E’ il dato personale che permette l’identificazione diretta dell’interessato ( nome, il cognome, l’indirizzo, il numero di telefono, il codice fiscale, fotografia, ecc). Dati sensibili Quelli idonei a rivelare "l'origine razziale o etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale" di un soggetto. Dati giudiziari Quei dati personali idonei a rivelare i provvedimenti riportati nel “casellario giudiziario” e nell’ “Anagrafe delle sanzioni amministrative dipendenti da reato” (art. 3, comma 1, lett. a/o e r/u D.P.R. n. 312/2002), la qualità di imputato o di indagato (artt. 60-61 C.P.P.). NOTIFICAZIONE DEI TRATTAMENTI E’ la comunicazione preventiva con la quale un soggetto pubblico o privato rende noto al Garante l’esistenza di una attività di raccolta e di utilizzazione di dati personali, svolta in qualità di titolare del trattamento. La normativa prevede, in generale, l’assenza dell’obbligo, a meno di non essere in presenza di particolari trattamenti. INFORMATIVA E CONSENSO E’ necessario informare gli interessati (clienti, fornitori, dipendenti) al momento della raccolta dei loro dati, per metterli in condizione di conoscere ed accedere ai dati raccolti sulla sua persona, di opporsi per motivi legittimi al loro trattamento a tutela della propria privacy e di contrastare od impedire eventuali abusi d’utilizzo. Il consenso, quando necessario, deve essere reso in forma espressa, senza alcun vincolo né condizione, deve essere raccolto per iscritto (sempre, per i dati sensibili) od anche oralmente documentandolo per iscritto. E’ validamente prestato solo se è preceduto da una chiara informativa che permetta di assumere una decisione con nozione di causa. ADOZIONE DI MISURE MINIME DI SICUREZZA La Legge impone che i dati personali siano controllati e custoditi in modo da ridurre al minimo i rischi di distruzione o di perdita anche accidentali, di accesso non autorizzato, di trattamento non consentito o non conforme alle finalità della raccolta per i quali sono stati raccolti. Le misure di sicurezza idonee a prevenire questi rischi vanno adottate tenendo conto del progresso tecnico raggiunto, della natura dei dati, delle caratteristiche del trattamento effettuato. DOCUMENTO PROGRAMMATICO SULLA SICUREZZA (DPS) E’ obbligatorio in tutti quei casi in cui siano trattati dati sensibili o giudiziari mediante l’uso di strumenti elettronici. Ha lo scopo di descrivere la situazione aziendale ed il percorso di adeguamento prescelto per adeguarsi alla normativa privacy (elenco dei trattamenti di dati personali, distribuzione dei compiti e delle responsabilità, analisi dei rischi, misure approntate, previsione di interventi formativi ecc.). In pratica, è un piano per la sicurezza dei dati, un manuale scritto, da custodire in azienda ed esibito in caso di controlli. Il DPS va aggiornato annualmente. Le società di capitali dovranno indicare nella relazione accompagnatoria del bilancio d’esercizio, l’avvenuta redazione o aggiornamento del DPS.