A cura di Andrea Lisi e Marzio V. Vaglio ® Con una guida pratica al " CODICE PRIVACY" per imprese e P.A. CODICE DELLA PRIVACY: Saper& fare con la Camera di Commercio N° 3 risposte a quesiti pratici ? I PR CY VA ! ffebbraio bb 2006 CODICE DELLA PRIVACY risposte a quesiti pratici A CURA DI ANDREA LISI E MARZIO V. VAGLIO Con una GUIDA PRATICA AL "CODICE PRIVACY" PER IMPRESE E P.A. A CURA DI ANDREA LISI - febbraio 2006 - CODICE DELLA PRIVACY Presentazione La Camera di Commercio e la sua Azienda speciale Promopadova lavorano con continuità per informare le aziende sulle novità normative che impattano sulle imprese di tutti i settori economici. In particolare dall'inizio del 2004 si sono avviate iniziative per divulgare la nuova normativa sul trattamento dei dati personali (D. Lgs. 196 del 2003): tra febbraio e maggio 2004 sono stati organizzati 7 seminari gratuiti, quindi è stato creato lo “Sportello Privacy” che ha funzionato via email da aprile 2004 a giugno 2005 presso l'Azienda speciale Promopadova. Il presente opuscolo nasce proprio dal lavoro quotidiano di tale sportello che ha risposto a centinaia di quesiti, in collaborazione con gli avv. Andrea Lisi e Marzio Vaglio che hanno fornito la propria consulenza legale. Alcuni di questi quesiti sono apparsi molto interessanti e di interesse per molte aziende. Pertanto è stato ritenuto opportuno mettere a disposizione di tutte le aziende, i professionisti, le Associazioni e gli Enti pubblici locali le risposte, aggiungendo anche una breve Guida pratica al Codice della Privacy che permetta di inquadrare meglio la normativa. La rielaborazione ha tenuto conto delle diverse interpretazioni della dottrina e della giurisprudenza sull'argomento. febbraio 2006 Gianfranco Chiesa Presidente CCIAA Padova Camera di Commercio Industria Artigianato Agricoltura di Padova 3 CODICE DELLA PRIVACY INDICE Parte Prima 1. Guida pratica al codice della privacy - a cura di Andrea Lisi a. Introduzione alla materia b. Gli “adempimenti-privacy” c. Le misure di sicurezza d. Il sistema sanzionatorio Pag. Pag. Pag. Pag. Pag. 7 11 19 31 41 Parte Seconda 1. F.A.Q.-Domande più frequenti: risposte ai 60 quesiti più segnificativi rivolti allo sportello privacy di PromoPadova - Azienda speciale della Camera di Commercio di Padova - a cura di Andrea Lisi e Marzio Vaglio Pag. 43 Parte Terza 1. Fac Simile di Documento Programmatico sulla Sicurezza redatto per le imprese - a cura di Andrea Lisi Pag. 137 per informazioni: www.garanteprivacy.it Camera di Commercio Industria Artigianato Agricoltura di Padova 5 Parte prima GUIDA PRATICA AL CODICE DELLA PRIVACY Per imprese e Pubblica Amministrazione A cura di Andrea Lisi CODICE DELLA PRIVACY Prefazione Il diritto alla tutela dei dati personali, riportato nel giusto e più ampio alveo del diritto alla riservatezza (e soprattutto all'interno dei diritti naturali dell'individuo) va applicato con tranquillità e fermezza perché è il futuro che ce lo richiede. La presente piccola guida si propone il delicato compito di provare a spiegare questa legge (D.Lgs. 196/2003), troppo spesso avvertita come un fastidioso fardello, attraverso una chiave di lettura il più possibile semplice, scevra da inutili intellettualismi dottrinali e difficili tecnicismi, per riportare la materia alle sue radici giuridiche. Andrea Lisi Camera di Commercio Industria Artigianato Agricoltura di Padova 9 CODICE DELLA PRIVACY 1. INTRODUZIONE ALLA MATERIA Privacy e sicurezza sono due facce di un'unica medaglia, due aspetti inscindibili di una realtà sempre più digitalizzata che oramai ha preso piede in svariati ambiti della nostra società; oggi “privacy” non significa soltanto diritto di essere lasciati in pace (c.d. right to be alone) o di proteggere la propria sfera privata, ma anche e soprattutto diritto di controllare l'uso e la circolazione dei propri dati personali che costituiscono un bene primario nell'attuale Società dell'Informazione. Un luogo comune è quello, infatti, di considerare la “legge sulla privacy” come il riconoscimento del “diritto all'anonimato”. In realtà, essa è cosa ben diversa; si tratta, infatti, del “diritto alla protezione dei dati personali”, fra l'altro già elevato a livello comunitario a diritto fondamentale della persona: il diritto alla privacy ed alla tutela dei dati personali è stato riconosciuto nel 2000 dalla “Carta dei diritti fondamentali dell'Unione Europea” (vedi art. 8 della Carta, ormai entrato a far parte della Costituzione europea). Una regolamentazione giuridica omogenea in materia di privacy si è avuta a conclusione di un lungo iter legislativo che ha visto, il 29 luglio 2003, la pubblicazione in Gazzetta Ufficiale del D. Lgs. 30 giugno 2003 n. 196, “Codice in materia di protezione dei dati personali” (c.d. Testo Unico della Privacy). Tale Decreto, comunemente noto come “Codice Privacy”, è entrato in vigore il primo gennaio 2004, abrogando e sostituendo, tra l'altro, la precedente legge 675/1996 sulla privacy. La particolare attenzione riservata dal legislatore al corretto trattamento dei dati personali, implica necessariamente il rispetto di tale normativa e, quindi, l'assolvimento di tutti gli adempimenti in esso contenuti. Il Codice della privacy si compone di tre parti: Camera di Commercio Industria Artigianato Agricoltura di Padova 11 CODICE DELLA PRIVACY 1) le disposizioni generali (contenute negli artt. 1-45), che concernono le regole “sostanziali” per la raccolta ed il trattamento dei dati personali, applicabili a tutti i tipi di trattamento, con talune eccezioni stabilite dalle disposizioni della Parte II; 2) le disposizioni particolari stabilite per specifici trattamenti (contenute negli artt. 46-140), che individuano le regole applicabili a determinati settori; 3) le disposizioni relative alle azioni di tutela dell'interessato e al sistema sanzionatorio (artt. 141-186). Di seguito al Codice e parte integrante di esso, troviamo una serie di allegati: - allegato A, relativo ai codici di condotta; - allegato B, recante il disciplinare tecnico in materia di misure minime di sicurezza; - allegato C, relativo ai trattamenti non occasionali effettuati in ambito giudiziario o per fini di polizia (peraltro non ancora pubblicato). Gli adempimenti più importanti contenuti nel codice possono essere schematicamente così suddivisi: 1. adempimenti generali (informativa - art. 13, diritto di accesso art. 7, eventuale consenso al trattamento dei dati - art. 23 ) 2. adempimenti speciali (notificazione al Garante solo nei casi specificamente indicati nell'art. 37 ) 3. adempimenti organizzativi (misure di sicurezza minime e idonee - artt. 31 e segg. Camera di Commercio Industria Artigianato Agricoltura di Padova 12 CODICE DELLA PRIVACY Principio di necessità e modalità di trattamento dei dati personali Principio cardine dell'intero Codice è il “Principio di necessità” (art. 3), che è considerato un ampliamento dei vecchi principi di pertinenza e non eccedenza dei dati rispetto alle finalità del trattamento e riveste certamente il ruolo di generale chiave interpretativa per tutti gli articoli del Codice. In base a tale principio, chiunque tratta dati personali dovrà fare in modo di assicurare che i dati personali stessi possano essere utilizzati solo e nella misura in cui sia strettamente necessario per il raggiungimento delle specifiche finalità, che di volta in volta dovranno essere specificate (e che devono essere nell'informativa che viene fornita all'interessato). Strettamente collegato al principio di necessità è l'art. 11 del Codice, il quale sviluppa al suo interno le linee guida fondamentali da seguire per qualsiasi trattamento di dati personali. Secondo questo fondamentale articolo i dati personali oggetto di trattamento sono: a) trattati in modo lecito e secondo correttezza; b) raccolti e registrati per scopi determinati, espliciti e legittimi, ed utilizzati in altre operazioni del trattamento in termini compatibili con tali scopi; c) esatti e, se necessario, aggiornati; d) pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono raccolti o successivamente trattati; e) conservati in una forma che consenta l'identificazione dell'interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati. I dati personali trattati in violazione della disciplina rilevante in materia di trattamento dei dati personali non possono essere utilizzati. Camera di Commercio Industria Artigianato Agricoltura di Padova 13 CODICE DELLA PRIVACY 4 del Codice: per “trattamento” s'intende qualunque operazione o complesso di operazioni, effettuate anche senza l'ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca dati. Ne risulta, a ben vedere, una definizione molto ampia che include qualsiasi tipologia di trattamento. Possiamo riferire che, in generale, per le modalità del trattamento dei dati personali, è previsto un obbligo di correttezza a carico del titolare e,quindi, di esplicita indicazione delle finalità per cui tali dati sono raccolti; pertanto, i motivi che stanno alla base della raccolta o comunque di qualsiasi trattamento dovranno sempre essere: - determinati - espliciti - legittimi Questi principi acquisiscono certamente una importanza strategica nel trattamento dei dati on line, dove, se si vuole infondere fiducia nel proprio utente telematico, si deve fare in modo che il trattamento elettronico avvenga nella maniera più corretta possibile. Dato personale Per dato personale si intende qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione identificati o identificabili, anche indirettamente, mediante riferimento a Camera di Commercio Industria Artigianato Agricoltura di Padova 14 CODICE DELLA PRIVACY A ben vedere, quindi, qualsiasi tipo di informazione, che consenta (anche in modo indiretto) l'individuazione del soggetto a cui le informazioni personali si riferiscono, è considerata dal Codice quale dato personale (ad esempio fotografie, filmati, indirizzo IP ecc…). Tali dati, quindi, dovranno essere sempre utilizzati per specifiche finalità e solo se strettamente necessari al conseguimento delle stesse, altrimenti dovranno essere utilizzati o in forma anonima o adottando un sistema che permetta l'identificazione dell'interessato solo in caso di necessità (in applicazione del principio di necessità contenuto nell'art. 3 del Codice). Il dato personale per essere identificativo, inoltre, deve consentire l'individuazione diretta del soggetto interessato attraverso cognome, nome, data di nascita o codice fiscale. Dato giudiziario e dato sensibile I dati giudiziari sono quei dati idonei a rivelare: tutte le iscrizioni nel casellario giudiziario delle condanne penali (come le pene inflitte o le pene convertite), ad eccezione delle sentenze dichiarative di fallimento e dei provvedimenti di interdizione, inabilitazione e revoca; le sanzioni amministrative dipendenti da reato; i carichi pendenti; lo status personale di imputato o indagato. I dati sensibili sono quelli idonei a rivelare: a) origini razziali o etniche; b) convinzioni religiose, adesioni ad associazioni o organizzazioni di carattere religioso; c) convinzioni filosofiche o di altro genere, adesioni ad associazioni o organizzazioni a carattere filosofico; d) opinioni politiche e) adesione a partiti politici o ad organizzazioni a carattere politico; f) adesioni a sindacati o a organizzazioni a carattere sindacale; g) stato di salute e la vita sessuale. Camera di Commercio Industria Artigianato Agricoltura di Padova 15 CODICE DELLA PRIVACY Tali dati per la loro delicatezza e importanza, per poter essere trattati, necessitano sempre del consenso scritto dell'interessato e di speciali autorizzazioni del Garante o devono comunque essere autorizzati da qualche legge. Titolare, incaricato, responsabile Secondo l'art. 4 del Codice, titolare del trattamento di dati personali è “la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza”. Responsabile del trattamento, invece, è “la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali”. Si tratta di un soggetto nominato facoltativamente dal titolare del trattamento. Figure sempre necessarie sono invece gli incaricati e, cioè, “le persone fisiche autorizzate a compiere operazioni di trattamento dal titolare o dal responsabile”. Tutte queste figure devono ricevere sempre specifichi incarichi scritti dal titolare per tutti i futuri trattamenti che effettueranno all'interno dell'impresa o della pubblica amministrazione (si vedano, in proposito, gli artt. 28, 29, 30 del Codice). Diritti dell'interessato “Interessato” è la persona fisica, la persona giuridica, l'ente o l'associazione cui si riferiscono i dati personali. Camera di Commercio Industria Artigianato Agricoltura di Padova 16 CODICE DELLA PRIVACY Il Codice, per quanto riguarda il trattamento dei dati personali, riconosce all'interessato una serie di diritti (art. 7 del Codice): - il diritto di avere informazioni generali sui trattamenti di dati svolti nel nostro Paese; il diritto di accesso ai propri dati personali direttamente presso chi li detiene (cioè titolare del trattamento), di ottenere la conferma della loro esistenza e la loro comunicazione e di sapere da dove sono stati acquisiti e quali sono i criteri e gli scopi del trattamento; il diritto di ottenere la cancellazione o il blocco di dati che sono trattati violando la legge (ad esempio, perché non è stato chiesto il consenso); tali diritti possono essere esercitati anche quando non ci sono più motivi validi per conservare i dati; il diritto di aggiornare, correggere o integrare i dati inesatti e incompleti; il diritto, nei casi indicati nel punto 3 e 4, di ottenere anche un'attestazione da parte del titolare che tali operazioni sono state portate a conoscenza dei soggetti ai quali i dati erano stati precedentemente comunicati (a meno che ciò risulti impossibile o richieda un impegno sproporzionato rispetto al diritto tutelato); il diritto di opporsi, per motivi legittimi, al trattamento dei propri dati; il diritto di opporsi al trattamento dei propri dati per scopi di informazione commerciale o per l'invio di materiale pubblicitario o di vendita diretta, oppure per ricerche di mercato. A questi diritti dell'interessato, corrispondono altrettanti obblighi a carico del titolare del trattamento; indipendentemente dal tipo di attività svolta e, quindi, sia che il trattamento venga effettuato con l'ausilio di strumenti informatici sia con il solo materiale cartaceo il titolare dovrà sempre rendere effettivi per l'interessato sia il “diritto ad una adeguata informativa” e sia il diritto di “accesso ai propri dati personali” (che dovrà essere adeguatamente riscontrato nei termini di legge). Camera di Commercio Industria Artigianato Agricoltura di Padova 17 CODICE DELLA PRIVACY 2. GLI ADEMPIMENTI PRIVACY Per poter implementare una qualsiasi attività di trattamento di dati personali e procedere in maniera corretta è sempre necessario preliminarmente individuare i soggetti che a vario titolo avranno diritto di accesso ai dati trattati. Ciò essenzialmente per due ragioni: a) essere in grado di rispondere adeguatamente ad un'istanza avanzata in tal senso dall'interessato, al quale l'art. 7 comma 1, lett. e) del Codice attribuisce, tra l'altro, il diritto di conoscere i soggetti ai quali i dati possono essere comunicati o che ne possono comunque venire a conoscenza; b) poter pianificare eventuali nomine di “responsabili” o “incaricati” del trattamento, in quanto soggetti direttamente coinvolti nella gestione dei dati. In linea generale, sono quattro i principali adempimenti che un'impresa è tenuta a porre in essere per poter correttamente procedere al trattamento dei dati personali: 1. 2. 3. 4. notificazione al Garante; comunicazione dell'informativa all'interessato; acquisizione del consenso predisposizione di minime misure di sicurezza per il trattamento dei dati personali. Notificazione E' uno dei primi adempimenti da porre in essere: si tratta di una comunicazione (una sorta di “auto-dichiarazione”) che il titolare del trattamento rivolge al Garante della protezione dei dati personali (da inviare esclusivamente per via telematica), quando intende procedere a specifici trattamenti di particolari dati personali. Viene utilizzato un apposito modulo da inviare al Garante, in cui vengono descritte le principali caratteristiche del trattamento (categorie dei Camera di Commercio Industria Artigianato Agricoltura di Padova 19 CODICE DELLA PRIVACY Italia o all'estero, ai quali i dati sono eventualmente comunicati, misure di sicurezza adottate) e viene portata alla sua conoscenza la volontà del titolare di voler trattare dati personali di terzi, nell'espletamento di una determinata attività che si andrà ad iniziare. Deve essere effettuata prima di dare inizio al trattamento e non va ripetuta se non si modificano le caratteristiche del trattamento. Mentre con la precedente legge 675/1995 tale prassi era la regola, adesso con il nuovo Codice l'obbligo di notificazione è confinato ad alcuni tassativi casi indicati nell'art. 37. Il titolare del trattamento, infatti, è tenuto a rispettare l'obbligo di notificazione solo quando tratta: - dati genetici, biometrici o che indicano la posizione geografica di persone od oggetti mediante una rete di comunicazione elettronica; - dati idonei a rivelare lo stato di salute e la vita sessuale, trattati a fini di procreazione assistita, prestazione di servizi sanitari per via telematica relativi a banche di dati o alla fornitura di beni, indagini epidemiologiche, rilevazione di malattie mentali, infettive e diffusive, sieropositività, trapianto di organi e tessuti e monitoraggio della spesa sanitaria; - dati trattati con l'ausilio di strumenti elettronici che definiscono il profilo o la personalità dell'interessato, analizzano le abitudini o le scelte di consumo, ovvero consentano di monitorare l'utilizzo di servizi di comunicazione elettronica con esclusione dei trattamenti tecnicamente indispensabili per fornire i servizi medesimi agli utenti; - dati sensibili registrati in banche di dati a fini di selezione del personale per conto terzi, nonché dati sensibili utilizzati per sondaggi di opinione, ricerche di mercato e altre ricerche campionarie; - dati registrati in apposite banche di dati gestite con strumenti elettronici e relative al rischio sulla solvibilità economica, alla Camera di Commercio Industria Artigianato Agricoltura di Padova 20 CODICE DELLA PRIVACY accessibile al pubblico. Con il provvedimento a carattere generale del 31 marzo 2004 il Garante ha interpretato l'art. 37, specificando in maniera restrittiva i casi in cui occorra procedere alla notificazione (il provvedimento è acquisibile sul sito del Garante - www.garanteprivacy.it). Informativa privacy Art. 13 del D. Lgs. 196/ 2003 - Informativa L'interessato o la persona presso la quale sono raccolti i dati personali sono previamente informati oralmente o per iscritto circa: A) le finalità e le modalità del trattamento cui sono destinati i dati; B) la natura obbligatoria o facoltativa del conferimento dei dati; C) le conseguenze di un eventuale rifiuto di rispondere; D) i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati, e l'ambito di diffusione dei dati medesimi; E) i diritti di cui all'articolo 7; F) gli estremi identificativi del titolare e, se designati, del rappresentante nel territorio dello Stato ai sensi dell'articolo 5 e del responsabile. Quando il titolare ha designato più responsabili e indicato almeno uno di essi, indicando il sito della rete di comunicazione o le modalità attraverso le quali è conoscibile in modo agevole l'elenco aggiornato dei responsabili. Quando è stato designato un responsabile per il riscontro all'interessato in caso di esercizio dei diritti di cui all'articolo 7, è indicato tale responsabile Camera di Commercio Industria Artigianato Agricoltura di Padova 21 CODICE DELLA PRIVACY riconosciuti a quest'ultimo dalla legge; tale informativa può essere fornita oralmente o per iscritto e serve nient'altro che a comunicare in maniera corretta all'interessato che verranno effettuati determinati trattamenti sui suoi dati personali. Si tratta di un atto per il quale non sono previste particolari formalità e che deve essere redatto in maniera chiara e sintetica Rispetto alla precedente normativa, il contenuto di tale informativa (che ciascun titolare, privato o pubblico che sia, è tenuto a fornire all'interessato) è stato ampliato dal nuovo Codice, includendovi anche le informazioni circa i soggetti o le categorie di soggetti a cui i dati possono essere comunicati o coloro che possono venirne a conoscenza in qualità di responsabili o incaricati. Molto importante è anche l'informazione sulle finalità e modalità del trattamento, sull'eventuale trasferimento dei dati all'estero e sui diritti di accesso o di partecipazione al trattamento. In sostanza, l'informativa è una comunicazione con la quale il titolare del trattamento illustra ai vari interessati il percorso che i dati seguiranno, al fine di consentirgli di poter verificare in qualunque momento se tale trattamento avviene nel rispetto delle regole. Ricapitolando, l'informativa informazioni: 1) 2) 3) 4) 5) 6) 7) 8) deve contenere le seguenti le finalità e le modalità del trattamento svolto; la natura obbligatoria o facoltativa del conferimento dei dati; le conseguenze dell'eventuale rifiuto del conferimento; l'ambito di comunicazione e diffusione dei dati; l'eventuale trasferimento dei dati all'estero; i diritti dell'interessato; l'indicazione del titolare; l'indicazione del responsabile eventualmente individuato o di quello designato per l'esercizio dei diritti dell'interessato (tra cui il Camera di Commercio Industria Artigianato Agricoltura di Padova 22 CODICE DELLA PRIVACY trattamento (ovviamente se ce ne sono). Informativa e sito web Particolare attenzione deve essere prestata se l'informativa viene inserita in un sito web; infatti, l'attività economica svolta in internet comporta praticamente sempre il trattamento di dati personali (anche la semplice iscrizione ad una newsletter informativa comporta il trattamento di dati degli utenti). La stessa attività di profilazione dei visitatori in modo da conoscerne gusti, preferenze e strutturare così un'efficace azione di marketing “one to one” nei suoi confronti, comporta un trattamento di dati, in quanto così facendo si procede ad un attento studio dei log file e dei cookies (con l'utilizzo di appositi software). Queste pratiche commerciali, scontrandosi con diritti dell'interessato alla protezione dei propri dati personali, non sono vietate all'imprenditore dalla normativa italiana, ma impongono allo stesso di fornire all'interessato una adeguata informazione sulle finalità e modalità del trattamento (art. 13 del Codice privacy). Per quanto riguarda il mondo di internet, quindi, la raccolta e il trattamento dei dati sono certamente sottoposti alla normativa italiana in materia di protezione dei dati personali, ma l'applicazione della legge è un po' più complessa; infatti, la raccolta deve avvenire in modo esplicito, attraverso la predisposizione di un form elettronico, nel quale viene richiesto all'utente di indicare i propri dati personali (nome; cognome; tel.; indirizzo e-mail) e viene ad esso garantito il diritto di accedere, modificare o cancellare i suoi dati secondo l'art. 7 del D. L.gs. 196/2003). Secondo quanto stabilito dal Gruppo europeo di Lavoro per la tutela dei dati personali (Raccomandazione 2/2001 relativa ai requisiti minimi per la raccolta di dati on line nell'Unione Europea adottata il 17.5.2001), ai fini della raccolta dovranno essere comunicate all'interessato, facendole apparire direttamente sullo schermo, le seguenti informazioni: Camera di Commercio Industria Artigianato Agricoltura di Padova 23 CODICE DELLA PRIVACY 1. l'identità del responsabile del trattamento; 2. la/le finalità del trattamento; 3. la natura obbligatoria o facoltativa delle informazioni richieste; 4. i destinatari o le categorie di destinatari dei dati raccolti; 5. l'esistenza del diritto di accesso e di rettifica; 6. l'esistenza del diritto di opporsi a qualsiasi comunicazione dei dati a terzi con finalità diverse dalla fornitura del servizio richiesto e le modalità per esercitare tale diritto; 7. l'esistenza di procedure di raccolta automatica di dati prima di utilizzare simili metodi per detta raccolta; 8. il livello di sicurezza nel corso di tutte le fasi del trattamento compresa la trasmissione. Tali informazioni andrebbero fornite in tutte le lingue usate nel sito web e, specialmente, in quei passaggi ove avviene la raccolta dei dati personali. A prescindere dal fatto che la raccolta venga effettuata sul web o meno, le informazioni contenute nell'“informativa privacy” devono essere rese all'interessato nel momento della raccolta dei suoi dati oppure, in caso di raccolta di dati presso terzi, non oltre il momento della registrazione dei dati o della loro prima comunicazione degli stessi. Nella raccolta on line dei dati personali, è buona norma precisare anche le conseguenze di un eventuale rifiuto a fornire i dati, specificando nell'apposito form quali di questi siano facoltativi e quali, invece, obbligatori (apponendo su di essi un [*] asterisco); ricordiamo che per obbligatorietà deve intendersi il necessario conferimento che scaturisce da disposizioni normative, senza il quale sarebbe impossibile fornire il servizio richiesto e dare così attuazione agli specifici accordi contrattuali eventualmente presi. Da questa breve elencazione del contenuto dell'informativa, risulta che il titolare del trattamento dovrà predisporre informative, Camera di Commercio Industria Artigianato Agricoltura di Padova 24 CODICE DELLA PRIVACY sufficientemente precise, complete e diverse a seconda delle varie categorie interessate (i parametri di riferimento sono l'analisi delle singole categorie interessate, la natura dei dati trattati, le diverse finalità e la tipologia dei dati trattati), per non incorrere in eventuali sanzioni previste dal Codice. Nell'informativa, oltre all'indicazione degli articoli 7 e 13 del Codice, dovrà, essere indicato il responsabile del trattamento (se è stato designato, poiché si tratta di una figura facoltativa) e l'eventuale responsabile per il riscontro. Nel caso di un sito web, si dovrà sempre indicare il sito di riferimento o le altre modalità idonee a consentire la conoscenza dell'eventuale elenco completo dei responsabili. Il consenso al trattamento L'art. 23 del Codice, al primo comma, sancisce che “il trattamento di dati personali da parte di privati o di enti pubblici economici è ammesso solo con il consenso espresso dell'interessato”. Il trattamento dei dati personali, infatti, presuppone un preventivo consenso informato da parte dell'interessato (il consenso dell'interessato deve essere manifestato dopo avergli conferito, quindi, un'adeguata informativa e previa autorizzazione del Garante ove richiesta). Il consenso non è altro che una libera ed espressa manifestazione di volontà con la quale l'interessato accetta un determinato trattamento dei suoi dati personali, sul quale è stato preventivamente informato. Tale manifestazione di volontà deve essere esplicita, libera e documentata per iscritto. La funzione del consenso è quella di autorizzare il titolare a trattare i dati personali dell'interessato e si distingue in un consenso semplice (cioè fornito oralmente, ma comunque documentato per iscritto) per il trattamento dei dati comuni ed un consenso Camera di Commercio Industria Artigianato Agricoltura di Padova 25 CODICE DELLA PRIVACY necessariamente essere fornito per iscritto in riferimento a quei dati definiti sensibili. La mancanza del consenso può comportare anche l'applicazione di sanzioni penali (come sono previste sanzioni amministrative in caso di mancata o inidonea informativa), ferma restando la responsabilità civile in caso di accertamento di eventuali danni derivanti dall'uso illecito dei dati raccolti (ex art. 15 del Codice). Ci sono dei casi in cui il consenso per il trattamento dei dati personali - non sensibili - non è richiesto (art. 24 D.lgs 196/2003). In particolare, il consenso non è richiesto quando: a) è necessario per adempiere ad un obbligo previsto dalla legge, da un regolamento o dalla normativa comunitaria; b) è necessario per eseguire obblighi derivanti da un contratto del quale è parte l'interessato o per adempiere, prima della conclusione del contratto, a specifiche richieste dell'interessato (es. nella fatturazione, nella fase di trattativa commerciale). Per quanto concerne lo svolgimento di attività economiche si deve far riferimento all'attività svolta dall'interessato e non a quella svolta dal titolare: il titolare, pertanto, non deve richiedere il consenso al suo fornitore per trattare il dato necessario allo svolgimento dell'attività economica di quest'ultimo (si pensi alla partita IVA dovuta ai fini di fatturazione); c) riguarda dati provenienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque, fermi restando i limiti e le modalità che le leggi, i regolamenti o la normativa comunitaria stabiliscono per la conoscibilità e pubblicità dei dati; d) riguarda dati relativi allo svolgimento di attività economiche, trattati nel rispetto della vigente normativa in materia di segreto aziendale e industriale; e) è necessario per la salvaguardia della vita o dell'incolumità fisica di un terzo. Se la medesima finalità riguarda l'interessato e quest'ultimo non può prestare il proprio consenso per impossibilità fisica, per incapacità di agire o per incapacità di intendere o di volere, il consenso è manifestato da chi esercita Camera di Commercio Industria Artigianato Agricoltura di Padova 26 CODICE DELLA PRIVACY legalmente la potestà, ovvero da un prossimo congiunto, da un familiare, da un convivente o, in loro assenza, dal responsabile della struttura presso cui dimora l'interessato; f ) con esclusione della diffusione, è necessario ai fini dello svolgimento delle investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397, o, comunque, per far valere o difendere un diritto in sede giudiziaria, sempre che i dati siano trattati esclusivamente per tali finalità e per il periodo strettamente necessario al loro perseguimento, nel rispetto della vigente normativa in materia di segreto aziendale e industriale; g) con esclusione della diffusione, è necessario, nei casi individuati dal Garante sulla base dei principi sanciti dalla legge, per perseguire un legittimo interesse del titolare o di un terzo destinatario dei dati, anche in riferimento all'attività di gruppi bancari e di società controllate o collegate, qualora non prevalgano i diritti e le libertà fondamentali, la dignità o un legittimo interesse dell'interessato (principio del bilanciamento di interessi); h) con esclusione della comunicazione all'esterno e della diffusione, è effettuato da associazioni, enti od organismi senza scopo di lucro, anche non riconosciuti, in riferimento a soggetti che hanno con essi contatti regolari o ad aderenti, per il perseguimento di scopi determinati e legittimi individuati dall'atto costitutivo, dallo statuto o dal contratto collettivo, e con modalità di utilizzo previste espressamente con determinazione resa nota agli interessati all'atto dell'informativa ai sensi dell'articolo 13; i) è necessario, in conformità ai rispettivi codici di deontologia di cui all'allegato A), per esclusivi scopi scientifici o statistici, ovvero per esclusivi scopi storici presso archivi privati dichiarati di notevole interesse storico ai sensi dell'articolo 6, comma 2, del decreto legislativo 29 ottobre 1999, n. 490, di approvazione del testo unico in materia di beni culturali e ambientali o, secondo quanto previsto dai medesimi codici, presso altri archivi privati. Camera di Commercio Industria Artigianato Agricoltura di Padova 27 CODICE DELLA PRIVACY I soggetti pubblici (come pubblica amministrazione, enti camerali, alcuni enti previdenziali o assistenziali, ecc.), inoltre, non hanno l'obbligo di raccogliere il consenso degli interessati, poiché la legge consente loro di effettuare trattamenti di dati personali soltanto per lo svolgimento delle funzioni istituzionali, nei limiti stabiliti da leggi e da regolamenti (si vedano in proposito gli artt. 18-22 del Codice). In proposito, può essere utile prendere attenta visione della direttiva n. 1 dell'11/02/2005 della Pres. del Consiglio dei Ministri - Dipartimento della Funzione pubblica. Espressione del consenso nei siti web Nel caso del titolare di un sito web il consenso al trattamento non è un obbligo sempre previsto e, ad esempio, quando il trattamento dei dati è necessario per adempiere a specifiche richieste dell'interessato al servizio on line, si ricade nelle esclusioni dell'art. 24 del Codice. Quando il consenso è invece necessario, il titolare del sito aziendale dovrà avere l'accortezza di inserire nella specifica pagina del sito web un'apposita “casella di spunta”, sulla quale occorre cliccare per attestare l'avvenuta autorizzazione al trattamento dei propri dati personali (previa visione di un'adeguata informativa ex art. 13 del Codice). Anche per internet il consenso deve essere preventivo rispetto al trattamento dei dati e, perché sia validamente prestato, deve essere espresso “liberamente” e “in relazione ad un trattamento chiaramente individuato”(il “consenso omnibus”, dunque, viene visto come una sostanziale esclusione del principio stesso del consenso), nonché deve essere sempre “informato” (ossia preceduto, come già sottolineato, da una corretta informativa). Qualora abbia ad oggetto dati sensibili, il consenso deve essere rilasciato in forma scritta, mentre, negli altri casi, è sufficiente che sia “documentato” per iscritto. Camera di Commercio Industria Artigianato Agricoltura di Padova 28 CODICE DELLA PRIVACY AUTORIZZAZIONI DEL GARANTE E TRATTAMENTO DEI DATI SENSIBILI L'art. 26 del Codice recita espressamente “i dati sensibili possono essere oggetto di trattamento solo con il consenso scritto dell'interessato (salvi i casi di esclusione espressamente previsti nello stesso articolo) e previa autorizzazione del Garante, nell'osservanza dei presupposti e dei limiti stabiliti dal presente codice, nonché dalla legge e dai regolamenti”. L'autorizzazione è, quindi, un provvedimento adottato dal Garante con cui il titolare (ente, azienda o libero professionista) viene autorizzato a trattare determinati dati “sensibili” o “giudiziari” o a trasferire dati personali all'estero. Il Garante, ad oggi, ha emanato una serie di “autorizzazioni generali” che consentono il trattamento dei dati sensibili a determinate categorie di titolari. In particolare, in tema di dati sensibili e giudiziari, il Garante ha emanato sette autorizzazioni generali, che consentono a varie categorie di titolari di trattare dati per gli scopi specificati senza dover chiedere singolarmente un'apposita autorizzazione. Si distinguono in Generali e Specifiche: le prime, sono emanate dal Garante annualmente e riguardano il trattamento dei dati in specifici settori; le seconde, sono quelle che non rientrano nelle autorizzazioni generali e che, come tali, necessitano di una specifica ed individuale autorizzazione. Il Garante ha recentemente rilasciato le nuove 7 autorizzazioni al trattamento dei dati sensibili e giudiziari che saranno efficaci dal 1° gennaio 2006 sino al 30 giugno 2007. Le autorizzazioni generali sono facilmente acquisibili sul sito web del Garante. . Camera di Commercio Industria Artigianato Agricoltura di Padova 29 CODICE DELLA PRIVACY 3. LE MISURE DI SICUREZZA Posto che “riservatezza” non ha lo stesso significato di “sicurezza”, la tutela della privacy non può prescindere da un'adeguata predisposizione di strumenti di difesa che impediscano la perdita accidentale dei dati o l'accesso abusivo agli stessi. Per “misure di sicurezza”, pertanto, devono essere intesi tutti gli accorgimenti e i dispositivi utilizzati per garantire che: i dati non vadano distrutti o persi anche in modo accidentale; che solo le persone autorizzate possano avere accesso ai dati; che non siano effettuati trattamenti contrari alle norme di legge o diversi da quelli per cui i dati erano stati raccolti. Sicurezza e Internet L'esigenza di protezione dei dati è avvertita in maniera ancor più concreta nel mondo di internet, dato che si tratta di una “rete aperta”, una rete, cioè, in cui i messaggi sono sempre esposti al rischio di accessi non autorizzati e viaggiano liberamente da un computer all'altro, con la possibilità di essere continuamente intercettati. Ecco, quindi, che emerge l'esigenza, per le aziende, enti e pubbliche amministrazioni che operano ormai quotidianamente su internet, di proteggersi con strumenti più adeguati e sofisticati. Rispetto alle più ampie misure che il titolare deve applicare a tutela dei dati, infatti, il Codice e, più in particolare, il suo allegato B del Codice ha indicato delle specifiche misure di sicurezza che è obbligatorio adottare per non correre il rischio di perdita o distruzione dei dati e di “incappare” anche in responsabilità penali e per garantire così un livello minimo di protezione agli strumenti informatici. Sono stati fissati, quindi, una serie di criteri e accorgimenti (es. Camera di Commercio Industria Artigianato Agricoltura di Padova 31 CODICE DELLA PRIVACY titolari devono adottare e che sono via via più pregnanti a seconda che il trattamento elettronico riguardi dati personali comuni o sensibili. Tali misure, inoltre, dovranno essere sempre adeguate periodicamente in base allo sviluppo tecnologico ed all'esperienza maturata. Particolari misure di sicurezza sono comunque previste anche in caso di trattamenti cartacei di dati personali. Misure di sicurezza minime e idonee Le misure di sicurezza previste dal Codice sono, quindi, classificate dal legislatore in “minime” e “idonee”. Le prime (disciplinate dagli artt. 33 e ss. del Codice ed individuate in maniera specifica dal disciplinare tecnico di cui al c.d.”allegato B”) sono volte ad assicurare un livello minimo di protezione dei dati personali trattati, tanto che una loro mancata adozione comporta notevoli sanzioni (illecito punito dell'art. 169 T.U con l'arresto fino a 2 anni o con l'ammenda da 10.000 a 50.000 Euro). Le seconde (disciplinate dall'art. 31 del Codice), impongono al titolare del trattamento dei dati personali la predisposizione di tutte quelle misure di sicurezza idonee a ridurre al minimo “i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta”, in modo che i dati personali oggetto di trattamento siano “custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento”. Quindi, nonostante l'adeguamento alle misure minime espressamente indicate dal legislatore negli artt. 33 e segg. e dall'allegato B e la cui mancata adozione è pesantemente sanzionata - comporti per il titolare del trattamento l'assenza di responsabilità penali, tuttavia, non si può escludere un eventuale Camera di Commercio Industria Artigianato Agricoltura di Padova 32 CODICE DELLA PRIVACY del titolare del trattamento in azioni di risarcimento danni da responsabilità civile, qualora l'evoluzione tecnologica abbia reso disponibili accorgimenti ulteriori che soddisfino le misure dichiarate “idonee”. Il titolare del trattamento potrebbe essere, infatti, responsabile perchè “chiunque cagiona danno ad altri per effetto del trattamento dei dati personali è tenuto al risarcimento ai sensi dell'art. 2050 c.c.” (art. 15, D. Lgs. 196/03); norma che equipara di fatto il trattamento di dati personali all'“esercizio di attività pericolose”. Una tale responsabilità potrà essere esclusa solo se si dimostra di aver adottato tutte le misure idonee ad evitare il danno. Riassumendo, le imprese o le pubbliche amministrazioni che operino trattamenti di dati personali nelle loro attività on line o off line, al fine di “ridurre i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta”, dovranno: a) osservare il livello di sicurezza minimo di legge (per evitare conseguenze penali); b) approntare le misure di sicurezza ulteriori ed idonee, che in base al singolo caso concreto si potevano predisporre (altrimenti potrebbero essere costrette a risarcire i danni eventualmente cagionati a terzi). Le misure di sicurezza minime Per quanto riguarda le misure di sicurezza minime espressamente indicate dal legislatore, l'art. 35 del Codice prevede che “il trattamento di dati personali effettuato senza l'ausilio di strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell'allegato B), le seguenti misure minime: a) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati o alle unità Camera di Commercio Industria Artigianato Agricoltura di Padova 33 CODICE DELLA PRIVACY archivi ad accesso selezionato e disciplina delle modalità di accesso finalizzata all'identificazione degli incaricati”. Mentre l'art. 34 afferma che “il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell'allegato B), le seguenti misure minime: autenticazione informatica; adozione di procedure di gestione delle credenziali di autenticazione; utilizzazione di un sistema di autorizzazione; aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici; protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici; adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi; tenuta di un aggiornato documento programmatico sulla sicurezza; adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari” Tra le varie misure di sicurezza minime previste ed in base alle disposizioni del Codice che regolano la particolare materia della sicurezza dei dati personali, particolare attenzione merita la predisposizione del c.d. Documento Programmatico sulla Sicurezza (D.P.S.) - si ricorda che, dopo le continue proroghe concesse dal legislatore (il 22 dicembre 2005 il Governo ha approvato un nuovo decreto "milleproroghe" -D.L. 30 dicembre 2005, n.273 contenente l'ennesima proroga della proroga delle misure minime di sicurezza), il termine ultimo per adeguarsi a tale misura di sicurezza è il 31 marzo 2006, (salvo ulteriori provvedimenti di proroga). Camera di Commercio Industria Artigianato Agricoltura di Padova 34 CODICE DELLA PRIVACY IL D.P.S. Il DPS è un dettagliato resoconto sulle misure di sicurezza adottate da imprese ed enti pubblici, nella loro qualità di titolari, circa il trattamento di dati personali altrui, al fine di evitare o ridurre al minimo il verificarsi di qualsiasi tipo di evento che possa mettere in pericolo o recare un danno a carico degli stessi dati personali. Sostanzialmente, il DPS può essere considerato una fotografia della privacy policy adottata in tema di sicurezza dei dati personali e, una volta redatto, esso deve essere custodito in un luogo preciso e sicuro per eventuali possibili controlli. Per individuare i soggetti tenuti alla redazione di tale documento, bisogna far riferimento agli articoli 33 e ss. del Codice, nonché alle disposizioni di cui all'Allegato B al Codice stesso. Le misure individuate dal Codice e definite “minime”, come già ricordato, sono volte ad assicurare un livello minimo di protezione dei dati personali (art. 33), rappresentando la base minima da cui partire per dotarsi di misure di sicurezza sempre migliori e più efficaci e per evitare di incorrere nelle sanzioni penali previste dall'art. 169. Infatti, i parametri per garantire la sicurezza dei dati personali sono soggetti a continue variazioni, e questo: - in base alle conoscenze acquisite in base al progresso tecnico; - in base alla natura dei dati e alle specifiche caratteristiche del trattamento (art. 31). In tema di redazione del DPS bisogna far riferimento alle operazioni di trattamento dei dati personali a seconda che le stesse avvengano con o senza l'ausilio di strumenti elettronici (vd. art. 34 Trattamenti con strumenti elettronici - ed art. 35 - Trattamenti senza l'ausilio di strumenti elettronici, che richiamano anche il disciplinare tecnico dell'Allegato B); solo l'art. 34 dispone, nell'ipotesi di trattamento elettronico di dati personali, la tenuta di un aggiornato documento programmatico sulla sicurezza. Quindi, Camera di Commercio Industria Artigianato Agricoltura di Padova 35 CODICE DELLA PRIVACY strumenti elettronici, non occorre la redazione del DPS, anche se nel caso in cui il trattamento cartaceo abbia ad oggetto dati sensibili e/o giudiziari, i punti 27 e ss. dell'Allegato B prevedono delle regole procedurali piuttosto rigide e, forse, la redazione del DPS rimarrebbe più che opportuna. Occorre riferire che secondo l'interpretazione di buona parte della dottrina, l'art. 34, integrato dalla disposizione del punto 19 del Disciplinare tecnico / allegato B), farebbe risultare l'obbligo (penalmente sanzionato) di predisposizione del DPS solo per il titolare che effettua trattamenti di dati sensibili o giudiziari tramite strumenti elettronici (interpretazione confermata anche dal Parere del Garante del 24 marzo 2004 ). 1 Si può così concludere che il DPS, secondo una lettura letterale e rigida della nuova normativa, sarebbe dovuto sempre nelle ipotesi di trattamento elettronico di dati personali di qualsiasi tipo (ex art. 34 del Codice) e sarebbe consigliabile nelle ipotesi di trattamento cartaceo di dati sensibili e giudiziari. Invece, secondo una interpretazione più elastica della normativa in vigore, la redazione del DPS sarebbe obbligatoria solo e soltanto in presenza di trattamenti elettronici di dati sensibili. 1 Parere acquisibile sul sito del Garante per la protezione dei dati personali. Si sottolinea, in proposito, che quelli del Garante sono pareri di natura non vincolante per un giudice e ancora non ci sono provvedimenti giudiziali che possano costituire un minimo di precedente o comunque una chiave di lettura sicura per l'interprete. Anche per tale motivo a parte della dottrina e allo scrivente avv. Lisi appare preferibile una lettura più ampia e rigida degli obblighi di redazione del DPS. Vi è, tuttavia, chi non è d'accordo con tale linea interpretativa, sostenendo che, benché il parere del Garante non sia giuridicamente vincolante, tuttavia l'interpretazione fornita dall'Authority derivi da una lettura combinata delle norme. Quindi vi è un dibattito in dottrina non ancora sanato da interpretazioni autentiche o precedenti giurisprudenziali. Camera di Commercio Industria Artigianato Agricoltura di Padova 36 CODICE DELLA PRIVACY A parere di chi scrive, in presenza di questo dibattito dottrinale e a prescindere dalla obbligatorietà (sanzionata penalmente con l'art. 169 del Codice) del D.P.S. quale misura minima di sicurezza, tale documento è altamente consigliabile nel caso in cui - sulla base di una ragionata analisi della propria organizzazione - si sia in presenza di una struttura interna complessa e informatizzata. Inoltre, il D.P.S. è sempre uno strumento utile perché offre al titolare la possibilità di provare, con un documento cartaceo, di aver adottato tutte quelle misure volte ad evitare danni (o quantomeno a ridurli) derivanti dal trattamento di dati personali altrui, anche in considerazione del fatto che l'attività di trattamento è paragonata dal nostro legislatore (vd. già citato art. 15 del Codice) ad una attività pericolosa di cui all'art. 2050 c.c., con ogni conseguenza che ne deriva in tema di risarcimento danni (anche non patrimoniali) ed onere della prova. Il contenuto del DPS varia da impresa ad impresa ed a seconda che si tratti di azienda, Pubblica Amministrazione o Ente Pubblico. Questo documento deve contenere: - l'elenco dei trattamenti di dati personali; - la distribuzione dei compiti e delle responsabilità nell'ambito delle strutture preposte al trattamento dei dati; - l'analisi dei rischi che incombono sui dati; - le misure da adottare per garantire l'integrità e la disponibilità dei dati, nonché la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità; - la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a possibili eventi di distruzione o danneggiamento; - la previsione di interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più Camera di Commercio Industria Artigianato Agricoltura di Padova 37 CODICE DELLA PRIVACY rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare; - la descrizione dei criteri da seguire per garantire l'adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformità al Codice, all'esterno della struttura del titolare; - inoltre, per quei dati personali idonei a rivelare lo stato di salute e la vita sessuale, il Codice prevede l'individuazione dei criteri da adottare per la cifratura o per la separazione di tali dati dagli altri dati personali dell'interessato. L'utilità di tale documento è rinvenibile, soprattutto, nella possibilità di comprendere il funzionamento dell'azienda o della Pubblica Amministrazione circa i trattamenti effettuati al loro interno e, cosa più importante, consentirà una tutela efficace contro possibili sanzioni penali e pretestuose richieste di risarcimento danni provenienti da quanti ritengono di essere stati vittime di eventuali violazioni nel trattamento dei loro dati personali. Con l'entrata in vigore della Legge 1 marzo 2005, n. 26, tuttavia, si è avuto un ulteriore slittamento dei termini per l'adeguamento alle “nuove misure minime di sicurezza”. In particolare, è stato modificato l'art 180 del D. Lgs. 196/2003, che ha prorogato il termine per l'adozione del DPS, che è stato così posticipato al 31 dicembre 2005 (si ricorda che questo termine è stato recentemente prorogato al 31 marzo 2006); inoltre, per chi utilizza strumenti elettronici che non permettono l'immediato adeguamento alle misure minime (ad esempio, chi possiede pc con sistemi operativi obsoleti), il termine per tale adeguamento scadrà il 31 marzo 2006 (prorogato con il recente decreto “milleproroghe” al 30 giugno 2006), purché il titolare del trattamento rediga un documento avente data certa contenente le obiettive ragioni tecniche che non consentono il dovuto adeguamento. Camera di Commercio Industria Artigianato Agricoltura di Padova 38 CODICE DELLA PRIVACY N.B. Tale proroga, di fatto, non ha comportato l'intero slittamento dell'applicazione della normativa sulla privacy, riferendosi solo alle sole nuove misure di sicurezza non previste dalla precedente normativa (legge 675/1996 e il D.P.R. n. 318/1999). Tra gli adempimenti che devono già essere posti in essere si sottolinea, quindi, l'importanza e l'obbligatorietà di un'idonea informativa e la nomina (da farsi per iscritto) di incaricati e di eventuali responsabili; la regola del necessario consenso prima di effettuare il trattamento dei dati (fatte salve le eccezioni previste dal Codice nell'art. 24), nonché l'obbligo di attribuzione di codici identificativi personali per l'utilizzo degli strumenti informatici. Camera di Commercio Industria Artigianato Agricoltura di Padova 39 CODICE DELLA PRIVACY 4. IL SISTEMA SANZIONATORIO Al sistema sanzionatorio è dedicato il Titolo III della Parte III del Codice della Privacy. Nel Capo primo vengono definite le sanzioni amministrative (le novità più rilevanti, rispetto alla normativa precedente, si rinvengono sotto il profilo dell'inasprimento delle sanzioni): Art. 161 (Omessa o inidonea informativa all'interessato) 1. La violazione delle disposizioni di cui all'articolo 13 è punita con la sanzione amministrativa del pagamento di una somma da tremila euro a diciottomila euro o, nei casi di dati sensibili o giudiziari o di trattamenti che presentano rischi specifici ai sensi dell'articolo 17 o, comunque, di maggiore rilevanza del pregiudizio per uno o più interessati, da cinquemila euro a trentamila euro. La somma può essere aumentata sino al triplo quando risulta inefficace in ragione delle condizioni economiche del contravventore. Art. 162 (Altre fattispecie) 1. La cessione dei dati in violazione di quanto previsto dall'articolo 16, comma 1, lettera b), o di altre disposizioni in materia di disciplina del trattamento dei dati personali è punita con la sanzione amministrativa del pagamento di una somma da cinque mila euro a trentamila euro. 2 La violazione della disposizione di cui all'articolo 84, comma 1, è punita con la sanzione amministrativa del pagamento di una somma da cinquecento euro a tremila euro. Art. 163 (Omessa o incompleta notificazione) 1. Chiunque, essendovi tenuto, non provvede tempestivamente alla notificazione ai sensi degli articoli 37 e 38, ovvero indica in essa notizie incomplete, è punito con la sanzione amministrativa del pagamento di una somma da diecimila euro a sessantamila euro e con la sanzione amministrativa accessoria della pubblicazione dell'ordinanza-ingiunzione, per intero o per estratto, in uno o più giornali indicati nel provvedimento che la applica. Art. 164 (Omessa informazione o esibizione al Garante) 1. Chiunque omette di fornire le informazioni o di esibire i documenti richiesti dal Garante ai sensi degli articoli 150, comma 2, e 157 è punito con la sanzione amministrativa del pagamento di una somma da quattromila euro a ventiquattromila euro. Art. 165 (Pubblicazione del provvedimento del Garante) 1. Nei casi di cui agli articoli 161, 162 e 164 può essere applicata la sanzione amministra-tiva accessoria della pubblicazione dell'ordinanza-ingiunzione, per intero o per estratto, in uno o più giornali indicati nel provvedimento che la applica. Art. 166 (Procedimento di applicazione) 1. L'organo competente a ricevere il rapporto e ad irrogare le sanzioni di cui al presente capo e all'articolo 179, comma 3, è il Garante. Si osservano, in quanto applicabili, le disposizioni della legge 24 novembre 1981, n. 689, e successive modificazioni. I proventi, nella misura del cinquanta per cento del totale annuo, sono riassegnati al fondo di cui all'articolo 156, comma 10, e sono utilizzati unicamente per l'esercizio dei compiti di cui agli articoli 154, comma 1, lettera h), e 158. Camera di Commercio Industria Artigianato Agricoltura di Padova 41 CODICE DELLA PRIVACY Nel Capo secondo vengono descritte le varie condotte che costituiscono illecito penale: Art. 167 (Trattamento illecito di dati) 1. Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sé o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli articoli 18, 19, 23, 123, 126 e 130, ovvero in applicazione dell'articolo 129, è punito, se dal fatto deriva nocumento, con la reclusione da sei a diciotto mesi o, se il fatto consiste nella comunicazione o diffusione, con la reclusione da sei a ventiquattro mesi. 2. Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sé o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli articoli 17, 20, 21, 22, commi 8 e 11, 25, 26, 27 e 45, è punito, se dal fatto deriva nocumento, con la reclusione da uno a tre anni. Art. 168 (Falsità nelle dichiarazioni e notificazioni al Garante) 1. Chiunque, nella notificazione di cui all'articolo 37 o in comunicazioni, atti, documenti o dichiarazioni resi o esibiti in un procedimento dinanzi al Garante o nel corso di accertamenti, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi, è punito, salvo che il fatto costituisca più grave reato, con la reclusione da sei mesi a tre anni. Art. 169 (Misure di sicurezza) 1. Chiunque, essendovi tenuto, omette di adottare le misure minime previste dall'articolo 33 è punito con l'arresto sino a due anni o con l'ammenda da diecimila euro a cinquantamila euro. 2. All'autore del reato, all'atto dell'accertamento o, nei casi complessi, anche con successivo atto del Garante, è impartita una prescrizione fissando un termine per la regolarizzazione non eccedente il periodo di tempo tecnicamente necessario, prorogabile in caso di particolare complessità o per l'oggettiva difficoltà dell'adempimento e comunque non superi ore a sei mesi. Nei sessanta giorni successivi allo scadere del termine, se risulta l'adempimento alla prescrizione, l'autore del reato è ammesso dal Garante a pagare una somma pari al quarto del massimo dell'ammenda stabilita per la contravvenzione. L'adempimento e il pagamento estinguono il reato. L'organo che impartisce la prescrizione e il pubblico ministero provvedono nei modi di cui agli articoli 21, 22, 23 e 24 del decreto legislativo 19 dicembre 1994, n. 758, e successive modificazioni, in quanto applicabili. Art. 170 (Inosservanza di provvedimenti del Garante) 1. Chiunque, essendovi tenuto, non osserva il provvedimento adottato dal Garante ai sensi degli articoli 26, comma 2, 90, 150, commi 1 e 2, e 143, comma 1, lettera c), è punito con la reclusione da tre mesi a due anni. Art. 171 (Altre fattispecie) 1. La violazione delle disposizioni di cui agli articoli 113, comma 1, e 114 è punita con le sanzioni di cui all'articolo 38 della legge 20 maggio 1970, n. 300. Art. 172 (Pene accessorie) 1. La condanna per uno dei delitti previsti dal presente codice importa la pubblicazione della sentenza Per l'impresa che opera in internet, vista la potenziale diffusione alla quale possono essere sottoposti i dati personali trattati ed il conseguente pregiudizio che l'interessato potrebbe subire, appare ragionevole l'astratta applicabilità delle sanzioni più alte o dei massimi edittali. E' consigliabile, quindi, che il trattamento “on line” dei dati personali avvenga con lo stesso rigore del trattamento Camera di Commercio Industria Artigianato Agricoltura di Padova 42 CODICE DELLA PRIVACY Parte seconda F.A.Q. - Domande più frequenti: risposte ai 60 quesiti più significativi rivolti allo "sportello privacy" di PromoPadova Azienda speciale della Camera di Commercio di Padova. A cura di Avv. Andrea Lisi - www.studiodl.it e Avv. Marzio Vaglio - www.vaglio.org Camera di Commercio Industria Artigianato Agricoltura di Padova 43 CODICE DELLA PRIVACY Indice dei quesiti 1) 2) 3) 4) 5) 6) 7) 8) 9) 10) 11) 12) 13) 14) 15) 16) 17) 18) 19) 20) 21) 22) 23) 24) 25) 26) 27) 28) 29) 30) 31) 32) Nuova informativa-tipo Pag. 49 Fac-simile informativa per clienti e fornitori Pag. 50 Informativa-tipo per raccolta dati e invio e-mail senza consenso Pag. 53 Informativa privacy ente pubblico Pag. 54 Informativa contenuta nei pieghevoli informativi Pag. 55 Informativa L. 675/96 - Legittimità Pag. 57 Vecchia informativa e consenso Pag. 58 Informativa per fornitori e clienti Pag. 59 Caso gestione busta paga per dipendenti iscritti a un sindacato Pag. 60 Autorizzazione del garante e differenza con notifica Pag. 61 Modalità di notifica al garante Pag. 64 Caso azienda di telemarketing - Operare secondo mandato Pag. 65 Telemarketing e privacy Pag. 66 Trattamento dati sensibili e cifratura Pag. 70 Studio di commercialisti e rapporti con garante Pag. 71 Caso agenzia immobiliare: dati personali raccolti su indicazione dell'interessato e natura dei dati. Pag. 72 Caso di società immobiliare ed eventuale necessità di notifica al garante Pag. 73 Consenso e dati inseriti in pubblici registri Pag. 74 Dati gestiti da dipendenti Pag. 75 Caso CED (Centro Elaborazione Dati) - E' necessario il consenso per il trattamento di dati obbligatori da trasmettere a Inps, Inail, ecc.? Pag. 76 Oneri di privacy per operare in attività su mandato Pag. 77 Notifica al garante e dati sensibili Pag. 80 Cosè il DPS ? Pag. 81 Consenso e Dps per aziende operanti nel commercio (Dati non sensibili) Pag. 82 DPS (Documento Programmatico sulla Sicurezza) Pag. 85 Obbligo di DPS Pag. 87 DPS, proroghe e data certa Pag. 90 DPS e data certa Pag. 92 Bilancio aziendale e DPS Pag. 93 DPS, nota integrativa e relazioni sulla gestione Pag. 94 DPS - Società capogruppo e filiali Pag. 98 Dati sensibili e obbligatorietà del DPS Pag.100 Camera di Commercio Industria Artigianato Agricoltura di Padova 45 CODICE DELLA PRIVACY 33) 34) 35) 36) 37) 38) 39) 40) 41) 42) 43) 44) 45) 46) 47) 48) 49) 50) 51) 52) 53) 54) 55) 56) 57) 58) 59) 60) DPS e controlli di carattere ispettivo Territorialità dei dati per consenso Videosorveglianza e normativa Scadenza per la notifica per aziende con videosorveglianza Telecamera senza registrazione Caso azienda produttrice di dispositivi medici su misura Notifica per azienda produttrice di dispositivi medici su misura Interpretazione del trattamento elettronico dei "dati sensibili e giudiziari” Azienda di software e titolarità del trattamento dei dati Dati giudiziari per un'azienda di software Società di software e obblighi privacy Responsabilità nella creazione di software gestionali DPS e azienda di software Obbligatorietà della sala server Custodia delle copie di back up Misure di sicurezza e pc nel magazzino Screen saver e pw Dati personali dei dipendenti Distribuzione dei dati personali degli ex dipendenti Cv e privacy Regolamento informatico interno Trattenute, assegni familiari e dati sensibili Privacy e foto da inserire su sito web Normativa privacy applicabile per il sito web Privacy e permanenza su un sito Dati forniti a gestore di sito web Privacy e form elettronici Privacy e cookies Camera di Commercio Industria Artigianato Agricoltura di Padova Pag. Pag. Pag. Pag. Pag. Pag. Pag. 102 102 103 104 104 105 108 Pag. Pag. Pag. Pag. Pag. Pag. Pag. Pag. Pag. Pag. Pag. Pag. Pag. Pag. Pag. Pag. Pag. Pag. Pag. Pag. Pag. 109 112 114 117 120 121 123 125 125 126 127 127 129 129 131 132 132 133 133 134 134 47 CODICE DELLA PRIVACY 1. NUOVA INFORMATIVA - TIPO Quale potrebbe essere la traccia di una informativa-tipo per un'Azienda? RISPOSTA Avv. Andrea Lisi “D. Lgs. 30 giugno 2003, n° 196 - Codice in materia di protezione dei dati personali. Ai sensi e per gli effetti del D. Lgs. 196/2003, l'Azienda Y, sottoscrive la presente quale espresso consenso al trattamento dei propri dati personali da parte dell'Azienda X, e conferma di aver ricevuto informativa sui seguenti punti: 1) i dati personali verranno trattati esclusivamente per gli scopi connessi ai fini istituzionali dell'Azienda X, ovvero dipendenti da obblighi di legge, ivi compresa l'adozione di misure di sicurezza; 2) i dati personali potranno essere trattati anche per finalità di informazione circa le attività promozionali e di formazione promosse dall'Azienda X, anche con newsletter a mezzo e-mail e/o fax e/o posta di superficie; 3) i dati personali verranno trattati manualmente e con strumenti automatizzati, conservati per la durata prevista dal D. Lgs. 196/2003 e alla fine distrutti; 4) il conferimento dei dati è obbligatorio per beneficiare dei servizi di cui sopra e l'eventuale diniego di consenso comporta l'impossibilità per l'Azienda X di erogare il servizio richiesto; 5) i dati personali non saranno diffusi presso terzi; 6) l'azienda interessata gode dei diritti assicurati dall'art. 7 del citato D.Lgs. 196/2003, che potranno essere esercitati, secondo l'art. 8 D. Lgs. 196/2003, mediante apposita richiesta al titolare o al responsabile del trattamento; 7) titolare del trattamento è ....................... [deve esserci sempre]; responsabile/i del trattamento è/sono ...................................... [se designato/i]. 8) I dati verranno trattati dalle seguenti categorie di incaricati……………… (Amministrazione, personale, Uff. tecnico etc…) Data .......................................... Camera di Commercio Industria Artigianato Agricoltura di Padova 49 CODICE DELLA PRIVACY 2. FAC SIMILE INFORMATIVA PER CLIENTI E FORNITORI Avete dei fac-simile di informativa da mandare ai clienti e ai fornitori (la nostra azienda si occupa esclusivamente di vendita e acquisto ricambi per auto)? RISPOSTA Avv. Andrea Lisi Per fornire una adeguata informativa deve essere conosciuta bene la società di riferimento in modo da poter redigere l'informativa in maniera concreta e secondo le esigenze dell'azienda. Uno schema utile come riferimento può essere quello che segue: "Informativa ai sensi dell'art. 13 del decreto legislativo 30 giugno 2003, n. 196 in materia di protezione dei dati personali" Gentile Utente/Cliente, La informiamo che ai sensi dell'art.13 del decreto legislativo n. 196/03 i dati personali da Lei gentilmente forniti saranno trattati presso la __________ S.p.A. avente sede in ________________ (__) alla Via _________, ___ - Tel. ____________ - Fax n. ______________ mediante registrazione cartacea ed elettronica e verranno utilizzati al solo scopo di: - ottemperare agli obblighi previsti dalla legge, dai regolamenti e/o dalla normativa comunitaria ed internazionale; - dare integrale esecuzione a tutti gli obblighi contrattuali; - elaborare studi e ricerche statistiche e di mercato; - inviare materiale pubblicitario ed informativo; - compiere attività dirette di vendita o di collocamento; - inviare informazioni commerciali; - effettuare comunicazioni commerciali interattive; - (…) I dati da Lei forniti potranno essere portati a conoscenza di terzi per i quali ciò risulti necessario ed indispensabile (o comunque funzionale) per lo svolgimento delle attività della ___________ S.p.A.; in ogni caso il trattamento avverrà con modalità idonee a garantirne la sicurezza e la riservatezza. I dati raccolti, sia a seguito di conferimento obbligatorio sia a seguito di conferimento facoltativo, possono quindi essere comunicati a _______________________________ (NB. riportare i soggetti o le Camera di Commercio Industria Artigianato Agricoltura di Padova 50 CODICE DELLA PRIVACY possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati, e l'ambito di diffusione dei dati medesimi). Il conferimento dei Suoi dati personali è obbligatorio/facoltativo al fine di adempiere agli obblighi derivanti dal contratto e, in generale, agli adempimenti di legge. Il loro eventuale mancato conferimento potrebbe comportare l'impossibilità da parte nostra di adempiere agli obblighi contrattuali In ogni caso potrà esercitare i diritti previsti dall'art. 7 del D.Lgs. n. 196/2003 che per chiarezza e completezza verrà integralmente riportato in calce alla presente informativa; responsabile del riscontro è il Sig. ____________________________ (NB. o il titolare o un responsabile nominato ad hoc; in ogni caso indicare gli estremi identificati del responsabile ivi inclusi, oltre a nome, cognome ed indirizzo, un numero di telefono e l' indirizzo e-mail da contattare). Il titolare del presente trattamento dei suoi dati personali è: ___________ S.P.A. Sede____________ Tel. ____________ Fax_____________ e-mail:________@____.it La _______________S.p.A. le assicura che il presente trattamento dei dati personali si svolge nel rispetto dei diritti e delle libertà fondamentali, nonché della dignità dell'interessato, con particolare riferimento alla riservatezza, all'identità personale e al diritto alla protezione dei dati personali. La ______________ S.p.A. le assicura, altresì, un elevato livello di tutela di tali diritti e di tali libertà nel rispetto dei principi di semplificazione, armonizzazione ed efficacia delle modalità previste per il loro esercizio da parte Sua, nonché per l'adempimento degli obblighi da parte del titolare del trattamento. Per garantire la sicurezza dei dati trattati è redatto un documento programmatico della sicurezza Letta l'informativa, redatta ai sensi del decreto legislativo n. 196/03, autorizzo la ___________S.p.A., al trattamento dei miei dati personali per le finalità di cui all'informativa sopra riportata. Data, ___________________ Firma,__________________ Camera di Commercio Industria Artigianato Agricoltura di Padova 51 CODICE DELLA PRIVACY Art. 7 d. Lgs. n. 196/03 "Diritto di accesso ai dati personali ed altri diritti" 1. L'interessato ha diritto di ottenere la conferma dell'esistenza o meno di dati personali che lo riguardano, anche se non ancora registrati, e la loro comunicazione in forma intelligibile. 2. L'interessato ha diritto di ottenere l'indicazione: a) dell'origine dei dati personali; b) delle finalità e modalità del trattamento; c) della logica applicata nel trattamento effettuato con l'ausilio di strumenti elettronici; d) degli estremi identificativi del titolare, dei responsabili e del rappresentante designato ai sensi dell'articolo 5, comma 2; e) dei soggetti o delle categorie ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualit à di rappresentante designato nel territorio dello Stato, di responsabili o incaricati. 3. L'interessato ha diritto di ottenere: a) l'aggiornamento, la rettificazione ovvero, quando vi ha interesse, l'integrazione dei dati; b) la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge, compresi quelli di cui non è necessaria la conservazione in relazione agli scopi per i quali i dati sono stati raccolti o successivamente trattati; c) l'attestazione che le operazioni di cui alle lettere a) e b) sono state portate a conoscenza, anche per quanto riguarda il loro contenuto, di coloro ai quali i dati sono stati comunicati o diffusi, eccettuato il caso in cui tale adempimento si rivela impossibile o comporta un impiego di mezzi manifestamente sproporzionato rispetto al diritto tutelato. 4. L'interessato ha diritto di opporsi, in tutto o in parte: a) per motivi legittimi al trattamento dei dati personali che lo riguardano, ancorché pertinenti allo scopo della raccolta; b) al trattamento di dati personali che lo riguardano a fini di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale". Camera di Commercio Industria Artigianato Agricoltura di Padova 52 CODICE DELLA PRIVACY 3. INFORMATIVA TIPO PER RACCOLTA DATI e INVIO E-MAIL senza consenso Gradirei avere una “traccia di informativa tipo” per la raccolta di dati tramite application form e sapere anche se è possibile inviare email commerciali senza aver preventivamente acquisito il consenso dei destinatari. RISPOSTA degli addetti allo sportello Privacy di Promopadova, Azienda speciale della CCIAA di PD Gentile Sig.ra ****, qui di seguito troverà una traccia di informativa tipo: “D. Lgs. 30 giugno 2003, n° 196 - Codice in materia di protezione dei dati personali. Ai sensi e per gli effetti del D. Lgs. 196/2003, l'Azienda X, sottoscrive la presente quale espresso consenso al trattamento dei propri dati personali da parte dell'Azienda X, e conferma di aver ricevuto informativa sui seguenti punti: 1) i dati personali verranno trattati esclusivamente per gli scopi connessi ai fini istituzionali dell'Azienda X, ovvero dipendenti da obblighi di legge, ivi compresa l'adozione di misure di sicurezza; 2) i dati personali potranno essere trattati anche per finalità di informazione circa le attività promozionali e di formazione promosse dall'Azienda X, anche con newsletter a mezzo e-mail e/o fax e/o posta di superficie; 3) i dati personali verranno trattati manualmente e con strumenti automatizzati, conservati per la durata prevista dal D. Lgs. 196/2003 e alla fine distrutti; 4) il conferimento dei dati è obbligatorio per beneficiare dei servizi di cui sopra e l'eventuale diniego di consenso comporta l'impossibilità per l'Azienda X di erogare il servizio richiesto; 5) i dati personali non saranno diffusi presso terzi; 6) l'azienda interessata gode dei diritti assicurati dall'art. 7 del citato D.Lgs. 196/2003, che potranno essere esercitati, secondo l'art. 8 D. Lgs. 196/2003, mediante apposita richiesta al titolare o al responsabile del trattamento; 7) titolare del trattamento è ....................... [deve esserci sempre]; responsabile/i del trattamento è/sono ...................................... [se designato/i]. Data .......................................... Timbro e firma ............................. Camera di Commercio Industria Artigianato Agricoltura di Padova 53 CODICE DELLA PRIVACY Per quanto riguarda, i Suoi dubbi riguardo alla possibilità di inviare via e-mail della pubblicità; in linea generale non è consentito, a meno che Lei non abbia preventivamente richiesto il consenso ai destinatari, per poter utilizzare i dati concessi per questo tipo di finalità. Ovviamente quando venga inviata un'e-mail ad un'azienda che ha rapporti commerciali con il mittente questo fa parte della normale corrispondenza e non è richiesto il consenso. L'art 24 del D.Lgs. 196/2003 afferma infatti che il consenso non è richiesto “quando è necessario per eseguire obblighi derivanti da un contratto del quale è parte l'interessato o per adempiere, prima della conclusione del contratto, a specifiche richieste dell'interessato” (es. nella fatturazione, nella fase di trattativa commerciale). Anche l'invio di una singola e-mail personalizzata, indirizzata ad esempio al responsabile acquisti di un'azienda per offrire prodotti utili all'attività aziendale - se si tratta non di invio ripetuto, ma di un unico invio, dopo il quale attendo il contatto spontaneo dell'azienda destinataria del messaggio - è da considerarsi lecito e non ha bisogno del consenso del destinatario, sempre grazie a quanto previsto dall'art. 24. D'altro canto se non fosse così i contatti commerciali si fermerebbero. Infatti la legge è stata studiata appositamente per evitare lo spamming (invio generalizzato di materiale informativo via e-mail non richiesto dal ricevente). 4. INFORMATIVA PRIVACY ENTE PUBBLICO Un Ente Pubblico deve adottare una nuova informativa sulla Privacy (dicitura da inserire negli inviti a convegni da esso organizzati da distribuire agli utenti). In che modo si deve impostare/strutturare tale informativa? RISPOSTA Avv. Marzio Vaglio D. Lgs. 30 giugno 2003, n 196 - Codice in materia di protezione dei dati personali. Ai sensi e per gli effetti del D. Lgs. 196/2003, il partecipante/Azienda Camera di Commercio Industria Artigianato Agricoltura di Padova 54 CODICE DELLA PRIVACY sottoscrive la presente quale espresso consenso al trattamento dei propri dati personali da parte della “ENTE PUBBLICO X” di “LUOGO/PROVINCIA della sede” e conferma di aver ricevuto informativa sui seguenti punti: - i dati personali verranno trattati esclusivamente per gli scopi connessi ai fini istituzionali della “ENTE PUBBLICO X” di“LUOGO/PROVINCIA ovvero dipendenti da obblighi di legge, ivi compresa l'adozione di misure di sicurezza; - i dati personali potranno essere trattati anche per finalità di informazione circa le attività promozionali e di formazione promosse dall' “ENTE PUBBLICO X”, anche con newsletter a mezzo e-mail e/o fax e/o posta di superficie; - i dati personali saranno trattati manualmente e con strumenti automatizzati, conservati per la durata prevista dal D. Lgs. 196/2003 e alla fine distrutti; - il conferimento dei dati è obbligatorio per beneficiare dei servizi di cui sopra e l'eventuale diniego comporta l'impossibilità per “ENTE PUBBLICO X”, di erogare il servizio richiesto; - i dati personali non saranno diffusi presso terzi; - l'azienda interessata gode dei diritti assicurati dall'art. 7 del citato D.Lgs. 196/2003, che potranno essere esercitati, secondo l'art. 8 D. Lgs. 196/2003, mediante apposita richiesta al titolare o al responsabile del trattamento; - titolare del trattamento è l'“ENTE PUBBLICO X”, di “LUOGO/PROVINCIA della sede”; responsabile/i del trattamento è il Sig./Sig.ra….(indicare il nome del responsabile). - I dati verranno trattati dalle seguenti categorie di incaricati……… . . .(uff. amministrazione, formazione etc…) 5. INFORMATIVA CONTENUTA NEI PIEGHEVOLI INFORMATIVI Se nei pieghevoli informativi (brochure) includo il modulo di “richiesta informazioni” dove l'interessato dovrà inserire i propri dettagli, compresi e-mail e nr. telefono , quale frase o paragrafo devo inserire per l'autorizzazione del trattamento dati personali? Potrebbe essere: Il sottoscritto acconsente all'inserimento dei propri dati personali Camera di Commercio Industria Artigianato Agricoltura di Padova 55 CODICE DELLA PRIVACY nella banca dati tenuta da ***** Srl e al loro trattamento, ai fini della comunicazione delle informazioni richieste dallo stesso e della diffusione delle attività promozionali promosse dalla ***** Srl.? RISPOSTA Avv. Andrea Lisi L'informativa ex art. 13 del D.Lgs. 196/2003 può essere fornita oralmente o per iscritto e deve contenere tutte le indicazioni contenute nel I comma di detto articolo. In particolare l'interessato deve essere informato obbligatoriamente su: a) le finalità e le modalità del trattamento cui sono destinati i dati; b) la natura obbligatoria o facoltativa del conferimento dei dati; c) le conseguenze di un eventuale rifiuto di rispondere; d) i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati, e l'ambito di diffusione dei dati medesimi; e) i diritti di cui all'articolo 7; f ) gli estremi identificativi del titolare e, se designati, del rappresentante nel territorio dello Stato ai sensi dell'articolo 5 e del responsabile. Quando il titolare ha designato più responsabili e indicato almeno uno di essi, indicando il sito della rete di comunicazione o le modalità attraverso le quali è conoscibile in modo agevole l'elenco aggiornato dei responsabili. Quando è stato designato un responsabile per il riscontro all'interessato in caso di esercizio dei diritti di cui all'articolo 7, è indicato tale responsabile. L'informativa può essere fornita anche sinteticamente, ma deve contenere sostanzialmente l'indicazione di tutti questi dati. Essa, inoltre, può non comprendere gli elementi già noti alla persona che fornisce i dati (ex II comma dell'art 13). Nel caso prospettato un'informativa relativa alla cessione di dati personali per ottenere una determinata informazione, attraverso il loro inserimento in un form elettronico di un sito web o attraverso il loro inserimento in una brochure, non esime il titolare del trattamento dal fornire una adeguata, se pur sintetica, informativa. Si sottolinea inoltre che il titolare del trattamento dovrà fornire l'informativa, ma può anche non richiedere espressamente il consenso al trattamento Camera di Commercio Industria Artigianato Agricoltura di Padova 56 CODICE DELLA PRIVACY che è "in re ipsa" con la richiesta di informazioni e la fattispecie ricade, infatti, nei casi di esclusione del consenso previsti nell'art. 24 del D.Lgs. 196/2003. Un'informativa adeguata e sintetica potrebbe essere questa: << Informativa ex art. 13 del D.Lgs. 196/2003 Gentile Signore/a, i dati personali da Lei gentilmente forniti saranno utilizzati dalla Società -------- - con sede in via ......., tel........., email............. - titolare del trattamento, al solo scopo di soddisfare la sua richiesta di informazioni e saranno trattati elettronicamente dai dipendenti della stessa società nelle banche dati tenute presso la sua sede. In particolare, la Società ------------ utilizzerà i dati personali da Lei forniti al solo scopo di informarla su future attività promozionali e di formazione, anche attraverso newsletter o a mezzo e-mail e/o fax e/o posta. I Suoi dati non verranno comunicati o diffusi a terzi. Si informa, inoltre, che l'interessato al trattamento gode dei diritti assicurati dall'art. 7 del sopra citato D.Lgs. 196/2003, che potranno essere esercitati, secondo l'art. 8 D. Lgs. 196/2003, mediante apposita richiesta al titolare (o al responsabile del riscontro, figura facoltativa)>> 6. INFORMATIVA L. 675/96 - LEGITTIMITÀ Quesito posto da alcuni soci dell'associazione sindacale per la quale lavoro. In alcune fatture di fornitura trovano apposto il seguente timbro: "Legge 675/96 - Tutela della privacy - la ns società tratta i Vostri dati di cui dispone al solo fine dello svolgimento dei rapporti con voi intercorrenti in relazione a tale trattamento potete esercitare i diritti previsti dall'art.13 della predetta legge". I soci mi chiedono se possono utilizzare a loro volta tale timbro per ottemperare all'obbligo dell'informativa; sarebbe, infatti, un modo semplice e veloce! In attesa di risposta, ringrazio anticipatamente per la collaborazione. RISPOSTA Avv. Andrea Lisi L'informativa contenuta nel quesito fa riferimento ad una legge ormai abrogata, la L. 675/96, quindi non deve essere assolutamente utilizzata. Camera di Commercio Industria Artigianato Agricoltura di Padova 57 CODICE DELLA PRIVACY Essa oltre a far riferimento ad una legge abrogata è anche incompleta e troppo generica. Oggi è in vigore il D.Lgs. 196/03 (il cd. Codice Privacy) e, quindi, l'informativa deve far riferimento al decreto legislativo vigente e contenere tutte le indicazioni previste dall'art. 13 dello stesso. In particolare, l'art. 13 del Codice che precisa l'interessato o la persona presso la quale sono raccolti i dati personali sono previamente informati oralmente o per iscritto circa: a) le finalità e le modalità del trattamento cui sono destinati i dati; b) la natura obbligatoria o facoltativa del conferimento dei dati; c) le conseguenze di un eventuale rifiuto di rispondere; d) i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati, e l'ambito di diffusione dei dati medesimi; e) i diritti di cui all'articolo 7; f ) gli estremi identificativi del titolare e, se designati, del rappresentante nel territorio dello Stato ai sensi dell'articolo 5 e del responsabile. Quando il titolare ha designato più responsabili e indicato almeno uno di essi, indicando il sito della rete di comunicazione o le modalità attraverso le quali è conoscibile in modo agevole l'elenco aggiornato dei responsabili. Quando è stato designato un responsabile per il riscontro all'interessato in caso di esercizio dei diritti di cui all' articolo 7, è indicato tale responsabile. L'informativa deve quindi necessariamente contenere questi dati e deve essere differenziata in considerazione delle specifiche finalità del trattamento dei dati. 7. VECCHIA INFORMATIVA E CONSENSO Posso continuare con la vecchia informativa e consenso? RISPOSTA Avv. Marzio Vaglio No. Occorre adeguarsi a quanto previsto dall'art. 13 (informativa) e dall'art. 23 (consenso) del nuovo Codice della Privacy, nonché da altre specifiche norme ivi previste per particolari trattamenti o categorie di dati. Inoltre, fino al 30 giugno 2007 (*) è ancora in vigore il sistema delle autorizzazioni generali del Garante: in particolare, l'Autorizzazione Camera di Commercio Industria Artigianato Agricoltura di Padova 58 CODICE DELLA PRIVACY Generale n° 4/2005, consente ai liberi professionisti iscritti in albi o elenchi professionali di trattare i dati sensibili. (*) Oggi sono in vigore 7 autorizzazioni generali (nn. 1/2005, 2/2005, 3/2005, 4/2005, 5/2005, 6/2005 e 7/2005 rilasciate il 21 dicembre 2005) la cui efficacia è stata differita dal Garante sino al 30 giugno 2007. 8. INFORMATIVA PER FORNITORI E CLIENTI La mia Azienda ha una banca dati clienti/fornitori molto ampia. Devo mandare l'informativa a tutti? Anche ai clienti/fornitori occasionali con cui non ho rapporti da anni, ma dei quali conservo ancora documenti di vendita/acquisto? RISPOSTA Avv. Andrea Lisi Anche in questo caso valgono le ragioni della concretezza e dell'opportunità. I dati che trattiamo senza alcuna ragione vanno cancellati e distrutti ex art. 16 del Codice. Se continuiamo a trattarli per scopi identici e inerenti ad un pregresso rapporto commerciale possiamo continuare a trattarli se abbiamo ancora delle pendenze o delle ragioni aziendali che rendono necessario tale trattamento. Resta comunque fermo solo l'obbligo di dare adeguata informativa (che può essere fornita anche o oralmente o per iscritto in forma sintetica), considerando che in caso di contratti o di trattative commerciali l'art. 24 non richiede il consenso dell'interessato al trattamento, così anche se conserviamo i dati per assolvere ad adempimenti fiscali. Ovviamente per il futuro in tutte le nostre comunicazioni commerciali e in tutti i nostri contratti andrà sempre fornita una essenziale e sintetica informativa ex art. 13 che è utile inserire - come detto - sul sito web aziendale insieme a tutte le altre indicazioni obbligatorie che dobbiamo inserire nelle nostre comunicazioni (reali o virtuali che siano). Camera di Commercio Industria Artigianato Agricoltura di Padova 59 CODICE DELLA PRIVACY 9. CASO “GESTIONE BUSTA PAGA” PER DIPENDENTI ISCRITTI A UN SINDACATO Uno studio di consulenza, gestisce le buste paga di diverse aziende. Nell'ipotesi in cui alcuni dipendenti di cui si gestiscono le buste paga siano iscritti ad un Sindacato di lavoratori, come ci si deve comportare ai fini del rispetto della normativa? 1) Quali obblighi sono in carico all'azienda? 2) Quali obblighi sono in carico allo studio di consulenza che gestisce le buste paga? 3) I dati di iscrizione ad un sindacato sono dati sensibili? I certificati medici dei dipendenti assenti dal lavoro come devono essere considerati? a) Quali obblighi sono in carico all'azienda? b) Quali obblighi sono in carico allo studio di consulenza che gestisce le buste paga? c) I certificati medici sono dati sensibili? RISPOSTA Avv. Marzio Vaglio e Avv. Andrea Lisi E' ancora in vigore il sistema delle autorizzazioni generali del Garante (*). In particolare, sono rilevanti per il caso proposto: l'Autorizzazione Generale n° 1/2005, che consente il trattamento dei dati sensibili finalizzato alla gestione dei rapporti di lavoro; l'Autorizzazione Generale n° 4/2005, che consente ai liberi professionisti iscritti in albi o elenchi professionali di trattare i dati sensibili. In virtù delle citate disposizioni, il trattamento può esser svolto senza l'obbligo di una specifica autorizzazione al Garante. Inoltre, per quanto concerne i dati di iscrizione ad un sindacato ed i certificati medici, essi sono certamente dati sensibili. I certificati medici, in particolare, riportano dati sensibili, per la precisione dati idonei a rivelare lo stato di salute e la vita sessuale; il trattamento di essi è soggetto a regole molto rigide. Si può dire, in maniera generale, che per chi effettua questa tipologia di trattamenti sussiste sempre l'obbligo d'informativa all'interessato e normalmente di acquisirne il consenso, nonché Camera di Commercio Industria Artigianato Agricoltura di Padova 60 CODICE DELLA PRIVACY ovviamente il dovere di adeguarsi alle misure minime (e idonee) di sicurezza, tra le quali anche la redazione del DPS (in caso di trattamento elettronico dei dati). Il trattamento può essere effettuato solo nelle modalità e con i limiti espressi dalla stessa Autorizzazione Generale e nel rispetto della normativa comunitaria ed italiana (oggi il Codice della Privacy) in vigore. Va sottolineato che è prevista un'esenzione dal consenso per il trattamento dei dati sensibili da parte del datore di lavoro, quando il trattamento stesso sia necessario per adempiere a specifici obblighi o adempimenti previsti da norme relative alla gestione del rapporto di lavoro, anche in materia di igiene e sicurezza, previdenza e assistenza, nei limiti previsti dall'autorizzazione, e ferme restando le disposizioni del codice di deontologia e di buona condotta che dovrebbe essere emanato a breve. Infine, è opportuno che l'azienda e lo studio di consulenza formalizzino contrattualmente i loro rapporti relativi al trattamento dei dati con specifiche clausole che determinino le reciproche responsabilità e i profili di incarico. (*) Oggi sono in vigore 7 autorizzazioni generali (nn. 1/2005, 2/2005, 3/2005, 4/2005, 5/2005, 6/2005 e 7/2005 rilasciate il 21 dicembre 2005) la cui efficacia è stata differita dal Garante sino al 30 giugno 2007. 10. AUTORIZZAZIONE DEL GARANTE E DIFFERENZA CON NOTIFICA Cosa si intende per autorizzazione del Garante di cui al comma 4 dell'art. 26 del Codice? In cosa si differenzia dalla notifica? Dove si possono trovare le autorizzazioni generali di cui all'art. 40 del Codice? RISPOSTA Avv. Marzio Vaglio e Avv. Andrea Lisi AUTORIZZAZIONE: L'art. 26, comma 1 del Codice, prevede che i soggetti privati e gli enti pubblici economici possono trattare i dati sensibili solo previa Camera di Commercio Industria Artigianato Agricoltura di Padova 61 CODICE DELLA PRIVACY consenso scritto degli interessati, nell'osservanza dei presupposti e dei limiti stabiliti dal Codice, nonché dalla legge e dai regolamenti; Il comma 4, lett. d), del medesimo art. 26, precisa che i dati sensibili possono essere oggetto di trattamento anche senza consenso, previa autorizzazione del Garante, quando il trattamento medesimo è necessario per adempiere a specifici obblighi o compiti previsti dalla legge, da un regolamento o dalla normativa comunitaria per la gestione del rapporto di lavoro, anche in materia di igiene e sicurezza del lavoro e della popolazione e di previdenza e assistenza, nei limiti previsti dall'autorizzazione e ferme restando le disposizioni del codice di deontologia e di buona condotta del Codice; L'art. 40 del Codice Privacy prevede che il Garante possa rilasciare sia specifiche autorizzazioni sia autorizzazioni di carattere generale per alcune categorie di titolari o di trattamenti. Il Garante ha sino ad ora pubblicato 7 autorizzazioni generali al fine di evitare l'obbligo per alcuni titolari di trattamento di dover inoltrare richieste individuali. Tali Autorizzazioni riguardano il trattamento di dati sensibili effettuati da alcune categorie di titolari (datori di lavoro, liberi professionisti, associazioni e fondazioni etc.). Pertanto solo coloro che non rientrano nel campo di applicazione delle autorizzazioni generali devono, nei casi previsti dalla legge, fare richiesta al Garante per ottenere l'autorizzazione. In definitiva l'art. 26, comma 4, lett. d) stabilisce che il datore di lavoro può trattare i dati sensibili dei propri dipendenti senza consenso (nei limiti di quanto indicato nella lettera d)) e sulla base dell'Autorizzazione generale n. 1 (autorizzazione generale inerente al trattamento dei dati sensibili nei rapporti di lavoro). Le autorizzazioni generali sono pubblicate in Gazzetta Ufficiale e, comunque, sono a disposizione sul sito web del Garante (www.garanteprivacy.it) NOTIFICAZIONE: (art. 37 del Testo Unico) Notificazione del Trattamento La notificazione è una dichiarazione con la quale il titolare del trattamento trasmette al Garante i dati relativi alla propria attività di trattamento dei dati. Con l'entrata in vigore del Codice privacy Camera di Commercio Industria Artigianato Agricoltura di Padova 62 CODICE DELLA PRIVACY l'obbligo di notificazione si ha solo nei casi espressamente previsti dall'art. 37 del Codice privacy. La notificazione va effettuata solo in via telematica collegandosi al sito del Garante e compilando lo specifico modello (che va sottoscritto con firma digitale). Si ricorda che la sanzione per la mancata notifica è di tipo pecuniario ed è ricompresa tra diecimila e sessantamila euro (art. 163 Codice). 1. Il titolare notifica al Garante il trattamento di dati personali cui intende procedere, solo se il trattamento riguarda: dati genetici, biometrici o dati che indicano la posizione geografica di persone od oggetti mediante una rete di comunicazione elettronica; dati idonei a rivelare lo stato di salute e la vita sessuale, trattati a fini di procreazione assistita, prestazione di servizi sanitari per via telematica relativi a banche di dati o alla fornitura di beni, indagini epidemiologiche, rilevazione di malattie mentali, infettive e diffusive, sieropositività, trapianto di organi e tessuti e monitoraggio della spesa sanitaria; dati idonei a rivelare la vita sessuale o la sfera psichica trattati da associazioni, enti od organismi senza scopo di lucro, anche non riconosciuti, a carattere politico, filosofico, religioso o sindacale; dati trattati con l'ausilio di strumenti elettronici volti a definire il profilo la personalità dell'interessato, o ad analizzare abitudini o scelte di consumo, ovvero a monitorare l'utilizzo di servizi di comunicazione elettronica con esclusione dei trattamenti tecnicamente indispensabili per fornire i servizi medesimi agli utenti; dati sensibili registrati in banche di dati a fini di selezione del personale per conto terzi, nonché dati sensibili utilizzati per sondaggi di opinione, ricerche di mercato e altre ricerche campionarie; dati registrati in apposite banche di dati gestite con strumenti elettronici e relative al rischio sulla solvibilità economica, alla situazione patrimoniale, al corretto adempimento di obbligazioni, a comportamenti illeciti o fraudolenti. 2. Il Garante può individuare altri trattamenti suscettibili di recare pregiudizio ai diritti e alle libertà dell'interessato, in ragione delle relative modalità o della natura dei dati personali, con proprio Camera di Commercio Industria Artigianato Agricoltura di Padova 63 CODICE DELLA PRIVACY provvedimento adottato anche ai sensi dell'articolo 17. Con analogo provvedimento pubblicato sulla Gazzetta ufficiale della Repubblica italiana il Garante può anche individuare, nell'ambito dei trattamenti di cui al comma 1, eventuali trattamenti non suscettibili di recare detto pregiudizio e pertanto sottratti all'obbligo di notificazione. (*) 3. La notificazione e' effettuata con unico atto anche quando il trattamento comporta il trasferimento all'estero dei dati. 4. Il Garante inserisce le notificazioni ricevute in un registro dei trattamenti accessibile a chiunque e determina le modalità per la sua consultazione gratuita per via telematica, anche mediante convenzioni con soggetti pubblici o presso il proprio Ufficio. Le notizie accessibili tramite la consultazione del registro possono essere trattate per esclusive finalità di applicazione della disciplina in materia di protezione dei dati personali. (*) Con il provvedimento a carattere generale del 31 marzo 2004 il Garante ha interpretato l'art. 37, specificando in maniera restrittiva i casi in cui occorra procedere alla notificazione (il provvedimento è acquisibile sul sito del Garante - www.garanteprivacy.it) 11. MODALITA' DI NOTIFICA AL GARANTE Modalità di notifica al Garante: invio telematico con firma digitale. Se un soggetto obbligato alla notifica non ha il dispositivo di firma digitale, può far inviare telematicamente la notifica ad una persona che ha il dispositivo di firma digitale (soprattutto in rapporto a quanto disposto dai commi 2 e 3 dell'art. 38 del Codice)? RISPOSTA Avv. Marzio Vaglio La notificazione è valida solo se effettuata secondo le modalità di cui all'art. 38 del Codice. Può essere eventualmente effettuata, secondo quanto disposto dal comma 3°, per il tramite esclusivamente di soggetti autorizzati, quali associazioni di categoria o ordini professionali. Camera di Commercio Industria Artigianato Agricoltura di Padova 64 CODICE DELLA PRIVACY 12. CASO AZIENDA DI TELEMARKETING - OPERARE SECONDO MANDATO Un'azienda X di Telemarketing che opera principalmente con aziende (gestione appuntamenti per la forza vendita). I database a cui la suddetta Azienda X, sono forniti dalla ditta Y oppure sono reperiti dall'elenco telefonico On-line delle pagine gialle. La telefonata ha come obiettivo il fissare degli appuntamenti che saranno eseguiti da incaricati commerciali dell'azienda committente.(Business To Business). Riguardo al contatto telefonico, dal testo di legge mi sembra non ci siano problemi particolari. Per un cliente in specifico facciamo anche un "arricchimento" del database finalizzato al "refresh" della banca dati (dati relativi all'anagrafica corretta ed indirizzo e-mail); premetto che tali informazioni ci vengono fornite volontariamente dagli intervistati. Per tale attività (gestione database) è necessaria la comunicazione al garante? Se tale azienda X ha come cliente una nota banca dati istituzionale, già in contatto frequente con il garante, è a loro o nostro carico la comunicazione? Un'eventuale attività telefonica per appuntamenti (senza arricchimento alcuno del database) effettuata su famiglie private comporta degli obblighi particolari? RISPOSTA Avv. Marzio Vaglio L'attività di telemarketing è regolare se effettuata con intervento di operatore che, con una comunicazione individuale e diretta al destinatario/consumatore, richiede ed ottiene il consenso ad ulteriori contatti o all'invio di materiale pubblicitario. Se si fa raccolta di dati personali con questa modalità, occorre comunque richiedere il consenso al trattamento e dare l'informativa di cui all'art. 13 D. Lgs. 196/2003. Ciò è obbligatorio e vi sono sanzioni in caso di omissione. Quanto agli obblighi di notifica e comunicazione al Garante, occorre in via preliminare valutare se l'Azienda tratta anche dati sensibili e se rientra o meno nel precedente regime di autorizzazioni generali Camera di Commercio Industria Artigianato Agricoltura di Padova 65 CODICE DELLA PRIVACY (www.garanteprivacy.it), che sono state prorogate fino al 30.06.2004 (*); in secondo luogo bisogna verificare se l'attività dell'Azienda X rientri nella fattispecie dell'art. 37, lett. d) da cui deriverebbe l' obbligo di notifica. Non si hanno sufficienti elementi per verificare il caso dell'Azienda Y richiedente, anche se è verosimile che essa rientri in una delle categorie interessate dalle predette autorizzazioni generali. In relazione all'acquisizione di data base di terzi: 1) è necessario ricevere garanzia che il titolare del trattamento "cedente" sia in regola con gli adempimenti imposti dalla normativa e, in particolare, che l'interessato abbia espresso il consenso al trasferimento (salvo i casi in cui tale consenso non è richiesto). 2) chi riceve la banca dati diviene a sua volta titolare: assume quindi tutti i conseguenti obblighi. (*) Oggi sono in vigore 7 autorizzazioni generali (nn. 1/2005, 2/2005, 3/2005, 4/2005, 5/2005, 6/2005 e 7/2005 rilasciate il 21 dicembre 2005) la cui efficacia è stata differita dal Garante sino al 30 giugno 2007. 13. TELEMARKETING E PRIVACY La nostra azienda svolge un'attività di telemarketing (soprattutto outbound, ma in futuro anche inbound) Contattiamo sia privati che aziende e i nominativi sono di 4 tipologie: - ci vengono fornite le liste direttamente dal cliente (soprattutto 187 - telecom) - acquistiamo delle banche dati sia business che residenziali - sono nominativi presenti in elenco pubblico - abbiamo nominativi provenienti da istituti scolastici con una selezione di persone diplomate o laureate. Principalmente fissiamo incontri e appuntamenti o selezioniamo potenziali clienti interessati ad essere ricontattati dal responsabile del servizio. Abbiamo 32 postazioni informatizzate, collegate al CRM ed ognuna con una sua login e password. Quali provvedimenti dobbiamo prendere per la legge sulla privacy Camera di Commercio Industria Artigianato Agricoltura di Padova 66 CODICE DELLA PRIVACY secondo il garante? Nella pratica, cosa dobbiamo fare per essere in regola e per presentare correttamente il DPS (dove troviamo quello giusto per la nostra attività, dove lo dobbiamo inviare, ecc). Ho letto qualche giorno fa in un quotidiano che il Garante può individuare delle modalità semplificate in particolare per i call center come il nostro. RISPOSTA Avv. Andrea Lisi Gli adempimenti generali previsti dal D. Lgs. 196/2003 sono tanti e complessi e non sono previste particolari agevolazioni e/o semplificazioni per le società che svolgono un servizio di telemarketing come la Vostra. Il Garante può effettivamente promuovere ai sensi dell'art. 140 "la sottoscrizione di un codice di deontologia e di buona condotta per il trattamento dei dati personali effettuato a fini di invio di materiale pubblicitario o di vendita diretta, ovvero per il compimento di ricerche di mercato o di comunicazione commerciale, prevedendo anche, per i casi in cui il trattamento non presuppone il consenso dell'interessato, forme semplificate per manifestare e rendere meglio conoscibile l'eventuale dichiarazione di non voler ricevere determinate comunicazioni.". Ad oggi comunque non sono stati adottati codici di condotta in materia (anche se sono in fase di elaborazione a livello comunitario). In ogni caso e in via generale, possono individuarsi in capo alla Vs. società: a) adempimenti generali: informativa e consenso (art. 13 e art. 23 del D. Lgs. 196/03); b) adempimenti speciali: notificazione al Garante; c) adempimenti organizzativi: misure di sicurezza e redazione DPS (Documento Programmatico sulla Sicurezza). d) L'informativa all'interessato deve essere sempre fornita, seppur in forma semplificata, a prescindere dalla stessa richiesta di consenso al trattamento (che, in alcuni casi espressamente previsti dall'art. 24 del D.Lgs. citato, può essere esclusa). L'adempimento relativo all'informativa va analizzato in ogni specifico caso da Voi prospettato, onde stabilire anche la Vostra specifica qualità (titolare o responsabile in outsourcing) nell'ambito del trattamento dei dati che avete ricevuto o "acquistato". Per quanto concerne Camera di Commercio Industria Artigianato Agricoltura di Padova 67 CODICE DELLA PRIVACY l'ambito scolastico, ad esempio, l'art. 96 del D. Lgs. citato prevede che "al fine di agevolare l'orientamento, la formazione e l'inserimento professionale, anche all'estero, le scuole e gli istituti scolastici di istruzione secondaria, su richiesta degli interessati, possono comunicare o diffondere, anche a privati e per via telematica, dati relativi agli esiti scolastici, intermedi e finali, degli studenti e altri dati personali diversi da quelli sensibili o giudiziari, pertinenti in relazione alle predette finalità e indicati nell'informativa resa agli interessati ai sensi dell'articolo 13. I dati possono essere successivamente trattati esclusivamente per le predette finalità". e) Occorre pertanto verificare sempre e di volta in volta se i dati che riceviamo possono essere trattati in relazione al nostro scopo del trattamento e se gli interessati siano stati adeguatamente informati e abbiano eventualmente prestato il loro consenso (e - nella maggior parte dei casi - dovrà essere stipulata una specifica convenzione atta a regolamentare i rapporti tra colui che "cede" i dati e colui che li "riceve"). f ) Si ricorda, infine, che da ultimo il Garante ha con parere del 15 luglio 2004 riaffermato i principi del provvedimento del 23 maggio 2002 con riferimento all'inserimento e utilizzo dei dati presenti in elenchi cartacei e elettronici a disposizione del pubblico. In tale parere, il Garante ha ribadito la necessità del consenso espresso e specifico degli abbonati per trattamenti aventi finalità commerciali e pubblicitarie, sollecitando una "armonizzazione" in detti elenchi sulle specifiche finalità dei trattamenti consentiti dai singoli interessati (e nei nuovi elenchi gli abbonati dovranno specificare se i loro dati potranno essere utilizzati per future comunicazioni commerciali o pubblicitarie). g) Oggi, pertanto, ai sensi della normativa vigente, non può essere effettuato un trattamento di dati personali con finalità commerciali o pubblicitarie e, quindi, attraverso l'utilizzo di sistemi automatizzati di chiamata (quali e-mail e telefax) senza aver acquisito il consenso informato degli interessati. Inoltre, si deve ricordare che - ai sensi del 4° comma dell'art. 7 del Codice - l' interessato ha sempre diritto di opporsi, in tutto o in parte al trattamento di dati personali che lo riguardano a fini di invio di materiale pubblicitario o di vendita Camera di Commercio Industria Artigianato Agricoltura di Padova 68 CODICE DELLA PRIVACY diretta o per il compimento di ricerche di mercato o di comunicazione commerciale (e quindi in qualsiasi comunicazione gli deve essere sempre consentita la possibilità di chiedere la cancellazione dei propri dati dai Vs. archivi). h) Prima di effettuare determinate tipologie di trattamento - e cioè quelle ipotesi di trattamento che ricadono nei casi specificamente previsti dall'art. 37 del D. Lgs. n. 196 - la Vs. società, inoltre, dovrebbe obbligatoriamente effettuare una notificazione al Garante (esclusivamente attraverso trasmissione telematica e secondo la procedura prevista sul sito del Garante alla pagina www.garanteprivacy.it). Tra i vari casi previsti dall'art. 37 si ricordano i punti d) e e) che prevedono l'obbligo di notificazione per: i) dati trattati con l'ausilio di strumenti elettronici volti a definire il profilo o la personalità dell'interessato, o ad analizzare abitudini o scelte di consumo, ovvero a monitorare l'utilizzo di servizi di comunicazione elettronica con esclusione dei trattamenti tecnicamente indispensabili per fornire i servizi medesimi agli utenti; j) dati sensibili registrati in banche di dati a fini di selezione del personale per conto terzi, nonché dati sensibili utilizzati per sondaggi di opinione, ricerche di mercato e altre ricerche campionarie. Infine, la Vs. società dovrà certamente adeguarsi alle misure minime di cui agli artt. 33 e segg. e come specificate nell'allegato B) al cd. Codice della privacy (D. Lgs. 196/03). Tra queste misure è prevista la redazione del DPS entro la data del 31 dicembre 2005 (sempre che la Vs. società non dovesse già obbligatoriamente redigerlo sotto la vigenza della vecchia normativa - L. 675/96 che prevedeva l'obbligo di redazione del DPS per tutti coloro che trattavano elettronicamente dati sensibili e giudiziari e i terminali utilizzati per il trattamento fossero collegati ad Internet). k) Oggi l'obbligo di redazione del DPS è ormai un obbligo generalizzato per tutti coloro che trattano elettronicamente dati personali (o quanto meno in caso di trattamento elettronico di dati personali sensibili, secondo una interpretazione fornita dal Garante, parere del 22 marzo 2004). Esistono vari fac simile di DPS e di informativa, ma tutto va adeguato alla propria realtà e "ritagliato" Camera di Commercio Industria Artigianato Agricoltura di Padova 69 CODICE DELLA PRIVACY alle proprie esigenze. Si ricorda che l'inadempimento agli obblighi di informativa, notificazione e di adeguamento alle misure minime è pesantemente sanzionato dal Codice della privacy." 14. TRATTAMENTO DATI SENSIBILI E CIFRATURA La ditta X tratta dati sensibili, in particolare informazioni sanitarie. Il D.Lgs 196/2003 dice che il trasferimento dei dati in formato elettronico deve essere effettuato con adeguata cifratura. Fin qui tutto bene: per trasferire i dati via internet devo utilizzare connessioni sicure che utilizzano sistemi di cifratura. Nel caso di dati non trasmessi e mantenuti in supporti fisici removibili (hard disk, CD, floppy ecc.) devo applicare comunque in ogni caso la “cifratura”? Sia che il computer sia o meno in rete, sia che la rete sia collegata o meno esternamente con internet? L'art. 34, comma 1, lettera h) rimane, infatti, molto generico non specificando le differenti casistiche e questo farebbe pensare che qualsiasi dato sensibile deve essere comunque cifrato se mantenuto in forma elettronica. Un ulteriore quesito che discende dal precedente: Se posseggo un gestionale che contiene dati sensibili non dotato di “cifratura” nel salvataggio e nel mantenimento dei dati sono costretto ad aggiornarlo oppure posso adottare altre forme di sicurezza? RISPOSTA Avv. Marzio Vaglio La regola generale sul trattamento dei dati sensibili è contenuta nell'art. 22, 6° comma, del D. Lgs. 196/2003: "i dati sensibili contenuti in elenchi, registri o banche di dati, tenuti con l'ausilio di strumenti elettronici, sono trattati con tecniche di cifratura o mediante l'utilizzazione di codici identificativi o di altre soluzioni che, considerato il numero e la natura dei dati trattati, li rendono temporaneamente inintelligibili anche a chi è autorizzato ad accedervi e permettono di identificare gli interessati solo in caso di necessità". La norma citata riguarda tutti i tipi di trattamento, non solo quello che Camera di Commercio Industria Artigianato Agricoltura di Padova 70 CODICE DELLA PRIVACY consiste nel trasferimento via internet e, per di più, le stesse modalità di trattamento appena citata devono essere impiegate anche quando i dati sensibili sono tenuti in elenchi, registri o banche di dati senza l'ausilio di strumenti elettronici. Da notare il generale divieto di diffusione di cui all'art. 22, 8° comma, riferito ai dati idonei a rivelare lo stato di salute. La cifratura di cui all'art. 34, 1° comma, lett. h, del D.Lgs. non è di per sé obbligatoria, ponendosi come alternativa ad altre misure (ad esempio codici identificativi). Ciò che è obbligatorio è garantire la inintelligibilità del dato. Da vedere anche l'Allegato B del D.Lgs. 196/2003, recante il Disciplinare Tecnico in misure minime di sicurezza, secondo cui - tra l'altro - i supporti rimovibili contenenti dati sensibili o giudiziari se non utilizzati sono distrutti o resi inutilizzabili, ovvero possono essere riutilizzati da altri incaricati, non autorizzati al trattamento degli stessi dati, se le informazioni precedentemente in essi contenute non sono intelligibili e tecnicamente in alcun modo ricostruibili. Le descritte disposizioni riguardano tutti i tipi di dati sensibili. Ulteriori misure sono prescritte per dati sensibili particolarmente delicati (per es. i dati genetici). 15. STUDIO di COMMERCIALISTI E RAPPORTI CON GARANTE Quali informazioni debbano essere trasmesse al Garante della Privacy da parte di uno studio di commercialisti per non incorrere in sanzioni, considerando che, per esempio, alcuni clienti possono essere medici e simili e dunque parte delle loro fatture possono riguardare loro pazienti. Come è necessario comportarsi? RISPOSTA Avv. Marzio Vaglio Fino al 30 giugno 2007 è in vigore il sistema delle autorizzazioni generali del Garante (*). In particolare, l'Autorizzazione Generale n° 4/2005, consente ai liberi professionisti iscritti in albi o elenchi professionali di trattare i dati sensibili, senza obbligo di specifica richiesta di autorizzazione al Garante. Sussiste l'obbligo d'informativa all'interessato e di acquisirne il consenso, Camera di Commercio Industria Artigianato Agricoltura di Padova 71 CODICE DELLA PRIVACY nonché quello di adeguarsi alle misure minime di sicurezza. Il trattamento può essere effettuato solo nelle modalità e con i limiti espressi dalla stessa A.G. e nel rispetto della normativa comunitaria ed italiana (oggi il Codice della Privacy) in vigore. Se il trattamento riguarda dati idonei a rivelare lo stato di salute o la vita sessuale, deve essere effettuato anche in osservanza dell'Autorizzazione Generale n° 2/2002. (*) Oggi sono in vigore 7 autorizzazioni generali (nn. 1/2005, 2/2005, 3/2005, 4/2005, 5/2005, 6/2005 e 7/2005 rilasciate il 21 dicembre 2005) la cui efficacia è stata differita dal Garante sino al 30 giugno 2007. 16. CASO AGENZIA IMMOBILIARE: DATI PERSONALI RACCOLTI SU INDICAZIONE DELL'INTERESSATO E NATURA DEI DATI. I dati personali raccolti su indicazione dell'interessato possono essere trattati senza il suo consenso, visto che il loro utilizzo è per soddisfare specifiche richieste, (nel nostro caso di ricerca immobiliare)? I dati relativi al conferimento dell'indicazione dell'ipotetico valore dell'immobile, (che l'ipotetico cliente potrebbe essere interessato a comprare o prendere in locazione), sono da intendersi come “sensibili” e, quindi, soggetti alla dichiarazione al Garante? RISPOSTA Avv. Marzio Vaglio A) Quanto al consenso al trattamento, può ritenersi che nel caso di specie si possa validamente prescindere dall'obbligo di richiederlo preventivamente. Infatti, la ditta X può beneficiare della disposizione di cui all'art. 24 del decreto l.vo 196/03 a tenore della quale il consenso non è richiesto quando il trattamento “è necessario per eseguire obblighi derivanti da un contratto del quale è parte l'interessato o per adempiere, prima della conclusione del contratto, a specifiche richieste dell'interessato”. Orbene, da quanto è dato intuire sembra che i trattamenti effettuati dalla predetta società siano finalizzati esclusivamente a rendere possibile l'esecuzione degli obblighi derivanti dai contratti dei quali è parte l'interessato ragion per cui non deve essere (obbligatoriamente) adempiuta la formalità della richiesta del previo consenso informato al trattamento dei dati personali. Camera di Commercio Industria Artigianato Agricoltura di Padova 72 CODICE DELLA PRIVACY B) Quanto riferito al punto precedente non vale certamente ad esimere la ditta X dal rispetto della norma di cui all'art. 13 D.Lgs. 196/03. Occorre, cioè, che detta società informi, al momento della conclusione del contratto, l'interessato (oralmente o per iscritto) circa: - le finalità e le modalità del trattamento cui sono destinati i dati; - la natura obbligatoria o facoltativa del conferimento dei dati; - le conseguenze di un eventuale rifiuto di rispondere; - i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati, e l'ambito di diffusione dei dati medesimi; - i diritti di cui all'articolo 7; - gli estremi identificativi del titolare e del responsabile se designato. Si consiglia quindi la redazione di una adeguata informativa ex art. 13 cit. (meglio ancora se questa informativa venga documentata per iscritto e sottoscritta dall'interessato, per ovvie ragioni di prova). C) Per quanto riguarda invece i dati relativi all'ipotetico valore dell'immobile, essi non hanno certamente natura sensibile. Si ricorda inoltre che l'art. 24 ,lett. c, stabilisce che è possibile effettuare il trattamento di dati (non sensibili) senza richiedere il consenso dell'interessato, quando si tratta di dati provenienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque; è chiaramente stabilito che restano impregiudicati i limiti e le modalità che le leggi, i regolamenti, o la normativa comunitaria stabiliscono per la conoscibilità e pubblicità dei dati. Ciò significa che non è lecito, a priori, qualsiasi trattamento di tali dati, ma soltanto i trattamenti che sono conformi a tali limiti, che vanno verificati caso per caso. Camera di Commercio Industria Artigianato Agricoltura di Padova 73 CODICE DELLA PRIVACY Qualora la società non abbia ancora iniziato il trattamento, non è certamente tenuta ad eseguire la notifica al Garante. Qualche problema potrebbe sorgere con riferimento alla possibilità che nel caso di specie ricorra l'ipotesi di cui all'art. 37 lett. f ) del decreto Lgs. 196/2003. Secondo tale norma deve essere effettuata la notifica quando il trattamento riguardi “dati registrati in apposite banche di dati gestite con strumenti elettronici e relative al rischio sulla solvibilità economica, alla situazione patrimoniale, al corretto adempimento di obbligazioni, a comportamenti illeciti o fraudolenti.”. Si può in ogni modo escludere l'operatività di tale norma in questo caso specifico poiché essa stessa richiede la gestione di “apposite” banche dati sul rischio di insolvenza. Questo termine (cioè, “apposite”) vale ad escludere l'operatività della norma in parola in tutti quei casi in cui sia solo occasionale il trattamento di dati inerenti alla solvibilità, e più in generale alle capacità economiche, del debitore (*). In ogni caso è bene che la società valuti attentamente i casi di notifica obbligatoria previsti dall'art. 37, posto che non dipendono dall'oggetto sociale della Società quanto dal tipo di dati e di trattamenti effettuati. (*) Tale interpretazione è stata autorevolmente confermata nel provvedimento a carattere generale del 31 marzo 2004 del Garante (di interpretazione restrittiva dell'art. 37). 18. CONSENSO E DATI INSERITI IN PUBBLICI REGISTRI All'articolo 23 punto c, si dice che il trattamento dei dati può essere fatto anche senza il consenso se tali dati sono su "pubblici registri, elenchi, atti o documenti conoscibili da chiunque". I dati contenuti nei siti web (aziendali, oppure “www.paginegialle.it”, oppure dati trovati tramite motore di ricerca) rientrano in questa casistica? Camera di Commercio Industria Artigianato Agricoltura di Padova 74 CODICE DELLA PRIVACY RISPOSTA Avv. Marzio Vaglio L'art. 24, lett. c, stabilisce che è possibile effettuare il trattamento di dati (non sensibili) senza richiedere il consenso dell'interessato, quando si tratta di dati provenienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque; è anche chiaramente stabilito che restano impregiudicati i limiti e le modalità che le leggi, i regolamenti o la normativa comunitaria stabiliscono per la conoscibilità e pubblicità dei dati. Ciò significa che non è lecito, a priori, qualsiasi trattamento di tali dati, ma soltanto i trattamenti che sono conformi a tali limiti, che vanno verificati caso per caso a seconda del tipo di pubblicità che ha il dato. I dati "raccolti" da pagine web non sono - solo per questo motivo pubblici. Però i dati degli elenchi telefonici e dei registri pubblici quali il Registro delle Imprese sono pubblici e non hanno bisogno del consenso. 19. DATI GESTITI DA DIPENDENTI La società X, ha molti dipendenti che conservano nel loro client di posta (Outlook o altro) una propria rubrica contenente dati di nostri clienti (nome, indirizzo, telefono, e-mail, ecc.): Come si regolamenta l'esistenza di questi? Vanno citati nel DPS (Documento Programmatico Sulla Sicurezza)? Può essere sufficiente far sottoscrivere ai dipendenti un'informativa con la quale ciascuno si assume la responsabilità dei dati contenuti nel proprio PC? RISPOSTA Avv. Marzio Vaglio Le rubriche di contatti del client di posta elettronica sono in tutto e per tutto banche dati e contengono dati personali, il cui trattamento deve seguire le regole del Codice, ivi compresa, se del caso, l'adozione di misure minime di sicurezza, che vanno citate nel DPS. Si sottolinea che è discutibile il consentire al dipendente l'uso personale delle risorse telematiche dell'azienda. E' consigliabile, quindi, far sottoscrivere ai dipendenti un'informativa o un'assunzione scritta di responsabilità. È opportuno ricordare, in proposito, che ciascun dipendente che tratta dati personali deve inoltre essere individuato quale Incaricato Camera di Commercio Industria Artigianato Agricoltura di Padova 75 CODICE DELLA PRIVACY del trattamento dei dati, deve ricevere dettagliate istruzioni che comprendono, tra l'altro l'indicazione delle banche dati a lui accessibili e le modalità di trattamento. 20. CASO CED (Centro Elaborazioni Dati) - E' NECESSARIO IL CONSENSO PER IL TRATTAMENTO DI DATI OBBLIGATORI DA TRASMETTERE A INPS, INAIL, ECC.? Un CED (Centro Elaborazioni Dati) che tiene la contabilità in cui opera un consulente iscritto all'Albo e quanto viene elaborato sono dati obbligatori da trasmettere a Inps, Inail, Agenzia Entrate, si deve chiedere il consenso? RISPOSTA Avv. Andrea Lisi La risposta è negativa. Da quanto è dato intuire dalle poche informazioni di cui si dispone sembra potersi ritenere operanti le disposizioni di cui alla lett. a) dell'art. 24 e lett. d) dell'art. 26 4°comma del decreto legislativo n. 196/03. Secondo tale norma il consenso non è richiesto quando il trattamento è necessario per adempiere ad un obbligo derivante dalla legge. Nel caso di specie, il trattamento di dati è effettuato al solo scopo di rendere dichiarazioni obbligatorie per legge a soggetti pubblici (quali Inps, Inail, Agenzia delle Entrate ) e può quindi validamente effettuarsi senza aver richiesto, e preventivamente ottenuto, il consenso dell'interessato. Naturalmente, ciò non vale ad escludere che il titolare del trattamento si adegui scrupolosamente alle norme dettate dal decreto Lgs. 196 cit. quanto all'informativa all'interessato e alla redazione del documento programmatico per la sicurezza. L'interessato andrà ovviamente informato su tutte le modalità del trattamento e su chi effettua il trattamento ai sensi dell'art. 13 del Codice. Peraltro, appare molto probabile il trattamento, da parte del titolare, di dati sensibili (in particolare di dati idonei a rivelare l'adesione a partiti o sindacati e lo stato di salute dei lavoratori dipendenti), ragion per cui si ritiene doveroso l'adeguamento alle più stringenti misure di sicurezza previste per tali dati. Nell'ipotesi in cui effettivamente il titolare proceda al trattamento di dati sensibili può prescindere dal consenso dell'interessato (art. 26, comma 4, lett. d) quando il trattamento è necessario per la gestione del rapporto di lavoro, anche in materia di igiene e Camera di Commercio Industria Artigianato Agricoltura di Padova 76 CODICE DELLA PRIVACY sicurezza previste per tali dati. Nell'ipotesi in cui effettivamente il titolare proceda al trattamento di dati sensibili può prescindere dal consenso dell'interessato (art. 26, comma 4, lett. d) quando il trattamento è necessario per la gestione del rapporto di lavoro, anche in materia di igiene e sicurezza del lavoro e della popolazione e di previdenza e assistenza, previa autorizzazione del Garante e nei limiti di tale autorizzazione. Dai pochi dati in nostro possesso è impossibile verificare con assoluta certezza se tale ipotesi rientra tra quelle per le quali il Garante abbia già provveduto ad emanare un'autorizzazione generale (la nostra ipotesi sembrerebbe comunque potersi ricondurre tra quelle previste nell'autorizzazione generale n. 1/2002 relativa al trattamento dei dati sensibili nei rapporti di lavoro) (*). (*) Oggi sono in vigore 7 autorizzazioni generali (nn. 1/2005, 2/2005, 3/2005, 4/2005, 5/2005, 6/2005 e 7/2005 rilasciate il 21 dicembre 2005) la cui efficacia è stata differita dal Garante sino al 30 giugno 2007. 21. ONERI DI PRIVACY PER OPERARE IN ATTIVITA' SU MANDATO L'azienda X, stipula dei mandati con aziende che operano per il contatto diretto al consumatore, per eseguire telefonate presso potenziali clienti. Premesso che tale azienda, accetta il mandato solo da aziende di comprovata serietà, l'obiettivo della telefonata (su liste di numeri telefonici fornitici dall'azienda mandante, estratti dall'elenco del telefono), è quello di fissare un appuntamento con delle figure commerciali, dipendenti dell'azienda mandante. Durante la telefonata non vengono raccolte informazioni di nessun tipo, viene solamente richiesta la disponibilità per un incontro ad un determinato giorno ed orario. La telefonata ha come introduzione, la raccolta del consenso al trattamento del dato e viene richiesto se l'interlocutore vuol continuare la telefonata (spiegando qual è il fine), il tutto però solo a livello orale/telefonico. - Esistono delle problematiche operative/formali su quanto viene fatto? Camera di Commercio Industria Artigianato Agricoltura di Padova 77 CODICE DELLA PRIVACY - La ditta X è soggetta alla comunicazione al Garante per l'attività svolta? RISPOSTA Avv. Andrea Lisi Normalmente per il nuovo codice della privacy è previsto il previo consenso espresso dell'interessato per qualsiasi operazione di trattamento dei dati personali. Tale consenso dovrà anche essere documentato per iscritto (art. 23 Codice della privacy). L'art. 24 del nuovo codice prevede, però, dei casi espressamente previsti per i quali può essere eseguito il trattamento senza consenso. In particolare il punto c) del citato articolo recita così: il consenso non è richiesto quando il trattamento " riguarda dati provenienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque, fermi restando i limiti e le modalità che le leggi, i regolamenti o la normativa comunitaria stabiliscono per la conoscibilità e pubblicità dei dati". Per interpretazione fornita dallo stesso Garante italiano per la privacy (www.garanteprivacy.it) gli elenchi telefonici costituiscono un "elenco pubblico" e, quindi, per il trattamento di questi dati non occorre richiedere un preventivo consenso espresso dell'interessato. Per quanto riguarda la necessità di notificazione al Garante (da farsi validamente solo per via telematica e con firma digitale ai sensi dell'art. 38), essa è prevista solo e soltanto in alcuni casi specifici indicati nell'art. 37 del Codice (è necessaria per il trattamento di dati inerenti, la salute o genetici o biometrici, dati idonei a rivelare la vita sessuale o la sfera psichica, dati relativi a forme di "profilazione elettronica", dati sensibili registrati in banche dati di ricerca personale o relativi a sondaggi d'opinione o ricerche di mercato, dati concernenti la solvibilità economica gestiti elettronicamente). Nel caso prospettato, se effettivamente tali dati provengono da elenchi pubblici (e, in altre parole, elenchi telefonici), la società mandante non ha, quindi, alcun onere di richiedere l'espresso consenso dell'interessato per il trattamento di tali dati. Si tenga in considerazione che per "trattamento" si intende qualsiasi operazione effettuata sul dato personale altrui (in particolare, ai sensi dell'art. 4 lett. a) del Codice, "qualunque operazione o complesso Camera di Commercio Industria Artigianato Agricoltura di Padova 78 CODICE DELLA PRIVACY d'operazioni, eseguito anche senza l'ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati”. Quindi, anche la semplice acquisizione di dati personali dagli elenchi telefonici per fissare dei futuri appuntamenti e verificare la disponibilità per un successivo incontro è un'operazione di trattamento del dato personale! A tal proposito, conviene all'azienda X richiedere alla società mandante una "liberatoria per iscritto" da qualsiasi responsabilità relativa al trattamento di quei dati (sarebbe, in ogni caso, sufficiente una dichiarazione scritta del mandante che confermi che quei dati sono stati raccolti esclusivamente da elenchi telefonici e che vengono comunicati all'azienda X al solo scopo di fissare degli appuntamenti presso la società mandante). Al momento della telefonata, l'azienda X, inoltre, dovrà sempre, ai sensi dell'art. 13, informare l'interessato su tutti i suoi diritti (ben indicati dall'art. 7 del Codice): origine del trattamento (quindi, indicare la società mandante che ha raccolto i dati da elenchi telefonici), finalità (quindi, fissazione dell'incontro), titolare del trattamento e/o responsabile (società mandante e/o l'azienda X) etc. Infine, se i dati (com'è inevitabile) verranno raccolti in banche dati elettroniche e/o cartacee occorrerà sempre rispettare le misure minime (e idonee) di sicurezza per tale forma di trattamento (artt. 33-36 Codice): in parole povere occorrerà evitare che quei dati possano essere dispersi o cadere "in mani sbagliate" (dal punto di vista elettronico, com'è facile immaginare, questo comporterà molti accorgimenti tecnici individuati nell'allegato B del Codice). Per quanto riguarda gli eventuali oneri di notificazione, non si ravvisa nessuno dei casi espressamente previsti nell'art. 37. In verità, l'obbligo di notifica comunque ricadrebbe sul solo titolare del trattamento (il mandante) e non sull'azienda X. Per concludere, sarebbe certamente opportuno che la società mandante delineasse meglio le figure autorizzate al trattamento Camera di Commercio Industria Artigianato Agricoltura di Padova 79 CODICE DELLA PRIVACY dati raccolti dagli elenchi pubblici (titolare, responsabile, incaricato) e, quindi, individuasse meglio la natura dell'incarico all'azienda X per questo particolare trattamento dei dati; comunque, operando in maniera corretta durante la telefonata (come sopra descritto), l'azienda X non rischierà nulla sulla base della normativa italiana in materia di trattamento dei dati personali e non dovrà provvedere a nessun obbligo di notificazione. 22. NOTIFICA AL GARANTE E DATI SENSIBILI Una azienda X, sorta nel 2001, che commercia materiali lapidei (tratta solo dati di Clienti e fornitori senza dipendenti), non ha mai effettuato la notifica al Garante: Doveva farla? Se sì, cosa conviene fare ora? RISPOSTA Avv. Andrea Lisi La notifica al Garante, con l'entrata in vigore del Codice della privacy, deve essere effettuata esclusivamente quando si intenda procedere al trattamento di quei particolari dati personali indicati puntualmente all'art. 37 del decreto legislativo 196/2003. Si tratta, in particolare, del trattamento dei dati genetici, dei dati biometrici o dei dati che indicano la posizione geografica di persone od oggetti mediante una rete di comunicazione elettronica, dei dati idonei a rivelare lo stato di salute e la vita sessuale (quando siano trattati per certe finalità), dei dati idonei a rivelare la vita sessuale o la sfera psichica quando siano trattati da determinati soggetti (quali associazioni, enti od organismi senza scopo di lucro…) ecc. L'elenco completo delle ipotesi in cui si deve effettuare la notificazione è indicato, come detto, nell'art. 37 del decreto legislativo 196/03 - norma che, senza dubbio, non trova applicazione nel caso di specie. Quando la predetta società ha iniziato il trattamento (nel 2001) era tenuta, ovviamente, al rispetto della normativa allora vigente e, cioè, della legge 675/96 come successivamente modificata ed integrata. Sotto il vigore di tale legge, la notificazione rappresentava la regola (oggi invece è l'eccezione) cui si poteva derogare solo in specifiche Camera di Commercio Industria Artigianato Agricoltura di Padova 80 CODICE DELLA PRIVACY ipotesi tra le quali quella in cui il trattamento fosse “finalizzato unicamente all'adempimento di specifici obblighi contabili, retributivi, previdenziali, assistenziali e fiscali, ed è effettuato con riferimento alle sole categorie di dati, di interessati e di destinatari della comunicazione e diffusione strettamente collegate a tale adempimento, conservando i dati non oltre il periodo necessario all'adempimento medesimo” (art. 7, comma 5 - ter, lett. e). Nel caso di specie può ritenersi che nel 2001 operava per detta società tale clausola che valeva ad escludere l'obbligo della notifica. In definitiva, la società di cui innanzi non aveva, né ha ad oggi, l'obbligo di notificare al Garante il trattamento dei dati personali poiché, sotto il vigore della vecchia normativa operava la deroga di cui si è detto, e, ad oggi, non ricorre alcun trattamento di dati di cui al citato art. 37 (sembra, infatti, nel caso di specie ricorrere il solo trattamento di dati comuni quali anagrafi bancarie di fornitori/clienti, numeri telefonici, numeri di partita IVA…). Naturalmente, lo studio più approfondito del tipo di dati trattati (e del possibile pregiudizio ai diritti e alle libertà dell'interessato che abbia potuto derivare dalle modalità di trattamento o dalla natura dei dati) dal 2001 fino al 31 dicembre 2003 potrebbe anche portare a ritenere la notifica obbligatoria. Ed allora potrebbe giovare la norma, di difficile interpretazione, di cui all'art. 181 del decreto l.vo 196/03. Secondo tale disposizione, per quelle società che hanno iniziato il trattamento anteriormente al primo gennaio 2004 è possibile effettuare la notifica entro il prossimo 30 aprile (n.d.r. nella risposta si parlava dell'aprile 2004). Si tratta, quindi, di una sorta di sanatoria per tutti i trattamenti precedenti. 23. COS'E' IL DPS? Cos'è il DPS e cosa deve riportare? RISPOSTA Avv. Andrea Lisi Il documento programmatico per la sicurezza (DPS) fotografa le misure di sicurezza adottate dall'azienda e si compone dei seguenti punti: Camera di Commercio Industria Artigianato Agricoltura di Padova 81 CODICE DELLA PRIVACY elenco dei trattamenti eseguiti; distribuzione dei compiti e delle responsabilità nell'ambito delle strutture preposte al trattamento dei dati; analisi dei rischi che incombono sui dati; misure adottate per garantire l'integrità e la disponibilità dei dati, nonché la protezione delle aree e dei locali rilevanti ai fini della loro custodia; criteri e modalità per il ripristino della disponibilità dei dati in seguito ad eventuali episodi di distruzione o danneggiamento; interventi formativi degli incaricati del trattamento; criteri per garantire l'adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformità al codice, all'esterno di questa struttura titolare. 24. CONSENSO E DPS PER AZIENDE OPERANTI NEL COMMERCIO (DATI NON SENSIBILI) L'azienda X, operante nel settore del commercio, prima del 1997 aveva raccolto le informative dei clienti, successivamente non è più stato fatto. I dati trattati sono quelli necessari per il rapporto commerciale: Anagrafica dell'azienda, Anagrafica bancaria per i pagamenti, Email. Quali sono gli obblighi a cui la ditta deve sottostare? E' obbligata a redigere il documento programmatico sulla sicurezza? RISPOSTA Avv. Marzio Vaglio Per una corretta soluzione della questione di cui trattasi sono necessarie le seguenti brevi considerazioni. 1) La ditta X svolge senza dubbio un trattamento di dati personali, nella specie consistente nella raccolta, registrazione, organizzazione, conservazione, consultazione e modificazioni di anagrafiche di aziende clienti/fornitrici, di anagrafiche bancarie ai fini di effettuare i pagamenti e di indirizzi e-mail. 2) Tali operazioni di trattamento devono avvenire in esatta applicazione delle norme del decreto 196/03; in particolare, rilevano la disciplina del consenso al trattamento dei dati personali, la disciplina dell'informativa e le misure minime di sicurezza. Camera di Commercio Industria Artigianato Agricoltura di Padova 82 CODICE DELLA PRIVACY 3) Quanto al consenso al trattamento, può ritenersi che nel caso di specie si possa validamente prescindere dall'obbligo di richiederlo preventivamente. Infatti, la ditta X può beneficiare della disposizione di cui all'art. 24 del decreto l.vo 196/03 a tenore della quale il consenso non è richiesto quando il trattamento “è necessario per eseguire obblighi derivanti da un contratto del quale è parte l'interessato o per adempiere, prima della conclusione del contratto, a specifiche richieste dell'interessato”. Orbene, da quanto è dato intuire sembra che i trattamenti effettuati dalla predetta società siano finalizzati esclusivamente a rendere possibile l'esecuzione degli obblighi derivanti dai contratti dei quali è parte l'interessato ragion per cui non deve essere (obbligatoriamente) adempiuta la formalità della richiesta del previo consenso informato al trattamento dei dati personali. 4) Quanto riferito al punto precedente non vale certamente ad esimere l'azienda X dal rispetto della norma di cui all'art. 13 decreto l.vo 196/03. Occorre, cioè, che detta società informi, al momento della conclusione del contratto, l'interessato (oralmente o per iscritto) circa: a) le finalità e le modalità del trattamento cui sono destinati i dati; b) la natura obbligatoria o facoltativa del conferimento dei dati; c) le conseguenze di un eventuale rifiuto di rispondere; d) i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati, e l'ambito di diffusione dei dati medesimi; e) i diritti di cui all'articolo 7; f ) gli estremi identificativi del titolare e del responsabile se designato. Si consiglia quindi la redazione di una adeguata informativa ex art. 13 cit. (meglio ancora se questa informativa viene documentata per iscritto e sottoscritta dall'interessato, per ovvie ragioni di prova). 5) Infine, l'azienda X deve adeguarsi alle prescrizioni dettate in tema di misure minime di sicurezza (artt. 31 e ss. decreto l.vo 196/03 - Allegato B) al medesimo decreto) e redigere, qualora tratti dati sensibili o giudiziari con strumenti elettronici, un documento programmatico per la sicurezza (*). Camera di Commercio Industria Artigianato Agricoltura di Padova 83 CODICE DELLA PRIVACY D'altro canto, secondo un'interpretazione rigida della norma di riferimento, tale adempimento è doveroso nell'ipotesi di trattamenti di dati sensibili, sia con strumenti elettronici sia con registrazioni cartacee, e nell'ipotesi di trattamenti elettronici di dati comuni. Tuttavia vi è chi ritiene che tale misura di sicurezza vada adottata solo nell'ipotesi di trattamento dei dati sensibili e giudiziari con strumenti elettronici, opinione suffragata da un parere del Garante della Privacy del 22.3.2004. Nel caso dell'azienda X sembra ricorrere l'ipotesi di trattamento elettronico di dati comuni e non sensibili, dal momento che certamente tale società disporrà di banche-dati elettroniche contenenti dati personali comuni e invierà/riceverà comunicazioni via e-mail disponendo, quindi, di almeno una banca-dati elettronica contenete indirizzi e-mail. (*) Nota Avv. Andrea Lisi: Come già spiegato nella parte dedicata al DPS della presente Guida, ad avviso di chi scrive l'impostazione interpretativa più rigida è preferibile per quanto riguarda la lettura delle norme in materia di DPS. Il Garante è comunque intervenuto sul punto e con parere non vincolante del 22 marzo 2004 , ha specificato che il DPS sarebbe obbligatorio (e la sua omissione sanzionabile anche penalmente ai sensi dell'art. 169) solo in caso di trattamento elettronico di dati sensibili e giudiziari. Negli altri casi, rimane comunque preferibile utilizzare questo strumento perché offre al titolare la possibilità di provare, con un documento cartaceo, di aver adottato tutte quelle misure volte ad evitare danni, o quantomeno a ridurli, derivanti dal trattamento di dati personali altrui, anche in considerazione del fatto che l'attività di trattamento è equiparata dal nostro legislatore (vd. già citato art. 15 del Codice) ad una attività pericolosa di cui all'art. 2050 c.c., con ogni conseguenza che ne deriva in tema di risarcimento danni (anche non patrimoniali) ed onere della prova. Camera di Commercio Industria Artigianato Agricoltura di Padova 84 CODICE DELLA PRIVACY (*) Nota del Responsabile dello sportello privacy e Coordinatore di Promopadova, dr.ssa Liana Benedetti. L'interpretazione maggioritaria è per l'obbligatorietà del DPS solo in caso di trattamento elettronico di dati sensibili e giudiziari. Rimane l'opportunità di redazione del DPS quando il sistema informatico aziendale sia di una certa dimensione per cui avere tutte le procedure di sicurezza messe per iscritto costituisce comunque un vantaggio anche per l'azienda anche dal punto di vista organizzativo, oltre che legale (prova di aver adottato tutte le misure volte ad evitare danni). Personalmente troverei assurdo far compilare un DPS ad un'azienda che ha uno o due Pc con i quali tratta solo la contabilità e la corrispondenza aziendale contenenti quindi dati di clienti e fornitori. Converrà comunque all'azienda adottare delle misure di sicurezza come il salvataggio periodico dei dati non solo perché la legge lo richiede, ma soprattutto perché si tratta di dati indispensabili per la vita dell'azienda. Si fa notare però che la giurisprudenza è ancora poca, che la lettera della legge sembra dare indicazioni diverse dall'allegato B, che il parere del garante del 22.3.2004 non è legalmente vincolante e che quindi permane ancora un dibattito sull'argomento obbligatorietà del DPS. 25. DPS (Documento Programmatico Sulla Sicurezza) L'obbligo di redigere il DPS (Documento Programmatico Sulla Sicurezza) riguarda tutte le aziende? RISPOSTA Avv. Andrea Lisi Quanto alla richiesta di redazione del documento programmatico per la sicurezza può dirsi che lo stesso secondo un'interpretazione rigida delle norme di riferimento, vada redatto: 1) sempre quando il titolare proceda al trattamento con strumenti elettronici di qualsiasi tipo di dato; 2) sempre quando il titolare proceda al trattamento anche solo su registri cartacei di dati sensibili e/o giudiziari. secondo un'interpretazione più flessibile buona parte della dottrina ritiene che tale misura di sicurezza vada adottata solo nell'ipotesi di trattamento dei dati sensibili e giudiziari con strumenti elettronici (tale interpretazione ha avuto una notevole Camera di Commercio Industria Artigianato Agricoltura di Padova 85 CODICE DELLA PRIVACY conferma nel parere del 22 marzo 2004 del Garante). Ovviamente non essendoci al momento giurisprudenza su queste specifiche problematiche, potrebbe essere consigliabile interpretare le norme in maniera il più possibile rigorosa, al fine di avere una prova scritta e con data certa delle misure di sicurezza adottate in caso di contestazioni, tenendo però conto della dimensione e articolazione del sistema informatico aziendale e della mole di dati trattati. (*) Come già spiegato nella parte dedicata al DPS della presente Guida, ad avviso di chi scrive (avv. Lisi) l'impostazione interpretativa più rigida è preferibile per quanto riguarda la lettura delle norme in materia di DPS. Il Garante è comunque intervenuto sul punto e con parere non vincolante del 22 marzo 2004 , ha specificato che il DPS sarebbe obbligatorio (e la sua omissione sanzionabile anche penalmente ai sensi dell'art. 169) solo in caso di trattamento elettronico di dati sensibili e giudiziari. Negli altri casi, rimane comunque preferibile utilizzare questo strumento perché offre al titolare la possibilità di provare, con un documento cartaceo, di aver adottato tutte quelle misure volte ad evitare danni, o quantomeno a ridurli, derivanti dal trattamento di dati personali altrui, anche in considerazione del fatto che l'attività di trattamento è equiparata dal nostro legislatore (vd. già citato art. 15 del Codice) ad una attività pericolosa di cui all'art. 2050 c.c., con ogni conseguenza che ne deriva in tema di risarcimento danni (anche non patrimoniali) ed onere della prova. (*) Nota del Responsabile dello sportello Privacy e Coordinatore di Promopadova, dr.ssa Liana Benedetti. L'interpretazione maggioritaria è per l'obbligatorietà del DPS solo in caso di trattamento elettronico di dati sensibili e giudiziari. Rimane l'opportunità di redazione del DPS quando il sistema informatico aziendale sia di una certa dimensione per cui avere tutte le procedure di sicurezza messe per iscritto costituisce comunque un vantaggio anche per l'azienda anche dal punto di vista organizzativo, oltre che legale (prova di aver adottato tutte le misure volte ad evitare danni). Personalmente troverei assurdo far compilare un DPS ad un'azienda che ha uno o due Pc con i quali Camera di Commercio Industria Artigianato Agricoltura di Padova 86 CODICE DELLA PRIVACY tratta solo la contabilità e la corrispondenza aziendale contenenti quindi dati di clienti e fornitori. Converrà comunque all'azienda adottare delle misure di sicurezza come il salvataggio periodico dei dati non solo perché la legge lo richiede, ma soprattutto perché si tratta di dati indispensabili per la vita dell'azienda. Si fa notare però che la giurisprudenza è ancora poca, che la lettera della legge sembra dare indicazioni diverse dall'allegato B, che il parere del garante del 22.3.2004 non è legalmente vincolante e che quindi permane ancora un dibattito sull'argomento obbligatorietà del DPS. 26. OBBLIGO DI DPS Mi occupo della gestione documentale di una piccola Srl (dico gestione documentale dato che la sede amministrativa della ditta è presso il Ns. commercialista ed è lì che c'è tutta la contabilità). In realtà presso il mio ufficio io emetto solo fatture di vendita e/o preventivi (in almeno la metà dei casi i Ns. clienti sono rappresentati da privati visto che siamo una ditta di pitture e ristrutturazioni ) , vorrei quindi sapere se devo creare anch'io un DPS vero e proprio o è sufficiente che ce l'abbia il commercialista ? Se sì cosa devo materialmente fare? Oppure dove posso trovare delle informazioni chiare sui passaggi da svolgere per aggiornarmi con la normativa ? RISPOSTA Avv. Andrea Lisi Va premesso prima di tutto che la redazione del DPS è un obbligo previsto dall'art. 34 del D. Lgs. 196/2003 (cd. Codice della privacy), il quale recita : "1. Il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell'allegato B), le seguenti misure minime: a) autenticazione informatica; b) adozione di procedure di gestione delle credenziali di autenticazione; c) utilizzazione di un sistema di autorizzazione; d) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici; e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati Camera di Commercio Industria Artigianato Agricoltura di Padova 87 CODICE DELLA PRIVACY programmi informatici; f) adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi; g) tenuta di un aggiornato documento programmatico sulla sicurezza; h) adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari". Pertanto occorre in primo luogo verificare se la Società in questione effettui trattamenti elettronici di dati personali, perchè solo in questo caso è previsto tra i tanti adempimenti - e nei modi indicati nell'allegato B al Codice - anche l'adozione del DPS. (*) In caso di trattamento di dati con mezzi non elettronici, si applicherà l'art. 35 del Codice il quale afferma: "1. Il trattamento di dati personali effettuato senza l'ausilio di strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell'allegato B), le seguenti misure minime: a) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati o alle unità organizzative; b) previsione di procedure per un'idonea custodia di atti e documenti affidati agli incaricati per lo svolgimento dei relativi compiti; c) previsione di procedure per la conservazione di determinati atti in archivi ad accesso selezionato e disciplina delle modalità di accesso finalizzata all'identificazione degli incaricati." Pertanto, la Società, titolare del trattamento, dovrà comunque nominare per iscritto i vari incaricati ai trattamenti (cioè tutti coloro che all'interno della struttura effettuano trattamenti di dati personali) e nominare strategicamente il commercialista responsabile esterno al trattamento di dati contabili. Il commercialista, nella sua autonomia, dovrà comunque verificare se all'interno della sua struttura debba essere effettuato un Documento Programmatico per la Sicurezza; ma ciò prescinderà dagli obblighi aziendali del titolare del trattamento dei dati (e il titolare rimarrà in questo caso certamente la Società che emette le fatture). Dall'analisi del caso concreto e con i pochi dati a disposizione, non sembrerebbe essere indispensabile la redazione del DPS da parte Camera di Commercio Industria Artigianato Agricoltura di Padova 88 CODICE DELLA PRIVACY della piccola società, a maggior ragione se il trattamento dei dati avvenga con documenti cartacei. In ogni caso, non sembrerebbe esserci alcun trattamento di dati sensibili all'interno della struttura aziendale e, quindi, le misure minime di sicurezza da adottare secondo il Codice e l'allegato B) sarebbero di minore entità. Inoltre è da notare che il Garante è intervenuto su questo punto e con parere non vincolante del 22 marzo 2004 ha specificato che il DPS sarebbe obbligatorio solo in caso di trattamento elettronico di dati sensibili e giudiziari.(*) (**) Purtroppo i dati a disposizione sono troppo pochi per poter rispondere compiutamente, ma può certamente riferirsi che la società in questione potrà certamente ricavare una certa utilità nel redigere documenti che regolamentino il trattamento dei dati personali effettuati in seno all'azienda e spieghino ai dipendenti il tipo di dati che si possono trattare, come debbano essere trattati questi dati, per quanto tempo e con quali finalità... In ogni caso, chiunque effettui un trattamento di dati personali all'interno della società o all'esterno deve essere sempre espressamente incaricato per iscritto o nominato responsabile per quel trattamento. Nell'incarico o nella nomina deve essere spiegato "cosa fare e come fare" (cioè finalità, modalità, obblighi del trattamento dei dati). Informazioni in materia di trattamento di dati personali si possono trovare sul sito del Garante della protezione dei dati personali alla pagina www.garanteprivacy.it o sul sito www.privacy.it. (*) Nota dell'avv.Andrea Lisi. Come già spiegato nella parte dedicata al DPS della presente Guida, ad avviso di chi scrive l'impostazione interpretativa più rigida è preferibile per quanto riguarda la lettura delle norme in materia di DPS. Il Garante è comunque intervenuto sul punto e con parere non vincolante del 22 marzo 2004 , ha specificato che il DPS sarebbe obbligatorio (e la sua omissione sanzionabile anche penalmente ai sensi dell'art. 169) solo in caso di trattamento elettronico di dati sensibili e giudiziari. Negli altri casi, rimane comunque preferibile utilizzare questo strumento perché offre al titolare la possibilità di provare, con un documento cartaceo, di aver adottato tutte quelle misure volte ad evitare danni, o quantomeno a ridurli, derivanti dal Camera di Commercio Industria Artigianato Agricoltura di Padova 89 CODICE DELLA PRIVACY trattamento di dati personali altrui, anche in considerazione del fatto che l'attività di trattamento è equiparata dal nostro legislatore (vd. già citato art. 15 del Codice) ad una attività pericolosa di cui all'art. 2050 c.c., con ogni conseguenza che ne deriva in tema di risarcimento danni (anche non patrimoniali) ed onere della prova. (**) Nota del Responsabile dello sportello privacy e Coordinatore di Promopadova, dr.ssa Liana Benedetti. L'interpretazione maggioritaria è per l'obbligatorietà del DPS solo in caso di trattamento elettronico di dati sensibili e giudiziari.. Rimane l'opportunità di redazione del DPS quando il sistema informatico aziendale sia di una certa dimensione per cui avere tutte le procedure di sicurezza messe per iscritto costituisce comunque un vantaggio anche per l'azienda anche dal punto di vista organizzativo, oltre che legale (prova di aver adottato tutte le misure volte ad evitare danni). Personalmente troverei assurdo far compilare un DPS ad un'azienda che ha uno o due Pc con i quali tratta solo la contabilità e la corrispondenza aziendale contenenti quindi dati di clienti e fornitori. Converrà comunque all'azienda adottare delle misure di sicurezza come il salvataggio periodico dei dati non solo perché la legge lo richiede, ma soprattutto perché si tratta di dati indispensabili per la vita dell'azienda. Si fa notare però che la giurisprudenza è ancora poca, che la lettera della legge sembra dare indicazioni diverse dall'allegato B, che il parere del garante del 22.3.2004 non è legalmente vincolante e che quindi permane ancora un dibattito sull'argomento obbligatorietà del DPS. 27. DPS, PROROGHE E DATA CERTA Ho avuto modo di leggere il Suo articolo sulla proroga della redazione del DPS al 31/12/2005. Dal momento che tale proroga non riguarda le misure di sicurezza già previste dal D.P.R. 318/99, quali la redazione del DPS, nella sua originaria conformazione, Le chiedo: Prima domanda: L'aggiornamento del DPS, per l'anno 2004, risulta essere slittato al 30/06/2005? Seconda domanda:Il DPS relativo al 2005, che costituisce aggiornamento di quello del 2004, deve essere redatto secondo le disposizioni del Decreto Legislativo 196/2003, entro il 31/03/2005 Camera di Commercio Industria Artigianato Agricoltura di Padova 90 CODICE DELLA PRIVACY oppure entro il 30/06/2005? Tale documento deve avere data Certa? Il requisito della data certa può essere soddisfatto inviando a se stessi il documento, mediante piego raccomandato con ricevuta di ritorno? RISPOSTA Avv. Andrea Lisi Ad oggi per risolvere il Suo quesito abbiamo solo l'interpretazione fornita dal Garante nel parere del 23 marzo 2004 (acquisibile sul sito www.garanteprivacy.it) e a quella conviene far affidamento. Secondo quel parere del Garante, le misure "nuove" di sicurezza sono da adottare entro il termine del 31/12/2005 (il termine già prorogato del 30/06/2005, infatti, è stato ulteriormente prorogato al 31/12/2005 con la Legge 1 marzo 2005, n. 26). 1. In particolare, l'art. 180, con le recenti modifiche, così recita "Art. 180 (Misure di sicurezza) 1. Le misure minime di sicurezza di cui agli articoli da 33 a 35 e all'allegato B) che non erano previste dal decreto del Presidente della Repubblica 28 luglio 1999, n. 318, sono adottate entro il 31 dicembre 2005. 2. Il titolare che alla data di entrata in vigore del presente codice dispone di strumenti elettronici che, per obiettive ragioni tecniche, non consentono in tutto o in parte l'immediata applicazione delle misure minime di cui all'articolo 34 e delle corrispondenti modalità tecniche di cui all'allegato B), descrive le medesime ragioni in un documento a data certa da conservare presso la propria struttura. 3. Nel caso di cui al comma 2, il titolare adotta ogni possibile misura di sicurezza in relazione agli strumenti elettronici detenuti in modo da evitare, anche sulla base di idonee misure organizzative, logistiche o procedurali, un incremento dei rischi di cui all'articolo 31, adeguando i medesimi strumenti al più tardi entro il 31 marzo 2006". Pertanto, seguendo l'impostazione seguita dal Garante nel suo parere, coloro che già dovevano realizzare il DPS con la vecchia normativa abrogata, dovranno continuare ad adottarlo, ma potranno aggiornarlo anche al 31 dicembre 2005 (*) (o quanto meno aggiornarlo entro quella data secondo le nuove misure di sicurezza contenute nel Codice e nell'allegato B). Camera di Commercio Industria Artigianato Agricoltura di Padova 91 CODICE DELLA PRIVACY Ripeto, il DPS va redatto per la prima volta o aggiornato - secondo lachiave di lettura fornita dal parere fornito dal Garante precedentemente citato - entro il 31 dicembre 2005. Il DPS non deve avere il requisito della "data certa" in senso stretto, secondo cioè i rigidi schemi del codice civile, infatti il Codice della Privacy parla espressamente di "data certa" solo nel II comma dell'art. 180 relativamente al documento da adottare in caso di utilizzo di strumenti elettronici obsoleti e che, quindi, per ragioni tecniche non consentano l'adeguamento alle misure di sicurezza del Codice Privacy; in quest'ultimo caso lo slittamento del termine è previsto al 31 marzo 2006 (**) (purché appunto sia utilizzato un documento avente "data certa" in cui si descrivano le ragioni dell'impossibilità tecnica di adottare certe misure "nuove" di sicurezza). Il fatto comunque che il legislatore fissi dei termini a cui attenersi o entro i quali effettuare delle specifiche operazioni, dovrebbe portare l'operatore a cercare di apporre anche al DPS una data certa, o meglio una data facilmente documentabile. Pertanto, la fissazione sul documento di una "data certa" può essere senz'altro utile per finalità probatorie e, quindi, l'autospedizione o l'apposizione del timbro postale sul documento può essere considerato un buon metodo, come anche la sottoscrizione con firma digitale del documento elettronico con apposizione della marcatura temporale. (*) data prorogata al 31 marzo 2006 (**) data prorogata al 30 giugno 2006 28. DPS E DATA CERTA Dove sta scritto che il DPS deve avere data certa? RISPOSTA Avv. Andrea Lisi La legge non prescrive che il DPS abbia data certa, tuttavia l'art.34 del Testo Unico sulla Privacy 196/2003 esprime chiaramente l'obbligo di tenere aggiornato il DPS, e considerando che la data limite per la redazione del DPS deve essere entro il 31 marzo di ogni anno, (fa Camera di Commercio Industria Artigianato Agricoltura di Padova 92 CODICE DELLA PRIVACY eccezione l'anno in corso, la cui scadenza è stata posticipata al 31 dicembre 2005(*)), si deduce l'opportunità che il documento abbia data certa, al fine di poter documentare l'effettivo rispetto della scadenza e, quindi, di evitare possibili contestazioni. A tal fine si possono utilizzare diversi accorgimenti: i meno onerosi sono sicuramente l'autoprestazione postale o l'apposizione di firma digitale e marcatura temporale sul documento elettronico che contiene il DPS. (*) data posticipata al 31 marzo 2006 da un recente D.L. di proroga 29. BILANCIO AZIENDALE E DPS Come si può scrivere una dichiarazione che comprova l'aggiornamento del DPS (Documento Programmatico sulla Sicurezza), nella relazione accompagnatoria al bilancio 2003 che sarà approvato ad aprile se, non è ancora totalmente predisposto in quanto la scadenza è a giugno? RISPOSTA Avv. Andrea Lisi In tale relazione è sufficiente dichiarare che il documento programmatico per la sicurezza è stato regolarmente aggiornato (non occorre, quindi, indicare quali modifiche si sono apportate). Infatti “il titolare riferisce, nella relazione accompagnatoria del bilancio d'esercizio, se dovuta, dell'avvenuta redazione o aggiornamento del documento programmatico sulla sicurezza” (punto 26 allegato B). Giova precisare, peraltro, che secondo il punto 25 dell'allegato B, il titolare che si avvalga di soggetti esterni per l'adozione delle misure minime di sicurezza è tenuto a farsi rilasciare dall'installatore una descrizione scritta dell'intervento effettuato che ne attesti la conformità alle disposizione del disciplinare tecnico al Codice della privacy (ovvero all'allegato B). In ogni caso, a breve, il Garante predisporrà un Vademecum per meglio chiarire le scadenze relative al DPS e ai suoi aggiornamenti secondo le novità inserite nell'allegato B) del Codice. Occorre evidenziare comunque che il Codice non è una sanatoria e se per la precedente normativa la società era già tenuta a conservare in Camera di Commercio Industria Artigianato Agricoltura di Padova 93 CODICE DELLA PRIVACY azienda un aggiornato DPS allora non avrà certo difficoltà a farne menzione nella relazione accompagnatoria al bilancio 2003. Prima della pubblicazione on line del presente parere è intervenuto in proposito il Garante (con il Vademecum del 22 marzo 2004), secondo il quale: In primo luogo il DPS può essere redatto per la prima volta o aggiornato (solo per quest'anno) entro il 30 giugno 2004 (*). In secondo luogo, “i soggetti pubblici e privati tenuti in passato a predisporre o aggiornare il DPS, e che per il 2004 possono come detto aggiornarlo entro il 30 giugno del presente anno, dovranno riferire secondo la regola 26 già a partire dalla relazione sul bilancio di esercizio per il 2003, con riferimento al DPS già eventualmente aggiornato per il 2004, oppure menzionando l'adozione o aggiornamento avvenuto nel 2003 e indicando sinteticamente che si aggiornerà il DPS entro il 30 giugno 2004. I soggetti pubblici e privati tenuti invece per la prima volta a redigere il DPS nel 2004 (come si è detto entro il 30 giugno), non devono indicare nella relazione alcunché se il DPS 2003 o il DPS 2004 non sono stati adottati. I medesimi soggetti, qualora alla data in cui predispongono la predetta relazione abbiano redatto già il DPS 2004, indicheranno invece tale circostanza; potranno infine indicare facoltativamente quanto eventualmente già fatto nel 2003 e, sempre facoltativamente, l'aggiornamento 2004 in itinere.”. (*) Come già evidenziato in precedenza, in base alle intervenute ulteriori proroghe, il DPS va redatto entro il 31 marzo 2006. 30. DPS, NOTA INTEGRATIVA E RELAZIONE SULLA GESTIONE Il punto 26 dell'allegato B prevede che nella "relazione accompagnatoria" al bilancio d'esercizio si riferisca dell'avvenuto aggiornamento del dps. La "relazione sulla gestione" (2428 cc) è prevista in caso di bilancio di società di capitali redatto in forma ordinaria, mentre in caso di bilancio redatto in forma abbreviata (2435 bis cc) tale documento non è obbligatorio. Domanda: si è a conoscenza che il garante abbia previsto l'obbligo di Camera di Commercio Industria Artigianato Agricoltura di Padova 94 CODICE DELLA PRIVACY citare il dps nella nota integrativa al bilancio di esercizio (2427 c.c.) (questa ovviamente sempre presente) o rimane l'obbligo di citazione del dps solo nel caso in cui si sia in presenza della relazione sulla gestione e, quindi, solo in caso di bilancio redatto in forma ordinaria escludendo dalla previsione del punto 26 dell'allegato B i bilanci che vengono redatti in forma abbreviata e non contenenti la relazione sulla gestione? RISPOSTA Avv. Andrea Lisi La domanda è molto interessante e non ha al momento una soluzione certa, considerato che il Garante non si è pronunciato espressamente in materia e la legge rimane poco chiara. In particolare, l'allegato B al Codice (D.Lgs. 196/2003) al punto 26 semplicemente afferma che "il titolare riferisce, nella relazione accompagnatoria del bilancio d'esercizio, se dovuta, dell'avvenuta redazione o aggiornamento del documento programmatico sulla sicurezza", senza specificare cosa debba intendersi per "relazione accompagnatoria" (tenuto in considerazione che il codice civile italiano, pur con la intervenuta riforma di diritto societario, considera espressamente solo le figure della "nota integrativa" al bilancio d'esercizio - art. 2427 o della “relazione sulla gestione” - art. 2428). Il Garante per la Protezione dei dati personali, nel suo parere del 22 marzo 2004 reso su sollecitazione di Confindustria (Oggetto: prima applicazione del Codice in materia di protezione dei dati personali in materia di "misure minime" di sicurezza (artt. 31-36 e Allegato B) al d.lgs. n. 196/2003 acquisibile sul sito del Garante, in proposito si è limitato a dire: << 3. RELAZIONE ACCOMPAGNATORIA AL BILANCIO D'ESERCIZIO Le scelte di fondo sulle modalità di trattamento sotto il profilo della sicurezza competono alle persone e agli organi legittimati ad adottare decisioni ed esprimere a vari livelli, in base al proprio ordinamento interno, la volontà della società, ente o altro organismo titolare del trattamento (art. 4, comma 1, lett. f ), del Codice). In questo quadro, il Codice ha introdotto una nuova regola per rendere meglio edotti gli organi di vertice del titolare del trattamento e responsabilizzarli in materia Camera di Commercio Industria Artigianato Agricoltura di Padova 95 CODICE DELLA PRIVACY di sicurezza, attraverso l'obbligo di riferire nella relazione di accompagnamento a ciascun bilancio di esercizio circa l' avvenuta redazione o aggiornamento del DPS che sia obbligatorio come misura "minima" o che sia stato comunque adottato (regola 26 Allegato B)). Anche questa menzione rappresenta una misura "minima" nuova, indicata tra quelle di "tutela e garanzia" (regole 25 e 26). I soggetti pubblici e privati tenuti in passato a predisporre o aggiornare il DPS, e che per il 2004 possono come detto aggiornarlo entro il 30 giugno del presente anno, dovranno riferire secondo la regola 26 già a partire dalla relazione sul bilancio di esercizio per il 2003, con riferimento al DPS già eventualmente aggiornato per il 2004, oppure menzionando l'adozione o aggiornamento avvenuto nel 2003 e indicando sinteticamente che si aggiornerà il DPS entro il 30 giugno 2004. I soggetti pubblici e privati tenuti invece per la prima volta a redigere il DPS nel 2004 (come si è detto entro il 30 giugno), non devono indicare nella relazione alcunché se il DPS 2003 o il DPS 2004 non sono stati adottati. I medesimi soggetti, qualora alla data in cui predispongono la predetta relazione abbiano redatto già il DPS 2004, indicheranno invece tale circostanza; potranno infine indicare facoltativamente quanto eventualmente già fatto nel 2003 e, sempre facoltativamente, l'aggiornamento 2004 in itinere.>> Si tenga in considerazione che sono intervenute ulteriori proroghe per l'adozione delle misure "nuove" di sicurezza e oggi la data ultima per adottare tutte le misure minime "nuove" di sicurezza è il 31 dicembre 2005 (*) secondo il primo comma dell'art. 180 come da ultimo modificato dall'art. 6-bis della legge 1° marzo 2005, n. 26, di conversione, con modificazioni, del decreto-legge 30 dicembre 2004, n. 314 [già modificato dall'art. 3 del decreto-legge 24 giugno 2004, n. 158, convertito dalla legge 27 luglio 2004, n. 188 e dall'art. 6 del decreto-legge 9 novembre 2004, n. 266, nel testo modificato dalla legge 27 dicembre 2004, n. 306, di conversione del predetto decreto]. In dottrina si è occupato della problematica solo il collega Luigi Neirotti, il quale commentando il parere del Garante precedentemente riportato ha solo brevemente sottolineato la difficoltà interpretativa relativa alla figura della "relazione accompagnatoria" (soffermandosi successivamente nel suo Camera di Commercio Industria Artigianato Agricoltura di Padova 96 CODICE DELLA PRIVACY articolo sulle intervenute proroghe): <<Il Garante ha interpretato come dovuta tale indicazione sin dal bilancio sull'esercizio 2003. Diverse sono le difficoltà che vengono in rilievo in questo caso. Innanzitutto la regola 26 dell'allegato B al codice reca una prima difficoltà nello stabilire concretamente in quale parte del bilancio sia dovuta tale indicazione: se nella "relazione sulla gestione" ovvero nella "nota integrativa". Inoltre, appare difficile comprendere il riferimento del Garante al "bilancio 2003": evidentemente si è considerato solo il caso dell'esercizio sociale coincidente con l'anno solare, senza tenere conto che sono possibili anche altre situazioni (diversi sono i soggetti che, in ragione della natura della loro attività d'impresa, hanno esercizio sociale non coincidente con l'anno solare). Più ancora, l'interpretazione del Garante non appare pienamente convincente. Se è vero che tale indicazione è una misura minima di sicurezza (regola n. 26 dell'allegato B al codice), ed in particolare se è vero che essa deve qualificarsi come "nuova", dato che non era contemplata dal precedente DPR 318/99, come affermato dallo stesso Garante nel parere alla Confindustria ("In questo quadro, il codice ha introdotto una nuova regola …"), allora si dovrebbe concludere che ad essa si debba applicare il regime transitorio previsto dall'art. 180 del codice, il quale permette l'adozione entro il 30 giugno. In altre parole, l'indicazione in questione sarebbe dovuta solo per quelle relazioni accompagnatorie approvate dopo il 30 giugno 2004. Si potrebbe obiettare che ai fini pratici la cosa ha poco rilievo, dato che chi non era tenuto alla formazione del DPS nel 2003 non farà menzione di tale circostanza nella relazione accompagnatoria al bilancio 2004; chi invece già era tenuto alla formazione o aggiornamento del DPS nel 2003 non verrà gravato di un particolare onere (dovendo semplicemente confermare un adempimento già svolto). Una simile considerazione sarebbe accettabile e condivisibile solamente se vi fosse assoluta chiarezza in merito ai soggetti che, prima dell'entrata in vigore del nuovo codice, erano onerati o meno della formazione del DPS>>. Ad avviso di chi scrive: Camera di Commercio Industria Artigianato Agricoltura di Padova 97 CODICE DELLA PRIVACY 1- considerato che l'art. 2423 c.c. prescrive che il bilancio è costituito dallo stato patrimoniale, dal conto economico e dalla nota integrativa, mentre l'art. 2428 prevede che il bilancio "deve" essere corredato da una relazione degli amministratori sulla situazione della società e sull'andamento della gestione; 2- considerata la differente natura della nota integrativa (sempre presente in qualsiasi bilancio sia in forma ordinaria sia in forma abbreviata) e della relazione di gestione (che è prevista obbligatoriamente solo per il bilancio in forma abbreviata secondo il comma 5 dell'art 2435 bis); 3- considerato che il legislatore, allorquando afferma nell'allegato B (punto 26) che "il titolare riferisce, nella relazione accompagnatoria del bilancio d'esercizio, SE DOVUTA", sembrerebbe riferirsi ad un documento accompagnatorio del bilancio dovuto solo in alcune circostanze; l'obbligo di cui al punto 26 sembrerebbe ascrivibile solo in capo a quelle società che saranno tenute ex lege alla redazione del bilancio d'esercizio in forma ordinaria e, quindi, l'indicazione relativa all'adozione del DPS (o al suo intervenuto aggiornamento) andrebbe inserita obbligatoriamente nella sola “relazione di gestione” (chiamata "atecnicamente" dal legislatore "relazione accompagnatoria"), prevista dall'art. 2428 c.c.. Ovviamente si tratta solo di una possibile interpretazione non suffragata da riferimenti giurisprudenziali o da pareri/provvedimenti del Garante. (*) termine nuovamente prorogato al 31 marzo 2006 31. DPS - SOCIETA' CAPOGRUPPO E FILIALI Un gruppo formato da 5 società distinte, con tre sedi diverse. Tutti i dati sono in rete: il DPS deve essere redatto solo dal capogruppo o da tutte e cinque le Società? RISPOSTA Avv. Andrea Lisi Considerando che le cinque società, e le loro rispettive tre sedi, si Camera di Commercio Industria Artigianato Agricoltura di Padova 98 CODICE DELLA PRIVACY trovino tutte nel territorio italiano (e, quindi, che non sorgono questioni di trasferimento di dati personali all'estero), va premesso che il documento programmatico per la sicurezza dovrebbe essere redatto dal titolare principale/capogruppo del trattamento elettronico dei dati (cui quasi certamente competono le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza). Più in particolare, nel caso di specie, il gruppo di società può optare o per la redazione di un unico documento programmatico, ovvero di più documenti. In particolare, la società capogruppo può essere considerata “unico titolare dei dati del gruppo” e, quindi, redigere il documento programmatico per la sicurezza che rispecchi tutte le misure di sicurezza, minime ed idonee, adottate presso ogni società e che faccia menzione dei soggetti responsabili del trattamento effettuato dalle cinque società che alla stessa fanno capo. Ovvero, ogni singola società del gruppo può essere considerata “contitolare del trattamento” e, quindi, procedere alla redazione del documento in parola. D'altronde il disposto della lett. f ) dell'art. 4, I comma, del decreto Lgs. 196/2003 è di portata piuttosto ampia nel ritenere titolare “la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza” ragion per cui, nel caso di specie, ogni società può essere considerata titolare (o contitolare) e eventualmente nominare un proprio responsabile del trattamento (o anche più responsabili per singoli trattamenti) e redigere un proprio documento programmatico per la sicurezza. In ogni caso, la redazione del DPS deve essere sempre inserita in una strategia aziendale di sicurezza e, quindi, è difficile rispondere concretamente al quesito se non si conoscono effettivamente e in maniera dettagliata i singoli rapporti tra le varie società del Gruppo. Si può dire comunque che il Codice lascia ampio spazio ai titolari del trattamento per poter Camera di Commercio Industria Artigianato Agricoltura di Padova 99 CODICE DELLA PRIVACY configurare al loro interno le soluzioni migliori alla propria strategia aziendale in termini di privacy e sicurezza. Un altro aspetto da considerare riguarda anche le modalità di gestione elettronica dei dati; infatti la scelta di optare per uno o più DPS potrebbe cambiare a seconda che il server su cui risiedono i dati sia unico o esistano più server; che la modifica dei dati possa avvenire solo attraverso un server o da più parti della rete, etc. Pertanto più il trattamento dei dati avviene in modo centralizzato e maggiore è la convenienza a redigere un solo DPS, viceversa più il trattamento di dati viene effettuato in modo autonomo dalle singole società e maggiore sarà l'opportunità di redigere singoli DPS che, ovviamente, devono contenere informazioni tra di loro coerenti. 32. DATI SENSIBILI E OBBLIGATORIETÀ DEL DPS Come d'accordo Le sottopongo via e-mail i quesiti che suscitano notevole interesse per le nostre aziende agricole associate, ai fini della redazione o meno del documento programmatico alla sicurezza: negli attestati di malattia che i dipendenti delle aziende portano al datore di lavoro, vi sono riportati dati sensibili? Mentre, da una nostra verifica, emerge che in tali attestati venga riportata solo la durata della malattia, in numerosi articoli di giornali si afferma la "sensibilità" dei dati in essi contenuta...E la comunicazione di maternità della lavoratrice al datore di lavoro? l'appartenenza ad un sindacato è dato sensibile. Nel cedolino della busta paga non è indicato il nome del sindacato presso il quale il lavoratore è iscritto. Tuttavia, al momento di provvedere al pagamento della trattenuta a favore dell'associazione sindacale scelta dal lavoratore, il datore di lavoro viene a conoscenza del sindacato scelto... Con un'interpretazione estremamente restrittiva, si dovrebbe concludere che ogni azienda, anche quelle con un solo dipendente, sarebbe tenuta alla redazione del Dps... RISPOSTA Avv. Andrea Lisi Tutti i dati personali “idonei a rivelare l'origine razziale ed etnica, le Camera di Commercio Industria Artigianato Agricoltura di Padova 100 CODICE DELLA PRIVACY convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonchè i dati personali idonei a rivelare lo stato di salute e la vita sessuale” devono considerarsi sensibili ai sensi dell'art. 4 1° comma lett. d); quindi certamente i certificati di malattia - anche per il solo fatto di indicare che una malattia c'è stata in un determinato periodo senza alcuna ulteriore specificazione - costituiscono un dato sensibile. Lo stato di maternità in senso lato potrebbe non essere considerato “uno stato di malattia”, ma certamente è un dato inerente allo “stato di salute di una persona”, quindi dovrebbe ritenersi anch'esso sensibile. Stesse considerazioni possono essere fatte per i dati inerenti alla appartenenza al sindacato. Per quanto riguarda l'obbligatorietà del DPS, come già riferito in altre occasioni, essa va verificata caso per caso e potrebbe non riguardare le società che effettuino trattamenti cartacei di dati sensibili (almeno secondo un'interpretazione più elastica della normativa). Secondo una interpretazione più elastica della normativa, infatti, il DPS è dovuto solo in caso di trattamento elettronico di dati sentibili. Il Garante è comunque intervenuto sul punto e, con parere non vincolante del 22 marzo 2004 , ha specificato che il DPS sarebbe obbligatorio (e la sua omissione sanzionabile anche penalmente ai sensi dell'art. 169) solo in caso di trattamento elettronico di dati sensibili e giudiziari. Negli altri casi, rimane comunque preferibile utilizzare questo strumento perché offre al titolare la possibilità di provare, con un documento cartaceo, di aver adottato tutte quelle misure volte ad evitare danni, o quantomeno a ridurli, derivanti dal trattamento di dati personali altrui, anche in considerazione del fatto che l'attività di trattamento è equiparata dal nostro legislatore (vd. già citato art. 15 del Codice) ad una attività pericolosa di cui all'art. 2050 c.c., con ogni conseguenza che ne deriva in tema di risarcimento danni (anche non patrimoniali) ed onere della prova. Camera di Commercio Industria Artigianato Agricoltura di Padova 101 CODICE DELLA PRIVACY 33. DPS E CONTROLLI DI CARATTERE ISPETTIVO Le attività richieste per il rispetto del D.Lgs. 196/03 devono essere solamente citate sul DPS (Documento Programmatico Sulla Sicurezza) oppure serve anche dimostrarne l'applicazione tramite specifiche registrazioni? In altre parole, in sede di un eventuale controllo, gli ispettori si limitano a verificare che il DPS contenga quanto richiesto dalla Legge oppure procedono a verificarne anche l'applicazione? RISPOSTA Avv. Andrea Lisi Il DPS deve essere veritiero e deve rispecchiare effettivamente quello che succede in azienda, perché il Garante nell'ambito dei suoi poteri di carattere ispettivo, come espressamente indicato negli artt. 157 e ss., può verificare presso la società non soltanto la formale redazione del documento (che sarebbe opportuno che fosse- lo ricordiamo - provvisto di data certa), ma anche la sua applicazione pratica e controllare, quindi, presso i locali del titolare il “rispetto della disciplina in materia di trattamento dati personali”. 34. TERRITORIALITÀ DEI DATI PER CONSENSO Se una società tratta con clienti UE ed EXTRA UE deve raccogliere il consenso anche di questi soggetti? RISPOSTA Avv. Andrea Lisi La società di cui innanzi deve richiedere il consenso informato (cioè, previa informativa ex art. 13) al trattamento dei dati personali degli interessati, siano essi clienti UE, ovvero extra UE, dal momento che l'attività di trattamento si svolge comunque in Italia. Ovviamente la mancanza di ulteriori e più precise indicazioni sui rapporti tra la società immobiliare e i suoi clienti impedisce un esame più approfondito delle questioni tecnico-giuridiche sottese al trattamento dei dati. Le considerazioni che precedono sono il frutto di una approfondita lettura dottrinale dei vari articoli del Codice; lettura che, ad oggi, non trova l'avallo della giurisprudenza poiché non si registra ancora alcuna Camera di Commercio Industria Artigianato Agricoltura di Padova 102 CODICE DELLA PRIVACY pronuncia giurisprudenziale in proposito. Si consiglia, quindi, di aggiornarsi costantemente sull'evoluzione interpretativa delle norme anche visionando il sito istituzionale del Garante (che comunque - è bene precisare - non è un'autorità giudiziaria), dove si susseguono pareri in risposta a diversi e svariati quesiti. 35. VIDEOSORVEGLIANZA E NORMATIVA Come si regola la normativa sulla Privacy nel caso di un'azienda che utilizzi sistemi di Videosorveglianza? RISPOSTA Avv. Andrea Lisi L'entrata in vigore, il primo gennaio scorso, del decreto legislativo n. 196/03 (più noto come “Codice della privacy”) ha comportato una notevole semplificazione in materia di notificazioni al Garante, rendendo tale obbligo da 'regola' ad 'eccezione'. I pochi casi per i quali il titolare del trattamento è oggi gravato dall'obbligo di effettuare la previa notificazione alla suddetta Autorità sono espressamente elencati al primo comma dell'art. 37 del codice. Tra questi casi, il punto f) espressamente fa riferimento al trattamento di “dati registrati in apposite banche di dati gestite con strumenti elettronici e relative (…) a comportamenti illeciti o fraudolenti” (in queste ipotesi potrebbe ricondursi il caso che ci occupa). L'art. 37, peraltro, al comma due ha previsto la possibilità per il Garante sia di individuare altri trattamenti suscettibili di recare pregiudizio ai diritti e alle libertà dell'interessato da assoggettare all'obbligo della previa notifica, sia di individuare, nell'ambito dei trattamenti di cui al comma 1 del medesimo articolo, eventuali trattamenti non suscettibili di recare detto pregiudizio e pertanto sottratti all'obbligo di notificazione. In questi ultimi giorni, facendo uso di tali poteri, il Garante ha provveduto ad elencare alcune ipotesi di trattamento di dati personali sottratte all'obbligo di cui innanzi. Si tratta in particolare del Provvedimento n. 1 del 31 marzo 2004 (pubblicata nella G.U. n. 81 del 6 aprile 2004) il quale, a ben vedere, Camera di Commercio Industria Artigianato Agricoltura di Padova 103 CODICE DELLA PRIVACY permette la soluzione del quesito innanzi formulato. Come già evidenziato e confermato dalla lettura delle norme fornita dallo stesso Garante, dalla lettera f) dell'art. 37 si evince l'obbligo della previa notificazione quando si effettuino delle videosorveglianze cui segua la creazione di apposite banche dati gestite elettronicamente e contenenti immagini di persone. Tuttavia, il Garante, nel menzionato provvedimento, ha deliberato di sottrarre all'obbligo di notificazione con riferimento ai casi di cui al comma 1, lett. f), i trattamenti di dati personali “relativi a immagini o suoni conservati temporaneamente per esclusive finalità di sicurezza o di tutela delle persone o del patrimonio” (cfr. lett. A), par. 6/e). N.B. A proposito di videosorveglianza, si consigliala lettura del provvedimento generale del 29 aprile 2004 (acquisibile sul sito del Garante della protezione dei dati personali). 36. SCADENZA PER LA NOTIFICA PER AZIENDE CON VIDEOSORVEGLIANZA Le aziende che hanno impianti di videosorveglianza sono tenute ad effettuare la notifica entro il 30 aprile? RISPOSTA Avv. Andrea Lisi Sì, sempre che all'attività di videosorveglianza segua la creazione di “apposite” banche dati, contenenti la registrazione di immagini e/o suoni, gestite elettronicamente e realizzate per finalità di individuazione dei responsabili di comportamenti illeciti o fraudolenti. 37. TELECAMERA SENZA REGISTRAZIONE L'obbligo di notifica comprende anche il caso di una azienda che dispone di una telecamera che riprende, senza effettuare alcuna registrazione? Ad esempio una telecamera che riprende l'interno delle scale condominiali ed il pianerottolo antistante all'entrata dell'ufficio. Camera di Commercio Industria Artigianato Agricoltura di Padova 104 CODICE DELLA PRIVACY RISPOSTA Avv. Andrea Lisi No. La videosorveglianza relativa ad immagini o suoni conservati “temporaneamente” per esclusive finalità di sicurezza o di tutela delle persone o del patrimonio non è soggetta alla notificazione secondo l'ultimo provvedimento del Garante. Nel caso di specie, in cui non si effettua alcuna registrazione, a maggior ragione deve ritenersi non operante l'obbligo di cui all'art. 37 del codice. 38. CASO AZIENDA PRODUTTRICE DI DISPOSITIVI MEDICI SU MISURA L'azienda X, produce dispositivi medici su misura, per realizzare i quali necessita dei dati relativi all'esame audiometrico dell'interessato. I dati sono inviati da clienti (fornitori di audioprotesi), che inviano l'esito dell'esame audiometrico dell'interessato accompagnato dal relativo nome e cognome. La ditta però, non ha alcun altro dato dell'interessato, né residenza, né date di nascita, né numeri telefonici o altro, che permetta l'identificazione certa dell'interessato. L'azienda X, deve comunque ritenere di gestire dati sensibili? Il nome dell'utente deve essere crittografato? RISPOSTA Avv. Andrea Lisi La società X produce e fornisce dispositivi medici su misura per la cui realizzazione necessita dei dati relativi all'esame audiometrico del richiedente: questa attività rileva giuridicamente da più punti di vista. Per quanto più da vicino ci interessa, il punto dolente è rappresentato dagli adempimenti cui è tenuta a sottostare detta società per rispettare a pieno la normativa vigente in materia di trattamento dei dati personali. La società chiede, in primo luogo, se la stessa effettui un trattamento di “dati sanitari” (da ricomprendersi nel più ampio genus dei dati sensibili e, cioè, secondo l'art. 4 comma 1 lett. d del D.Lgs. 196/03 - Codice per la protezione dei dati personali - “i dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le Camera di Commercio Industria Artigianato Agricoltura di Padova 105 CODICE DELLA PRIVACY opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale”), ovvero un trattamento di dati “anonimi”, sulla scorta del fatto che la medesima società afferma di non poter risalire direttamente all'esatta identità del richiedente. In proposito, deve ricordarsi come, ai sensi dell'art. 4, comma 1, lett. n) del Codice per “dato anonimo” si intenda “il dato che in origine, o a seguito di trattamento, non può essere associato ad un interessato identificato o identificabile”. Da tale definizione legislativa deriva che ciascun dato “anonimo” può divenire dato “personale” quando anche attraverso una successiva operazione di collegamento ad altre informazioni di diversa natura risulti idoneo ad individuare un preciso soggetto. Infatti, la definizione di dato personale è molto ampia e ricomprende ai sensi dell'art. 4 comma 1 lett. b) “qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale”; Nel caso di specie, la società X dispone di nome e cognome (e quindi di dati personali, benché non sensibili) del richiedente ed inoltre della diagnosi medica di quest'ultimo. La diagnosi medica, come lo stesso “Garante della privacy” ha avuto modo di precisare (Garante, 2 giugno 1999), per sua natura non è caratterizzata da assoluta oggettività ed anzi contiene valutazioni, o prognosi, di carattere discrezionale, ragion per cui ha sicura natura giuridica di dato personale ed in particolare di dato idoneo a rilevare lo stato di salute del paziente (cioè è un dato sanitario). A questo punto può ritenersi che la società X disponendo di nome e cognome del richiedente unitamente alla diagnosi medica (esame audiometrico) di quest'ultimo possa, anche attraverso più operazioni di combinazione di tali dati, risalire all'identità certa del medesimo richiedente. La stessa società, quindi, non tratta dati anonimi bensì dati sensibili, nella specie dati sanitari. Per tale motivo è tenuta ad applicare genericamente tutte le misure di Camera di Commercio Industria Artigianato Agricoltura di Padova 106 CODICE DELLA PRIVACY sicurezza di cui agli artt. 31 e ss. del Codice e di cui all'Allegato B) al Codice stesso, ed in particolare, dovrà adeguarsi alle ulteriori misure previste in caso di trattamento di dati sensibili indicate ai punti 20 e ss. del medesimo allegato B). Tali misure, dettate appositamente per il trattamento dei dati sensibili, prevedono tra l'altro il trattamento disgiunto dei dati sanitari e dei dati comuni, nonché tecniche di cifratura o codici identificativi per i trattamenti di dati idonei a rivelare lo stato di salute trattati da organismi sanitari e esercenti le professioni sanitarie (in particolare la cifratura di detti dati è prevista all'art. 34 lett. h del codice e dal punto 24 dell'allegato B). Queste ultime disposizioni sono, quindi, specificamente dettate per soggetti appartenenti alla generale categoria degli “organismi sanitari o comunque esercenti le professioni sanitarie”. Occorre verificare nel caso concreto l'appartenenza della società X a tale categoria; infatti la stessa, pur essendo un soggetto privato, comunque produce e commercializza beni che sono collegati con elementi rivelatori dello stato di salute dell'interessato ed è opportuno che si attenga scrupolosamente alle disposizioni previste per gli organismi sanitari in genere. Con riferimento alla notificazione al Garante, il trattamento di dati sanitari per le finalità perseguite dalla società X non sembrerebbe rientrare tra i casi - di cui all'art. 37 - per i quali è da ritenersi doverosa la previa notificazione al Garante. In particolare, l'art. 37 lett. b) prevede l'obbligo di notificazione soltanto in caso di trattamento di dati sanitari al fine di “…prestazione di servizi sanitari per via telematica relativi a banche di dati o alla fornitura di beni…”: nel caso di specie e dai pochi dati in nostro possesso, non sembra potersi dire che l'attività della società X sia riconducibile nell'ambito di operatività di tale previsione. Naturalmente, per procedere al trattamento in parola la società X dovrà rispettare anche la norma di cui all'art. 26 Codice secondo cui “i dati sensibili possono essere oggetto di trattamento solo con il consenso scritto dell'interessato e previa autorizzazione del Garante, nell'osservanza dei presupposti e dei limiti stabiliti dal presente codice, nonché dalla legge e dai regolamenti”. Camera diommercio C Industr ia Ar tigiana toAgricoltur a di Pado va 107 CODICE DELLA PRIVACY 39. NOTIFICA PER AZIENDA PRODUTTRICE DI DISPOSITIVI MEDICI SU MISURA L'azienda X, produce dispositivi medici su misura, per realizzare i quali necessita dei dati relativi all'esame audiometrico dell'interessato. I dati sono inviati da clienti, deve effettuare la notifica al garante, chiedere il consenso e deve richiedere particolari autorizzazioni? RISPOSTA Avv. Andrea Lisi Per quanto riguarda la notificazione si veda la riposta fornita al quesito precedente. L'azienda in questione non ha alcuna necessità a richiedere l'autorizzazione del Garante, dal momento che opera l'autorizzazione generale n. 2/2002 al “trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale” (Pubblicata nella GU n. 83 del 9/4/2002 - Suppl. Ordinario n. 70 - con differimento dell'efficacia al 30 giugno 2004: G.U. n. 191 del 19 Agosto 2003) che all'art. 1.2. espressamente recita “L'autorizzazione è rilasciata, altresì, ai seguenti soggetti: …lett. e) alle persone fisiche e giuridiche, alle imprese, agli enti, alle associazioni e ad altri organismi, limitatamente ai dati, ove necessario attinenti anche alla vita sessuale, e alle operazioni indispensabili per adempiere agli obblighi anche precontrattuali derivanti da un rapporto di fornitura all'interessato di beni, di prestazioni o di servizi. Se il rapporto intercorre con istituti di credito, imprese assicurative o riguarda valori mobiliari, devono considerarsi indispensabili i soli dati ed operazioni necessari per fornire specifici prodotti o servizi richiesti dall'interessato. Il rapporto può riguardare anche la fornitura di strumenti di ausilio per la vista, per l'udito o per la deambulazione”. A tale conclusione si può peraltro giungere secondo la più accreditata dottrina, ritenendo che “in linea generale, l'autorizzazione non è necessaria, se le finalità del trattamento dei dati sensibili sono relative all'adempimento di un contratto o di una prestazione che sia stata espressamente richiesta dall'interessato” (così Il Codice sulla protezione dei dati personali, a cura di G.P. Cirillo, Giuffrè 2004, 326). Infine, il consenso dell'interessato dovrà essere richiesto e manifestato in forma scritta, previa completa informativa, alla luce della particolare natura dei dati fatti oggetto di trattamento. Camera di Commercio Industria Artigianato Agricoltura di Padova 108 CODICE DELLA PRIVACY (*) Oggi sono in vigore le nuove 7 autorizzazioni generali (nn. 1/2004, 2/2004, 3/2004, 4/2004, 5/2004, 6/2004 e 7/2004 rilasciate il 30 giugno 2004) la cui efficacia è stata differita dal Garante sino al 31 dicembre 2005. Non si rilevano variazioni rilevanti per il caso in esame. Si segnala che da ultimo il Garante ha rilasciato le nuove autorizzazioni al trattamento dei dati sensibili e giudiziari che saranno efficaci dal 1° gennaio 2006 sino al 30 giugno 2007. 40. INTERPRETAZIONE DEL TRATTAMENTO ELETTRONICO DEI "DATI SENSIBILI E GIUDIZIARI" E' così facile capire quando si compie un trattamento elettronico di soli dati comuni e non anche di dati sensibili e giudiziari? RISPOSTA Avv. Andrea Lisi La definizione di "dato sensibile" si trova nell'articolo 4 del D.Lgs.196/2003 1° comma lettera d). I dati sensibili sono, infatti, quei dati che sono idonei a rivelare: - origine: razziale, etnica; - convinzioni religiose, filosofiche o di altro genere - opinioni politiche, l'adesione a partiti, sindacati, associazioni o organizzazioni a carattere religioso, filosofico, politico o sindacale - stati di salute e vita sessuale: patologie attuali e pregresse, terapie in corso, anamnesi familiare, ecc. Pertanto, la definizione di dati sensibili fornita dalla legge è così vasta che possono rientrarvi molti dati personali che trattiamo quotidianamente (anche, in alcuni casi, le stesse e-mail, qualora contengano direttamente o indirettamente dei "requisiti di appartenenza" a particolari categorie: es. e-mail [email protected])" (anche per tale motivo si suggerisce di adottare nella propria organizzazione un nucleo minimo di misure di sicurezza, idoneo a soddisfare i requisiti dell'Allegato B / Disciplinare tecnico pensati per trattamenti elettronici di dati sensibili). I dati comuni, al contrario, sono tutti gli altri, ma è bene precisare che con l'emanazione del Codice Privacy, è stata confermata la nuova categoria di dati “diversi da quelli sensibili e giudiziari il cui trattamento presenta rischi Camera di Commercio Industria Artigianato Agricoltura di Padova 109 CODICE DELLA PRIVACY specifici per i diritti, le libertà fondamentali e per la dignità dell'interessato”. L'art. 17 del Testo Unico riprende la definizione prevista dall'art. 24-bis della L.675/96, stabilendo che il trattamento di tali dati è ammesso solo con l'osservanza di misure e accorgimenti che dovranno essere stabiliti dal Garante (si ricorda che ai sensi della passata disciplina il Garante avrebbe dovuto individuare le modalità di trattamento entro febbraio 2003). Comunque, per avere ad esempio una panoramica dei dati personali sensibili che possono trovarsi in azienda e, conseguentemente, per gestirli in maniera corretta, è utile esaminare l'autorizzazione al trattamento dei dati sensibili nei rapporti di lavoro, attualmente emanata dal Garante il 30 giugno 2004 (in vigore sino al 31 dicembre 2005). Dall'autorizzazione, infatti, si rileva che il titolare del trattamento-datore di lavoro potrà avere in azienda dati personali sensibili per : - adempiere direttamente o indirettamente specifici obblighi o per eseguire specifici compiti previsti dalla normativa comunitaria, da leggi, da regolamenti o da contratti collettivi anche aziendali, in particolare ai fini del rispetto della normativa in materia di igiene e sicurezza del lavoro, nonché in materia fiscale, di tutela della salute, dell'ordine e della sicurezza pubblica; - ai fini della tenuta della contabilità o della corresponsione di stipendi, assegni,premi,altri emolumenti,liberalità o benefici accessori; - per il perseguimento delle finalità di salvaguardia della vita o dell'incolumità fisica dell'interessato o di un terzo; - per far valere o difendere un diritto anche da parte di un terzo in sede giudiziaria, o in sede amministrativa o nelle procedure di arbitrato e di conciliazione nei casi previsti dalle leggi, dalla normativa comunitaria, dai regolamenti o dai contratti collettivi, semprechè, qualora i dati siano idonei a rivelare lo stato di salute e la vita sessuale, il diritto da far valere o difendere sia di rango pari a quello dell'interessato; - per l'esercizio del diritto di accesso ai documenti amministrativi, nel rispetto di quanto stabilito dalle leggi e dai regolamenti in materia; - per adempiere agli obblighi derivanti da contratti di assicurazione finalizzati alla copertura dei rischi connessi alla responsabilità del datore di lavoro in materia di igiene e di sicurezza del Camera di Commercio Industria Artigianato Agricoltura di Padova 110 CODICE DELLA PRIVACY lavoro e malattie professionali o per danni cagionati a terzi nell'esercizio dell'attività lavorativa o professionale; - per garantire le pari opportunità. - In azienda, in particolare, il trattamento può avere ad oggetto i dati strettamente pertinenti agli obblighi, ai compiti o alle finalità sopra indicate, quali: - dati idonei a rivelare le convinzioni religiose, filosofiche o di altro genere, ovvero l'adesione ad associazioni od organizzazioni a carattere religioso o filosofico, dati concernenti la fruizione dei permessi e festività religiose o di servizi di mensa, nonché la manifestazione, nei casi previsti dalla legge, dell'obiezione di coscienza; - dati idonei a rivelare le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere politico o sindacale, dati concernenti l'esercizio di funzioni pubbliche e di incarichi politici, ovvero l'organizzazione di pubbliche iniziative, nonché dati inerenti alle attività o agli incarichi sindacali, ovvero alle trattenute per il versamento delle quote di servizio sindacale o delle quote di iscrizione ad associazioni od organizzazioni politiche o sindacali; - dati idonei a rivelare lo stato di salute, dati raccolti in riferimento a malattie anche professionali, invalidità, infermità, gravidanza, puerperio o allattamento, ed infortuni, ad esposizioni a fattori di rischio, all'idoneità psicofisica a svolgere determinate mansioni o all'appartenenza a categorie protette. In azienda si deve prestare particolare attenzione agli uffici nei quali è possibile e verosimile che si trovino tali dati in formato cartaceo: si pensi all'ufficio personale, dove sono conservate le buste paga dei dipendenti, compresa tutta la documentazione necessaria alla loro elaborazione, dove si conservano copie dei certificati di malattia e così via. Nella busta paga del dipendente e comunque nella sua cartellina personale, l'azienda potrebbe conservare le indicazioni relative all'appartenenza del soggetto ad un sindacato e ciò al fine di poter effettuare il versamento della quota di iscrizione direttamente dalla busta paga, quando espressamente richiesto dal dipendente stesso. L'azienda potrebbe, inoltre, conservare la documentazione relativa all'appartenenza del dipendente ad una religione particolare, per ragioni legate al contratto di lavoro, dove è Camera di Commercio Industria Artigianato Agricoltura di Padova 111 CODICE DELLA PRIVACY previsto che il soggetto non lavori in un certo giorno della settimana, oppure in un periodo dell'anno, proprio per motivi religiosi. Anche la mensa potrebbe gestire informazioni qualificabili come "dati sensibili" dalla norma: si pensi ai lavoratori che richiedono di non mangiare determinati alimenti, poiché la propria religione o motivi di salute lo vietano. Tutte queste informazioni rappresentano dati sensibili e devono essere gestite con estrema cautela e con autorizzazioni specifiche. Si sottolinea che il nuovo Codice Privacy ha escluso la necessità del consenso per il trattamento dei dati sensibili dei dipendenti quando è necessario per adempiere a specifici obblighi o compiti previsti dalla legge, regolamento o dalla normativa comunitaria per la gestione del rapporto di lavoro (art. 26, comma 4, lett. d). Di più facile lettura invece è la definizione dei dati giudiziari, i quali coincidono con “i dati personali idonei a rivelare provvedimenti di cui all'articolo 3, comma 1, lettere da a) a o) e da r) a u), del d.P.R. 14 novembre 2002, n. 313, in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualità di imputato o di indagato ai sensi degli articoli 60 e 61 del codice di procedura penale” (art. 4 1° comma lett. e). 41. AZIENDA DI SOFTWARE E TITOLARITA' DEL TRATTAMENTO DEI DATI L'Azienda di Software X, gestisce per conto di un Curatore fallimentare la pubblicazione su un determinato sito web di dati relativi ad alcune procedure fallimentari in corso. Detti dati vengono forniti dal Curatore alla menzionata azienda, la quale, a sua volta, provvede esclusivamente ad inserirli sul sito del medesimo Curatore (il detto sito, infatti, è ospitato presso i server dell'Azienda di Software X). L'Azienda di Software X deve, o meno, considerarsi titolare del trattamento dei dati inseriti sul web? RISPOSTA Avv. Andrea Lisi Deve premettersi che ai sensi dell'art. 4, I comma, lett. f) del decreto legislativo n. 196/03 (di seguito codice) per “titolare” si intende “la persona Camera di Commercio Industria Artigianato Agricoltura di Padova 112 CODICE DELLA PRIVACY fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza”. Di un determinato trattamento di dati personali, quindi, possono esserci anche più titolari. Nel caso di specie è titolare certamente il Curatore Fallimentare cui competono ampi poteri in ordine alle finalità e alle modalità del trattamento dei dati ed ancora agli strumenti utilizzati, ivi compreso il profilo della sicurezza. Ed in effetti, sul punto, è sufficiente a fugare ogni dubbio la circostanza secondo cui spetta al Curatore decidere quali dati inserire sul sito web ed ancora se ricorrere alla pubblicità on-line, ovvero a quella cartacea. Venendo più da vicino al ruolo svolto dall'Azienda di Software X, la stessa sembra difettare di poteri decisori limitandosi, detta società, ad un'attività meramente materiale e ripetitiva di inserimento tout court di dati su un sito web in ciò espressamente autorizzata dal Curatore e nei limiti posti dallo stesso. Sembra quindi doversi concludere nel senso di ritenere che l'Azienda di Software X non assuma la veste di titolare o contitolare, né può ritenersi che detta società sia “incaricata” del trattamento, giacché tale figura può essere coperta solo da “persone fisiche” che sono espressamente e per iscritto “autorizzate a compiere operazioni di trattamento dal titolare o dal responsabile” (art. 4, I comma, lett. h). In conclusione, l'Azienda di Software X , potrebbe essere considerata quale “responsabile in outsourcing” essendo tale “la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali”. Non comporta alcun genere di problema, in proposito, il fatto che la società in parola sia soggetto terzo rispetto al Curatore fallimentare dal momento che - come lo stesso Garante della privacy ha avuto modo di sostenere - anche un soggetto non dipendente dal titolare può essere nominato responsabile (ricorrerebbe pertanto la figura del responsabile esterno, il quale sulla base di un contratto di outsourcing svolga operazioni di trattamento). Camera di Commercio Industria Artigianato Agricoltura di Padova 113 CODICE DELLA PRIVACY L'Azienda di Software X, quindi, potrebbe assumere la qualità di responsabile (tale nomina comunque deve risultare da atto scritto, accettato dall'Azienda X con il quale il Curatore specifica analiticamente i compiti assegnati - art. 29 codice) e in ogni caso dovrà procedere al trattamento attenendosi alle direttive impartite dal titolare (cioè dal Curatore), il quale avrà sulla stessa società un obbligo di vigilanza. La responsabilità di ogni scelta relativa al trattamento ricadrà in ogni caso sul titolare principale di detto trattamento (che è il curatore fallimentare) e su di lui ricadranno tutti i compiti specifici e relativi a detto trattamento (quali politiche di sicurezza, nomina di responsabili o incaricati, eventuali obblighi di informativa etc.). Dovrà essere quest'ultimo pertanto a preoccuparsi di provvedere con eventuali nomine, specificando bene tutti i rapporti intercorrenti con l'Azienda di Software X, ivi comprese le misure minime di sicurezza che in qualità di titolare vuole siano adottate. 42. DATI GIUDIZIARI PER UN'AZIENDA DI SOFTWARE L'Azienda di Software X, gestisce per conto di un Curatore fallimentare la pubblicazione su un determinato sito web di dati relativi ad alcune procedure fallimentari in corso. Detti dati vengono forniti dal Curatore alla menzionata azienda, la quale, a sua volta, provvede esclusivamente ad inserirli sul sito del medesimo Curatore (il detto sito, infatti, è ospitato presso i server dell'Azienda di Software X). Cosa è obbligata a fare nel fornire il servizio in “parola”? I dati oggetto di trattamento devono considerarsi giudiziari? RISPOSTA Avv. Andrea Lisi Da rispettare sono gli obblighi generali di adottare adeguate e minime misure di sicurezza. L'Azienda X ha stipulato un contratto di hosting e dovrà pertanto garantire al titolare del trattamento-Curatore fallimentare che i propri server siano dotati di misure di sicurezza al fine di evitare che soggetti non autorizzati possano inserire, modificare, cancellare i dati, o se necessario, di limitare la visualizzazione dei dati da parte di soggetti non autorizzati. Nella eventualità che essa possa rivestire la qualifica formale di responsabile, Camera di Commercio Industria Artigianato Agricoltura di Padova 114 CODICE DELLA PRIVACY l'Azienda di Software X assumerebbe su di sé anche i rischi connessi alla gestione dei dati personali ed in particolare risponderebbe nell'ipotesi di mancato rispetto delle istruzioni impartite dal Curatore. I dati di cui si discute attengono alla dichiarazione di fallimento, alle altre procedure concorsuali e ai conseguenti provvedimenti adottati a carico dei soggetti passivi. Per quanto alcune volte al fallimento seguano anche provvedimenti di tipo penale, quali ad esempio la sentenza di condanna per i reati di bancarotta, dette informazioni (che sono dati giudiziari) non vengono pubblicate. In definitiva, hanno natura di “dati giudiziari” solo quei “dati personali idonei a rivelare provvedimenti di cui all'articolo 3, comma 1, lettere da a) a o) e da r) a u), del D.P.R. 14 novembre 2002, n. 313, in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualità di imputato o di indagato ai sensi degli articoli 60 e 61 del codice di procedura penale”. Viene esplicitamente escluso dalla definizione di dati giudiziari il punto q) relativo a “i provvedimenti giudiziari che dichiarano fallito l'imprenditore; quelli di omologazione del concordato fallimentare; quelli di chiusura del fallimento; quelli di riabilitazione del fallito” Per completezza si indicano i casi contemplati nelle lettere da a) ad o) e da r) ad u) del DPR cit. a) i provvedimenti giudiziari penali di condanna definitivi, anche pronunciati da autorita' giudiziarie straniere se riconosciuti ai sensi degli articoli 730 e seguenti del codice di procedura penale, salvo quelli concernenti contravvenzioni per le quali la legge ammette la definizione in via amministrativa, o l'oblazione limitatamente alle ipotesi di cui all'articolo 162 del codice penale, sempre che per quelli esclusi non sia stata concessa la sospensione condizionale della pena; b) i provvedimenti giudiziari definitivi concernenti le pene, compresa la sospensione condizionale e la non menzione, le misure di sicurezza personali e patrimoniali, gli effetti penali della condanna, l'amnistia, l'indulto, la grazia, la dichiarazione di abitualita', di professionalita' nel reato, di tendenza a delinquere; c) i provvedimenti giudiziari concernenti le pene accessorie; Camera di Commercio Industria Artigianato Agricoltura di Padova 115 CODICE DELLA PRIVACY d) i provvedimenti giudiziari concernenti le misure alternative alla detenzione; e) i provvedimenti giudiziari concernenti la liberazione condizionale; f) i provvedimenti giudiziari definitivi che hanno prosciolto l'imputato o dichiarato non luogo a procedere per difetto di imputabilita', o disposto una misura di sicurezza; g) i provvedimenti giudiziari definitivi di condanna alle sanzioni sostitutive e i provvedimenti di conversione di cui all'articolo 66, terzo comma, e all'articolo 108, terzo comma, della legge 24 novembre 1981, n. 689; h) i provvedimenti giudiziari del pubblico ministero previsti dagli articoli 656, comma 5, 657 e 663 del codice di procedura penale; i) i provvedimenti giudiziari di conversione delle pene pecuniarie; j) i provvedimenti giudiziari definitivi concernenti le misure di prevenzione della sorveglianza speciale semplice o con divieto o obbligo di soggiorno; k) i provvedimenti giudiziari concernenti la riabilitazione; l) i provvedimenti giudiziari di riabilitazione, di cui all'articolo 15 della legge 3 agosto 1988, n. 327; m) i provvedimenti giudiziari di riabilitazione speciale relativi ai minori, di cui all'articolo 24 del regio decreto-legge 20 luglio 1934, 1404, convertito, con modificazioni, dalla legge 27 maggio 1935, n. 835, e successive modificazioni; n) (…) o) r) i provvedimenti giudiziari relativi all'espulsione a titolo di sanzione sostitutiva o alternativa alla detenzione, ai sensi dell'articolo 16 del decreto legislativo 25 luglio 1998, n. 286, come sostituito dall'art. 15 della legge 30 luglio 2002, n. 189; p) s) i provvedimenti amministrativi di espulsione e i provvedimenti giudiziari che decidono il ricorso avverso i primi, ai sensi dell'articolo 13 del decreto legislativo 25 luglio 1998, n. 286, come modificato dall'art. 12 della legge 30 luglio 2002, n. 189; q) t) i provvedimenti di correzione, a norma di legge, dei provvedimenti gia' iscritti; Camera di Commercio Industria Artigianato Agricoltura di Padova 116 CODICE DELLA PRIVACY r) s) u) qualsiasi altro provvedimento che concerne a norma di legge i provvedimenti gia' iscritti, come individuato con decreto del Presidente della Repubblica, ai sensi dell'articolo 17, comma 1, della legge 23 agosto 1988, n. 400, su proposta del Ministro della giustizia.(art. 686 c.p.p; art. 194 att. c.p.p; artt. 4 e 14, r.d. n. 778/1931; art. 24, parte del sesto comma, r.d.l. 1404/1934, convertito, con modificazioni, l. n. 835/1935; art. 58-bis, l. n. 354/1975; art. 73, l. n. 689/1981) Nel caso di specie normalmente non si dovrebbero effettuare pubblicazioni contenenti dati di tal fatta e, quindi, il relativo trattamento non sembrerebbe riferibile a dati giudiziari; per essere del tutto certi occorrerebbe, naturalmente, verificare il singolo caso concreto. 43. SOCIETÀ DI SOFTWARE E OBBLIGHI PRIVACY Siamo una SNC che opera nel settore dell'informatica da alcuni anni (2001), la nostra principale attività è di consulenza e programmazione, ma non manca la vendita ed installazione di prodotti HW e SW. Siamo iscritti alla CCIA di PD con N°******, reg. ********. Dall'entrata in vigore del DL 196/03 sulla Privacy, ci siamo chiesti a quali dei 186 art. dovevamo più fare attenzione. Avendo ricevuto da più parti informazioni imprecise se non contraddittorie ci siamo letti tutta la legge e gli allegati del Garante. Andiamo al dunque: 1) 1)La nostra società tratta dati personali, e non sensibili, come la maggior parte delle ditte commerciali per lo svolgimento degli obblighi fiscali (ddt e fatture) e svolge azione commerciale (invio offerte/preventivi a nominativi reperiti sui pubblici elenchi): quali sono gli obblighi per la nostra struttura? Tutti quelli definiti nell'allegato B per i dati personali? Riteniamo di avere le conoscenze per gli adempimenti, ma forse abbiamo bisogno di una certificazione/abilitazione per dichiarare a norma la predisposizione informatica? 2) 2)Quando installiamo prodotti HW o SW presso clienti, al fine di adeguare al DL 196/03 la situazione informatica, abbiamo obbligo di rilasciare attestato conformità? E abbiamo gli eventuali requisiti di legge per rilasciarlo? Camera di Commercio Industria Artigianato Agricoltura di Padova 117 CODICE DELLA PRIVACY E nel caso venga rilasciato quali sono le responsabilità da parte nostra in caso di controlli e sanzioni? 3) 3)Alla ditta del cliente prevediamo di fornire un piccolo corso di formazione per il personale incaricato del trattamento, abbiamo i requisiti? Anche per rilascio di un attestato? RISPOSTA Avv. Andrea Lisi 1) In relazione agli obblighi fiscali, (in quanto obbligo di legge), ed alle attività commerciali, (in quanto dati provenienti da pubblici registri o elenchi conoscibili da chiunque, o comunque frutto di negoziazione), la regola del consenso dell'interessato per il trattamento dei dati personali non è necessaria (art. 24, lett. a,b,c e d D.Lgs. 196/2003 - cd. Codice Privacy). Tuttavia, ai fini del legittimo trattamento dei dati va sempre fornita una adeguata informativa ai sensi dell'art. 13 del Codice Privacy. In caso di comunicazioni commerciali relative ai propri prodotti/servizi verso clienti/partners con i quali si è già avviata una trattativa o comunque è in essere un rapporto contrattuale, deve essere sempre garantita all'interessato la possibilità (anche attraverso forme semplificate) di manifestare la sua volontà di opporsi per il futuro a questo tipo di trattamento. Inoltre, la società dovrà ovviamente incaricare per iscritto tutti coloro che tratteranno dati personali all'interno o all'esterno della società (art. 30 del Codice). La nomina di uno o più responsabili rimane facoltativa (art. 29 del Codice). Per quanto riguarda l'Allegato B (Disciplinare tecnico in materia di misure minime di sicurezza), esso riguarda le misure di sicurezza che tendono ad assicurare un livello minimo di protezione ai dati personali in caso di trattamento elettronico (punti 1-36) e cartaceo di dati (punti 27-29). La società in questione dovrà, quindi, adeguarsi a tutte le disposizioni normative previste dagli artt. 31 e segg. del D.lgs. 196/03 ed all'Allegato B, e in particolare dovrà adempiere a tutti i punti 1-18 previsti dall'allegato B per qualsiasi trattamento elettronico di dati. Per quanto riguarda l'obbligo di redazione del DPS (punto 19 dell'allegato B) Camera di Commercio Industria Artigianato Agricoltura di Padova 118 CODICE DELLA PRIVACY esso concerne solo coloro che trattano dati sensibili o giudiziari con strumenti elettronici secondo l'interpretazione più elastica fornita recentemente dal Garante, ma (come ripetuto tante volte) parte della dottrina adotta un'interpretazione rigida e letterale (dell'art. 34 del Codice), secondo la quale il DPS è obbligatorio per tutti coloro che trattano elettronicamente dati personali. In ogni caso, si sottolinea che la redazione di un DPS costituisce certamente un utile strumento di lavoro per l'implementazione di una corretta politica di privacy soprattutto in aziende molto strutturate. 2) Sicuramente il rilascio dell'attestato di conformità rientra tra le previsioni di cui alla normativa in materia di trattamento dati personali. Ciò in base a quanto previsto dall'art. 25 dell'Allegato B che stabilisce che: “il titolare che adotta misure minime di sicurezza avvalendosi di soggetti esterni alla propria struttura, per provvedere all'esecuzione riceve dall'installatore una descrizione scritta dell'intervento effettuato che ne attesta la conformità alle disposizioni del presente disciplinare tecnico”. Sarà opportuno pertanto prevedere con il cliente una definizione contrattuale dei rispettivi oneri e responsabilità in materia di privacy, all'interno del contratto di installazione e manutenzione software/hardware. Pertanto sarà il contratto a prevedere eventualmente una nomina a vostro carico di “responsabile in outsourcing” per il trattamento elettronico dei dati o per la manutenzione del software e hardware utilizzato per i trattamenti, configurando dettagliatamente le relative responsabilità conseguenti a quell'incarico. La necessità di effettuare corsi di formazione al personale incaricato del trattamento è prevista come un obbligo all'interno della normativa riguardante le istruzioni per la redazione del Documento Programmatico della Sicurezza. In particolare, il DPS deve contenere al suo interno “la previsione di interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare. La formazione è programmata già al momento dell'ingresso in servizio, nonché in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti Camera di Commercio Industria Artigianato Agricoltura di Padova 119 CODICE DELLA PRIVACY rispetto al trattamento di dati personali potendo impartire istruzioni scritte finalizzate al trattamento dei dati personali” (punto 19.6 dell'allegato B). Quindi, per tutte le società che effettuino trattamenti elettronici (ma anche cartacei ai sensi del punto 27 dell'allegato B) di dati esiste un obbligo formativo per gli incaricati al trattamento dei dati. Non sono previste particolari certificazioni in capo a coloro che dovranno gestire la formazione all'interno della società (la formazione può essere effettuata anche da responsabili interni che abbiano maturato specifiche competenze in materia). Né è strettamente necessario per la società dotarsi di particolari attestati relativi alla formazione acquisita. L'importante è pertanto che la formazione sia effettuata da chi abbia specifica competenza in materia e che tale formazione sia attestata nel DPS (anche con una semplice fattura emessa dalla società esterna che abbia effettuato la formazione). 44. RESPONSABILITA' NELLA CREAZIONE DI SOFTWARE GESTIONALI L'Azienda di Software X, gestisce per conto di un Curatore fallimentare la pubblicazione su un determinato sito web di dati relativi ad alcune procedure fallimentari in corso. Detti dati vengono forniti dal Curatore alla menzionata azienda, la quale, a sua volta, provvede esclusivamente ad inserirli sul sito del medesimo Curatore (il detto sito, infatti, è ospitato presso i server dell'Azienda di Software X). A quali responsabilità può andare incontro, tale azienda, per aver realizzato un software per un laboratorio di analisi, che rende disponibili dati sul web, attingendoli dal gestionale del laboratorio stesso. RISPOSTA Avv. Andrea Lisi L'attività materiale di creazione di un software che verrà successivamente utilizzato dalla società committente per il trattamento di dati personali non comporta automaticamente per il realizzatore del software alcun obbligo specifico di doversi attenere alle regole di cui al codice della privacy. Camera di Commercio Industria Artigianato Agricoltura di Padova 120 CODICE DELLA PRIVACY Un eventuale obbligo relativamente alla normativa in materia di protezione dei dati personali potrebbe trovare la sua fonte solo nel contratto che ha disciplinato il rapporto tra l'Azienda di Software X e la società committente. In ogni caso, assume maggiore rilevanza il modo attraverso il quale detto software venga successivamente utilizzato per operazioni di trattamento di dati personali, ma questo tema sembra esulare dalle competenze dell'Azienda di Software X. 45. DPS E AZIENDA DI SOFTWARE L'Azienda di Software X, gestisce per conto di un Curatore fallimentare la pubblicazione su un determinato sito web di dati relativi ad alcune procedure fallimentari in corso. Deve tale azienda redigere un DPS? RISPOSTA Avv. Andrea Lisi Premettiamo che le informazioni sui fallimenti non sono considerate dalla normativa un “dato giudiziario”, poiché dati giudiziari sono i “dati personali idonei a rivelare provvedimenti di cui all'articolo 3, comma 1, lettere da a) a o) e da r) a u), del D.P.R. 14 novembre 2002, n. 313. In pratica l'articolo 4, comma 3 del D. Lgs 196/2003 esclude dalla definizione di dato giudiziario “i provvedimenti giudiziari che dichiarano fallito l'imprenditore; quelli di omologazione del concordato fallimentare; quelli di chiusura del fallimento; quelli di riabilitazione del fallito”. Ai sensi dell'allegato B del D.Lgs, 196/2003 e del parere del Garante del 22 marzo 2004 solo i soggetti che procedano al trattamento elettronico di dati personali sensibili e giudiziari sono tenuti alla redazione del documento programmatico della sicurezza, ma la normativa viene interpretata in modi diversi poiché la lettera dell'art. 34 del codice parrebbe indicare che tutti i soggetti che trattano elettronicamente dei dati anche comuni sarebbero comunque obbligati alla redazione di un DPS (*) È chiaro che se tale soggetto è un semplice incaricato al trattamento, sarà il titolare del trattamento (o il responsabile) a dover procedere alla Camera di Commercio Industria Artigianato Agricoltura di Padova 121 CODICE DELLA PRIVACY redazione del DPS. Nel caso che ci occupa l'azienda X, a seconda del tipo di contratto stipulato con il Curatore, potrà rivestire la figura giuridica di responsabile esterno del trattamento dei dati o di contitolare autonomo. In entrambi i casi, dovrebbe essere tenuta alla redazione del DPS (salvo specifiche deroghe contrattuali previste dal titolare nel contratto per la figura del responsabile). Nel caso di specie, quindi, l'Azienda di Software X sarà molto probabilmente obbligata alla redazione del DPS. Si ripete ancora una volta che, a nostro avviso, la lettera della legge appare chiara nel determinare un obbligo generale per questo specifico adempimento (*) e soprattutto, in ragione delle sanzioni penali (art. 169) e civili (art. 15) previste in caso di violazione, appare opportuno redigere sempre questo documento (anche perché è ben noto quanto sia difficile valutare con certezza se all'interno di una struttura vengono trattati solo e soltanto dati comuni e nessun dato sensibile). (*) Nota del Responsabile dello sportello privacy e Coordinatore di Promopadova, dr.ssa Liana Benedetti. L'interpretazione maggioritaria è per l'obbligatorietà del DPS solo in caso di trattamento elettronico di dati sensibili e giudiziari. Rimane l'opportunità di redazione del DPS quando il sistema informatico aziendale sia di una certa dimensione per cui avere tutte le procedure di sicurezza messe per iscritto costituisce comunque un vantaggio anche per l'azienda anche dal punto di vista organizzativo, oltre che legale (prova di aver adottato tutte le misure volte ad evitare danni). Ed è altamente consigliabile la redazione di un DPS nel caso che il soggetto sia un'azienda di software. Si fa notare però che la giurisprudenza è ancora poca, che la lettera della legge sembra dare indicazioni diverse dall'allegato B, che il parere del garante del 22.3.2004 non è legalmente vincolante e che quindi permane ancora un dibattito sull'argomento obbligatorietà del DPS in caso di trattamento elettronico di dati comuni. Camera di Commercio Industria Artigianato Agricoltura di Padova 122 CODICE DELLA PRIVACY 46. OBBLIGATORIETÀ DELLA SALA SERVER Deve esserci necessariamente un'apposita sala server? O il server stesso può essere custodito all'interno di un ufficio ? è obbligatorio che ci sia un impianto antincendio e porte blindate? RISPOSTA Avv. Andrea Lisi Il nuovo Codice della privacy (D.Lgs. 196/2003) non prevede espressamente tantissimi adempimenti che possono essere necessari o indispensabili per la corretta tutela dei dati personali che trattiamo nella nostra impresa. Il Codice differenzia le misure di sicurezza da adottare in idonee e minime. Le misure di sicurezza idonee sono genericamente individuate dall'art. 31 del Codice che recita: "i dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta". La violazione delle misure idonee genera una responsabilità di tipo civile individuata nell'art. 15 del Codice (che rinvia all'art. 2050 del codice civile). Le misure di sicurezza minime invece sono quelle misure che assicurano un minimo di protezione dei dati personali e sono invece indicate in via tassativa dagli art. 34 e 35 del Codice (come specificati nell'allegato B - disciplinare tecnico relativo alle misure minime). La loro violazione comporta la sanzione penale prevista dall'art. 169 del Codice. In particolare, l'art. 34 afferma che il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell'allegato B), le seguenti misure minime: a) utilizzazione di un sistema di autenticazione informatica; b) adozione di procedure di gestione delle credenziali di autenticazione; c) utilizzazione di un sistema di autorizzazione; d) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici; Camera di Commercio Industria Artigianato Agricoltura di Padova 123 CODICE DELLA PRIVACY e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici; f) adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi; g) tenuta di un aggiornato documento programmatico sulla sicurezza; h) adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari. L'art. 35 (che riguarda i trattamenti senza l'ausilio di strumenti elettronici) invece prevede che il trattamento di dati personali effettuato senza l'ausilio di strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell'allegato B), le seguenti misure minime: a) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati o alle unità organizzative; b) previsione di procedure per un'idonea custodia di atti e documenti affidati agli incaricati per lo svolgimento dei relativi compiti; c) previsione di procedure per la conservazione di determinati atti in archivi ad accesso selezionato e disciplina delle modalità di accesso finalizzata all'identificazione degli incaricati. L'allegato tecnico cerca di concretizzare queste disposizioni con un'elencazione di procedure e strumenti da utilizzare all'interno della propria struttura aziendale. Tra le tante indicazioni relative alla redazione del DPS (Documento Programmatico sulla Sicurezza), inoltre, il legislatore prevede che debba essere fatta una analisi dei rischi relativa al tipo di dati trattati e all'ambito dei trattamenti effettuati in modo da poter attrezzare delle misure di sicurezza idonee alla propria situazione concreta. Non c'è in particolare una disposizione che dica espressamente dove debba essere posizionata la sala server e se debba essere utilizzata una apposita sala server in ogni azienda. Va fatta una valutazione caso per caso, verificando con attenzione i rischi, il tipo di dati trattati, e il tipo di trattamento effettuato. Non ci sono neppure valutazioni tecniche relative a predisposizione di allarmi, sistemi antincendio, porte blindate (anche se vi possono essere altre normative sulla Camera di Commercio Industria Artigianato Agricoltura di Padova 124 CODICE DELLA PRIVACY sicurezza aziendale che possono prevederlo), ma anche in questo caso sarà il titolare del trattamento o il responsabile (anche con l'aiuto di un esperto di privacy e sicurezza) a decidere - sulla base di una attenta valutazione dei rischi - quali misure minime e idonee adottare per una corretta tutela dei dati trattati all'interno della propria struttura aziendale. Certamente precauzioni di questo tipo possono essere più che opportune, ma non sempre indispensabili. 47. CUSTODIA DELLE COPIE DI BACK UP Le copie di back - up devono essere conservate in un armadietto ignifugo? Lo stesso , deve essere murato? RISPOSTA Avv. Andrea Lisi Le copie di back up vanno adeguatamente protette in ragione dei dati trattati e del tipo di trattamento effettuato. Valgono le considerazioni già fatte nel precedente quesito sulla necessaria predisposizione di misure di sicurezza che siano adeguate alla concreta realtà aziendale e ai reali pericoli che corrono i nostri trattamenti (valutazioni che vanno effettuate sulla base di una accurata analisi dei rischi). In caso di trattamento di dati sensibili, il disciplinare tecnico nei punti 21 e 22 specifica che devono essere impartite istruzioni organizzative e tecniche per la custodia e l'uso dei supporti rimovibili su cui sono memorizzati i dati al fine di evitare accessi non autorizzati e trattamenti non consentiti. I supporti rimovibili contenenti dati sensibili o giudiziari se non utilizzati sono distrutti o resi inutilizzabili, ovvero possono essere riutilizzati da altri incaricati, non autorizzati al trattamento degli stessi dati, se le informazioni precedentemente in essi contenute non sono intelligibili e tecnicamente in alcun modo ricostruibili. Altro il legislatore non specifica e il resto deve essere lasciato alle nostre valutazioni e a consapevoli scelte di opportunità. 48. MISURE DI SICUREZZA E PC NEL MAGAZZINO Ho un magazzino di vendita ricambi per auto, sia all'ingrosso che al dettaglio, Camera di Commercio Industria Artigianato Agricoltura di Padova 125 CODICE DELLA PRIVACY 7 magazzinieri. In magazzino ci sono tre PC collegati al server in rete. Tutti e sette i magazzinieri usano i tre pc, ma solamente per emettere bolle e fatture. Non possono comunque modificare, cancellare o immettere dati, possono solo consultarli per l'evasione degli ordini. In questo caso c'è bisogno di adottare misure di sicurezza comunque ? ( tipo password, ecc? ) RISPOSTA Avv. Andrea Lisi Sì. Come già specificato in precedenti risposte, l'art. 34 prevede la predisposizione di misure di sicurezza minime per qualsiasi trattamento elettronico di dati (anche comuni). La semplice lettura e evasione di ordini comporta comunque un trattamento elettronico di dati da parte di soggetti che devono essere stati specificamente incaricati per iscritto ad effettuare quel trattamento loro consentito. Si ricorda che per trattamento si intende qualsiasi attività inerente ad un dato personale e in particolare "qualunque operazione o complesso di operazioni, effettuati anche senza l'ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati". In verità, già soltanto il fatto di non consentire ai magazzinieri di "modificare, cancellare o immettere dati, ma solo consultarli" significa aver predisposto una misura di sicurezza idonea per quello specifico trattamento loro affidato. 49. SCREEN SAVER E PW C'è l'obbligo della password anche quando parte lo screen saver per tornare al lavoro successivamente? RISPOSTA Avv. Andrea Lisi In verità, il disciplinare tecnico al punto 9 dice semplicemente, in proposito, che devono essere "impartite istruzioni agli incaricati per non lasciare incustodito e accessibile lo strumento elettronico durante una sessione di trattamento." Certamente dal punto di vista tecnico - informatico la Camera di Commercio Industria Artigianato Agricoltura di Padova 126 CODICE DELLA PRIVACY predisposizione di pw allo screen sever può essere un'ottima misura per rendere concreto questo obbligo legislativo! Come al solito non c'è un preciso obbligo, ma tutto va valutato caso per caso. 50. DATI PERSONALI DEI DIPENDENTI I dati dei dipendenti ai soli fini del rapporto di lavoro , elaborazione paghe, ecc. avendo anche la data e il luogo di nascita vengono considerati sensibili o comuni? RISPOSTA Avv. Andrea Lisi I dati sensibili sono "i dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale". Normalmente il datore di lavoro tratta anche dati sensibili dei propri lavoratori inerenti a iscrizioni sindacali o a stato di malattia, ad esempio. In ogni caso ai sensi dell'art. 24 e 26 i dati trattati per finalità di lavoro, sia che siano comuni sia che siano sensibili, non comportano l'acquisizione del consenso da parte del datore di lavoro, che dovrà trattare quei dati per ottemperare a specifiche esigenze aziendali e normative. Unico adempimento necessario sarà sempre quello di fornire ai dipendenti (anche oralmente, ma è opportuno quanto meno rendere "pubblica" con affissione in bacheca) un'adeguata informativa ex art. 13 sul trattamento dei dati da parte del datore di lavoro. Inoltre, trattando normalmente dati sensibili il datore di lavoro dovrà prestare maggiore attenzione nella predisposizione delle misure di sicurezza previste nell'allegato B al Codice. Nello specifico la data di nascita e il luogo non vanno ad integrare la categoria dei dati sensibili posto che nemmeno il luogo di nascita può determinare con certezza l'origine razziale ed etnica (la circostanza di essere nati a Milano non certifica di essere di razza bianca). 51. DISTRUZIONE DEI DATI PERSONALI DEGLI EX DIPENDENTI Per quanto riguarda i dipendenti non più in forza all'Azienda, devo distruggere tutti i relativi documenti ? però nel libro matricola restano i Camera di Commercio Industria Artigianato Agricoltura di Padova 127 CODICE DELLA PRIVACY nominativi e il periodo di lavoro? devo di conseguenza mandare l'informativa anche agli ex dipendenti ? RISPOSTA Avv. Andrea Lisi L'art. 16 - unica norma che tratta la cessazione di un trattamento - precisa che in caso di cessazione, per qualsiasi causa, di un trattamento i dati sono: a) distrutti; b) ceduti ad altro titolare, purché destinati ad un trattamento in termini compatibili agli scopi per i quali i dati sono raccolti; c) conservati per fini esclusivamente personali e non destinati ad una comunicazione sistematica o alla diffusione; d) conservati o ceduti ad altro titolare, per scopi storici, statistici o scientifici, in conformità alla legge, ai regolamenti, alla normativa comunitaria e ai codici di deontologia e di buona condotta sottoscritti ai sensi dell'articolo 12. 2. La cessione dei dati in violazione di quanto previsto dal comma 1, l ettera b) o di altre disposizioni rilevanti in materia di trattamento dei dati personali è priva di effetti. Effettivamente, ci possono essere comunque numerose ragioni e anche obblighi legislativi che comportino da parte del datore di lavoro la necessità di continuare un seppur minimo trattamento dei dati dei dipendenti non più in servizio. In caso di adempimento ad un obbligo legislativo, il datore di lavoro potrà (anzi dovrà) operare il trattamento, avvertendo anche oralmente il lavoratore del trattamento che dovrà essere effettuato anche successivamente alla cessazione del rapporto lavorativo. Rimane opportuno, per il futuro, nell'informativa ex art. 13 fornita all'atto dell'assunzione ( e affissa in bacheca) avvertire il lavoratore che i dati verranno trattati anche successivamente alla cessazione del rapporto di lavoro (specificando anche per quanto tempo) ed eventualmente acquisendo il loro consenso per quei trattamenti successivi alla cessazione del rapporto che siano effettuati non in stretto rapporto con un preciso adempimento normativo, ma per opportunità o esigenza aziendale. Camera di Commercio Industria Artigianato Agricoltura di Padova 128 CODICE DELLA PRIVACY 52. CV E PRIVACY I curriculum vitae che arrivano per posta in azienda e quelli vecchi in archivio devono essere distrutti? o devo mandare l'informativa? RISPOSTA Avv. Andrea Lisi Secondo la maggior parte della dottrina possono essere trattati (e, quindi, conservati in azienda) solo quei CV che presentino un espresso consenso al trattamento da parte di chi li ha forniti per finalità di selezione lavorativa o formazione professionale. Sarebbe pertanto corretto distruggere i CV non appena cessano le ragioni del trattamento e sarebbe opportuno comunque fornire una adeguata informativa all'interessato sul tipo di trattamento effettuato e sulla titolarità e responsabilità del trattamento. Può essere utile inserire queste informazioni in materia di privacy sull'eventuale sito web aziendale al quale si può far riferimento nel fornire la sintetica informativa. L'importante è rendere sempre concreto il diritto di accesso ai propri dati a tutti gi interessati (ex art. 7) e predisporre le adeguate misure di sicurezza per il loro trattamento. 53. REGOLAMENTO INFORMATICO INTERNO Ho letto un articolo in cui si consiglia al datore di lavoro di redigere un regolamento informatico interno, al fine di sollevare l'azienda da responsabilità civili e penali, qualora i dipendenti utilizzino la strumentazione elettronica in modo illecito. Dato che il regolamento dovrebbe stabilire regole di utilizzo di posta elettronica e internet e relative modalità di controllo su tali strumenti, gradirei ricevere consiglio sulla corretta redazione del documento, per non ledere i diritti garantiti ai lavoratori in materia di privacy. Ai fini della validità del documento, inoltre, è sufficiente farlo sottoscrivere ai dipendenti? RISPOSTA Avv. Andrea Lisi Controllare le e-mail o comunque i file di log dei pc in uso dei dipendenti di una società può essere un'attività illecita, perché compiuta in violazione con il diritto di riservatezza e in contrasto con l'art. 4 dello Statuto dei Lavoratori (peraltro richiamato dallo stesso Codice privacy nell'art. 114 inerente al Camera di Commercio Industria Artigianato Agricoltura di Padova 129 CODICE DELLA PRIVACY controllo a distanza), il quale proibisce l'installazione e l'utilizzo di apparecchiature che abbiano come unica finalità il controllo a distanza dei lavoratori. Sembrerebbe in contrasto con questa chiave di lettura l'ordinanza emessa in data 10 maggio 2002 dal Tribunale di Milano, la quale ha ritenuto non punibile la lettura da parte del datore di lavoro di e-mail aziendali del dipendente (lettura che aveva determinato il licenziamento di una lavoratrice di una società milanese). Secondo il Tribunale, l'account aziendale di posta elettronica va equiparato ad un qualsiasi strumento di lavoro e, quindi, quale bene aziendale può essere soggetto al legittimo controllo da parte del datore di lavoro. D'altronde circa un mese prima la Corte di Cassazione (sentenza n. 4746 del 3 aprile 2002) aveva stabilito che tutti quei controlli che mirino a verificare illecite condotte dei lavoratori non violano l'articolo 4 dello Statuto dei lavoratori. In ogni caso, la normativa non è chiara ed è sempre consigliabile dotare la società di una precisa “policy aziendale” (e, cioè, un regolamento aziendale interno) in merito al controllo degli strumenti di lavoro. Un regolamento, perché sia valido, deve essere sottoscritto da ogni dipendente, e avere il consenso delle eventuali rappresentanze sindacali interne o dell'Ispettorato del lavoro. Non ultimo, sarebbe utile che questi regolamenti contenessero, in base agli adempimenti previsti dal D.Lgs. 196/2003, le istruzioni da fornire ai propri dipendenti circa la segretezza e riservatezza delle comunicazioni elettroniche, la loro custodia e conservazione, sia per i dati trattati sia per le modalità e precauzioni da adottare. Un regolamento, affinchè si possano applicare sanzioni disciplinari nei confronti dei dipendenti, deve essere affisso in luogo accessibile (art. 7 Statuto dei lavoratori) in quanto va ad integrare il contenuto del codice disciplinare (e deve avere il consenso delle eventuali rappresentanze sindacali interne o dell'Ispettorato del lavoro). Tuttavia si consiglia anche di far sottoscrivere dai dipendenti il regolamento informatico per garantire una loro maggiore consapevolezza circa il corretto comportamento nell'esecuzione della prestazione anche con riferimento all'utilizzo degli strumenti di lavoro (es. indicazioni sulla segretezza e riservatezza delle comunicazioni elettroniche, sulla loro custodia e conservazione, sia per i dati trattati sia per le modalità e precauzioni da adottare). Camera di Commercio Industria Artigianato Agricoltura di Padova 130 CODICE DELLA PRIVACY 54. TRATTENUTE, ASSEGNI FAMILIARI E DATI SENSIBILI Trattenute a favore del coniuge, assegni familiari rientrano nel novero dei dati sensibili? Uno Studio Commercialisti deve redigere il DPS, anche se non effettua buste paga? Grazie RISPOSTA Avv. Andrea Lisi Tendenzialmente i dati personali di natura contabile trattati da uno studio di un commercialista non dovrebbero rientrare nel novero di quei dati particolarmente "delicati" che il legislatore definisce "sensibili". Infatti, il legislatore all'art. 4 del Codice privacy (D. Lgs. 196/03) definisce sensibili quei dati idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale. In verità, la definizione fornita dal legislatore è molto generica e molte volte occorre effettuare una valutazione caso per caso per rispondere con certezza (e non sempre è possibile farlo) se la natura di un dato rientri nella fattispecie sopra riportata. Proprio per tali motivi si è soliti consigliare di adottare comunque in caso di trattamento elettronico di dati "tendenzialmente" comuni quelle misure di sicurezza minime che il disciplinare tecnico (l'allegato B al Codice) riserva ai trattamenti riguardanti dati sensibili, tra i quali anche la redazione entro il 31 marzo di ogni anno del DPS (data più volte prorogata e oggi fissata al 31 marzo 2006). In ogni caso, si ricorda che l'obbligo di aggiornamento continuerà a dover essere effettuato entro il 31 marzo di ogni anno, a partire dal 2006. In questo caso - anche considerando che il DPS può costituire una misura "idonea" per la protezione dei propri dati personali dal trattamento elettronico che si effettua (e considerati gli articoli 15 e 31 del Codice) - si consiglia l'adozione del DPS (documento che si può redigere anche sinteticamente sulla base della stessa Guida fornita dal Garante e acquisibile sul sito www.garanteprivacy.it) entro il marzo 2006). Camera di Commercio Industria Artigianato Agricoltura di Padova 131 CODICE DELLA PRIVACY 55. PRIVACY E FOTO DA INSERIRE SU SITO WEB Siamo un'agenzia di pubblicità e tra i ns. servizi forniamo ragazze immagine per eventi in discoteche. Abbiamo la necessità di raccogliere in un database i dati personali delle ragazze in questione e le loro fotografie, i quali devono poi essere pubblicati sul ns. sito internet e anche su altro materiale pubblicitario. Per avere un rapido riferimento visivo su quello che intendiamo fare potete visionare il seguente sito: http://www.**************.html cliccando sul link GIRLS o BOYS a sinistra. Vi chiediamo quali adempimenti dobbiamo svolgere. RISPOSTA Avv. Andrea Lisi La Società in questione dovrà prima di tutto informare adeguatamente gli interessati al trattamento dei dati personali (ragazze e ragazzi immagine). Una volta fornita l'adeguata informativa ex art. 13 del Codice della privacy (D.Lgs. 196/03) è opportuno che la società acquisisca un espresso consenso documentato per iscritto dai vari interessati. Ovviamente l'informativa e il consenso potranno essere inseriti all'interno del contratto di assunzione quale apposita clausola del contratto e i vari collaboratori/dipendenti all'atto dell'assunzione manifesteranno per iscritto il consenso a questa forma di trattamento in apposite banche dati elettroniche per scopi pubblicitari (con consenso alla pubblicazione on line; consenso necessario anche per normative diverse dalla legge sulla privacy). Naturalmente la società in questione dovrà anche adeguare tutti i suoi trattamenti cartacei e elettronici di dati alle misure di sicurezza minime previste dagli artt. 31 e segg. Non sono necessari ulteriori e specifici adempimenti. 56. NORMATIVA PRIVACY APPLICABILE PER IL SITO WEB Se in un sito vengono richiesti i dati dell'utente, quale è la normativa applicabile ai fini della Privacy? RISPOSTA Avv. Andrea Lisi Si applica il nuovo Codice della Privacy (D. Lgs. n. 196 del 30 giugno 2003). In base all'art. 11 i dati richiesti devono essere "raccolti e registrati per scopi determinati, espliciti e legittimi"; l'art. 13 prevede l'obbligo, da parte di colui che richiede i dati, di informare preventivamente oralmente o per iscritto l'utente circa le finalità e modalità di utilizzo dei dati trattati; questa normativa è applicabile Camera di Commercio Industria Artigianato Agricoltura di Padova 132 CODICE DELLA PRIVACY anche ai contratti on line. Il consenso espresso dell'utente, previsto dall'art. 23, sarà necessario qualora il fornitore di beni o servizi on line utilizzi i dati raccolti per finalità diverse da quelle previste dal contratto (ad esempio per finalità di direct marketing) o qualora i dati siano ad accesso libero. 57. PRIVACY E PERMANENZA SU UN SITO La raccolta di dati sul comportamento dell'utente, quale ad esempio il tempo di permanenza in un sito, richiede il consenso in base alla normativa sulla privacy? RISPOSTA Avv. Andrea Lisi E' fatto obbligo al titolare del sito web di assicurarsi che il trattamento dei dati raccolti avvenga secondo i termini di trasparenza e correttezza previsti dall'art. 11. E' altresì necessario richiedere il consenso espresso, in base all'art. 23 del Codice della Privacy, se i dati vengono raccolti, non per finalità strettamente tecniche, ma tali dati, attraverso l'utilizzo di cookies o di altri sofisticati software, vengono, ad esempio, catalogati in base alle caratteristiche personali dell'utente, inseriti in liste e successivamente utilizzati per l'invio di e-mail commerciali. In ogni caso, è sempre necessaria una adeguata informativa privacy sul sito web. 58. DATI FORNITI A GESTORE DI SITO WEB I dati personali forniti al gestore di un sito web possono essere cancellati o modificati in qualsiasi momento? RISPOSTA Avv. Andrea Lisi In base all'art. 7 (D.Lgs. 196/2003) l'interessato al trattamento dei propri dati, ha il diritto di ottenerne la cancellazione in qualsiasi momento quando i suoi dati sono trattati in violazione della legge; nonché ha diritto all'aggiornamento e alla rettificazione quando vi è interesse nell'integrazione degli stessi. L'interessato ha sempre diritto di opporsi a trattamenti effettuati per finalità di web marketing. Camera di Commercio Industria Artigianato Agricoltura di Padova 133 CODICE DELLA PRIVACY 59. PRIVACY E FORM ELETTRONICI Gli obblighi di legge sulla privacy valgono anche per i dati raccolti dalle imprese tramite form di contatto on line? RISPOSTA Avv. Andrea Lisi Le norme previste dal D. Lgs. 196/2003 valgono per tutti coloro che trattano dati personali con qualsiasi mezzo; pertanto sarà necessario adempiere a tutti gli obblighi previsti per il trattamento dati (informativa, consenso se necessario, etc), adottare opportune misure di sicurezza e disporre i relativi strumenti affinché l'interessato possa in qualsiasi momento esercitare i diritti di cancellazione, integrazione, rettifica, modifica, etc. come disposto dall'art. 7 del presente decreto. 60. PRIVACY E COOKIES Come tutelo la privacy e la sicurezza mia e del visitatore del mio sito web? E i cookies vanno segnalati all'utente? RISPOSTA Avv. Andrea Lisi Ai siti web si applica la disciplina italiana e comunitaria sulla protezione dei dati personali. Tutti i siti web che operano un trattamento dei dati devono adeguarsi alla disciplina del Codice della privacy (D. Lgs. 196/03). Quindi, il titolare del sito dovrà fornire una adeguata informativa, rendere effettivo il diritto di accesso ai propri dati, notificare al Garante i propri trattamenti nei casi espressamente previsti dalla legge, adottare idonee e minime misure per rendere sicuro il trattamento. In caso di trattamenti “invisibili” di dati elettronici (come nel caso di utilizzo di cookies), l'utente dovrà essere adeguatamente informato della presenza degli stessi con un'idonea informativa. Avv. Andrea Lisi Studio Associato D&L V.M. Stampacchia, 21 73100 Lecce - Italy Tel. - Fax: +39/0832/25 60 65 - 244 802 [email protected] www.studiodl.it - www.scint.it Studio Avv. Marzio Vaglio-Padova Tel.: +39/ 049 875 50 58 Fax: +39/ 049 878 67 03 [email protected] www.vaglio.org Camera di Commercio Industria Artigianato Agricoltura di Padova 134 CODICE DELLA PRIVACY Parte terza 1 Fac Simile di Documento programmatico sulla Sicurezza redatto per le imprese A cura di Andrea Lisi 2 Guida operativa per redigere il Documento programmatico sulla sicurezza (DPS) A cura del Garante della Privacy (www.garanteprivacy.it) 3 Appendice Normativa Testo del D.Lgs. 196/2003 Allegato B al D.Lgs. 196/2003 Camera di Commercio Industria Artigianato Agricoltura di Padova 135 CODICE DELLA PRIVACY Fac Simile di Documento Programmatico sulla Sicurezza redatto per le imprese Camera di Commercio Industria Artigianato Agricoltura di Padova 137 CODICE DELLA PRIVACY AVVERTENZE Segue un “modello” di documento programmatico sulla sicurezza elaborato per una società medio-piccola denominata X, che produce e commercializza beni mobili (che non tratta dati sensibili e che si occupa in proprio della contabilità e redazione buste paga, senza affidare all’esterno alcun trattamento di dati). Lo schema che segue ha un valore meramente indicativo e andrà adattato alla realtà della singola società che esegue il trattamento. Appare comunque utile precisare che difficilmente la società X non opererà alcun trattamento elettronico di dati sensibili (almeno per quanto riguarda gli obblighi previdenziali e contabili inerenti ai propri dipendenti): in tal caso la normativa non prescrive particolari e ulteriori adempimenti da eseguire nella redazione del documento programmatico per la sicurezza, se non quello di indicare specificamente questo particolare tipo di trattamento e le più stringenti misure di sicurezza adottate come individuate nell’allegato B del Testo Unico in materia di protezione dati personali (D.Lgs. 196/2003). Peraltro, il seguente documento programmatico per la sicurezza è stato predisposto in modo tale da osservare anche le misure minime di sicurezza previste per il trattamento di dati sensibili. Camera di Commercio Industria Artigianato Agricoltura di Padova 139 CODICE DELLA PRIVACY “X” s.r.l. Via Tel/Fax P.Iva N. isrizioe Registro Imprese e-mail DOCUMENTO PROGRAMMATICO SULLA SICUREZZA PER IL TRATTAMENTO DEI DATI PERSONALI EFFETTUATO CON STRUMENTI ELETTRONICI (ai sensi dell’art. 34 del D.Lgs. n. 196/2003 e del relativo Allegato B) Questo documento è parte integrante e sostanziale della deliberazione n. __del __/__/____ con cui il Consiglio di amministrazione della “X” s.r.l. ha deliberato di redigere il documento programmatico sulla sicurezza i conformità alle norme di cui al Decreto Legislativo n. 196/2003. *** PREMESSA Il presente documento è stato redatto in conformità a quanto previsto dalla normativa nazionale in vigore ed in particolare in conformità a quanto statuito dall’art. 34 e dall’Allegato B del Decreto Lgs. n.196/2003 “Codice in materia di protezione dei dati personali” ed è suddiviso come segue: o o o o o o l’elenco dei trattamenti dei dati personali (regola 19.1.); la distribuzione dei compiti e delle responsabilità (regola 19.2.); l’analisi dei rischi che incombono sui dati (regola 19.3.); le misure in essere e da adottare (regola 19.4.); i criteri e modalità di ripristino della disponibilità dei dati (regola 19.5.); la pianificazione degli interventi formativi previsti (regola 19.6.); 1 - Elenco dei trattamenti dei dati personali (regola 19.1.) La X s.r.l., nel/i proprio/i stabilimento/i di ______________________________ alla Via ________________________________________________________, non anche a quello di dati sensibili e/o giudiziari. Gestisce la propria contabilità interna, le paghe dei propri dipendenti e procede alle operazioni di trattamento, ex art. 4 D.Lgs. n. 196/2003, dei dati Camera di Commercio Industria Artigianato Agricoltura di Padova 141 CODICE DELLA PRIVACY comuni e non anche a quello di dati sensibili e/o giudiziari. Gestisce la propria contabilità interna, le paghe dei propri dipendenti e procede alle operazioni di trattamento, ex art. 4 D.Lgs. n. 196/2003, dei dati personali dei propri clienti e dei propri fornitori (si tratta in particolare di: ragioni sociali, nominativi, dati anagrafici, codici fiscali, numeri di P. IVA, numeri di telefono fisso/mobile e di fax, indirizzi e-mail, coordinate bancarie). Per la tenuta della contabilità è stata prevista e realizzata la formazione di appositi archivi, sia elettronici (cod. 1) sia cartacei (cod. 2), in cui trovano allocazione logica le anagrafiche dei clienti e dei fornitori. Detti archivi vengono utilizzati esclusivamente per rapporti di carattere commerciale e non vengono trattati da personale non autorizzato né ceduti o comunque comunicati e/o diffusi a terzi. Per quanto attiene la gestione dei rapporti di lavoro subordinato, la documentazione di rito - sia su supporto cartaceo (cod. 3) sia elettronico (cod. 4) - è affidata a personale specializzato che ne è anche responsabile. Tabella 1.1. Elenco dei trattamenti: informazioni base Identifiativo Descrizione sintetica del trattamento Descrizione degli strumenti utilizzati Natura dei dati trattati Struttura di riferimento Es. Ufficio amministrativo Fascicoli riposti in - commerciale schedari dotati di chiusura Cod. 1 Trattamento elettronico comuni Cod. 2 Trattamento cartaceo comuni Cod. 3 Trattamento cartaceo comuni Cod. 4 Trattamento elettronico comuni Es. Ufficio del personale ...... pc Aggiornamento Tabella 1.2.. Elenco dei trattamenti: descrizione analitica degli strumenti utilizzati Identifiativo Eventuale banca dati del trattamento Cod. 1 Banca dati clienti e fornitori Ubicazione fisica dei supporti di memorizzazione Tipologia di dispositivi di accesso comuni Es. 3 Pc con sistema operativo XXXX Tipologia di interconnessione Es. Rete locale Aggiornamento Camera di Commercio Industria Artigianato Agricoltura di Padova 142 CODICE DELLA PRIVACY 2 - Distribuzione dei compiti e delle responsabilità (regola 19.2.) All’interno della X s.r.l. sono preposti al trattamento dei dati personali i soli Ufficio Amministrativo - Commerciale e Ufficio del Personale. La composizione dell’Ufficio Amministrativo - Commerciale preposto alla contabilità e ai rapporti commerciali con fornitori e clienti è la seguente: · Dott. _____________________________ Capoufficio – Responsabile del trattamento; · Sig. _____________________________ Impiegato – Autorizzato ad accedere agli archivi cartacei ed elettronici al solo fine di eseguire operazioni di concetto sotto la direzione e la responsabilità del Capoufficio. La composizione dell’Ufficio del Personale preposto ai rapporti col personale dipendente è la seguente: · Dott._____________________________ Capoufficio – Responsabile del trattamento; . Sig. _____________________________ Impiegato – Autorizzato ad accedere agli archivi cartacei ed elettronici al solo fine di eseguire operazioni di concetto sotto la direzione e la responsabilità del Capoufficio La Società X, titolare del trattamento dei dati, ha designato, quale Responsabile del trattamento dei dati e preposto alla custodia delle parole chiave, ai sensi dell’art. 29 del D.Lgs. 196/2003, il Sig./Sig.ra ________________, in considerazione della esperienza, capacità ed affidabilità espressa dalla medesima, tale da offrire idonea garanzia dei pieno rispetto delle disposizioni in materia di trattamento. Il Titolare del trattamento ha altresì nominato, ai sensi dell’art. 30 del D.Lgs. 196/2003, i singoli Incaricati, autorizzandoli al trattamento dei dati in possesso dell’azienda, esclusivamente con riferimento all’espletamento delle funzioni lavorative ad essi rispettivamente assegnate. Tali incaricati sono stati formalmente edotti in merito alla circostanza che: a) il trattamento e la conservazione dei dati deve avvenire in modo lecito e proporzionato alle funzioni istituzionali, nel rispetto della riservatezza; b) la raccolta, registrazione ed elaborazione dei dati, mediante strumento elettronico o cartaceo, deve essere limitata alle finalità aziendali e strettamente necessarie; c) integra onere dell’incaricato la correzione od aggiornamento dei dati posseduti, nonchè l’esame della pertinenza rispetto alle funzioni; d) integra onere dell’incaricato il rispetto dei compiti specifici che gli sono stati assegnati, nonché il rispetto delle istruzioni e delle modalità operative contenute nell’atto di conferimento dell’incarico. Camera di Commercio Industria Artigianato Agricoltura di Padova 143 CODICE DELLA PRIVACY L’ambito dei trattamenti autorizzati ai singoli incaricati è suscettibile di aggiornamento periodico. A tutti gli incaricati destinati al trattamento di dati mediante strumento elettronico, sono state conferite credenziali di autenticazione (art. 34, comma 1, lett. b), mediante parola chiave, conformi alle caratteristiche indicate nell’Allegato B e con l’obbligo di modificarle al momento della consegna ed aggiornarle periodicamente. Ogni incaricato è custode e responsabile delle proprie password. In ogni caso si avrà cura di consegnare ogni 3 mesi, in busta chiusa al custode delle password, le proprie credenziali di autenticazione per l’accesso al proprio sistema informatico (ID e PW). Il custode sarà autorizzato ad aprire le buste consegnate solo in caso di urgente necessità, determinata dall’assenza prolungata dal lavoro dell’incaricato, avvertendo, però, l’incaricato assente, che dovrà modificare le ID e PW al suo rientro al lavoro. Le suddette credenziali sono disattivate automaticamente in caso di mancata utilizzazione per almeno 6 mesi. Concorrono al trattamento anche le seguenti strutture esterne all’azienda, incaricate, mediante apposito atto di nomina, del supporto, della manutenzione, riparazione degli strumenti elettronici: Ditta X. Gli addetti incaricati ai vari trattamenti degli Uffici (nel quale hanno accesso per il trattamento dei dati solo i singoli incaricati del personale amministrativo e docente) sono i seguenti: - Sig./Sig.ra TABELLA con descrizione dei compiti e delle responsabilità delle varie strutture preposte ai trattamenti Struttura Trattamenti effettuati dalla Descrizione dei compiti e delle struttura responsabilità della struttura Ufficio Trattamenti elettronici e cartacei Amministrativo strumentali allo svolgimento dei Commerciale compiti assegnati. Trattamento elettronico e Ufficio cartaceo di dati inerenti al del Personale personale dell'azienda. Analisi dei luoghi fisici ove si svolge il trattamento di dati personali Per l’esatta redazione del presente documento sono stati analizzati i luoghi ove fisicamente si svolge il trattamento dei dati personali, ove sono Camera di Commercio Industria Artigianato Agricoltura di Padova 144 CODICE DELLA PRIVACY conservati i dati stessi, e, infine, ove si trovano i sistemi di elaborazione. Si tratta dei seguenti luoghi fisici: Città: Indirizzo Sede: Descrizione Utilizzo Misure di sicurezza adottate Note Ufficio Amministrativo Commerciale Capo Ufficio: Dott. Dipendenti: Sigg.ri A tale ufficio si può accedere tramite una porta dotata di serratura. Vi sono i pc con cui si procede al trattamento dei dati personali relativi a : fornitori clienti Ufficio Del Personale Capufficio: Dott. Dipendenti: Sigg.ri A tale ufficio si può accedere tramite una porta dotata di serratura. Vi sono i pc con cui si procede al trattamento dei dati personali relativi ai dipendenti Sala Riunioni Sala Riunioni - Attesa A tale ufficio si può accedere tramite una porta dotata di serratura. Nel locale non vengono conservati documenti Locale Archivio Sala Server Archivio Sala Server A tale locale si può accedere tramite una porta dotata di serratura. La finestra dispone di una grata metallica esterna. Il server è collegato ad un gruppo di continuità. In questo locale sono conservati gli archivi di natura cartacea, in appositi classificatori metallici. E' stipato l'armadio contenente il server principale su cui risiededono gli archivi elettronici. La macchina server è collocata in un apposito locale (sala server). La sala server è dotata di: Impianto antincendio adeguato a locali contenenti apparati informatici; Impianto di condizionamento ambientale, opportunamente dimensionato; Porte e finestre blindate; Impianto elettrico a norma; Gruppo di continuità. L’accesso alla sala server è consentito solo al responsabile del trattamento e alle persone di volta in volta espressamente autorizzate. Camera di Commercio Industria Artigianato Agricoltura di Padova 145 CODICE DELLA PRIVACY In assenza del personale autorizzato, la sala server è tenuta chiusa a chiave. Tutte le chiavi sono custodite dal Capo dell’Ufficio amministrativocommerciale o dal personale da questo a tal fine delegato. 3 Individuazione e Gestione degli apparati hardware, delle risorse software e dei dati a) Individuazione e Gestione degli apparati hardware Il responsabile del trattamento preposto al proprio ufficio mantiene un elenco, da aggiornare con cadenza annuale, di tutte le attrezzature informatiche dell’ufficio, dello scopo cui sono destinate, della loro allocazione fisica, delle misure di sicurezza su esse adottate e delle eventuali misure di adeguamento pianificate. Le risorse hardware utilizzate per trattare i dati personali sono analizzate nelle seguenti schede riepilogative: Codice: Descrizione: Sistema Operativo: Impiego Accesso alla rete Sistema di protezione d'accesso Antivirus: Dispositivi di memorizzazione Dispositivi di collegamento Dispositivi di backup Codice: Descrizione: Sistema Operativo: Impiego Accesso alla rete Sistema di protezione d'accesso Antivirus: Dispositivi di memorizzazione Dispositivi di collegamento Dispositivi di backup Server marca_____modello____ XXXXX Data storage Collegamento a rete LAN: SI Collegamento a rete Internet: SI Utilizzo di password di otto caratteri da modificare ogni tre mesi Si Disco scsi net raid 5 da 30Gb Scheda di rete 10/100 Mb/s Unità di backup XXXX PC Client XXXXX Collegamento a rete LAN: SI Collegamento a rete Internet: SI Utilizzo di password di otto caratteri da modificare ogni tre mesi Si Disco eide da 20Gb Scheda di rete 10/100 Mb/s Scheda Moden interno per collegamento Internet Unità di backup XXXX Camera di Commercio Industria Artigianato Agricoltura di Padova 146 CODICE DELLA PRIVACY Gli armadi che contengono gli apparati di rete sono tenuti chiusi a chiave. Le chiavi sono custodite da personale delegato dal Capo dell’Ufficio. Laddove gli apparati di rete vengano gestiti attraverso la rete locale dell’edificio, il loro indirizzamento deve avvenire su una rete IP distinta. b) Individuazione e Gestione delle risorse software Le risorse software utilizzate per trattare i dati personali sono analizzate nelle seguenti schede riepilogative: Codice: Descrizione: Impiego Accesso alla rete Sistema di protezione d'accesso Codice: Descrizione: Impiego Accesso alla rete Sistema di protezione d'accesso Codice: Descrizione: Impiego Accesso alla rete Sistema di protezione d'accesso Sistema operativo Su Server Collegamento a rete LAN: SI Collegamento ad internet: SI Utilizzo di password personale di otto caratteri da modificare ogni tre mesi Programma Su Server e su Client Collegamento a rete LAN:SI Utilizzo di password personale di otto caratteri da modificare ogni tre mesi Programma Su Server e su Client Collegamento a rete LAN: SI Collegamento ad internet: SI Utilizzo di password personale di otto caratteri da modificare ogni tre mesi Analisi dei rischi che incombono sui dati (regola 19.3) La “X” S.r.l. ha proceduto ad una ricognizione dei rischi che potrebbero comportare una distruzione, sottrazione, perdita, trattamento abusivo dei dati, di origine dolosa, colposa o meramente fortuita, in grado di recare pregiudizio ai dati personali trattati. Le fonti di rischio sono state accorpate in: Camera di Commercio Industria Artigianato Agricoltura di Padova 147 CODICE DELLA PRIVACY 1) Comportamenti degli operatori; 2) Eventi relativi agli strumenti; 3) Eventi relativi al contesto fisico-ambientale. I suddetti rischi sono stati ripartiti in classi di gravità, tenendo conto della concreta possibilità di realizzazione presso la società X, adottando la seguente scansione: Alta – Medio/Alta – Media – Medio/Bassa - Bassa La tabella seguente sintetizza i principali eventi potenzialmente dannosi per la sicurezza dei dati, valutandone le possibili conseguenze e stimandone la gravità, ponendoli altresì in correlazione con le misure di sicurezza previste. Analisi dei Rischi connessi alle strutture hardware e software Evento Comportamenti degli operatori Eventi relativi agli strumenti Rischio Livello Note Furto di credenziali di autenticazione Accesso altrui non autorizzato Basso L'uso macchine è soggetto alla digitazione di una password personale e vi è un sistema di vigilanza sul rispetto delle istruzioni impartite. Le password personali sono modificate periodicamente Carenza di consapevolezza, disattenzione o incuria Dispersione, perdita e accesso altrui non autorizzato Basso Formazione e flusso continuo di informazione Comportamenti sleali o fraudolenti Dispersione, perdita e accesso altrui non autorizzato, manomissione/sabotaggio Basso Vigilanza sul rispetto delle istruzioni impartite Errore materiale Dispersione, perdita e accesso altrui non autorizzato Basso Vigilanza sul rispetto delle istruzioni impartite, formazione e flusso continuo di informazione Azione di virus informatici o di programmi suscettibili di recare danno Perdita o alterazione, anche irreversibile, di dati, di programmi e di elaboratori. Basso Alle risorse non accedono persone non autorizzate. La manutenzione è effettuata da tecnici di fiducia. Camera di Commercio Industria Artigianato Agricoltura di Padova 148 CODICE DELLA PRIVACY Evento Eventi relativi al contesto Rischio Livello Note tecniche di sabotaggio Perdita o alterazione, anche irreversibile, di dati, di programmi e di elaboratori; impossibilità temporanea di accesso ai dati e di utilizzo dei programmi. Basso Adozione di idonei dispositivi di protezione. Malfunzionamento, indisponibilità o degrado degli strumenti. Probabilità/frequenza di guasto Perdita o alterazione, anche irreversibile, di dati, di programmi e di elaboratori; impossibilità temporanea di accesso ai dati e di utilizzo dei programmi. Basso L'hardware acquistato è di qualità e storicamente non ha mai dato causa a problemi rilevanti. La manutenzione è effettuata da tecnici di fiducia. Le macchine sono sottoposte a controlli periodici effettuati da tecnici competenti e i programmi vengono aggiornati periodicamente almeno ogni tre mesi Intercettazioni di informazione in rete o delle trasmissioni Dispersione di dati; accesso altrui non autorizzato Accessi non autorizzati a localòi/reparti ad accesso ristretto Dispersione, perdita o alterazione, anche irreversibile, di dati, nonchè manomissione di programmi e di elaboratori; accesso altrui non autorizzato; impossibilità temporanea di accesso ai dati e di utilizzo dei programmi. Basso Protezione dei locali mediante serratura con distribuzione delle chiavi ai soli autorizzati. Sottrazione e furto di strumenti contenenti dati Dispersione, perdita di dati, di programmi e di elaboratori; accesso altrui non autorizzato Basso Eventi distruttivi, naturali o artificiali, dolosi, accidentali o dovuti ad incuria Perdita di dati, dei programmi e degli elaboratori Basso Protezione dei locali e dei siti di ubicazione degli archivi, degli elaboratori e dei supporti di memorizzazione mediante serratura con distribuzione delle chiavi ai soli autorizzati. Attività di prevenzione, controllo, assistenza e manutenzione periodica, vigilanza sul rispetto delle istruzioni impartite, formazione e flusso continuo di informazione. Le macchine sono sottoposte a controlli periodici effettuati da tecnici competenti e i programmi vengono aggiornati periodicamente almeno ogni tre mesi Medio/Basso Adozione di idonei dispositivi di protezione. La manutenzione è effettuata da tecnici di fiducia. Camera di Commercio Industria Artigianato Agricoltura di Padova 149 CODICE DELLA PRIVACY Evento Rischio Livello Note Guasto ai sistemi complementari (impianto elettrico, climatizzazione, etc...) Rischi connessi all'elettricità. Perdita o alterazione, anche irreversibile, dati, nonché manomissione dei programmi e degli elaboratori; impossibilità temporanea di accesso ai dati e di utilizzo dei programmi Bassa La società ha acquistato un gruppo di continuità che fornisce energia di buona qualità (stabilizzazione) per circa un quarto d'ora impedendo danni nel caso di improvvisa assenza di corrente elettrica. Attività di controllo, assistenza e manutenzione periodica. Errori umani nella gestione della sicurezza fisica Perdita o alterazione, anche irreversibile, di dati, nonché manomissione dei programmi e degli elaboratori; impossibilità temporanea di accesso ai dati e di utilizzo dei programmi Bassa Vigilanza sul rispetto delle istruzioni impartite, formazione e flusso continuo di informazione. c) Individuazione e Gestione dei Dati Gli archivi e le banche dati contenenti i dati personali trattati con strumenti elettronici sono i seguenti: BANCA DATI CLIENTI (cod. 01) BANCA DATI FORNITORI (cod. 02) BANCA DATI DIPENDENTI (personale amministrativo e docenti) (cod. 03) Codice: Descrizione: Modalità di trattamento Tipologia dei dati oggetto di trattamento Accesso alla rete Sistema di protezione d'accesso Antivirus: 01 Banca dati clienti Archivio Elettronico: SI Archivio cartaceo: SI Dati comuni: SI Dati sensibili: NO Dati sanitari: NO Dati sindacali: NO Dati giudiziari: NO Collegamento a rete LAN: SI Collegamento a rete Internet: SI Utilizzo di password personale di otto caratteri modificata ogni tre mesi SI Camera di Commercio Industria Artigianato Agricoltura di Padova 150 CODICE DELLA PRIVACY Codice: Descrizione: Modalità di trattamento Tipologia del Dato Accesso alla rete Sistema di protezione d'accesso Antivirus: Codice: Descrizione: Modalità di trattamento Tipologia del Dato Accesso alla rete Sistema di protezione d'accesso Antivirus: 02 Banca dati fornitori Archivio Elettronico: SI Archivio cartaceo: SI Dati comuni: SI Dati sanitari: NO Dati sindacali: NO Dati giudiziari: NO Collegamento a rete LAN: SI Collegamento a rete Internet: SI Utilizzo di password personale di otto caratteri modificata ogni tre mesi SI 03 Banca dati dipendenti Archivio Elettronico: SI Archivio cartaceo: SI Dati comuni: SI Dati sensibili: SI Dati sanitari: NO Dati sindacali: SI Dati giudiziari: NO Collegamento a rete LAN: SI Collegamento a rete Internet: SI Utilizzo di password personale di otto caratteri modificata ogni tre mesi SI 1.1. Analisi dei rischi sulle risorse dati (misura 19.3) Livello Note Tutti i dati trattati Descrizione accesso non autorizzato Rischio Bassa L'accesso alle risorse dati é protetto dall'uso di password personali Tutti i dati trattati Cancellazione e/o manomissione non autorizzata di dati Bassa L'accesso alle risorse dati é protetto dall'uso di password personali Tutti i dati trattati Perdita di dati Bassa Sono effettuate copie periodiche di backup Misure di Sicurezza in essere e adottate per garantire l’integrità e la disponibilità dei dati, nonché la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità (regola 19.4.) Il responsabile del trattamento dell’Ufficio Amministrativo – Commerciale e dell’Ufficio del Personale individua i volumi logici o le aree di disco da sottoporre giornalmente a backup, sul server e sui vari client. Camera di Commercio Industria Artigianato Agricoltura di Padova 151 CODICE DELLA PRIVACY Il backup è effettuato localmente nell’ambito di ciascun ufficio a cadenza settimanale; a tal fine gli incaricati effettuano le seguenti operazioni: a) Esecuzione quotidiana del backup attraverso procedure automatiche; b) Mantenimento di un elenco dei backup effettuati; c) Archiviazione dei supporti magnetici; d) Verifica, con cadenza almeno mensile, della procedura di ripristino dai supporti di backup. Misure di Sicurezza in essere e adottate (regola 19.4.) Presso ciascun Ufficio della società X s.r.l. sono installate esclusivamente le seguenti categorie di software: a. Software gestionale contabile, dotato di licenza d’uso; b. Software gestionale per il personale, dotato di licenza d’uso; c. Software di office automation, a livello locale. d. Software antivirus aggiornato on line o comunque almeno trimestralmente e. Software “firewall” aggiornato on line o comunque almeno trimestralmente L’installazione di software diversi da quelli indicati deve essere previamente autorizzata dal responsabile del trattamento. Il software è installato solo su supporti fisici originali o dei quali sia nota la provenienza. In mancanza di procedure di installazione automatiche, il responsabile del trattamento garantisce l’effettuazione delle installazioni del software antivirus e firewall su tutte le postazioni di lavoro, con cadenza almeno trimestrale. Misure di sicurezza adottate e da adottare (misura 19.4) Nei locali della società X s.r.l. ove avviene il trattamento dei dati personali è costantemente in atto un procedimento di controllo e di verifica della sicurezza del sistema informatico attraverso l’utilizzo di appositi strumenti a livello di sistema, di gestione delle basi dati e delle applicazioni. Il sistema di controllo registra gli accessi a livello di sistema, di base dati e di applicativo. Il responsabile del trattamento di ciascun Ufficio ha facoltà di individuare, tra gli amministratori di sistema, uno o più incaricati della verifica delle Camera di Commercio Industria Artigianato Agricoltura di Padova 152 CODICE DELLA PRIVACY registrazioni i quali operano sotto il suo controllo e nel rispetto delle sue direttive. Il responsabile risponde degli eventuali danni cagionati dagli incaricati salvo che questi ultimi abbiano agito con dolo o colpa grave. Le operazioni di verifica delle registrazioni sono effettuate con cadenza settimanale. I problemi comunque riscontrati sono prontamente riportati al responsabile del trattamento che individua le opportune contromisure. Controllo degli accessi Tutte le stazioni di lavoro, come detto nelle precedenti tabelle riassuntive, sono protette da una password di accesso. L’inserimento della password di accesso va effettuato a cura dell’operatore che ne affida una copia in busta chiusa al responsabile del trattamento che le custodisce sotto chiave. Ai fini dell’assistenza sistemistica, la password di accesso può venire comunicata agli operatori tecnici chiamati ad intervenire ed è sostituita al termine dell’intervento e mai più riutilizzata. La password di accesso è modificata al primo utilizzo e successivamente con cadenza trimestrale. L’accesso alla rete di sistema è protetto tramite un nome utente e una password. Il processo di autenticazione consente di ottenere uno specifico insieme di privilegi di accesso ed utilizzo rispetto alle risorse del sistema informatico. A ciascun profilo è associato un gruppo di utenti, che condividono gli stessi privilegi di accesso e utilizzo. Il “Responsabile-Custode delle chiavi” è preposto alla custodia delle parole chiave e controlla i nominativi e la qualifica degli operatori incaricati autorizzati, nonché i loro privilegi di utilizzo del sistema informatico. Il responsabile, inoltre, provvede a definire, con l’aiuto tecnico del manutentore, per ciascun incaricato, il nome utente e la password per il primo accesso. Una volta ricevuto l’ID e PW essi devono essere modificati dagli incaricati al primo utilizzo e successivamente con cadenza trimestrale. Ad ogni modifica di tali codici identificativi, questi dovranno essere consegnati in busta chiusa al responsabile che provvederà alla loro custodia. Camera di Commercio Industria Artigianato Agricoltura di Padova 153 CODICE DELLA PRIVACY La password di accesso alla rete presenta sempre le seguenti caratteristiche: a. Non corrisponde al nome utente o ai dai dati personali dell’utente; b. Ha una lunghezza di almeno otto caratteri; c. Non corrisponde ad una semplice parola rintracciabile in un dizionario; d. Contiene almeno un carattere non alfabetico, oppure un misto di lettere minuscole e maiuscole; e. Non contiene riferimenti agevolmente riconducibili all'incaricato. Il nome utente e la password sono strettamente personali; la loro tutela è a carico dell’utilizzatore incaricato. Il responsabile preposto alla custodia delle parole chiave provvede, con cadenza trimestrale, alla verifica degli elenchi degli utenti, e provvede alla disattivazione delle utenze su cui risultasse qualche problema, come il suo mancato utilizzo da più di sei mesi, o un elevato numero di tentativi di accesso non riusciti. In caso di assenza o impedimento dell’incaricato che renda indispensabile e indifferibile l’utilizzo del pc protetto con ID e PW, il Responsabile utilizzerà o incaricherà di utilizzare le ID e PW ricevute in busta chiusa e avrà cura di informare e avvertire il titolare delle ID e PW, il quale al suo ritorno avrà cura di modificarle. Le Connessioni alla rete LAN ed alla rete Internet Le connessioni telematiche verso le banche dati del server, sono consentite solo ai PC Client autorizzati e previa autenticazione. Il collegamento verso l’esterno (rete internet) avviene a mezzo connessione ADSL per mezzo di un router. L’accesso dall’esterno è protetto a mezzo di un firewall fisico, ed un firewall informatico. Il firewall è configurato in maniera tale da consentire alle postazioni di lavoro interne di accedere ai servizi disponibili sulla rete, bloccando i tentativi di accesso provenienti dall’esterno. Non sono autorizzati collegamenti telematici distinti da quelli previsti ai punti precedenti. In particolare, non sono autorizzate connessioni effettuate tramite modem stand alone da postazioni collegate alla rete dell’ufficio. Camera di Commercio Industria Artigianato Agricoltura di Padova 154 CODICE DELLA PRIVACY Qualora siano necessarie connessioni di questo tipo, queste sono effettuate da PC non connesse alla rete LAN. Protezione delle aree e dei locali rilevanti ai fini della custodia dei dati oggetto di trattamento Ai fini di evitare eventi dannosi o pericolosi ai dati oggetto di trattamento con strumenti elettronici la società X s.r.l. ha predisposto le seguenti misure di sicurezza: Tutti i locali contenenti fisicamente le banche dati elettroniche sono protetti con adeguati sistemi di impianto antincendio (sono presenti anche estintori costantemente oggetto di manutenzione), antifurto e condizionamento d’aria; sono altresì protetti da porte dotate di serratura e quelle che permettono l’accesso all’esterno sono di tipo blindato. Vi sono grate metalliche alle finestre esterne. L’impianto elettrico è dotato di misure salvavita atte anche ed evitare cortocircuiti e possibili incendi e sono presenti gruppi di continuità per evitare danni ai dati personali trattati nell’ipotesi in cui venga a mancare l’erogazione della corrente elettrica. Piano di verifica periodico delle misure adottate La bontà delle misure adottate è periodicamente verificata secondo la seguente tabella: Attività Verifiche Individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici Aggiornamento periodico a cadenza almeno annuale Misure contro il rischio di intrusione e dell'azione di programmi di cui all'art. 615-quinquies del codice penale Adozione di idonei strumenti, Trimestrale da eseguirsi con cadenza almeno trimestrale Allegato B al D. Lgs.n. 196/03 Misure volte a prevenire la vulnerabilità degli strumenti elettronici e a correggerne i difetti Aggiornamenti periodici, da eseguirsi con cadenza almeno trimestrale Trimestrale Allegato B al D. Lgs.n. 196/03 Salvataggio dei dati Frequenza settimanale Settimanale Allegato B al D. Lgs.n. 196/03 Periodicità Annua Riferimento normativo Allegato B al D. Lgs.n. 196/03 Camera di Commercio Industria Artigianato Agricoltura di Padova 155 CODICE DELLA PRIVACY 4) - Criteri e modalità per il ripristino della disponibilità dei dati (regola 19.5) Per quanto le misure di sicurezza adottate siano idonee a ridurre notevolmente gli eventuali episodi di danno o pericolo per i dati fatti oggetto di trattamento non può tuttavia escludersi a priori che si possano verificare eventi eccezionali di distruzione o danneggiamento. Per evitare che eventi di tal fatta si traducano nella perdita definitiva ed irrecuperabile dei dati stessi tali informazioni sono protette: dall’uso di password e di nomi utenti; da backup con cui si provvede a fare copia dei dati trattati elettronicamente e il relativo supporto mobile è custodito in luogo sicuro protetto e provvisto di impianto antincendio; sono inoltre presenti misure di sicurezza per i luoghi fisici di cui si è già riferito. I dati personali sono protetti contro il rischio di intrusione e dell'azione di programmi di cui all'art. 615-quinquies del codice penale, mediante l'attivazione di idonei strumenti elettronici aggiornati con cadenza almeno trimestrale. Gli aggiornamenti periodici dei programmi per elaboratore volti a prevenire la vulnerabilità di strumenti elettronici e a correggerne difetti sono effettuati almeno trimestralmente. Salvataggio Tipo di dati Criteriprocedure operative per il salvataggio Pianificazione delle prove di ripristino Ubicazione di conservazione delle copie Struttura operativa incaricata del salvataggio 5) – Pianificazione degli interventi formativi previsti (regola 19.6) Per rendere gli incaricati del trattamento edotti dei rischi che incombono sui dati personali, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto all’attività svolta da questa s.r.l., delle responsabilità che ne derivano Camera di Commercio Industria Artigianato Agricoltura di Padova 156 CODICE DELLA PRIVACY e delle modalità per aggiornarsi sulle misure minime adottate dal titolare, questa società organizza costantemente (a cadenza annuale) programmi di formazione tecnica e teorica. Le istruzioni organizzative e tecniche che prevedono il salvataggio dei dati sono impartite con frequenza almeno settimanale. Sono tenuti a seguire questi programmi tutti i dipendenti che, a vario titolo, sono chiamati ad operazioni di trattamento dei dati personali dal momento della loro assunzione e sempre in occasione di cambiamenti di mansioni o di introduzione di nuovi significativi strumenti rilevanti rispetto al trattamento stesso. I responsabili del trattamento provvedono a consegnare ai dipendenti contestualmente ai codici (nome utente e password) per l’accesso al sistema anche un manuale informativo sulla sicurezza debitamente aggiornato. Corso di formazione Descrizione sintetica Classi di incarico interessate Numero di incaricati interessati Numero di incaricati già formati/ da formare nell'anno Calendario Atti e documenti non in formato elettronico, archivi cartacei I trattamenti di dati personali con strumenti diversi da quelli elettronici sono effettuati dagli incaricati seguendo le istruzioni scritte ad essi impartite, mediante apposita lettera di incarico, finalizzate al controllo ed alla custodia, per l’intero ciclo necessario allo svolgimento delle operazioni di trattamento, degli atti e dei documenti contenenti dati personali. L’aggiornamento periodico dell’individuazione nell’ambito del trattamento consentito ai singoli interessati ha carattere annuale. Gli atti e i documenti contenenti eventuali dati personali sensibili o giudiziari sono affidati agli incaricati del trattamento per lo svolgimento dei relativi compiti. I medesimi atti e documenti sono controllati e custoditi dagli incaricati fino alla restituzione in maniera che ad essi non accedano persone prive di autorizzazione, e sono restituiti al termine delle operazioni affidate. Camera di Commercio Industria Artigianato Agricoltura di Padova 157 CODICE DELLA PRIVACY L’accesso agli archivi contenenti dati sensibili o giudiziari è consentito solamente alle persone preventivamente autorizzate. Obbligo di aggiornamento periodico del DPS Il presente documento programmatico sulla sicurezza è sottoposto a revisione annuale nella sua interezza, entro la scadenza del 31 marzo di ciascun anno, come previsto dalla regola 19 del Disciplinare tecnico di cui all’Allegato B al D.Lgs. 196/2003, in relazione al disposto dell’art. 34, lettera g) del decreto stesso. Il presente documento è aggiornato al _________________ Data_______________ Legale Rappresentante Società_________________________________ Solo per gli esercenti le professioni sanitarie e per gli organismi sanitari occorrerà inserire un articolo dedicato a Cifratura dei dati o separazione dei dati identificativi (regola 19.8) Dato Protezione scelta (cifratura/ separazione) Data di effettività Tecnica adottata Informazioni utili Camera di Commercio Industria Artigianato Agricoltura di Padova 158 Codice della Privacy: risposte a quesiti pratici A cura di Andrea Lisi e Marzio V. Vaglio Con una guida pratica al " CODICE PRIVACY" per imprese e P.A. Il D.Lgs. 196/2003 conosciuto come "Codice della Privacy" ha posto notevoli problematiche ad Aziende, liberi professionisti, Associazioni ed Enti. Per venire incontro alle necessità di informazione su tali problemi, Promopadova, Azienda speciale della Camera di Commercio I.A.A. ha organizzato nel 2004, 7 seminari informativi gratuiti di taglio pratico ed operativo. E' stato poi creato lo "sportello privacy" che ha funzionato via email da aprile 2004 a giugno 2005. La presente pubblicazione nasce dal lavoro quotidiano dello sportello che ha risposto a centinaia di quesiti. I 60 più significativi sono stati riordinati e aggiornati alla luce delle autorizzazioni generali e di alcuni pareri del Garante della Privacy. La raccolta é stata arricchita da una guida pratica che inquadra la normativa e da un fac-simile di DPS, oltre che dai testi di legge più rilevanti. ®