A cura di Andrea Lisi e Marzio V. Vaglio
®
Con una guida pratica al
" CODICE PRIVACY"
per imprese e P.A.
CODICE DELLA PRIVACY:
Saper& fare con la Camera di Commercio N° 3
risposte a quesiti pratici
?
I
PR
CY
VA
!
ffebbraio
bb
2006
CODICE DELLA PRIVACY
risposte a quesiti pratici
A CURA DI ANDREA LISI E MARZIO V. VAGLIO
Con una
GUIDA PRATICA AL "CODICE PRIVACY"
PER IMPRESE E P.A.
A CURA DI ANDREA LISI
- febbraio 2006 -
CODICE DELLA PRIVACY
Presentazione
La Camera di Commercio e la sua Azienda speciale
Promopadova lavorano con continuità per informare le
aziende sulle novità normative che impattano sulle
imprese di tutti i settori economici.
In particolare dall'inizio del 2004 si sono avviate iniziative
per divulgare la nuova normativa sul trattamento dei dati
personali (D. Lgs. 196 del 2003): tra febbraio e maggio
2004 sono stati organizzati 7 seminari gratuiti, quindi è
stato creato lo “Sportello Privacy” che ha funzionato via email da aprile 2004 a giugno 2005 presso l'Azienda
speciale Promopadova.
Il presente opuscolo nasce proprio dal lavoro quotidiano
di tale sportello che ha risposto a centinaia di quesiti, in
collaborazione con gli avv. Andrea Lisi e Marzio Vaglio che
hanno fornito la propria consulenza legale.
Alcuni di questi quesiti sono apparsi molto interessanti e
di interesse per molte aziende. Pertanto è stato ritenuto
opportuno mettere a disposizione di tutte le aziende, i
professionisti, le Associazioni e gli Enti pubblici locali le
risposte, aggiungendo anche una breve Guida pratica al
Codice della Privacy che permetta di inquadrare meglio
la normativa. La rielaborazione ha tenuto conto delle
diverse interpretazioni della dottrina e della
giurisprudenza sull'argomento.
febbraio 2006
Gianfranco Chiesa
Presidente
CCIAA Padova
Camera di Commercio Industria Artigianato Agricoltura di Padova
3
CODICE DELLA PRIVACY
INDICE
Parte Prima
1.
Guida pratica al codice della privacy - a cura di Andrea Lisi
a. Introduzione alla materia
b. Gli “adempimenti-privacy”
c. Le misure di sicurezza
d. Il sistema sanzionatorio
Pag.
Pag.
Pag.
Pag.
Pag.
7
11
19
31
41
Parte Seconda
1.
F.A.Q.-Domande più frequenti:
risposte ai 60 quesiti più segnificativi rivolti allo sportello privacy
di PromoPadova - Azienda speciale della Camera di Commercio
di Padova - a cura di Andrea Lisi e Marzio Vaglio
Pag. 43
Parte Terza
1.
Fac Simile di Documento Programmatico sulla Sicurezza
redatto per le imprese - a cura di Andrea Lisi
Pag. 137
per informazioni: www.garanteprivacy.it
Camera di Commercio Industria Artigianato Agricoltura di Padova
5
Parte prima
GUIDA PRATICA
AL CODICE DELLA PRIVACY
Per imprese e Pubblica Amministrazione
A cura di Andrea Lisi
CODICE DELLA PRIVACY
Prefazione
Il diritto alla tutela dei dati personali, riportato nel giusto e più
ampio alveo del diritto alla riservatezza (e soprattutto all'interno
dei diritti naturali dell'individuo) va applicato con tranquillità e
fermezza perché è il futuro che ce lo richiede.
La presente piccola guida si propone il delicato compito di provare
a spiegare questa legge (D.Lgs. 196/2003), troppo spesso avvertita
come un fastidioso fardello, attraverso una chiave di lettura il più
possibile semplice, scevra da inutili intellettualismi dottrinali e
difficili tecnicismi, per riportare la materia alle sue radici giuridiche.
Andrea Lisi
Camera di Commercio Industria Artigianato Agricoltura di Padova
9
CODICE DELLA PRIVACY
1. INTRODUZIONE ALLA MATERIA
Privacy e sicurezza sono due facce di un'unica medaglia, due
aspetti inscindibili di una realtà sempre più digitalizzata che
oramai ha preso piede in svariati ambiti della nostra società; oggi
“privacy” non significa soltanto diritto di essere lasciati in pace (c.d.
right to be alone) o di proteggere la propria sfera privata, ma anche
e soprattutto diritto di controllare l'uso e la circolazione dei propri
dati personali che costituiscono un bene primario nell'attuale
Società dell'Informazione.
Un luogo comune è quello, infatti, di considerare la “legge sulla
privacy” come il riconoscimento del “diritto all'anonimato”. In realtà,
essa è cosa ben diversa; si tratta, infatti, del “diritto alla protezione
dei dati personali”, fra l'altro già elevato a livello comunitario a
diritto fondamentale della persona: il diritto alla privacy ed alla
tutela dei dati personali è stato riconosciuto nel 2000 dalla “Carta
dei diritti fondamentali dell'Unione Europea” (vedi art. 8 della Carta,
ormai entrato a far parte della Costituzione europea).
Una regolamentazione giuridica omogenea in materia di privacy si
è avuta a conclusione di un lungo iter legislativo che ha visto, il 29
luglio 2003, la pubblicazione in Gazzetta Ufficiale del D. Lgs. 30
giugno 2003 n. 196, “Codice in materia di protezione dei dati
personali” (c.d. Testo Unico della Privacy). Tale Decreto,
comunemente noto come “Codice Privacy”, è entrato in vigore il
primo gennaio 2004, abrogando e sostituendo, tra l'altro, la
precedente legge 675/1996 sulla privacy.
La particolare attenzione riservata dal legislatore al corretto
trattamento dei dati personali, implica necessariamente il rispetto
di tale normativa e, quindi, l'assolvimento di tutti gli adempimenti
in esso contenuti.
Il Codice della privacy si compone di tre parti:
Camera di Commercio Industria Artigianato Agricoltura di Padova
11
CODICE DELLA PRIVACY
1) le disposizioni generali (contenute negli artt. 1-45), che
concernono le regole “sostanziali” per la raccolta ed il trattamento
dei dati personali, applicabili a tutti i tipi di trattamento, con talune
eccezioni stabilite dalle disposizioni della Parte II;
2) le disposizioni particolari stabilite per specifici trattamenti
(contenute negli artt. 46-140), che individuano le regole applicabili
a determinati settori;
3) le disposizioni relative alle azioni di tutela dell'interessato e al
sistema sanzionatorio (artt. 141-186).
Di seguito al Codice e parte integrante di esso, troviamo una serie
di allegati:
- allegato A, relativo ai codici di condotta;
- allegato B, recante il disciplinare tecnico in materia di misure
minime di sicurezza;
- allegato C, relativo ai trattamenti non occasionali effettuati in
ambito giudiziario o per fini di polizia (peraltro non ancora
pubblicato).
Gli adempimenti più importanti contenuti nel codice possono
essere schematicamente così suddivisi:
1. adempimenti generali (informativa - art. 13, diritto di accesso art. 7, eventuale consenso al trattamento dei dati - art. 23 )
2. adempimenti speciali (notificazione al Garante solo nei casi
specificamente indicati nell'art. 37 )
3. adempimenti organizzativi (misure di sicurezza minime e idonee
- artt. 31 e segg.
Camera di Commercio Industria Artigianato Agricoltura di Padova
12
CODICE DELLA PRIVACY
Principio di necessità e modalità di trattamento dei dati
personali
Principio cardine dell'intero Codice è il “Principio di necessità” (art.
3), che è considerato un ampliamento dei vecchi principi di
pertinenza e non eccedenza dei dati rispetto alle finalità del
trattamento e riveste certamente il ruolo di generale chiave
interpretativa per tutti gli articoli del Codice. In base a tale
principio, chiunque tratta dati personali dovrà fare in modo di
assicurare che i dati personali stessi possano essere utilizzati solo e
nella misura in cui sia strettamente necessario per il
raggiungimento delle specifiche finalità, che di volta in volta
dovranno essere specificate (e che devono essere nell'informativa
che viene fornita all'interessato).
Strettamente collegato al principio di necessità è l'art. 11 del
Codice, il quale sviluppa al suo interno le linee guida fondamentali
da seguire per qualsiasi trattamento di dati personali. Secondo
questo fondamentale articolo i dati personali oggetto di
trattamento sono:
a) trattati in modo lecito e secondo correttezza;
b) raccolti e registrati per scopi determinati, espliciti e legittimi, ed
utilizzati in altre operazioni del trattamento in termini compatibili
con tali scopi;
c) esatti e, se necessario, aggiornati;
d) pertinenti, completi e non eccedenti rispetto alle finalità per le
quali sono raccolti o successivamente trattati;
e) conservati in una forma che consenta l'identificazione
dell'interessato per un periodo di tempo non superiore a quello
necessario agli scopi per i quali essi sono stati raccolti o
successivamente trattati.
I dati personali trattati in violazione della disciplina rilevante in
materia di trattamento dei dati personali non possono essere
utilizzati.
Camera di Commercio Industria Artigianato Agricoltura di Padova
13
CODICE DELLA PRIVACY
4 del Codice: per “trattamento” s'intende qualunque operazione o
complesso di operazioni, effettuate anche senza l'ausilio di
strumenti elettronici, concernenti la raccolta, la registrazione,
l'organizzazione, la conservazione, la consultazione, l'elaborazione,
la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo,
l'interconnessione, il blocco, la comunicazione, la diffusione, la
cancellazione e la distruzione di dati, anche se non registrati in una
banca dati.
Ne risulta, a ben vedere, una definizione molto ampia che include
qualsiasi tipologia di trattamento.
Possiamo riferire che, in generale, per le modalità del trattamento
dei dati personali, è previsto un obbligo di correttezza a carico del
titolare e,quindi, di esplicita indicazione delle finalità per cui tali
dati sono raccolti; pertanto, i motivi che stanno alla base della
raccolta o comunque di qualsiasi trattamento dovranno sempre
essere:
- determinati
- espliciti
- legittimi
Questi principi acquisiscono certamente una importanza strategica
nel trattamento dei dati on line, dove, se si vuole infondere fiducia
nel proprio utente telematico, si deve fare in modo che il
trattamento elettronico avvenga nella maniera più corretta
possibile.
Dato personale
Per dato personale si intende qualunque informazione relativa a
persona fisica, persona giuridica, ente od associazione identificati o
identificabili, anche indirettamente, mediante riferimento a
Camera di Commercio Industria Artigianato Agricoltura di Padova
14
CODICE DELLA PRIVACY
A ben vedere, quindi, qualsiasi tipo di informazione, che consenta
(anche in modo indiretto) l'individuazione del soggetto a cui le
informazioni personali si riferiscono, è considerata dal Codice quale
dato personale (ad esempio fotografie, filmati, indirizzo IP ecc…).
Tali dati, quindi, dovranno essere sempre utilizzati per specifiche
finalità e solo se strettamente necessari al conseguimento delle
stesse, altrimenti dovranno essere utilizzati o in forma anonima o
adottando un sistema che permetta l'identificazione
dell'interessato solo in caso di necessità (in applicazione del
principio di necessità contenuto nell'art. 3 del Codice).
Il dato personale per essere identificativo, inoltre, deve consentire
l'individuazione diretta del soggetto interessato attraverso
cognome, nome, data di nascita o codice fiscale.
Dato giudiziario e dato sensibile
I dati giudiziari sono quei dati idonei a rivelare:
tutte le iscrizioni nel casellario giudiziario delle condanne penali
(come le pene inflitte o le pene convertite), ad eccezione delle
sentenze dichiarative di fallimento e dei provvedimenti di
interdizione, inabilitazione e revoca;
le sanzioni amministrative dipendenti da reato;
i carichi pendenti;
lo status personale di imputato o indagato.
I dati sensibili sono quelli idonei a rivelare:
a) origini razziali o etniche;
b) convinzioni religiose, adesioni ad associazioni o organizzazioni
di carattere religioso;
c) convinzioni filosofiche o di altro genere, adesioni ad associazioni
o organizzazioni a carattere filosofico;
d) opinioni politiche
e) adesione a partiti politici o ad organizzazioni a carattere politico;
f) adesioni a sindacati o a organizzazioni a carattere sindacale;
g) stato di salute e la vita sessuale.
Camera di Commercio Industria Artigianato Agricoltura di Padova
15
CODICE DELLA PRIVACY
Tali dati per la loro delicatezza e importanza, per poter essere
trattati, necessitano sempre del consenso scritto dell'interessato e
di speciali autorizzazioni del Garante o devono comunque essere
autorizzati da qualche legge.
Titolare, incaricato, responsabile
Secondo l'art. 4 del Codice, titolare del trattamento di dati personali
è “la persona fisica, la persona giuridica, la pubblica
amministrazione e qualsiasi altro ente, associazione od organismo
cui competono, anche unitamente ad altro titolare, le decisioni in
ordine alle finalità, alle modalità del trattamento di dati personali e
agli strumenti utilizzati, ivi compreso il profilo della sicurezza”.
Responsabile del trattamento, invece, è “la persona fisica, la persona
giuridica, la pubblica amministrazione e qualsiasi altro ente,
associazione od organismo preposti dal titolare al trattamento di
dati personali”. Si tratta di un soggetto nominato facoltativamente
dal titolare del trattamento.
Figure sempre necessarie sono invece gli incaricati e, cioè, “le
persone fisiche autorizzate a compiere operazioni di trattamento
dal titolare o dal responsabile”.
Tutte queste figure devono ricevere sempre specifichi incarichi
scritti dal titolare per tutti i futuri trattamenti che effettueranno
all'interno dell'impresa o della pubblica amministrazione (si
vedano, in proposito, gli artt. 28, 29, 30 del Codice).
Diritti dell'interessato
“Interessato” è la persona fisica, la persona giuridica, l'ente o
l'associazione cui si riferiscono i dati personali.
Camera di Commercio Industria Artigianato Agricoltura di Padova
16
CODICE DELLA PRIVACY
Il Codice, per quanto riguarda il trattamento dei dati personali,
riconosce all'interessato una serie di diritti (art. 7 del Codice):
- il diritto di avere informazioni generali sui trattamenti di dati
svolti nel nostro Paese;
il diritto di accesso ai propri dati personali direttamente presso
chi li detiene (cioè titolare del trattamento), di ottenere la conferma
della loro esistenza e la loro comunicazione e di sapere da dove
sono stati acquisiti e quali sono i criteri e gli scopi del trattamento;
il diritto di ottenere la cancellazione o il blocco di dati che sono
trattati violando la legge (ad esempio, perché non è stato chiesto il
consenso); tali diritti possono essere esercitati anche quando non
ci sono più motivi validi per conservare i dati;
il diritto di aggiornare, correggere o integrare i dati inesatti e
incompleti;
il diritto, nei casi indicati nel punto 3 e 4, di ottenere anche
un'attestazione da parte del titolare che tali operazioni sono state
portate a conoscenza dei soggetti ai quali i dati erano stati
precedentemente comunicati (a meno che ciò risulti impossibile o
richieda un impegno sproporzionato rispetto al diritto tutelato);
il diritto di opporsi, per motivi legittimi, al trattamento dei propri
dati;
il diritto di opporsi al trattamento dei propri dati per scopi di
informazione commerciale o per l'invio di materiale pubblicitario o
di vendita diretta, oppure per ricerche di mercato.
A questi diritti dell'interessato, corrispondono altrettanti obblighi a
carico del titolare del trattamento; indipendentemente dal tipo di
attività svolta e, quindi, sia che il trattamento venga effettuato con
l'ausilio di strumenti informatici sia con il solo materiale cartaceo il
titolare dovrà sempre rendere effettivi per l'interessato sia il “diritto
ad una adeguata informativa” e sia il diritto di “accesso ai propri
dati personali” (che dovrà essere adeguatamente riscontrato nei
termini di legge).
Camera di Commercio Industria Artigianato Agricoltura di Padova
17
CODICE DELLA PRIVACY
2. GLI ADEMPIMENTI PRIVACY
Per poter implementare una qualsiasi attività di trattamento di dati
personali e procedere in maniera corretta è sempre necessario
preliminarmente individuare i soggetti che a vario titolo avranno
diritto di accesso ai dati trattati. Ciò essenzialmente per due
ragioni:
a) essere in grado di rispondere adeguatamente ad un'istanza
avanzata in tal senso dall'interessato, al quale l'art. 7 comma 1, lett.
e) del Codice attribuisce, tra l'altro, il diritto di conoscere i soggetti
ai quali i dati possono essere comunicati o che ne possono
comunque venire a conoscenza;
b) poter pianificare eventuali nomine di “responsabili” o “incaricati”
del trattamento, in quanto soggetti direttamente coinvolti nella
gestione dei dati.
In linea generale, sono quattro i principali adempimenti che
un'impresa è tenuta a porre in essere per poter correttamente
procedere al trattamento dei dati personali:
1.
2.
3.
4.
notificazione al Garante;
comunicazione dell'informativa all'interessato;
acquisizione del consenso
predisposizione di minime misure di sicurezza per il
trattamento dei dati personali.
Notificazione
E' uno dei primi adempimenti da porre in essere: si tratta di una
comunicazione (una sorta di “auto-dichiarazione”) che il titolare del
trattamento rivolge al Garante della protezione dei dati personali
(da inviare esclusivamente per via telematica), quando intende
procedere a specifici trattamenti di particolari dati personali. Viene
utilizzato un apposito modulo da inviare al Garante, in cui vengono
descritte le principali caratteristiche del trattamento (categorie dei
Camera di Commercio Industria Artigianato Agricoltura di Padova
19
CODICE DELLA PRIVACY
Italia o all'estero, ai quali i dati sono eventualmente comunicati,
misure di sicurezza adottate) e viene portata alla sua conoscenza la
volontà del titolare di voler trattare dati personali di terzi,
nell'espletamento di una determinata attività che si andrà ad
iniziare. Deve essere effettuata prima di dare inizio al trattamento e
non va ripetuta se non si modificano le caratteristiche del
trattamento.
Mentre con la precedente legge 675/1995 tale prassi era la regola,
adesso con il nuovo Codice l'obbligo di notificazione è confinato
ad alcuni tassativi casi indicati nell'art. 37.
Il titolare del trattamento, infatti, è tenuto a rispettare l'obbligo di
notificazione solo quando tratta:
- dati genetici, biometrici o che indicano la posizione geografica di
persone od oggetti mediante una rete di comunicazione
elettronica;
- dati idonei a rivelare lo stato di salute e la vita sessuale, trattati a
fini di procreazione assistita, prestazione di servizi sanitari per via
telematica relativi a banche di dati o alla fornitura di beni, indagini
epidemiologiche, rilevazione di malattie mentali, infettive e
diffusive, sieropositività, trapianto di organi e tessuti e
monitoraggio della spesa sanitaria;
- dati trattati con l'ausilio di strumenti elettronici che definiscono il
profilo o la personalità dell'interessato, analizzano le abitudini o le
scelte di consumo, ovvero consentano di monitorare l'utilizzo di
servizi di comunicazione elettronica con esclusione dei trattamenti
tecnicamente indispensabili per fornire i servizi medesimi agli
utenti;
- dati sensibili registrati in banche di dati a fini di selezione del
personale per conto terzi, nonché dati sensibili utilizzati per
sondaggi di opinione, ricerche di mercato e altre ricerche
campionarie;
- dati registrati in apposite banche di dati gestite con strumenti
elettronici e relative al rischio sulla solvibilità economica, alla
Camera di Commercio Industria Artigianato Agricoltura di Padova
20
CODICE DELLA PRIVACY
accessibile al pubblico.
Con il provvedimento a carattere generale del 31 marzo 2004 il
Garante ha interpretato l'art. 37, specificando in maniera restrittiva i
casi in cui occorra procedere alla notificazione (il provvedimento è
acquisibile sul sito del Garante - www.garanteprivacy.it).
Informativa privacy
Art. 13 del D. Lgs. 196/ 2003 - Informativa
L'interessato o la persona presso la quale sono raccolti i dati
personali sono previamente informati oralmente o per iscritto
circa:
A) le finalità e le modalità del trattamento cui sono destinati i dati;
B) la natura obbligatoria o facoltativa del conferimento dei dati;
C) le conseguenze di un eventuale rifiuto di rispondere;
D) i soggetti o le categorie di soggetti ai quali i dati personali
possono essere comunicati o che possono venirne a conoscenza
in qualità di responsabili o incaricati, e l'ambito di diffusione dei dati
medesimi;
E) i diritti di cui all'articolo 7;
F) gli estremi identificativi del titolare e, se designati, del
rappresentante nel territorio dello Stato ai sensi dell'articolo 5 e
del responsabile. Quando il titolare ha designato più
responsabili e indicato almeno uno di essi, indicando il sito della
rete di comunicazione o le modalità attraverso le quali è
conoscibile in modo agevole l'elenco aggiornato dei responsabili.
Quando è stato designato un responsabile per il riscontro
all'interessato in caso di esercizio dei diritti di cui all'articolo 7, è
indicato tale responsabile
Camera di Commercio Industria Artigianato Agricoltura di Padova
21
CODICE DELLA PRIVACY
riconosciuti a quest'ultimo dalla legge; tale informativa può essere
fornita oralmente o per iscritto e serve nient'altro che a
comunicare in maniera corretta all'interessato che verranno
effettuati determinati trattamenti sui suoi dati personali. Si tratta di
un atto per il quale non sono previste particolari formalità e che
deve essere redatto in maniera chiara e sintetica
Rispetto alla precedente normativa, il contenuto di tale informativa
(che ciascun titolare, privato o pubblico che sia, è tenuto a fornire
all'interessato) è stato ampliato dal nuovo Codice, includendovi
anche le informazioni circa i soggetti o le categorie di soggetti a
cui i dati possono essere comunicati o coloro che possono venirne
a conoscenza in qualità di responsabili o incaricati. Molto
importante è anche l'informazione sulle finalità e modalità del
trattamento, sull'eventuale trasferimento dei dati all'estero e sui
diritti di accesso o di partecipazione al trattamento.
In sostanza, l'informativa è una comunicazione con la quale il
titolare del trattamento illustra ai vari interessati il percorso che i
dati seguiranno, al fine di consentirgli di poter verificare in
qualunque momento se tale trattamento avviene nel rispetto delle
regole.
Ricapitolando, l'informativa
informazioni:
1)
2)
3)
4)
5)
6)
7)
8)
deve
contenere
le
seguenti
le finalità e le modalità del trattamento svolto;
la natura obbligatoria o facoltativa del conferimento dei dati;
le conseguenze dell'eventuale rifiuto del conferimento;
l'ambito di comunicazione e diffusione dei dati;
l'eventuale trasferimento dei dati all'estero;
i diritti dell'interessato;
l'indicazione del titolare;
l'indicazione del responsabile eventualmente individuato o di
quello designato per l'esercizio dei diritti dell'interessato (tra cui il
Camera di Commercio Industria Artigianato Agricoltura di Padova
22
CODICE DELLA PRIVACY
trattamento (ovviamente se ce ne sono).
Informativa e sito web
Particolare attenzione deve essere prestata se l'informativa viene
inserita in un sito web; infatti, l'attività economica svolta in internet
comporta praticamente sempre il trattamento di dati personali
(anche la semplice iscrizione ad una newsletter informativa
comporta il trattamento di dati degli utenti). La stessa attività di
profilazione dei visitatori in modo da conoscerne gusti, preferenze
e strutturare così un'efficace azione di marketing “one to one” nei
suoi confronti, comporta un trattamento di dati, in quanto così
facendo si procede ad un attento studio dei log file e dei cookies
(con l'utilizzo di appositi software).
Queste pratiche commerciali, scontrandosi con diritti
dell'interessato alla protezione dei propri dati personali, non sono
vietate all'imprenditore dalla normativa italiana, ma impongono
allo stesso di fornire all'interessato una adeguata informazione
sulle finalità e modalità del trattamento (art. 13 del Codice privacy).
Per quanto riguarda il mondo di internet, quindi, la raccolta e il
trattamento dei dati sono certamente sottoposti alla normativa
italiana in materia di protezione dei dati personali, ma
l'applicazione della legge è un po' più complessa; infatti, la raccolta
deve avvenire in modo esplicito, attraverso la predisposizione di un
form elettronico, nel quale viene richiesto all'utente di indicare i
propri dati personali (nome; cognome; tel.; indirizzo e-mail) e viene
ad esso garantito il diritto di accedere, modificare o cancellare i
suoi dati secondo l'art. 7 del D. L.gs. 196/2003).
Secondo quanto stabilito dal Gruppo europeo di Lavoro per la
tutela dei dati personali (Raccomandazione 2/2001 relativa ai
requisiti minimi per la raccolta di dati on line nell'Unione Europea
adottata il 17.5.2001), ai fini della raccolta dovranno essere
comunicate all'interessato, facendole apparire direttamente sullo
schermo, le seguenti informazioni:
Camera di Commercio Industria Artigianato Agricoltura di Padova
23
CODICE DELLA PRIVACY
1. l'identità del responsabile del trattamento;
2. la/le finalità del trattamento;
3. la natura obbligatoria o facoltativa delle informazioni richieste;
4. i destinatari o le categorie di destinatari dei dati raccolti;
5. l'esistenza del diritto di accesso e di rettifica;
6. l'esistenza del diritto di opporsi a qualsiasi comunicazione dei
dati a terzi con finalità diverse dalla fornitura del servizio richiesto e
le modalità per esercitare tale diritto;
7. l'esistenza di procedure di raccolta automatica di dati prima di
utilizzare simili metodi per detta raccolta;
8. il livello di sicurezza nel corso di tutte le fasi del trattamento
compresa la trasmissione.
Tali informazioni andrebbero fornite in tutte le lingue usate nel sito
web e, specialmente, in quei passaggi ove avviene la raccolta dei
dati personali.
A prescindere dal fatto che la raccolta venga effettuata sul web o
meno, le informazioni contenute nell'“informativa privacy” devono
essere rese all'interessato nel momento della raccolta dei suoi dati
oppure, in caso di raccolta di dati presso terzi, non oltre il momento
della registrazione dei dati o della loro prima comunicazione degli
stessi.
Nella raccolta on line dei dati personali, è buona norma precisare
anche le conseguenze di un eventuale rifiuto a fornire i dati,
specificando nell'apposito form quali di questi siano facoltativi e
quali, invece, obbligatori (apponendo su di essi un [*] asterisco);
ricordiamo che per obbligatorietà deve intendersi il necessario
conferimento che scaturisce da disposizioni normative, senza il
quale sarebbe impossibile fornire il servizio richiesto e dare così
attuazione agli specifici accordi contrattuali eventualmente presi.
Da questa breve elencazione del contenuto dell'informativa, risulta
che il titolare del trattamento dovrà predisporre informative,
Camera di Commercio Industria Artigianato Agricoltura di Padova
24
CODICE DELLA PRIVACY
sufficientemente precise, complete e diverse a seconda delle varie
categorie interessate (i parametri di riferimento sono l'analisi delle
singole categorie interessate, la natura dei dati trattati, le diverse
finalità e la tipologia dei dati trattati), per non incorrere in eventuali
sanzioni previste dal Codice. Nell'informativa, oltre all'indicazione
degli articoli 7 e 13 del Codice, dovrà, essere indicato il
responsabile del trattamento (se è stato designato, poiché si tratta
di una figura facoltativa) e l'eventuale responsabile per il riscontro.
Nel caso di un sito web, si dovrà sempre indicare il sito di
riferimento o le altre modalità idonee a consentire la conoscenza
dell'eventuale elenco completo dei responsabili.
Il consenso al trattamento
L'art. 23 del Codice, al primo comma, sancisce che “il trattamento di
dati personali da parte di privati o di enti pubblici economici è
ammesso solo con il consenso espresso dell'interessato”.
Il trattamento dei dati personali, infatti, presuppone un preventivo
consenso informato da parte dell'interessato (il consenso
dell'interessato deve essere manifestato dopo avergli conferito,
quindi, un'adeguata informativa e previa autorizzazione del
Garante ove richiesta).
Il consenso non è altro che una libera ed espressa manifestazione
di volontà con la quale l'interessato accetta un determinato
trattamento dei suoi dati personali, sul quale è stato
preventivamente informato. Tale manifestazione di volontà deve
essere esplicita, libera e documentata per iscritto.
La funzione del consenso è quella di autorizzare il titolare a trattare
i dati personali dell'interessato e si distingue in un consenso
semplice (cioè fornito oralmente, ma comunque documentato per
iscritto) per il trattamento dei dati comuni ed un consenso
Camera di Commercio Industria Artigianato Agricoltura di Padova
25
CODICE DELLA PRIVACY
necessariamente essere fornito per iscritto in riferimento a quei
dati definiti sensibili.
La mancanza del consenso può comportare anche l'applicazione di
sanzioni penali (come sono previste sanzioni amministrative in
caso di mancata o inidonea informativa), ferma restando la
responsabilità civile in caso di accertamento di eventuali danni
derivanti dall'uso illecito dei dati raccolti (ex art. 15 del Codice).
Ci sono dei casi in cui il consenso per il trattamento dei dati
personali - non sensibili - non è richiesto (art. 24 D.lgs 196/2003). In
particolare, il consenso non è richiesto quando:
a) è necessario per adempiere ad un obbligo previsto dalla legge,
da un regolamento o dalla normativa comunitaria;
b) è necessario per eseguire obblighi derivanti da un contratto del
quale è parte l'interessato o per adempiere, prima della
conclusione del contratto, a specifiche richieste
dell'interessato (es. nella fatturazione, nella fase di trattativa
commerciale).
Per quanto concerne lo svolgimento di attività economiche
si deve far riferimento all'attività svolta dall'interessato e non a
quella svolta dal titolare: il titolare, pertanto, non deve richiedere
il consenso al suo fornitore per trattare il dato necessario allo
svolgimento dell'attività economica di quest'ultimo (si pensi alla
partita IVA dovuta ai fini di fatturazione);
c) riguarda dati provenienti da pubblici registri, elenchi, atti o
documenti conoscibili da chiunque, fermi restando i limiti e le
modalità che le leggi, i regolamenti o la normativa comunitaria
stabiliscono per la conoscibilità e pubblicità dei dati;
d) riguarda dati relativi allo svolgimento di attività economiche,
trattati nel rispetto della vigente normativa in materia di
segreto aziendale e industriale;
e) è necessario per la salvaguardia della vita o dell'incolumità
fisica di un terzo. Se la medesima finalità riguarda l'interessato e
quest'ultimo non può prestare il proprio consenso per
impossibilità fisica, per incapacità di agire o per incapacità di
intendere o di volere, il consenso è manifestato da chi esercita
Camera di Commercio Industria Artigianato Agricoltura di Padova
26
CODICE DELLA PRIVACY
legalmente la potestà, ovvero da un prossimo congiunto, da un
familiare, da un convivente o, in loro assenza, dal responsabile della
struttura presso cui dimora l'interessato;
f ) con esclusione della diffusione, è necessario ai fini
dello svolgimento delle investigazioni difensive di cui alla
legge 7 dicembre 2000, n. 397, o, comunque, per far valere o
difendere un diritto in sede giudiziaria, sempre che i dati
siano trattati esclusivamente per tali finalità e per il periodo
strettamente necessario al loro perseguimento, nel rispetto della
vigente normativa in materia di segreto aziendale e industriale;
g) con esclusione della diffusione, è necessario, nei casi individuati
dal Garante sulla base dei principi sanciti dalla legge, per
perseguire un legittimo interesse del titolare o di un terzo
destinatario dei dati, anche in riferimento all'attività di gruppi
bancari e di società controllate o collegate, qualora non prevalgano
i diritti e le libertà fondamentali, la dignità o un legittimo interesse
dell'interessato (principio del bilanciamento di interessi);
h) con esclusione della comunicazione all'esterno e della diffusione,
è effettuato da associazioni, enti od organismi senza scopo di lucro,
anche non riconosciuti, in riferimento a soggetti che hanno
con essi contatti regolari o ad aderenti, per il perseguimento
di scopi determinati e legittimi individuati dall'atto costitutivo,
dallo statuto o dal contratto collettivo, e con modalità di
utilizzo previste espressamente con determinazione resa nota agli
interessati all'atto dell'informativa ai sensi dell'articolo 13;
i) è necessario, in conformità ai rispettivi codici di deontologia di cui
all'allegato A), per esclusivi scopi scientifici o statistici, ovvero per
esclusivi scopi storici presso archivi privati dichiarati di notevole
interesse storico ai sensi dell'articolo 6, comma 2, del decreto
legislativo 29 ottobre 1999, n. 490, di approvazione del testo unico
in materia di beni culturali e ambientali o, secondo quanto previsto
dai medesimi codici, presso altri archivi privati.
Camera di Commercio Industria Artigianato Agricoltura di Padova
27
CODICE DELLA PRIVACY
I soggetti pubblici (come pubblica amministrazione, enti camerali,
alcuni enti previdenziali o assistenziali, ecc.), inoltre, non hanno
l'obbligo di raccogliere il consenso degli interessati, poiché la legge
consente loro di effettuare trattamenti di dati personali soltanto
per lo svolgimento delle funzioni istituzionali, nei limiti stabiliti da
leggi e da regolamenti (si vedano in proposito gli artt. 18-22 del
Codice). In proposito, può essere utile prendere attenta visione
della direttiva n. 1 dell'11/02/2005 della Pres. del Consiglio dei
Ministri - Dipartimento della Funzione pubblica.
Espressione del consenso nei siti web
Nel caso del titolare di un sito web il consenso al trattamento non è
un obbligo sempre previsto e, ad esempio, quando il trattamento
dei dati è necessario per adempiere a specifiche richieste
dell'interessato al servizio on line, si ricade nelle esclusioni dell'art.
24 del Codice.
Quando il consenso è invece necessario, il titolare del sito aziendale
dovrà avere l'accortezza di inserire nella specifica pagina del sito
web un'apposita “casella di spunta”, sulla quale occorre cliccare per
attestare l'avvenuta autorizzazione al trattamento dei propri dati
personali (previa visione di un'adeguata informativa ex art. 13 del
Codice).
Anche per internet il consenso deve essere preventivo rispetto al
trattamento dei dati e, perché sia validamente prestato, deve
essere espresso “liberamente” e “in relazione ad un trattamento
chiaramente individuato”(il “consenso omnibus”, dunque, viene
visto come una sostanziale esclusione del principio stesso del
consenso), nonché deve essere sempre “informato” (ossia
preceduto, come già sottolineato, da una corretta informativa).
Qualora abbia ad oggetto dati sensibili, il consenso deve essere
rilasciato in forma scritta, mentre, negli altri casi, è sufficiente che
sia “documentato” per iscritto.
Camera di Commercio Industria Artigianato Agricoltura di Padova
28
CODICE DELLA PRIVACY
AUTORIZZAZIONI DEL GARANTE E TRATTAMENTO DEI DATI
SENSIBILI
L'art. 26 del Codice recita espressamente “i dati sensibili possono
essere oggetto di trattamento solo con il consenso scritto
dell'interessato (salvi i casi di esclusione espressamente previsti
nello stesso articolo) e previa autorizzazione del Garante,
nell'osservanza dei presupposti e dei limiti stabiliti dal presente
codice, nonché dalla legge e dai regolamenti”. L'autorizzazione è,
quindi, un provvedimento adottato dal Garante con cui il titolare
(ente, azienda o libero professionista) viene autorizzato a trattare
determinati dati “sensibili” o “giudiziari” o a trasferire dati personali
all'estero.
Il Garante, ad oggi, ha emanato una serie di “autorizzazioni
generali” che consentono il trattamento dei dati sensibili a
determinate categorie di titolari.
In particolare, in tema di dati sensibili e giudiziari, il Garante ha
emanato sette autorizzazioni generali, che consentono a varie
categorie di titolari di trattare dati per gli scopi specificati senza
dover chiedere singolarmente un'apposita autorizzazione.
Si distinguono in Generali e Specifiche: le prime, sono emanate dal
Garante annualmente e riguardano il trattamento dei dati in
specifici settori; le seconde, sono quelle che non rientrano nelle
autorizzazioni generali e che, come tali, necessitano di una
specifica ed individuale autorizzazione.
Il Garante ha recentemente rilasciato le nuove 7 autorizzazioni al
trattamento dei dati sensibili e giudiziari che saranno efficaci dal 1°
gennaio 2006 sino al 30 giugno 2007. Le autorizzazioni generali
sono facilmente acquisibili sul sito web del Garante.
.
Camera di Commercio Industria Artigianato Agricoltura di Padova
29
CODICE DELLA PRIVACY
3. LE MISURE DI SICUREZZA
Posto che “riservatezza” non ha lo stesso significato di “sicurezza”, la
tutela della privacy non può prescindere da un'adeguata
predisposizione di strumenti di difesa che impediscano la perdita
accidentale dei dati o l'accesso abusivo agli stessi.
Per “misure di sicurezza”, pertanto, devono essere intesi tutti gli
accorgimenti e i dispositivi utilizzati per garantire che:
i dati non vadano distrutti o persi anche in modo accidentale;
che solo le persone autorizzate possano avere accesso ai dati;
che non siano effettuati trattamenti contrari alle norme di
legge o diversi da quelli per cui i dati erano stati raccolti.
Sicurezza e Internet
L'esigenza di protezione dei dati è avvertita in maniera ancor più
concreta nel mondo di internet, dato che si tratta di una “rete
aperta”, una rete, cioè, in cui i messaggi sono sempre esposti al
rischio di accessi non autorizzati e viaggiano liberamente da un
computer all'altro, con la possibilità di essere continuamente
intercettati. Ecco, quindi, che emerge l'esigenza, per le aziende, enti
e pubbliche amministrazioni che operano ormai quotidianamente
su internet, di proteggersi con strumenti più adeguati e sofisticati.
Rispetto alle più ampie misure che il titolare deve applicare a tutela
dei dati, infatti, il Codice e, più in particolare, il suo allegato B del
Codice ha indicato delle specifiche misure di sicurezza che è
obbligatorio adottare per non correre il rischio di perdita o
distruzione dei dati e di “incappare” anche in responsabilità penali
e per garantire così un livello minimo di protezione agli strumenti
informatici.
Sono stati fissati, quindi, una serie di criteri e accorgimenti (es.
Camera di Commercio Industria Artigianato Agricoltura di Padova
31
CODICE DELLA PRIVACY
titolari devono adottare e che sono via via più pregnanti a seconda
che il trattamento elettronico riguardi dati personali comuni o
sensibili. Tali misure, inoltre, dovranno essere sempre adeguate
periodicamente in base allo sviluppo tecnologico ed all'esperienza
maturata.
Particolari misure di sicurezza sono comunque previste anche in
caso di trattamenti cartacei di dati personali.
Misure di sicurezza minime e idonee
Le misure di sicurezza previste dal Codice sono, quindi, classificate
dal legislatore in “minime” e “idonee”.
Le prime (disciplinate dagli artt. 33 e ss. del Codice ed individuate
in maniera specifica dal disciplinare tecnico di cui al c.d.”allegato
B”) sono volte ad assicurare un livello minimo di protezione dei dati
personali trattati, tanto che una loro mancata adozione comporta
notevoli sanzioni (illecito punito dell'art. 169 T.U con l'arresto fino a
2 anni o con l'ammenda da 10.000 a 50.000 Euro).
Le seconde (disciplinate dall'art. 31 del Codice), impongono al
titolare del trattamento dei dati personali la predisposizione di
tutte quelle misure di sicurezza idonee a ridurre al minimo “i rischi
di distruzione o perdita, anche accidentale, dei dati stessi, di
accesso non autorizzato o di trattamento non consentito o non
conforme alle finalità della raccolta”, in modo che i dati personali
oggetto di trattamento siano “custoditi e controllati, anche in
relazione alle conoscenze acquisite in base al progresso tecnico,
alla natura dei dati e alle specifiche caratteristiche del trattamento”.
Quindi, nonostante l'adeguamento alle misure minime espressamente indicate dal legislatore negli artt. 33 e segg. e
dall'allegato B e la cui mancata adozione è pesantemente
sanzionata - comporti per il titolare del trattamento l'assenza di
responsabilità penali, tuttavia, non si può escludere un eventuale
Camera di Commercio Industria Artigianato Agricoltura di Padova
32
CODICE DELLA PRIVACY
del titolare del trattamento in azioni di risarcimento danni da
responsabilità civile, qualora l'evoluzione tecnologica abbia reso
disponibili accorgimenti ulteriori che soddisfino le misure
dichiarate “idonee”. Il titolare del trattamento potrebbe essere,
infatti, responsabile perchè “chiunque cagiona danno ad altri per
effetto del trattamento dei dati personali è tenuto al risarcimento
ai sensi dell'art. 2050 c.c.” (art. 15, D. Lgs. 196/03); norma che
equipara di fatto il trattamento di dati personali all'“esercizio di
attività pericolose”. Una tale responsabilità potrà essere esclusa solo
se si dimostra di aver adottato tutte le misure idonee ad evitare il
danno.
Riassumendo, le imprese o le pubbliche amministrazioni che
operino trattamenti di dati personali nelle loro attività on line o off
line, al fine di “ridurre i rischi di distruzione o perdita, anche
accidentale, dei dati stessi, di accesso non autorizzato o di
trattamento non consentito o non conforme alle finalità della
raccolta”, dovranno:
a) osservare il livello di sicurezza minimo di legge (per evitare
conseguenze penali);
b) approntare le misure di sicurezza ulteriori ed idonee, che in base
al singolo caso concreto si potevano predisporre (altrimenti
potrebbero essere costrette a risarcire i danni eventualmente
cagionati a terzi).
Le misure di sicurezza minime
Per quanto riguarda le misure di sicurezza minime espressamente
indicate dal legislatore, l'art. 35 del Codice prevede che “il
trattamento di dati personali effettuato senza l'ausilio di strumenti
elettronici è consentito solo se sono adottate, nei modi previsti dal
disciplinare tecnico contenuto nell'allegato B), le seguenti misure
minime:
a) aggiornamento periodico dell'individuazione dell'ambito del
trattamento consentito ai singoli incaricati o alle unità
Camera di Commercio Industria Artigianato Agricoltura di Padova
33
CODICE DELLA PRIVACY
archivi ad accesso selezionato e disciplina delle modalità di
accesso finalizzata all'identificazione degli incaricati”.
Mentre l'art. 34 afferma che “il trattamento di dati personali
effettuato con strumenti elettronici è consentito solo se sono
adottate, nei modi previsti dal disciplinare tecnico contenuto
nell'allegato B), le seguenti misure minime:
autenticazione informatica;
adozione di procedure di gestione delle credenziali di
autenticazione;
utilizzazione di un sistema di autorizzazione;
aggiornamento periodico dell'individuazione dell'ambito del
trattamento consentito ai singoli incaricati e addetti alla gestione o
alla manutenzione degli strumenti elettronici;
protezione degli strumenti elettronici e dei dati rispetto a
trattamenti illeciti di dati, ad accessi non consentiti e a determinati
programmi informatici;
adozione di procedure per la custodia di copie di sicurezza, il
ripristino della disponibilità dei dati e dei sistemi;
tenuta di un aggiornato documento programmatico sulla
sicurezza;
adozione di tecniche di cifratura o di codici identificativi per
determinati trattamenti di dati idonei a rivelare lo stato di salute o
la vita sessuale effettuati da organismi sanitari”
Tra le varie misure di sicurezza minime previste ed in base alle
disposizioni del Codice che regolano la particolare materia della
sicurezza dei dati personali, particolare attenzione merita la
predisposizione del c.d. Documento Programmatico sulla Sicurezza
(D.P.S.) - si ricorda che, dopo le continue proroghe concesse dal
legislatore (il 22 dicembre 2005 il Governo ha approvato un nuovo
decreto "milleproroghe" -D.L. 30 dicembre 2005, n.273 contenente l'ennesima proroga della proroga delle misure minime
di sicurezza), il termine ultimo per adeguarsi a tale misura di
sicurezza è il 31 marzo 2006, (salvo ulteriori provvedimenti di
proroga).
Camera di Commercio Industria Artigianato Agricoltura di Padova
34
CODICE DELLA PRIVACY
IL D.P.S.
Il DPS è un dettagliato resoconto sulle misure di sicurezza adottate
da imprese ed enti pubblici, nella loro qualità di titolari, circa il
trattamento di dati personali altrui, al fine di evitare o ridurre al
minimo il verificarsi di qualsiasi tipo di evento che possa mettere in
pericolo o recare un danno a carico degli stessi dati personali.
Sostanzialmente, il DPS può essere considerato una fotografia della
privacy policy adottata in tema di sicurezza dei dati personali e,
una volta redatto, esso deve essere custodito in un luogo preciso e
sicuro per eventuali possibili controlli.
Per individuare i soggetti tenuti alla redazione di tale documento,
bisogna far riferimento agli articoli 33 e ss. del Codice, nonché alle
disposizioni di cui all'Allegato B al Codice stesso. Le misure
individuate dal Codice e definite “minime”, come già ricordato, sono
volte ad assicurare un livello minimo di protezione dei dati
personali (art. 33), rappresentando la base minima da cui partire
per dotarsi di misure di sicurezza sempre migliori e più efficaci e
per evitare di incorrere nelle sanzioni penali previste dall'art. 169.
Infatti, i parametri per garantire la sicurezza dei dati personali sono
soggetti a continue variazioni, e questo:
- in base alle conoscenze acquisite in base al progresso tecnico;
- in base alla natura dei dati e alle specifiche caratteristiche del
trattamento (art. 31).
In tema di redazione del DPS bisogna far riferimento alle
operazioni di trattamento dei dati personali a seconda che le stesse
avvengano con o senza l'ausilio di strumenti elettronici (vd. art. 34 Trattamenti con strumenti elettronici - ed art. 35 - Trattamenti
senza l'ausilio di strumenti elettronici, che richiamano anche il
disciplinare tecnico dell'Allegato B); solo l'art. 34 dispone,
nell'ipotesi di trattamento elettronico di dati personali, la tenuta di
un aggiornato documento programmatico sulla sicurezza. Quindi,
Camera di Commercio Industria Artigianato Agricoltura di Padova
35
CODICE DELLA PRIVACY
strumenti elettronici, non occorre la redazione del DPS, anche se
nel caso in cui il trattamento cartaceo abbia ad oggetto dati
sensibili e/o giudiziari, i punti 27 e ss. dell'Allegato B prevedono
delle regole procedurali piuttosto rigide e, forse, la redazione del
DPS rimarrebbe più che opportuna.
Occorre riferire che secondo l'interpretazione di buona parte della
dottrina, l'art. 34, integrato dalla disposizione del punto 19 del
Disciplinare tecnico / allegato B), farebbe risultare l'obbligo
(penalmente sanzionato) di predisposizione del DPS solo per il
titolare che effettua trattamenti di dati sensibili o giudiziari tramite
strumenti elettronici (interpretazione confermata anche dal Parere
del Garante del 24 marzo 2004 ). 1
Si può così concludere che il DPS, secondo una lettura letterale e
rigida della nuova normativa, sarebbe dovuto sempre nelle ipotesi
di trattamento elettronico di dati personali di qualsiasi tipo (ex art.
34 del Codice) e sarebbe consigliabile nelle ipotesi di trattamento
cartaceo di dati sensibili e giudiziari. Invece, secondo una
interpretazione più elastica della normativa in vigore, la redazione
del DPS sarebbe obbligatoria solo e soltanto in presenza di
trattamenti elettronici di dati sensibili.
1
Parere acquisibile sul sito del Garante per la protezione dei dati personali. Si
sottolinea, in proposito, che quelli del Garante sono pareri di natura non
vincolante per un giudice e ancora non ci sono provvedimenti giudiziali che
possano costituire un minimo di precedente o comunque una chiave di lettura
sicura per l'interprete. Anche per tale motivo a parte della dottrina e allo
scrivente avv. Lisi appare preferibile una lettura più ampia e rigida degli obblighi
di redazione del DPS.
Vi è, tuttavia, chi non è d'accordo con tale linea interpretativa, sostenendo che,
benché il parere del Garante non sia giuridicamente vincolante, tuttavia
l'interpretazione fornita dall'Authority derivi da una lettura combinata delle
norme. Quindi vi è un dibattito in dottrina non ancora sanato da interpretazioni
autentiche o precedenti giurisprudenziali.
Camera di Commercio Industria Artigianato Agricoltura di Padova
36
CODICE DELLA PRIVACY
A parere di chi scrive, in presenza di questo dibattito dottrinale e a
prescindere dalla obbligatorietà (sanzionata penalmente con l'art.
169 del Codice) del D.P.S. quale misura minima di sicurezza, tale
documento è altamente consigliabile nel caso in cui - sulla base di
una ragionata analisi della propria organizzazione - si sia in
presenza di una struttura interna complessa e informatizzata.
Inoltre, il D.P.S. è sempre uno strumento utile perché offre al titolare
la possibilità di provare, con un documento cartaceo, di aver
adottato tutte quelle misure volte ad evitare danni (o quantomeno
a ridurli) derivanti dal trattamento di dati personali altrui, anche in
considerazione del fatto che l'attività di trattamento è paragonata
dal nostro legislatore (vd. già citato art. 15 del Codice) ad una
attività pericolosa di cui all'art. 2050 c.c., con ogni conseguenza che
ne deriva in tema di risarcimento danni (anche non patrimoniali)
ed onere della prova.
Il contenuto del DPS varia da impresa ad impresa ed a seconda che
si tratti di azienda, Pubblica Amministrazione o Ente Pubblico.
Questo documento deve contenere:
- l'elenco dei trattamenti di dati personali;
- la distribuzione dei compiti e delle responsabilità nell'ambito
delle strutture preposte al trattamento dei dati;
- l'analisi dei rischi che incombono sui dati;
- le misure da adottare per garantire l'integrità e la disponibilità
dei dati, nonché la protezione delle aree e dei locali, rilevanti ai
fini della loro custodia e accessibilità;
- la descrizione dei criteri e delle modalità per il ripristino della
disponibilità dei dati in seguito a possibili eventi di distruzione o
danneggiamento;
- la previsione di interventi formativi degli incaricati del
trattamento, per renderli edotti dei rischi che incombono sui
dati, delle misure disponibili per prevenire eventi dannosi, dei
profili della disciplina sulla protezione dei dati personali più
Camera di Commercio Industria Artigianato Agricoltura di Padova
37
CODICE DELLA PRIVACY
rilevanti in rapporto alle relative attività, delle responsabilità che
ne derivano e delle modalità per aggiornarsi sulle misure minime
adottate dal titolare;
- la descrizione dei criteri da seguire per garantire l'adozione delle
misure minime di sicurezza in caso di trattamenti di dati
personali affidati, in conformità al Codice, all'esterno della
struttura del titolare;
- inoltre, per quei dati personali idonei a rivelare lo stato di salute
e la vita sessuale, il Codice prevede l'individuazione dei criteri
da adottare per la cifratura o per la separazione di tali dati dagli
altri dati personali dell'interessato.
L'utilità di tale documento è rinvenibile, soprattutto, nella
possibilità di comprendere il funzionamento dell'azienda o della
Pubblica Amministrazione circa i trattamenti effettuati al loro
interno e, cosa più importante, consentirà una tutela efficace
contro possibili sanzioni penali e pretestuose richieste di
risarcimento danni provenienti da quanti ritengono di essere stati
vittime di eventuali violazioni nel trattamento dei loro dati
personali.
Con l'entrata in vigore della Legge 1 marzo 2005, n. 26, tuttavia, si è
avuto un ulteriore slittamento dei termini per l'adeguamento alle
“nuove misure minime di sicurezza”. In particolare, è stato
modificato l'art 180 del D. Lgs. 196/2003, che ha prorogato il
termine per l'adozione del DPS, che è stato così posticipato al 31
dicembre 2005 (si ricorda che questo termine è stato recentemente
prorogato al 31 marzo 2006); inoltre, per chi utilizza strumenti
elettronici che non permettono l'immediato adeguamento alle
misure minime (ad esempio, chi possiede pc con sistemi operativi
obsoleti), il termine per tale adeguamento scadrà il 31 marzo 2006
(prorogato con il recente decreto “milleproroghe” al 30 giugno
2006), purché il titolare del trattamento rediga un documento
avente data certa contenente le obiettive ragioni tecniche che non
consentono il dovuto adeguamento.
Camera di Commercio Industria Artigianato Agricoltura di Padova
38
CODICE DELLA PRIVACY
N.B.
Tale proroga, di fatto, non ha comportato l'intero slittamento
dell'applicazione della normativa sulla privacy, riferendosi solo alle
sole nuove misure di sicurezza non previste dalla precedente
normativa (legge 675/1996 e il D.P.R. n. 318/1999). Tra gli
adempimenti che devono già essere posti in essere si sottolinea,
quindi, l'importanza e l'obbligatorietà di un'idonea informativa e la
nomina (da farsi per iscritto) di incaricati e di eventuali
responsabili; la regola del necessario consenso prima di effettuare
il trattamento dei dati (fatte salve le eccezioni previste dal Codice
nell'art. 24), nonché l'obbligo di attribuzione di codici identificativi
personali per l'utilizzo degli strumenti informatici.
Camera di Commercio Industria Artigianato Agricoltura di Padova
39
CODICE DELLA PRIVACY
4. IL SISTEMA SANZIONATORIO
Al sistema sanzionatorio è dedicato il Titolo III della Parte III del
Codice della Privacy.
Nel Capo primo vengono definite le sanzioni amministrative (le
novità più rilevanti, rispetto alla normativa precedente, si
rinvengono sotto il profilo dell'inasprimento delle sanzioni):
Art. 161
(Omessa o inidonea informativa all'interessato)
1. La violazione delle disposizioni di cui all'articolo 13 è punita con la sanzione amministrativa del
pagamento di una somma da tremila euro a diciottomila euro o, nei casi di dati sensibili o giudiziari o
di trattamenti che presentano rischi specifici ai sensi dell'articolo 17 o, comunque, di maggiore
rilevanza del pregiudizio per uno o più interessati, da cinquemila euro a trentamila euro. La somma
può essere aumentata sino al triplo quando risulta inefficace in ragione delle condizioni economiche
del contravventore.
Art. 162
(Altre fattispecie)
1. La cessione dei dati in violazione di quanto previsto dall'articolo 16, comma 1, lettera b), o di altre
disposizioni in materia di disciplina del trattamento dei dati personali è punita con la sanzione
amministrativa del pagamento di una somma da cinque mila euro a trentamila euro.
2 La violazione della disposizione di cui all'articolo 84, comma 1, è punita con la sanzione
amministrativa del pagamento di una somma da cinquecento euro a tremila euro.
Art. 163
(Omessa o incompleta notificazione)
1. Chiunque, essendovi tenuto, non provvede tempestivamente alla notificazione ai sensi degli
articoli 37 e 38, ovvero indica in essa notizie incomplete, è punito con la sanzione amministrativa del
pagamento di una somma da diecimila euro a sessantamila euro e con la sanzione amministrativa
accessoria della pubblicazione dell'ordinanza-ingiunzione, per intero o per estratto, in uno o più
giornali indicati nel provvedimento che la applica.
Art. 164
(Omessa informazione o esibizione al Garante)
1. Chiunque omette di fornire le informazioni o di esibire i documenti richiesti dal Garante ai sensi
degli articoli 150, comma 2, e 157 è punito con la sanzione amministrativa del pagamento di una
somma da quattromila euro a ventiquattromila euro.
Art. 165
(Pubblicazione del provvedimento del Garante)
1. Nei casi di cui agli articoli 161, 162 e 164 può essere applicata la sanzione amministra-tiva
accessoria della pubblicazione dell'ordinanza-ingiunzione, per intero o per estratto, in uno o più
giornali indicati nel provvedimento che la applica.
Art. 166
(Procedimento di applicazione)
1. L'organo competente a ricevere il rapporto e ad irrogare le sanzioni di cui al presente capo e
all'articolo 179, comma 3, è il Garante. Si osservano, in quanto applicabili, le disposizioni della legge
24 novembre 1981, n. 689, e successive modificazioni. I proventi, nella misura del cinquanta per cento
del totale annuo, sono riassegnati al fondo di cui all'articolo 156, comma 10, e sono utilizzati
unicamente per l'esercizio dei compiti di cui agli articoli 154, comma 1, lettera h), e 158.
Camera di Commercio Industria Artigianato Agricoltura di Padova
41
CODICE DELLA PRIVACY
Nel Capo secondo vengono descritte le varie condotte che
costituiscono illecito penale:
Art. 167
(Trattamento illecito di dati)
1. Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sé o per altri profitto o di
recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli
articoli 18, 19, 23, 123, 126 e 130, ovvero in applicazione dell'articolo 129, è punito, se dal fatto deriva
nocumento, con la reclusione da sei a diciotto mesi o, se il fatto consiste nella comunicazione o diffusione,
con la reclusione da sei a ventiquattro mesi.
2. Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sé o per altri profitto o di
recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli
articoli 17, 20, 21, 22, commi 8 e 11, 25, 26, 27 e 45, è punito, se dal fatto deriva nocumento, con la
reclusione da uno a tre anni.
Art. 168
(Falsità nelle dichiarazioni e notificazioni al Garante)
1. Chiunque, nella notificazione di cui all'articolo 37 o in comunicazioni, atti, documenti o dichiarazioni resi
o esibiti in un procedimento dinanzi al Garante o nel corso di accertamenti, dichiara o attesta falsamente
notizie o circostanze o produce atti o documenti falsi, è punito, salvo che il fatto costituisca più grave
reato, con la reclusione da sei mesi a tre anni.
Art. 169
(Misure di sicurezza)
1. Chiunque, essendovi tenuto, omette di adottare le misure minime previste dall'articolo 33 è punito con
l'arresto sino a due anni o con l'ammenda da diecimila euro a cinquantamila euro.
2. All'autore del reato, all'atto dell'accertamento o, nei casi complessi, anche con successivo atto del
Garante, è impartita una prescrizione fissando un termine per la regolarizzazione non eccedente il periodo
di tempo tecnicamente necessario, prorogabile in caso di particolare complessità o per l'oggettiva
difficoltà dell'adempimento e comunque non superi ore a sei mesi. Nei sessanta giorni successivi allo
scadere del termine, se risulta l'adempimento alla prescrizione, l'autore del reato è ammesso dal Garante a
pagare una somma pari al quarto del massimo dell'ammenda stabilita per la contravvenzione.
L'adempimento e il pagamento estinguono il reato. L'organo che impartisce la prescrizione e il pubblico
ministero provvedono nei modi di cui agli articoli 21, 22, 23 e 24 del decreto legislativo 19 dicembre 1994,
n. 758, e successive modificazioni, in quanto applicabili.
Art. 170
(Inosservanza di provvedimenti del Garante)
1. Chiunque, essendovi tenuto, non osserva il provvedimento adottato dal Garante ai sensi degli articoli
26, comma 2, 90, 150, commi 1 e 2, e 143, comma 1, lettera c), è punito con la reclusione da tre mesi a due
anni.
Art. 171
(Altre fattispecie)
1. La violazione delle disposizioni di cui agli articoli 113, comma 1, e 114 è punita con le sanzioni di cui
all'articolo 38 della legge 20 maggio 1970, n. 300.
Art. 172
(Pene accessorie)
1. La condanna per uno dei delitti previsti dal presente codice importa la pubblicazione della sentenza
Per l'impresa che opera in internet, vista la potenziale diffusione alla quale
possono essere sottoposti i dati personali trattati ed il conseguente pregiudizio
che l'interessato potrebbe subire, appare ragionevole l'astratta applicabilità delle
sanzioni più alte o dei massimi edittali. E' consigliabile, quindi, che il trattamento
“on line” dei dati personali avvenga con lo stesso rigore del trattamento
Camera di Commercio Industria Artigianato Agricoltura di Padova
42
CODICE DELLA PRIVACY
Parte seconda
F.A.Q. - Domande più frequenti:
risposte ai 60 quesiti più significativi rivolti allo
"sportello privacy" di PromoPadova
Azienda speciale della Camera di Commercio di Padova.
A cura di
Avv. Andrea Lisi - www.studiodl.it
e
Avv. Marzio Vaglio - www.vaglio.org
Camera di Commercio Industria Artigianato Agricoltura di Padova
43
CODICE DELLA PRIVACY
Indice dei quesiti
1)
2)
3)
4)
5)
6)
7)
8)
9)
10)
11)
12)
13)
14)
15)
16)
17)
18)
19)
20)
21)
22)
23)
24)
25)
26)
27)
28)
29)
30)
31)
32)
Nuova informativa-tipo
Pag. 49
Fac-simile informativa per clienti e fornitori
Pag. 50
Informativa-tipo per raccolta dati e invio e-mail senza consenso Pag. 53
Informativa privacy ente pubblico
Pag. 54
Informativa contenuta nei pieghevoli informativi
Pag. 55
Informativa L. 675/96 - Legittimità
Pag. 57
Vecchia informativa e consenso
Pag. 58
Informativa per fornitori e clienti
Pag. 59
Caso gestione busta paga per dipendenti iscritti a un sindacato Pag. 60
Autorizzazione del garante e differenza con notifica
Pag. 61
Modalità di notifica al garante
Pag. 64
Caso azienda di telemarketing - Operare secondo mandato
Pag. 65
Telemarketing e privacy
Pag. 66
Trattamento dati sensibili e cifratura
Pag. 70
Studio di commercialisti e rapporti con garante
Pag. 71
Caso agenzia immobiliare: dati personali raccolti su indicazione
dell'interessato e natura dei dati.
Pag. 72
Caso di società immobiliare ed eventuale necessità di notifica al
garante
Pag. 73
Consenso e dati inseriti in pubblici registri
Pag. 74
Dati gestiti da dipendenti
Pag. 75
Caso CED (Centro Elaborazione Dati) - E' necessario il consenso
per il trattamento di dati obbligatori da trasmettere a Inps, Inail, ecc.? Pag. 76
Oneri di privacy per operare in attività su mandato
Pag. 77
Notifica al garante e dati sensibili
Pag. 80
Cosè il DPS ?
Pag. 81
Consenso e Dps per aziende operanti nel commercio (Dati non
sensibili)
Pag. 82
DPS (Documento Programmatico sulla Sicurezza)
Pag. 85
Obbligo di DPS
Pag. 87
DPS, proroghe e data certa
Pag. 90
DPS e data certa
Pag. 92
Bilancio aziendale e DPS
Pag. 93
DPS, nota integrativa e relazioni sulla gestione
Pag. 94
DPS - Società capogruppo e filiali
Pag. 98
Dati sensibili e obbligatorietà del DPS
Pag.100
Camera di Commercio Industria Artigianato Agricoltura di Padova
45
CODICE DELLA PRIVACY
33)
34)
35)
36)
37)
38)
39)
40)
41)
42)
43)
44)
45)
46)
47)
48)
49)
50)
51)
52)
53)
54)
55)
56)
57)
58)
59)
60)
DPS e controlli di carattere ispettivo
Territorialità dei dati per consenso
Videosorveglianza e normativa
Scadenza per la notifica per aziende con videosorveglianza
Telecamera senza registrazione
Caso azienda produttrice di dispositivi medici su misura
Notifica per azienda produttrice di dispositivi medici su misura
Interpretazione del trattamento elettronico dei "dati sensibili e
giudiziari”
Azienda di software e titolarità del trattamento dei dati
Dati giudiziari per un'azienda di software
Società di software e obblighi privacy
Responsabilità nella creazione di software gestionali
DPS e azienda di software
Obbligatorietà della sala server
Custodia delle copie di back up
Misure di sicurezza e pc nel magazzino
Screen saver e pw
Dati personali dei dipendenti
Distribuzione dei dati personali degli ex dipendenti
Cv e privacy
Regolamento informatico interno
Trattenute, assegni familiari e dati sensibili
Privacy e foto da inserire su sito web
Normativa privacy applicabile per il sito web
Privacy e permanenza su un sito
Dati forniti a gestore di sito web
Privacy e form elettronici
Privacy e cookies
Camera di Commercio Industria Artigianato Agricoltura di Padova
Pag.
Pag.
Pag.
Pag.
Pag.
Pag.
Pag.
102
102
103
104
104
105
108
Pag.
Pag.
Pag.
Pag.
Pag.
Pag.
Pag.
Pag.
Pag.
Pag.
Pag.
Pag.
Pag.
Pag.
Pag.
Pag.
Pag.
Pag.
Pag.
Pag.
Pag.
109
112
114
117
120
121
123
125
125
126
127
127
129
129
131
132
132
133
133
134
134
47
CODICE DELLA PRIVACY
1. NUOVA INFORMATIVA - TIPO
Quale potrebbe essere la traccia di una informativa-tipo per
un'Azienda?
RISPOSTA Avv. Andrea Lisi
“D. Lgs. 30 giugno 2003, n° 196 - Codice in materia di protezione
dei dati personali.
Ai sensi e per gli effetti del D. Lgs. 196/2003, l'Azienda Y, sottoscrive
la presente quale espresso consenso al trattamento dei propri dati
personali da parte dell'Azienda X, e conferma di aver ricevuto
informativa sui seguenti punti:
1) i dati personali verranno trattati esclusivamente per gli scopi
connessi ai fini istituzionali dell'Azienda X, ovvero dipendenti da
obblighi di legge, ivi compresa l'adozione di misure di sicurezza;
2) i dati personali potranno essere trattati anche per finalità di
informazione circa le attività promozionali e di formazione
promosse dall'Azienda X, anche con newsletter a mezzo e-mail
e/o fax e/o posta di superficie;
3) i dati personali verranno trattati manualmente e con strumenti
automatizzati, conservati per la durata prevista dal D. Lgs.
196/2003 e alla fine distrutti;
4) il conferimento dei dati è obbligatorio per beneficiare dei servizi
di cui sopra e l'eventuale diniego di consenso comporta
l'impossibilità per l'Azienda X di erogare il servizio richiesto;
5) i dati personali non saranno diffusi presso terzi;
6) l'azienda interessata gode dei diritti assicurati dall'art. 7 del
citato D.Lgs. 196/2003, che potranno essere esercitati, secondo l'art.
8 D. Lgs. 196/2003, mediante apposita richiesta al titolare o al
responsabile del trattamento;
7) titolare del trattamento è ....................... [deve esserci sempre];
responsabile/i del trattamento è/sono ......................................
[se designato/i].
8) I dati verranno trattati dalle seguenti categorie di
incaricati……………… (Amministrazione, personale, Uff. tecnico etc…)
Data ..........................................
Camera di Commercio Industria Artigianato Agricoltura di Padova
49
CODICE DELLA PRIVACY
2. FAC SIMILE INFORMATIVA PER CLIENTI E FORNITORI
Avete dei fac-simile di informativa da mandare ai clienti e ai
fornitori (la nostra azienda si occupa esclusivamente di vendita e
acquisto ricambi per auto)?
RISPOSTA Avv. Andrea Lisi
Per fornire una adeguata informativa deve essere conosciuta bene
la società di riferimento in modo da poter redigere l'informativa in
maniera concreta e secondo le esigenze dell'azienda. Uno schema
utile come riferimento può essere quello che segue:
"Informativa ai sensi dell'art. 13 del decreto legislativo 30 giugno
2003, n. 196 in materia di protezione dei dati personali"
Gentile Utente/Cliente,
La informiamo che ai sensi dell'art.13 del decreto legislativo n.
196/03 i dati personali da Lei gentilmente forniti saranno trattati
presso la __________ S.p.A. avente sede in ________________ (__)
alla Via _________, ___ - Tel. ____________ - Fax n.
______________ mediante registrazione cartacea ed elettronica e
verranno utilizzati al solo scopo di:
- ottemperare agli obblighi previsti dalla legge, dai regolamenti e/o
dalla normativa comunitaria ed internazionale;
- dare integrale esecuzione a tutti gli obblighi contrattuali;
- elaborare studi e ricerche statistiche e di mercato;
- inviare materiale pubblicitario ed informativo;
- compiere attività dirette di vendita o di collocamento;
- inviare informazioni commerciali;
- effettuare comunicazioni commerciali interattive;
- (…)
I dati da Lei forniti potranno essere portati a conoscenza di terzi
per i quali ciò risulti necessario ed indispensabile (o comunque
funzionale) per lo svolgimento delle attività della ___________
S.p.A.; in ogni caso il trattamento avverrà con modalità idonee a
garantirne la sicurezza e la riservatezza. I dati raccolti, sia a seguito
di conferimento obbligatorio sia a seguito di conferimento
facoltativo,
possono
quindi
essere
comunicati
a
_______________________________ (NB. riportare i soggetti o le
Camera di Commercio Industria Artigianato Agricoltura di Padova
50
CODICE DELLA PRIVACY
possono essere comunicati o che possono venirne a conoscenza in
qualità di responsabili o incaricati, e l'ambito di diffusione dei dati
medesimi).
Il conferimento dei Suoi dati personali è obbligatorio/facoltativo al
fine di adempiere agli obblighi derivanti dal contratto e, in
generale, agli adempimenti di legge. Il loro eventuale mancato
conferimento potrebbe comportare l'impossibilità da parte nostra
di adempiere agli obblighi contrattuali
In ogni caso potrà esercitare i diritti previsti dall'art. 7 del D.Lgs. n.
196/2003 che per chiarezza e completezza verrà integralmente
riportato in calce alla presente informativa; responsabile del
riscontro è il Sig. ____________________________ (NB. o il titolare
o un responsabile nominato ad hoc; in ogni caso indicare gli
estremi identificati del responsabile ivi inclusi, oltre a nome,
cognome ed indirizzo, un numero di telefono e l' indirizzo e-mail da
contattare). Il titolare del presente trattamento dei suoi dati
personali è: ___________ S.P.A. Sede____________ Tel.
____________ Fax_____________ e-mail:________@____.it
La _______________S.p.A. le assicura che il presente trattamento
dei dati personali si svolge nel rispetto dei diritti e delle libertà
fondamentali, nonché della dignità dell'interessato, con particolare
riferimento alla riservatezza, all'identità personale e al diritto alla
protezione dei dati personali. La ______________ S.p.A. le assicura,
altresì, un elevato livello di tutela di tali diritti e di tali libertà nel
rispetto dei principi di semplificazione, armonizzazione ed efficacia
delle modalità previste per il loro esercizio da parte Sua, nonché
per l'adempimento degli obblighi da parte del titolare del
trattamento. Per garantire la sicurezza dei dati trattati è redatto un
documento programmatico della sicurezza
Letta l'informativa, redatta ai sensi del decreto legislativo n. 196/03,
autorizzo la ___________S.p.A., al trattamento dei miei dati
personali per le finalità di cui all'informativa sopra riportata.
Data, ___________________
Firma,__________________
Camera di Commercio Industria Artigianato Agricoltura di Padova
51
CODICE DELLA PRIVACY
Art. 7 d. Lgs. n. 196/03 "Diritto di accesso ai dati personali ed altri diritti"
1. L'interessato ha diritto di ottenere la conferma dell'esistenza o meno di dati
personali che lo riguardano, anche se non ancora registrati, e la loro
comunicazione in forma intelligibile.
2. L'interessato ha diritto di ottenere l'indicazione:
a) dell'origine dei dati personali;
b) delle finalità e modalità del trattamento;
c) della logica applicata nel trattamento effettuato con l'ausilio di strumenti
elettronici;
d) degli estremi identificativi del titolare, dei responsabili e del rappresentante
designato ai sensi dell'articolo 5, comma 2;
e) dei soggetti o delle categorie ai quali i dati personali possono essere
comunicati o che possono venirne a conoscenza in qualit à di
rappresentante designato nel territorio dello Stato, di responsabili o incaricati.
3. L'interessato ha diritto di ottenere:
a) l'aggiornamento, la rettificazione ovvero, quando vi ha interesse,
l'integrazione dei dati;
b) la cancellazione, la trasformazione in forma anonima o il blocco dei dati
trattati in violazione di legge, compresi quelli di cui non è necessaria la
conservazione in relazione agli scopi per i quali i dati sono stati raccolti o
successivamente trattati;
c) l'attestazione che le operazioni di cui alle lettere a) e b) sono state portate a
conoscenza, anche per quanto riguarda il loro contenuto, di coloro ai quali i
dati sono stati comunicati o diffusi, eccettuato il caso in cui tale
adempimento si rivela impossibile o comporta un impiego di mezzi
manifestamente sproporzionato rispetto al diritto tutelato.
4. L'interessato ha diritto di opporsi, in tutto o in parte:
a) per motivi legittimi al trattamento dei dati personali che lo riguardano,
ancorché pertinenti allo scopo della raccolta;
b) al trattamento di dati personali che lo riguardano a fini di invio di materiale
pubblicitario o di vendita diretta o per il compimento di ricerche di mercato
o di comunicazione commerciale".
Camera di Commercio Industria Artigianato Agricoltura di Padova
52
CODICE DELLA PRIVACY
3. INFORMATIVA TIPO PER RACCOLTA DATI e INVIO E-MAIL senza
consenso
Gradirei avere una “traccia di informativa tipo” per la raccolta di dati
tramite application form e sapere anche se è possibile inviare email commerciali senza aver preventivamente acquisito il consenso
dei destinatari.
RISPOSTA degli addetti allo sportello Privacy di Promopadova,
Azienda speciale della CCIAA di PD
Gentile Sig.ra ****,
qui di seguito troverà una traccia di informativa tipo:
“D. Lgs. 30 giugno 2003, n° 196 - Codice in materia di protezione
dei dati personali.
Ai sensi e per gli effetti del D. Lgs. 196/2003, l'Azienda X, sottoscrive
la presente quale espresso consenso al trattamento dei propri dati
personali da parte dell'Azienda X, e conferma di aver ricevuto
informativa sui seguenti punti:
1) i dati personali verranno trattati esclusivamente per gli scopi
connessi ai fini istituzionali dell'Azienda X, ovvero dipendenti da
obblighi di legge, ivi compresa l'adozione di misure di sicurezza;
2) i dati personali potranno essere trattati anche per finalità di
informazione circa le attività promozionali e di formazione
promosse dall'Azienda X, anche con newsletter a mezzo e-mail e/o
fax e/o posta di superficie;
3) i dati personali verranno trattati manualmente e con strumenti
automatizzati, conservati per la durata prevista dal D. Lgs.
196/2003 e alla fine distrutti;
4) il conferimento dei dati è obbligatorio per beneficiare dei servizi
di cui sopra e l'eventuale diniego di consenso comporta
l'impossibilità per l'Azienda X di erogare il servizio richiesto;
5) i dati personali non saranno diffusi presso terzi;
6) l'azienda interessata gode dei diritti assicurati dall'art. 7 del
citato D.Lgs. 196/2003, che potranno essere esercitati, secondo l'art.
8 D. Lgs. 196/2003, mediante apposita richiesta al titolare o al
responsabile del trattamento;
7) titolare del trattamento è ....................... [deve esserci sempre];
responsabile/i del trattamento è/sono ......................................
[se designato/i].
Data ..........................................
Timbro e firma .............................
Camera di Commercio Industria Artigianato Agricoltura di Padova
53
CODICE DELLA PRIVACY
Per quanto riguarda, i Suoi dubbi riguardo alla possibilità di inviare
via e-mail della pubblicità; in linea generale non è consentito, a
meno che Lei non abbia preventivamente richiesto il consenso ai
destinatari, per poter utilizzare i dati concessi per questo tipo di
finalità.
Ovviamente quando venga inviata un'e-mail ad un'azienda che ha
rapporti commerciali con il mittente questo fa parte della normale
corrispondenza e non è richiesto il consenso. L'art 24 del D.Lgs.
196/2003 afferma infatti che il consenso non è richiesto “quando è
necessario per eseguire obblighi derivanti da un contratto del
quale è parte l'interessato o per adempiere, prima della
conclusione del contratto, a specifiche richieste dell'interessato” (es.
nella fatturazione, nella fase di trattativa commerciale).
Anche l'invio di una singola e-mail personalizzata, indirizzata ad
esempio al responsabile acquisti di un'azienda per offrire prodotti
utili all'attività aziendale - se si tratta non di invio ripetuto, ma di un
unico invio, dopo il quale attendo il contatto spontaneo
dell'azienda destinataria del messaggio - è da considerarsi lecito e
non ha bisogno del consenso del destinatario, sempre grazie a
quanto previsto dall'art. 24. D'altro canto se non fosse così i
contatti commerciali si fermerebbero.
Infatti la legge è stata studiata appositamente per evitare lo
spamming (invio generalizzato di materiale informativo via e-mail
non richiesto dal ricevente).
4. INFORMATIVA PRIVACY ENTE PUBBLICO
Un Ente Pubblico deve adottare una nuova informativa sulla
Privacy (dicitura da inserire negli inviti a convegni da esso
organizzati da distribuire agli utenti).
In che modo si deve impostare/strutturare tale informativa?
RISPOSTA Avv. Marzio Vaglio
D. Lgs. 30 giugno 2003, n 196 - Codice in materia di protezione dei
dati personali.
Ai sensi e per gli effetti del D. Lgs. 196/2003, il partecipante/Azienda
Camera di Commercio Industria Artigianato Agricoltura di Padova
54
CODICE DELLA PRIVACY
sottoscrive la presente quale espresso consenso al trattamento dei
propri dati personali da parte della “ENTE PUBBLICO X” di
“LUOGO/PROVINCIA della sede” e conferma di aver ricevuto
informativa sui seguenti punti:
- i dati personali verranno trattati esclusivamente per gli
scopi connessi ai fini istituzionali della “ENTE PUBBLICO X”
di“LUOGO/PROVINCIA ovvero dipendenti da obblighi di legge,
ivi compresa l'adozione di misure di sicurezza;
- i dati personali potranno essere trattati anche per finalità
di informazione circa le attività promozionali e di
formazione promosse dall' “ENTE PUBBLICO X”, anche con
newsletter a mezzo e-mail e/o fax e/o posta di superficie;
- i dati personali saranno trattati manualmente e con
strumenti automatizzati, conservati per la durata prevista dal D.
Lgs. 196/2003 e alla fine distrutti;
- il conferimento dei dati è obbligatorio per beneficiare dei servizi
di cui sopra e l'eventuale diniego comporta l'impossibilità per
“ENTE PUBBLICO X”, di erogare il servizio richiesto;
- i dati personali non saranno diffusi presso terzi;
- l'azienda interessata gode dei diritti assicurati dall'art. 7 del
citato D.Lgs. 196/2003, che potranno essere esercitati, secondo
l'art. 8 D. Lgs. 196/2003, mediante apposita richiesta al
titolare o al responsabile del trattamento;
- titolare del trattamento è l'“ENTE PUBBLICO X”, di
“LUOGO/PROVINCIA della sede”; responsabile/i del trattamento è
il Sig./Sig.ra….(indicare il nome del responsabile).
- I dati verranno trattati dalle seguenti categorie di
incaricati……… . . .(uff. amministrazione, formazione etc…)
5. INFORMATIVA CONTENUTA NEI PIEGHEVOLI INFORMATIVI
Se nei pieghevoli informativi (brochure) includo il modulo di
“richiesta informazioni” dove l'interessato dovrà inserire i propri
dettagli, compresi e-mail e nr. telefono , quale frase o paragrafo
devo inserire per l'autorizzazione del trattamento dati personali?
Potrebbe essere:
Il sottoscritto acconsente all'inserimento dei propri dati personali
Camera di Commercio Industria Artigianato Agricoltura di Padova
55
CODICE DELLA PRIVACY
nella banca dati tenuta da ***** Srl e al loro trattamento, ai fini
della comunicazione delle informazioni richieste dallo stesso e
della diffusione delle attività promozionali promosse dalla *****
Srl.?
RISPOSTA Avv. Andrea Lisi
L'informativa ex art. 13 del D.Lgs. 196/2003 può essere fornita
oralmente o per iscritto e deve contenere tutte le indicazioni
contenute nel I comma di detto articolo.
In particolare l'interessato deve essere informato
obbligatoriamente su:
a) le finalità e le modalità del trattamento cui sono destinati i dati;
b) la natura obbligatoria o facoltativa del conferimento dei dati;
c) le conseguenze di un eventuale rifiuto di rispondere;
d) i soggetti o le categorie di soggetti ai quali i dati personali
possono essere comunicati o che possono venirne a conoscenza in
qualità di responsabili o incaricati, e l'ambito di diffusione dei dati
medesimi;
e) i diritti di cui all'articolo 7;
f ) gli estremi identificativi del titolare e, se designati, del
rappresentante nel territorio dello Stato ai sensi dell'articolo 5 e del
responsabile. Quando il titolare ha designato più responsabili e
indicato almeno uno di essi, indicando il sito della rete di
comunicazione o le modalità attraverso le quali è conoscibile in
modo agevole l'elenco aggiornato dei responsabili. Quando è stato
designato un responsabile per il riscontro all'interessato in caso di
esercizio dei diritti di cui all'articolo 7, è indicato tale responsabile.
L'informativa può essere fornita anche sinteticamente, ma deve
contenere sostanzialmente l'indicazione di tutti questi dati. Essa,
inoltre, può non comprendere gli elementi già noti alla persona
che fornisce i dati (ex II comma dell'art 13).
Nel caso prospettato un'informativa relativa alla cessione di dati
personali per ottenere una determinata informazione, attraverso il
loro inserimento in un form elettronico di un sito web o attraverso
il loro inserimento in una brochure, non esime il titolare del
trattamento dal fornire una adeguata, se pur sintetica, informativa.
Si sottolinea inoltre che il titolare del trattamento dovrà fornire l'informativa,
ma può anche non richiedere espressamente il consenso al trattamento
Camera di Commercio Industria Artigianato Agricoltura di Padova
56
CODICE DELLA PRIVACY
che è "in re ipsa" con la richiesta di informazioni e la fattispecie
ricade, infatti, nei casi di esclusione del consenso previsti nell'art. 24
del D.Lgs. 196/2003.
Un'informativa adeguata e sintetica potrebbe essere questa:
<< Informativa ex art. 13 del D.Lgs. 196/2003
Gentile Signore/a, i dati personali da Lei gentilmente forniti
saranno utilizzati dalla Società -------- - con sede in via ......., tel.........,
email............. - titolare del trattamento, al solo scopo di soddisfare la
sua richiesta di informazioni e saranno trattati elettronicamente dai
dipendenti della stessa società nelle banche dati tenute presso la
sua sede.
In particolare, la Società ------------ utilizzerà i dati personali da Lei
forniti al solo scopo di informarla su future attività promozionali e
di formazione, anche attraverso newsletter o a mezzo e-mail e/o
fax e/o posta.
I Suoi dati non verranno comunicati o diffusi a terzi.
Si informa, inoltre, che l'interessato al trattamento gode dei diritti
assicurati dall'art. 7 del sopra citato D.Lgs. 196/2003, che potranno
essere esercitati, secondo l'art. 8 D. Lgs. 196/2003, mediante
apposita richiesta al titolare (o al responsabile del riscontro, figura
facoltativa)>>
6. INFORMATIVA L. 675/96 - LEGITTIMITÀ
Quesito posto da alcuni soci dell'associazione sindacale per la
quale lavoro. In alcune fatture di fornitura trovano apposto il
seguente timbro: "Legge 675/96 - Tutela della privacy - la ns società
tratta i Vostri dati di cui dispone al solo fine dello svolgimento dei
rapporti con voi intercorrenti in relazione a tale trattamento potete
esercitare i diritti previsti dall'art.13 della predetta legge". I soci mi
chiedono se possono utilizzare a loro volta tale timbro per
ottemperare all'obbligo dell'informativa; sarebbe, infatti, un modo
semplice e veloce! In attesa di risposta, ringrazio anticipatamente
per la collaborazione.
RISPOSTA Avv. Andrea Lisi
L'informativa contenuta nel quesito fa riferimento ad una legge ormai
abrogata, la L. 675/96, quindi non deve essere assolutamente utilizzata.
Camera di Commercio Industria Artigianato Agricoltura di Padova
57
CODICE DELLA PRIVACY
Essa oltre a far riferimento ad una legge abrogata è anche
incompleta e troppo generica. Oggi è in vigore il D.Lgs. 196/03 (il
cd. Codice Privacy) e, quindi, l'informativa deve far riferimento al
decreto legislativo vigente e contenere tutte le indicazioni previste
dall'art. 13 dello stesso. In particolare, l'art. 13 del Codice che
precisa l'interessato o la persona presso la quale sono raccolti i dati
personali sono previamente informati oralmente o per iscritto
circa:
a) le finalità e le modalità del trattamento cui sono destinati i dati;
b) la natura obbligatoria o facoltativa del conferimento dei dati;
c) le conseguenze di un eventuale rifiuto di rispondere;
d)
i soggetti o le categorie di soggetti ai quali i dati personali
possono essere comunicati o che possono venirne a conoscenza in
qualità di responsabili o incaricati, e l'ambito di diffusione dei dati
medesimi;
e) i diritti di cui all'articolo 7;
f ) gli estremi identificativi del titolare e, se designati, del
rappresentante nel territorio dello Stato ai sensi dell'articolo 5 e del
responsabile. Quando il titolare ha designato più responsabili e
indicato almeno uno di essi, indicando il sito della rete di
comunicazione o le modalità attraverso le quali è conoscibile in
modo agevole l'elenco aggiornato dei responsabili. Quando è stato
designato un responsabile per il riscontro all'interessato in caso di
esercizio dei diritti di cui all' articolo 7, è indicato tale responsabile.
L'informativa deve quindi necessariamente contenere questi dati e
deve essere differenziata in considerazione delle specifiche finalità
del trattamento dei dati.
7. VECCHIA INFORMATIVA E CONSENSO
Posso continuare con la vecchia informativa e consenso?
RISPOSTA Avv. Marzio Vaglio
No.
Occorre adeguarsi a quanto previsto dall'art. 13 (informativa) e
dall'art. 23 (consenso) del nuovo Codice della Privacy, nonché da
altre specifiche norme ivi previste per particolari trattamenti o
categorie di dati.
Inoltre, fino al 30 giugno 2007 (*) è ancora in vigore il sistema delle
autorizzazioni generali del Garante: in particolare, l'Autorizzazione
Camera di Commercio Industria Artigianato Agricoltura di Padova
58
CODICE DELLA PRIVACY
Generale n° 4/2005, consente ai liberi professionisti iscritti in albi o
elenchi professionali di trattare i dati sensibili.
(*) Oggi sono in vigore 7 autorizzazioni generali (nn. 1/2005,
2/2005, 3/2005, 4/2005, 5/2005, 6/2005 e 7/2005 rilasciate il 21
dicembre 2005) la cui efficacia è stata differita dal Garante sino al
30 giugno 2007.
8. INFORMATIVA PER FORNITORI E CLIENTI
La mia Azienda ha una banca dati clienti/fornitori molto ampia.
Devo mandare l'informativa a tutti? Anche ai clienti/fornitori
occasionali con cui non ho rapporti da anni, ma dei quali conservo
ancora documenti di vendita/acquisto?
RISPOSTA Avv. Andrea Lisi
Anche in questo caso valgono le ragioni della concretezza e
dell'opportunità. I dati che trattiamo senza alcuna ragione vanno
cancellati e distrutti ex art. 16 del Codice. Se continuiamo a trattarli
per scopi identici e inerenti ad un pregresso rapporto commerciale
possiamo continuare a trattarli se abbiamo ancora delle pendenze
o delle ragioni aziendali che rendono necessario tale trattamento.
Resta comunque fermo solo l'obbligo di dare adeguata informativa
(che può essere fornita anche o oralmente o per iscritto in forma
sintetica), considerando che in caso di contratti o di trattative
commerciali l'art. 24 non richiede il consenso dell'interessato al
trattamento, così anche se conserviamo i dati per assolvere ad
adempimenti fiscali. Ovviamente per il futuro in tutte le nostre
comunicazioni commerciali e in tutti i nostri contratti andrà
sempre fornita una essenziale e sintetica informativa ex art. 13 che
è utile inserire - come detto - sul sito web aziendale insieme a tutte
le altre indicazioni obbligatorie che dobbiamo inserire nelle nostre
comunicazioni (reali o virtuali che siano).
Camera di Commercio Industria Artigianato Agricoltura di Padova
59
CODICE DELLA PRIVACY
9. CASO “GESTIONE BUSTA PAGA” PER DIPENDENTI ISCRITTI A UN
SINDACATO
Uno studio di consulenza, gestisce le buste paga di diverse
aziende.
Nell'ipotesi in cui alcuni dipendenti di cui si gestiscono le buste
paga siano iscritti ad un Sindacato di lavoratori, come ci si deve
comportare ai fini del rispetto della normativa?
1)
Quali obblighi sono in carico all'azienda?
2)
Quali obblighi sono in carico allo studio di consulenza che
gestisce le buste paga?
3) I dati di iscrizione ad un sindacato sono dati sensibili?
I certificati medici dei dipendenti assenti dal lavoro come devono
essere considerati?
a) Quali obblighi sono in carico all'azienda?
b)
Quali obblighi sono in carico allo studio di consulenza che
gestisce le buste paga?
c) I certificati medici sono dati sensibili?
RISPOSTA Avv. Marzio Vaglio e Avv. Andrea Lisi
E' ancora in vigore il sistema delle autorizzazioni generali del Garante (*).
In particolare, sono rilevanti per il caso proposto:
l'Autorizzazione Generale n° 1/2005, che consente il trattamento
dei dati sensibili finalizzato alla gestione dei rapporti di lavoro;
l'Autorizzazione Generale n° 4/2005, che consente ai liberi
professionisti iscritti in albi o elenchi professionali di trattare i
dati sensibili.
In virtù delle citate disposizioni, il trattamento può esser svolto
senza l'obbligo di una specifica autorizzazione al Garante.
Inoltre, per quanto concerne i dati di iscrizione ad un sindacato ed i
certificati medici, essi sono certamente dati sensibili. I certificati
medici, in particolare, riportano dati sensibili, per la precisione dati
idonei a rivelare lo stato di salute e la vita sessuale; il trattamento di
essi è soggetto a regole molto rigide.
Si può dire, in maniera generale, che per chi effettua questa
tipologia di trattamenti sussiste sempre l'obbligo d'informativa
all'interessato e normalmente di acquisirne il consenso, nonché
Camera di Commercio Industria Artigianato Agricoltura di Padova
60
CODICE DELLA PRIVACY
ovviamente il dovere di adeguarsi alle misure minime (e idonee) di
sicurezza, tra le quali anche la redazione del DPS (in caso di
trattamento elettronico dei dati).
Il trattamento può essere effettuato solo nelle modalità e con i
limiti espressi dalla stessa Autorizzazione Generale e nel rispetto
della normativa comunitaria ed italiana (oggi il Codice della Privacy)
in vigore.
Va sottolineato che è prevista un'esenzione dal consenso per il
trattamento dei dati sensibili da parte del datore di lavoro, quando
il trattamento stesso sia necessario per adempiere a specifici
obblighi o adempimenti previsti da norme relative alla gestione
del rapporto di lavoro, anche in materia di igiene e sicurezza,
previdenza e assistenza, nei limiti previsti dall'autorizzazione, e
ferme restando le disposizioni del codice di deontologia e di
buona condotta che dovrebbe essere emanato a breve.
Infine, è opportuno che l'azienda e lo studio di consulenza
formalizzino contrattualmente i loro rapporti relativi al trattamento
dei dati con specifiche clausole che determinino le reciproche
responsabilità e i profili di incarico.
(*) Oggi sono in vigore 7 autorizzazioni generali (nn. 1/2005,
2/2005, 3/2005, 4/2005, 5/2005, 6/2005 e 7/2005 rilasciate il 21
dicembre 2005) la cui efficacia è stata differita dal Garante sino al
30 giugno 2007.
10. AUTORIZZAZIONE DEL GARANTE E DIFFERENZA CON NOTIFICA
Cosa si intende per autorizzazione del Garante di cui al comma 4
dell'art. 26 del Codice?
In cosa si differenzia dalla notifica?
Dove si possono trovare le autorizzazioni generali di cui all'art. 40
del Codice?
RISPOSTA Avv. Marzio Vaglio e Avv. Andrea Lisi
AUTORIZZAZIONE:
L'art. 26, comma 1 del Codice, prevede che i soggetti privati e gli
enti pubblici economici possono trattare i dati sensibili solo previa
Camera di Commercio Industria Artigianato Agricoltura di Padova
61
CODICE DELLA PRIVACY
consenso scritto degli interessati, nell'osservanza dei presupposti e
dei limiti stabiliti dal Codice, nonché dalla legge e dai regolamenti;
Il comma 4, lett. d), del medesimo art. 26, precisa che i dati sensibili
possono essere oggetto di trattamento anche senza consenso,
previa autorizzazione del Garante, quando il trattamento
medesimo è necessario per adempiere a specifici obblighi o
compiti previsti dalla legge, da un regolamento o dalla normativa
comunitaria per la gestione del rapporto di lavoro, anche in
materia di igiene e sicurezza del lavoro e della popolazione e di
previdenza e assistenza, nei limiti previsti dall'autorizzazione e
ferme restando le disposizioni del codice di deontologia e di
buona condotta del Codice;
L'art. 40 del Codice Privacy prevede che il Garante possa rilasciare
sia specifiche autorizzazioni sia autorizzazioni di carattere generale
per alcune categorie di titolari o di trattamenti. Il Garante ha sino
ad ora pubblicato 7 autorizzazioni generali al fine di evitare
l'obbligo per alcuni titolari di trattamento di dover inoltrare
richieste individuali. Tali Autorizzazioni riguardano il trattamento di
dati sensibili effettuati da alcune categorie di titolari (datori di
lavoro, liberi professionisti, associazioni e fondazioni etc.). Pertanto
solo coloro che non rientrano nel campo di applicazione delle
autorizzazioni generali devono, nei casi previsti dalla legge, fare
richiesta al Garante per ottenere l'autorizzazione.
In definitiva l'art. 26, comma 4, lett. d) stabilisce che il datore di
lavoro può trattare i dati sensibili dei propri dipendenti senza
consenso (nei limiti di quanto indicato nella lettera d)) e sulla base
dell'Autorizzazione generale n. 1 (autorizzazione generale inerente
al trattamento dei dati sensibili nei rapporti di lavoro).
Le autorizzazioni generali sono pubblicate in Gazzetta Ufficiale e,
comunque, sono a disposizione sul sito web del Garante
(www.garanteprivacy.it)
NOTIFICAZIONE: (art. 37 del Testo Unico) Notificazione del
Trattamento
La notificazione è una dichiarazione con la quale il titolare del
trattamento trasmette al Garante i dati relativi alla propria attività
di trattamento dei dati. Con l'entrata in vigore del Codice privacy
Camera di Commercio Industria Artigianato Agricoltura di Padova
62
CODICE DELLA PRIVACY
l'obbligo di notificazione si ha solo nei casi espressamente previsti
dall'art. 37 del Codice privacy. La notificazione va effettuata solo in
via telematica collegandosi al sito del Garante e compilando lo
specifico modello (che va sottoscritto con firma digitale). Si ricorda
che la sanzione per la mancata notifica è di tipo pecuniario ed è
ricompresa tra diecimila e sessantamila euro (art. 163 Codice).
1. Il titolare notifica al Garante il trattamento di dati personali cui
intende procedere, solo se il trattamento riguarda:
dati genetici, biometrici o dati che indicano la posizione
geografica di persone od oggetti mediante una rete di
comunicazione elettronica;
dati idonei a rivelare lo stato di salute e la vita sessuale, trattati
a fini di procreazione assistita, prestazione di servizi sanitari per
via telematica relativi a banche di dati o alla fornitura di
beni, indagini epidemiologiche, rilevazione di malattie
mentali, infettive e diffusive, sieropositività, trapianto di organi e
tessuti e monitoraggio della spesa sanitaria;
dati idonei a rivelare la vita sessuale o la sfera psichica trattati
da associazioni, enti od organismi senza scopo di lucro, anche
non riconosciuti, a carattere politico, filosofico, religioso o
sindacale;
dati trattati con l'ausilio di strumenti elettronici volti a definire
il profilo la personalità dell'interessato, o ad analizzare abitudini o
scelte di consumo, ovvero a monitorare l'utilizzo di servizi di
comunicazione elettronica con esclusione dei trattamenti
tecnicamente indispensabili per fornire i servizi medesimi agli utenti;
dati sensibili registrati in banche di dati a fini di selezione
del personale per conto terzi, nonché dati sensibili utilizzati
per sondaggi di opinione, ricerche di mercato e altre
ricerche campionarie;
dati registrati in apposite banche di dati gestite con strumenti
elettronici e relative al rischio sulla solvibilità economica, alla
situazione patrimoniale, al corretto adempimento di obbligazioni,
a comportamenti illeciti o fraudolenti.
2. Il Garante può individuare altri trattamenti suscettibili di recare
pregiudizio ai diritti e alle libertà dell'interessato, in ragione delle
relative modalità o della natura dei dati personali, con proprio
Camera di Commercio Industria Artigianato Agricoltura di Padova
63
CODICE DELLA PRIVACY
provvedimento adottato anche ai sensi dell'articolo 17. Con
analogo provvedimento pubblicato sulla Gazzetta ufficiale della
Repubblica italiana il Garante può anche individuare, nell'ambito
dei trattamenti di cui al comma 1, eventuali trattamenti non
suscettibili di recare detto pregiudizio e pertanto sottratti
all'obbligo di notificazione. (*)
3. La notificazione e' effettuata con unico atto anche quando il
trattamento comporta il trasferimento all'estero dei dati.
4. Il Garante inserisce le notificazioni ricevute in un registro dei
trattamenti accessibile a chiunque e determina le modalità per la
sua consultazione gratuita per via telematica, anche mediante
convenzioni con soggetti pubblici o presso il proprio Ufficio. Le
notizie accessibili tramite la consultazione del registro possono
essere trattate per esclusive finalità di applicazione della disciplina
in materia di protezione dei dati personali.
(*) Con il provvedimento a carattere generale del 31 marzo 2004 il
Garante ha interpretato l'art. 37, specificando in maniera restrittiva i
casi in cui occorra procedere alla notificazione (il provvedimento è
acquisibile sul sito del Garante - www.garanteprivacy.it)
11. MODALITA' DI NOTIFICA AL GARANTE
Modalità di notifica al Garante: invio telematico con firma digitale.
Se un soggetto obbligato alla notifica non ha il dispositivo di firma
digitale, può far inviare telematicamente la notifica ad una persona
che ha il dispositivo di firma digitale (soprattutto in rapporto a
quanto disposto dai commi 2 e 3 dell'art. 38 del Codice)?
RISPOSTA Avv. Marzio Vaglio
La notificazione è valida solo se effettuata secondo le modalità di
cui all'art. 38 del Codice. Può essere eventualmente effettuata,
secondo quanto disposto dal comma 3°, per il tramite
esclusivamente di soggetti autorizzati, quali associazioni di
categoria o ordini professionali.
Camera di Commercio Industria Artigianato Agricoltura di Padova
64
CODICE DELLA PRIVACY
12. CASO AZIENDA DI TELEMARKETING - OPERARE SECONDO MANDATO
Un'azienda X di Telemarketing che opera principalmente con
aziende (gestione appuntamenti per la forza vendita).
I database a cui la suddetta Azienda X, sono forniti dalla ditta Y
oppure sono reperiti dall'elenco telefonico On-line delle pagine
gialle.
La telefonata ha come obiettivo il fissare degli appuntamenti che
saranno eseguiti da incaricati commerciali dell'azienda
committente.(Business To Business).
Riguardo al contatto telefonico, dal testo di legge mi sembra non ci
siano problemi particolari.
Per un cliente in specifico facciamo anche un "arricchimento" del
database finalizzato al "refresh" della banca dati (dati relativi
all'anagrafica corretta ed indirizzo e-mail); premetto che tali
informazioni ci vengono fornite volontariamente dagli intervistati.
Per tale attività (gestione database) è necessaria la comunicazione
al garante?
Se tale azienda X ha come cliente una nota banca dati istituzionale,
già in contatto frequente con il garante, è a loro o nostro carico la
comunicazione?
Un'eventuale attività telefonica per appuntamenti (senza
arricchimento alcuno del database) effettuata su famiglie private
comporta degli obblighi particolari?
RISPOSTA Avv. Marzio Vaglio
L'attività di telemarketing è regolare se effettuata con intervento di
operatore che, con una comunicazione individuale e diretta al
destinatario/consumatore, richiede ed ottiene il consenso ad
ulteriori contatti o all'invio di materiale pubblicitario.
Se si fa raccolta di dati personali con questa modalità, occorre
comunque richiedere il consenso al trattamento e dare
l'informativa di cui all'art. 13 D. Lgs. 196/2003. Ciò è obbligatorio e vi
sono sanzioni in caso di omissione.
Quanto agli obblighi di notifica e comunicazione al Garante, occorre in
via preliminare valutare se l'Azienda tratta anche dati sensibili e se
rientra o meno nel precedente regime di autorizzazioni generali
Camera di Commercio Industria Artigianato Agricoltura di Padova
65
CODICE DELLA PRIVACY
(www.garanteprivacy.it), che sono state prorogate fino al
30.06.2004 (*); in secondo luogo bisogna verificare se l'attività
dell'Azienda X rientri nella fattispecie dell'art. 37, lett. d) da cui
deriverebbe l' obbligo di notifica.
Non si hanno sufficienti elementi per verificare il caso dell'Azienda
Y richiedente, anche se è verosimile che essa rientri in una delle
categorie interessate dalle predette autorizzazioni generali.
In relazione all'acquisizione di data base di terzi:
1) è necessario ricevere garanzia che il titolare del trattamento
"cedente" sia in regola con gli adempimenti imposti dalla
normativa e, in particolare, che l'interessato abbia espresso il
consenso al trasferimento (salvo i casi in cui tale consenso non è
richiesto).
2) chi riceve la banca dati diviene a sua volta titolare: assume
quindi tutti i conseguenti obblighi.
(*) Oggi sono in vigore 7 autorizzazioni generali (nn. 1/2005,
2/2005, 3/2005, 4/2005, 5/2005, 6/2005 e 7/2005 rilasciate il 21
dicembre 2005) la cui efficacia è stata differita dal Garante sino al
30 giugno 2007.
13. TELEMARKETING E PRIVACY
La nostra azienda svolge un'attività di telemarketing (soprattutto
outbound, ma in futuro anche inbound) Contattiamo sia privati che
aziende e i nominativi sono di 4 tipologie:
- ci vengono fornite le liste direttamente dal cliente (soprattutto
187 - telecom)
- acquistiamo delle banche dati sia business che residenziali
- sono nominativi presenti in elenco pubblico
- abbiamo nominativi provenienti da istituti scolastici con una
selezione di persone diplomate o laureate.
Principalmente fissiamo incontri e appuntamenti o selezioniamo
potenziali clienti interessati ad essere ricontattati dal responsabile del
servizio.
Abbiamo 32 postazioni informatizzate, collegate al CRM ed ognuna
con una sua login e password.
Quali provvedimenti dobbiamo prendere per la legge sulla privacy
Camera di Commercio Industria Artigianato Agricoltura di Padova
66
CODICE DELLA PRIVACY
secondo il garante? Nella pratica, cosa dobbiamo fare per essere in
regola e per presentare correttamente il DPS (dove troviamo quello
giusto per la nostra attività, dove lo dobbiamo inviare, ecc). Ho letto
qualche giorno fa in un quotidiano che il Garante può individuare
delle modalità semplificate in particolare per i call center come il
nostro.
RISPOSTA Avv. Andrea Lisi
Gli adempimenti generali previsti dal D. Lgs. 196/2003 sono tanti e
complessi e non sono previste particolari agevolazioni e/o
semplificazioni per le società che svolgono un servizio di
telemarketing come la Vostra. Il Garante può effettivamente
promuovere ai sensi dell'art. 140 "la sottoscrizione di un codice di
deontologia e di buona condotta per il trattamento dei dati
personali effettuato a fini di invio di materiale pubblicitario o di
vendita diretta, ovvero per il compimento di ricerche di mercato o
di comunicazione commerciale, prevedendo anche, per i casi in cui
il trattamento non presuppone il consenso dell'interessato, forme
semplificate per manifestare e rendere meglio conoscibile
l'eventuale dichiarazione di non voler ricevere determinate
comunicazioni.". Ad oggi comunque non sono stati adottati codici
di condotta in materia (anche se sono in fase di elaborazione a
livello comunitario). In ogni caso e in via generale, possono
individuarsi in capo alla Vs. società:
a) adempimenti generali: informativa e consenso (art. 13 e art. 23
del D. Lgs. 196/03);
b) adempimenti speciali: notificazione al Garante;
c) adempimenti organizzativi: misure di sicurezza e redazione
DPS (Documento Programmatico sulla Sicurezza).
d) L'informativa all'interessato deve essere sempre fornita,
seppur in forma semplificata, a prescindere dalla stessa richiesta di
consenso al trattamento (che, in alcuni casi espressamente
previsti dall'art. 24 del D.Lgs. citato, può essere esclusa).
L'adempimento relativo all'informativa va analizzato in
ogni specifico caso da Voi prospettato, onde stabilire
anche la Vostra specifica qualità (titolare o responsabile
in outsourcing) nell'ambito del trattamento dei dati che
avete ricevuto o "acquistato". Per quanto concerne
Camera di Commercio Industria Artigianato Agricoltura di Padova
67
CODICE DELLA PRIVACY
l'ambito scolastico, ad esempio, l'art. 96 del D. Lgs. citato prevede che
"al fine di agevolare l'orientamento, la formazione e l'inserimento
professionale, anche all'estero, le scuole e gli istituti scolastici di
istruzione secondaria, su richiesta degli interessati, possono
comunicare o diffondere, anche a privati e per via telematica, dati
relativi agli esiti scolastici, intermedi e finali, degli studenti e altri
dati personali diversi da quelli sensibili o giudiziari, pertinenti in
relazione alle predette finalità e indicati nell'informativa resa agli
interessati ai sensi dell'articolo 13. I dati possono essere
successivamente trattati esclusivamente per le predette finalità".
e) Occorre pertanto verificare sempre e di volta in volta se i dati che
riceviamo possono essere trattati in relazione al nostro scopo del
trattamento e se gli interessati siano stati adeguatamente informati
e abbiano eventualmente prestato il loro consenso (e - nella
maggior parte dei casi - dovrà essere stipulata una specifica
convenzione atta a regolamentare i rapporti tra colui che "cede" i
dati e colui che li "riceve").
f ) Si ricorda, infine, che da ultimo il Garante ha con parere del 15
luglio 2004 riaffermato i principi del provvedimento del 23 maggio
2002 con riferimento all'inserimento e utilizzo dei dati presenti in
elenchi cartacei e elettronici a disposizione del pubblico. In tale
parere, il Garante ha ribadito la necessità del consenso espresso e
specifico degli abbonati per trattamenti aventi finalità commerciali e
pubblicitarie, sollecitando una "armonizzazione" in detti elenchi
sulle specifiche finalità dei trattamenti consentiti dai singoli
interessati (e nei nuovi elenchi gli abbonati dovranno specificare se i
loro dati potranno essere utilizzati per future comunicazioni
commerciali o pubblicitarie).
g) Oggi, pertanto, ai sensi della normativa vigente, non può essere
effettuato un trattamento di dati personali con finalità commerciali
o pubblicitarie e, quindi, attraverso l'utilizzo di sistemi automatizzati
di chiamata (quali e-mail e telefax) senza aver acquisito il consenso
informato degli interessati. Inoltre, si deve ricordare che - ai sensi del
4° comma dell'art. 7 del Codice - l' interessato ha sempre diritto di
opporsi, in tutto o in parte al trattamento di dati personali che lo
riguardano a fini di invio di materiale pubblicitario o di vendita
Camera di Commercio Industria Artigianato Agricoltura di Padova
68
CODICE DELLA PRIVACY
diretta o per il compimento di ricerche di mercato o di
comunicazione commerciale (e quindi in qualsiasi comunicazione
gli deve essere sempre consentita la possibilità di chiedere la
cancellazione dei propri dati dai Vs. archivi).
h) Prima di effettuare determinate tipologie di trattamento - e cioè
quelle ipotesi di trattamento che ricadono nei casi specificamente
previsti dall'art. 37 del D. Lgs. n. 196 - la Vs. società, inoltre, dovrebbe
obbligatoriamente effettuare una notificazione al Garante
(esclusivamente attraverso trasmissione telematica e secondo la
procedura prevista sul sito del Garante alla pagina
www.garanteprivacy.it). Tra i vari casi previsti dall'art. 37 si ricordano i
punti d) e e) che prevedono l'obbligo di notificazione per:
i) dati trattati con l'ausilio di strumenti elettronici volti a definire il
profilo o la personalità dell'interessato, o ad analizzare abitudini o
scelte di consumo, ovvero a monitorare l'utilizzo di servizi di
comunicazione elettronica con esclusione dei trattamenti
tecnicamente indispensabili per fornire i servizi medesimi agli
utenti;
j) dati sensibili registrati in banche di dati a fini di selezione del
personale per conto terzi, nonché dati sensibili utilizzati per
sondaggi di opinione, ricerche di mercato e altre ricerche
campionarie. Infine, la Vs. società dovrà certamente adeguarsi alle
misure minime di cui agli artt. 33 e segg. e come specificate
nell'allegato B) al cd. Codice della privacy (D. Lgs. 196/03). Tra queste
misure è prevista la redazione del DPS entro la data del 31 dicembre
2005 (sempre che la Vs. società non dovesse già obbligatoriamente
redigerlo sotto la vigenza della vecchia normativa - L. 675/96 che
prevedeva l'obbligo di redazione del DPS per tutti coloro che
trattavano elettronicamente dati sensibili e giudiziari e i terminali
utilizzati per il trattamento fossero collegati ad Internet).
k) Oggi l'obbligo di redazione del DPS è ormai un obbligo
generalizzato per tutti coloro che trattano elettronicamente dati
personali (o quanto meno in caso di trattamento elettronico di dati
personali sensibili, secondo una interpretazione fornita dal Garante,
parere del 22 marzo 2004). Esistono vari fac simile di DPS e di
informativa, ma tutto va adeguato alla propria realtà e "ritagliato"
Camera di Commercio Industria Artigianato Agricoltura di Padova
69
CODICE DELLA PRIVACY
alle proprie esigenze. Si ricorda che l'inadempimento agli obblighi
di informativa, notificazione e di adeguamento alle misure minime
è pesantemente sanzionato dal Codice della privacy."
14. TRATTAMENTO DATI SENSIBILI E CIFRATURA
La ditta X tratta dati sensibili, in particolare informazioni sanitarie.
Il D.Lgs 196/2003 dice che il trasferimento dei dati in formato
elettronico deve essere effettuato con adeguata cifratura. Fin qui tutto
bene: per trasferire i dati via internet devo utilizzare connessioni sicure
che utilizzano sistemi di cifratura.
Nel caso di dati non trasmessi e mantenuti in supporti fisici removibili
(hard disk, CD, floppy ecc.) devo applicare comunque in ogni caso la
“cifratura”?
Sia che il computer sia o meno in rete, sia che la rete sia collegata o
meno esternamente con internet?
L'art. 34, comma 1, lettera h) rimane, infatti, molto generico non
specificando le differenti casistiche e questo farebbe pensare che
qualsiasi dato sensibile deve essere comunque cifrato se mantenuto in
forma elettronica.
Un ulteriore quesito che discende dal precedente:
Se posseggo un gestionale che contiene dati sensibili non dotato di
“cifratura” nel salvataggio e nel mantenimento dei dati sono costretto
ad aggiornarlo oppure posso adottare altre forme di sicurezza?
RISPOSTA Avv. Marzio Vaglio
La regola generale sul trattamento dei dati sensibili è contenuta
nell'art. 22, 6° comma, del D. Lgs. 196/2003:
"i dati sensibili contenuti in elenchi, registri o banche di dati, tenuti con
l'ausilio di strumenti elettronici, sono trattati con tecniche di cifratura o
mediante l'utilizzazione di codici identificativi o di altre soluzioni che,
considerato il numero e la natura dei dati trattati, li rendono
temporaneamente inintelligibili anche a chi è autorizzato ad accedervi
e permettono di identificare gli interessati solo in caso di necessità".
La norma citata riguarda tutti i tipi di trattamento, non solo quello che
Camera di Commercio Industria Artigianato Agricoltura di Padova
70
CODICE DELLA PRIVACY
consiste nel trasferimento via internet e, per di più, le stesse modalità di
trattamento appena citata devono essere impiegate anche quando i dati
sensibili sono tenuti in elenchi, registri o banche di dati senza l'ausilio di
strumenti elettronici.
Da notare il generale divieto di diffusione di cui all'art. 22, 8° comma,
riferito ai dati idonei a rivelare lo stato di salute.
La cifratura di cui all'art. 34, 1° comma, lett. h, del D.Lgs. non è di per sé
obbligatoria, ponendosi come alternativa ad altre misure (ad esempio
codici identificativi). Ciò che è obbligatorio è garantire la inintelligibilità
del dato.
Da vedere anche l'Allegato B del D.Lgs. 196/2003, recante il Disciplinare
Tecnico in misure minime di sicurezza, secondo cui - tra l'altro - i supporti
rimovibili contenenti dati sensibili o giudiziari se non utilizzati sono
distrutti o resi inutilizzabili, ovvero possono essere riutilizzati da altri
incaricati, non autorizzati al trattamento degli stessi dati, se le informazioni
precedentemente in essi contenute non sono intelligibili e tecnicamente
in alcun modo ricostruibili.
Le descritte disposizioni riguardano tutti i tipi di dati sensibili.
Ulteriori misure sono prescritte per dati sensibili particolarmente delicati
(per es. i dati genetici).
15. STUDIO di COMMERCIALISTI E RAPPORTI CON GARANTE
Quali informazioni debbano essere trasmesse al Garante della Privacy da
parte di uno studio di commercialisti per non incorrere in sanzioni,
considerando che, per esempio, alcuni clienti possono essere medici e
simili e dunque parte delle loro fatture possono riguardare loro pazienti.
Come è necessario comportarsi?
RISPOSTA Avv. Marzio Vaglio
Fino al 30 giugno 2007 è in vigore il sistema delle autorizzazioni generali
del Garante (*).
In particolare, l'Autorizzazione Generale n° 4/2005, consente ai liberi
professionisti iscritti in albi o elenchi professionali di trattare i dati sensibili,
senza obbligo di specifica richiesta di autorizzazione al Garante.
Sussiste l'obbligo d'informativa all'interessato e di acquisirne il consenso,
Camera di Commercio Industria Artigianato Agricoltura di Padova
71
CODICE DELLA PRIVACY
nonché quello di adeguarsi alle misure minime di sicurezza.
Il trattamento può essere effettuato solo nelle modalità e con i limiti
espressi dalla stessa A.G. e nel rispetto della normativa comunitaria ed
italiana (oggi il Codice della Privacy) in vigore.
Se il trattamento riguarda dati idonei a rivelare lo stato di salute o la
vita sessuale, deve essere effettuato anche in osservanza
dell'Autorizzazione Generale n° 2/2002.
(*) Oggi sono in vigore 7 autorizzazioni generali (nn. 1/2005, 2/2005,
3/2005, 4/2005, 5/2005, 6/2005 e 7/2005 rilasciate il 21 dicembre 2005)
la cui efficacia è stata differita dal Garante sino al 30 giugno 2007.
16. CASO AGENZIA IMMOBILIARE: DATI PERSONALI RACCOLTI SU
INDICAZIONE DELL'INTERESSATO E NATURA DEI DATI.
I dati personali raccolti su indicazione dell'interessato possono essere
trattati senza il suo consenso, visto che il loro utilizzo è per soddisfare
specifiche richieste, (nel nostro caso di ricerca immobiliare)?
I dati relativi al conferimento dell'indicazione dell'ipotetico valore
dell'immobile, (che l'ipotetico cliente potrebbe essere interessato a
comprare o prendere in locazione), sono da intendersi come “sensibili”
e, quindi, soggetti alla dichiarazione al Garante?
RISPOSTA Avv. Marzio Vaglio
A) Quanto al consenso al trattamento, può ritenersi che nel caso di
specie si possa validamente prescindere dall'obbligo di richiederlo
preventivamente. Infatti, la ditta X può beneficiare della disposizione di
cui all'art. 24 del decreto l.vo 196/03 a tenore della quale il consenso
non è richiesto quando il trattamento “è necessario per eseguire
obblighi derivanti da un contratto del quale è parte l'interessato o per
adempiere, prima della conclusione del contratto, a specifiche
richieste dell'interessato”.
Orbene, da quanto è dato intuire sembra che i trattamenti effettuati
dalla predetta società siano finalizzati esclusivamente a rendere
possibile l'esecuzione degli obblighi derivanti dai contratti dei quali è
parte l'interessato ragion per cui non deve essere (obbligatoriamente)
adempiuta la formalità della richiesta del previo consenso informato al
trattamento dei dati personali.
Camera di Commercio Industria Artigianato Agricoltura di Padova
72
CODICE DELLA PRIVACY
B) Quanto riferito al punto precedente non vale certamente ad
esimere la ditta X dal rispetto della norma di cui all'art. 13 D.Lgs.
196/03.
Occorre, cioè, che detta società informi, al momento della
conclusione del contratto, l'interessato (oralmente o per iscritto)
circa:
- le finalità e le modalità del trattamento cui sono destinati i
dati;
- la natura obbligatoria o facoltativa del conferimento dei
dati;
- le conseguenze di un eventuale rifiuto di rispondere;
- i soggetti o le categorie di soggetti ai quali i dati
personali possono essere comunicati o che possono venirne a
conoscenza in qualità di responsabili o incaricati, e l'ambito di
diffusione dei dati medesimi;
- i diritti di cui all'articolo 7;
- gli estremi identificativi del titolare e del responsabile se
designato.
Si consiglia quindi la redazione di una adeguata informativa ex art.
13 cit. (meglio ancora se questa informativa venga documentata
per iscritto e sottoscritta dall'interessato, per ovvie ragioni di
prova).
C) Per quanto riguarda invece i dati relativi all'ipotetico valore
dell'immobile, essi non hanno certamente natura sensibile. Si
ricorda inoltre che l'art. 24 ,lett. c, stabilisce che è possibile
effettuare il trattamento di dati (non sensibili) senza richiedere il
consenso dell'interessato, quando si tratta di dati provenienti da
pubblici registri, elenchi, atti o documenti conoscibili da chiunque;
è chiaramente stabilito che restano impregiudicati i limiti e le
modalità che le leggi, i regolamenti, o la normativa comunitaria
stabiliscono per la conoscibilità e pubblicità dei dati.
Ciò significa che non è lecito, a priori, qualsiasi trattamento di tali
dati, ma soltanto i trattamenti che sono conformi a tali limiti, che
vanno verificati caso per caso.
Camera di Commercio Industria Artigianato Agricoltura di Padova
73
CODICE DELLA PRIVACY
Qualora la società non abbia ancora iniziato il trattamento, non è
certamente tenuta ad eseguire la notifica al Garante. Qualche
problema potrebbe sorgere con riferimento alla possibilità che nel
caso di specie ricorra l'ipotesi di cui all'art. 37 lett. f ) del decreto Lgs.
196/2003.
Secondo tale norma deve essere effettuata la notifica quando il
trattamento riguardi “dati registrati in apposite banche di dati gestite
con strumenti elettronici e relative al rischio sulla solvibilità
economica, alla situazione patrimoniale, al corretto adempimento di
obbligazioni, a comportamenti illeciti o fraudolenti.”.
Si può in ogni modo escludere l'operatività di tale norma in questo
caso specifico poiché essa stessa richiede la gestione di “apposite”
banche dati sul rischio di insolvenza.
Questo termine (cioè, “apposite”) vale ad escludere l'operatività della
norma in parola in tutti quei casi in cui sia solo occasionale il
trattamento di dati inerenti alla solvibilità, e più in generale alle
capacità economiche, del debitore (*).
In ogni caso è bene che la società valuti attentamente i casi di notifica
obbligatoria previsti dall'art. 37, posto che non dipendono dall'oggetto
sociale della Società quanto dal tipo di dati e di trattamenti effettuati.
(*) Tale interpretazione è stata autorevolmente confermata nel
provvedimento a carattere generale del 31 marzo 2004 del Garante (di
interpretazione restrittiva dell'art. 37).
18. CONSENSO E DATI INSERITI IN PUBBLICI REGISTRI
All'articolo 23 punto c, si dice che il trattamento dei dati può essere
fatto anche senza il consenso se tali dati sono su "pubblici registri,
elenchi, atti o documenti conoscibili da chiunque".
I dati contenuti nei siti web (aziendali, oppure “www.paginegialle.it”,
oppure dati trovati tramite motore di ricerca) rientrano in questa
casistica?
Camera di Commercio Industria Artigianato Agricoltura di Padova
74
CODICE DELLA PRIVACY
RISPOSTA Avv. Marzio Vaglio
L'art. 24, lett. c, stabilisce che è possibile effettuare il trattamento di dati
(non sensibili) senza richiedere il consenso dell'interessato, quando si
tratta di dati provenienti da pubblici registri, elenchi, atti o documenti
conoscibili da chiunque; è anche chiaramente stabilito che restano
impregiudicati i limiti e le modalità che le leggi, i regolamenti o la
normativa comunitaria stabiliscono per la conoscibilità e pubblicità dei
dati.
Ciò significa che non è lecito, a priori, qualsiasi trattamento di tali dati, ma
soltanto i trattamenti che sono conformi a tali limiti, che vanno verificati
caso per caso a seconda del tipo di pubblicità che ha il dato.
I dati "raccolti" da pagine web non sono - solo per questo motivo pubblici. Però i dati degli elenchi telefonici e dei registri pubblici quali il
Registro delle Imprese sono pubblici e non hanno bisogno del consenso.
19. DATI GESTITI DA DIPENDENTI
La società X, ha molti dipendenti che conservano nel loro client di posta
(Outlook o altro) una propria rubrica contenente dati di nostri clienti
(nome, indirizzo, telefono, e-mail, ecc.):
Come si regolamenta l'esistenza di questi?
Vanno citati nel DPS (Documento Programmatico Sulla Sicurezza)?
Può essere sufficiente far sottoscrivere ai dipendenti un'informativa con la
quale ciascuno si assume la responsabilità dei dati contenuti nel proprio
PC?
RISPOSTA Avv. Marzio Vaglio
Le rubriche di contatti del client di posta elettronica sono in tutto e per
tutto banche dati e contengono dati personali, il cui trattamento deve
seguire le regole del Codice, ivi compresa, se del caso, l'adozione di misure
minime di sicurezza, che vanno citate nel DPS.
Si sottolinea che è discutibile il consentire al dipendente l'uso personale
delle risorse telematiche dell'azienda. E' consigliabile, quindi, far
sottoscrivere ai dipendenti un'informativa o un'assunzione scritta di
responsabilità.
È opportuno ricordare, in proposito, che ciascun dipendente che
tratta dati personali deve inoltre essere individuato quale Incaricato
Camera di Commercio Industria Artigianato Agricoltura di Padova
75
CODICE DELLA PRIVACY
del trattamento dei dati, deve ricevere dettagliate istruzioni che
comprendono, tra l'altro l'indicazione delle banche dati a lui accessibili e le
modalità di trattamento.
20. CASO CED (Centro Elaborazioni Dati) - E' NECESSARIO IL CONSENSO PER IL
TRATTAMENTO DI DATI OBBLIGATORI DA TRASMETTERE A INPS, INAIL, ECC.?
Un CED (Centro Elaborazioni Dati) che tiene la contabilità in cui opera un
consulente iscritto all'Albo e quanto viene elaborato sono dati obbligatori da
trasmettere a Inps, Inail, Agenzia Entrate, si deve chiedere il consenso?
RISPOSTA Avv. Andrea Lisi
La risposta è negativa.
Da quanto è dato intuire dalle poche informazioni di cui si dispone sembra
potersi ritenere operanti le disposizioni di cui alla lett. a) dell'art. 24 e lett.
d) dell'art. 26 4°comma del decreto legislativo n. 196/03.
Secondo tale norma il consenso non è richiesto quando il trattamento è
necessario per adempiere ad un obbligo derivante dalla legge.
Nel caso di specie, il trattamento di dati è effettuato al solo scopo di
rendere dichiarazioni obbligatorie per legge a soggetti pubblici (quali
Inps, Inail, Agenzia delle Entrate ) e può quindi validamente effettuarsi
senza aver richiesto, e preventivamente ottenuto, il consenso
dell'interessato.
Naturalmente, ciò non vale ad escludere che il titolare del trattamento si
adegui scrupolosamente alle norme dettate dal decreto Lgs. 196 cit.
quanto all'informativa all'interessato e alla redazione del documento
programmatico per la sicurezza. L'interessato andrà ovviamente informato
su tutte le modalità del trattamento e su chi effettua il trattamento ai sensi
dell'art. 13 del Codice.
Peraltro, appare molto probabile il trattamento, da parte del titolare, di dati
sensibili (in particolare di dati idonei a rivelare l'adesione a partiti o
sindacati e lo stato di salute dei lavoratori dipendenti), ragion per cui si
ritiene doveroso l'adeguamento alle più stringenti misure di sicurezza
previste per tali dati.
Nell'ipotesi in cui effettivamente il titolare proceda al trattamento di
dati sensibili può prescindere dal consenso dell'interessato (art. 26,
comma 4, lett. d) quando il trattamento è necessario per la
gestione del rapporto di lavoro, anche in materia di igiene e
Camera di Commercio Industria Artigianato Agricoltura di Padova
76
CODICE DELLA PRIVACY
sicurezza previste per tali dati.
Nell'ipotesi in cui effettivamente il titolare proceda al trattamento di dati
sensibili può prescindere dal consenso dell'interessato (art. 26, comma 4,
lett. d) quando il trattamento è necessario per la gestione del rapporto
di lavoro, anche in materia di igiene e sicurezza del lavoro e della
popolazione e di previdenza e assistenza, previa autorizzazione del
Garante e nei limiti di tale autorizzazione.
Dai pochi dati in nostro possesso è impossibile verificare con assoluta
certezza se tale ipotesi rientra tra quelle per le quali il Garante abbia già
provveduto ad emanare un'autorizzazione generale (la nostra ipotesi
sembrerebbe comunque potersi ricondurre tra quelle previste
nell'autorizzazione generale n. 1/2002 relativa al trattamento dei dati
sensibili nei rapporti di lavoro) (*).
(*) Oggi sono in vigore 7 autorizzazioni generali (nn. 1/2005, 2/2005,
3/2005, 4/2005, 5/2005, 6/2005 e 7/2005 rilasciate il 21 dicembre 2005) la
cui efficacia è stata differita dal Garante sino al 30 giugno 2007.
21. ONERI DI PRIVACY PER OPERARE IN ATTIVITA' SU MANDATO
L'azienda X, stipula dei mandati con aziende che operano per il contatto
diretto al consumatore, per eseguire telefonate presso potenziali clienti.
Premesso che tale azienda, accetta il mandato solo da aziende di
comprovata serietà, l'obiettivo della telefonata (su liste di numeri
telefonici fornitici dall'azienda mandante, estratti dall'elenco del
telefono), è quello di fissare un appuntamento con delle figure
commerciali, dipendenti dell'azienda mandante.
Durante la telefonata non vengono raccolte informazioni di nessun tipo,
viene solamente richiesta la disponibilità per un incontro ad un
determinato giorno ed orario.
La telefonata ha come introduzione, la raccolta del consenso al
trattamento del dato e viene richiesto se l'interlocutore vuol continuare
la telefonata (spiegando qual è il fine), il tutto però solo a livello
orale/telefonico.
- Esistono delle problematiche operative/formali su quanto viene fatto?
Camera di Commercio Industria Artigianato Agricoltura di Padova
77
CODICE DELLA PRIVACY
- La ditta X è soggetta alla comunicazione al Garante per l'attività svolta?
RISPOSTA Avv. Andrea Lisi
Normalmente per il nuovo codice della privacy è previsto il previo
consenso espresso dell'interessato per qualsiasi operazione di
trattamento dei dati personali.
Tale consenso dovrà anche essere documentato per iscritto (art. 23
Codice della privacy).
L'art. 24 del nuovo codice prevede, però, dei casi espressamente previsti
per i quali può essere eseguito il trattamento senza consenso.
In particolare il punto c) del citato articolo recita così: il consenso non è
richiesto quando il trattamento " riguarda dati provenienti da pubblici
registri, elenchi, atti o documenti conoscibili da chiunque, fermi restando
i limiti e le modalità che le leggi, i regolamenti o la normativa
comunitaria stabiliscono per la conoscibilità e pubblicità dei dati".
Per interpretazione fornita dallo stesso Garante italiano per la privacy
(www.garanteprivacy.it) gli elenchi telefonici costituiscono un "elenco
pubblico" e, quindi, per il trattamento di questi dati non occorre
richiedere un preventivo consenso espresso dell'interessato.
Per quanto riguarda la necessità di notificazione al Garante (da farsi
validamente solo per via telematica e con firma digitale ai sensi dell'art.
38), essa è prevista solo e soltanto in alcuni casi specifici indicati nell'art.
37 del Codice (è necessaria per il trattamento di dati inerenti, la salute o
genetici o biometrici, dati idonei a rivelare la vita sessuale o la sfera
psichica, dati relativi a forme di "profilazione elettronica", dati sensibili
registrati in banche dati di ricerca personale o relativi a sondaggi
d'opinione o ricerche di mercato, dati concernenti la solvibilità
economica gestiti elettronicamente).
Nel caso prospettato, se effettivamente tali dati provengono da elenchi
pubblici (e, in altre parole, elenchi telefonici), la società mandante non ha,
quindi, alcun onere di richiedere l'espresso consenso dell'interessato per
il trattamento di tali dati.
Si tenga in considerazione che per "trattamento" si intende qualsiasi
operazione effettuata sul dato personale altrui (in particolare, ai sensi
dell'art. 4 lett. a) del Codice, "qualunque operazione o complesso
Camera di Commercio Industria Artigianato Agricoltura di Padova
78
CODICE DELLA PRIVACY
d'operazioni, eseguito anche senza l'ausilio di strumenti elettronici,
concernenti la raccolta, la registrazione, l'organizzazione, la
conservazione, la consultazione, l'elaborazione, la modificazione, la
selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco,
la comunicazione, la diffusione, la cancellazione e la distruzione di dati,
anche se non registrati in una banca di dati”. Quindi, anche la semplice
acquisizione di dati personali dagli elenchi telefonici per fissare dei
futuri appuntamenti e verificare la disponibilità per un successivo
incontro è un'operazione di trattamento del dato personale!
A tal proposito, conviene all'azienda X richiedere alla società
mandante una "liberatoria per iscritto" da qualsiasi responsabilità
relativa al trattamento di quei dati (sarebbe, in ogni caso, sufficiente
una dichiarazione scritta del mandante che confermi che quei dati
sono stati raccolti esclusivamente da elenchi telefonici e che vengono
comunicati all'azienda X al solo scopo di fissare degli appuntamenti
presso la società mandante).
Al momento della telefonata, l'azienda X, inoltre, dovrà sempre, ai sensi
dell'art. 13, informare l'interessato su tutti i suoi diritti (ben indicati
dall'art. 7 del Codice): origine del trattamento (quindi, indicare la
società mandante che ha raccolto i dati da elenchi telefonici), finalità
(quindi, fissazione dell'incontro), titolare del trattamento e/o
responsabile (società mandante e/o l'azienda X) etc. Infine, se i dati
(com'è inevitabile) verranno raccolti in banche dati elettroniche e/o
cartacee occorrerà sempre rispettare le misure minime (e idonee) di
sicurezza per tale forma di trattamento (artt. 33-36 Codice): in parole
povere occorrerà evitare che quei dati possano essere dispersi o
cadere "in mani sbagliate" (dal punto di vista elettronico, com'è facile
immaginare, questo comporterà molti accorgimenti tecnici individuati
nell'allegato B del Codice).
Per quanto riguarda gli eventuali oneri di notificazione, non si ravvisa
nessuno dei casi espressamente previsti nell'art. 37.
In verità, l'obbligo di notifica comunque ricadrebbe sul solo titolare del
trattamento (il mandante) e non sull'azienda X.
Per concludere, sarebbe certamente opportuno che la società
mandante delineasse meglio le figure autorizzate al trattamento
Camera di Commercio Industria Artigianato Agricoltura di Padova
79
CODICE DELLA PRIVACY
dati raccolti dagli elenchi pubblici (titolare, responsabile, incaricato)
e, quindi, individuasse meglio la natura dell'incarico all'azienda X
per questo particolare trattamento dei dati; comunque, operando
in maniera corretta durante la telefonata (come sopra descritto),
l'azienda X non rischierà nulla sulla base della normativa italiana in
materia di trattamento dei dati personali e non dovrà provvedere a
nessun obbligo di notificazione.
22. NOTIFICA AL GARANTE E DATI SENSIBILI
Una azienda X, sorta nel 2001, che commercia materiali lapidei
(tratta solo dati di Clienti e fornitori senza dipendenti), non ha mai
effettuato la notifica al Garante:
Doveva farla? Se sì, cosa conviene fare ora?
RISPOSTA Avv. Andrea Lisi
La notifica al Garante, con l'entrata in vigore del Codice della
privacy, deve essere effettuata esclusivamente quando si intenda
procedere al trattamento di quei particolari dati personali indicati
puntualmente all'art. 37 del decreto legislativo 196/2003.
Si tratta, in particolare, del trattamento dei dati genetici, dei dati
biometrici o dei dati che indicano la posizione geografica di
persone od oggetti mediante una rete di comunicazione
elettronica, dei dati idonei a rivelare lo stato di salute e la vita
sessuale (quando siano trattati per certe finalità), dei dati idonei a
rivelare la vita sessuale o la sfera psichica quando siano trattati da
determinati soggetti (quali associazioni, enti od organismi senza
scopo di lucro…) ecc.
L'elenco completo delle ipotesi in cui si deve effettuare la
notificazione è indicato, come detto, nell'art. 37 del decreto
legislativo 196/03 - norma che, senza dubbio, non trova
applicazione nel caso di specie.
Quando la predetta società ha iniziato il trattamento (nel 2001) era
tenuta, ovviamente, al rispetto della normativa allora vigente e,
cioè, della legge 675/96 come successivamente modificata ed
integrata.
Sotto il vigore di tale legge, la notificazione rappresentava la regola
(oggi invece è l'eccezione) cui si poteva derogare solo in specifiche
Camera di Commercio Industria Artigianato Agricoltura di Padova
80
CODICE DELLA PRIVACY
ipotesi tra le quali quella in cui il trattamento fosse “finalizzato
unicamente all'adempimento di specifici obblighi contabili,
retributivi, previdenziali, assistenziali e fiscali, ed è effettuato con
riferimento alle sole categorie di dati, di interessati e di destinatari
della comunicazione e diffusione strettamente collegate a tale
adempimento, conservando i dati non oltre il periodo necessario
all'adempimento medesimo” (art. 7, comma 5 - ter, lett. e).
Nel caso di specie può ritenersi che nel 2001 operava per detta
società tale clausola che valeva ad escludere l'obbligo della
notifica.
In definitiva, la società di cui innanzi non aveva, né ha ad oggi,
l'obbligo di notificare al Garante il trattamento dei dati personali
poiché, sotto il vigore della vecchia normativa operava la deroga di
cui si è detto, e, ad oggi, non ricorre alcun trattamento di dati di cui
al citato art. 37 (sembra, infatti, nel caso di specie ricorrere il solo
trattamento di dati comuni quali anagrafi bancarie di
fornitori/clienti, numeri telefonici, numeri di partita IVA…).
Naturalmente, lo studio più approfondito del tipo di dati trattati (e
del possibile pregiudizio ai diritti e alle libertà dell'interessato che
abbia potuto derivare dalle modalità di trattamento o dalla natura
dei dati) dal 2001 fino al 31 dicembre 2003 potrebbe anche portare
a ritenere la notifica obbligatoria.
Ed allora potrebbe giovare la norma, di difficile interpretazione, di
cui all'art. 181 del decreto l.vo 196/03. Secondo tale disposizione,
per quelle società che hanno iniziato il trattamento anteriormente
al primo gennaio 2004 è possibile effettuare la notifica entro il
prossimo 30 aprile (n.d.r. nella risposta si parlava dell'aprile 2004). Si
tratta, quindi, di una sorta di sanatoria per tutti i trattamenti
precedenti.
23. COS'E' IL DPS?
Cos'è il DPS e cosa deve riportare?
RISPOSTA Avv. Andrea Lisi
Il documento programmatico per la sicurezza (DPS) fotografa le
misure di sicurezza adottate dall'azienda e si compone dei
seguenti punti:
Camera di Commercio Industria Artigianato Agricoltura di Padova
81
CODICE DELLA PRIVACY
elenco dei trattamenti eseguiti;
distribuzione dei compiti e delle responsabilità nell'ambito
delle strutture preposte al trattamento dei dati;
analisi dei rischi che incombono sui dati;
misure adottate per garantire l'integrità e la disponibilità dei
dati, nonché la protezione delle aree e dei locali rilevanti ai fini
della loro custodia;
criteri e modalità per il ripristino della disponibilità dei dati
in seguito ad eventuali episodi di distruzione o danneggiamento;
interventi formativi degli incaricati del trattamento;
criteri per garantire l'adozione delle misure minime di
sicurezza in caso di trattamenti di dati personali affidati, in
conformità al codice, all'esterno di questa struttura titolare.
24. CONSENSO E DPS PER AZIENDE OPERANTI NEL COMMERCIO
(DATI NON SENSIBILI)
L'azienda X, operante nel settore del commercio, prima del 1997
aveva raccolto le informative dei clienti, successivamente non è più
stato fatto.
I dati trattati sono quelli necessari per il rapporto commerciale:
Anagrafica dell'azienda, Anagrafica bancaria per i pagamenti, Email.
Quali sono gli obblighi a cui la ditta deve sottostare?
E' obbligata a redigere il documento programmatico sulla
sicurezza?
RISPOSTA Avv. Marzio Vaglio
Per una corretta soluzione della questione di cui trattasi sono
necessarie le seguenti brevi considerazioni.
1) La ditta X svolge senza dubbio un trattamento di dati personali,
nella specie consistente nella raccolta, registrazione,
organizzazione, conservazione, consultazione e modificazioni di
anagrafiche di aziende clienti/fornitrici, di anagrafiche bancarie ai
fini di effettuare i pagamenti e di indirizzi e-mail.
2) Tali operazioni di trattamento devono avvenire in esatta
applicazione delle norme del decreto 196/03; in particolare,
rilevano la disciplina del consenso al trattamento dei dati
personali, la disciplina dell'informativa e le misure minime di
sicurezza.
Camera di Commercio Industria Artigianato Agricoltura di Padova
82
CODICE DELLA PRIVACY
3) Quanto al consenso al trattamento, può ritenersi che nel caso di
specie si possa validamente prescindere dall'obbligo di richiederlo
preventivamente. Infatti, la ditta X può beneficiare della
disposizione di cui all'art. 24 del decreto l.vo 196/03 a tenore della
quale il consenso non è richiesto quando il trattamento “è
necessario per eseguire obblighi derivanti da un contratto del
quale è parte l'interessato o per adempiere, prima della
conclusione del contratto, a specifiche richieste dell'interessato”.
Orbene, da quanto è dato intuire sembra che i trattamenti
effettuati dalla predetta società siano finalizzati esclusivamente a
rendere possibile l'esecuzione degli obblighi derivanti dai contratti
dei quali è parte l'interessato ragion per cui non deve essere
(obbligatoriamente) adempiuta la formalità della richiesta del
previo consenso informato al trattamento dei dati personali.
4) Quanto riferito al punto precedente non vale certamente ad
esimere l'azienda X dal rispetto della norma di cui all'art. 13 decreto
l.vo 196/03.
Occorre, cioè, che detta società informi, al momento della
conclusione del contratto, l'interessato (oralmente o per iscritto)
circa:
a) le finalità e le modalità del trattamento cui sono destinati i dati;
b) la natura obbligatoria o facoltativa del conferimento dei dati;
c) le conseguenze di un eventuale rifiuto di rispondere;
d) i soggetti o le categorie di soggetti ai quali i dati personali
possono essere comunicati o che possono venirne a conoscenza
in qualità di responsabili o incaricati, e l'ambito di diffusione
dei dati medesimi;
e) i diritti di cui all'articolo 7;
f ) gli estremi identificativi del titolare e del responsabile se
designato.
Si consiglia quindi la redazione di una adeguata informativa ex art.
13 cit. (meglio ancora se questa informativa viene documentata
per iscritto e sottoscritta dall'interessato, per ovvie ragioni di
prova).
5) Infine, l'azienda X deve adeguarsi alle prescrizioni dettate in
tema di misure minime di sicurezza (artt. 31 e ss. decreto l.vo
196/03 - Allegato B) al medesimo decreto) e redigere, qualora tratti
dati sensibili o giudiziari con strumenti elettronici, un documento
programmatico per la sicurezza (*).
Camera di Commercio Industria Artigianato Agricoltura di Padova
83
CODICE DELLA PRIVACY
D'altro canto, secondo un'interpretazione rigida della norma di
riferimento, tale adempimento è doveroso nell'ipotesi di
trattamenti di dati sensibili, sia con strumenti elettronici sia con
registrazioni cartacee, e nell'ipotesi di trattamenti elettronici di dati
comuni. Tuttavia vi è chi ritiene che tale misura di sicurezza vada
adottata solo nell'ipotesi di trattamento dei dati sensibili e
giudiziari con strumenti elettronici, opinione suffragata da un
parere del Garante della Privacy del 22.3.2004.
Nel caso dell'azienda X sembra ricorrere l'ipotesi di trattamento
elettronico di dati comuni e non sensibili, dal momento che
certamente tale società disporrà di banche-dati elettroniche
contenenti dati personali comuni e invierà/riceverà comunicazioni
via e-mail disponendo, quindi, di almeno una banca-dati
elettronica contenete indirizzi e-mail.
(*) Nota Avv. Andrea Lisi: Come già spiegato nella parte dedicata al
DPS della presente Guida, ad avviso di chi scrive l'impostazione
interpretativa più rigida è preferibile per quanto riguarda la lettura
delle norme in materia di DPS.
Il Garante è comunque intervenuto sul punto e con parere non
vincolante del 22 marzo 2004 , ha specificato che il DPS sarebbe
obbligatorio (e la sua omissione sanzionabile anche penalmente ai
sensi dell'art. 169) solo in caso di trattamento elettronico di dati
sensibili e giudiziari. Negli altri casi, rimane comunque preferibile
utilizzare questo strumento perché offre al titolare la possibilità di
provare, con un documento cartaceo, di aver adottato tutte quelle
misure volte ad evitare danni, o quantomeno a ridurli, derivanti dal
trattamento di dati personali altrui, anche in considerazione del
fatto che l'attività di trattamento è equiparata dal nostro legislatore
(vd. già citato art. 15 del Codice) ad una attività pericolosa di cui
all'art. 2050 c.c., con ogni conseguenza che ne deriva in tema di
risarcimento danni (anche non patrimoniali) ed onere della prova.
Camera di Commercio Industria Artigianato Agricoltura di Padova
84
CODICE DELLA PRIVACY
(*) Nota del Responsabile dello sportello privacy e Coordinatore di
Promopadova, dr.ssa Liana Benedetti.
L'interpretazione maggioritaria è per l'obbligatorietà del DPS solo
in caso di trattamento elettronico di dati sensibili e giudiziari.
Rimane l'opportunità di redazione del DPS quando il sistema
informatico aziendale sia di una certa dimensione per cui avere
tutte le procedure di sicurezza messe per iscritto costituisce
comunque un vantaggio anche per l'azienda anche dal punto di
vista organizzativo, oltre che legale (prova di aver adottato tutte le
misure volte ad evitare danni). Personalmente troverei assurdo far
compilare un DPS ad un'azienda che ha uno o due Pc con i quali
tratta solo la contabilità e la corrispondenza aziendale contenenti
quindi dati di clienti e fornitori. Converrà comunque all'azienda
adottare delle misure di sicurezza come il salvataggio periodico dei
dati non solo perché la legge lo richiede, ma soprattutto perché si
tratta di dati indispensabili per la vita dell'azienda.
Si fa notare però che la giurisprudenza è ancora poca, che la lettera
della legge sembra dare indicazioni diverse dall'allegato B, che il
parere del garante del 22.3.2004 non è legalmente vincolante e
che quindi permane ancora un dibattito sull'argomento
obbligatorietà del DPS.
25. DPS (Documento Programmatico Sulla Sicurezza)
L'obbligo di redigere il DPS (Documento Programmatico Sulla
Sicurezza) riguarda tutte le aziende?
RISPOSTA Avv. Andrea Lisi
Quanto alla richiesta di redazione del documento programmatico
per la sicurezza può dirsi che lo stesso secondo un'interpretazione
rigida delle norme di riferimento, vada
redatto:
1) sempre quando il titolare proceda al trattamento con
strumenti elettronici di qualsiasi tipo di dato;
2) sempre quando il titolare proceda al trattamento anche solo
su registri cartacei di dati sensibili e/o giudiziari.
secondo un'interpretazione più flessibile buona parte della
dottrina ritiene che tale misura di sicurezza vada adottata solo
nell'ipotesi di trattamento dei dati sensibili e giudiziari con
strumenti elettronici (tale interpretazione ha avuto una notevole
Camera di Commercio Industria Artigianato Agricoltura di Padova
85
CODICE DELLA PRIVACY
conferma nel parere del 22 marzo 2004 del Garante).
Ovviamente non essendoci al momento giurisprudenza su queste
specifiche problematiche, potrebbe essere consigliabile
interpretare le norme in maniera il più possibile rigorosa, al fine di
avere una prova scritta e con data certa delle misure di sicurezza
adottate in caso di contestazioni, tenendo però conto della
dimensione e articolazione del sistema informatico aziendale e
della mole di dati trattati.
(*) Come già spiegato nella parte dedicata al DPS della presente
Guida, ad avviso di chi scrive (avv. Lisi) l'impostazione interpretativa
più rigida è preferibile per quanto riguarda la lettura delle norme in
materia di DPS.
Il Garante è comunque intervenuto sul punto e con parere non
vincolante del 22 marzo 2004 , ha specificato che il DPS sarebbe
obbligatorio (e la sua omissione sanzionabile anche penalmente ai
sensi dell'art. 169) solo in caso di trattamento elettronico di dati
sensibili e giudiziari.
Negli altri casi, rimane comunque preferibile utilizzare questo
strumento perché offre al titolare la possibilità di provare, con un
documento cartaceo, di aver adottato tutte quelle misure volte ad
evitare danni, o quantomeno a ridurli, derivanti dal trattamento di
dati personali altrui, anche in considerazione del fatto che l'attività
di trattamento è equiparata dal nostro legislatore (vd. già citato art.
15 del Codice) ad una attività pericolosa di cui all'art. 2050 c.c., con
ogni conseguenza che ne deriva in tema di risarcimento danni
(anche non patrimoniali) ed onere della prova.
(*) Nota del Responsabile dello sportello Privacy e Coordinatore di
Promopadova, dr.ssa Liana Benedetti.
L'interpretazione maggioritaria è per l'obbligatorietà del DPS solo
in caso di trattamento elettronico di dati sensibili e giudiziari.
Rimane l'opportunità di redazione del DPS quando il sistema
informatico aziendale sia di una certa dimensione per cui avere
tutte le procedure di sicurezza messe per iscritto costituisce
comunque un vantaggio anche per l'azienda anche dal punto di
vista organizzativo, oltre che legale (prova di aver adottato tutte le
misure volte ad evitare danni). Personalmente troverei assurdo far
compilare un DPS ad un'azienda che ha uno o due Pc con i quali
Camera di Commercio Industria Artigianato Agricoltura di Padova
86
CODICE DELLA PRIVACY
tratta solo la contabilità e la corrispondenza aziendale contenenti quindi
dati di clienti e fornitori. Converrà comunque all'azienda adottare delle
misure di sicurezza come il salvataggio periodico dei dati non solo
perché la legge lo richiede, ma soprattutto perché si tratta di dati
indispensabili per la vita dell'azienda.
Si fa notare però che la giurisprudenza è ancora poca, che la lettera della
legge sembra dare indicazioni diverse dall'allegato B, che il parere del
garante del 22.3.2004 non è legalmente vincolante e che quindi
permane ancora un dibattito sull'argomento obbligatorietà del DPS.
26. OBBLIGO DI DPS
Mi occupo della gestione documentale di una piccola Srl (dico gestione
documentale dato che la sede amministrativa della ditta è presso il Ns.
commercialista ed è lì che c'è tutta la contabilità). In realtà presso il mio
ufficio io emetto solo fatture di vendita e/o preventivi (in almeno la metà
dei casi i Ns. clienti sono rappresentati da privati visto che siamo una ditta
di pitture e ristrutturazioni ) , vorrei quindi sapere se devo creare anch'io
un DPS vero e proprio o è sufficiente che ce l'abbia il commercialista ? Se
sì cosa devo materialmente fare? Oppure dove posso trovare delle
informazioni chiare sui passaggi da svolgere per aggiornarmi con la
normativa ?
RISPOSTA Avv. Andrea Lisi
Va premesso prima di tutto che la redazione del DPS è un obbligo
previsto dall'art. 34 del D. Lgs. 196/2003 (cd. Codice della privacy), il quale
recita : "1. Il trattamento di dati personali effettuato con strumenti
elettronici è consentito solo se sono adottate, nei modi previsti dal
disciplinare tecnico contenuto nell'allegato B), le seguenti misure
minime:
a) autenticazione informatica;
b) adozione di procedure di gestione delle credenziali di autenticazione;
c) utilizzazione di un sistema di autorizzazione;
d) aggiornamento periodico dell'individuazione dell'ambito del
trattamento consentito ai singoli incaricati e addetti alla gestione o
alla manutenzione degli strumenti elettronici;
e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti
illeciti di dati, ad accessi non consentiti e a determinati
Camera di Commercio Industria Artigianato Agricoltura di Padova
87
CODICE DELLA PRIVACY
programmi informatici;
f)
adozione di procedure per la custodia di copie di sicurezza, il
ripristino della disponibilità dei dati e dei sistemi;
g)
tenuta di un aggiornato documento programmatico sulla
sicurezza;
h) adozione di tecniche di cifratura o di codici identificativi per
determinati trattamenti di dati idonei a rivelare lo stato di salute o la
vita sessuale effettuati da organismi sanitari".
Pertanto occorre in primo luogo verificare se la Società in questione
effettui trattamenti elettronici di dati personali, perchè solo in questo
caso è previsto tra i tanti adempimenti - e nei modi indicati
nell'allegato B al Codice - anche l'adozione del DPS. (*)
In caso di trattamento di dati con mezzi non elettronici, si applicherà
l'art. 35 del Codice il quale afferma: "1. Il trattamento di dati personali
effettuato senza l'ausilio di strumenti elettronici è consentito solo se
sono adottate, nei modi previsti dal disciplinare tecnico contenuto
nell'allegato B), le seguenti misure minime:
a) aggiornamento periodico dell'individuazione dell'ambito del
trattamento consentito ai singoli incaricati o alle unità organizzative;
b) previsione di procedure per un'idonea custodia di atti e
documenti affidati agli incaricati per lo svolgimento dei relativi
compiti;
c) previsione di procedure per la conservazione di determinati atti in
archivi ad accesso selezionato e disciplina delle modalità di
accesso finalizzata all'identificazione degli incaricati."
Pertanto, la Società, titolare del trattamento, dovrà comunque
nominare per iscritto i vari incaricati ai trattamenti (cioè tutti coloro
che all'interno della struttura effettuano trattamenti di dati personali)
e nominare strategicamente il commercialista responsabile esterno al
trattamento di dati contabili. Il commercialista, nella sua autonomia,
dovrà comunque verificare se all'interno della sua struttura debba
essere effettuato un Documento Programmatico per la Sicurezza; ma
ciò prescinderà dagli obblighi aziendali del titolare del trattamento
dei dati (e il titolare rimarrà in questo caso certamente la Società che
emette le fatture).
Dall'analisi del caso concreto e con i pochi dati a disposizione, non
sembrerebbe essere indispensabile la redazione del DPS da parte
Camera di Commercio Industria Artigianato Agricoltura di Padova
88
CODICE DELLA PRIVACY
della piccola società, a maggior ragione se il trattamento dei dati
avvenga con documenti cartacei. In ogni caso, non sembrerebbe
esserci alcun trattamento di dati sensibili all'interno della struttura
aziendale e, quindi, le misure minime di sicurezza da adottare secondo
il Codice e l'allegato B) sarebbero di minore entità.
Inoltre è da notare che il Garante è intervenuto su questo punto e con
parere non vincolante del 22 marzo 2004 ha specificato che il DPS
sarebbe obbligatorio solo in caso di trattamento elettronico di dati
sensibili e giudiziari.(*) (**)
Purtroppo i dati a disposizione sono troppo pochi per poter
rispondere compiutamente, ma può certamente riferirsi che la società
in questione potrà certamente ricavare una certa utilità nel redigere
documenti che regolamentino il trattamento dei dati personali
effettuati in seno all'azienda e spieghino ai dipendenti il tipo di dati
che si possono trattare, come debbano essere trattati questi dati, per
quanto tempo e con quali finalità... In ogni caso, chiunque effettui un
trattamento di dati personali all'interno della società o all'esterno
deve essere sempre espressamente incaricato per iscritto o nominato
responsabile per quel trattamento. Nell'incarico o nella nomina deve
essere spiegato "cosa fare e come fare" (cioè finalità, modalità,
obblighi del trattamento dei dati).
Informazioni in materia di trattamento di dati personali si possono
trovare sul sito del Garante della protezione dei dati personali alla
pagina www.garanteprivacy.it o sul sito www.privacy.it.
(*) Nota dell'avv.Andrea Lisi. Come già spiegato nella parte dedicata
al DPS della presente Guida, ad avviso di chi scrive l'impostazione
interpretativa più rigida è preferibile per quanto riguarda la lettura
delle norme in materia di DPS.
Il Garante è comunque intervenuto sul punto e con parere non
vincolante del 22 marzo 2004 , ha specificato che il DPS sarebbe
obbligatorio (e la sua omissione sanzionabile anche penalmente ai
sensi dell'art. 169) solo in caso di trattamento elettronico di dati
sensibili e giudiziari. Negli altri casi, rimane comunque preferibile
utilizzare questo strumento perché offre al titolare la possibilità di
provare, con un documento cartaceo, di aver adottato tutte quelle
misure volte ad evitare danni, o quantomeno a ridurli, derivanti dal
Camera di Commercio Industria Artigianato Agricoltura di Padova 89
CODICE DELLA PRIVACY
trattamento di dati personali altrui, anche in considerazione del fatto
che l'attività di trattamento è equiparata dal nostro legislatore (vd. già
citato art. 15 del Codice) ad una attività pericolosa di cui all'art. 2050
c.c., con ogni conseguenza che ne deriva in tema di risarcimento
danni (anche non patrimoniali) ed onere della prova.
(**) Nota del Responsabile dello sportello privacy e Coordinatore di
Promopadova, dr.ssa Liana Benedetti.
L'interpretazione maggioritaria è per l'obbligatorietà del DPS solo in
caso di trattamento elettronico di dati sensibili e giudiziari.. Rimane
l'opportunità di redazione del DPS quando il sistema informatico
aziendale sia di una certa dimensione per cui avere tutte le procedure
di sicurezza messe per iscritto costituisce comunque un vantaggio
anche per l'azienda anche dal punto di vista organizzativo, oltre che
legale (prova di aver adottato tutte le misure volte ad evitare danni).
Personalmente troverei assurdo far compilare un DPS ad un'azienda
che ha uno o due Pc con i quali tratta solo la contabilità e la
corrispondenza aziendale contenenti quindi dati di clienti e fornitori.
Converrà comunque all'azienda adottare delle misure di sicurezza
come il salvataggio periodico dei dati non solo perché la legge lo
richiede, ma soprattutto perché si tratta di dati indispensabili per la
vita dell'azienda.
Si fa notare però che la giurisprudenza è ancora poca, che la lettera
della legge sembra dare indicazioni diverse dall'allegato B, che il
parere del garante del 22.3.2004 non è legalmente vincolante e che
quindi permane ancora un dibattito sull'argomento obbligatorietà del
DPS.
27. DPS, PROROGHE E DATA CERTA
Ho avuto modo di leggere il Suo articolo sulla proroga della redazione
del DPS al 31/12/2005. Dal momento che tale proroga non riguarda le
misure di sicurezza già previste dal D.P.R. 318/99, quali la redazione del
DPS, nella sua originaria conformazione, Le chiedo:
Prima domanda: L'aggiornamento del DPS, per l'anno 2004, risulta
essere slittato al 30/06/2005?
Seconda domanda:Il DPS relativo al 2005, che costituisce
aggiornamento di quello del 2004, deve essere redatto secondo le
disposizioni del Decreto Legislativo 196/2003, entro il 31/03/2005
Camera di Commercio Industria Artigianato Agricoltura di Padova
90
CODICE DELLA PRIVACY
oppure entro il 30/06/2005? Tale documento deve avere data Certa? Il
requisito della data certa può essere soddisfatto inviando a se stessi il
documento, mediante piego raccomandato con ricevuta di ritorno?
RISPOSTA Avv. Andrea Lisi
Ad oggi per risolvere il Suo quesito abbiamo solo l'interpretazione
fornita dal Garante nel parere del 23 marzo 2004 (acquisibile sul
sito www.garanteprivacy.it) e a quella conviene far affidamento.
Secondo quel parere del Garante, le misure "nuove" di sicurezza
sono da adottare entro il termine del 31/12/2005 (il termine già
prorogato del 30/06/2005, infatti, è stato ulteriormente prorogato
al 31/12/2005 con la Legge 1 marzo 2005, n. 26).
1. In particolare, l'art. 180, con le recenti modifiche, così recita "Art.
180 (Misure di sicurezza) 1. Le misure minime di sicurezza di cui agli
articoli da 33 a 35 e all'allegato B) che non erano previste dal
decreto del Presidente della Repubblica 28 luglio 1999, n. 318, sono
adottate entro il 31 dicembre 2005.
2. Il titolare che alla data di entrata in vigore del presente codice
dispone di strumenti elettronici che, per obiettive ragioni tecniche,
non consentono in tutto o in parte l'immediata applicazione delle
misure minime di cui all'articolo 34 e delle corrispondenti modalità
tecniche di cui all'allegato B), descrive le medesime ragioni in un
documento a data certa da conservare presso la propria struttura.
3. Nel caso di cui al comma 2, il titolare adotta ogni possibile misura
di sicurezza in relazione agli strumenti elettronici detenuti in modo
da evitare, anche sulla base di idonee misure organizzative,
logistiche o procedurali, un incremento dei rischi di cui all'articolo
31, adeguando i medesimi strumenti al più tardi entro il 31 marzo 2006".
Pertanto, seguendo l'impostazione seguita dal Garante nel suo parere,
coloro che già dovevano realizzare il DPS con la vecchia normativa
abrogata, dovranno continuare ad adottarlo, ma potranno
aggiornarlo anche al 31 dicembre 2005 (*) (o quanto meno
aggiornarlo entro quella data secondo le nuove misure di
sicurezza contenute nel Codice e nell'allegato B).
Camera di Commercio Industria Artigianato Agricoltura di Padova
91
CODICE DELLA PRIVACY
Ripeto, il DPS va redatto per la prima volta o aggiornato - secondo
lachiave di lettura fornita dal parere fornito dal Garante
precedentemente citato - entro il 31 dicembre 2005. Il DPS non
deve avere il requisito della "data certa" in senso stretto, secondo
cioè i rigidi schemi del codice civile, infatti il Codice della Privacy
parla espressamente di "data certa" solo nel II comma dell'art. 180
relativamente al documento da adottare in caso di utilizzo di
strumenti elettronici obsoleti e che, quindi, per ragioni tecniche
non consentano l'adeguamento alle misure di sicurezza del
Codice Privacy; in quest'ultimo caso lo slittamento del termine è
previsto al 31 marzo 2006 (**) (purché appunto sia utilizzato un
documento avente "data certa" in cui si descrivano le ragioni
dell'impossibilità tecnica di adottare certe misure "nuove" di sicurezza).
Il fatto comunque che il legislatore fissi dei termini a cui attenersi o
entro i quali effettuare delle specifiche operazioni, dovrebbe
portare l'operatore a cercare di apporre anche al DPS una data
certa, o meglio una data facilmente documentabile. Pertanto, la
fissazione sul documento di una "data certa" può essere senz'altro
utile per finalità probatorie e, quindi, l'autospedizione o
l'apposizione del timbro postale sul documento può essere
considerato un buon metodo, come anche la sottoscrizione con
firma digitale del documento elettronico con apposizione della
marcatura temporale.
(*) data prorogata al 31 marzo 2006
(**) data prorogata al 30 giugno 2006
28. DPS E DATA CERTA
Dove sta scritto che il DPS deve avere data certa?
RISPOSTA Avv. Andrea Lisi
La legge non prescrive che il DPS abbia data certa, tuttavia l'art.34 del
Testo Unico sulla Privacy 196/2003 esprime chiaramente l'obbligo di
tenere aggiornato il DPS, e considerando che la data limite per la
redazione del DPS deve essere entro il 31 marzo di ogni anno, (fa
Camera di Commercio Industria Artigianato Agricoltura di Padova
92
CODICE DELLA PRIVACY
eccezione l'anno in corso, la cui scadenza è stata posticipata al 31
dicembre 2005(*)), si deduce l'opportunità che il documento abbia
data certa, al fine di poter documentare l'effettivo rispetto della
scadenza e, quindi, di evitare possibili contestazioni.
A tal fine si possono utilizzare diversi accorgimenti: i meno onerosi
sono sicuramente l'autoprestazione postale o l'apposizione di firma
digitale e marcatura temporale sul documento elettronico che
contiene il DPS.
(*) data posticipata al 31 marzo 2006 da un recente D.L. di proroga
29. BILANCIO AZIENDALE E DPS
Come si può scrivere una dichiarazione che comprova
l'aggiornamento del DPS (Documento Programmatico sulla
Sicurezza), nella relazione accompagnatoria al bilancio 2003 che sarà
approvato ad aprile se, non è ancora totalmente predisposto in
quanto la scadenza è a giugno?
RISPOSTA Avv. Andrea Lisi
In tale relazione è sufficiente dichiarare che il documento
programmatico per la sicurezza è stato regolarmente aggiornato (non
occorre, quindi, indicare quali modifiche si sono apportate). Infatti “il
titolare riferisce, nella relazione accompagnatoria del bilancio
d'esercizio, se dovuta, dell'avvenuta redazione o aggiornamento del
documento programmatico sulla sicurezza” (punto 26 allegato B).
Giova precisare, peraltro, che secondo il punto 25 dell'allegato B, il
titolare che si avvalga di soggetti esterni per l'adozione delle misure
minime di sicurezza è tenuto a farsi rilasciare dall'installatore una
descrizione scritta dell'intervento effettuato che ne attesti la
conformità alle disposizione del disciplinare tecnico al Codice della
privacy (ovvero all'allegato B).
In ogni caso, a breve, il Garante predisporrà un Vademecum per
meglio chiarire le scadenze relative al DPS e ai suoi aggiornamenti
secondo le novità inserite nell'allegato B) del Codice.
Occorre evidenziare comunque che il Codice non è una sanatoria e se
per la precedente normativa la società era già tenuta a conservare in
Camera di Commercio Industria Artigianato Agricoltura di Padova
93
CODICE DELLA PRIVACY
azienda un aggiornato DPS allora non avrà certo difficoltà a farne
menzione nella relazione accompagnatoria al bilancio 2003.
Prima della pubblicazione on line del presente parere è intervenuto in
proposito il Garante (con il Vademecum del 22 marzo 2004), secondo
il quale:
In primo luogo il DPS può essere redatto per la prima volta o
aggiornato (solo per quest'anno) entro il 30 giugno 2004 (*).
In secondo luogo, “i soggetti pubblici e privati tenuti in passato a
predisporre o aggiornare il DPS, e che per il 2004 possono come detto
aggiornarlo entro il 30 giugno del presente anno, dovranno riferire
secondo la regola 26 già a partire dalla relazione sul bilancio di
esercizio per il 2003, con riferimento al DPS già eventualmente
aggiornato per il 2004, oppure menzionando l'adozione o
aggiornamento avvenuto nel 2003 e indicando sinteticamente che si
aggiornerà il DPS entro il 30 giugno 2004.
I soggetti pubblici e privati tenuti invece per la prima volta a redigere
il DPS nel 2004 (come si è detto entro il 30 giugno), non devono
indicare nella relazione alcunché se il DPS 2003 o il DPS 2004 non
sono stati adottati. I medesimi soggetti, qualora alla data in cui
predispongono la predetta relazione abbiano redatto già il DPS 2004,
indicheranno invece tale circostanza; potranno infine indicare
facoltativamente quanto eventualmente già fatto nel 2003 e, sempre
facoltativamente, l'aggiornamento 2004 in itinere.”.
(*) Come già evidenziato in precedenza, in base alle intervenute
ulteriori proroghe, il DPS va redatto entro il 31 marzo 2006.
30. DPS, NOTA INTEGRATIVA E RELAZIONE SULLA GESTIONE
Il punto 26 dell'allegato B prevede che nella "relazione
accompagnatoria" al bilancio d'esercizio si riferisca dell'avvenuto
aggiornamento del dps. La "relazione sulla gestione" (2428 cc) è
prevista in caso di bilancio di società di capitali redatto in forma
ordinaria, mentre in caso di bilancio redatto in forma abbreviata (2435
bis cc) tale documento non è obbligatorio.
Domanda: si è a conoscenza che il garante abbia previsto l'obbligo di
Camera di Commercio Industria Artigianato Agricoltura di Padova
94
CODICE DELLA PRIVACY
citare il dps nella nota integrativa al bilancio di esercizio (2427 c.c.)
(questa ovviamente sempre presente) o rimane l'obbligo di citazione
del dps solo nel caso in cui si sia in presenza della relazione sulla
gestione e, quindi, solo in caso di bilancio redatto in forma ordinaria
escludendo dalla previsione del punto 26 dell'allegato B i bilanci che
vengono redatti in forma abbreviata e non contenenti la relazione
sulla gestione?
RISPOSTA Avv. Andrea Lisi
La domanda è molto interessante e non ha al momento una soluzione
certa, considerato che il Garante non si è pronunciato espressamente
in materia e la legge rimane poco chiara.
In particolare, l'allegato B al Codice (D.Lgs. 196/2003) al punto 26
semplicemente afferma che "il titolare riferisce, nella relazione
accompagnatoria del bilancio d'esercizio, se dovuta, dell'avvenuta
redazione o aggiornamento del documento programmatico sulla
sicurezza", senza specificare cosa debba intendersi per "relazione
accompagnatoria" (tenuto in considerazione che il codice civile
italiano, pur con la intervenuta riforma di diritto societario, considera
espressamente solo le figure della "nota integrativa" al bilancio
d'esercizio - art. 2427 o della “relazione sulla gestione” - art. 2428).
Il Garante per la Protezione dei dati personali, nel suo parere del 22
marzo 2004 reso su sollecitazione di Confindustria (Oggetto: prima
applicazione del Codice in materia di protezione dei dati personali in
materia di "misure minime" di sicurezza (artt. 31-36 e Allegato B) al
d.lgs. n. 196/2003 acquisibile sul sito del Garante, in proposito si è
limitato a dire:
<< 3. RELAZIONE ACCOMPAGNATORIA AL BILANCIO D'ESERCIZIO
Le scelte di fondo sulle modalità di trattamento sotto il profilo
della sicurezza competono alle persone e agli organi
legittimati ad adottare decisioni ed esprimere a vari livelli, in
base al proprio ordinamento interno, la volontà della società,
ente o altro organismo titolare del trattamento (art. 4, comma
1, lett. f ), del Codice). In questo quadro, il Codice ha introdotto
una nuova regola per rendere meglio edotti gli organi di
vertice del titolare del trattamento e responsabilizzarli in materia
Camera di Commercio Industria Artigianato Agricoltura di Padova
95
CODICE DELLA PRIVACY
di sicurezza, attraverso l'obbligo di riferire nella relazione di
accompagnamento a ciascun bilancio di esercizio circa l' avvenuta
redazione o aggiornamento del DPS che sia obbligatorio come
misura "minima" o che sia stato comunque adottato (regola 26
Allegato B)). Anche questa menzione rappresenta una misura
"minima" nuova, indicata tra quelle di "tutela e garanzia" (regole 25 e 26).
I soggetti pubblici e privati tenuti in passato a predisporre
o aggiornare il DPS, e che per il 2004 possono come detto
aggiornarlo entro il 30 giugno del presente anno, dovranno
riferire secondo la regola 26 già a partire dalla relazione sul
bilancio di esercizio per il 2003, con riferimento al DPS già
eventualmente aggiornato per il 2004, oppure menzionando
l'adozione o aggiornamento avvenuto nel 2003 e indicando
sinteticamente che si aggiornerà il DPS entro il 30 giugno 2004. I
soggetti pubblici e privati tenuti invece per la prima volta a
redigere il DPS nel 2004 (come si è detto entro il 30 giugno), non
devono indicare nella relazione alcunché se il DPS 2003 o il DPS
2004 non sono stati adottati. I medesimi soggetti, qualora alla
data in cui predispongono la predetta relazione abbiano
redatto già il DPS 2004, indicheranno invece tale
circostanza; potranno infine indicare facoltativamente quanto
eventualmente già fatto nel 2003 e, sempre facoltativamente,
l'aggiornamento 2004 in itinere.>>
Si tenga in considerazione che sono intervenute ulteriori proroghe
per l'adozione delle misure "nuove" di sicurezza e oggi la data
ultima per adottare tutte le misure minime "nuove" di sicurezza è il
31 dicembre 2005 (*) secondo il primo comma dell'art. 180 come
da ultimo modificato dall'art. 6-bis della legge 1° marzo 2005, n. 26,
di conversione, con modificazioni, del decreto-legge 30 dicembre
2004, n. 314 [già modificato dall'art. 3 del decreto-legge 24 giugno
2004, n. 158, convertito dalla legge 27 luglio 2004, n. 188 e dall'art. 6
del decreto-legge 9 novembre 2004, n. 266, nel testo modificato
dalla legge 27 dicembre 2004, n. 306, di conversione del predetto
decreto].
In dottrina si è occupato della problematica solo il collega Luigi
Neirotti, il quale commentando il parere del Garante
precedentemente riportato ha solo brevemente sottolineato la
difficoltà interpretativa relativa alla figura della "relazione
accompagnatoria" (soffermandosi successivamente nel suo
Camera di Commercio Industria Artigianato Agricoltura di Padova
96
CODICE DELLA PRIVACY
articolo sulle intervenute proroghe):
<<Il Garante ha interpretato come dovuta tale indicazione sin dal
bilancio sull'esercizio 2003. Diverse sono le difficoltà che vengono in
rilievo in questo caso.
Innanzitutto la regola 26 dell'allegato B al codice reca una prima
difficoltà nello stabilire concretamente in quale parte del bilancio sia
dovuta tale indicazione: se nella "relazione sulla gestione" ovvero
nella "nota integrativa".
Inoltre, appare difficile comprendere il riferimento del Garante al
"bilancio 2003": evidentemente si è considerato solo il caso
dell'esercizio sociale coincidente con l'anno solare, senza tenere conto
che sono possibili anche altre situazioni (diversi sono i soggetti che, in
ragione della natura della loro attività d'impresa, hanno esercizio sociale
non coincidente con l'anno solare).
Più ancora, l'interpretazione del Garante non appare pienamente
convincente. Se è vero che tale indicazione è una misura minima di
sicurezza (regola n. 26 dell'allegato B al codice), ed in particolare se è
vero che essa deve qualificarsi come "nuova", dato che non era
contemplata dal precedente DPR 318/99, come affermato dallo stesso
Garante nel parere alla Confindustria ("In questo quadro, il codice ha
introdotto una nuova regola …"), allora si dovrebbe concludere che
ad essa si debba applicare il regime transitorio previsto dall'art. 180
del codice, il quale permette l'adozione entro il 30 giugno. In altre
parole, l'indicazione in questione sarebbe dovuta solo per quelle
relazioni accompagnatorie approvate dopo il 30 giugno 2004.
Si potrebbe obiettare che ai fini pratici la cosa ha poco rilievo, dato
che chi non era tenuto alla formazione del DPS nel 2003 non farà
menzione di tale circostanza nella relazione accompagnatoria al
bilancio 2004; chi invece già era tenuto alla formazione o
aggiornamento del DPS nel 2003 non verrà gravato di un particolare
onere (dovendo semplicemente confermare un adempimento già
svolto). Una simile considerazione sarebbe accettabile e condivisibile
solamente se vi fosse assoluta chiarezza in merito ai soggetti che,
prima dell'entrata in vigore del nuovo codice, erano onerati o meno
della formazione del DPS>>.
Ad avviso di chi scrive:
Camera di Commercio Industria Artigianato Agricoltura di Padova
97
CODICE DELLA PRIVACY
1- considerato che l'art. 2423 c.c. prescrive che il bilancio è
costituito dallo stato patrimoniale, dal conto economico e
dalla nota integrativa, mentre l'art. 2428 prevede che il bilancio
"deve" essere corredato da una relazione degli amministratori sulla
situazione della società e sull'andamento della gestione;
2- considerata la differente natura della nota integrativa (sempre
presente in qualsiasi bilancio sia in forma ordinaria sia in forma
abbreviata) e della relazione di gestione (che è prevista
obbligatoriamente solo per il bilancio in forma abbreviata secondo
il comma 5 dell'art 2435 bis);
3- considerato che il legislatore, allorquando afferma nell'allegato B
(punto 26) che "il titolare riferisce, nella relazione accompagnatoria
del bilancio d'esercizio, SE DOVUTA", sembrerebbe riferirsi ad un
documento accompagnatorio del bilancio dovuto solo in alcune
circostanze; l'obbligo di cui al punto 26 sembrerebbe ascrivibile solo
in capo a quelle società che saranno tenute ex lege alla redazione
del bilancio d'esercizio in forma ordinaria e, quindi, l'indicazione
relativa all'adozione del DPS (o al suo intervenuto aggiornamento)
andrebbe inserita obbligatoriamente nella sola “relazione di
gestione” (chiamata "atecnicamente" dal legislatore "relazione
accompagnatoria"), prevista dall'art. 2428 c.c..
Ovviamente si tratta solo di una possibile interpretazione non
suffragata da riferimenti giurisprudenziali o da pareri/provvedimenti
del Garante.
(*) termine nuovamente prorogato al 31 marzo 2006
31. DPS - SOCIETA' CAPOGRUPPO E FILIALI
Un gruppo formato da 5 società distinte, con tre sedi diverse. Tutti i
dati sono in rete: il DPS deve essere redatto solo dal capogruppo o da
tutte e cinque le Società?
RISPOSTA Avv. Andrea Lisi
Considerando che le cinque società, e le loro rispettive tre sedi, si
Camera di Commercio Industria Artigianato Agricoltura di Padova
98
CODICE DELLA PRIVACY
trovino tutte nel territorio italiano (e, quindi, che non sorgono
questioni di trasferimento di dati personali all'estero), va premesso
che il documento programmatico per la sicurezza dovrebbe essere
redatto dal titolare principale/capogruppo del trattamento
elettronico dei dati (cui quasi certamente competono le decisioni in
ordine alle finalità, alle modalità del trattamento di dati personali e
agli strumenti utilizzati, ivi compreso il profilo della sicurezza).
Più in particolare, nel caso di specie, il gruppo di società può optare o
per la redazione di un unico documento programmatico, ovvero di
più documenti.
In particolare, la società capogruppo può essere considerata “unico
titolare dei dati del gruppo” e, quindi, redigere il documento
programmatico per la sicurezza che rispecchi tutte le misure di
sicurezza, minime ed idonee, adottate presso ogni società e che faccia
menzione dei soggetti responsabili del trattamento effettuato dalle
cinque società che alla stessa fanno capo.
Ovvero, ogni singola società del gruppo può essere considerata
“contitolare del trattamento” e, quindi, procedere alla redazione del
documento in parola.
D'altronde il disposto della lett. f ) dell'art. 4, I comma, del decreto Lgs.
196/2003 è di portata piuttosto ampia nel ritenere titolare “la persona
fisica, la persona giuridica, la pubblica amministrazione e qualsiasi
altro ente, associazione od organismo cui competono, anche
unitamente ad altro titolare, le decisioni in ordine alle finalità, alle
modalità del trattamento di dati personali e agli strumenti utilizzati, ivi
compreso il profilo della sicurezza” ragion per cui, nel caso di specie,
ogni società può essere considerata titolare (o contitolare) e
eventualmente nominare un proprio responsabile del trattamento (o
anche più responsabili per singoli trattamenti) e redigere un proprio
documento programmatico per la sicurezza. In ogni caso, la redazione
del DPS deve essere sempre inserita in una strategia aziendale di
sicurezza e, quindi, è difficile rispondere concretamente al quesito se
non si conoscono effettivamente e in maniera dettagliata i singoli
rapporti tra le varie società del Gruppo. Si può dire comunque che il
Codice lascia ampio spazio ai titolari del trattamento per poter
Camera di Commercio Industria Artigianato Agricoltura di Padova
99
CODICE DELLA PRIVACY
configurare al loro interno le soluzioni migliori alla propria
strategia aziendale in termini di privacy e sicurezza.
Un altro aspetto da considerare riguarda anche le modalità di
gestione elettronica dei dati; infatti la scelta di optare per uno o più
DPS potrebbe cambiare a seconda che il server su cui risiedono i
dati sia unico o esistano più server; che la modifica dei dati possa
avvenire solo attraverso un server o da più parti della rete, etc.
Pertanto più il trattamento dei dati avviene in modo centralizzato e
maggiore è la convenienza a redigere un solo DPS, viceversa più il
trattamento di dati viene effettuato in modo autonomo dalle
singole società e maggiore sarà l'opportunità di redigere singoli
DPS che, ovviamente, devono contenere informazioni tra di loro
coerenti.
32. DATI SENSIBILI E OBBLIGATORIETÀ DEL DPS
Come d'accordo Le sottopongo via e-mail i quesiti che suscitano
notevole interesse per le nostre aziende agricole associate, ai fini
della redazione o meno del documento programmatico alla
sicurezza:
negli attestati di malattia che i dipendenti delle aziende
portano al datore di lavoro, vi sono riportati dati sensibili?
Mentre, da una nostra verifica, emerge che in tali attestati venga
riportata solo la durata della malattia, in numerosi articoli di
giornali si afferma la "sensibilità" dei dati in essi contenuta...E
la comunicazione di maternità della lavoratrice al datore di
lavoro?
l'appartenenza ad un sindacato è dato sensibile. Nel
cedolino della busta paga non è indicato il nome del
sindacato presso il quale il lavoratore è iscritto. Tuttavia, al
momento di provvedere al pagamento della trattenuta a favore
dell'associazione sindacale scelta dal lavoratore, il datore di
lavoro viene a conoscenza del sindacato scelto...
Con un'interpretazione estremamente restrittiva, si
dovrebbe
concludere che ogni azienda, anche quelle con un solo
dipendente,
sarebbe tenuta alla redazione del Dps...
RISPOSTA Avv. Andrea Lisi
Tutti i dati personali “idonei a rivelare l'origine razziale ed etnica, le
Camera di Commercio Industria Artigianato Agricoltura di Padova
100
CODICE DELLA PRIVACY
convinzioni religiose, filosofiche o di altro genere, le opinioni politiche,
l'adesione a partiti, sindacati, associazioni od organizzazioni a
carattere religioso, filosofico, politico o sindacale, nonchè i dati
personali idonei a rivelare lo stato di salute e la vita sessuale” devono
considerarsi sensibili ai sensi dell'art. 4 1° comma lett. d); quindi
certamente i certificati di malattia - anche per il solo fatto di indicare
che una malattia c'è stata in un determinato periodo senza alcuna
ulteriore specificazione - costituiscono un dato sensibile. Lo stato di
maternità in senso lato potrebbe non essere considerato “uno stato di
malattia”, ma certamente è un dato inerente allo “stato di salute di una
persona”, quindi dovrebbe ritenersi anch'esso sensibile. Stesse
considerazioni possono essere fatte per i dati inerenti alla
appartenenza al sindacato.
Per quanto riguarda l'obbligatorietà del DPS, come già riferito in altre
occasioni, essa va verificata caso per caso e potrebbe non riguardare
le società che effettuino trattamenti cartacei di dati sensibili (almeno
secondo un'interpretazione più elastica della normativa). Secondo una
interpretazione più elastica della normativa, infatti, il DPS è dovuto solo in
caso di trattamento elettronico di dati sentibili.
Il Garante è comunque intervenuto sul punto e, con parere non
vincolante del 22 marzo 2004 , ha specificato che il DPS sarebbe
obbligatorio (e la sua omissione sanzionabile anche penalmente ai sensi
dell'art. 169) solo in caso di trattamento elettronico di dati sensibili e
giudiziari. Negli altri casi, rimane comunque preferibile utilizzare questo
strumento perché offre al titolare la possibilità di provare, con un
documento cartaceo, di aver adottato tutte quelle misure volte ad evitare
danni, o quantomeno a ridurli, derivanti dal trattamento di dati personali
altrui, anche in considerazione del fatto che l'attività di trattamento è
equiparata dal nostro legislatore (vd. già citato art. 15 del Codice) ad una
attività pericolosa di cui all'art. 2050 c.c., con ogni conseguenza che ne
deriva in tema di risarcimento danni (anche non patrimoniali) ed onere
della prova.
Camera di Commercio Industria Artigianato Agricoltura di Padova
101
CODICE DELLA PRIVACY
33. DPS E CONTROLLI DI CARATTERE ISPETTIVO
Le attività richieste per il rispetto del D.Lgs. 196/03 devono essere
solamente citate sul DPS (Documento Programmatico Sulla Sicurezza)
oppure serve anche dimostrarne l'applicazione tramite specifiche
registrazioni?
In altre parole, in sede di un eventuale controllo, gli ispettori si limitano a
verificare che il DPS contenga quanto richiesto dalla Legge oppure
procedono a verificarne anche l'applicazione?
RISPOSTA Avv. Andrea Lisi
Il DPS deve essere veritiero e deve rispecchiare effettivamente quello che
succede in azienda, perché il Garante nell'ambito dei suoi poteri di
carattere ispettivo, come espressamente indicato negli artt. 157 e ss., può
verificare presso la società non soltanto la formale redazione del
documento (che sarebbe opportuno che fosse- lo ricordiamo - provvisto
di data certa), ma anche la sua applicazione pratica e controllare, quindi,
presso i locali del titolare il “rispetto della disciplina in materia di
trattamento dati personali”.
34. TERRITORIALITÀ DEI DATI PER CONSENSO
Se una società tratta con clienti UE ed EXTRA UE deve raccogliere il
consenso anche di questi soggetti?
RISPOSTA Avv. Andrea Lisi
La società di cui innanzi deve richiedere il consenso informato (cioè,
previa informativa ex art. 13) al trattamento dei dati personali degli
interessati, siano essi clienti UE, ovvero extra UE, dal momento che
l'attività di trattamento si svolge comunque in Italia.
Ovviamente la mancanza di ulteriori e più precise indicazioni sui rapporti
tra la società immobiliare e i suoi clienti impedisce un esame più
approfondito delle questioni tecnico-giuridiche sottese al trattamento dei
dati.
Le considerazioni che precedono sono il frutto di una approfondita
lettura dottrinale dei vari articoli del Codice; lettura che, ad oggi, non trova
l'avallo della giurisprudenza poiché non si registra ancora alcuna
Camera di Commercio Industria Artigianato Agricoltura di Padova 102
CODICE DELLA PRIVACY
pronuncia giurisprudenziale in proposito.
Si consiglia, quindi, di aggiornarsi costantemente sull'evoluzione
interpretativa delle norme anche visionando il sito istituzionale del
Garante (che comunque - è bene precisare - non è un'autorità
giudiziaria), dove si susseguono pareri in risposta a diversi e svariati
quesiti.
35. VIDEOSORVEGLIANZA E NORMATIVA
Come si regola la normativa sulla Privacy nel caso di un'azienda che
utilizzi sistemi di Videosorveglianza?
RISPOSTA Avv. Andrea Lisi
L'entrata in vigore, il primo gennaio scorso, del decreto legislativo n.
196/03 (più noto come “Codice della privacy”) ha comportato una
notevole semplificazione in materia di notificazioni al Garante, rendendo
tale obbligo da 'regola' ad 'eccezione'.
I pochi casi per i quali il titolare del trattamento è oggi gravato
dall'obbligo di effettuare la previa notificazione alla suddetta Autorità
sono espressamente elencati al primo comma dell'art. 37 del codice. Tra
questi casi, il punto f) espressamente fa riferimento al trattamento di “dati
registrati in apposite banche di dati gestite con strumenti elettronici e
relative (…) a comportamenti illeciti o fraudolenti” (in queste ipotesi
potrebbe ricondursi il caso che ci occupa).
L'art. 37, peraltro, al comma due ha previsto la possibilità per il Garante sia
di individuare altri trattamenti suscettibili di recare pregiudizio ai diritti e
alle libertà dell'interessato da assoggettare all'obbligo della previa
notifica, sia di individuare, nell'ambito dei trattamenti di cui al comma 1
del medesimo articolo, eventuali trattamenti non suscettibili di recare
detto pregiudizio e pertanto sottratti all'obbligo di notificazione.
In questi ultimi giorni, facendo uso di tali poteri, il Garante ha provveduto
ad elencare alcune ipotesi di trattamento di dati personali sottratte
all'obbligo di cui innanzi.
Si tratta in particolare del Provvedimento n. 1 del 31 marzo 2004
(pubblicata nella G.U. n. 81 del 6 aprile 2004) il quale, a ben vedere,
Camera di Commercio Industria Artigianato Agricoltura di Padova
103
CODICE DELLA PRIVACY
permette la soluzione del quesito innanzi formulato.
Come già evidenziato e confermato dalla lettura delle norme fornita
dallo stesso Garante, dalla lettera f) dell'art. 37 si evince l'obbligo della
previa notificazione quando si effettuino delle videosorveglianze cui
segua la creazione di apposite banche dati gestite elettronicamente e
contenenti immagini di persone.
Tuttavia, il Garante, nel menzionato provvedimento, ha deliberato di
sottrarre all'obbligo di notificazione con riferimento ai casi di cui al
comma 1, lett. f), i trattamenti di dati personali “relativi a immagini o
suoni conservati temporaneamente per esclusive finalità di sicurezza o
di tutela delle persone o del patrimonio” (cfr. lett. A), par. 6/e).
N.B. A proposito di videosorveglianza, si consigliala lettura del
provvedimento generale del 29 aprile 2004 (acquisibile sul sito del
Garante della protezione dei dati personali).
36. SCADENZA PER LA NOTIFICA PER AZIENDE CON
VIDEOSORVEGLIANZA
Le aziende che hanno impianti di videosorveglianza sono tenute ad
effettuare la notifica entro il 30 aprile?
RISPOSTA Avv. Andrea Lisi
Sì, sempre che all'attività di videosorveglianza segua la creazione di
“apposite” banche dati, contenenti la registrazione di immagini e/o
suoni, gestite elettronicamente e realizzate per finalità di
individuazione dei responsabili di comportamenti illeciti o fraudolenti.
37. TELECAMERA SENZA REGISTRAZIONE
L'obbligo di notifica comprende anche il caso di una azienda che
dispone di una telecamera che riprende, senza effettuare alcuna
registrazione? Ad esempio una telecamera che riprende l'interno delle
scale condominiali ed il pianerottolo antistante all'entrata dell'ufficio.
Camera di Commercio Industria Artigianato Agricoltura di Padova
104
CODICE DELLA PRIVACY
RISPOSTA Avv. Andrea Lisi
No. La videosorveglianza relativa ad immagini o suoni conservati
“temporaneamente” per esclusive finalità di sicurezza o di tutela delle
persone o del patrimonio non è soggetta alla notificazione secondo
l'ultimo provvedimento del Garante.
Nel caso di specie, in cui non si effettua alcuna registrazione, a maggior
ragione deve ritenersi non operante l'obbligo di cui all'art. 37 del codice.
38. CASO AZIENDA PRODUTTRICE DI DISPOSITIVI MEDICI SU MISURA
L'azienda X, produce dispositivi medici su misura, per realizzare i quali
necessita dei dati relativi all'esame audiometrico dell'interessato.
I dati sono inviati da clienti (fornitori di audioprotesi), che inviano l'esito
dell'esame audiometrico dell'interessato accompagnato dal relativo
nome e cognome.
La ditta però, non ha alcun altro dato dell'interessato, né residenza, né
date di nascita, né numeri telefonici o altro, che permetta l'identificazione
certa dell'interessato.
L'azienda X, deve comunque ritenere di gestire dati sensibili?
Il nome dell'utente deve essere crittografato?
RISPOSTA Avv. Andrea Lisi
La società X produce e fornisce dispositivi medici su misura per la cui
realizzazione necessita dei dati relativi all'esame audiometrico del
richiedente: questa attività rileva giuridicamente da più punti di vista.
Per quanto più da vicino ci interessa, il punto dolente è rappresentato
dagli adempimenti cui è tenuta a sottostare detta società per rispettare a
pieno la normativa vigente in materia di trattamento dei dati personali.
La società chiede, in primo luogo, se la stessa effettui un trattamento di
“dati sanitari” (da ricomprendersi nel più ampio genus dei dati sensibili e,
cioè, secondo l'art. 4 comma 1 lett. d del D.Lgs. 196/03 - Codice per la
protezione dei dati personali - “i dati personali idonei a rivelare l'origine
razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le
Camera di Commercio Industria Artigianato Agricoltura di Padova
105
CODICE DELLA PRIVACY
opinioni politiche, l'adesione a partiti, sindacati, associazioni od
organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché
i dati personali idonei a rivelare lo stato di salute e la vita sessuale”),
ovvero un trattamento di dati “anonimi”, sulla scorta del fatto che la
medesima società afferma di non poter risalire direttamente all'esatta
identità del richiedente.
In proposito, deve ricordarsi come, ai sensi dell'art. 4, comma 1, lett. n) del
Codice per “dato anonimo” si intenda “il dato che in origine, o a seguito di
trattamento, non può essere associato ad un interessato identificato o
identificabile”. Da tale definizione legislativa deriva che ciascun dato
“anonimo” può divenire dato “personale” quando anche attraverso una
successiva operazione di collegamento ad altre informazioni di diversa
natura risulti idoneo ad individuare un preciso soggetto.
Infatti, la definizione di dato personale è molto ampia e ricomprende ai
sensi dell'art. 4 comma 1 lett. b) “qualunque informazione relativa a
persona fisica, persona giuridica, ente od associazione, identificati o
identificabili, anche indirettamente, mediante riferimento a qualsiasi altra
informazione, ivi compreso un numero di identificazione personale”;
Nel caso di specie, la società X dispone di nome e cognome (e quindi di
dati personali, benché non sensibili) del richiedente ed inoltre della
diagnosi medica di quest'ultimo.
La diagnosi medica, come lo stesso “Garante della privacy” ha avuto
modo di precisare (Garante, 2 giugno 1999), per sua natura non è
caratterizzata da assoluta oggettività ed anzi contiene valutazioni, o
prognosi, di carattere discrezionale, ragion per cui ha sicura natura
giuridica di dato personale ed in particolare di dato idoneo a rilevare lo
stato di salute del paziente (cioè è un dato sanitario).
A questo punto può ritenersi che la società X disponendo di nome e
cognome del richiedente unitamente alla diagnosi medica (esame
audiometrico) di quest'ultimo possa, anche attraverso più operazioni di
combinazione di tali dati, risalire all'identità certa del medesimo
richiedente.
La stessa società, quindi, non tratta dati anonimi bensì dati sensibili, nella
specie dati sanitari.
Per tale motivo è tenuta ad applicare genericamente tutte le misure di
Camera di Commercio Industria Artigianato Agricoltura di Padova
106
CODICE DELLA PRIVACY
sicurezza di cui agli artt. 31 e ss. del Codice e di cui all'Allegato B) al Codice
stesso, ed in particolare, dovrà adeguarsi alle ulteriori misure previste in
caso di trattamento di dati sensibili indicate ai punti 20 e ss. del
medesimo allegato B).
Tali misure, dettate appositamente per il trattamento dei dati sensibili,
prevedono tra l'altro il trattamento disgiunto dei dati sanitari e dei dati
comuni, nonché tecniche di cifratura o codici identificativi per i
trattamenti di dati idonei a rivelare lo stato di salute trattati da organismi
sanitari e esercenti le professioni sanitarie (in particolare la cifratura di
detti dati è prevista all'art. 34 lett. h del codice e dal punto 24 dell'allegato
B). Queste ultime disposizioni sono, quindi, specificamente dettate per
soggetti appartenenti alla generale categoria degli “organismi sanitari o
comunque esercenti le professioni sanitarie”. Occorre verificare nel caso
concreto l'appartenenza della società X a tale categoria; infatti la stessa,
pur essendo un soggetto privato, comunque produce e commercializza
beni che sono collegati con elementi rivelatori dello stato di salute
dell'interessato ed è opportuno che si attenga scrupolosamente alle
disposizioni previste per gli organismi sanitari in genere.
Con riferimento alla notificazione al Garante, il trattamento di dati sanitari
per le finalità perseguite dalla società X non sembrerebbe rientrare tra i
casi - di cui all'art. 37 - per i quali è da ritenersi doverosa la previa
notificazione al Garante. In particolare, l'art. 37 lett. b) prevede l'obbligo di
notificazione soltanto in caso di trattamento di dati sanitari al fine di
“…prestazione di servizi sanitari per via telematica relativi a banche di
dati o alla fornitura di beni…”: nel caso di specie e dai pochi dati in nostro
possesso, non sembra potersi dire che l'attività della società X sia
riconducibile nell'ambito di operatività di tale previsione.
Naturalmente, per procedere al trattamento in parola la società X dovrà
rispettare anche la norma di cui all'art. 26 Codice secondo cui “i dati
sensibili possono essere oggetto di trattamento solo con il consenso
scritto dell'interessato e previa autorizzazione del Garante,
nell'osservanza dei presupposti e dei limiti stabiliti dal presente codice,
nonché dalla legge e dai regolamenti”.
Camera diommercio
C
Industr
ia Ar
tigiana
toAgricoltur
a di Pado
va
107
CODICE DELLA PRIVACY
39. NOTIFICA PER AZIENDA PRODUTTRICE DI DISPOSITIVI MEDICI SU
MISURA
L'azienda X, produce dispositivi medici su misura, per realizzare i quali
necessita dei dati relativi all'esame audiometrico dell'interessato.
I dati sono inviati da clienti, deve effettuare la notifica al garante, chiedere
il consenso e deve richiedere particolari autorizzazioni?
RISPOSTA Avv. Andrea Lisi
Per quanto riguarda la notificazione si veda la riposta fornita al quesito
precedente.
L'azienda in questione non ha alcuna necessità a richiedere
l'autorizzazione del Garante, dal momento che opera l'autorizzazione
generale n. 2/2002 al “trattamento dei dati idonei a rivelare lo stato di
salute e la vita sessuale” (Pubblicata nella GU n. 83 del 9/4/2002 - Suppl.
Ordinario n. 70 - con differimento dell'efficacia al 30 giugno 2004: G.U. n.
191 del 19 Agosto 2003) che all'art. 1.2. espressamente recita
“L'autorizzazione è rilasciata, altresì, ai seguenti soggetti: …lett. e) alle
persone fisiche e giuridiche, alle imprese, agli enti, alle associazioni e ad
altri organismi, limitatamente ai dati, ove necessario attinenti anche alla
vita sessuale, e alle operazioni indispensabili per adempiere agli obblighi
anche precontrattuali derivanti da un rapporto di fornitura all'interessato
di beni, di prestazioni o di servizi. Se il rapporto intercorre con istituti di
credito, imprese assicurative o riguarda valori mobiliari, devono
considerarsi indispensabili i soli dati ed operazioni necessari per fornire
specifici prodotti o servizi richiesti dall'interessato. Il rapporto può
riguardare anche la fornitura di strumenti di ausilio per la vista, per l'udito
o per la deambulazione”. A tale conclusione si può peraltro giungere
secondo la più accreditata dottrina, ritenendo che “in linea generale,
l'autorizzazione non è necessaria, se le finalità del trattamento dei dati
sensibili sono relative all'adempimento di un contratto o di una
prestazione che sia stata espressamente richiesta dall'interessato” (così Il
Codice sulla protezione dei dati personali, a cura di G.P. Cirillo, Giuffrè
2004, 326).
Infine, il consenso dell'interessato dovrà essere richiesto e manifestato in
forma scritta, previa completa informativa, alla luce della particolare
natura dei dati fatti oggetto di trattamento.
Camera di Commercio Industria Artigianato Agricoltura di Padova
108
CODICE DELLA PRIVACY
(*) Oggi sono in vigore le nuove 7 autorizzazioni generali (nn. 1/2004,
2/2004, 3/2004, 4/2004, 5/2004, 6/2004 e 7/2004 rilasciate il 30 giugno
2004) la cui efficacia è stata differita dal Garante sino al 31 dicembre
2005. Non si rilevano variazioni rilevanti per il caso in esame.
Si segnala che da ultimo il Garante ha rilasciato le nuove autorizzazioni al
trattamento dei dati sensibili e giudiziari che saranno efficaci dal 1°
gennaio 2006 sino al 30 giugno 2007.
40. INTERPRETAZIONE DEL TRATTAMENTO ELETTRONICO DEI "DATI
SENSIBILI E GIUDIZIARI"
E' così facile capire quando si compie un trattamento elettronico di soli
dati comuni e non anche di dati sensibili e giudiziari?
RISPOSTA Avv. Andrea Lisi
La definizione di "dato sensibile" si trova nell'articolo 4 del
D.Lgs.196/2003 1° comma lettera d).
I dati sensibili sono, infatti, quei dati che sono idonei a rivelare:
- origine: razziale, etnica;
- convinzioni religiose, filosofiche o di altro genere
- opinioni politiche, l'adesione a partiti, sindacati, associazioni o
organizzazioni a carattere religioso, filosofico, politico o sindacale
- stati di salute e vita sessuale: patologie attuali e pregresse, terapie in
corso, anamnesi familiare, ecc.
Pertanto, la definizione di dati sensibili fornita dalla legge è così vasta che
possono rientrarvi molti dati personali che trattiamo quotidianamente
(anche, in alcuni casi, le stesse e-mail, qualora contengano direttamente
o indirettamente dei "requisiti di appartenenza" a particolari categorie:
es. e-mail [email protected])" (anche per tale motivo si
suggerisce di adottare nella propria organizzazione un nucleo minimo di
misure di sicurezza, idoneo a soddisfare i requisiti dell'Allegato B /
Disciplinare tecnico pensati per trattamenti elettronici di dati sensibili).
I dati comuni, al contrario, sono tutti gli altri, ma è bene precisare che con
l'emanazione del Codice Privacy, è stata confermata la nuova categoria di dati
“diversi da quelli sensibili e giudiziari il cui trattamento presenta rischi
Camera di Commercio Industria Artigianato Agricoltura di Padova
109
CODICE DELLA PRIVACY
specifici per i diritti, le libertà fondamentali e per la dignità
dell'interessato”. L'art. 17 del Testo Unico riprende la definizione prevista
dall'art. 24-bis della L.675/96, stabilendo che il trattamento di tali dati è
ammesso solo con l'osservanza di misure e accorgimenti che dovranno
essere stabiliti dal Garante (si ricorda che ai sensi della passata disciplina il
Garante avrebbe dovuto individuare le modalità di trattamento entro
febbraio 2003).
Comunque, per avere ad esempio una panoramica dei dati personali
sensibili che possono trovarsi in azienda e, conseguentemente, per gestirli
in maniera corretta, è utile esaminare l'autorizzazione al trattamento dei
dati sensibili nei rapporti di lavoro, attualmente emanata dal Garante il 30
giugno 2004 (in vigore sino al 31 dicembre 2005). Dall'autorizzazione,
infatti, si rileva che il titolare del trattamento-datore di lavoro potrà avere
in azienda dati personali sensibili per :
- adempiere direttamente o indirettamente specifici obblighi o per
eseguire specifici compiti previsti dalla normativa comunitaria,
da leggi, da regolamenti o da contratti collettivi anche aziendali, in
particolare ai fini del rispetto della normativa in materia di igiene e
sicurezza del lavoro, nonché in materia fiscale, di tutela della salute,
dell'ordine e della sicurezza pubblica;
- ai fini della tenuta della contabilità o della corresponsione di
stipendi, assegni,premi,altri emolumenti,liberalità o benefici accessori;
- per il perseguimento delle finalità di salvaguardia della
vita o dell'incolumità fisica dell'interessato o di un terzo;
- per far valere o difendere un diritto anche da parte di un terzo in
sede giudiziaria, o in sede amministrativa o nelle procedure di
arbitrato e di conciliazione nei casi previsti dalle leggi, dalla normativa
comunitaria, dai regolamenti o dai contratti collettivi, semprechè,
qualora i dati siano idonei a rivelare lo stato di salute e la vita sessuale, il
diritto da far valere o difendere sia di rango pari a quello dell'interessato;
- per l'esercizio del diritto di accesso ai documenti amministrativi, nel
rispetto di quanto stabilito dalle leggi e dai regolamenti in materia;
- per adempiere agli obblighi derivanti da contratti di
assicurazione finalizzati alla copertura dei rischi connessi alla
responsabilità del datore di lavoro in materia di igiene e di sicurezza del
Camera di Commercio Industria Artigianato Agricoltura di Padova
110
CODICE DELLA PRIVACY
lavoro e malattie professionali o per danni cagionati a terzi nell'esercizio
dell'attività lavorativa o professionale;
- per garantire le pari opportunità.
- In azienda, in particolare, il trattamento può avere ad oggetto i dati
strettamente pertinenti agli obblighi, ai compiti o alle finalità sopra
indicate, quali:
- dati idonei a rivelare le convinzioni religiose, filosofiche o di altro
genere, ovvero l'adesione ad associazioni od organizzazioni a carattere
religioso o filosofico, dati concernenti la fruizione dei permessi e
festività religiose o di servizi di mensa, nonché la manifestazione, nei
casi previsti dalla legge, dell'obiezione di coscienza;
- dati idonei a rivelare le opinioni politiche, l'adesione a partiti, sindacati,
associazioni od organizzazioni a carattere politico o sindacale, dati
concernenti l'esercizio di funzioni pubbliche e di incarichi politici,
ovvero l'organizzazione di pubbliche iniziative, nonché dati inerenti
alle attività o agli incarichi sindacali, ovvero alle trattenute per il
versamento delle quote di servizio sindacale o delle quote di iscrizione
ad associazioni od organizzazioni politiche o sindacali;
- dati idonei a rivelare lo stato di salute, dati raccolti in riferimento a
malattie anche professionali, invalidità, infermità, gravidanza,
puerperio o allattamento, ed infortuni, ad esposizioni a fattori di
rischio, all'idoneità psicofisica a svolgere determinate mansioni o
all'appartenenza a categorie protette.
In azienda si deve prestare particolare attenzione agli uffici nei quali è
possibile e verosimile che si trovino tali dati in formato cartaceo: si pensi
all'ufficio personale, dove sono conservate le buste paga dei dipendenti,
compresa tutta la documentazione necessaria alla loro elaborazione,
dove si conservano copie dei certificati di malattia e così via. Nella busta
paga del dipendente e comunque nella sua cartellina personale, l'azienda
potrebbe conservare le indicazioni relative all'appartenenza del soggetto
ad un sindacato e ciò al fine di poter effettuare il versamento della quota
di iscrizione direttamente dalla busta paga, quando espressamente
richiesto dal dipendente stesso. L'azienda potrebbe, inoltre, conservare la
documentazione relativa all'appartenenza del dipendente ad una
religione particolare, per ragioni legate al contratto di lavoro, dove è
Camera di Commercio Industria Artigianato Agricoltura di Padova
111
CODICE DELLA PRIVACY
previsto che il soggetto non lavori in un certo giorno della settimana,
oppure in un periodo dell'anno, proprio per motivi religiosi. Anche la
mensa potrebbe gestire informazioni qualificabili come "dati sensibili"
dalla norma: si pensi ai lavoratori che richiedono di non mangiare
determinati alimenti, poiché la propria religione o motivi di salute lo
vietano. Tutte queste informazioni rappresentano dati sensibili e devono
essere gestite con estrema cautela e con autorizzazioni specifiche.
Si sottolinea che il nuovo Codice Privacy ha escluso la necessità del
consenso per il trattamento dei dati sensibili dei dipendenti quando è
necessario per adempiere a specifici obblighi o compiti previsti dalla
legge, regolamento o dalla normativa comunitaria per la gestione del
rapporto di lavoro (art. 26, comma 4, lett. d).
Di più facile lettura invece è la definizione dei dati giudiziari, i quali
coincidono con “i dati personali idonei a rivelare provvedimenti di cui
all'articolo 3, comma 1, lettere da a) a o) e da r) a u), del d.P.R. 14 novembre
2002, n. 313, in materia di casellario giudiziale, di anagrafe delle sanzioni
amministrative dipendenti da reato e dei relativi carichi pendenti, o la
qualità di imputato o di indagato ai sensi degli articoli 60 e 61 del codice
di procedura penale” (art. 4 1° comma lett. e).
41. AZIENDA DI SOFTWARE E TITOLARITA' DEL TRATTAMENTO DEI DATI
L'Azienda di Software X, gestisce per conto di un Curatore fallimentare la
pubblicazione su un determinato sito web di dati relativi ad alcune
procedure fallimentari in corso.
Detti dati vengono forniti dal Curatore alla menzionata azienda, la quale, a
sua volta, provvede esclusivamente ad inserirli sul sito del medesimo
Curatore (il detto sito, infatti, è ospitato presso i server dell'Azienda di
Software X).
L'Azienda di Software X deve, o meno, considerarsi titolare del
trattamento dei dati inseriti sul web?
RISPOSTA Avv. Andrea Lisi
Deve premettersi che ai sensi dell'art. 4, I comma, lett. f) del decreto
legislativo n. 196/03 (di seguito codice) per “titolare” si intende “la persona
Camera di Commercio Industria Artigianato Agricoltura di Padova
112
CODICE DELLA PRIVACY
fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro
ente, associazione od organismo cui competono, anche unitamente ad
altro titolare, le decisioni in ordine alle finalità, alle modalità del
trattamento di dati personali e agli strumenti utilizzati, ivi compreso il
profilo della sicurezza”. Di un determinato trattamento di dati personali,
quindi, possono esserci anche più titolari.
Nel caso di specie è titolare certamente il Curatore Fallimentare cui
competono ampi poteri in ordine alle finalità e alle modalità del
trattamento dei dati ed ancora agli strumenti utilizzati, ivi compreso il
profilo della sicurezza. Ed in effetti, sul punto, è sufficiente a fugare ogni
dubbio la circostanza secondo cui spetta al Curatore decidere quali dati
inserire sul sito web ed ancora se ricorrere alla pubblicità on-line, ovvero a
quella cartacea.
Venendo più da vicino al ruolo svolto dall'Azienda di Software X, la stessa
sembra difettare di poteri decisori limitandosi, detta società, ad un'attività
meramente materiale e ripetitiva di inserimento tout court di dati su un
sito web in ciò espressamente autorizzata dal Curatore e nei limiti posti
dallo stesso.
Sembra quindi doversi concludere nel senso di ritenere che l'Azienda di
Software X non assuma la veste di titolare o contitolare, né può ritenersi
che detta società sia “incaricata” del trattamento, giacché tale figura può
essere coperta solo da “persone fisiche” che sono espressamente e per
iscritto “autorizzate a compiere operazioni di trattamento dal titolare o dal
responsabile” (art. 4, I comma, lett. h).
In conclusione, l'Azienda di Software X , potrebbe essere considerata quale
“responsabile in outsourcing” essendo tale “la persona fisica, la persona
giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione
od organismo preposti dal titolare al trattamento di dati personali”.
Non comporta alcun genere di problema, in proposito, il fatto che la
società in parola sia soggetto terzo rispetto al Curatore fallimentare dal
momento che - come lo stesso Garante della privacy ha avuto modo di
sostenere - anche un soggetto non dipendente dal titolare può essere
nominato responsabile (ricorrerebbe pertanto la figura del responsabile
esterno, il quale sulla base di un contratto di outsourcing svolga operazioni di
trattamento).
Camera di Commercio Industria Artigianato Agricoltura di Padova
113
CODICE DELLA PRIVACY
L'Azienda di Software X, quindi, potrebbe assumere la qualità di
responsabile (tale nomina comunque deve risultare da atto scritto, accettato
dall'Azienda X con il quale il Curatore specifica analiticamente i compiti
assegnati - art. 29 codice) e in ogni caso dovrà procedere al trattamento
attenendosi alle direttive impartite dal titolare (cioè dal Curatore), il quale
avrà sulla stessa società un obbligo di vigilanza.
La responsabilità di ogni scelta relativa al trattamento ricadrà in ogni caso sul
titolare principale di detto trattamento (che è il curatore fallimentare) e su di
lui ricadranno tutti i compiti specifici e relativi a detto trattamento (quali
politiche di sicurezza, nomina di responsabili o incaricati, eventuali obblighi
di informativa etc.). Dovrà essere quest'ultimo pertanto a preoccuparsi di
provvedere con eventuali nomine, specificando bene tutti i rapporti
intercorrenti con l'Azienda di Software X, ivi comprese le misure minime di
sicurezza che in qualità di titolare vuole siano adottate.
42. DATI GIUDIZIARI PER UN'AZIENDA DI SOFTWARE
L'Azienda di Software X, gestisce per conto di un Curatore fallimentare la
pubblicazione su un determinato sito web di dati relativi ad alcune
procedure fallimentari in corso.
Detti dati vengono forniti dal Curatore alla menzionata azienda, la quale, a
sua volta, provvede esclusivamente ad inserirli sul sito del medesimo
Curatore (il detto sito, infatti, è ospitato presso i server dell'Azienda di
Software X).
Cosa è obbligata a fare nel fornire il servizio in “parola”? I dati oggetto di
trattamento devono considerarsi giudiziari?
RISPOSTA Avv. Andrea Lisi
Da rispettare sono gli obblighi generali di adottare adeguate e minime
misure di sicurezza. L'Azienda X ha stipulato un contratto di hosting e dovrà
pertanto garantire al titolare del trattamento-Curatore fallimentare che i
propri server siano dotati di misure di sicurezza al fine di evitare che soggetti
non autorizzati possano inserire, modificare, cancellare i dati, o se necessario,
di limitare la visualizzazione dei dati da parte di soggetti non autorizzati.
Nella eventualità che essa possa rivestire la qualifica formale di responsabile,
Camera di Commercio Industria Artigianato Agricoltura di Padova
114
CODICE DELLA PRIVACY
l'Azienda di Software X assumerebbe su di sé anche i rischi connessi alla
gestione dei dati personali ed in particolare risponderebbe nell'ipotesi di
mancato rispetto delle istruzioni impartite dal Curatore.
I dati di cui si discute attengono alla dichiarazione di fallimento, alle altre
procedure concorsuali e ai conseguenti provvedimenti adottati a carico
dei soggetti passivi.
Per quanto alcune volte al fallimento seguano anche provvedimenti di
tipo penale, quali ad esempio la sentenza di condanna per i reati di
bancarotta, dette informazioni (che sono dati giudiziari) non vengono
pubblicate.
In definitiva, hanno natura di “dati giudiziari” solo quei “dati personali
idonei a rivelare provvedimenti di cui all'articolo 3, comma 1, lettere da a)
a o) e da r) a u), del D.P.R. 14 novembre 2002, n. 313, in materia di casellario
giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e
dei relativi carichi pendenti, o la qualità di imputato o di indagato ai sensi
degli articoli 60 e 61 del codice di procedura penale”.
Viene esplicitamente escluso dalla definizione di dati giudiziari il punto q)
relativo a “i provvedimenti giudiziari che dichiarano fallito l'imprenditore;
quelli di omologazione del concordato fallimentare; quelli di chiusura del
fallimento; quelli di riabilitazione del fallito”
Per completezza si indicano i casi contemplati nelle lettere da a) ad o) e
da r) ad u) del DPR cit.
a) i provvedimenti giudiziari penali di condanna definitivi, anche
pronunciati da autorita' giudiziarie straniere se riconosciuti ai
sensi degli articoli 730 e seguenti del codice di procedura penale,
salvo quelli concernenti contravvenzioni per le quali la legge ammette
la
definizione in via amministrativa, o l'oblazione limitatamente alle
ipotesi di cui all'articolo 162 del codice penale, sempre che per quelli
esclusi non sia stata concessa la sospensione condizionale della pena;
b) i provvedimenti giudiziari definitivi concernenti le pene, compresa la
sospensione condizionale e la non menzione, le misure di sicurezza
personali e patrimoniali, gli effetti penali della condanna, l'amnistia,
l'indulto, la grazia, la dichiarazione di abitualita', di professionalita' nel
reato, di tendenza a delinquere;
c) i provvedimenti giudiziari concernenti le pene accessorie;
Camera di Commercio Industria Artigianato Agricoltura di Padova
115
CODICE DELLA PRIVACY
d) i provvedimenti giudiziari concernenti le misure alternative alla
detenzione;
e) i provvedimenti giudiziari concernenti la liberazione condizionale;
f) i provvedimenti giudiziari definitivi che hanno prosciolto l'imputato o
dichiarato non luogo a procedere per difetto di imputabilita', o
disposto una misura di sicurezza;
g) i provvedimenti giudiziari definitivi di condanna alle sanzioni
sostitutive e i provvedimenti di conversione di cui all'articolo 66, terzo
comma, e all'articolo 108, terzo comma, della legge 24 novembre
1981, n. 689;
h)
i provvedimenti giudiziari del pubblico ministero previsti dagli
articoli 656, comma 5, 657 e 663 del codice di procedura penale;
i) i provvedimenti giudiziari di conversione delle pene pecuniarie;
j) i provvedimenti giudiziari definitivi concernenti le misure di
prevenzione della sorveglianza speciale semplice o con divieto o
obbligo di soggiorno;
k) i provvedimenti giudiziari concernenti la riabilitazione;
l)
i provvedimenti giudiziari di riabilitazione, di cui all'articolo 15
della legge 3 agosto 1988, n. 327;
m) i provvedimenti giudiziari di riabilitazione speciale relativi ai minori, di
cui all'articolo 24 del regio decreto-legge 20 luglio 1934, 1404,
convertito, con modificazioni, dalla legge 27 maggio 1935, n. 835, e
successive modificazioni;
n) (…)
o) r) i provvedimenti giudiziari relativi all'espulsione a titolo di sanzione
sostitutiva o alternativa alla detenzione, ai sensi dell'articolo 16 del
decreto legislativo 25 luglio 1998, n. 286, come sostituito dall'art. 15 della
legge 30 luglio 2002, n. 189;
p) s) i provvedimenti amministrativi di espulsione e i provvedimenti
giudiziari che decidono il ricorso avverso i primi, ai sensi dell'articolo 13
del decreto legislativo 25 luglio 1998, n. 286, come modificato dall'art.
12 della legge 30 luglio 2002, n. 189;
q) t) i provvedimenti di correzione, a norma di legge, dei provvedimenti
gia' iscritti;
Camera di Commercio Industria Artigianato Agricoltura di Padova
116
CODICE DELLA PRIVACY
r)
s)
u) qualsiasi altro provvedimento che concerne a norma di legge i
provvedimenti gia' iscritti, come individuato con decreto del
Presidente della Repubblica, ai sensi dell'articolo 17, comma 1, della
legge 23 agosto 1988, n. 400, su proposta del Ministro della
giustizia.(art. 686 c.p.p; art. 194 att. c.p.p; artt. 4 e 14, r.d. n. 778/1931;
art. 24, parte del sesto comma, r.d.l. 1404/1934, convertito, con
modificazioni, l. n. 835/1935; art. 58-bis, l. n. 354/1975; art. 73, l. n.
689/1981)
Nel caso di specie normalmente non si dovrebbero effettuare
pubblicazioni contenenti dati di tal fatta e, quindi, il relativo
trattamento non sembrerebbe riferibile a dati giudiziari; per essere
del
tutto certi occorrerebbe, naturalmente, verificare il singolo caso
concreto.
43. SOCIETÀ DI SOFTWARE E OBBLIGHI PRIVACY
Siamo una SNC che opera nel settore dell'informatica da alcuni anni
(2001), la nostra principale attività è di consulenza e programmazione,
ma non manca la vendita ed installazione di prodotti HW e SW. Siamo
iscritti alla CCIA di PD con N°******, reg. ********.
Dall'entrata in vigore del DL 196/03 sulla Privacy, ci siamo chiesti a quali
dei 186 art. dovevamo più fare attenzione. Avendo ricevuto da più parti
informazioni imprecise se non contraddittorie ci siamo letti tutta la legge
e gli allegati del Garante. Andiamo al dunque:
1) 1)La nostra società tratta dati personali, e non sensibili, come la
maggior parte delle ditte commerciali per lo svolgimento degli obblighi
fiscali (ddt e fatture) e svolge azione commerciale (invio
offerte/preventivi a nominativi reperiti sui pubblici elenchi): quali sono
gli obblighi per la nostra struttura? Tutti quelli definiti nell'allegato B per i
dati personali? Riteniamo di avere le conoscenze per gli adempimenti,
ma forse abbiamo bisogno di una certificazione/abilitazione per
dichiarare a norma la predisposizione informatica?
2) 2)Quando installiamo prodotti HW o SW presso clienti, al fine di
adeguare al DL 196/03 la situazione informatica, abbiamo obbligo di
rilasciare attestato conformità? E abbiamo gli eventuali requisiti di legge
per rilasciarlo?
Camera di Commercio Industria Artigianato Agricoltura di Padova
117
CODICE DELLA PRIVACY
E nel caso venga rilasciato quali sono le responsabilità da parte nostra
in caso di controlli e sanzioni?
3) 3)Alla ditta del cliente prevediamo di fornire un piccolo
corso di formazione per il personale incaricato del trattamento,
abbiamo i requisiti? Anche per rilascio di un attestato?
RISPOSTA Avv. Andrea Lisi
1) In relazione agli obblighi fiscali, (in quanto obbligo di legge), ed alle
attività commerciali, (in quanto dati provenienti da pubblici registri o
elenchi conoscibili da chiunque, o comunque frutto di negoziazione), la
regola del consenso dell'interessato per il trattamento dei dati personali
non è necessaria (art. 24, lett. a,b,c e d D.Lgs. 196/2003 - cd. Codice
Privacy).
Tuttavia, ai fini del legittimo trattamento dei dati va sempre fornita una
adeguata informativa ai sensi dell'art. 13 del Codice Privacy.
In caso di comunicazioni commerciali relative ai propri prodotti/servizi
verso clienti/partners con i quali si è già avviata una trattativa o
comunque è in essere un rapporto contrattuale, deve essere sempre
garantita all'interessato la possibilità (anche attraverso forme
semplificate) di manifestare la sua volontà di opporsi per il futuro a
questo tipo di trattamento.
Inoltre, la società dovrà ovviamente incaricare per iscritto tutti coloro che
tratteranno dati personali all'interno o all'esterno della società (art. 30 del
Codice). La nomina di uno o più responsabili rimane facoltativa (art. 29 del
Codice).
Per quanto riguarda l'Allegato B (Disciplinare tecnico in materia di misure
minime di sicurezza), esso riguarda le misure di sicurezza che tendono ad
assicurare un livello minimo di protezione ai dati personali in caso di
trattamento elettronico (punti 1-36) e cartaceo di dati (punti 27-29).
La società in questione dovrà, quindi, adeguarsi a tutte le disposizioni
normative previste dagli artt. 31 e segg. del D.lgs. 196/03 ed all'Allegato B,
e in particolare dovrà adempiere a tutti i punti 1-18 previsti dall'allegato B
per qualsiasi trattamento elettronico di dati.
Per quanto riguarda l'obbligo di redazione del DPS (punto 19 dell'allegato B)
Camera di Commercio Industria Artigianato Agricoltura di Padova
118
CODICE DELLA PRIVACY
esso concerne solo coloro che trattano dati sensibili o giudiziari con
strumenti elettronici secondo l'interpretazione più elastica fornita
recentemente dal Garante, ma (come ripetuto tante volte) parte della
dottrina adotta un'interpretazione rigida e letterale (dell'art. 34 del
Codice), secondo la quale il DPS è obbligatorio per tutti coloro che
trattano elettronicamente dati personali.
In ogni caso, si sottolinea che la redazione di un DPS costituisce
certamente un utile strumento di lavoro per l'implementazione di una
corretta politica di privacy soprattutto in aziende molto strutturate.
2) Sicuramente il rilascio dell'attestato di conformità rientra tra le
previsioni di cui alla normativa in materia di trattamento dati personali.
Ciò in base a quanto previsto dall'art. 25 dell'Allegato B che stabilisce che:
“il titolare che adotta misure minime di sicurezza avvalendosi di soggetti
esterni alla propria struttura, per provvedere all'esecuzione riceve
dall'installatore una descrizione scritta dell'intervento effettuato che ne
attesta la conformità alle disposizioni del presente disciplinare tecnico”.
Sarà opportuno pertanto prevedere con il cliente una definizione
contrattuale dei rispettivi oneri e responsabilità in materia di privacy,
all'interno del contratto di installazione e manutenzione
software/hardware. Pertanto sarà il contratto a prevedere eventualmente
una nomina a vostro carico di “responsabile in outsourcing” per il
trattamento elettronico dei dati o per la manutenzione del software e
hardware utilizzato per i trattamenti, configurando dettagliatamente le
relative responsabilità conseguenti a quell'incarico.
La necessità di effettuare corsi di formazione al personale incaricato del
trattamento è prevista come un obbligo all'interno della normativa
riguardante le istruzioni per la redazione del Documento Programmatico
della Sicurezza. In particolare, il DPS deve contenere al suo interno “la
previsione di interventi formativi degli incaricati del trattamento, per
renderli edotti dei rischi che incombono sui dati, delle misure disponibili
per prevenire eventi dannosi, dei profili della disciplina sulla protezione
dei dati personali più rilevanti in rapporto alle relative attività, delle
responsabilità che ne derivano e delle modalità per aggiornarsi sulle
misure minime adottate dal titolare. La formazione è programmata già al
momento dell'ingresso in servizio, nonché in occasione di cambiamenti
di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti
Camera di Commercio Industria Artigianato Agricoltura di Padova
119
CODICE DELLA PRIVACY
rispetto al trattamento di dati personali potendo impartire istruzioni
scritte finalizzate al trattamento dei dati personali” (punto 19.6
dell'allegato B).
Quindi, per tutte le società che effettuino trattamenti elettronici (ma
anche cartacei ai sensi del punto 27 dell'allegato B) di dati esiste un
obbligo formativo per gli incaricati al trattamento dei dati. Non sono
previste particolari certificazioni in capo a coloro che dovranno gestire la
formazione all'interno della società (la formazione può essere effettuata
anche da responsabili interni che abbiano maturato specifiche
competenze in materia).
Né è strettamente necessario per la società dotarsi di particolari attestati
relativi alla formazione acquisita. L'importante è pertanto che la
formazione sia effettuata da chi abbia specifica competenza in materia e
che tale formazione sia attestata nel DPS (anche con una semplice fattura
emessa dalla società esterna che abbia effettuato la formazione).
44. RESPONSABILITA' NELLA CREAZIONE DI SOFTWARE GESTIONALI
L'Azienda di Software X, gestisce per conto di un Curatore fallimentare la
pubblicazione su un determinato sito web di dati relativi ad alcune
procedure fallimentari in corso.
Detti dati vengono forniti dal Curatore alla menzionata azienda, la quale, a
sua volta, provvede esclusivamente ad inserirli sul sito del medesimo
Curatore (il detto sito, infatti, è ospitato presso i server dell'Azienda di
Software X).
A quali responsabilità può andare incontro, tale azienda, per aver
realizzato un software per un laboratorio di analisi, che rende disponibili
dati sul web, attingendoli dal gestionale del laboratorio stesso.
RISPOSTA Avv. Andrea Lisi
L'attività materiale di creazione di un software che verrà successivamente
utilizzato dalla società committente per il trattamento di dati personali
non comporta automaticamente per il realizzatore del software alcun
obbligo specifico di doversi attenere alle regole di cui al codice della
privacy.
Camera di Commercio Industria Artigianato Agricoltura di Padova
120
CODICE DELLA PRIVACY
Un eventuale obbligo relativamente alla normativa in materia di
protezione dei dati personali potrebbe trovare la sua fonte solo nel
contratto che ha disciplinato il rapporto tra l'Azienda di Software X e la
società committente.
In ogni caso, assume maggiore rilevanza il modo attraverso il quale detto
software venga successivamente utilizzato per operazioni di trattamento
di dati personali, ma questo tema sembra esulare dalle competenze
dell'Azienda di Software X.
45. DPS E AZIENDA DI SOFTWARE
L'Azienda di Software X, gestisce per conto di un Curatore fallimentare la
pubblicazione su un determinato sito web di dati relativi ad alcune
procedure fallimentari in corso.
Deve tale azienda redigere un DPS?
RISPOSTA Avv. Andrea Lisi
Premettiamo che le informazioni sui fallimenti non sono considerate dalla
normativa un “dato giudiziario”, poiché dati giudiziari sono i “dati personali
idonei a rivelare provvedimenti di cui all'articolo 3, comma 1, lettere da a)
a o) e da r) a u), del D.P.R. 14 novembre 2002, n. 313. In pratica l'articolo 4,
comma 3 del D. Lgs 196/2003 esclude dalla definizione di dato giudiziario
“i provvedimenti giudiziari che dichiarano fallito l'imprenditore; quelli di
omologazione del concordato fallimentare; quelli di chiusura del
fallimento; quelli di riabilitazione del fallito”.
Ai sensi dell'allegato B del D.Lgs, 196/2003 e del parere del Garante del 22
marzo 2004 solo i soggetti che procedano al trattamento elettronico di
dati personali sensibili e giudiziari sono tenuti alla redazione del
documento programmatico della sicurezza, ma la normativa viene
interpretata in modi diversi poiché la lettera dell'art. 34 del codice
parrebbe indicare che tutti i soggetti che trattano elettronicamente dei
dati anche comuni sarebbero comunque obbligati alla redazione di un
DPS (*)
È chiaro che se tale soggetto è un semplice incaricato al trattamento, sarà
il titolare del trattamento (o il responsabile) a dover procedere alla
Camera di Commercio Industria Artigianato Agricoltura di Padova
121
CODICE DELLA PRIVACY
redazione del DPS.
Nel caso che ci occupa l'azienda X, a seconda del tipo di contratto
stipulato con il Curatore, potrà rivestire la figura giuridica di responsabile
esterno del trattamento dei dati o di contitolare autonomo. In entrambi i
casi, dovrebbe essere tenuta alla redazione del DPS (salvo specifiche
deroghe contrattuali previste dal titolare nel contratto per la figura del
responsabile).
Nel caso di specie, quindi, l'Azienda di Software X sarà molto
probabilmente obbligata alla redazione del DPS.
Si ripete ancora una volta che, a nostro avviso, la lettera della legge
appare chiara nel determinare un obbligo generale per questo specifico
adempimento (*) e soprattutto, in ragione delle sanzioni penali (art. 169) e
civili (art. 15) previste in caso di violazione, appare opportuno redigere
sempre questo documento (anche perché è ben noto quanto sia difficile
valutare con certezza se all'interno di una struttura vengono trattati solo e
soltanto dati comuni e nessun dato sensibile).
(*) Nota del Responsabile dello sportello privacy e Coordinatore di
Promopadova, dr.ssa Liana Benedetti.
L'interpretazione maggioritaria è per l'obbligatorietà del DPS solo in caso
di trattamento elettronico di dati sensibili e giudiziari. Rimane
l'opportunità di redazione del DPS quando il sistema informatico
aziendale sia di una certa dimensione per cui avere tutte le procedure di
sicurezza messe per iscritto costituisce comunque un vantaggio anche
per l'azienda anche dal punto di vista organizzativo, oltre che legale
(prova di aver adottato tutte le misure volte ad evitare danni). Ed è
altamente consigliabile la redazione di un DPS nel caso che il soggetto sia
un'azienda di software.
Si fa notare però che la giurisprudenza è ancora poca, che la lettera della
legge sembra dare indicazioni diverse dall'allegato B, che il parere del
garante del 22.3.2004 non è legalmente vincolante e che quindi
permane ancora un dibattito sull'argomento obbligatorietà del DPS in
caso di trattamento elettronico di dati comuni.
Camera di Commercio Industria Artigianato Agricoltura di Padova
122
CODICE DELLA PRIVACY
46. OBBLIGATORIETÀ DELLA SALA SERVER
Deve esserci necessariamente un'apposita sala server? O il server stesso può
essere custodito all'interno di un ufficio ? è obbligatorio che ci sia un
impianto antincendio e porte blindate?
RISPOSTA Avv. Andrea Lisi
Il nuovo Codice della privacy (D.Lgs. 196/2003) non prevede espressamente
tantissimi adempimenti che possono essere necessari o indispensabili per la
corretta tutela dei dati personali che trattiamo nella nostra impresa. Il Codice
differenzia le misure di sicurezza da adottare in idonee e minime. Le misure
di sicurezza idonee sono genericamente individuate dall'art. 31 del Codice
che recita: "i dati personali oggetto di trattamento sono custoditi e
controllati, anche in relazione alle conoscenze acquisite in base al progresso
tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in
modo da ridurre al minimo, mediante l'adozione di idonee e preventive
misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati
stessi, di accesso non autorizzato o di trattamento non consentito o non
conforme alle finalità della raccolta". La violazione delle misure idonee
genera una responsabilità di tipo civile individuata nell'art. 15 del Codice (che
rinvia all'art. 2050 del codice civile). Le misure di sicurezza minime invece
sono quelle misure che assicurano un minimo di protezione dei dati
personali e sono invece indicate in via tassativa dagli art. 34 e 35 del Codice
(come specificati nell'allegato B - disciplinare tecnico relativo alle misure
minime). La loro violazione comporta la sanzione penale prevista dall'art. 169
del Codice. In particolare, l'art. 34 afferma che il trattamento di dati personali
effettuato con strumenti elettronici è consentito solo se sono adottate, nei
modi previsti dal disciplinare tecnico contenuto nell'allegato B), le seguenti
misure minime:
a) utilizzazione di un sistema di autenticazione informatica;
b) adozione di procedure di gestione delle credenziali di autenticazione;
c) utilizzazione di un sistema di autorizzazione;
d) aggiornamento periodico dell'individuazione dell'ambito del trattamento
consentito ai singoli incaricati e addetti alla gestione o alla manutenzione
degli strumenti elettronici;
Camera di Commercio Industria Artigianato Agricoltura di Padova
123
CODICE DELLA PRIVACY
e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti
illeciti di dati, ad accessi non consentiti e a determinati programmi
informatici;
f) adozione di procedure per la custodia di copie di sicurezza, il ripristino
della disponibilità dei dati e dei sistemi;
g) tenuta di un aggiornato documento programmatico sulla sicurezza;
h) adozione di tecniche di cifratura o di codici identificativi per determinati
trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale
effettuati da organismi sanitari.
L'art. 35 (che riguarda i trattamenti senza l'ausilio di strumenti elettronici)
invece prevede che il trattamento di dati personali effettuato senza l'ausilio
di strumenti elettronici è consentito solo se sono adottate, nei modi previsti
dal disciplinare tecnico contenuto nell'allegato B), le seguenti misure
minime:
a) aggiornamento periodico dell'individuazione dell'ambito del trattamento
consentito ai singoli incaricati o alle unità organizzative;
b)
previsione di procedure per un'idonea custodia di atti e documenti
affidati agli incaricati per lo svolgimento dei relativi compiti;
c)
previsione di procedure per la conservazione di determinati atti in
archivi ad accesso selezionato e disciplina delle modalità di accesso
finalizzata all'identificazione degli incaricati.
L'allegato tecnico cerca di concretizzare queste disposizioni con
un'elencazione di procedure e strumenti da utilizzare all'interno della propria
struttura aziendale. Tra le tante indicazioni relative alla redazione del DPS
(Documento Programmatico sulla Sicurezza), inoltre, il legislatore prevede
che debba essere fatta una analisi dei rischi relativa al tipo di dati trattati e
all'ambito dei trattamenti effettuati in modo da poter attrezzare delle misure
di sicurezza idonee alla propria situazione concreta. Non c'è in particolare
una disposizione che dica espressamente dove debba essere posizionata la
sala server e se debba essere utilizzata una apposita sala server in ogni
azienda. Va fatta una valutazione caso per caso, verificando con attenzione i
rischi, il tipo di dati trattati, e il tipo di trattamento effettuato. Non ci sono
neppure valutazioni tecniche relative a predisposizione di allarmi, sistemi
antincendio, porte blindate (anche se vi possono essere altre normative sulla
Camera di Commercio Industria Artigianato Agricoltura di Padova
124
CODICE DELLA PRIVACY
sicurezza aziendale che possono prevederlo), ma anche in questo caso sarà il
titolare del trattamento o il responsabile (anche con l'aiuto di un esperto di
privacy e sicurezza) a decidere - sulla base di una attenta valutazione dei
rischi - quali misure minime e idonee adottare per una corretta tutela dei dati
trattati all'interno della propria struttura aziendale. Certamente precauzioni
di questo tipo possono essere più che opportune, ma non sempre
indispensabili.
47. CUSTODIA DELLE COPIE DI BACK UP
Le copie di back - up devono essere conservate in un armadietto ignifugo?
Lo stesso , deve essere murato?
RISPOSTA Avv. Andrea Lisi
Le copie di back up vanno adeguatamente protette in ragione dei dati
trattati e del tipo di trattamento effettuato. Valgono le considerazioni già
fatte nel precedente quesito sulla necessaria predisposizione di misure di
sicurezza che siano adeguate alla concreta realtà aziendale e ai reali pericoli
che corrono i nostri trattamenti (valutazioni che vanno effettuate sulla base
di una accurata analisi dei rischi). In caso di trattamento di dati sensibili, il
disciplinare tecnico nei punti 21 e 22 specifica che devono essere impartite
istruzioni organizzative e tecniche per la custodia e l'uso dei supporti
rimovibili su cui sono memorizzati i dati al fine di evitare accessi non
autorizzati e trattamenti non consentiti. I supporti rimovibili contenenti dati
sensibili o giudiziari se non utilizzati sono distrutti o resi inutilizzabili, ovvero
possono essere riutilizzati da altri incaricati, non autorizzati al trattamento
degli stessi dati, se le informazioni precedentemente in essi contenute non
sono intelligibili e tecnicamente in alcun modo ricostruibili. Altro il legislatore
non specifica e il resto deve essere lasciato alle nostre valutazioni e a
consapevoli scelte di opportunità.
48. MISURE DI SICUREZZA E PC NEL MAGAZZINO
Ho un magazzino di vendita ricambi per auto, sia all'ingrosso che al dettaglio,
Camera di Commercio Industria Artigianato Agricoltura di Padova
125
CODICE DELLA PRIVACY
7 magazzinieri. In magazzino ci sono tre PC collegati al server in rete. Tutti e
sette i magazzinieri usano i tre pc, ma solamente per emettere bolle e fatture.
Non possono comunque modificare, cancellare o immettere dati, possono
solo consultarli per l'evasione degli ordini. In questo caso c'è bisogno di
adottare misure di sicurezza comunque ? ( tipo password, ecc? )
RISPOSTA Avv. Andrea Lisi
Sì. Come già specificato in precedenti risposte, l'art. 34 prevede la
predisposizione di misure di sicurezza minime per qualsiasi trattamento
elettronico di dati (anche comuni). La semplice lettura e evasione di ordini
comporta comunque un trattamento elettronico di dati da parte di soggetti
che devono essere stati specificamente incaricati per iscritto ad effettuare
quel trattamento loro consentito. Si ricorda che per trattamento si intende
qualsiasi attività inerente ad un dato personale e in particolare "qualunque
operazione o complesso di operazioni, effettuati anche senza l'ausilio di
strumenti elettronici, concernenti la raccolta, la registrazione,
l'organizzazione, la conservazione, la consultazione, l'elaborazione, la
modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo,
l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione
e la distruzione di dati, anche se non registrati in una banca di dati". In verità,
già soltanto il fatto di non consentire ai magazzinieri di "modificare,
cancellare o immettere dati, ma solo consultarli" significa aver predisposto
una misura di sicurezza idonea per quello specifico trattamento loro affidato.
49. SCREEN SAVER E PW
C'è l'obbligo della password anche quando parte lo screen saver per tornare
al lavoro successivamente?
RISPOSTA Avv. Andrea Lisi
In verità, il disciplinare tecnico al punto 9 dice semplicemente, in proposito,
che devono essere "impartite istruzioni agli incaricati per non lasciare
incustodito e accessibile lo strumento elettronico durante una sessione di
trattamento." Certamente dal punto di vista tecnico - informatico la
Camera di Commercio Industria Artigianato Agricoltura di Padova
126
CODICE DELLA PRIVACY
predisposizione di pw allo screen sever può essere un'ottima misura per
rendere concreto questo obbligo legislativo! Come al solito non c'è un
preciso obbligo, ma tutto va valutato caso per caso.
50. DATI PERSONALI DEI DIPENDENTI
I dati dei dipendenti ai soli fini del rapporto di lavoro , elaborazione paghe,
ecc. avendo anche la data e il luogo di nascita vengono considerati sensibili o
comuni?
RISPOSTA Avv. Andrea Lisi
I dati sensibili sono "i dati personali idonei a rivelare l'origine razziale ed
etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni
politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a
carattere religioso, filosofico, politico o sindacale, nonché i dati personali
idonei a rivelare lo stato di salute e la vita sessuale".
Normalmente il datore di lavoro tratta anche dati sensibili dei propri
lavoratori inerenti a iscrizioni sindacali o a stato di malattia, ad esempio. In
ogni caso ai sensi dell'art. 24 e 26 i dati trattati per finalità di lavoro, sia che
siano comuni sia che siano sensibili, non comportano l'acquisizione del
consenso da parte del datore di lavoro, che dovrà trattare quei dati per
ottemperare a specifiche esigenze aziendali e normative. Unico
adempimento necessario sarà sempre quello di fornire ai dipendenti (anche
oralmente, ma è opportuno quanto meno rendere "pubblica" con affissione
in bacheca) un'adeguata informativa ex art. 13 sul trattamento dei dati da
parte del datore di lavoro. Inoltre, trattando normalmente dati sensibili il
datore di lavoro dovrà prestare maggiore attenzione nella predisposizione
delle misure di sicurezza previste nell'allegato B al Codice.
Nello specifico la data di nascita e il luogo non vanno ad integrare la
categoria dei dati sensibili posto che nemmeno il luogo di nascita può
determinare con certezza l'origine razziale ed etnica (la circostanza di essere
nati a Milano non certifica di essere di razza bianca).
51. DISTRUZIONE DEI DATI PERSONALI DEGLI EX DIPENDENTI
Per quanto riguarda i dipendenti non più in forza all'Azienda, devo
distruggere tutti i relativi documenti ? però nel libro matricola restano i
Camera di Commercio Industria Artigianato Agricoltura di Padova
127
CODICE DELLA PRIVACY
nominativi e il periodo di lavoro? devo di conseguenza mandare
l'informativa anche agli ex dipendenti ?
RISPOSTA Avv. Andrea Lisi
L'art. 16 - unica norma che tratta la cessazione di un trattamento - precisa che
in caso di cessazione, per qualsiasi causa, di un trattamento i dati sono:
a) distrutti;
b) ceduti ad altro titolare, purché destinati ad un trattamento in termini
compatibili agli scopi per i quali i dati sono raccolti;
c) conservati per fini esclusivamente personali e non destinati ad una
comunicazione sistematica o alla diffusione;
d) conservati o ceduti ad altro titolare, per scopi storici, statistici o
scientifici, in conformità alla legge, ai regolamenti, alla normativa
comunitaria e ai codici di deontologia e di buona condotta sottoscritti ai
sensi dell'articolo 12. 2. La cessione dei dati in violazione di quanto previsto
dal comma 1, l ettera b) o di altre disposizioni rilevanti in materia di
trattamento dei dati personali è priva di effetti.
Effettivamente, ci possono essere comunque numerose ragioni e anche
obblighi legislativi che comportino da parte del datore di lavoro la necessità
di continuare un seppur minimo trattamento dei dati dei dipendenti non più
in servizio. In caso di adempimento ad un obbligo legislativo, il datore di
lavoro potrà (anzi dovrà) operare il trattamento, avvertendo anche oralmente
il lavoratore del trattamento che dovrà essere effettuato anche
successivamente alla cessazione del rapporto lavorativo. Rimane opportuno,
per il futuro, nell'informativa ex art. 13 fornita all'atto dell'assunzione ( e
affissa in bacheca) avvertire il lavoratore che i dati verranno trattati anche
successivamente alla cessazione del rapporto di lavoro (specificando anche
per quanto tempo) ed eventualmente acquisendo il loro consenso per quei
trattamenti successivi alla cessazione del rapporto che siano effettuati non in
stretto rapporto con un preciso adempimento normativo, ma per
opportunità o esigenza aziendale.
Camera di Commercio Industria Artigianato Agricoltura di Padova
128
CODICE DELLA PRIVACY
52. CV E PRIVACY
I curriculum vitae che arrivano per posta in azienda e quelli vecchi in archivio
devono essere distrutti? o devo mandare l'informativa?
RISPOSTA Avv. Andrea Lisi
Secondo la maggior parte della dottrina possono essere trattati (e, quindi,
conservati in azienda) solo quei CV che presentino un espresso consenso al
trattamento da parte di chi li ha forniti per finalità di selezione lavorativa o
formazione professionale. Sarebbe pertanto corretto distruggere i CV non
appena cessano le ragioni del trattamento e sarebbe opportuno comunque
fornire una adeguata informativa all'interessato sul tipo di trattamento
effettuato e sulla titolarità e responsabilità del trattamento.
Può essere utile inserire queste informazioni in materia di privacy
sull'eventuale sito web aziendale al quale si può far riferimento nel fornire la
sintetica informativa. L'importante è rendere sempre concreto il diritto di
accesso ai propri dati a tutti gi interessati (ex art. 7) e predisporre le adeguate
misure di sicurezza per il loro trattamento.
53. REGOLAMENTO INFORMATICO INTERNO
Ho letto un articolo in cui si consiglia al datore di lavoro di redigere un
regolamento informatico interno, al fine di sollevare l'azienda da
responsabilità civili e penali, qualora i dipendenti utilizzino la strumentazione
elettronica in modo illecito. Dato che il regolamento dovrebbe stabilire
regole di utilizzo di posta elettronica e internet e relative modalità di
controllo su tali strumenti, gradirei ricevere consiglio sulla corretta redazione
del documento, per non ledere i diritti garantiti ai lavoratori in materia di
privacy.
Ai fini della validità del documento, inoltre, è sufficiente farlo sottoscrivere ai
dipendenti?
RISPOSTA Avv. Andrea Lisi
Controllare le e-mail o comunque i file di log dei pc in uso dei dipendenti di
una società può essere un'attività illecita, perché compiuta in violazione con
il diritto di riservatezza e in contrasto con l'art. 4 dello Statuto dei Lavoratori
(peraltro richiamato dallo stesso Codice privacy nell'art. 114 inerente al
Camera di Commercio Industria Artigianato Agricoltura di Padova
129
CODICE DELLA PRIVACY
controllo a distanza), il quale proibisce l'installazione e l'utilizzo di
apparecchiature che abbiano come unica finalità il controllo a distanza dei
lavoratori. Sembrerebbe in contrasto con questa chiave di lettura l'ordinanza
emessa in data 10 maggio 2002 dal Tribunale di Milano, la quale ha ritenuto
non punibile la lettura da parte del datore di lavoro di e-mail aziendali del
dipendente (lettura che aveva determinato il licenziamento di una
lavoratrice di una società milanese). Secondo il Tribunale, l'account aziendale
di posta elettronica va equiparato ad un qualsiasi strumento di lavoro e,
quindi, quale bene aziendale può essere soggetto al legittimo controllo da
parte del datore di lavoro. D'altronde circa un mese prima la Corte di
Cassazione (sentenza n. 4746 del 3 aprile 2002) aveva stabilito che tutti quei
controlli che mirino a verificare illecite condotte dei lavoratori non violano
l'articolo 4 dello Statuto dei lavoratori. In ogni caso, la normativa non è chiara
ed è sempre consigliabile dotare la società di una precisa “policy aziendale”
(e, cioè, un regolamento aziendale interno) in merito al controllo degli
strumenti di lavoro.
Un regolamento, perché sia valido, deve essere sottoscritto da ogni
dipendente, e avere il consenso delle eventuali rappresentanze sindacali
interne o dell'Ispettorato del lavoro. Non ultimo, sarebbe utile che questi
regolamenti contenessero, in base agli adempimenti previsti dal D.Lgs.
196/2003, le istruzioni da fornire ai propri dipendenti circa la segretezza e
riservatezza delle comunicazioni elettroniche, la loro custodia e
conservazione, sia per i dati trattati sia per le modalità e precauzioni da
adottare.
Un regolamento, affinchè si possano applicare sanzioni disciplinari nei
confronti dei dipendenti, deve essere affisso in luogo accessibile (art. 7
Statuto dei lavoratori) in quanto va ad integrare il contenuto del codice
disciplinare (e deve avere il consenso delle eventuali rappresentanze
sindacali interne o dell'Ispettorato del lavoro). Tuttavia si consiglia anche di
far sottoscrivere dai dipendenti il regolamento informatico per garantire una
loro maggiore consapevolezza circa il corretto comportamento
nell'esecuzione della prestazione anche con riferimento all'utilizzo degli
strumenti di lavoro (es. indicazioni sulla segretezza e riservatezza delle
comunicazioni elettroniche, sulla loro custodia e conservazione, sia per i dati
trattati sia per le modalità e precauzioni da adottare).
Camera di Commercio Industria Artigianato Agricoltura di Padova
130
CODICE DELLA PRIVACY
54. TRATTENUTE, ASSEGNI FAMILIARI E DATI SENSIBILI
Trattenute a favore del coniuge, assegni familiari rientrano nel novero dei
dati sensibili? Uno Studio Commercialisti deve redigere il DPS, anche se non
effettua buste paga?
Grazie
RISPOSTA Avv. Andrea Lisi
Tendenzialmente i dati personali di natura contabile trattati da uno studio di
un commercialista non dovrebbero rientrare nel novero di quei dati
particolarmente "delicati" che il legislatore definisce "sensibili".
Infatti, il legislatore all'art. 4 del Codice privacy (D. Lgs. 196/03) definisce
sensibili quei dati idonei a rivelare l'origine razziale ed etnica, le convinzioni
religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti,
sindacati, associazioni od organizzazioni a carattere religioso, filosofico,
politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute
e la vita sessuale. In verità, la definizione fornita dal legislatore è molto
generica e molte volte occorre effettuare una valutazione caso per caso per
rispondere con certezza (e non sempre è possibile farlo) se la natura di un
dato rientri nella fattispecie sopra riportata.
Proprio per tali motivi si è soliti consigliare di adottare comunque in caso di
trattamento elettronico di dati "tendenzialmente" comuni quelle misure di
sicurezza minime che il disciplinare tecnico (l'allegato B al Codice) riserva ai
trattamenti riguardanti dati sensibili, tra i quali anche la redazione entro il 31
marzo di ogni anno del DPS (data più volte prorogata e oggi fissata al 31
marzo 2006).
In ogni caso, si ricorda che l'obbligo di aggiornamento continuerà a dover
essere effettuato entro il 31 marzo di ogni anno, a partire dal 2006. In questo
caso - anche considerando che il DPS può costituire una misura "idonea" per
la protezione dei propri dati personali dal trattamento elettronico che si
effettua (e considerati gli articoli 15 e 31 del Codice) - si consiglia l'adozione
del DPS (documento che si può redigere anche sinteticamente sulla base
della stessa Guida fornita dal Garante e acquisibile sul sito
www.garanteprivacy.it) entro il marzo 2006).
Camera di Commercio Industria Artigianato Agricoltura di Padova
131
CODICE DELLA PRIVACY
55. PRIVACY E FOTO DA INSERIRE SU SITO WEB
Siamo un'agenzia di pubblicità e tra i ns. servizi forniamo ragazze
immagine per eventi in discoteche. Abbiamo la necessità di
raccogliere in un database i dati personali delle ragazze in questione e
le loro fotografie, i quali devono poi essere pubblicati sul ns. sito
internet e anche su altro materiale pubblicitario. Per avere un rapido
riferimento visivo su quello che intendiamo fare potete visionare il
seguente sito: http://www.**************.html cliccando sul link GIRLS
o BOYS a sinistra. Vi chiediamo quali adempimenti dobbiamo svolgere.
RISPOSTA Avv. Andrea Lisi
La Società in questione dovrà prima di tutto informare
adeguatamente gli interessati al trattamento dei dati personali
(ragazze e ragazzi immagine). Una volta fornita l'adeguata informativa
ex art. 13 del Codice della privacy (D.Lgs. 196/03) è opportuno che la
società acquisisca un espresso consenso documentato per iscritto dai
vari interessati. Ovviamente l'informativa e il consenso potranno
essere inseriti all'interno del contratto di assunzione quale apposita
clausola del contratto e i vari collaboratori/dipendenti all'atto
dell'assunzione manifesteranno per iscritto il consenso a questa forma
di trattamento in apposite banche dati elettroniche per scopi
pubblicitari (con consenso alla pubblicazione on line; consenso
necessario anche per normative diverse dalla legge sulla privacy).
Naturalmente la società in questione dovrà anche adeguare tutti i suoi
trattamenti cartacei e elettronici di dati alle misure di sicurezza minime
previste dagli artt. 31 e segg.
Non sono necessari ulteriori e specifici adempimenti.
56. NORMATIVA PRIVACY APPLICABILE PER IL SITO WEB
Se in un sito vengono richiesti i dati dell'utente, quale è la normativa
applicabile ai fini della Privacy?
RISPOSTA Avv. Andrea Lisi
Si applica il nuovo Codice della Privacy (D. Lgs. n. 196 del 30 giugno
2003). In base all'art. 11 i dati richiesti devono essere "raccolti e
registrati per scopi determinati, espliciti e legittimi"; l'art. 13 prevede
l'obbligo, da parte di colui che richiede i dati, di informare
preventivamente oralmente o per iscritto l'utente circa le finalità e
modalità di utilizzo dei dati trattati; questa normativa è applicabile
Camera di Commercio Industria Artigianato Agricoltura di Padova
132
CODICE DELLA PRIVACY
anche ai contratti on line. Il consenso espresso dell'utente, previsto dall'art.
23, sarà necessario qualora il fornitore di beni o servizi on line utilizzi i dati
raccolti per finalità diverse da quelle previste dal contratto (ad esempio per
finalità di direct marketing) o qualora i dati siano ad accesso libero.
57. PRIVACY E PERMANENZA SU UN SITO
La raccolta di dati sul comportamento dell'utente, quale ad esempio il tempo
di permanenza in un sito, richiede il consenso in base alla normativa sulla
privacy?
RISPOSTA Avv. Andrea Lisi
E' fatto obbligo al titolare del sito web di assicurarsi che il trattamento dei
dati raccolti avvenga secondo i termini di trasparenza e correttezza previsti
dall'art. 11. E' altresì necessario richiedere il consenso espresso, in base all'art.
23 del Codice della Privacy, se i dati vengono raccolti, non per finalità
strettamente tecniche, ma tali dati, attraverso l'utilizzo di cookies o di altri
sofisticati software, vengono, ad esempio, catalogati in base alle
caratteristiche personali dell'utente, inseriti in liste e successivamente
utilizzati per l'invio di e-mail commerciali.
In ogni caso, è sempre necessaria una adeguata informativa privacy sul sito
web.
58. DATI FORNITI A GESTORE DI SITO WEB
I dati personali forniti al gestore di un sito web possono essere cancellati o
modificati in qualsiasi momento?
RISPOSTA Avv. Andrea Lisi
In base all'art. 7 (D.Lgs. 196/2003) l'interessato al trattamento dei propri dati,
ha il diritto di ottenerne la cancellazione in qualsiasi momento quando i suoi
dati sono trattati in violazione della legge; nonché ha diritto
all'aggiornamento e alla rettificazione quando vi è interesse nell'integrazione
degli stessi. L'interessato ha sempre diritto di opporsi a trattamenti effettuati
per finalità di web marketing.
Camera di Commercio Industria Artigianato Agricoltura di Padova
133
CODICE DELLA PRIVACY
59. PRIVACY E FORM ELETTRONICI
Gli obblighi di legge sulla privacy valgono anche per i dati raccolti dalle
imprese tramite form di contatto on line?
RISPOSTA Avv. Andrea Lisi
Le norme previste dal D. Lgs. 196/2003 valgono per tutti coloro che trattano
dati personali con qualsiasi mezzo; pertanto sarà necessario adempiere a
tutti gli obblighi previsti per il trattamento dati (informativa, consenso se
necessario, etc), adottare opportune misure di sicurezza e disporre i relativi
strumenti affinché l'interessato possa in qualsiasi momento esercitare i diritti
di cancellazione, integrazione, rettifica, modifica, etc. come disposto dall'art. 7
del presente decreto.
60. PRIVACY E COOKIES
Come tutelo la privacy e la sicurezza mia e del visitatore del mio sito web? E i
cookies vanno segnalati all'utente?
RISPOSTA Avv. Andrea Lisi
Ai siti web si applica la disciplina italiana e comunitaria sulla protezione dei
dati personali. Tutti i siti web che operano un trattamento dei dati devono
adeguarsi alla disciplina del Codice della privacy (D. Lgs. 196/03).
Quindi, il titolare del sito dovrà fornire una adeguata informativa, rendere
effettivo il diritto di accesso ai propri dati, notificare al Garante i propri
trattamenti nei casi espressamente previsti dalla legge, adottare idonee e
minime misure per rendere sicuro il trattamento.
In caso di trattamenti “invisibili” di dati elettronici (come nel caso di utilizzo di
cookies), l'utente dovrà essere adeguatamente informato della presenza
degli stessi con un'idonea informativa.
Avv. Andrea Lisi
Studio Associato D&L
V.M. Stampacchia, 21
73100 Lecce - Italy
Tel. - Fax: +39/0832/25 60 65 - 244 802
[email protected]
www.studiodl.it - www.scint.it
Studio
Avv. Marzio Vaglio-Padova
Tel.: +39/ 049 875 50 58
Fax: +39/ 049 878 67 03
[email protected]
www.vaglio.org
Camera di Commercio Industria Artigianato Agricoltura di Padova
134
CODICE DELLA PRIVACY
Parte terza
1
Fac Simile di Documento programmatico
sulla Sicurezza redatto per le imprese
A cura di Andrea Lisi
2
Guida operativa per redigere
il Documento programmatico
sulla sicurezza (DPS)
A cura del Garante della Privacy (www.garanteprivacy.it)
3
Appendice Normativa
Testo del D.Lgs. 196/2003
Allegato B al D.Lgs. 196/2003
Camera di Commercio Industria Artigianato Agricoltura di Padova
135
CODICE DELLA PRIVACY
Fac Simile di
Documento Programmatico
sulla Sicurezza redatto per
le imprese
Camera di Commercio Industria Artigianato Agricoltura di Padova
137
CODICE DELLA PRIVACY
AVVERTENZE
Segue un “modello” di documento programmatico sulla sicurezza
elaborato per una società medio-piccola denominata X, che produce e
commercializza beni mobili (che non tratta dati sensibili e che si
occupa in proprio della contabilità e redazione buste paga, senza
affidare all’esterno alcun trattamento di dati).
Lo schema che segue ha un valore meramente indicativo e andrà
adattato alla realtà della singola società che esegue il trattamento.
Appare comunque utile precisare che difficilmente la società X non
opererà alcun trattamento elettronico di dati sensibili (almeno per
quanto riguarda gli obblighi previdenziali e contabili inerenti ai propri
dipendenti): in tal caso la normativa non prescrive particolari e ulteriori
adempimenti da eseguire nella redazione del documento
programmatico per la sicurezza, se non quello di indicare
specificamente questo particolare tipo di trattamento e le più
stringenti misure di sicurezza adottate come individuate nell’allegato
B del Testo Unico in materia di protezione dati personali (D.Lgs.
196/2003). Peraltro, il seguente documento programmatico per la
sicurezza è stato predisposto in modo tale da osservare anche le
misure minime di sicurezza previste per il trattamento di dati sensibili.
Camera di Commercio Industria Artigianato Agricoltura di Padova
139
CODICE DELLA PRIVACY
“X” s.r.l.
Via
Tel/Fax
P.Iva
N. isrizioe Registro Imprese
e-mail
DOCUMENTO PROGRAMMATICO SULLA SICUREZZA PER IL TRATTAMENTO
DEI DATI PERSONALI EFFETTUATO CON
STRUMENTI ELETTRONICI
(ai sensi dell’art. 34 del D.Lgs. n. 196/2003 e del relativo Allegato B)
Questo documento è parte integrante e sostanziale della deliberazione n.
__del __/__/____ con cui il Consiglio di amministrazione della “X” s.r.l. ha
deliberato di redigere il documento programmatico sulla sicurezza i
conformità alle norme di cui al Decreto Legislativo n. 196/2003.
***
PREMESSA
Il presente documento è stato redatto in conformità a quanto previsto dalla
normativa nazionale in vigore ed in particolare in conformità a quanto
statuito dall’art. 34 e dall’Allegato B del Decreto Lgs. n.196/2003 “Codice in
materia di protezione dei dati personali” ed è suddiviso come segue:
o
o
o
o
o
o
l’elenco dei trattamenti dei dati personali (regola 19.1.);
la distribuzione dei compiti e delle responsabilità (regola 19.2.);
l’analisi dei rischi che incombono sui dati (regola 19.3.);
le misure in essere e da adottare (regola 19.4.);
i criteri e modalità di ripristino della disponibilità dei dati (regola 19.5.);
la pianificazione degli interventi formativi previsti (regola 19.6.);
1 - Elenco dei trattamenti dei dati personali (regola 19.1.)
La X s.r.l., nel/i proprio/i stabilimento/i di ______________________________
alla Via ________________________________________________________,
non anche a quello di dati sensibili e/o giudiziari.
Gestisce la propria contabilità interna, le paghe dei propri dipendenti e
procede alle operazioni di trattamento, ex art. 4 D.Lgs. n. 196/2003, dei dati
Camera di Commercio Industria Artigianato Agricoltura di Padova
141
CODICE DELLA PRIVACY
comuni e non anche a quello di dati sensibili e/o giudiziari.
Gestisce la propria contabilità interna, le paghe dei propri dipendenti e
procede alle operazioni di trattamento, ex art. 4 D.Lgs. n. 196/2003, dei dati
personali dei propri clienti e dei propri fornitori (si tratta in particolare di:
ragioni sociali, nominativi, dati anagrafici, codici fiscali, numeri di P. IVA,
numeri di telefono fisso/mobile e di fax, indirizzi e-mail, coordinate bancarie).
Per la tenuta della contabilità è stata prevista e realizzata la formazione di
appositi archivi, sia elettronici (cod. 1) sia cartacei (cod. 2), in cui trovano
allocazione logica le anagrafiche dei clienti e dei fornitori.
Detti archivi vengono utilizzati esclusivamente per rapporti di carattere
commerciale e non vengono trattati da personale non autorizzato né ceduti
o comunque comunicati e/o diffusi a terzi.
Per quanto attiene la gestione dei rapporti di lavoro subordinato, la
documentazione di rito - sia su supporto cartaceo (cod. 3) sia elettronico
(cod. 4) - è affidata a personale specializzato che ne è anche responsabile.
Tabella 1.1. Elenco dei trattamenti: informazioni base
Identifiativo
Descrizione sintetica
del trattamento
Descrizione degli
strumenti utilizzati
Natura dei dati
trattati
Struttura di riferimento
Es. Ufficio amministrativo Fascicoli riposti in
- commerciale
schedari dotati di chiusura
Cod. 1
Trattamento elettronico
comuni
Cod. 2
Trattamento cartaceo
comuni
Cod. 3
Trattamento cartaceo
comuni
Cod. 4
Trattamento elettronico
comuni
Es. Ufficio del personale
......
pc
Aggiornamento
Tabella 1.2.. Elenco dei trattamenti: descrizione analitica degli strumenti
utilizzati
Identifiativo
Eventuale banca dati
del trattamento
Cod. 1
Banca dati clienti e
fornitori
Ubicazione fisica
dei supporti di
memorizzazione
Tipologia di
dispositivi di accesso
comuni
Es. 3 Pc con sistema
operativo XXXX
Tipologia di
interconnessione
Es. Rete locale
Aggiornamento
Camera di Commercio Industria Artigianato Agricoltura di Padova
142
CODICE DELLA PRIVACY
2 - Distribuzione dei compiti e delle responsabilità (regola 19.2.)
All’interno della X s.r.l. sono preposti al trattamento dei dati personali i soli
Ufficio Amministrativo - Commerciale e Ufficio del Personale.
La composizione dell’Ufficio Amministrativo - Commerciale preposto alla
contabilità e ai rapporti commerciali con fornitori e clienti è la seguente:
· Dott. _____________________________ Capoufficio – Responsabile del
trattamento;
· Sig. _____________________________ Impiegato – Autorizzato ad
accedere agli archivi
cartacei ed elettronici al solo fine di eseguire operazioni di concetto
sotto la direzione e la responsabilità del Capoufficio.
La composizione dell’Ufficio del Personale preposto ai rapporti col personale
dipendente è la seguente:
· Dott._____________________________ Capoufficio – Responsabile del
trattamento;
. Sig. _____________________________ Impiegato – Autorizzato ad
accedere agli archivi cartacei ed elettronici al solo fine di eseguire
operazioni di concetto sotto la direzione e la responsabilità del
Capoufficio
La Società X, titolare del trattamento dei dati, ha designato, quale
Responsabile del trattamento dei dati e preposto alla custodia delle parole
chiave, ai sensi dell’art. 29 del D.Lgs. 196/2003, il Sig./Sig.ra
________________, in considerazione della esperienza, capacità ed
affidabilità espressa dalla medesima, tale da offrire idonea garanzia dei pieno
rispetto delle disposizioni in materia di trattamento.
Il Titolare del trattamento ha altresì nominato, ai sensi dell’art. 30 del D.Lgs.
196/2003, i singoli Incaricati, autorizzandoli al trattamento dei dati in
possesso dell’azienda, esclusivamente con riferimento all’espletamento delle
funzioni lavorative ad essi rispettivamente assegnate.
Tali incaricati sono stati formalmente edotti in merito alla circostanza che:
a) il trattamento e la conservazione dei dati deve avvenire in modo
lecito e proporzionato alle funzioni istituzionali, nel rispetto della
riservatezza;
b) la raccolta, registrazione ed elaborazione dei dati, mediante
strumento elettronico o cartaceo, deve essere limitata alle finalità
aziendali e strettamente necessarie;
c) integra onere dell’incaricato la correzione od aggiornamento dei dati
posseduti, nonchè l’esame della pertinenza rispetto alle funzioni;
d) integra onere dell’incaricato il rispetto dei compiti specifici che gli
sono stati assegnati, nonché il rispetto delle istruzioni e delle modalità
operative contenute nell’atto di conferimento dell’incarico.
Camera di Commercio Industria Artigianato Agricoltura di Padova
143
CODICE DELLA PRIVACY
L’ambito dei trattamenti autorizzati ai singoli incaricati è suscettibile di
aggiornamento periodico.
A tutti gli incaricati destinati al trattamento di dati mediante strumento
elettronico, sono state conferite credenziali di autenticazione (art. 34, comma
1, lett. b), mediante parola chiave, conformi alle caratteristiche indicate
nell’Allegato B e con l’obbligo di modificarle al momento della consegna ed
aggiornarle periodicamente. Ogni incaricato è custode e responsabile delle
proprie password. In ogni caso si avrà cura di consegnare ogni 3 mesi, in
busta chiusa al custode delle password, le proprie credenziali di
autenticazione per l’accesso al proprio sistema informatico (ID e PW). Il
custode sarà autorizzato ad aprire le buste consegnate solo in caso di
urgente necessità, determinata dall’assenza prolungata dal lavoro
dell’incaricato, avvertendo, però, l’incaricato assente, che dovrà modificare le
ID e PW al suo rientro al lavoro.
Le suddette credenziali sono disattivate automaticamente in caso di
mancata utilizzazione per almeno 6 mesi.
Concorrono al trattamento anche le seguenti strutture esterne all’azienda,
incaricate, mediante apposito atto di nomina, del supporto, della
manutenzione, riparazione degli strumenti elettronici: Ditta X.
Gli addetti incaricati ai vari trattamenti degli Uffici (nel quale hanno accesso
per il trattamento dei dati solo i singoli incaricati del personale
amministrativo e docente) sono i seguenti:
- Sig./Sig.ra
TABELLA con descrizione dei compiti e delle responsabilità delle varie
strutture preposte ai trattamenti
Struttura Trattamenti effettuati dalla Descrizione dei compiti e delle
struttura
responsabilità della struttura
Ufficio
Trattamenti elettronici e cartacei
Amministrativo strumentali allo svolgimento dei
Commerciale compiti assegnati.
Trattamento elettronico e
Ufficio
cartaceo di dati inerenti al
del Personale
personale dell'azienda.
Analisi dei luoghi fisici ove si svolge il trattamento di dati personali
Per l’esatta redazione del presente documento sono stati analizzati i luoghi
ove fisicamente si svolge il trattamento dei dati personali, ove sono
Camera di Commercio Industria Artigianato Agricoltura di Padova 144
CODICE DELLA PRIVACY
conservati i dati stessi, e, infine, ove si trovano i sistemi di elaborazione.
Si tratta dei seguenti luoghi fisici:
Città:
Indirizzo Sede:
Descrizione
Utilizzo
Misure di sicurezza adottate
Note
Ufficio
Amministrativo Commerciale
Capo Ufficio:
Dott.
Dipendenti:
Sigg.ri
A tale ufficio si può accedere tramite
una porta dotata di serratura.
Vi sono i pc con cui si
procede al
trattamento
dei dati personali
relativi a : fornitori clienti
Ufficio
Del Personale
Capufficio:
Dott.
Dipendenti:
Sigg.ri
A tale ufficio si può accedere tramite
una porta dotata di serratura.
Vi sono i pc con cui si
procede al
trattamento
dei dati personali
relativi ai dipendenti
Sala Riunioni
Sala Riunioni - Attesa
A tale ufficio si può accedere tramite
una porta dotata di serratura.
Nel locale non
vengono
conservati documenti
Locale Archivio
Sala Server
Archivio
Sala Server
A tale locale si può accedere tramite
una porta dotata di serratura. La
finestra dispone di una grata metallica
esterna.
Il server è collegato ad un gruppo di
continuità.
In questo locale sono
conservati gli archivi di
natura cartacea, in
appositi classificatori
metallici.
E' stipato l'armadio
contenente il server
principale su cui
risiededono gli archivi
elettronici.
La macchina server è collocata in un apposito locale (sala server).
La sala server è dotata di:
Impianto antincendio adeguato a locali contenenti apparati
informatici;
Impianto di condizionamento ambientale, opportunamente
dimensionato;
Porte e finestre blindate;
Impianto elettrico a norma;
Gruppo di continuità.
L’accesso alla sala server è consentito solo al responsabile del
trattamento e alle persone di volta in volta espressamente autorizzate.
Camera di Commercio Industria Artigianato Agricoltura di Padova
145
CODICE DELLA PRIVACY
In assenza del personale autorizzato, la sala server è tenuta chiusa a
chiave.
Tutte le chiavi sono custodite dal Capo dell’Ufficio amministrativocommerciale o dal personale da questo a tal fine delegato.
3 Individuazione e Gestione degli apparati hardware, delle risorse
software e dei dati
a) Individuazione e Gestione degli apparati hardware
Il responsabile del trattamento preposto al proprio ufficio mantiene
un elenco, da aggiornare con cadenza annuale, di tutte le attrezzature
informatiche dell’ufficio, dello scopo cui sono destinate, della loro
allocazione fisica, delle misure di sicurezza su esse adottate e delle
eventuali misure di adeguamento pianificate.
Le risorse hardware utilizzate per trattare i dati personali sono
analizzate nelle seguenti schede riepilogative:
Codice:
Descrizione:
Sistema Operativo:
Impiego
Accesso alla rete
Sistema di protezione d'accesso
Antivirus:
Dispositivi di memorizzazione
Dispositivi di collegamento
Dispositivi di backup
Codice:
Descrizione:
Sistema Operativo:
Impiego
Accesso alla rete
Sistema di protezione d'accesso
Antivirus:
Dispositivi di memorizzazione
Dispositivi di collegamento
Dispositivi di backup
Server marca_____modello____
XXXXX
Data storage
Collegamento a rete LAN: SI
Collegamento a rete Internet: SI
Utilizzo di password di otto caratteri da modificare ogni tre mesi
Si
Disco scsi net raid 5 da 30Gb
Scheda di rete 10/100 Mb/s
Unità di backup XXXX
PC Client
XXXXX
Collegamento a rete LAN: SI
Collegamento a rete Internet: SI
Utilizzo di password di otto caratteri da modificare ogni tre mesi
Si
Disco eide da 20Gb
Scheda di rete 10/100 Mb/s
Scheda Moden interno per collegamento Internet
Unità di backup XXXX
Camera di Commercio Industria Artigianato Agricoltura di Padova
146
CODICE DELLA PRIVACY
Gli armadi che contengono gli apparati di rete sono tenuti chiusi a chiave. Le
chiavi sono custodite da personale delegato dal Capo dell’Ufficio.
Laddove gli apparati di rete vengano gestiti attraverso la rete locale
dell’edificio, il loro indirizzamento deve avvenire su una rete IP distinta.
b) Individuazione e Gestione delle risorse software
Le risorse software utilizzate per trattare i dati personali sono analizzate nelle
seguenti schede riepilogative:
Codice:
Descrizione:
Impiego
Accesso alla rete
Sistema di protezione d'accesso
Codice:
Descrizione:
Impiego
Accesso alla rete
Sistema di protezione d'accesso
Codice:
Descrizione:
Impiego
Accesso alla rete
Sistema di protezione d'accesso
Sistema operativo
Su Server
Collegamento a rete LAN: SI
Collegamento ad internet: SI
Utilizzo di password personale di otto caratteri da modificare ogni
tre mesi
Programma
Su Server e su Client
Collegamento a rete LAN:SI
Utilizzo di password personale di otto caratteri da modificare ogni
tre mesi
Programma
Su Server e su Client
Collegamento a rete LAN: SI
Collegamento ad internet: SI
Utilizzo di password personale di otto caratteri da modificare ogni
tre mesi
Analisi dei rischi che incombono sui dati (regola 19.3)
La “X” S.r.l. ha proceduto ad una ricognizione dei rischi che potrebbero
comportare una distruzione, sottrazione, perdita, trattamento abusivo dei
dati, di origine dolosa, colposa o meramente fortuita, in grado di recare
pregiudizio ai dati personali trattati.
Le fonti di rischio sono state accorpate in:
Camera di Commercio Industria Artigianato Agricoltura di Padova
147
CODICE DELLA PRIVACY
1) Comportamenti degli operatori;
2) Eventi relativi agli strumenti;
3) Eventi relativi al contesto fisico-ambientale.
I suddetti rischi sono stati ripartiti in classi di gravità, tenendo conto
della concreta possibilità di realizzazione presso la società X,
adottando la seguente scansione:
Alta – Medio/Alta – Media – Medio/Bassa - Bassa
La tabella seguente sintetizza i principali eventi potenzialmente
dannosi per la sicurezza dei dati, valutandone le possibili conseguenze
e stimandone la gravità, ponendoli altresì in correlazione con le misure
di sicurezza previste.
Analisi dei Rischi connessi alle strutture hardware e software
Evento
Comportamenti
degli operatori
Eventi relativi
agli strumenti
Rischio
Livello
Note
Furto di credenziali
di autenticazione
Accesso altrui non autorizzato
Basso
L'uso macchine è
soggetto alla digitazione
di una password personale
e vi è un sistema di
vigilanza sul rispetto delle
istruzioni impartite. Le
password personali sono
modificate
periodicamente
Carenza di
consapevolezza,
disattenzione o
incuria
Dispersione, perdita e accesso
altrui non autorizzato
Basso
Formazione e flusso
continuo di informazione
Comportamenti
sleali o fraudolenti
Dispersione, perdita e accesso
altrui non autorizzato,
manomissione/sabotaggio
Basso
Vigilanza sul rispetto
delle istruzioni impartite
Errore materiale
Dispersione, perdita e accesso
altrui non autorizzato
Basso
Vigilanza sul rispetto
delle istruzioni impartite,
formazione e flusso
continuo di informazione
Azione di virus
informatici o di
programmi
suscettibili di recare
danno
Perdita o alterazione, anche
irreversibile, di dati, di
programmi e di elaboratori.
Basso
Alle risorse non accedono
persone non autorizzate.
La manutenzione è
effettuata da tecnici di
fiducia.
Camera di Commercio Industria Artigianato Agricoltura di Padova
148
CODICE DELLA PRIVACY
Evento
Eventi relativi
al contesto
Rischio
Livello
Note
tecniche di
sabotaggio
Perdita o alterazione, anche
irreversibile, di dati, di
programmi e di elaboratori;
impossibilità temporanea di
accesso ai dati e di utilizzo dei
programmi.
Basso
Adozione di idonei
dispositivi di protezione.
Malfunzionamento,
indisponibilità o
degrado degli
strumenti.
Probabilità/frequenza
di guasto
Perdita o alterazione, anche
irreversibile, di dati, di
programmi e di elaboratori;
impossibilità temporanea di
accesso ai dati e di utilizzo dei
programmi.
Basso
L'hardware acquistato è
di qualità e storicamente
non ha mai dato causa a
problemi rilevanti. La
manutenzione è effettuata
da tecnici di fiducia. Le
macchine sono sottoposte
a controlli periodici
effettuati da tecnici
competenti e i programmi
vengono aggiornati
periodicamente almeno
ogni tre mesi
Intercettazioni di
informazione in rete
o delle trasmissioni
Dispersione di dati; accesso
altrui non autorizzato
Accessi non
autorizzati a
localòi/reparti ad
accesso ristretto
Dispersione, perdita o
alterazione, anche irreversibile,
di dati, nonchè manomissione
di programmi e di elaboratori;
accesso altrui non autorizzato;
impossibilità temporanea di
accesso ai dati e di utilizzo
dei programmi.
Basso
Protezione dei locali
mediante serratura con
distribuzione delle chiavi
ai soli autorizzati.
Sottrazione e furto
di strumenti
contenenti dati
Dispersione, perdita di dati,
di programmi e di elaboratori;
accesso altrui non autorizzato
Basso
Eventi distruttivi,
naturali o artificiali,
dolosi, accidentali o
dovuti ad incuria
Perdita di dati, dei programmi
e degli elaboratori
Basso
Protezione dei locali e dei
siti di ubicazione degli
archivi, degli elaboratori e
dei supporti di
memorizzazione mediante
serratura con
distribuzione delle chiavi
ai soli autorizzati.
Attività di prevenzione,
controllo, assistenza e
manutenzione periodica,
vigilanza sul rispetto delle
istruzioni impartite,
formazione e flusso
continuo di informazione.
Le macchine sono
sottoposte a controlli
periodici effettuati da
tecnici competenti e i
programmi vengono
aggiornati periodicamente
almeno ogni tre mesi
Medio/Basso Adozione di idonei
dispositivi di protezione.
La manutenzione è
effettuata da tecnici di
fiducia.
Camera di Commercio Industria Artigianato Agricoltura di Padova
149
CODICE DELLA PRIVACY
Evento
Rischio
Livello
Note
Guasto ai sistemi
complementari
(impianto elettrico,
climatizzazione,
etc...)
Rischi connessi all'elettricità.
Perdita o alterazione, anche
irreversibile, dati, nonché
manomissione dei programmi
e degli elaboratori;
impossibilità temporanea di
accesso ai dati e di utilizzo dei
programmi
Bassa
La società ha acquistato
un gruppo di continuità
che fornisce energia di
buona qualità
(stabilizzazione) per circa
un quarto d'ora
impedendo danni nel caso
di improvvisa assenza di
corrente elettrica.
Attività di controllo,
assistenza e manutenzione
periodica.
Errori umani nella
gestione della
sicurezza fisica
Perdita o alterazione, anche
irreversibile, di dati, nonché
manomissione dei programmi
e degli elaboratori;
impossibilità temporanea di
accesso ai dati e di utilizzo dei
programmi
Bassa
Vigilanza sul rispetto
delle istruzioni impartite,
formazione e flusso
continuo di informazione.
c) Individuazione e Gestione dei Dati
Gli archivi e le banche dati contenenti i dati personali trattati con strumenti
elettronici sono i seguenti:
BANCA DATI CLIENTI (cod. 01)
BANCA DATI FORNITORI (cod. 02)
BANCA DATI DIPENDENTI (personale amministrativo e docenti) (cod. 03)
Codice:
Descrizione:
Modalità di trattamento
Tipologia dei dati oggetto di trattamento
Accesso alla rete
Sistema di protezione d'accesso
Antivirus:
01
Banca dati clienti
Archivio Elettronico: SI
Archivio cartaceo: SI
Dati comuni: SI
Dati sensibili: NO
Dati sanitari: NO
Dati sindacali: NO
Dati giudiziari: NO
Collegamento a rete LAN: SI
Collegamento a rete Internet: SI
Utilizzo di password personale di otto caratteri modificata ogni tre
mesi
SI
Camera di Commercio Industria Artigianato Agricoltura di Padova
150
CODICE DELLA PRIVACY
Codice:
Descrizione:
Modalità di trattamento
Tipologia del Dato
Accesso alla rete
Sistema di protezione d'accesso
Antivirus:
Codice:
Descrizione:
Modalità di trattamento
Tipologia del Dato
Accesso alla rete
Sistema di protezione d'accesso
Antivirus:
02
Banca dati fornitori
Archivio Elettronico: SI
Archivio cartaceo: SI
Dati comuni: SI
Dati sanitari: NO
Dati sindacali: NO
Dati giudiziari: NO
Collegamento a rete LAN: SI
Collegamento a rete Internet: SI
Utilizzo di password personale di otto caratteri modificata ogni tre
mesi
SI
03
Banca dati dipendenti
Archivio Elettronico: SI
Archivio cartaceo: SI
Dati comuni: SI
Dati sensibili: SI
Dati sanitari: NO
Dati sindacali: SI
Dati giudiziari: NO
Collegamento a rete LAN: SI
Collegamento a rete Internet: SI
Utilizzo di password personale di otto caratteri modificata ogni tre
mesi
SI
1.1. Analisi dei rischi sulle risorse dati (misura 19.3)
Livello
Note
Tutti i dati trattati
Descrizione
accesso non autorizzato
Rischio
Bassa
L'accesso alle risorse
dati é protetto dall'uso
di password personali
Tutti i dati trattati
Cancellazione e/o
manomissione non
autorizzata di dati
Bassa
L'accesso alle risorse
dati é protetto dall'uso
di password personali
Tutti i dati trattati
Perdita di dati
Bassa
Sono effettuate copie
periodiche di backup
Misure di Sicurezza in essere e adottate per garantire l’integrità e la
disponibilità dei dati, nonché la protezione delle aree e dei locali, rilevanti ai
fini della loro custodia e accessibilità (regola 19.4.)
Il responsabile del trattamento dell’Ufficio Amministrativo – Commerciale e
dell’Ufficio del Personale individua i volumi logici o le aree di disco da
sottoporre giornalmente a backup, sul server e sui vari client.
Camera di Commercio Industria Artigianato Agricoltura di Padova
151
CODICE DELLA PRIVACY
Il backup è effettuato localmente nell’ambito di ciascun ufficio a cadenza
settimanale; a tal fine gli incaricati effettuano le seguenti operazioni:
a) Esecuzione quotidiana del backup attraverso procedure
automatiche;
b) Mantenimento di un elenco dei backup effettuati;
c) Archiviazione dei supporti magnetici;
d) Verifica, con cadenza almeno mensile, della procedura di
ripristino dai supporti di backup.
Misure di Sicurezza in essere e adottate (regola 19.4.)
Presso ciascun Ufficio della società X s.r.l. sono installate esclusivamente le
seguenti categorie di software:
a. Software gestionale contabile, dotato di licenza d’uso;
b. Software gestionale per il personale, dotato di licenza d’uso;
c. Software di office automation, a livello locale.
d. Software antivirus aggiornato on line o comunque almeno
trimestralmente
e. Software “firewall” aggiornato on line o comunque almeno
trimestralmente
L’installazione di software diversi da quelli indicati deve essere previamente
autorizzata dal responsabile del trattamento.
Il software è installato solo su supporti fisici originali o dei quali sia nota la
provenienza.
In mancanza di procedure di installazione automatiche, il responsabile del
trattamento garantisce l’effettuazione delle installazioni del software
antivirus e firewall su tutte le postazioni di lavoro, con cadenza almeno
trimestrale.
Misure di sicurezza adottate e da adottare (misura 19.4)
Nei locali della società X s.r.l. ove avviene il trattamento dei dati personali è
costantemente in atto un procedimento di controllo e di verifica della
sicurezza del sistema informatico attraverso l’utilizzo di appositi strumenti a
livello di sistema, di gestione delle basi dati e delle applicazioni.
Il sistema di controllo registra gli accessi a livello di sistema, di base dati e di
applicativo.
Il responsabile del trattamento di ciascun Ufficio ha facoltà di individuare, tra
gli amministratori di sistema, uno o più incaricati della verifica delle
Camera di Commercio Industria Artigianato Agricoltura di Padova
152
CODICE DELLA PRIVACY
registrazioni i quali operano sotto il suo controllo e nel rispetto delle
sue direttive. Il responsabile risponde degli eventuali danni cagionati
dagli incaricati salvo che questi ultimi abbiano agito con dolo o colpa
grave.
Le operazioni di verifica delle registrazioni sono effettuate con
cadenza settimanale. I problemi comunque riscontrati sono
prontamente riportati al responsabile del trattamento che individua le
opportune contromisure.
Controllo degli accessi
Tutte le stazioni di lavoro, come detto nelle precedenti tabelle
riassuntive, sono protette da una password di accesso.
L’inserimento della password di accesso va effettuato a cura
dell’operatore che ne affida una copia in busta chiusa al responsabile
del trattamento che le custodisce sotto chiave.
Ai fini dell’assistenza sistemistica, la password di accesso può venire
comunicata agli operatori tecnici chiamati ad intervenire ed è
sostituita al termine dell’intervento e mai più riutilizzata.
La password di accesso è modificata al primo utilizzo e
successivamente con cadenza trimestrale.
L’accesso alla rete di sistema è protetto tramite un nome utente e una
password.
Il processo di autenticazione consente di ottenere uno specifico
insieme di privilegi di accesso ed utilizzo rispetto alle risorse del
sistema informatico. A ciascun profilo è associato un gruppo di utenti,
che condividono gli stessi privilegi di accesso e utilizzo.
Il “Responsabile-Custode delle chiavi” è preposto alla custodia delle
parole chiave e controlla i nominativi e la qualifica degli operatori
incaricati autorizzati, nonché i loro privilegi di utilizzo del sistema
informatico. Il responsabile, inoltre, provvede a definire, con l’aiuto
tecnico del manutentore, per ciascun incaricato, il nome utente e la
password per il primo accesso. Una volta ricevuto l’ID e PW essi
devono essere modificati dagli incaricati al primo utilizzo e
successivamente con cadenza trimestrale. Ad ogni modifica di tali
codici identificativi, questi dovranno essere consegnati in busta chiusa
al responsabile che provvederà alla loro custodia.
Camera di Commercio Industria Artigianato Agricoltura di Padova
153
CODICE DELLA PRIVACY
La password di accesso alla rete presenta sempre le seguenti caratteristiche:
a. Non corrisponde al nome utente o ai dai dati personali
dell’utente;
b. Ha una lunghezza di almeno otto caratteri;
c. Non corrisponde ad una semplice parola rintracciabile in un
dizionario;
d. Contiene almeno un carattere non alfabetico, oppure un misto
di lettere minuscole e maiuscole;
e. Non contiene riferimenti agevolmente riconducibili
all'incaricato.
Il nome utente e la password sono strettamente personali; la loro tutela è a
carico dell’utilizzatore incaricato.
Il responsabile preposto alla custodia delle parole chiave provvede, con
cadenza trimestrale, alla verifica degli elenchi degli utenti, e provvede alla
disattivazione delle utenze su cui risultasse qualche problema, come il suo
mancato utilizzo da più di sei mesi, o un elevato numero di tentativi di
accesso non riusciti. In caso di assenza o impedimento dell’incaricato che
renda indispensabile e indifferibile l’utilizzo del pc protetto con ID e PW, il
Responsabile utilizzerà o incaricherà di utilizzare le ID e PW ricevute in busta
chiusa e avrà cura di informare e avvertire il titolare delle ID e PW, il quale al
suo ritorno avrà cura di modificarle.
Le Connessioni alla rete LAN ed alla rete Internet
Le connessioni telematiche verso le banche dati del server, sono consentite
solo ai PC Client autorizzati e previa autenticazione.
Il collegamento verso l’esterno (rete internet) avviene a mezzo connessione
ADSL per mezzo di un router. L’accesso dall’esterno è protetto a mezzo di un
firewall fisico, ed un firewall informatico.
Il firewall è configurato in maniera tale da consentire alle postazioni di lavoro
interne di accedere ai servizi disponibili sulla rete, bloccando i tentativi di
accesso provenienti dall’esterno.
Non sono autorizzati collegamenti telematici distinti da quelli previsti ai
punti precedenti. In particolare, non sono autorizzate connessioni effettuate
tramite modem stand alone da postazioni collegate alla rete dell’ufficio.
Camera di Commercio Industria Artigianato Agricoltura di Padova
154
CODICE DELLA PRIVACY
Qualora siano necessarie connessioni di questo tipo, queste sono effettuate
da PC non connesse alla rete LAN.
Protezione delle aree e dei locali rilevanti ai fini della custodia dei dati
oggetto di trattamento
Ai fini di evitare eventi dannosi o pericolosi ai dati oggetto di trattamento
con strumenti elettronici la società X s.r.l. ha predisposto le seguenti misure
di sicurezza:
Tutti i locali contenenti fisicamente le banche dati elettroniche sono protetti
con adeguati sistemi di impianto antincendio (sono presenti anche estintori
costantemente oggetto di manutenzione), antifurto e condizionamento
d’aria; sono altresì protetti da porte dotate di serratura e quelle che
permettono l’accesso all’esterno sono di tipo blindato. Vi sono grate
metalliche alle finestre esterne. L’impianto elettrico è dotato di misure
salvavita atte anche ed evitare cortocircuiti e possibili incendi e sono presenti
gruppi di continuità per evitare danni ai dati personali trattati nell’ipotesi in
cui venga a mancare l’erogazione della corrente elettrica.
Piano di verifica periodico delle misure adottate
La bontà delle misure adottate è periodicamente verificata secondo la
seguente tabella:
Attività
Verifiche
Individuazione dell'ambito del
trattamento consentito ai singoli
incaricati e addetti alla gestione o
alla manutenzione degli
strumenti elettronici
Aggiornamento periodico a
cadenza almeno annuale
Misure contro il rischio di
intrusione e dell'azione di
programmi di cui all'art.
615-quinquies del codice penale
Adozione di idonei strumenti, Trimestrale
da eseguirsi con cadenza
almeno trimestrale
Allegato B al D. Lgs.n.
196/03
Misure volte a prevenire la
vulnerabilità degli strumenti
elettronici e a correggerne i difetti
Aggiornamenti periodici, da
eseguirsi con cadenza
almeno trimestrale
Trimestrale
Allegato B al D. Lgs.n.
196/03
Salvataggio dei dati
Frequenza settimanale
Settimanale
Allegato B al D. Lgs.n.
196/03
Periodicità
Annua
Riferimento
normativo
Allegato B al D. Lgs.n.
196/03
Camera di Commercio Industria Artigianato Agricoltura di Padova
155
CODICE DELLA PRIVACY
4) - Criteri e modalità per il ripristino della disponibilità dei dati (regola 19.5)
Per quanto le misure di sicurezza adottate siano idonee a ridurre
notevolmente gli eventuali episodi di danno o pericolo per i dati fatti
oggetto di trattamento non può tuttavia escludersi a priori che si possano
verificare eventi eccezionali di distruzione o danneggiamento.
Per evitare che eventi di tal fatta si traducano nella perdita definitiva ed
irrecuperabile dei dati stessi tali informazioni sono protette: dall’uso di
password e di nomi utenti; da backup con cui si provvede a fare copia dei
dati trattati elettronicamente e il relativo supporto mobile è custodito in
luogo sicuro protetto e provvisto di impianto antincendio; sono inoltre
presenti misure di sicurezza per i luoghi fisici di cui si è già riferito.
I dati personali sono protetti contro il rischio di intrusione e dell'azione di
programmi di cui all'art. 615-quinquies del codice penale, mediante
l'attivazione di idonei strumenti elettronici aggiornati con cadenza almeno
trimestrale.
Gli aggiornamenti periodici dei programmi per elaboratore volti a prevenire
la vulnerabilità di strumenti elettronici e a correggerne difetti sono effettuati
almeno trimestralmente.
Salvataggio
Tipo di dati
Criteriprocedure
operative per il
salvataggio
Pianificazione
delle prove di
ripristino
Ubicazione di
conservazione
delle copie
Struttura
operativa
incaricata del
salvataggio
5) – Pianificazione degli interventi formativi previsti (regola 19.6)
Per rendere gli incaricati del trattamento edotti dei rischi che incombono sui
dati personali, delle misure disponibili per prevenire eventi dannosi, dei
profili della disciplina sulla protezione dei dati personali più rilevanti in
rapporto all’attività svolta da questa s.r.l., delle responsabilità che ne derivano
Camera di Commercio Industria Artigianato Agricoltura di Padova
156
CODICE DELLA PRIVACY
e delle modalità per aggiornarsi sulle misure minime adottate dal titolare,
questa società organizza costantemente (a cadenza annuale) programmi di
formazione tecnica e teorica.
Le istruzioni organizzative e tecniche che prevedono il salvataggio dei dati
sono impartite con frequenza almeno settimanale.
Sono tenuti a seguire questi programmi tutti i dipendenti che, a vario titolo,
sono chiamati ad operazioni di trattamento dei dati personali dal momento
della loro assunzione e sempre in occasione di cambiamenti di mansioni o di
introduzione di nuovi significativi strumenti rilevanti rispetto al trattamento
stesso.
I responsabili del trattamento provvedono a consegnare ai dipendenti
contestualmente ai codici (nome utente e password) per l’accesso al sistema
anche un manuale informativo sulla sicurezza debitamente aggiornato.
Corso di
formazione
Descrizione
sintetica
Classi di
incarico
interessate
Numero di
incaricati
interessati
Numero di
incaricati
già formati/
da formare
nell'anno
Calendario
Atti e documenti non in formato elettronico, archivi cartacei
I trattamenti di dati personali con strumenti diversi da quelli elettronici sono
effettuati dagli incaricati seguendo le istruzioni scritte ad essi impartite,
mediante apposita lettera di incarico, finalizzate al controllo ed alla custodia,
per l’intero ciclo necessario allo svolgimento delle operazioni di trattamento,
degli atti e dei documenti contenenti dati personali. L’aggiornamento
periodico dell’individuazione nell’ambito del trattamento consentito ai
singoli interessati ha carattere annuale. Gli atti e i documenti contenenti
eventuali dati personali sensibili o giudiziari sono affidati agli incaricati del
trattamento per lo svolgimento dei relativi compiti. I medesimi atti e
documenti sono controllati e custoditi dagli incaricati fino alla restituzione in
maniera che ad essi non accedano persone prive di autorizzazione, e sono
restituiti al termine delle operazioni affidate.
Camera di Commercio Industria Artigianato Agricoltura di Padova
157
CODICE DELLA PRIVACY
L’accesso agli archivi contenenti dati sensibili o giudiziari è consentito
solamente alle persone preventivamente autorizzate.
Obbligo di aggiornamento periodico del DPS
Il presente documento programmatico sulla sicurezza è sottoposto a
revisione annuale nella sua interezza, entro la scadenza del 31 marzo di
ciascun anno, come previsto dalla regola 19 del Disciplinare tecnico di cui
all’Allegato B al D.Lgs. 196/2003, in relazione al disposto dell’art. 34, lettera g)
del decreto stesso.
Il presente documento è aggiornato al _________________
Data_______________
Legale Rappresentante Società_________________________________
Solo per gli esercenti le professioni sanitarie e per gli organismi sanitari
occorrerà inserire un articolo dedicato a
Cifratura dei dati o separazione dei dati identificativi (regola 19.8)
Dato
Protezione
scelta
(cifratura/
separazione)
Data di
effettività
Tecnica
adottata
Informazioni
utili
Camera di Commercio Industria Artigianato Agricoltura di Padova
158
Codice della Privacy: risposte a quesiti pratici
A cura di Andrea Lisi e Marzio V. Vaglio
Con una guida pratica al " CODICE PRIVACY"
per imprese e P.A.
Il D.Lgs. 196/2003 conosciuto come
"Codice della Privacy" ha posto notevoli
problematiche
ad
Aziende,
liberi
professionisti, Associazioni ed Enti.
Per venire incontro alle necessità di
informazione su tali problemi, Promopadova,
Azienda speciale della Camera di
Commercio I.A.A. ha organizzato nel 2004,
7 seminari informativi gratuiti di taglio
pratico ed operativo. E' stato poi creato lo
"sportello privacy" che ha funzionato via email da aprile 2004 a giugno 2005.
La presente pubblicazione nasce dal lavoro
quotidiano dello sportello che ha risposto a
centinaia di quesiti. I 60 più significativi
sono stati riordinati e aggiornati alla luce
delle autorizzazioni generali e di alcuni
pareri del Garante della Privacy. La raccolta
é stata arricchita da una guida pratica che
inquadra la normativa e da un fac-simile di
DPS, oltre che dai testi di legge più rilevanti.
®
Scarica

Guida Privacy