D.Lgs.196/2003: Codice in materia di protezione dei dati personali

In molte occasioni ognuno di noi ha avuto modo di esprimere o negare il proprio consenso al cosiddetto “trattamento dei dati personali” in occasione di acquisti o richieste di servizi, sia che la parte richiedente fosse un’impresa privata, sia che si trattasse di una pubblica amministrazione. I diritti in capo ai soggetti cui si riferiscono i dati e i doveri in capo a chi deve invece custodirli sono variegati e spesso un’eccessiva polverizzazione della normativa sul trattamento dei dati personali ha contribuito ad una inadeguata conoscenza della problematica sulla Privacy.

Il Decreto legislativo 196/2003 è entrato in vigore il 1° gennaio 2004 e dà una svolta decisiva in materia di tutela dei dati personali com’è facilmente desumibile dall’articolo 2:  “Il presente Testo unico garantisce che il trattamento dei dati personali si svolga nel rispetto dei diritti e della libertà fondamentali, nonché della dignità dell’interessato, con particolare riferimento alla riservatezza, all’identità personale e al diritto alla protezione dei dati personali”.

PRIVACY E DOCUMENTO PROGRAMMATICO SULLA SICUREZZA

Negli ultimi anni la regolamentazione delle modalità di trattamento dei dati personali è stata oggetto di un crescente interessamento da parte del Legislatore. Riprova ne è il proliferare di leggi e decreti volti a porre fine all’uso improprio, se non addirittura illegale, delle banche dati in possesso di imprese e privati.

Il Decreto legislativo 196/2003 raccoglie tutta la precedente normativa relativa al trattamento dei dati personali, diventando così il testo di legge di riferimento in materia di tutela della privacy. Con l’entrata in vigore del nuovo codice, pertanto, sono abrogati il DPR 318 del ’99, la legge 675 del ’96 e tutte le altre leggi citate al Capo terzo del medesimo decreto.

Il nuovo codice in materia di protezione dei dati personali si compone di 186 articoli, tre codici di deontologia (previsti per il trattamento di dati per scopi storici, statistici o giornalistici) e un Disciplinare tecnico in materia di misure minime di sicurezza denominato ALLEGATO B. Questo articolo, per la vastità della tematica, non può essere esaustivo ma fornisce sicuramente una panoramica della normativa volta a comprendere meglio la necessità dei soggetti tenuti a rispettare il nuovo dettato normativo.

PER METTERSI IN REGOLA
È necessario:
  • compilare e stampare la documentazione per le figure previste dalla normativa (lettere d’incarico per Responsabile della Sicurezza Dati Personali, Incaricati per i trattamenti, ecc…);
  • proteggere tutte le banche dati (di qualsiasi tipologia) da intrusioni o utilizzi non autorizzati;
  • adottare le misure minime di sicurezza previste dalla normativa (password, sistemi antintrusione, antivirus, copie di backup, ecc…);
  • compilare e stampare il DPSS (Documento Programmatico Sulla Sicurezza) con cadenza annuale apportando di anno in anno le opportune modifiche (solo il DPSS fa prova dell’avvenuto adeguamento della norma). Il DPSS è un documento che descrive i trattamenti dei dati personali gestiti in azienda, l’organizzazione di sicurezza dell’azienda e analizza eventuali rischi sulla protezione dei dati gestiti.Il DPSS è utile per redigere una Policy di sicurezza, un documento interno che individua precise responsabilità nel trattamento dei dati, chiarisce le procedure di sicurezza informatica e contiene un vademecum per i dipendenti nel trattare la posta elettronica, la navigazione internet, utilizzo di password e gestione degli archivi informativi contenenti dati sensibili;
  • adottare le misure fisiche di protezione (allarmi, stabilizzatori di corrente, armadi chiusi a chiave ed ignifughi, accesso selezionato ai locali…);
  • inventariare i dati personali, adottare le misure di sicurezza obbligatorie (fisiche, logiche ed organizzative), adeguandosi agli obblighi di informativa, consenso, nomina figure.

CHI DEVE ADEGUARSI
Tutti coloro che trattano dati personali: 

  • Aziende
  • Professionisti
  • Cooperative
  • Associazioni
  • Pubblica Amministrazione
  • Scuole
  • Comuni
  • Ospedali
  • Enti Pubblici, ecc…
  • (ovvero chiunque tratti dati personali di clienti, cittadini, dipendenti, fornitori, utenti, anagrafiche, pazienti, colleghi, soci, associati, ecc….)
L’art. 26 del Disciplinare Tecnico allegato al Nuovo Codice della Privacy prevede: “Il titolare riferisce, nella relazione accompagnatoria del bilancio d’esercizio dell’avvenuta redazione o aggiornamento del documento programmatico sulla sicurezza.” 


COSA SI RISCHIA
Sanzioni: In caso di violazione accertata, sono previste sanzioni di tipo amministrativo fino a 50.000 Euro e la reclusione fino a 3 anni, esclusione dalle gare di appalto e risarcimento di danni ai sensi dell’art. 2050 C.C..

Ispezioni: È stato siglato un protocollo d’intesa tra la Guardia di Finanza ed il Garante della Privacy per una sempre più intensa ed efficace attività di controllo sulla raccolta dei dati. La Guardia di Finanza collaborerà alle attività ispettive attraverso la partecipazione del proprio personale ai controlli sulle banche dati, alle verifiche e alle altre rilevazioni nei luoghi ove si svolge il trattamento. Le ispezioni serviranno per cancellare sacche di non applicazione della legge e per evitare disparità di trattamento tra i privati che hanno sopportato spese per adeguarsi e chi non lo ha fatto.

Risarcimento danni:  tenuto al risarcimento, chi non prova di avere adottato tutte le misure idonee al trattamento della sicurezza dei dati. Chiunque cagiona danno è tenuto al risarcimento ai sensi dell’art. 2050 C.C.

LE NORME CHE TUTTI DEVONO RISPETTARE 

Adozione obbligatoria delle misure minime di sicurezza: Tutti coloro che trattano dati personali comuni, sensibili o giudiziari sono obbligati ad applicare le misure minime di sicurezza

Responsabilità: Il titolare è tenuto a garantire che le misure minime di sicurezza siano adottate sia all’interno dell’azienda, sia dai terzi a cui abbia ceduto, in tutto o in parte, l’attività di elaborazione dati (es. Studi Professionali).

I dati personali: I dati personali identificano una persona fisica o giuridica. Pertanto tutte le aziende che trattano dati personali, anche solo per il fatto di gestire, ai fini contabili di legge, un archivio cartaceo od informatico dei clienti e fornitori, o altri archivi che contengano i dati identificativi di persone o aziende (dipendenti, curricula, fatture, mailing list, etc.). I dati personali sensibili sono invece informazioni aggiuntive che rilevano idee religiose, politiche filosofiche, lo stato della salute o le preferenze sessuali.I dati personali oggetto di trattamento devono essere custoditi e controllati anche in relazione alle conoscenze acquisite, al progresso tecnico, alla natura dei dati ed alle specifiche caratteristiche del trattamento.

La sicurezza e l’accesso ai dati: I dati debbono essere trattati in modo da ridurre al minimo, mediante la adozione di idonee e preventive misure di sicurezza, i rischi, anche accidentali, di distruzione o perdite. Si deve ridurre al minimo rischio di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.

L'OBIETTIVO
della redazione del Documento Programmatico per la Sicurezza è quello di ottenere il massimo vantaggio per l’azienda per

  • migliorare le procedure,
  • distribuire le responsabilità,
  • coinvolgere il management e i dipendenti in una politica di sicurezza informatica strutturata e valida per la crescita aziendale,
  • garantire un ritorno sull’investimento fatto che nell’assolvere un obbligo di legge può e deve trasformarsi in valore aggiunto.