| |
 |
 |
Riferimenti
normativi |
|
|
|
In data 1° gennaio 2004
è entrata in vigore la nuova normativa sulla protezione
dei dati personali. Ciò comporta alcune novità
per imprese e professionisti e per tutti i soggetti che trattano
dati personali, sia su supporti informatici che su supporti
cartacei. A tal proposito presentiamo una panoramica delle novità
in materia.
Per
visualizzare il decreto amministrativo completo clicca qui. |
|
|
| Resta invariata la regola
generale secondo la quale i dati personali possono essere trattati
solamente con il consenso dell’interessato, fatte salve
le eccezioni già previste dalla legge. L’informativa
del trattamento dei dati è dovuta in ogni caso. |
|
|
Nasce un nuovo diritto dell’
"interessato": quello alla protezione dei dati personali,
oltre a quelli già vigenti della riservatezza e dell’identità
personali. La tutela di questi diritti deve, tuttavia, coniugarsi
con il rispetto dei principi di semplificazione, armonizzazione
ed efficacia delle modalità previste per il loro rispetto.
La notificazione di nuovi trattamenti è ora limitata
ad alcuni specifici elencati all’art.37, fra i quali rileviamo:
dati genetici o biometrici; dati idonei a rivelare lo stato
di salute e la vita sessuale; dati sensibili registrati in banche
dati ai fini di selezione del personale per conto terzi; dati
sulla solvibilità economica. (siamo
in attesa di maggiori chiarimenti da parte del garante)
Diventa altresì obbligatoria la adozione di sistemi di
autenticazione e di individuazione di profili di autorizzazione
degli addetti al trattamento dei dati personali.
Chiunque tratti dati sensibili o giudiziari con strumenti informatici
è obbligato a redigere annualmente il "documento
programmatico sulla sicurezza" entro il termine del
31 marzo. |
|
|
Per trattare i dati occorre
il consenso espresso dell’interessato, consenso che deve
essere documentato per iscritto. Le eccezioni previste riguardano:
trattamento necessario per la esecuzione di un contratto di
cui l’interessato è parte; trattamento effettuato
da associazioni od organismi senza scopo di lucro per i soggetti
che hanno con essi regolari contatti, ma solo per il perseguimento
degli scopi dell’ente stesso. COMUNQUE, se i dati trattati
sono sensibili, il consenso deve avvenire in forma scritta.
L’informativa è sempre dovuta. In essa occorre
specificare le finalità e le modalità del trattamento,
la natura obbligatoria o facoltativa del conferimento dei dati,
le conseguenze di un eventuale rifiuto di rispondere, i diritti
riconosciuti dalla legge all’interessato, i soggetti o
le categorie di soggetti cui i dati possono essere comunicati
o che possono venirne a conoscenza in qualità di responsabili
o incaricati, gli estremi identificativi del titolare e del
responsabile del trattamento, se nominato. Si possono tralasciare
quegli elementi che si presumono già noti all’interessato.
La mancata consegna dell’informativa
è punita con una sanzione amministrativa da € 3.000
a € 18.000, per i dati comuni, mentre va da € 5.000
a € 30.000 per i dati sensibili.
Vi è obbligo di informativa anche se non è dovuto
il consenso al trattamento.
Il trattamento
dei dati personali senza il consenso dell’interessato
è sanzionabile penalmente.
E’ possibile, all’interno di una società
o di uno studio o associazione, nominare uno o più responsabili
e gli incaricati al trattamento. Tale nomina va effettuata in
forma scritta e costituisce presupposto per una corretta applicazione
delle misure di sicurezza.
In caso di richiesta da parte dei titolari dei dati, il termine
per fornire una risposta è di 15 giorni. |
|
|
| Resta invariata la regola
generale secondo la quale i dati personali possono essere trattati
solamente con il consenso dell’interessato, fatte salve
le eccezioni già previste dalla legge. L’informativa
del trattamento dei dati è dovuta in ogni caso. |
|
|
Notevolmente modificata la
disciplina delle notificazioni al Garante. Secondo le nuove
norme la notificazione deve essere effettuata solo se rientra
in uno dei casi di cui all.art.37 del D.Lgs. 196, che riportiamo
in parte:
1. Il titolare notifica al Garante il trattamento di dati personali
cui intende procedere, solo se il trattamento riguarda:
a) dati genetici, biometrici o dati che indicano la posizione
geografica di persone od oggetti mediante una rete di comunicazione
elettronica;
b) dati idonei a rivelare lo stato di salute e la vita sessuale,
trattati a fini di procreazione assistita, prestazione di servizi
sanitari per via telematica relativi a banche di dati o alla
fornitura di beni, indagini epidemiologiche, rilevazione di
malattie mentali, infettive e diffusive, sieropositività,
trapianto di organi e tessuti e monitoraggio della spesa sanitaria;
c) dati idonei a rivelare la vita sessuale o la sfera psichica
trattati da associazioni, enti od organismi senza scopo di lucro,
anche non riconosciuti, a carattere politico, filosofico, religioso
o sindacale;
d) dati trattati con l’ausilio di strumenti elettronici
volti a definire il profilo o la personalità dell’interessato,
o ad analizzare abitudini o scelte di consumo, ovvero a monitorare
l’utilizzo di servizi di comunicazione elettronica con
esclusione dei trattamenti tecnicamente indispensabili per fornire
i servizi medesimi agli utenti;
e) dati sensibili registrati in banche di dati a fini di selezione
del personale per conto terzi, nonché dati sensibili
utilizzati per sondaggi di opinione, ricerche di mercato e altre
ricerche campionarie;
f) dati registrati in apposite banche di dati gestite con strumenti
elettronici e relative al rischio sulla solvibilità economica,
alla situazione patrimoniale, al corretto adempimento di obbligazioni,
a comportamenti illeciti o fraudolenti. …(omissis)…
La notificazione deve essere effettuata solo con mezzi
telematici e con firma digitale.
Il Garante ha già chiarito che occorre, entro il 30.04.2004
, notificare di nuovo i trattamenti già iniziati prima
del 1° gennaio 2004 che rientrino nei casi previsti dal
sopra riportato art. 37. Per i nuovi trattamenti che rientrino
nel citato articolo, la notificazione deve essere effettuata
prima dell’inizio del trattamento.
Le sanzioni amministrative per omessa o incompleta
notificazione vanno da € 10.000 a
€ 60.000 e la sanzione accessoria è la pubblicazione
dell’ordinanza. |
|
|
Sono previste, tra le altre:
la adozione di procedure di autenticazione informatica, eventualmente
con password individuale di otto caratteri minimo, di profili
di autorizzazione degli utenti, l’obbligo settimanale
di copie di backup degli archivi informatici e la adozione di
sistemi antivirus e anti-intrusione da aggiornare periodicamente.
Le nuove misure di sicurezza andranno adottate entro il 31
dicembre 2005 , Inoltre a partire dal marzo 2006, ogni anno, se si trattano
dati sensibili, occorrerà redigere un "documento
programmatico per la sicurezza". Di tale documento dovrà
esserne dato conto nella relazione accompagnatoria al bilancio
di esercizio, ove presente.
La mancata adozione
delle misure per la sicurezza dei dati è sanzionabile
penalmente. |
|
|
per completezza di esposizione
si ricorda che, secondo l’art. 4 del Codice, sono qualificati
dati sensibili:
….i dati personali idonei a rivelare
l’origine razziale ed etnica, le convinzioni religiose,
filosofiche o di altro genere, le opinioni politiche, l’adesione
a partiti, sindacati, associazioni od organizzazioni a carattere
religioso, filosofico, politico o sindacale, nonché i
dati personali idonei a rivelare lo stato di salute e la vita
sessuale…. |
|
|
Si riepilogano le scadenze
principali inerenti alla normativa sopra riportata.
| Misure di sicurezza minime |
|
Già in vigore |
|
|
| Notifica al Garante dei trattamenti già
iniziati ante 1.1.2004 30 aprile 2004 |
|
30 Aprile 2004 |
|
|
| Adozione
delle nuove misure di sicurezza minime |
|
31 Dicembre 2005 |
|
|
| Predisposizione del documento programmatico
sulla sicurezza 31 marzo di ogni anno (solo per chi tratta
dati sensibili o giudiziari) |
|
A partire dal 2006 |
|
|
|
|
|
|
