Venerdì 14 Dicembre 2018 | 20:29

GDM.TV

Nuovo codice Privacy - COSA DEVE FARE UN'AZIENDA

Vediamo come un'azienda dovrebbe procedere per non ritrovarsi nella situazione di effettuare un trattamento illecito e incorrere in spiacevoli sanzioni.
Innanzitutto occorre procedere ad un inventario dei trattamenti, dividendo questi per natura (dati comuni, dati sensibili, dati giudiziari) e per categoria di interessati (clienti, fornitori, personale, terzi, etc.);
individuare gli strumenti utilizzati per la custodia e per l'utilizzo (server e client interessati) e gli incaricati o le categorie di incaricati che devono avere accesso ai singoli trattamenti.
Individuati i trattamenti, gli incaricati e gli strumenti, andrebbero analizzati i dati e verificata la pertinenza e la correttezza delle informazioni raccolte rispetto ai fini per cui pensiamo siano stati raccolti: se riteniamo di avere necessità di tutte le informazioni in nostro possesso, dobbiamo tenerne conto per l'informativa che andremo a preparare e per i consensi espliciti da richiedere, altrimenti dobbiamo organizzarci per rimuovere le informazioni superflue. (Vedere Art.11 DL 196/03).
Chiedersi a chi e per quale motivo questi dati vengono trasferiti (es. dati fiscali per il commercialista) in modo da indicarlo sempre nell'informativa.
A questo punto con questa matrice (Dati, strumenti, incaricati) possiamo approntare un organigramma privacy che servirà per improntare le "autorizzazioni necessarie" sugli strumenti elettronici utilizzati, individuare eventuali Responsabili di un trattamento o di una pluralità di trattamenti e preparare le lettere di incarico per responsabili e incaricati che dovranno essere controfirmate per accettazione e dovranno contenere precise indicazioni circa il trattamento dei dati cui si viene autorizzati, ivi compreso il profilo della sicurezza.
Queste incombenze, a meno di deleghe operative, sono a carico del titolare del trattamento che risponderà in ogni caso dei trattamenti effettuati nella sua azienda.

Il vero problema è che, se apprendiamo solo oggi attraverso la lettura di questo contributo, degli adempimenti richiesti dal nuovo decreto (e peggio se ne veniamo solo oggi a conoscenza) siamo in ritardo perché il DL 196/03 abbiamo già detto essere entrato in vigore il 1 gennaio 2004 e con esso molti di questi obblighi, tra cui l'informativa redatta secondo l'art.13 e il consenso (art.23).
L'informativa all'interessato va data al primo contatto o al più al primo utilizzo (se non raccogliamo direttamente i dati dall'interessato), così come il consenso va raccolto prima di trattare il dato.
Questo significa che se abbiamo una rete di agenti che procacciano clienti, questi per conto dell'azienda, nel momento in cui raccolgono i dati del nuovo cliente devono dargli l'informativa, ma anche chi ha un sito Internet deve pubblicare una informativa (anche attraverso un link o collegamento) nella pagina in cui ha predisposto una scheda contatto e se genericamente registra le visite al proprio sito (log contenente l'indirizzo IP di ci visita il sito) deve indicarlo con una informativa del sito.
Solo per il 2004 è stato prorogato al 30 giugno la redazione del DPSS (Documento Programmatico sulla Sicurezza) da menzionare nel bilancio di esercizio, per dare la possibilità di adottare le nuove misure minime di sicurezza introdotte dal codice, ma per gli anni a venire la scadenza rimane il 31 Marzo.
In merito alla menzione del DPSS nella relazione al bilancio di esercizio, c'è da distinguere tra chi era già tenuto a redigerlo in base alla previgente normativa e chi lo redige per la prima volta nel 2004.
Nel primo caso, se al 31 marzo è stato già aggiornato al 2004 lo si deve indicare nella relazione al bilancio di esercizio, altrimenti si deve menzionare quello redatto nel 2003 e dichiarare di aggiornare quello per il 2004 entro il 30 giugno; nel secondo caso, se al 31 marzo non lo si è redatto, perché si ha tempo fino al 30 giugno, per quest'anno non ne si fa menzione, e si procederà alla compilazione del primo DPSS entro il 30 giugno, citandolo nella relazione al bilancio relativo al 2004, che si stilerà ovviamente nel 2005.

Al 30 Aprile (con proroga al 15 maggio) è invece scaduto il termine per presentare la Notifica al Garante per quei pochi residuali trattamenti indicati nell'Art. 37 del codice e che sono stati oggetto di diverse occasioni di "chiarimenti" da parte del Garante; il nuovo codice ha ridotto notevolmente il numero delle aziende soggette a notifica. Chi aveva fatto notifica in base alla previgente normativa e rientrava in quei pochi casi ancora previsti, doveva comunque rifarla.
L'unica e ultima scadenza non ancora trascorsa per effetto delle disposizioni transitorie, ma molto vicina è quella del 30 giugno relativa ad una parte delle misure di sicurezza (le novità introdotte dal codice, Art. 180 Comma 1) perché le altre misure di sicurezza dovevano essere adottate già al 1 gennaio (quelle menzionate già dal DPR 318/99). Tra quelle in scadenza al 30 giugno compare appunto il DPSS (Documento Programmatico sulla Sicurezza) che in base alla nuova normativa interessa molte più aziende che in passato.
I titolari che, nella data di entrata in vigore del DL 196/03 (1 gennaio 2004) non sono in possesso di strumenti elettronici idonei per obbiettive ragioni tecniche, a consentire in tutto o in parte l'adozione delle misure minime dell'Art.34 e nei termini specificati nell'allegato B, descrive le medesime ragioni in un documento da redigere a data certa e da conservare presso la propria struttura.
Chi si trova in questa situazione deve produrre questo documento entro il 30 giugno e adottare ogni possibile misura di sicurezza in relazione agli strumenti elettronici detenuti, onde evitare un incremento dei rischi di cui all'Art.31, e adeguare i medesimi strumenti entro un anno (quindi entro il 31 dicembre 2004; Art. 180 comma 2 e 3).
Entrando nel merito della questione, vediamo cosa recita l'Art. 31, relativo alle misure di sicurezza richieste dal codice:
"I dati personali, oggetto di trattamento, sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta".
Questo significa che il titolare di un trattamento deve adoperarsi per far il possibile ed in maniera preventiva, per ridurre al minimo i rischi per i dati, con soluzioni che devono rivelarsi idonee.
E' palese che la certezza di eliminare ogni possibile rischio non esiste (non esistendo la sicurezza assoluta) ma è richiesto il massimo sforzo, sia tecnico che organizzativo, oltre che formativo per gli incaricati per renderli edotti del rischio e istruirli circa comportamenti ed utilizzo degli strumenti.
Chi non adotta le misure di sicurezza intese secondo quanto esplicitato dall'Art.31 è esposto a sanzioni amministrative e al risarcimento del danno non patrimoniale per effetto dell' Art.15.
Tra le misure di sicurezza richieste, vi sono poi quelle "minime" la cui mancata adozione comporta per il titolare una sanzione penale, o una corrispondente sanzione amministrativa che va da 10.000 a 50.000 Euro. Tali misure minime sono riportate nell'Art.34(Trattamento con strumenti elettronici):
Il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell'allegato B, le seguenti misure minime:
a) autenticazione informatica
b) adozione di procedure di gestione delle credenziali di autenticazione;
c) utilizzazione di un sistema di autorizzazione;
d) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici;
e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici;
f) adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi;
g) tenuta di un aggiornato documento programmatico sulla sicurezza;
h) adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari

e nell' Art. 35 (Trattamenti senza l'ausilio di strumenti elettronici)
1. Il trattamento di dati personali effettuato senza l'ausilio di strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell'allegato B), le seguenti misure minime:
a) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati o alle unità organizzative;
b) previsione di procedure per un'idonea custodia di atti e documenti affidati agli incaricati per lo svolgimento dei relativi compiti;
c) previsione di procedure per la conservazione di determinati atti in archivi ad accesso selezionato e disciplina delle modalità di accesso finalizzata all'identificazione degli incaricati.

Nel Disciplinare Tecnico (Allegato B al DL 196/03) sono specificati in 29 punti, come vanno intese nel dettaglio queste misure minime. E' importante leggere attentamente il DT per non avere una visione distorta delle misure richieste e non incorrere nella sanzione penale.
Ad esempio se già dall'art.34 il punto h e esplicitamente riferito ai dati sensibili, quindi non a quelli comuni, il punto g dell'Art.34 ha bisogno dell'esplicitazione dell'allegato B per accorgerci che riguarda i "dati sensibili trattati con strumenti elettronici". Quindi la redazione del DPSS è da considerarsi "misura minima" obbligatoria e legata a sanzione penale nel caso di trattamento di dati sensibili con strumenti elettronici ma, resta comunque una misura di sicurezza richiesta che, insieme alla generalità delle misure di sicurezza idonee e preventive da adottare, con riferimento allo stato della tecnologia (Art.31), ci solleverebbe dagli effetti dell'Art.15 e quindi dal risarcimento del danno non patrimoniale, quantomeno consentendo al titolare del trattamento di invertire "l'onere della prova" circa le responsabilità relative ad un "danno" reclamato.
Questa considerazione ci deve far riflettere su quanto sia importante e delicato il lavoro di classificazione dei dati necessario a distinguere e possibilmente a separare i dati personali comuni da quelli personali sensibili.
Bisogna però tenere presente che, un dato che per definizione non dovrebbe essere sensibile in base alle informazioni che rivela, potrebbe diventare sensibile nel contesto in cui si trova o a cui si riferisce. Esempio: un elenco di nominativi di per se non è un dato sensibile, ma se questo elenco di nominativi è quello degli abbonati ad una rivista sindacale e i destinatari della rivista sono solo gli iscritti all'associazione sindacale, questo banale elenco da "dato personale" comune, diventa "dato personale sensibile".

Lascia il tuo commento

Condividi le tue opinioni su

Caratteri rimanenti: 400

MULTIMEDIA

Nuovo video per BandAdriatica, Elisa canta con Calcutta, il progetto Party Hard racconta Taranto

Nuovo video per BandAdriatica, Elisa canta con Calcutta, il progetto Party Hard racconta Taranto

 
Rotonda - Bari:  il punto con La Voce Biancorossa, segui la diretta

Rotonda - Bari: il punto con La Voce Biancorossa Rivedi la diretta

 
Torre Guaceto: masseria rurale trasformata in resort, sequestri

Torre Guaceto: masseria rurale trasformata in resort, sequestri

 
Decennale della Regia Aeronauticail Re passa in rassegna 4mila piloti

Decennale della Regia Aeronautica
il Re passa in rassegna 4mila piloti

 
Il bimotore Savoia Marchetti S 55uno dei simboli del progresso italiano

Il bimotore Savoia Marchetti S 55
uno dei simboli del progresso italiano

 
Inaugurazione aeroporto di Bariintitolato a Umberto di Savoia

Inaugurazione aeroporto di Bari
intitolato a Umberto di Savoia

 
Kosovo, l'attività del 5° Reggimento alpini

Kosovo, l'attività del 5° Reggimento alpini

 
Calendario, l'uomo e la tecnologia

Calendario, l'uomo e la tecnologia

 
Calendario, storie e immagini

Calendario, storie e immagini

 
Rivivi la  "Mangusta" interforze

Rivivi la "Mangusta" interforze

 
Noi siamo la Marina: gli incursori

Noi siamo la Marina: gli incursori