Consulbyte

Siete qui:

CONSULENZA PER L'APPLICAZIONE DEL D. LGS. 196/03 (PRIVACY)

La Consulbyte offre una soluzione completa per l'adeguamento di aziende, enti, organizzazioni, uffici alla nuova normativa sulla privacy D.Lgs. 196 (30 Giu 2003).

Entrato in vigore il primo gennaio 2004, introduce alcune importanti novità in merito al trattamento di:

* dati personali: informazioni relative a persone fisiche, persone giuridiche, enti o associazioni, come ad es. nome, cognome, indirizzo, ragione sociale, telefono, C.F., partita IVA, fotografie, profili creditizi, ecc.

* dati sensibili: informazioni che possono essere causa di discriminazioni, come ad es. dati sulla fede religiosa, militanza politica, stato di salute, ecc.

* dati giudiziari: informazioni che rivelano la condizione giuridica, presente, passata o in fase di definizione delle persone fisiche.

La stesura del Documento Programmatico sulla Sicurezza (DPS) costituisce un fondamentale adempimento previsto dal D. Lgs 196/03 in materia di protezione dei dati personali.

Il DPS deve essere redatto da parte del Titolare del trattamento dei dati e successivamente aggiornato annualmente (Art. 19, Allegato B - Disciplinare tecnico in materia di misure minime di sicurezza, D.Lgs. 196/03), al fine di garantire sempre l'adeguatezza delle misure di sicurezza adottate alla tipologia di dati trattata.

Il Titolare del trattamento deve riferire dell'avvenuta redazione o dell'avvenuto aggiornamento del DPS nei termini previsti, facendone riferimento nella nota integrativa al Bilancio d'Esercizio (ove dovuto) ed attestandone la conformità con quanto stabilito dal D.Lgs 196/03.

A chi si rivolge
Il D.Lgs. 196/03 si applica a tutte le imprese pubbliche o private che devono gestire, archiviare, utilizzare, consultare o diffondere dati personali, sensibili e giudiziari.

Cos'è ?

E' la legge che disciplina il trattamento delle informazioni allo scopo di garantire la riservatezza, l'identità personale e il diritto alla protezione dei dati personali.

Sostituisce la legge 675/96, con alcune novità importanti. Le principali riguardano la sicurezza delle informazioni. Queste devono essere protette: non debbono essere perse, accessibili senza controllo, utilizzate o diffuse in modo improprio. La violazione comporta sanzioni severe, anche di natura penale.

Mi riguarda ?
Certo. Nessuna azienda o organizzazione lavora senza informazioni. Chiunque di noi è una fonte di informazioni, cioè un soggetto interessato (la nostra banca per esempio tratta informazioni su di noi). E chiunque di noi tratta informazioni (per esempio relative ai nostri clienti o fornitori, banche, collaboratori...). Le informazioni sono il contenuto dei dati.

DATO PERSONALE: qualunque informazione relativa a persona fisica, giuridica, ente o associazione, identificati o identificabili direttamente o indirettamente, mediante riferimento o qualsiasi altra informazione (art.4 del TUP).

Alcune tipologie di dati personali sono anche sensibili e/o giudiziari. Questi vanno trattati con speciali cautele e la violazione comporta sanzioni più severe. La legge, comunque, riguarda tutti i dati personali.

Trattare dati non vuol dire solo “raccogliere” o “negoziare” dati, ma anche archiviare, modificare, organizzare, cancellare, bloccare, consultare, diffondere, distruggere dati, ecc. Cioè, in pratica, detenere e utilizzare i dati a fini diversi dalla pura gestione delle relazioni interpersonali.

La natura dei dati da proteggere
• Dati sensibili: dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni (…) lo stato di salute, la vita sessuale, la sfera psichica, le scelte di consumo, la solvibilità economica, il profilo o la personalità (…)

• Dati giudiziari: dati personali idonei a rivelare provvedimenti (…) in materia di casellario giudiziale, di anagrafe della sanzioni amministrative dipendenti da reato e dei carichi pendenti, o la qualità di imputato o indagato.

E io che ho pochi PC?
L'uso di questo o quello strumento, o di strumenti non elettronici, non è motivo di esclusione. Si trattano dati anche con una penna o un'agenda, o con schede cartacee e un armadio.
Naturalmente gli strumenti utilizzati, la complessità e ambito di trattamento fanno differenza: sistemi semplici richiedono misure semplici, spesso di puro buon senso.
L'importante è che le misure di garanzia dei diritti e di protezione siano attivate nei tempi stabiliti. L'esperienza di Impronta Digitale sui grandi Clienti e sistemi complessi, rende semplice e sicuro l'approccio alle esigenze del Cliente PMI o IT Manager indipendente che opera in ambito PMI.

Il mancato adeguamento al Codice Privacy può comportare…

• Art. 15 TUP (Danni cagionati per effetto del trattamento): “Chiunque cagiona danno ad altri per effetto del trattamento dei dati personali è tenuto al risarcimento ai sensi dell'Art. 2050 del codice civile”.

• Art.2050 Codice civile (Responsabilità per l'esercizio di attività pericolose): “Chiunque cagiona danno ad altri nello svolgimento di un'attività pericolosa, per sua natura o per la natura dei mezzi adoperati, è tenuto al risarcimento se non prova di avere adottato tutte le misure idonee a evitare il danno”.

• Art. 167 TUP (Trattamento illecito di dati): “1.(…) chiunque, al fine di trarne per sè o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli articoli (…) è punito, se dal fatto deriva nocumento, con la reclusione da 6 a 18 mesi o, se il fatto consiste nella comunicazione o diffusione, con la reclusione da 6 a 24 mesi. …) 2. (…) chiunque, al fine di trarne per sè o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli articoli (…) è punito, se dal fatto deriva nocumento, con la reclusione da uno a tre anni”.

• Art. 16 TUP (Cessazione del trattamento): “In caso di cessazione del trattamento per qualsiasi causa i dati sono: a) distrutti; b) ceduti ad altro titolare, purchè destinati a un trattamento in termini compatibili agli scopi per i quali i dati sono raccolti (…) La cessione dei dati in violazione di quanto previsto al comma 1 lett. b), o di altre disposizioni rilevanti in materia di trattamento dei dati personali è priva di effetti”.

• Art. 162 TUP (Altre fattispecie): “La cessione dei dati in violazione di quanto previsto dall'art. 16 c.1 lett. b) (…) è punita con la sanzione amministrativa del pagamento di una somma da cinque mila euro a trentamila euro (…)”.

• Art. 31 TUP (Obblighi di sicurezza): “I dati personali oggetto di trattamento sono custoditi e controllati (…) in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta”.

• Art. 33 TUP (Misure minime): “Nel quadro dei più generali obblighi di sicurezza di cui all'art. 31, o previsti da speciali disposizioni, i titolari del trattamento sono comunque tenuti ad adottare le misure minime di sicurezza di cui al presente capo (…) volte ad assicurare un livello minimo di protezione dei dati personali”.

• Art. 169 TUP (Misure di sicurezza): “Chiunque, essendovi tenuto, omette di adottare le misure minime previste dall'art. 33 è punito con l'arresto fino a due anni o con l'ammenda da diecimila a cinquantamila euro (…)”.

Che fare ?
• Non sottovalutare o rimandare: all'ultimo minuto si trovano solo... soluzioni dell'ultimo minuto, ai prezzi dell'ultimo minuto.

• Non spaventarsi: generalmente, nel caso di piccole e medie imprese, le misure minime di sicurezza sono più complicate a dirsi che a farsi, e possono aiutare l'azienda a lavorare meglio.

• Contattarci per approfondimenti e per progettare e verificare l'adeguamento.