Operazioni da effettuare
MODALITA'
E FINALITA' DEL CODICE
-
Trattare i dati
personali secondo i principi indicati dalla legge.
-
Controllare la
pertinenza e non eccedenza dei dati trattati rispetto alle finalità
della raccolta (art.11).
-
Controllare
l'esattezza dei dati ed eventualmente, qualora si renda necessario,
provvedere al loro aggiornamento (art.11).
-
Conservare i dati
in una forma che consenta l'identificazione dell'interessato per un
periodo non superiore a quello necessario agli scopi della raccolta
(art.11); superato tale termine, provvedere alla cancellazione del
dato, ovvero alla sua trasformazione in forma anonima.
-
Individuare le
figure attive del trattamento: il Titolare, l'incaricato, il
Responsabile (figura facoltativa), l'amministratore di sistema, il
soggetto preposto alla custodia delle parole-chiave.
Nominare tali soggetti in forma scritta, fornendo le relative
istruzioni.
Solo la figura del Titolare non necessita di alcuna nomina, essendo
egli, per espressa previsione di legge, "la persona fisica, la
persona giuridica, la pubblica amministrazione e qualsiasi altro
ente, associazione od organismo cui competono, anche unitamente ad
altro titolare, le decisioni in ordine alle finalità, alle modalità
del trattamento di dati personali e agli strumenti utilizzati, ivi
compreso il profilo della sicurezza" (art.4 comma 1 lett.f).
-
Rendere ai
soggetti interessati l'informativa di cui all'articolo 13, anche in
forma orale.
-
Per i soggetti
privati e gli enti pubblici economici, acquisire il consenso per il
trattamento dei dati comuni dell'interessato, ove richiesto (artt.
23 e 24).
-
Per i soggetti
privati e gli enti pubblici economici, acquisire il consenso scritto
per il trattamento dei dati sensibili dell'interessato (art. 26).
-
Sicurezza dei
dati:
Già dal 29/03/2000 (31/12/2000, per quanti hanno usufruito della
proroga ex art.1 L.325/2000), devono essere state adottate le misure
a suo tempo previste dal D.P.R. 318/1999 (Regolamento recante norme
per l'individuazione delle misure minime di sicurezza per il
trattamento dei dati personali, a norma dell'art. 15, c. 2, Legge
675/1996).
Con l’entrata in vigore del Codice in materia di protezione dei dati
personali, le misure minime di sicurezza sono, almeno in parte,
cambiate. Le misure minime sono descritte nell’Allegato B del D.lgs.196/2003
"Disciplinare tecnico in
materia di misure minime di sicurezza"; la loro mancata
adozione implica un illecito penale e comporta le sanzioni di cui
all’art. 169 del Codice stesso.
Tuttavia, ai sensi dell’art. 180, le nuove misure minime di
sicurezza, non previste dall'abrogato d.P.R. 318/1999, dovranno
essere adottate entro il 31 dicembre 2004.
PRINCIPALI
SCADENZE IN MATERIA DI MISURE MINIME DI SICUREZZA
-
Annualmente,
aggiornare l’individuazione dell’ambito di trattamento consentito ai
singoli incaricati, ove variato, anche parzialmente.
-
Annualmente, e
precisamente entro il 31 marzo di ogni anno, redigere il Documento
programmatico sulla sicurezza di cui all’art.19, Allegato B (in caso
di trattamento di dati sensibili con strumenti elettronici).
-
Aggiornare con
cadenza almeno semestrale gli strumenti elettronici utilizzati al
fine di proteggere i dati dal rischio di intrusione e dal rischio
derivante da virus informatici (art. 16, Allegato B).
-
Aggiornare con
cadenza almeno annuale (semestrale per il trattamento di dati
sensibili) i programmi per computer volti a prevenire la
vulnerabilità di strumenti elettronici ed a prevenirne i difetti
(art. 17, Allegato B).
-
Fornire istruzioni
organizzative e tecniche affinché il salvataggio dei dati sia
effettuato settimanalmente.
-
Annualmente,
programmare interventi di formazione per gli incaricati del
trattamento.
PER I SOGGETTI PUBBLICI:
16.1.Emanazione del Regolamento per il trattamento dei dati sensibili.
16.2.Dare comunicazione al Garante circa la necessità di diffondere dati
personali o comunicarli ad altri soggetti pubblici, quando ciò non sia
previsto dalla legge o da un regolamento, qualora ciò risulti comunque
necessario per lo svolgimento delle funzioni istituzionali (Art. 19,
D.Lgs. 196/2003); nei casi previsti dall'art. 39, effettuare le
comunicazioni al Garante entro il 30 giugno 2004.
16.3 Controllare l'esistenza di norme di legge o di regolamento prima di
effettuare comunicazione o diffusione di dati a soggetti privati o ad
enti pubblici economici;
16.4 Identificare e rendere pubblici i tipi di dati e le operazioni
effettuabili sui dati sensibili, nel caso in cui una norma di legge
specifichi solo le rilevanti finalità di interesse pubblico da seguire
(art.20);
16.5 Per i Ministeri e la Presidenza del Consiglio: consultare il
Garante per la protezione dei dati personali all'atto della
predisposizione delle norme regolamentari e degli atti amministrativi
suscettibili di incidere nelle materie disciplinate dal Codice.
Notificazione (art.37):
17.1.Le notificazioni devono essere effettuate prima dell'inizio del
trattamento (qualunque esso sia, manuale o automatizzato), se si rientra
in una delle ipotesi previste dall’art. 37 del Codice.
17.2.Per i trattamenti iniziati prima dell’1 gennaio 2004, le
notificazioni devono essere effettuate, in sede di prima applicazione
del Codice, entro il 30 aprile 2004.
Rispettare le autorizzazioni emanate dal Garante per il trattamento dei
dati sensibili; esse vengono rinnovate annualmente. Per trattare
lecitamente i dati sensibili, infatti, non è sufficiente ottenere il
consenso dell’interessato, ma occorre verificare che il trattamento dei
dati sia conforme a quanto indicato dal Garante nelle autorizzazioni,
speciali o generali che siano.
RICHIESTE DELL’INTERESSATO ex
art.7:
In caso di richiesta da parte dell’interessato, il Titolare deve
adoperarsi per rispondere tempestivamente alle richieste dello stesso.
In caso di mancata risposta entro quindici giorni dal ricevimento della
sua richiesta, l’interessato potrà rivolgersi al Garante per ottenere
soddisfazione dei propri diritti (artt.145 segg. del Codice).
PRINCIPALI ADEMPIMENTI
PERIODICI
Oltre ai principi generali appena enunciati, il D.Lgs. 196/2003
impone una serie di verifiche e controlli da effettuare con cadenza
periodica, o per espressa previsione normativa, o perché necessario
procedere ad alcune modifiche ogniqualvolta muti uno degli elementi
essenziali dell’organizzazione aziendale.
1° gennaio di ogni anno (si
tratta degli adempimenti per i quali il Codice prevede una cadenza
almeno annuale):
-
Aggiornare
l’individuazione dell’ambito di trattamento consentito ai singoli
incaricati, ove variato, anche parzialmente.
-
Verificare la
sussistenza delle condizioni per la conservazione delle
autorizzazioni per l’accesso ai dati particolari per gli incaricati.
-
Fornire istruzioni
organizzative e tecniche affinché il salvataggio dei dati sia
effettuato settimanalmente.
-
Programmare
interventi di formazione per gli incaricati del trattamento.
-
Provvedere
all’aggiornamento delle "patch" dei programmi per computer, nel caso
di trattamento di dati comuni (art. 17, Allegato B).
1°gennaio-1°luglio di ogni anno (adempimenti a cadenza semestrale):
-
Aggiornare i
software antivirus, per tutti i tipi di dati (art. 16, Allegato B).
-
Provvedere
all’aggiornamento delle "patch" dei programmi per computer, nel caso
di trattamento di dati sensibili (art. 17, Allegato B).
31 marzo
di ogni anno:
Aggiornare il Documento programmatico sulla sicurezza.
All’interno del documento programmatico per la sicurezza, deve essere
previsto un PIANO DI FORMAZIONE per gli incaricati, che dovrà pertanto
essere rivisto annualmente. Il piano impone che siano fatte previsioni
effettive sui tempi di formazione e sulle strutture che gestiranno tali
attività, nell’arco dell’anno. La formazione è programmata al momento
dell’ingresso in servizio, nonché in occasione di cambiamenti di
mansioni, o introduzione di nuovi significativi strumenti, rilevanti per
il trattamento dei dati personali.
Quanto ai Responsabili, questi devono essere scelti tra persone dotate
della necessaria esperienza, capacità, affidabilità: è, quindi,
opportuno che la loro formazione sia più specifica rispetto a quella
data agli incaricati, onde evitare il rischio di nomine invalide (culpa
in eligendo).
Gestione
del Transitorio
Allo stato attuale delle cose
tutti i soggetti che trattano dati sensibili o giudiziari con strumenti
elettronici devono approntare il DPSS entro il 30
giugno ’05 e al contempo adeguarsi alle misure minime di
sicurezza.
Tale scadenza va riferita alle aziende che non avevano dovuto fare il
DPSS secondo il vecchio DPR 318/99, le aziende che invece avevano già
redatto il documento devono aggiornarlo annualmente entro il 31 marzo di
ogni anno.
Viene, poi, chiarita l’interpretazione del comma 2, art. 180 secondo la
quale per usufruire di 3 mesi in più rispetto al 30 giugno, per
l’adeguamento alle misure minime, il documento in data certa contenente
le ragioni per tale proroga, deve essere prodotto entro il 30
giugno stesso.
Il
Garante, poi, viene in aiuto mettendo a disposizione un DPSS
semplificato in forma di fac-simile che potrà essere usato da tutti
nella fase di transitorio.
Appare evidente che, nella nuova situazione chiarita dal Garante,
assolvere agli obblighi di cui al punto 26 dell’allegato B
(dichiarazione dell’avvenuta redazione o revisione del DPSS in relazione
accompagnatoria di bilancio), significa farlo già dal bilancio 2003 se
si è fatto il DPSS secondo la previgente normativa, e dal bilancio
2005, nel caso in cui sia la prima volta.
Verifiche da attuare
Inoltre, in tutti i casi che seguono è necessario procedere a verifiche
costanti (il legislatore non indica un periodo minimo di revisione, ma
punisce dichiarazioni eventualmente difformi dalla realtà).
NOTIFICAZIONE:
Sarà necessario provvedere alla modifica della notificazione effettuata
al Garante tutte le volte in cui cambi uno degli elementi in essa
contenuti, sempre nel caso in cui si rientri nei trattamenti contemplati
dall'art.37 del Codice.
INFORMATIVA:
E’ necessario distribuire nuove informative, o comunicare i mutamenti
intervenuti, tutte le volte in cui cambi uno degli elementi descritti
dall’art. 13 del Codice:
a. le finalità e le modalità del trattamento cui sono destinati i dati;
b. la natura obbligatoria o facoltativa del conferimento dei dati;
c. le conseguenze di un eventuale rifiuto di rispondere;
d. i soggetti o le categorie di soggetti ai quali i dati possono essere
comunicati e l'ambito di diffusione dei dati medesimi;
e. il nome, la denominazione o la ragione sociale e il domicilio, la
residenza o la sede del Titolare.
Non c’è obbligo di modificare l’informativa qualora cambino i
Responsabili, che siano stati indicati nell’informativa solo in base
alla qualifica rivestita; può anche essere indicato solo il luogo dove è
conservato l’elenco completo dei Responsabili del trattamento, ovvero il
modo per accedervi. E’ comunque necessario indicare nome e dati di
almeno un Responsabile, se nominato.
QUALITA’ DEI DATI
ex art. 11:
Il Titolare deve curare che il trattamento dei dati avvenga sempre nel
rispetto dei principi dettati dall’art.11 del Codice; dunque, occorre
verificare costantemente:
a. che i dati siano trattati in modo lecito e secondo correttezza;
b. che siano raccolti e registrati per scopi determinati, espliciti e
legittimi, ed utilizzati in altre operazioni del trattamento in termini
non incompatibili con tali scopi;
c. che
siano esatti e, se necessario, aggiornati;
d. pertinenti, completi e non eccedenti rispetto alle finalità per le
quali sono raccolti o successivamente trattati;
e. conservati
in una forma che consenta l'identificazione dell'interessato per un
periodo di tempo non superiore a quello necessario agli scopi per i
quali essi sono stati raccolti o successivamente trattati.
CONSENSO:
E’ necessario, in generale, procedere alla verifica dell’esistenza del
consenso ogniqualvolta il trattamento sia effettuato per scopi diversi
da quelli per cui il consenso era stato inizialmente prestato, nonché
tutte le volte in cui i dati debbano essere comunicati a soggetti terzi,
o diffusi ad un numero di persone indeterminato.
COMUNICAZIONI ALL’INTERESSATO
RELATIVE ALLO STATO DI SALUTE:
Le comunicazioni all’interessato riguardanti lo stato di salute devono
essere effettuate tramite il medico di medicina generale designato
dall’interessato o dal Titolare; verificare dunque che tale regola sia
sempre rispettata.
|