PRINCIPI PER IL TRATTAMENTO DEI DATI
GLI ADEMPIMENTI DA PARTE DEI CONFIDI
Il nuovo codice riorganizza e modifica la
normativa sulla Privacy
Michele
Izzo
Segretario Confidi Caserta
mizzo@unioneindustriali.caserta.it
Il codice in materia di protezione di dati personali, adottato con D.Lgs. n.196/2003 (in vigore dal 1° gennaio 2004), ha riordinato le disposizioni in materia di protezione dei dati personali, fissando una serie di principi di natura generale validi per il trattamento dei dati in tutti i settori, razionalizzando le norme esistenti e apportando modifiche sostanziali alla disciplina previgente (L. 675/96) che il nuovo codice ha espressamente abrogato. Queste riguardano, in particolare, le regole in materia di notifica dei trattamenti al Garante e le misure di sicurezza. Di seguito si descrivono i principali contenuti del nuovo codice, prendendo in considerazione le novità della riorganizzazione normativa e individuando i principali adempimenti da parte dei confidi in quanto soggetti titolari del trattamento di dati. Il nuovo codice stabilisce che «chiunque ha diritto alla protezione dei dati personali che lo riguardano» e che oggetto di tale diritto sono le informazioni relative ad ogni persona, fisica o giuridica, a prescindere dalla circostanza che queste riguardino o meno la sfera privata dell'interessato. In applicazione del nuovo codice sulla Privacy i confidi, così come le imprese, sono tenuti ad eseguire determinati adempimenti nei confronti dell'interessato, del Garante e ad adottare delle misure interne di sicurezza.
Adempimenti nei confronti degli interessati
I confidi sono tenuti a:
- rispettare i diritti dell'interessato previsti dall'art. 7 del codice e dare riscontro alle richieste di informazioni provenienti dall'interessato;
- rispettare gli obblighi di informativa previsti dall'art.13 del codice relativi alle caratteristiche del trattamento (finalità e modalità, ambito di diffusione dei dati, diritti dell'interessato e altre);
- richiedere il consenso espresso dell'interessato (art. 23 e ss. del codice), da manifestarsi con modalità differenti a seconda delle tipologie di dati personali trattati (sensibili o meno). L'art. 24 elenca i casi in cui il trattamento può essere effettuato senza consenso.
Adempimenti nei confronti del Garante
Essi si sostanziano in:
- obbligo di notificazione riferito esclusivamente ai trattamenti dei dati personali elencati all'art. 37 del codice. La cessazione del trattamento o il mutamento di elementi da indicare nella notificazione ne comportano una nuova;
- richiesta di previa autorizzazione per il trattamento dei dati sensibili. Sulla richiesta di autorizzazione il Garante si pronuncia entro 45 giorni dalla richiesta stessa e può rilasciare autorizzazioni di natura generale. Le autorizzazioni generali attualmente in vigore scadranno la fine di giugno;
In merito all'applicazione dell'obbligo di notificazione ai confidi si sottolinea che il Garante, con suo provvedimento del 31 marzo 2004 (pubblicato sulla G.U. n. 81 del 6 aprile 2004) ha espressamente escluso dall'obbligo di notificazione i dati trattati dai confidi all'esclusivo fine di prestare l'attività di garanzia collettiva dei fidi e i servizi a essa connessi o strumentali. Qualora i confidi effettuino trattamenti diversi da quelli necessari per lo svolgimento dell'attività sopra indicata si rinvia agli artt. 37, 38 e 39 del codice e ai provvedimenti del Garante del 31 marzo (esclusioni) e del 23 aprile (chiarimento) relativi ai criteri e alle modalità di notificazione.
Con riferimento invece all'autorizzazione al trattamento dei dati sensibili si precisa che i confidi che trattino il dato sensibile relativo all'appartenenza delle imprese consorziate o socie ad una associazione sindacale rientrano nell'autorizzazione generale n. 3 concessa dal Garante che scadrà il prossimo 30 giugno.
Misure di sicurezza
Il nuovo codice contiene poi alcune innovazioni relative alle misure interne di sicurezza che i soggetti tenuti ad applicare il codice devono adottare per garantire che siano ridotti al minimo i rischi di distruzione o perdita dei dati trattati: in particolare oltre al documento programmatico di sicurezza, già previsto dalla normativa previgente, il nuovo codice introduce ulteriori misure minime di sicurezza. In base al nuovo codice il DPS è misura minima di sicurezza (da adottare ovvero aggiornare entro il 31 marzo di ogni anno) per il trattamento di dati sensibili o giudiziari effettuato con strumenti elettronici.
Il DPS deve contenere "idonee informazioni" riguardo le modalità concrete di attuazione delle misure di sicurezza. Il titolare riferisce nella relazione accompagnatoria del bilancio di esercizio, quando questa è dovuta, dell'avvenuta redazione o aggiornamento del DPS. Diversamente da quanto avveniva in passato, il DPS deve essere adottato anche da parte di quei soggetti che trattino dati sensibili o giudiziari attraverso strumenti elettronici non collegati in rete. Il Garante ha chiarito che per il primo anno di applicazione del nuovo codice il DPS deve essere redatto o aggiornato entro il 30 giugno: ciò significa che sia i soggetti tenuti a redigere per la prima volta il DPS, sia quelli che già lo avevano redatto in passato e che sono tenuti ad aggiornarlo, hanno tempo sino a fine mese per adempiere a tale obbligo di legge. Il DPS deve contenere idonee informazioni circa:
- l'elenco dei trattamenti di dati personali;
- la distribuzione di compiti e responsabilità nelle strutture preposte al trattamento;
- l'analisi dei rischi incombenti sui dati;
- le misure da adottare a garanzia dell'integrità e della disponibilità dei dati e la protezione delle aree e dei locali ai fini di custodia e accessibilità;
- i criteri e modalità per il ripristino dati in caso di loro distruzione o danneggiamento;
- la previsione di interventi formativi per gli incaricati del trattamento;
- i criteri da adottare per garantire l'adozione delle misure minime di sicurezza in caso di trattamenti di dati affidati all'esterno della struttura del titolare;
- in caso di dati idonei a rivelare lo stato di salute e la vita sessuale, l'individuazione di criteri da adottare per la cifratura o per la separazione dagli altri dati dell'interessato.
Nell'eventualità in cui si decida di avvalersi di soggetti esterni per l'adozione di misure minime di sicurezza, il titolare deve richiedere all'installatore una dichiarazione di conformità delle misure alle disposizioni contenute nel disciplinare tecnico. L'omessa adozione delle misure minime è punita con l'arresto fino a due anni o con l'ammenda fino a cinquantamila euro. Si ricorda, tuttavia, che il titolare può dimostrare il suo "ravvedimento operoso" ed estinguere il reato regolarizzando le misure di sicurezza adottate e pagando una somma pari ad un quarto del massimo dell'ammenda.
Le misure minime di sicurezza prescritte dal codice dovranno essere adottate entro il 30 giugno 2004; tuttavia, qualora il titolare, alla data di entrata in vigore del codice, non disponga di strumenti elettronici che, per obiettive ragioni tecniche, consentano in tutto o in parte l'immediata applicazione delle misure minime di cui all'art.34 e delle corrispondenti modalità tecniche di cui all'allegato B), deve descrivere le medesime ragioni in un documento a data certa da conservare presso la propria struttura. In questo caso il titolare adotta ogni possibile misura di sicurezza (determinata in relazione agli strumenti elettronici detenuti) tale da evitare, anche sulla base di idonee misure organizzative, logistiche o procedurali, un incremento dei rischi di cui all'art. 31. Resta, comunque, l'obbligo di adeguare gli strumenti elettronici al più tardi entro un anno dall'entrata in vigore del codice. |