CODICE PRIVACY E NUOVE REGOLE
MAGGIORE PRESIDIO IN AZIENDA
Semplificazione ma anche conferma della tutela dei diritti della persona
Riccardo Imperiali
Titolare Studio Legale Imperiali
infoimperiali@imperiali.com
Dopo un lungo lavoro é giunto al traguardo il Testo Unico in tema di privacy, che ha l'obiettivo di armonizzare la materia e rendere più agevole l'applicazione della disciplina.
Impatto per privati e pubblica amministrazione
Per entrambi i settori l'attuazione della nuova normativa comporta notevoli conseguenze, non solo da un punto di vista strettamente giuridico, ma anche e soprattutto da quello organizzativo e gestionale.
La struttura del codice
Il Codice Privacy, che riprende l'impianto della legge 675/96 e dei decreti che si sono succeduti dalla sua emanazione, è strutturato in tre parti: la generale, che dettaglia le disposizioni che si applicano a tutti coloro che trattano dati, sia nel settore pubblico sia in quello privato; la speciale, che prevede regole specifiche per particolari attività, e la terza parte, che affronta la materia delle tutele amministrative e giurisdizionali, con il consolidamento delle sanzioni amministrative e penali e con le disposizioni concernenti l'Ufficio e i poteri del Garante. Ciascun operatore, quindi, per adeguarsi alle norme in materia di protezione dei dati personali dovrà compiere un doppio riscontro, verificando le incombenze generali desumibili dalla prima parte (informativa, notificazione, consenso, misure di sicurezza, articolazione dei ruoli privacy) e quelle specifiche relative alla propria attività sancite nella seconda (ad esempio, settore sanitario, mondo del lavoro, libero professionista, e altri).
Gli Allegati
Il codice, inoltre, si compone di due allegati. L'allegato A è relativo ai codici di deontologia emanati per taluni settori, come quello relativo al trattamento dei dati personali nell'esercizio dell'attività giornalistica; quello per il trattamento per scopi storici; a fini statistici e di ricerca scientifica effettuati nell'ambito del sistema statistico nazionale. L'allegato B contiene un disciplinare tecnico in materia di misure di sicurezza che conferma e parzialmente innova quanto stabilito nel DPR 318/99.
Gli obblighi per Imprese e Aziende
Per quanto riguarda gli adempimenti formali, il primo in fase di start up di un'azienda è la notificazione al Garante per la protezione dei dati personali, da effettuare, se dovuta, avvalendosi del modello telematico reperibile sul sito www.garanteprivacy.it. Sono molti però i casi di esenzione e, quindi, davvero pochi titolari sono tenuti a questo adempimento. Il nuovo Codice Privacy, infatti, adotta un sistema di notificazione "in negativo", nel senso che tale adempimento deve essere realizzato solo per alcune determinate operazioni di trattamento, espressamente segnalate dalla legge e oggetto di recenti chiarimenti da parte del Garante.
Informativa e consenso
L'impresa o l'azienda, inoltre, dovranno rilasciare, secondo modalità che potranno differenziarsi a seconda della categoria dei soggetti interessati, l'informativa di cui all'articolo 13 del Codice. L'informativa, infatti, è la dichiarazione resa dal Titolare e/o dal Responsabile all'interessato, in forma scritta od orale, con la quale si comunicano le principali caratteristiche relative al trattamento dei dati personali che lo riguardano. In tal modo, l'interessato è messo a conoscenza delle finalità e modalità del trattamento, della natura obbligatoria o facoltativa del conferimento dei dati, delle conseguenze di un eventuale rifiuto di rispondere, degli estremi identificativi del Titolare e, se designato, del Responsabile, dell'esercizio dei suoi diritti. Al riguardo, occorre procedere alla predisposizione di tanti modelli di informativa quanti sono le categorie di soggetti interessati (dipendenti, clienti, fornitori, candidati, e altri). È, inoltre, necessario raccogliere il consenso al trattamento da parte dell'interessato, laddove non sussistano esimenti. Questo deve essere ottenuto prima dell'inizio del trattamento, dopo aver adeguatamente informato l'interessato. Informativa e consenso, quindi, rappresentano due facce di una stessa medaglia.
Articolazione ruoli soggettivi
Per quanto concerne gli adempimenti organizzativi, uno dei principali da effettuare all'interno di un'azienda è quello relativo alla nomina dei Responsabili e degli Incaricati del trattamento. La sua importanza, inoltre, è direttamente proporzionale alla complessità di un'organizzazione aziendale. Tanto più questa è articolata, tanto più diventa necessario distribuire la competenza e la responsabilità su più persone. L'articolazione dei ruoli Data Protection rappresenta, infatti, un vantaggio per l'impresa o l'azienda, in quanto assicura la distribuzione delle responsabilità, anche penali, legate alle operazioni di trattamento e una più corretta osservanza della legge.
Misure di sicurezza
Ulteriore obbligo che incombe su imprese e aziende è quello di predisporre e adottare un adeguato sistema di sicurezza. Il nuovo codice, sul punto, mantiene la distinzione tra misure di sicurezza minime e idonee. Le prime sono intese come il complesso delle misure tecniche, informatiche, organizzative, logistiche e procedurali di sicurezza che configurano il livello minimo di protezione richiesto, in relazione ai rischi di distruzione o perdita, anche accidentale, dei dati, di accesso non autorizzato o di trattamento non consentito e non conforme alle finalità della raccolta. Le seconde sono realizzate tenendo conto delle conoscenze acquisite in base al progresso tecnico, alla natura delle informazioni e alle specifiche caratteristiche del trattamento. In altre parole, l'imprenditore, privato o pubblico che sia, è tenuto a monitorare il progresso tecnologico per fare in modo che la soglia di attenzione rispetto al trattamento dei dati sia sempre adeguata. Una bella sfida, insomma, in termini tanto di costi quanto di cultura aziendale visto che si richiede una progettualità su nuove tematiche, non sempre presente nelle imprese.
Documento Programmatico sulla Sicurezza
I Titolari che effettuano il trattamento di dati sensibili e/o giudiziari, mediante elaboratori elettronici sono, inoltre, tenuti a predisporre il Documento Programmatico sulla Sicurezza, che deve essere adottato entro il 31 marzo di ogni anno. Tale dichiarazione dovrà contenere l'elenco dei trattamenti dei dati personali, la distribuzione di compiti e responsabilità nella struttura, l'analisi dei rischi, le misure da adottare per garantire l'integrità e la disponibilità dei dati, la protezione delle aree e dei locali. Elemento particolarmente importante è la previsione espressa, in tale documento, di interventi formativi a favore degli Incaricati al trattamento, che dovranno essere programmati già al momento dell'entrata in servizio del soggetto e ripetuti in caso di cambio di mansione. Il Legislatore ha attribuito grande valore alla realizzazione di tale documento, prevedendo che della sua adozione, così come del suo aggiornamento, il Titolare debba riferire nella relazione accompagnatoria del bilancio d'esercizio, se dovuta. La realizzazione degli adempimenti, come esaminato, impone a imprese e aziende una riorganizzazione dei loro processi, soprattutto dell'organizzazione aziendale e dei sistemi informativi, in termini di sicurezza nella gestione dei dati.
|