Servizi - Privacy PDF Stampa E-mail
PRIVACY

Abrogazione del DPS immediatamente operativa

Novità sulla privacy più in linea con le norme comunitarie

Con una circolare, l’ABI riepiloga le modifiche in materia, dall’abrogazione del DPS alle limitazioni applicative del Codice

L’ABI, con la circolare serie Legale n. 4 (serie Lavoro n. 17) del 24 febbraio 2012, ha fornito un quadro di sintesi sulle modifiche al Codice della privacy (DLgs. 30 giugno 2003 n. 196).

Come già rilevato in un precedente intervento , il DL 5/2012 (cosiddetto “Decreto semplificazioni”) ha abrogato l’obbligo di redazione o aggiornamento del Documento Programmatico sulla Sicurezza (DPS) prescritto dal Codice della privacy, quale misura minima di sicurezza prevista in relazione all’obbligo generale di protezione dei dati personali. Fra i destinatari di questa norma vi sono anche le banche.

Correlativamente, sono venuti meno anche l’autocertificazione sostitutiva del DPS laddove consentita e l’obbligo di riferire nella relazione accompagnatoria del bilancio di esercizio, se dovuta, dell’avvenuta redazione o aggiornamento del DPS (art. 45, comma 1, lett. c) e d) del DL 5/2012, che ha abrogato l’art. 34, comma 1, lett. g) e comma 1-bis del Codice e i paragrafi 19-19.8 e 26 dell’allegato B del decreto – Disciplinare tecnico in materia di misure minime di sicurezza).
A tal proposito, si ricorda che il DL 5/2012, entrato in vigore il 10 febbraio 2012, è ancora all’esame del Parlamento per la conversione in legge.

L’abrogazione del DPS, però, non è la sola modifica al Codice della privacy. Negli ultimi mesi, infatti, sono state apportate una serie di ulteriori modifiche al Codice per allineare la normativa nazionale a quella comunitaria.
Fra le altre misure adottate dal legislatore, al fine di cercare di diminuire gli oneri in materia di privacy soprattutto per le imprese, vi è quella di limitare l’ambito di applicazione del Codice ad opera dell’art. 40, comma 2, lett. a) e b) del DL 6 dicembre 2011 n. 201 (conv. L. 214/2011).

Con il decreto da ultimo richiamato è stato soppresso il riferimento alle persone giuridiche, enti e associazioni da alcuni articoli del Codice della privacy. In particolare, è stata modificata la definizione di dato personale e di interessato (lett. b) e i) dell’art. 4, comma 1, del Codice della privacy). Ove “dato personale” è qualunque informazione relativa a persona fisica, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale, mentre “interessato” è la persona fisica cui si riferiscono i dati personali.

Soppresso il riferimento alle persone giuridiche

L’art. 40, comma 2, lett. c) del DL 201/2011 ha, poi, abrogato il comma 3-bis dell’art. 5 del Codice della privacy (introdotto dal DL 70/2011, conv. L. 106/2011), che escludeva l’applicazione del Codice della privacy alle persone giuridiche, imprese, enti o associazioni quando il trattamento dei dati personali avveniva tra i medesimi soggetti e per finalità amministrativo-contabili.
Ai sensi dell’art. 34, comma 1-ter del Codice, i trattamenti effettuati per finalità amministrativo-contabili sono quelli connessi allo svolgimento delle attività di natura organizzativa, amministrativa, finanziaria e contabile, a prescindere dalla natura dei dati trattati. In particolare, perseguono tali finalità le attività organizzative interne, quelle funzionali all’adempimento di obblighi contrattuali e precontrattuali, alla gestione del rapporto di lavoro in tutte le sue fasi, alla tenuta della contabilità e all’applicazione delle norme in materia fiscale, sindacale, previdenziale-assistenziale, di salute, igiene e sicurezza sul lavoro.

Pertanto, alla luce di tale modifiche – ha precisato l’ABI nella circolare in commento –, il Codice della privacy trova applicazione in primo luogo nei casi in cui la persona giuridica, l’ente o l’associazione siano “titolari” o “responsabili” del trattamento dei dati (relativi alle persone fisiche). Permangono, inoltre, in capo agli stessi gli adempimenti previsti dal Codice della privacy.
In secondo luogo, il Codice si applica in tutte le ipotesi in cui la persona giuridica, l’ente o l’associazione rivestano la qualifica di “abbonati”, con riferimento alla disciplina di cui agli artt. 122 ss., tra cui quella sul registro delle opposizioni.

 


 

Via Thomas Edison n. 29- 87041 Acri (CS)
Tel: 0984/941873 - 0984/941874 -  Fax: 0984/942380

 

 

privacy

 

freccia Altri sei mesi per la redazione del DPS


Normativa in materia di trattamento di dati personali


Principi generali


Le tipologie di dati



L'informativa


La privacy nei contratti


DPS - Documento Programmatico sulla Sicurezza


Il consenso


Le tipologie di trattamento


Titolare, responsabili ed incaricati


Misure minime di sicurezza


Cessazione del trattamento e sanzioni

Altri sei mesi per la redazione del DPS

Con la conversione in legge da parte del Senato del decreto 314/2004, i termini per la redazione del Documento Programmatico sulla Sicurezza, slittano di altri sei mesi.

Il nuovo termine è stato fissato per il 31 dicembre 2005 e per il 31 marzo 2006, precedentemente al 30 settembre 2005, da parte dei titolari del trattamento che dispongano di strumenti elettronici che "per obiettive ragioni tecniche, non consentono in tutto o in parte l'applicazione delle misure minime". Per questi ultimi rimane fermo l'obbligo di descrivere le ragioni tecniche che giustificano il rinvio "in un documento recante data certa da conservare presso la propria struttura".

Resta comunque in vigore il testo della legge, che ha sostituito la L. 675/96 e i decreti successivi.
In particolare il DpR 318/1999 aveva già introdotto diversi obblighi per numerose imprese.

Riassumiamo in breve i principali obblighi per tutte le imprese:

  • Protezioni degli archivi informatici

  • Protezione degli archivi informatici
    (utente - password - antivirus - firewall- patch- backup)

  • Nomina del titolare, del responsabile (facoltativo) e degli incaricati

  • Informativa all'interessato

  • Consenso dell'interessato
    (obbligatoriamente scritto per il trattamento di dati sensibili e/o giudiziari)

  • Adozione delle misure minime di sicurezza

  • Redazione del DPS per il trattamento di dati sensibili e/o giudiziari



  • Per altre informazioni rinviamo alla sezione Leggi e Normative.

    Per la compilazione del DPS, inoltre, il Consorzio CESAPI arl ha messo a disposizione il servizio.

    torna su

    Normativa in materia di trattamento di dati personali

    Il 1° gennaio 2004 è entrato in vigore il D.Lgs. n. 196/2003, cd. “CODICE DELLA PRIVACY”.

    Il decreto sostituisce la Legge n. 675/1996 e il successivo D.p.R. n. 318/1999.

    Il d.l. n.266 del 9/11/2004 ha stabilito il differimento della data per la redazione del c.d. Documento Programmatico sulla Sicurezza e l’adozione delle misure minime di sicurezza, non previste dal D.p.R. 318 – 99.

     

    Il Garante della Privacy

    torna su

    Principi Generali

    • Chiunque tratti dati deve essere trasparente con gli interessati.
    • Chiunque tratti dati deve adeguare i propri comportamenti al principio di correttezza.
    • Chiunque tratti dati lo deve fare in maniera sicura.
    • Informativa all’interessato.Trattamenti e raccolta dei dati coerenti.
    • Adeguamento archivi cartacei ed elaboratori con misure idonee a non disperdere il dato e ad impedire accessi abusivi.


    Chi è obbligato a mettersi in regola?

    Sono obbligati ad adeguarsi tutti i soggetti che a vario titolo trattano dati personali.

    Cosa è necessario fare?
    • Coloro che trattano dati personali comuni, sensibili, giudiziari sono obbligati ad applicare le misure minime previste dalla legge.

    • Devono essere garantite le misure minime di sicurezza sia all’interno dell’azienda, sia da tutti gli ulteriori soggetti a cui vengono ceduti o passati i dati.

    • Tutti i dati personali oggetto di un trattamento devono essere controllati e custoditi tenendo conto anche delle innovazioni tecnologiche e del miglioramento delle conoscenze generate dal progresso tecnico.

    torna su

    Le diverse tipologie di dati

    Dati personali: “[..] qualsiasi informazione relativa a persona fisica e giuridica, ente o associazione, identificati o identificabili, anche indirettamente, con riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione”.

    Dati identificativi: i dati personali che permettono l’identificazione diretta dell’interessato.

    Dati sensibili: “[...] I dati personali idonei a rilevare:

    • L’origine razziale ed etnica.
    • Le convinzioni religiose filosofiche o di altro genere.
    • Le opinioni politiche.
    • L’adesione a partiti, sindacati, associazioni, od organizzazioni a carattere religioso, filosofico, politico o sindacale.
    • Nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale[...]


    Dati giudiziari: “[..] I dati personali idonei a rivelare provvedimenti di cui all’art.3 del D.P.R. 313/2002 in materia di casellario giudiziario, anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, la qualità di imputato o indagato ai sensi degli articoli 60 e 61 del codice di procedura penale [..]”.

    torna su

    L'informativa

    Ogni qualvolta si richiede QUALSIASI DATO RELATIVO A PERSONA FISICA O PERSONA GIURIDICA è necessario chiedere l’autorizzazione al trattamento dei dati all’interessato attraverso un apposita INFORMATIVA e CONSEGUENTE RICHIESTA DEL CONSENSO, scritto per il trattamento di dati sensibili e orale per il trattamento di dati personali.

    L’informativa (Art.13)

    L’informativa è un atto con cui chi tratta i dati altrui, si identifica; inoltre rende noto agli interessati il trattamento e illustra i diritti riconosciuti dalla legge.

    L’informativa deve essere data al momento della registrazione dei dati.

    L’omissione dell’informativa comporta l’invalidità del successivo consenso e quindi l’illegittimità del trattamento.

    L’interessato deve essere preventivamente informato, oralmente o per iscritto, di una serie di elementi:

    • Le finalità e le modalità del trattamento.
    • la natura obbligatoria o facoltativa del conferimento dei dati.
    • Le conseguenze di un eventuale rifiuto di rispondere.
    • I soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati.
    • I diritti di accesso ai dati detenuti dal titolare di cui all’art.7.Gli estremi identificativi del titolare (ed eventualmente del responsabile se nominato)

    torna su

    La privacy nei contratti

    Due ipotesi di esonero

    • L’attività contrattuale dopo la stipulazione del contratto
    • Fase pre-contrattuale (trattative)


    Esonero dal consenso (Art.24):

    Il consenso non è richiesto quando il trattamento è necessario per eseguire obblighi derivanti da un contratto dal quale è parte l’interessato o per adempiere, prima della conclusione del contratto, a specifiche richieste dell’interessato.
    • Il contratto ha valore di legge tra le parti e pertanto gli obblighi nascenti dallo stesso non possono essere inosservati.
    • In pratica attraverso l’adesione (/firma) al contratto l’interessato fornisce il consenso al trattamento dei dati.
    • In un certo senso quindi la firma al contratto è anche la firma di adesione al trattamento dei dati sotteso agli obblighi contrattuali; non è quindi un’esclusione al consenso ma il fatto che sussista già un obbligo contrattuale.
    • N.B.: nel caso in cui vengano però trattati dati di terzi soggetti che non sono “parte” del contratto, è necessario chiedere il consenso al trattamento di tali dati terzi.

    Per ciò che riguarda la fase pre – contrattuale è comunque opportuno rispettare gli obblighi giuridici tra le parti:
    • Obbligo di buona fede e correttezza
    • Obbligo di informativa sugli elementi essenziali del contratto

    Ovviamente ci deve essere la richiesta dell’interessato e non deve essere un atto di volontà unilaterale.

    torna su

    DPS - Documento Programmatico sulla Sicurezza

    La redazione del DPS è obbligatoria per tutti coloro che trattano dati sensibili in formato elettronico.

    Il d.l. 266/2004 ha prorogato al 30 giugno 2005 scadenza per la redazione del Documento.

    Il Documento andrà predisposto annualmente e deve contenere (punto 19 dell’allegato B):
    • L’elenco dei trattamenti di dati personali effettuati dal titolare.
    • La distribuzione dei compiti e delle responsabilità nell’ambito delle strutture preposte al trattamento dei dati.
    • L’analisi dei rischi che incombono sui dati.
    • Le misure da adottare per garantire l’integrità e la disponibilità dei dati.
    • La descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento.
    • La previsione di interventi formativi degli incaricati del trattamento
    • La descrizione dei criteri da adottare per garantire l’adozione delle misure minime di sicurezza.
    • Per i dati inerenti a rivelare lo stato di salute sessuale dell’interessato, l’individuazione di criteri per al cifratura.


    Il documento deve avere data certa, ma non deve essere trasmesso e/o comunicato al Garante.

    Il Garante ha anche stabilito che le imprese dovranno dare conto nella relazione accompagnatoria al bilancio di esercizio dell’adozione o aggiornamento del Documento Programmatico sulla Sicurezza.

    Tale misura ha l’ulteriore scopo di obbligare le società a rispettare la normativa in materia di sicurezza dei dati e per individuare con più facilità i soggetti inadempienti.

    torna su

    Il Consenso

    E’ l’elemento fondamentale per poter procedere legittimamente al trattamento dei dati personali.

    • Deve essere libero, specifico, e prestato per iscritto, dopo aver fornito apposita informativa agli interessati.
    • Il consenso al trattamento dei dati personali è ammesso con senso espresso dell’interessato
    • Il consenso per il trattamento dei dati sensibili deve essere obbligatoriamente scritto
    • Il consenso per il trattamento dei dati sensibili deve essere sempre fornito, mentre per il trattamento dei dati personali ci sono dei casi in cui non è necessario.

    Il consenso non è necessario quando:
    • È necessario per adempiere a un obbligo previsto dalla legge, da un regolamento o dalla normativa comunitaria.
    • È necessario per eseguire obblighi derivanti da un contratto del quale è parte l’interessato, o per adempiere, prima della conclusione del contratto, a specifiche richieste dell’interessato stesso.
    • Riguarda dati provenienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque.
    • Riguarda dati relativi allo svolgimento delle attività economiche, trattati nel rispetto della vigente normativa in materia di segreto aziendale.
    • È necessario per la salvaguardia della vita e dell’incolumità di un terzo.
    • Se è necessario ai fini dello svolgimento delle investigazioni difensive o comunque per far valere un diritto in sede giudiziaria.
    • Per perseguire un legittimo interesse del titolare o di un terzo destinatario di dati.
    • Con esclusione della comunicazione all’esterno e della diffusione, è effettuato da associazioni, organismi senza scopo di lucro, anche non riconosciuti, in riferimento a soggetti che hanno con essi contratti regolari.
    • È necessario, in conformità ai cd. codici deontologici, per esclusivi scopi scientifici o statistici.

    torna su

    Le Tipologie di trattamento

    Le Tipologie di trattamento:
    1. Con l’ausilio di strumenti elettronici
    2. Senza l’ausilio di strumenti elettronici (cartacei)


    Trattamenti con strumenti elettronici
    Il trattamento dei dati personali con strumenti elettronici è consentito solo se vengono adottate le seguenti misure minime:

    • Autenticazione informatica. ( es.: nome utente e password)
    • Le parole chiave devono essere composte da almeno 8 caratteri, nel caso in cui lo strumento elettronico non lo permetta, dal max di caratteri consentiti.
    • Non deve contenere riferimenti riconducibili all’incaricato.
    • Deve essere modificata dall’incaricato al primo utilizzo.
    • Deve essere modificata ogni 6 mesi e ogni 3 nel caso di trattamento di dati sensibili.
    • Utilizzazione di un sistema di autorizzazione. (es.: suddivisione gerarchica delle mansioni)
    • Aggiornamento nell’ambito del trattamento consentito degli incaricati e degli addetti alla gestione e alla manutenzione degli strumenti elettronici.
    • Protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti.
    • Adozione di procedure per la custodia di copie di sicurezza e ripristino della disponibilità dei dati e dei sistemi.
    • Tenuta di un aggiornato documento programmatico sulla sicurezza.
    • Adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari. ( solo per chi tratta dati sanitari o sensibili non inerenti ai dipendenti)

     

    Trattamenti senza strumenti elettronici
    Il trattamento dei dati personali senza l’ausilio di strumenti elettronici è consentito solo se vengono adottate le seguenti misure minime:

    • Aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati.
    • Previsione di procedure per un’idonea custodia di atti e documenti affidati agli incaricati per lo svolgimento dei relativi compiti.
    • Previsione di procedure per la conservazione di determinati atti in archivi ad accesso selezionato e disciplina delle modalità di accesso finalizzato all’identificazione degli incaricati.

    torna su

    Titolare, responsabili ed incaricati

    Le 3 figure che trattano i dati:

    TITOLARE

    RESPONSABILE/I

    INCARICATI


    Le lettere di incarico devono essere firmate da tutti i responsabili, nel caso in cui vi sia la volontà di nominarli, e da tutti gli incaricati che si intende autorizzare al trattamento dei dati e devono essere conservate in vista di un controllo.

    Il Titolare

    • E’ la persona fisica o giuridica (preferibilmente giuridica) cui competono le decisioni in ordine alle finalità e alle modalità del trattamento dei dati personali.
    • Il titolare è la persona che decide sulle finalità e sulle modalità del trattamento dei dati, che formula gli atti destinati all’esterno, che individua compiti e responsabilità all’interno dell’azienda.
    • Sul titolare si riversano gli obblighi previsti dal Codice.
    • Il titolare, volendo, può delegare tutti i propri compiti ad un terzo

     

    Il Responsabile (nomina facoltativa)

    • Il titolare può, facoltativamente, nominare uno o più responsabili.
    • Il responsabile può essere anche una persona giuridica e deve essere individuato tra persone esperte ed affidabili all’interno dell’azienda.
    • I compiti del responsabile devono essere specificati e determinati per iscritto.
    • Il Responsabile deve attenersi scrupolosamente a quanto stabilito dal titolare.

     

    Gli incaricati

    • Devono essere nominati dal Responsabile o in assenza dal Titolare.
    • Sono le persone fisiche autorizzate a compiere operazioni di trattamento dei dati.
    • Anche la nomina degli incaricati deve avvenire per iscritto.
    • Gli incaricati possono essere nominati per tipologia di attività. (per es. settore x sono incaricati di…; settore y sono incaricati di….)

    torna su

    Misure minime di sicurezza

    Tutti coloro che esercitano il trattamento di dati personali sono tenuti ad adottare una serie di misure minime di sicurezza, volte ad assicurare un livello minimo di protezione delle informazioni contenute nei propri archivi.

    Le misure di sicurezza devono essere rispettate da tutti senza eccezioni.

     

    I rischi da prevenire

    • Distruzione dei dati personali
    • Perdita dei dati personali
    • Accesso non autorizzato
    • Trattamento non consentito
    • Trattamento non conforme alle finalità della raccolta

    torna su

    Cessazione del trattamento e sanzioni

    In caso di cessazione, per qualsiasi causa , di un trattamento i dati trattati dall’impresa, devono essere distrutti oppure ceduti ad altro titolare qualora sia autorizzato.

    In termini compatibili agli scopi per i quali sono stati raccolti possono essere conservati per scopi esclusivamente personali.

    Le sanzioni
    • L’omessa adozione di misure minime di sicurezza è punita dall’art. 169 del Codice della Privacy con l’arresto fino a 2 anni e con un ammenda da 10 a 50 mila euro.
    • L'omessa o inidonea informativa all’interessato prevede una sanzione amministrativa che va da 3.000 a 18.000 euro.
    • Viene considerato soggetto attivo del reato sia il titolare che il responsabile del trattamento.
    • Il corpo di polizia incaricato ai controlli è la Guardia di Finanza.

    torna su

     

    Consorzio Cesapi Soc. Coop. A.R.L. Sede legale Acri CS Via Thomas Edison n. 29 - Partita Iva e Codice Fiscale e Registro Imprese Cosenza 01909120782 C.C.I.A.A. Cosenza  REA n. 123591