Nuove norme in tema di privacy – dal 1 gennaio è in vigore il nuovo codice
Dal momento della sua entrata in vigore (1 gennaio 2004) è stata definitivamente abrogata la legge 675/96 e molte delle sue successive integrazioni, che fino a questo momento hanno disciplinato il settore della privacy.
Sono state introdotte rilevanti novità sia sotto il profilo degli adempimenti imposti ad aziende e particolari categorie professionali (medici, giornalisti…) che sotto quello dei controlli e dei profili sanzionatori per i trasgressori che venissero denunciati dagli interessati o “scovati” dal Garante.
Per tale motivo è opportuno premunirsi e dotarsi in maniera molto semplice e razionale di tutti quegli accorgimenti che si rendono ormai necessari e non più rimandabili.
Innanzi tutto si ricorda che sono previste dalla parte generale del Codice sulla Privacy alcune particolari figure che devono essere presenti in un organico aziendale e in tutte le strutture che gestiscono dati personali al fine di fungere da referenti per la privacy. In particolare:
- Titolare del trattamento, se si tratta di una società è la società stessa, intesa come persona giuridica e per essa il suo legale rappresentante con poteri di decisione e di firma; se si tratta di una pubblica amministrazione è l’entità nel suo complesso che esercita un potere decisionale.
Il titolare del trattamento ha una serie specifica di compiti e funzioni, diversi a seconda che il trattamento avvenga con o senza strumenti elettronici, che gli sono attribuiti dal testo unico sulla privacy e che ne qualificano la responsabilità. - Responsabile del trattamento, è la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali.
Può essere designato facoltativamente ed essere così designato dal titolare al trattamento di dati personali. Deve essere individuato tra soggetti che per esperienza, capacità ed affidabilità forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza.
Possono essere designati anche più responsabili, in genere meglio sarebbe suddividerli per settori aziendali o di struttura, l’essenziale è che l’individuazione dei relativi compiti venga specificata nell’atto di nomina, in modo tale da non ingenerare confusioni di attribuzioni. - Incaricati del trattamento, sono le persone fisiche autorizzate a compiere operazioni di trattamento dal titolare o dal responsabile (ossia coloro che materialmente eseguono le operazioni sui dati).
Vengono designati per iscritto ed operano sotto la diretta autorità del titolare o del responsabile, attenendosi alle istruzioni impartite; anche in questo caso pertanto è consigliabile predisporre atti di nomina chiari e dettagliati.
Accanto alle specifiche figure professionali, per altro già presenti nella legge 675/96, il Codice della Privacy individua gli accorgimenti di natura tecnico-informatica e materiali che è obbligatorio osservare al fine di evitare di incorrere in responsabilità.
Per fare solo alcuni esempi:
- devono essere programmati backup periodici e conservate le ultime copie di back up realizzate in sequenza a rotazione, aggiornando sempre prima la copia più vecchia;
- i sistemi di rete, ove esistenti, devono essere protetti da password a vari livelli, costituite da almeno 8 caratteri;
- una password deve essere immessa al momento dell’accensione del sistema o di ogni singolo pc;
- ogni pc deve possedere sistemi antispam, antivirus e antihacker con obbligo di aggiornamento periodico;
- devono essere disposti elenchi delle persone che hanno le chiavi della sede della società e/o amministrazione e/o attività e degli armadietti in cui sono custoditi i dati personali di dipendenti e/o eventuali utenti, fornitori, clienti, come pure i nominativi del personale tecnico che effettua interventi su software ed hardware.
Ad ogni utente e/o cliente deve essere fatto sottoscrivere apposito modulo di informativa, come avveniva con la legge 675/96, ricordando che ad una richiesta di accesso da parte di un interessato deve essere data risposta senza ritardo; nel caso di trattamento di dati sensibili, devono inoltre essere adottate misure idonee al fine di garantire l’accesso ai dati nel caso in cui si sia verificato un danneggiamento degli stessi o degli strumenti elettronici, nel termine tassativo di sette giorni.
Anche per questo è fondamentale che titolare e responsabile predispongano un piano di controllo delle situazioni, anche di emergenza, efficiente e dettagliato.
Per concludere questa breve e non esaustiva introduzione alle nuove disposizioni in tema di privacy si ricorda che sono previste sanzioni in caso di inadempimenti relativi alle misure minime di sicurezza previste dall’art. 33 del Codice Privacy, disponendo un’ammenda da 10.000 a 50.000 € o l’arresto fino a due anni.
Leggi anche:
Come adeguarsi al D.Lgs. 196/2003 (Codice della Privacy)
Per approfondimenti:
Studio legale
via Cattaneo, 20 – Rimini