Consulenza ed Assistenza Legge sulla Privacy (D.lgs196/2003)



LEGGE SULLA PRIVACY (D.LGS. 183/2003)


In data 1° gennaio 2004 è entrato in vigore il cosiddetto “Testo unico sulla Privacy”, ovvero il Codice che raccoglie le disposizioni in materia di protezione dei dati personali (D.Lgs. 30 giugno 2003, n. 196). Il Codice, contenente molte conferme, ma anche alcune importanti novità, trae origine dalla Legge 31 dicembre 1996 n. 675 che introdusse nel panorama nazionale la tutela della privacy, in attuazione di direttive comunitarie. Nacque dal bisogno di regolamentare il diritto alla riservatezza dei dati personali delle persone fisiche e giuridiche, di enti ed associazioni, con il riconoscimento giuridico che il trattamento dei dati personali è lecito solo nel rispetto di una serie di adempimenti formali obbligatori dall’intrusione di un terzo.
L’ A.N.S.A.P. in merito a quanto sopra fornisce ai propri associati, una valida ed efficacia consulenza nell’adeguamento di quanto richiesto dalla Legge.

PRINCIPI FONDAMENTALI
  • il diritto alla protezione: viene affermato il principio per cui chiunque ha diritto alla tutela dei dati personali che lo riguardano
  • le finalità: il Codice garantisce che il trattamento di dati si svolga nel rispetto dei diritti e delle libertà fondamentali, nonché della dignità dell’interessato, assicurando un elevato livello di protezione, nel rispetto dei principi di semplificazione, armonizzazione ed efficacia delle modalità previste per il loro esercizio
  • la necessità del trattamento dei dati: viene sancito che i sistemi informativi e i programmi informatici devono essere configurati riducendo al minimo l’utilizzo di dati personali ed identificativi, escludendone addirittura il trattamento laddove sia possibile l’utilizzo di dati anonimi o che permettano l’identificazione solo in caso di necessità
MISURE MINIME DI SICUREZZA

Il nuovo Codice riscrive (artt. 33-36 e Allegato B) integralmente le disposizioni in tema di sicurezza, in sostituzione di quanto in precedenza previsto dal Dpr 318/99. Le misure minime di sicurezza, si ricorda, riguardano tanto i trattamenti effettuati con mezzi elettronici tanto quelli non elettronici. La logica di fondo della norma, per quanto attiene alla sicurezza, è quella secondo cui i dati personali devono essere custoditi e controllati in modo da ridurre ad un ragionevole margine il rischio di sottrazione o perdita degli stessi, nonché di accessi non autorizzati da parte di terzi, evitando inoltre il trattamento di dati non consentito e non conforme. Per fare ciò, quando il trattamento è effettuato con mezzi elettronici, è richiesto un sistema di autenticazione informatica: in pratica ciascun incaricato deve essere dotato di “credenziali di autenticazione” che consentano il superamento di una procedura di autenticazione attraverso l’identificazione dell’incaricato medesimo.
Le credenziali possono consistere in strumenti quali smart card o dispositivi biometrici, ma molto più comunemente consisteranno in codici identificativi associati a password, aventi le caratteristiche illustrate nel paragrafo ‘Gestione delle Password’.

Altre misure di sicurezza riguardano:
  • la necessità di impartire adeguate istruzioni sull’utilizzo degli strumenti informatici, a cura del titolare o del responsabile, che hanno anche l’obbligo di controllare e gestire le credenziali di autenticazione
  • l’adozione di strumenti anti-virus, da aggiornare almeno semestralmente; l’effettuazione degli aggiornamenti dei programmi, per prevenire la vulnerabilità degli strumenti elettronici e correggerne i difetti, da effettuarsi almeno annualmente (semestralmente per i trattamenti di dati sensibili)
  • la necessità di effettuare il salvataggio dei dati almeno settimanalmente, impartendo le relative istruzioni organizzative e tecniche
  • l’obbligo di redigere annualmente il “documento programmatico sulla sicurezza” (entro il 31 marzo di ogni anno) riguardo a dati sensibili o giudiziari, secondo lo standard illustrato nell’allegato B del Codice
L’adeguamento alle nuove misure minime di sicurezza, è opportuno sottolinearlo, deve avvenire entro il prossimo 30 giugno 2004. Prorogata una prima volta al 31 dicembre 2004, quindi al 30 giugno 2005 ed infine al 31 dicembre 2005, data entro la quale tutti dovranno essere in regola.


SANZIONI AMMINISTRATIVE
  • Informativa all’interessato omessa o non idonea. Da 3.000 a 18.000 Euro (ovvero da 5.000 a 30.000 Euro nei casi di dati sensibili o giudiziari o che presentano rischi specifici), aumentabile sino al triplo quando risulta inefficace in ragione delle condizioni economiche del contravventore.
  • Notificazione omessa o incompleta. Da 10.000 a 60.000 Euro, oltre alla sanzione accessoria della pubblicazione dell’ordinanza-ingiunzione su uno o più giornali.
  • Omessa informazione o esibizione al Garante. Da 4.000 a 24.000 Euro.
  • Trattamento illecito di dati. Se dal fatto deriva documento, reclusione da sei a diciotto mesi; se il fatto consiste nella comunicazione o diffusione, reclusione da sei a ventiquattro mesi. Se l’illecito è commesso al fine di trarne un profitto o recare un danno, se dal fatto deriva nocumento, reclusione da uno a tre anni.

SANZIONI PENALI
  • False dichiarazioni o comunicazioni al Garante. Reclusione da sei mesi a tre anni
  • Omessa adozione delle misure minime di sicurezza. Reclusione sino a due anni o ammenda da 10.000 a 20.000 Euro
  • Inosservanza dei provvedimenti del Garante. Reclusione da tre mesi a due anni

SCADENZIARIO ADEMPIMENTI

Entro il 31 marzo di ogni anno il titolare deve adottare il documento programmatico per la sicurezza. La norma dispone questo termine annuo per redigere tale documento.