| |
| A) Cosa si intende per dato |
Dato personale qualsiasi informazione relativa a persona fisica, giuridica, ente, associazione che consente l'identificazione diretta o indiretta di questi stessi soggetti.
Dato sensibile dato personale attinente alla sfera personalissima dei singoli (origine razziale ed etnica, convinzioni religiose, filosofiche e di altro genere, opinioni politiche, adesioni a partiti, sindacati, stato di salute e vita sessuale).
Dato giudiziario dato personale relativo a procedimenti penali, carichi pendenti, sanzioni dipendenti da reato. Sono esclusi da questa categoria i dati giudiziari pubblici, come ad esempio la dichiarazione di fallimento di un imprenditore.
E' necessario comprendere le distinzioni tra questi tipi di dati e, soprattutto, capire se si gestiscono dati sensibili o giudiziari, poiché, in questo caso, le misure di sicurezza da adottare diventano più elevate.
|
| |
| B) I soggetti interessati nel trattamento |
Titolare del trattamento è la persona fisica, giuridica, ente, associazione, pubblica amministrazione, cui compete la decisione sulle finalità, modalità e mezzi del trattamento e sugli strumenti utilizzati. Se il trattamento è effettuato da una persona giuridica, ente, associazione o organizzazione, titolare del trattamento è l'entità nel suo complesso.
Responsabile del trattamento è la persona fisica o giuridica eventualmente preposta dal titolare del trattamento a decidere su finalità, modalità e mezzi del trattamento.
Incaricati del trattamento sono le persone (dipendenti, consulenti, ...) che accedono, per motivi di lavoro, ai dati e che lavorano con essi.
|
| |
| C) I diritti dell'interessato al trattamento |
L'articolo 7 del Codice prevede che, circa i propri dati personali, il soggetto interessato abbia diritto di:
- conoscere quali dati sono in possesso del titolare del trattamento,
- conoscerne l'origine,
- informarsi su finalità e modalità del trattamento
- sapere a chi potranno essere eventualmente comunicati
- ottenerne rettifica o integrazione, qualora ne avesse necessità.
- opporsi al trattamento dei propri dati per invio di materiale pubblicitario, comunicazioni commerciale, ricerche di mercato.
|
| |
| D) Gli obblighi introdotti dal nuovo codice della privacy |
- Informativa (articolo 13)
Chiunque intenda procedere ad un trattamento di dati personali è tenuto a darne comunicazione, mediante un'informativa, ai diretti interessati. L'informativa deve contenere, innanzitutto l'indicazione delle finalità e delle modalità del trattamento effettuato, l'obbligarietà o la facoltà di conferire i dati richiesti e le conseguenze di una eventuale mancata risposta. E' necessario indicare inoltre, quali saranno i soggetti o categorie a cui potranno essere comunicati i dati, gli estremi identificativi del titolare del trattamento e degli eventuali responsabili ed i diritti dell'interessato.
In linea di massima, una volta consegnata l'informativa è necessario acquisire il consenso dell'interessato.
- Misure idonee e preventive atte a ridurre i rischi di:
- distruzione o perdita, anche accidentale dei dati
- accesso non autorizzato
- trattamento non consentito
- trattamento non conforme alle finalità della raccolta
.
Le misure minime di sicurezza si dividono in:
-
Misure minime che devono essere adottate dalle imprese che trattano dati personali solo con strumenti cartacei
- consegnare lettera di incarico ai dipendenti per i trattamenti consentiti
- verificare, annualmente, gli incarichi affidati ai dipendenti
- conservare gli atti e i documenti in armadi chiusi e seguire una procedura in base alla quale tali atti e documenti sono affidati alla custodia degli incaricati solo per il tempo necessario allo svolgimento dei relativi compiti
-
Misure minime che devono essere adottate dalle imprese che trattano dati personali con strumenti elettronici
- consegnare lettere di incarico ai dipendenti per i trattamenti consentiti
- provvedere al periodico aggiornamento (con cadenza almeno annuale) dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici disporre di un sistema di autenticazione informatica. Ad ogni incaricato che effettua trattamento di dati personali con strumenti elettronici dovrà corrispondere un codice per l'identificazione (user name associato ad una parola chiave riservata (password)
- proteggere i dati personali contro il rischio di intrusione mediante l'attivazione di idonei strumenti elettronici da aggiornare con cadenza almeno semestrale (antivirus ed eventuale configurazione di firewall in caso di collegamento ad internet)
- provvedere almeno annualmente all'aggiornamento periodico dei programmi volti a prevenire la vulnerabilità degli strumenti elettronici e a correggerne i difetti (patch) Nel caso di trattamenti di dati sensibili o giudiziari l'aggiornamento delle patch è almeno semestrale
- impartire istruzioni organizzative e tecniche che prevedono il salvataggio dei dati con frequenza almeno settimanale (back-up)
- impartire istruzioni agli incaricati per non lasciare incustodito e accessibile ad estranei lo strumento elettronico durante una sessione di trattamento
- nel caso di trattamenti di dati sensibili, adottare idonee misure per garantire il ripristino dell'accesso ai dati in caso di danneggiamento degli stessi o degli strumenti elettronici, in tempi certi compatibili con i diritti degli interessati e non superiori a sette giorni
|
| |
| E) Quando il consenso non è necessario |
Il consenso dell'interessato non è richiesto quando il trattamento:
- riguarda dati trattati per adempiere ad obblighi previsti da leggi, regolamenti o disposizioni comunitarie
- è necessario per l'esecuzione di un contratto di cui è parte l'interessato, o per l'esecuzione di misure precontrattuali adottate su richiesta di quest'ultimo
- riguarda dati provenienti da pubblici registri, elenchi o documenti conoscibili da chiunque
- riguarda dati relativi allo svolgimento di attività economiche
- è necessario per la salvaguardia dell'incolumità o della vita dell'interessato o di un terzo
- con l'esclusione della diffusione, è effettuato per lo svolgimento di investigazioni difensive
- con l'esclusione della diffusione, è necessario, nei casi individuati dal Garante, per perseguire un legittimo interesse del titolare o di un terzo destinatario, anche in riferimento all'attività di gruppi bancari e di società controllate o collegate
- con esclusione della comunicazione all'esterno e della diffusione, è effettuato da associazioni, enti o organismi senza scopo di lucro, anche non riconosciuti, in riferimento a soggetti che hanno con essi contatti regolari o ad aderenti, per il raggiungimento di scopi determinati e legittimi individuati dall'atto costitutivo, dallo statuto o dal contratto collettivo
- è necessario, in conformità con i codici deontologici, per esclusivi scopi scientifici, statistici o storici
Riassumendo, il consenso è necessario solamente quando si raccolgono dati sensibili o giudiziari oppure se i dati stessi verranno usati per ricerche di mercato o attività promozionali.
|
| |
| F) Le sanzioni |
|
Sono previste multe da 3.000 a 50.0000 euro (elevabile al triplo) nei casi di omessa o incompleta notificazione del trattamento al Garante, di inosservanza delle richieste del Garante o per l'omessa informativa ai soggetti interessati.
Inoltre, il Codice sanziona penalmente con la reclusione fino a 3 anni i casi di trattamento illecito dei dati personali, la omessa adozione delle misure di sicurezza, l'omessa osservanza dei provvedimenti del Garante, nonchè la falsità nelle dichiarazioni al Garante.
|
| |
|
|
