Privacy

Privacy

Che cosa è - Che cosa prevede

Art. 1 - (Diritto alla protezione dei dati personali)
 

1. Chiunque ha diritto alla protezione dei dati personali che lo riguardano.

Il Decreto Legislativo 196/2003, cosiddetto Testo Unico sulla Privacy" o "Codice sulla Privacy", è , è entrato in vigore il 1° gennaio 2004.

In esso vengono ricollocate le normative precedenti, a partire dalla famosa legge 675/1996, tutte abrogate o sostituite dal nuovo decreto. Il nuovo Testo Unico individua quindi regole, misure di sicurezza, adempimenti e sanzioni, con la finalità di garantire che il trattamento dei dati personali si svolga nel rispetto dei diritti e delle libertà fondamentali di ognuno.

Il sistema di sanzioni collegate all'inosservanza delle norme del D.Lgs 196/2003 è vasto e articolato, e comporta, per le infrazioni palesemente più gravi, la carcerazione fino a tre anni e un regime di multe fino a 60.000 euro.

Per esempio, la semplice mancata adozione delle misure minime di sicurezza, che devono essere adottate entro il 31 dicembre 2005, è punibile con l'arresto sino a due anni o con l'un'ammenda da 10.000 a 50.000 euro.

Di seguito troverete: " Campo di applicazione ( a quali soggetti si applica la normativa) e "I principali adempimenti". La vostra attività è tra quelle che debbono attrezzarsi per non incorrere nelle sanzioni previste? Dovete notificare i vostri dati al Garante?

La lista dei principali adempimenti, se la vostra attività rientra nel campo di applicazione, e che cosa va fatto, e quando?

A quali soggetti si applica la normativa?
Destinatari della nuova normativa sono professionisti, aziende ed enti pubblici che "trattino", in forma elettronica o cartacea, informazioni o dati personali relativi a persone fisiche, giuridiche, enti o associazioni, secondo quanto specificato all'articolo 4.

Qui di seguito trovate alcune definizioni, tratte dall'articolo 4 del D.Lgs 196/2003, che possono contribuire a spiegare l'estensione del campo di applicazione.

Trattamento: qualunque operazione o complesso di operazioni, effettuati anche senza l'ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati .

Dato personale: qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale

Dati sensibili: i dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonche' i dati personali idonei a rivelare lo stato di salute e la vita sessuale.

Dati giudiziari: i dati personali idonei a rivelare provvedimenti di cui all'articolo 3, comma 1, lettere da a) a o) e da r) a u), del d.P.R. 14 novembre 2002, n. 313, in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualita' di imputato o di indagato ai sensi degli articoli 60 e 61 del codice di procedura penale.

Da questo breve glossario si evince che il trattamento in una qualunque delle modalità sopra descritte di uno qualunque dei tipi di dati presi in esame fa rientrare la vostra attività nel campo di applicazione del D. Lgs. 196/2003.

È sufficiente, per esempio, che siate in possesso di:

•    una rubrica con le schede dei vostri clienti

•    un database con le fatture dei vostri fornitori

•    una mailing list di persone interessate ai vostri prodotti o servizi

•    le buste paga dei vostri dipendenti o collaboratori perché dobbiate necessariamente provvedere a mettervi in regola con gli adempimenti richiesti.

 I principali adempimenti:

1.    Gli interessati o le persone presso le quali sono raccolti i dati devono ricevere l'informativa di cui all'art. 13.

2.    Il trattamento di dati personali da parte di privati o di enti pubblici economici richiede l'acquisizione del consenso da parte dell'interessato (in caso di dati sensibili il consenso deve essere scritto).

3.    Il trattamento di dati sensibili deve avvenire in conformità con quanto previsto dalle autorizzazioni, generali o specifiche, rilasciate dal Garante.

4.    Per i trattamenti iniziati prima del 1° gennaio 2004, le notificazioni al Garante, se si rientra in una delle ipotesi previste dall'art. 37, dovevano essere effettuate entro il 15 maggio 2004.

5.    Le misure minime di sicurezza di cui agli articoli da 33 a 35 e all'allegato B) devono essere adottate entro il 31 dicembre 2005, sia per i dati cartacei che per i dati trattati con strumenti elettronici.

Quali sono le principali misure minime?

La normativa riporta una serie di indicazioni generali riguardo agli interventi minimi da realizzare, descritti in dettaglio all'interno dell'allegato B - "Disciplinare tecnico in materia di misure minime di sicurezza".

Trattamenti con l'ausilio di strumenti elettronici

•    Gli incaricati del trattamento di dati personali devono disporre di credenziali di autenticazione (es. password) individuali che devono essere ideate, gestite ed aggiornate secondo criteri di sicurezza, e quindi ad esempio non devono corrispondere alla propria data di nascita e devono essere modificate almeno ogni 6 mesi (3 in caso di dati sensibili o giudiziari).

•    I profili di autorizzazione degli incaricati, che definiscono a quali dati l'incaricato può accedere, nonché i trattamenti a lui consentiti, devono essere individuati in modo da limitare l'accesso ai soli dati necessari per effettuare le operazioni di trattamento e verificati con cadenza almeno annuale.

•    I dati personali devono essere protetti da trattamenti illeciti e da accessi non consentiti anche mediante l'attivazione di idonei programmi (es. antivirus, firewall, ...) che devono essere correttamente installati e settati ed aggiornati con cadenza almeno semestrale.

•    Devono essere impartite istruzioni organizzative e tecniche che prevedono il salvataggio dei dati con frequenza almeno settmanale, l’ adozione di procedure per la custodia delle copie di sicurezza, nonchè le modalità di ripristino della disponibilità dei dati e dei sistemi in caso di danneggiamento.

Entro il 31 marzo d’ogni anno (nel 2004 entro il 30 giugno), i titolari di trattamenti di dati sensibili o giudiziari devono redigere un Documento Programmatico sulla Sicurezza (DPS) che descriva e giustifichi la politica di sicurezza adottata. Il Documento deve contenere idonee informazioni in primo luogo.

Articoli Correlati

 La legge: Codice in materia di protezione dei dati...
views 15
 IL DECRETO LEGISLATIVO del 30 giugno 2003, n. 196   CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI Pubblicato sulla GU n.174 del 29-7-2003 - Suppl. Ordinario n.123)Testo coordinato con...
Privacy

Scritto da

Guarda tutti i messaggi di :