Decreto Legislativo 30 giugno 2003 n.196. Codice in materia di protezione dei dati personali
Con decreto legislativo n. 196 del 30 Giugno 2003, entrato in vigore il 1 Gennaio 2004, è stato emanato il nuovo “Codice in materia di protezione dei dati personali”; il decreto in questione, che abroga la legislazione precedente in materia di privacy (a cominciare dalla L. 675/96), racchiude in un unico corpo, integrandole ed in parte modificandole, tutte le disposizioni emanate in materia (il testo della norma è reperibile sul sito Web del Garante oppure sul sito del nostro consulente legale, all’indirizzo web www.studiolegalenotari.it sotto la voce “Documenti”).
Va subito precisato che almeno nei suoi aspetti essenziali, il codice non stravolge le linee portanti della già citata legge, ma anzi provvede a snellirle e semplificarle; gli adempimenti di maggior rilievo previsti dalla vecchia disciplina erano, in sintesi, i seguenti:
1. fornire agli interessati l’informativa sui trattamenti effettuati, sulle modalità di raccolta dei dati, sui soggetti a cui i dati vengono comunicati;
2. ottenere il consenso dell’interessato alla realizzazione dei trattamenti indicati nell’informativa;
3. notificare al Garante della privacy l’esistenza della struttura operativa;
4. adottare misure minime di sicurezza per proteggere i dati personali conservati dall’accesso da parte di terzi non autorizzati;
5. nominare al proprio interno uno o più responsabili dei trattamenti nonché individuare gli incaricati autorizzati ad effettuare materialmente il trattamento dei dati;
6. adottare una serie di ulteriori adempimenti (es. autorizzazione del Garante) in caso di trattamenti di dati c.d. sensibili.
Vediamo ora di seguito quali sono le novità introdotte dal decreto legislativo n. 196 del 2003 con riguardo ai suddetti adempimenti.
Informativa (Art.13 e ss.)
L’art. 13 D.Lg.vo n. 196 prevede che l’interessato debba essere informato, oralmente o per iscritto, circa le finalità e le modalità del trattamento, la natura obbligatoria o facoltativa del conferimento dei dati, i soggetti cui i dati possono essere comunicati, i diritti che l’interessato può esercitare, gli estremi identificativi del responsabile del trattamento.
L’informativa ha dunque carattere generale e deve essere sempre fornita, o per iscritto o verbalmente.
Consenso (Art.23 e ss.)
Il consenso al trattamento dei dati, generalmente richiesto, è invece escluso quando il trattamento:
Ø è necessario per adempiere ad un obbligo di legge, di regolamento o di normativa comunitaria;
Ø è necessario per eseguire obblighi derivanti da un contratto;
Ø riguarda dati provenienti da pubblici registri, elenchi, atti o altri documenti conoscibili da chiunque;
Ø riguarda dati relativi allo svolgimento di attività economiche, nel rispetto delle norme sul segreto aziendale e industriale.
Il consenso non è inoltre richiesto se il trattamento è necessario per adempiere obblighi e compiti previsti per la gestione del rapporto di lavoro, anche in materia di sicurezza, di previdenza e di assistenza.
Al di fuori di questi casi e di altri non riportati nella presente elencazione, ma comunque indicati all’art. 26 cui si rimanda, il consenso per il trattamento di dati sensibili va sempre manifestato in forma scritta, e previa autorizzazione del Garante.
Si noti poi che l’autorizzazione del Garante al trattamento dei dati sensibili può essere concessa anche per categorie di soggetti e di attività: in tal caso non sarà necessaria né la notifica al Garante, né tantomeno il consenso da parte dei singoli individui, essendo sufficiente fornire a questi ultimi la semplice informativa.
Notificazione al Garante (Art. 37 e ss.)
La notificazione al Garante, già prevista nella previgente disciplina -inizialmente come obbligatoria per chiunque trattasse dati personali, successivamente esclusa per alcuni tipi di trattamento ovvero per alcune categorie di soggetti- è stata ora imposta solo ai soggetti che operano determinati trattamenti (dati genetici, dati idonei a rilevare lo stato di salute, dati registrati in banche di dati per la selezione del personale conto terzi, etc.).
Dall’elencazione contenuta al riguardo nell’art. 37 D.Lg.vo n. 196/03 cui si rimanda, si presume che, considerando la nostra realtà organizzativa, nessuna azienda sia tenuta ad effettuare tale adempimento.
Misure minime di sicurezza (Art. 31-33 e ss.)
L’obbligo di adottare idonee misure minime di sicurezza si conferma anche nel nuovo Codice come l’aspetto sicuramente più rilevante dell’intera disciplina sulla privacy.
Il Codice ribadisce il principio generale secondo cui “I dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati ed alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l’adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta” (art. 31).
Come già il precedente DPR m. 318/89, le misure di sicurezza da adottare sono distinte a seconda che il trattamento sia effettuato con o senza l’ausilio dei strumenti elettronici.
a) Trattamenti con l’ausilio di strumenti elettronici
Per i trattamenti effettuati con strumenti elettronici, il nuovo codice della privacy prevede che:
Ø Il sistema disponga di un sistema di autorizzazione informatica;
Ø Il titolare adotti con periodicità procedure di gestione delle credenziali di autenticazione, ovvero sistemi per verificare l’identità degli utenti;
Ø Sia definito un sistema di autorizzazione per abilitare gli utenti all’accesso ai dati e/o ai trattamenti;
Ø Siano adottati sistemi di protezione dei dati e degli strumenti elettronici da trattamenti illeciti o da accessi non consentiti;
Ø Siano adottate appropriate procedure per la custodia di copie di sicurezza nonché il ripristino della disponibilità dei sistemi e dei dati;
Ø Sia tenuto ed aggiornato un documento programmatico sulla sicurezza;
Ø Siano adottate tecniche di cifratura per i trattamenti atti a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari;
Le modalità attraverso cui procedere a tali adempimenti sono indicate in un disciplinare allegato al Codice, che verrà aggiornato periodicamente a cura del Ministero di grazia e Giustizia.
Nel rinviare alle specifiche contenute in tale documento la verifica puntuale dei requisiti tecnici cui devono dotarsi le strutture, preme evidenziare quanto segue:
1. è obbligatorio utilizzare: a) una funzione di identificazione con l’assegnazione di un codice identificativo per ciascun incaricato; b) una successiva funzione di autenticazione, basata su credenziali di accesso che ne confermi l’identità.
Il disciplinare specifica che, qualora si sia tenuti all’utilizzo di una parola chiave, questa debba essere di almeno otto caratteri.
2. le “password” o “credenziali d’accesso” devono essere modificate almeno ogni sei mesi; se trattasi di dati sensibili la modifica deve intervenire almeno ogni tre mesi;
3. il responsabile del trattamento impartisce agli incaricati le istruzioni per non lasciare incustodito lo strumento elettronico durante una sessione di trattamento.
4. la lista degli incaricati va aggiornata almeno ogni anno, con cadenza trimestrale vanno aggiornati i programmi antivirus, con cadenza almeno annuale (o semestrale, in caso di dati sensibili), è necessario aggiornare i programmi per correggerne i difetti e, ancora, con cadenza almeno settimanale, deve essere previsto il salvataggio dei dati.
Entro il 31 marzo di ogni anno i titolari di trattamento di dati sensibili o giudiziari , devono redigere un documento programmatico sulla sicurezza ; in base ad un recentissimo decreto legge non ancora pubblicato sulla G.U. mentre si scrive, per il solo 2004, tale termine è stato prorogato al 31.12.
La compilazione del documento è a cura del responsabile del trattamento.
Al riguardo va osservato che il contenuto del documento resta inalterato rispetto alla previgente disciplina di cui al DPR n. 318/99, per le parti relative alla distribuzione dei compiti e delle responsabilità, all’analisi dei rischi, alle misure per garantire l’integrità dei dati e la protezione dei locali. Risultano invece nuovi i contenuti relativi all’elenco dei trattamenti, all’esplicita richiesta di adottare misure per garantire la disponibilità dei dati ed il loro ripristino in caso di perdita.
Per quanto riguarda i tempi di adozione del documento si precisa che l’adeguamento delle misure a quanto previsto nel disciplinare dovrà avvenire entro il 31/12/2004 , con particolare riguardo agli adempimenti ulteriori che non erano previsti nel DPR 318/99 (password di non meno di otto caratteri, autenticazione informatica, obbligo settimanale di backup, etc.); per il futuro, il termine è il 31 marzo di ogni anno.
Per coloro che dispongono di strumenti elettronici che, per obiettive ragioni tecniche, non consentono l’immediata applicazione delle misure minime introdotte, il codice prevede una disciplina transitoria: tali soggetti possono adempiere alle indicate prescrizioni entro il 31/03/2005 (in base alla proroga recentemente disposta), sempre che approvino quanto prima un documento con data certa in cui siano descritte le ragioni da cui deriva l’inadempimento.
b) Trattamenti senza l’ausilio di strumenti elettronici
La modifica più rilevante per questo tipo di modalità di trattamento è la scomparsa dell’obbligo di custodire i documenti contenenti dati sensibili in archivi con serratura.
Il responsabile deve impartire agli incaricati istruzioni scritte e procedure per il controllo e la custodia degli atti.
Tali documenti sono custoditi dagli incaricati fino alla loro restituzione.
L’accesso agli archivi contenenti dati sensibili deve essere controllato; occorre adottare procedure di identificazione e selezione delle persone ammesse dopo l’orario di chiusura.
Nomina del responsabile e degli incaricati (Art. 28 e ss.)
Si confermano, nei tratti essenziali, le disposizioni già in vigore.
Il titolare del trattamento è l’entità nel suo complesso o l’unità od organismo periferico che esercita un potere decisionale sulle finalità e sulle modalità del trattamento.
Il titolare può designare uno o più responsabili, individuati tra i soggetti che possono garantire il rispetto delle disposizioni vigenti.
I compiti affidati ai responsabili sono specificati per iscritto. A sua volta il responsabile designa gli incaricati, ovvero coloro che operano sotto la diretta autorità del titolare o del responsabile.
Anche tale designazione va fatta per iscritto ed individua puntualmente l’ambito del trattamento consentito a ciascun incaricato.
Sanzioni
Per quanto riguarda le sanzioni collegate alla mancata realizzazione degli adempimenti previsti nel codice, si ricorda che l’omessa informativa è punita con una sanzione amministrativa da 3.000 a 18.000 €, ovvero, nel caso di dati sensibili, da 5.000 a 30.000 €.
La mancata adozione delle misure di sicurezza viene punita a titolo di reato, con l’arresto sino a due anni o con l’ammenda da 10.000 a 50.000 €.
Resta confermata, anche nel Codice, la norma secondo cui, all’atto dell’accertamento, l’autorità prescrive un termine per la regolarizzazione che, se realizzata conformemente alle indicazioni, estingue il reato.
Per quanto riguarda le sanzioni collegate ai trattamenti effettuati contra legem si rileva che, come nel precedente sistema, i trattamenti di dati personali effettuati in violazione delle norme imposte dal Codice integrano un reato solo se realizzati “al fine di trarne per sé o per altri, profitto o di recare ad altri un danno (art. 167)”.
Sul piano civilistico, qualora il trattamento di dati compiuto in difformità dalle prescrizioni di legge cagioni all’interessato un danno, l’autore dello stesso è tenuto al suo risarcimento ai sensi dell’art. 2050 c.c.
Sul sito del nostro consulente legale ( www.studiolegalenotari.it ) sotto la voce “documenti” sono disponibili, oltre al testo vigente del D.lgs 196/2003 (T.U. sulla Privacy), anche i modelli già predisposti da Confagricoltura relativi a:
1. Informativa con dichiarazione di consenso per i dipendenti della Azienda.
2. Informativa con dichiarazione di consenso per i clienti ed i fornitori.
3. Documento programmatico sulla sicurezza.
4. Disciplinare tecnico relativo alle misure minime di sicurezza.
5. Individuazione degli incaricati al trattamento.
(A.D. 2004)