Privacy: breve riepilogo degli adempimenti
Cogliamo l’occasione della prossima scadenza del 31 Marzo, entro la quale è necessario provvedere al rinnovo del Documento Programmatico sulla sicurezza, per un breve e schematico riepilogo degli adempimenti in materia di Privacy.
1 Individuazione del titolare del trattamento – obbligatorio. Il “titolare” è la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza
2 Nomina del Responsabile – facoltativo. Il responsabile deve essere individuato tra soggetti che per esperienza, capacità ed affidabilità forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento. Possono essere designati responsabili più soggetti, anche mediante suddivisione di compiti, ed i compiti affidati a questi devono essere analiticamente specificati e per iscritto dal titolare, che ha l’obbligo di fare verifiche periodiche sulla puntuale osservanza delle disposizioni e delle proprie istruzioni.
3 Istruzioni scritte agli incaricati del trattamento dati, con relativa formazione – obbligatorio nella lettera di assunzione o con apposita successiva comunicazione.
4 Informativa ai clienti e fornitori – obbligatoria.
5 Acquisizione del consenso scritto – Obbligatorio per dati di natura sensibile e giudiziari. Il trattamento di dati personali da parte di privati o di enti pubblici economici è ammesso solo con il consenso espresso dell’interessato. Il consenso può riguardare l’intero trattamento ovvero una o più operazioni dello stesso ed è validamente prestato solo se è espresso liberamente e specificamente in riferimento ad un trattamento chiaramente individuato, se è documentato per iscritto, e se sono state rese all’interessato le informazioni di cui all’articolo 13 del D.Lgs 196/2003. Il consenso deve essere manifestato in forma scritta quando il trattamento riguarda dati sensibili; in tutti gli altri casi è possibile, benchè altamente sconsigliato, ottenerlo anche oralmente.
6 Misure minime di sicurezza previste dal disciplinare tecnico – obbligatorie.
7 Documento programmatico sulla sicurezza (DPS) – obbligatorio per chi tratta dati personali / sensibili / giudiziari mediante l’ausilio di strumenti elettronici. A tal riguardo si rileva che una circolare del Garante della Privacy del Marzo 2004, impone l’obbligo del DPS solo a coloro che trattino, mediante l’ausilio di strumenti elettronici, dati sensibili o giudiziari. Per quanto di indubbia autorevolezza, tale interpretazione si pone in contrasto con il disposto Decreto Legislativo del 196/2003 che, all’articolo 34 prevede espressamente:
“Il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell’allegato B), le seguenti misure minime: a) autenticazione informatica; b) adozione di procedure di gestione delle credenziali di autenticazione; c) utilizzazione di un sistema di autorizzazione; d) aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici; e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici; f) adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi; g) tenuta di un aggiornato documento programmatico sulla sicurezza h) adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari.
8 Notifica al Garante – Obbligatorio solo in alcuni casi di trattamento di dati sensibili, generalmente non riguarda le imprese agricole.
9 Informativa e consenso scritto dei dipendenti – Obbligatorio.
(A.D. 2007)