Privacy – si avvicina la scadenza per adeguarsi alle misure di sicurezza
Facciamo seguito ai numerosi articoli già pubblicati sulle pagine di questo notiziario per ricordare agli associati che i termini per adeguarsi alla vigente normativa in materia di privacy (Decreto Legislativo n°196/2003) sono:
31 Dicembre 2005 – per le misure minime di sicurezza di cui agli articoli da 33 a 35 e all’allegato B).
31 Marzo 2006 – per l’adeguamento di strumenti elettronici che, per obiettive ragioni tecniche, non consentono in tutto o in parte l’immediata applicazione delle misure minime di cui all’articolo 34 e delle corrispondenti modalità tecniche di cui all’allegato B).
Tali termini sono il frutto di innumerevoli rinvii che si sono succeduti nel tempo e che hanno fatto slittare l’introduzione delle misure minime di sicurezza di circa due anni.
Nel rimandare agli articoli già pubblicati sulle pagine di questo notiziario per una più approfondita trattazione del tema, riteniamo opportuno ripercorrere brevemente alcuni dei principi fondamentali della vigente normativa.
Premesso che per trattamento dei dati personali deve intendersi (ex art.4 D.lgs 196/2003) “qualunque operazione o complesso di operazioni, effettuate anche senza l’ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l’organizzazione, la conservazione, la consultazione, l’elaborazione, la modificazione, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati”, è opportuno sottolineare che i criteri da seguire per un corretto trattamento sono molteplici, tutti improntati alla correttezza ed alla tutela della riservatezza dei soggetti interessati. In particolare, secondo il disposto dell’art.11 del citato decreto, i dati debbono essere:
a) trattati in modo lecito e secondo correttezza;
b) raccolti e registrati per scopi determinati, espliciti e legittimi, ed utilizzati in altre operazioni del trattamento in termini compatibili con tali scopi;
c) esatti e, se necessario, aggiornati;
d) pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono raccolti o successivamente trattati;
e) conservati in una forma che consenta l’identificazione dell’interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati.
La persona di cui si trattano i dati deve essere informata , oralmente o per iscritto, delle finalità cui gli stessi sono destinati, delle modalità del trattamento, della natura obbligatoria o facoltativa del loro conferimento, delle conseguenze di un eventuale rifiuto di rispondere, nonché dei soggetti o delle categorie di soggetti ai quali i dati personali possono essere comunicati.
Nella ipotesi in cui l’utilizzo dei dati non si riferisca ad un obbligo di legge (per esempio, fiscale o di pubblica sicurezza) o all’assolvimento di un contratto, la persona informata del loro uso dovrà dare il proprio consenso , orale o scritto. In altre parole se una azienda, oltre ad utilizzare i dati personali dei clienti per le necessità strettamente connesse con la vendita dei prodotti, intendesse anche inviare agli stessi delle offerte promozionali, non potrebbe farlo se non avesse preventivamente informato gli interessati ottenendone il relativo consenso. Per quanto riguarda la forma di tale consenso, è opportuno che esso sia prestato per iscritto, in quanto solo questa forma offre sufficienti garanzie in caso di contenzioso.
Altro aspetto relativo al trattamento dei dati riguarda la sicurezza: in base all’art.31 del decreto infatti i dati personali oggetto di trattamento devono essere custoditi e controllati in modo da ridurre al minimo, mediante l’adozione di idonee misure di sicurezza, i rischi di distruzione o perdita anche accidentale dei dati stessi, di accesso non autorizzato, di trattamento non consentito o non conforme alle finalità della raccolta.
Le misure di sicurezza da adottare cambiano a seconda che si utilizzi o meno un computer per il trattamento dei dati.
Nel caso di utilizzo di archivio meramente cartaceo infatti, sarà sufficiente ex art.35 D.lgs 196/2003, adottare le seguenti misure minime:
a) aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati o alle unità organizzative;
b) previsione di procedure per un’idonea custodia di atti e documenti affidati agli incaricati per lo svolgimento dei relativi compiti;
c) previsione di procedure per la conservazione di determinati atti in archivi ad accesso selezionato e disciplina delle modalità di accesso finalizzata all’identificazione degli incaricati.
Nell’ipotesi invece di trattamento di dati personali effettuato con strumenti elettronici, le misure minime di sicurezza da adottare saranno maggiori ed in particolare:
a) autenticazione informatica;
b) adozione di procedure di gestione delle credenziali di autenticazione;
c) utilizzazione di un sistema di autorizzazione;
d) aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici;
e) protezione degli strumenti elettronici e dei dati rispetto ai trattamenti illeciti di dati, ad accessi non consentiti ed a determinati programmi informatici;
f) adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi;
g) tenuta di un aggiornato documento programmatico sulla sicurezza;
h) adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari.
All’interno della azienda dovrà inoltre essere nominato un responsabile della custodia dei dati (in assenza, sarà il titolare dell’azienda), nonché gli incaricati al trattamento ovvero coloro i quali, una volta istruiti sui principi base in materia di riservatezza, potranno avere accesso alla consultazione ed all’utilizzo dei dati.
Tali documenti, da redigersi necessariamente per iscritto, dovranno avere data certa anteriore alle scadenze già ricordate all’inizio di questo articolo.