del Dott. Meo al Presidente

Transcript

1 del Dott. Meo al Presidente Gent.mo Presidente,invio come d'accordo documentazione utile per la redazione del Documento programmatico per la sicurezza (dps). Il primo documento è relativo alla Guida operativa messa a punto dal Garante per semplificare l'adempimento. Sarà mia premura inviare al più presto eventuali altri elementi utili. Un caro saluto Baldo Meo Dirigente Servizio relazioni con i mezzi di informazione Garante per la protezione dei dati personali Piazza di Monte Citorio, Roma

2 Guida operativa per redigere il Documento programmatico sulla sicurezza (DPS) (Codice in materia di protezione dei dati personali art. 34 e Allegato B, regola 19, del d.lg. 30 giugno 2003, n. 196)

3 Premessa La presente guida mira a facilitare l adempimento dell obbligo di redazione del documento programmatico sulla sicurezza (DPS) nelle organizzazioni di piccole e medie dimensioni o, comunque, non dotate al proprio interno di competenze specifiche 1. La guida può essere di ausilio nella redazione del DPS, ma non è obbligatorio utilizzarla per adempiere all obbligo. La guida è strutturata in due parti: la prima contiene istruzioni per sviluppare il DPS negli aspetti descrittivi oppure nella compilazione di alcune tabelle riportate nella seconda parte. Nella guida sono anche evidenziati altri elementi utilizzabili facoltativamente - comprese alcune tabelle-, che si ritengono utili per una più approfondita definizione del DPS. 1 Nelle strutture di piccole dimensioni dove possono mancare specifiche competenze, si può anche chiedere consultare per alcuni profili tecnici il fornitore/installatore degli strumenti elettronici e del relativo software.

4 Parte I Istruzioni Per ciascuna regola dell Allegato B al Codice sono riportati i contenuti, le informazioni essenziali e gli ulteriori elementi da inserire nel DPS

5 Elenco dei trattamenti di dati personali (regola 19.1) Contenuti In questa sezione sono individuati i trattamenti effettuati dal titolare, direttamente o attraverso collaborazioni esterne, con l indicazione della natura dei dati e della struttura (ufficio, funzione, ecc.) interna od esterna operativamente preposta, nonché degli strumenti elettronici impiegati. Nella redazione della lista si può tener conto anche delle informazioni contenute nelle notificazioni eventualmente inviate al Garante anche in passato. Informazioni essenziali (v. anche tab. 1.1) Per ciascun trattamento vanno indicate le seguenti informazioni secondo il livello di sintesi determinato dal titolare: Descrizione sintetica: menzionare il trattamento dei dati personali attraverso l indicazione della finalità perseguita o dell attività svolta (es., fornitura di beni o servizi, gestione del personale, ecc.) e delle categorie di persone cui i dati si riferiscono (clienti o utenti, dipendenti e/o collaboratori, fornitori, ecc.). Natura dei dati trattati: indicare se, tra i dati personali, sono presenti dati sensibili o giudiziari. Struttura di riferimento: indicare la struttura (ufficio, funzione, ecc.) all interno della quale viene effettuato il trattamento. In caso di strutture complesse, è possibile indicare la macro-struttura (direzione, dipartimento o servizio del personale), oppure gli uffici specifici all interno della stessa (ufficio contratti, sviluppo risorse, controversie sindacali, amministrazione-contabilità.) Altre strutture che concorrono al trattamento: nel caso in cui un trattamento, per essere completato, comporta l attività di diverse strutture è opportuno indicare, oltre quella che cura primariamente l attività, le altre principali strutture che concorrono al trattamento anche dall esterno. Descrizione degli strumenti elettronici utilizzati: va indicata la tipologia di strumenti elettronici impiegati (elaboratori o p.c. anche portatili, collegati o meno in una rete locale, geografica o Internet; sistemi informativi più complessi). Ulteriori elementi per descrivere gli strumenti (v. anche tab. 1.2) Identificativo del trattamento: alla descrizione del trattamento, se ritenuto utile, può essere associato un codice, facoltativo, per favorire un identificazione univoca e più rapida di ciascun trattamento nella compilazione delle altre tabelle. Banca dati: indicare eventualmente la banca dati (ovvero il data base o l archivio informatico), con le relative applicazioni, in cui sono contenuti i dati. Uno stesso trattamento può richiedere l utilizzo di dati che risiedono in più di una banca dati. In tal caso le banche dati potranno essere elencate. Luogo di custodia dei supporti di memorizzazione: indicare il luogo in cui risiedono fisicamente i dati, ovvero dove si trovano (in quale sede, centrale o periferica, o presso quale fornitore di servizi, ecc.) gli elaboratori sui cui dischi sono memorizzati i dati, i luoghi di conservazione dei supporti magnetici utilizzati per le copie di sicurezza (nastri, CD, ecc.) ed ogni altro supporto rimovibile. Il punto può essere approfondito meglio in occasione di aggiornamenti. Da indicare facoltativamente.

6 Tipologia di dispositivi di accesso: elenco e descrizione sintetica degli strumenti utilizzati dagli incaricati per effettuare il trattamento: pc, terminale non intelligente, palmare, telefonino, ecc. Tipologia di interconnessione: descrizione sintetica e qualitativa della rete che collega i dispositivi d accesso ai dati utilizzati dagli incaricati: rete locale, geografica, Internet, ecc. Le predette informazioni possono essere completate o sostituite da schemi, tabelle, disegni di architettura del sistema informativo o da altri documenti aziendali già compilati e idonei a fornire in altro modo le informazioni medesime. Distribuzione dei compiti e delle responsabilità (regola 19.2) Contenuti In questa sezione occorre descrivere sinteticamente l organizzazione della struttura di riferimento, i compiti e le relative responsabilità, in relazione ai trattamenti effettuati. Si possono utilizzare anche mediante specifici riferimenti documenti già predisposti (provvedimenti, ordini di servizio, regolamenti interni, circolari), indicando le precise modalità per reperirli. Informazioni essenziali (v. anche tab. 2) Struttura: riportare le indicazioni delle strutture già menzionate nella precedente sezione. Trattamenti effettuati dalla struttura: indicare i trattamenti di competenza di ciascuna struttura. Compiti e responsabilità della struttura: descrivere sinteticamente i compiti e le responsabilità della struttura rispetto ai trattamenti di competenza. Ad esempio: acquisizione e caricamento dei dati, consultazione, comunicazione a terzi, manutenzione tecnica dei programmi, gestione tecnica operativa della base dati (salvataggi, ripristini, ecc.). Anche in questo caso è possibile utilizzare, nei termini predetti, altri documenti già predisposti. Analisi dei rischi che incombono sui dati (regola 19.3) Contenuti Descrivere in questa sezione i principali eventi potenzialmente dannosi per la sicurezza dei dati, e valutarne le possibili conseguenze e la gravità in relazione al contesto fisico ambientale di riferimento e agli strumenti elettronici utilizzati. Informazioni essenziali (v. anche tab. 3) Elenco degli eventi: individuare ed elencare gli eventi che possono generare danni e che comportano, quindi, rischi per la sicurezza dei dati personali. In particolare, si può prendere in considerazione la lista esemplificativa dei seguenti eventi: 1) comportamenti degli operatori:

7 sottrazione di credenziali di autenticazione carenza di consapevolezza, disattenzione o incuria comportamenti sleali o fraudolenti errore materiale 2) eventi relativi agli strumenti: azione di virus informatici o di programmi suscettibili di recare danno spamming o tecniche di sabotaggio malfunzionamento, indisponibilità o degrado degli strumenti accessi esterni non autorizzati intercettazione di informazioni in rete 3) eventi relativi al contesto fisico-ambientale: ingressi non autorizzati a locali/aree ad accesso ristretto sottrazione di strumenti contenenti dati eventi distruttivi, naturali o artificiali (movimenti tellurici, scariche atmosferiche, incendi, allagamenti, condizioni ambientali,...), nonché dolosi, accidentali o dovuti ad incuria guasto a sistemi complementari (impianto elettrico, climatizzazione, ecc.) errori umani nella gestione della sicurezza fisica E possibile, per ulteriori dettagli, rinviare a documenti analoghi già redatti in tema di piani di sicurezza e gestione del rischio, come ad es.: Business Continuity Plan, Disaster Recovery Plan, ecc. (si tenga però presente che le analisi alla base di questi altri documenti possono avere una natura ben diversa). Impatto sulla sicurezza: descrivere le principali conseguenze individuate per la sicurezza dei dati, in relazione a ciascun evento, e valutare la loro gravità anche in relazione alla rilevanza e alla probabilità stimata dell evento (anche in termini sintetici: es., alta/media/bassa). In questo modo è possibile formulare un primo indicatore omogeneo per i diversi rischi da contrastare. L analisi dei rischi può essere condotta utilizzando metodi di complessità diversa: l approccio qui descritto è volto solo a consentire una prima riflessione in contesti che per dimensioni ridotte o per altre analoghe ragioni, non ritengano di dover procedere ad una analisi più strutturata. Misure in essere e da adottare (regola 19.4) Contenuti In questa sezione vanno riportate, in forma sintetica, le misure in essere e da adottare per contrastare i rischi individuati. Per misura si intende lo specifico intervento tecnico od organizzativo posto in essere (per prevenire, contrastare o ridurre gli effetti relativi ad una specifica minaccia), come pure quelle attività di verifica e controllo nel tempo, essenziali per assicurarne l efficacia.

8 Le misure da adottare possono essere inserite in una sezione dedicata ai programmi per migliorare la sicurezza. Informazioni essenziali Misure: descrivere sinteticamente le misure adottate (seguendo anche le indicazioni contenute nelle altre regole dell Allegato B del Codice). Descrizione dei rischi: per ciascuna misura indicare sinteticamente i rischi che si intende contrastare (anche qui, si possono utilizzare le indicazioni fornite dall Allegato B). Trattamenti interessati: indicare i trattamenti interessati per ciascuna delle misure adottate. Determinate misure possono non essere riconducibili a specifici trattamenti o banche di dati (ad esempio, con riferimento alle misure per la protezione delle aree e dei locali). Occorre specificare se la misura è già in essere o da adottare, con eventuale indicazione, in tale ultimo caso, dei tempi previsti per la sua messa in opera. Struttura o persone addette all adozione: indicare la struttura o la persona responsabili o preposte all adozione delle misure indicate. Ulteriori elementi per la descrizione analitica delle misure di sicurezza (v. anche tab. 4.2) Oltre alle informazioni sopra riportate può essere opportuno compilare, per ciascuna misura, una scheda analitica contenente un maggior numero di informazioni, utili nella gestione operativa della sicurezza e, in particolare, nelle attività di verifica e controllo. Queste schede sono a formato libero e le informazioni utili devono essere individuate in funzione della specifica misura. A puro titolo di esempio, possono essere inserite informazioni relative a: la minaccia che si intende contrastare la tipologia della misura (preventiva, di contrasto, di contenimento degli effetti ecc.) le informazioni relative alla responsabilità dell attuazione e della gestione della misura i tempi di validità delle scelte (contratti esterni, aggiornamento di prodotti, ecc.) gli ambiti cui si applica (ambiti fisici -un reparto, un edificio, ecc. o logici - una procedura, un applicazione, ecc.-) Può essere opportuno indicare chi ha compilato la scheda e la data in cui la compilazione è terminata. Da indicare facoltativamente.

9 Criteri e modalità di ripristino della disponibilità dei dati (regola 19.5) Contenuti In questa sezione sono descritti i criteri e le procedure adottati per il ripristino dei dati in caso di loro danneggiamento o di inaffidabilità della base dati. L importanza di queste attività deriva dall eccezionalità delle situazioni in cui il ripristino ha luogo: è essenziale che, quando sono necessarie, le copie dei dati siano disponibili e che le procedure di reinstallazione siano efficaci. Pertanto, è opportuno descrivere sinteticamente anche i criteri e le procedure adottate per il salvataggio dei dati al fine di una corretta esecuzione del loro ripristino. Informazioni essenziali (v. anche tab. 5.1) Per quanto riguarda il ripristino, le informazioni essenziali sono: Banca dati/data base/archivio: indicare la banca dati, il data base o l archivio interessati. Criteri e procedure per il salvataggio e il ripristino dei dati: descrivere sinteticamente le procedure e i criteri individuati per il salvataggio e il ripristino dei dati, con eventuale rinvio ad un ulteriore scheda operativa o a documentazioni analoghe. Pianificazione delle prove di ripristino: indicare i tempi previsti per effettuare i test di efficacia delle procedure di salvataggio/ripristino dei dati adottate. Ulteriori elementi per specificare i criteri e le procedure per il salvataggio e il ripristino dei dati (v. anche tab. 5.2) Data base: identificare la banca, la base o l archivio elettronico di dati interessati. Criteri e procedure per il salvataggio dei dati: descrivere sinteticamente la tipologia di salvataggio e la frequenza con cui viene effettuato. Modalità di custodia delle copie: indicare il luogo fisico in cui sono custodite le copie dei dati salvate. Struttura o persona incaricata del salvataggio: indicare la struttura o le persone incaricate di effettuare il salvataggio e/o di controllarne l esito. Pianificazione degli interventi formativi previsti (regola 19.6) Contenuti In questa sezione sono riportate le informazioni necessarie per individuare il quadro sintetico degli interventi formativi che si prevede di svolgere. Da indicare facoltativamente.

10 Informazioni essenziali Descrizione sintetica degli interventi formativi: descrivere sinteticamente gli obiettivi e le modalità dell intervento formativo, in relazione a quanto previsto dalla regola 19.6 (ingresso in servizio o cambiamento di mansioni degli incaricati, introduzione di nuovi elaboratori, programmi o sistemi informatici, ecc). Classi di incarico o tipologie di incaricati interessati: individuare le classi omogenee di incarico a cui l intervento è destinato e/o le tipologie di incaricati interessati, anche in riferimento alle strutture di appartenenza. Tempi previsti: indicare i tempi previsti per lo svolgimento degli interventi formativi. Trattamenti affidati all esterno (regola 19.7) Contenuti Redigere un quadro sintetico delle attività affidate a terzi che comportano il trattamento di dati, con l indicazione sintetica del quadro giuridico o contrattuale (nonché organizzativo e tecnico) in cui tale trasferimento si inserisce, in riferimento agli impegni assunti, anche all esterno, per garantire la protezione dei dati stessi. Informazioni essenziali Descrizione dell attività esternalizzata : indicare sinteticamente l attività affidata all esterno. Trattamenti di dati interessati: indicare i trattamenti di dati, sensibili o giudiziari, effettuati nell ambito della predetta attività. Soggetto esterno : indicare la società, l ente o il consulente cui è stata affidata l attività, e il ruolo ricoperto agli effetti della disciplina sulla protezione dei dati personali (titolare o responsabile del trattamento). Descrizione dei criteri: perché sia garantito un adeguato trattamento dei dati è necessario che la società a cui viene affidato il trattamento rilasci specifiche dichiarazioni o documenti, oppure assuma alcuni impegni anche su base contrattuale, con particolare riferimento, ad esempio, a: 1. trattamento di dati ai soli fini dell espletamento dell incarico ricevuto; 2. adempimento degli obblighi previsti dal Codice per la protezione dei dati personali; 3. rispetto delle istruzioni specifiche eventualmente ricevute per il trattamento dei dati personali o integrazione delle procedure già in essere; 4. impegno a relazionare periodicamente sulle misure di sicurezza adottate anche mediante eventuali questionari e liste di controllo- e ad informare immediatamente il titolare del trattamento in caso di situazioni anomale o di emergenze.

11 Cifratura dei dati o separazione dei dati identificativi (regola 19.8) Contenuti In questa sezione vanno rappresentate le modalità di protezione adottate in relazione ai dati per cui è richiesta la cifratura -o la separazione fra dati identificativi e dati sensibili-, nonché i criteri e le modalità con cui viene assicurata la sicurezza di tali trattamenti. Questo punto riguarda solo organismi sanitari e esercenti professioni sanitarie (regola 24). Informazioni essenziali Trattamenti di dati: descrivere i trattamenti (le banche o le basi di) dati oggetto della protezione Protezione scelta: riportare la tipologia di protezione adottata, scelta fra quelle indicate dal Codice o in base a considerazioni specifiche del titolare. Tecnica adottata: descrivere sinteticamente, in termini tecnici ed eventualmente organizzativi, la misura adottata. Ad esempio, in caso di utilizzo di cifratura, le modalità di conservazione delle chiavi e le procedure di utilizzo.

12 Parte II Tabelle Per ciascuna regola sono riportate, di seguito, una o più tabelle. Le istruzioni per la compilazione dei campi che le compongono è contenuta nella Parte I. Per ciascuna tabella può essere indicata facoltativamente anche la data di compilazione, che può rivelarsi utile qualora la tabella sia compilata in data significativamente diversa (antecedente) rispetto alla redazione finale del DPS.

13 Tabella 1.1 Elenco dei trattamenti: informazioni essenziali Descrizione sintetica del trattamento Finalità perseguita o attività svolta Categorie di interessati Natura dei dati trattati S G Struttura di riferimento Altre strutture (anche esterne) che concorrono al trattamento Descrizione degli strumenti utilizzati Tabella 1.2 Elenco dei trattamenti: ulteriori elementi per descrivere gli strumenti 2 Identificativo del trattamento Eventuale banca dati Ubicazione fisica dei supporti di memorizzazione Tipologia di dispositivi di accesso Tipologia di interconnessione 2 Da compilare facoltativamente, collegandola alla tabella precedente, ad esempio attraverso l identificativo.

14 Tabella 2 Competenze e responsabilità delle strutture preposte ai trattamenti Struttura Trattamenti effettuati dalla struttura Descrizione dei compiti e delle responsabilità della struttura Tabella 3 - Analisi dei rischi Rischi Si/No Descrizione dell impatto sulla sicurezza (gravità: alta/media/bassa) Comportamenti degli operatori sottrazione di credenziali di autenticazione carenza di consapevolezza, disattenzione o incuria comportamenti sleali o fraudolenti errore materiale altro evento

15 Eventi relativi agli strumenti azione di virus informatici o di programmi suscettibili di recare danno spamming o tecniche di sabotaggio malfunzionamento, indisponibilità o degrado degli strumenti accessi esterni non autorizzati intercettazione di informazioni in rete altro evento Eventi relativi al contesto accessi non autorizzati a locali/reparti ad accesso ristretto sottrazione di strumenti contenenti dati eventi distruttivi, naturali o artificiali (movimenti tellurici, scariche atmosferiche, incendi, allagamenti, condizioni ambientali, ecc.), nonché dolosi, accidentali o dovuti ad incuria guasto ai sistemi complementari (impianto elettrico, climatizzazione, ecc.) errori umani nella gestione della sicurezza fisica altro evento

16 Tab. 4.1 Le misure di sicurezza adottate o da adottare Misure Descrizione dei rischi contrastati Trattamen ti interessati Misura già in essere Misura da adottare (*) Struttura o persone addette all adozione (*) Indicare eventualmente i tempi previsti per l adozione delle misure Tab Scheda descrittiva delle misure adottate 3 Scheda n. Misura Descrizione sintetica Compilata da Data di compilazione Elementi descrittivi Data aggiornamento 3 Da compilare facoltativamente.

17 Tab Criteri e procedure per il ripristino della disponibilità dei dati Ripristino Banca /data base/archivio di dati Criteri e procedure per il salvataggio e il ripristino dei dati Pianificazione delle prove di ripristino Tab Criteri e procedure per il salvataggio dei dati 4 Salvataggio Banca dati Criteri e procedure per il salvataggio Luogo di custodia delle copie Struttura o persona incaricata del salvataggio 4 Da compilare facoltativamente.

18 Tab. 6 - Pianificazione degli interventi formativi previsti Descrizione sintetica degli interventi formativi Classi di incarico o tipologie di incaricati interessati Tempi previsti Tab. 7 - Trattamenti affidati all esterno Descrizione sintetica dell attività esternalizzata Trattamenti di dati interessati Soggetto esterno Descrizione dei criteri e degli impegni assunti per l adozione delle misure Tab. 8 - Cifratura dei dati o separazione dei dati identificativi (solo per organismi sanitari ed esercenti professioni sanitarie) Trattamenti di dati Protezione scelta (Cifratura/Separazione) Descrizione Tecnica adottata Informazioni utili

19 Parere - 03 giugno 2004 [doc. web n ] Albi e ordini professionali - Chiarimenti sui principali adempimenti in materia di protezione di dati personali nello svolgimento dell attività forense Roma, 3 giugno 2004 Prot n Consiglio nazionale forense Via del Governo Vecchio, ROMA Oggetto: sintesi dei principali adempimenti in materia di protezione di dati personali nello svolgimento dell'attività forense Nell'ambito della proficua collaborazione con gli organismi rappresentativi di categorie professionali, e al fine di favorire l'attuazione della disciplina in materia di protezione dei dati personali, l'autorità ritiene opportuno richiamare l'attenzione sui principali adempimenti nell'esercizio dell'attività forense, oggetto di alcune scadenze nel corrente semestre. 1. PREMESSA Va sottolineata preliminarmente la possibilità di adempiere agli obblighi di legge con modalità semplificate, organizzate dal titolare del trattamento in modo sistematico e altresì efficaci, attuando i principi di semplificazione ed efficacia che il Codice richiama tra i cardini generali della nuova disciplina (art. 2, comma 2, del Codice). In questo quadro, va ricordato che il titolare del trattamento è il soggetto cui competono le decisioni di fondo in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza. Quando l'attività professionale è prestata individualmente, il titolare del trattamento è la persona fisica dell'avvocato esercente. Ad analoga conclusione deve giungersi nel caso di attività svolta congiuntamente da due professionisti, i quali assumono in questa ipotesi la qualità di contitolari del medesimo trattamento. Quando, invece, l'attività è svolta in forma societaria o da un'associazione professionale o da una società tra avvocati, il titolare è l'entità nel suo complesso. In questo caso, gli adempimenti previsti dal Codice vanno pertanto attuati in termini unitari, evitando la loro frammentazione o ripetizione a cura dei singoli professionisti. Per tutti i trattamenti di dati che verranno richiamati nel presente parere, i dati personali vanno trattati in modo lecito e secondo correttezza; le informazioni utilizzate devono risultare inoltre pertinenti e non eccedenti rispetto alle finalità per le quali sono

20 raccolte o successivamente trattate (art. 11 del Codice). 2. Notificazione La maggior parte dei trattamenti di dati effettuati nell'esercizio dell'attività forense non è soggetta a notificazione. La notificazione del trattamento di dati al Garante deve avvenire solo se il trattamento effettuato dall'avvocato ricade nelle ipotesi considerate dall'art. 37, comma 1 del Codice. Il Garante ha anche sottratto dall'obbligo di notificazione alcuni dei trattamenti che rientrano in tali ipotesi, individuando i presupposti in base ai quali non devono essere notificati i trattamenti di dati genetici e biometrici effettuati da avvocati anche in forma associata (provvedimento 31 marzo 2004, adottato ai sensi dell'art. 37, comma 2). Non sono quindi soggetti più a notificazione "i trattamenti di dati genetici o biometrici effettuati nell'esercizio della professione di avvocato, in relazione alle operazioni e ai dati necessari per svolgere le investigazioni difensive di cui alla legge n. 397/2000, o comunque per far valere o difendere un diritto anche da parte di un terzo in sede giudiziaria. Ciò sempre che il diritto sia di rango almeno pari a quello dell'interessato e i dati siano trattati esclusivamente per tali finalità e per il periodo strettamente necessario al loro perseguimento". Per quanto riguarda, invece, le banche dati relative alla solvibilità economica, il Garante ha altresì sottratto dall'obbligo di notificazione "i trattamenti di dati registrati in banche di dati utilizzate in rapporti con l'interessato di fornitura di beni, prestazioni o servizi, o per adempimenti contabili o fiscali, anche in caso di inadempimenti contrattuali, azioni di recupero del credito e contenzioso con l'interessato", incluso il caso in cui il trattamento sia effettuato in fase precontrattuale. Pertanto, non devono essere tra l'altro, notificati i trattamenti relativi, a clienti o fornitori, effettuati da liberi professionisti per svolgere investigazioni difensive o curare la difesa in sede giudiziaria di diritti degli assistiti, salvo che il professionista costituisca un'apposita banca dati, gestita con strumenti elettronici, contenente dati relativi al rischio sulla solvibilità economica, alla situazione patrimoniale, al corretto adempimento di obbligazioni, a comportamenti illeciti o fraudolenti. 3. Misure di sicurezza I dati devono essere protetti da misure di sicurezza idonee e preventive, riducendo al minimo i rischi di distruzione, perdita, anche accidentale, di accesso non autorizzato o trattamento non consentito o non conforme alle finalità della raccolta (art. 31 del Codice). Alcune misure, c.d. "misure minime", sono obbligatorie anche sul piano penale, e sono diverse a seconda che il trattamento sia effettuato con l'ausilio di strumenti elettronici o solo manualmente (artt , nonché Allegato B) del Codice; v. anche i chiarimenti forniti dal Garante con nota n. 6588/31884 del 22 marzo 2004). In particolare, se sono trattati con strumenti elettronici dati sensibili o dati giudiziari, occorre redigere un documento programmatico sulla sicurezza (DPS) entro il 31 marzo di ogni anno (nel 2004, entro il prossimo 30 giugno come per le altre nuove misure

21 minime; artt. 34, comma 1, lett. g) e 180 del Codice; regola 19 dell'allegato B). Sul sito web del Garante ( è disponibile una guida operativa per redigere tale documento. Per quanto riguarda l'organizzazione del lavoro quotidiano di studio, va osservato che, contrariamente a quanto ipotizzato in alcuni quesiti formulati da singoli professionisti, non occorre depennare il nome delle parti dalla copertina dei fascicoli cartacei, utilizzando al suo posto solo numeri identificativi. Resta invece necessario seguire opportune modalità per rendere i fascicoli e la relativa documentazione accessibili agli incaricati del trattamento nei casi e per le finalità previsti. 4. Soggetti preposti al trattamento 4.1. Responsabile La designazione del responsabile del trattamento di dati da parte del titolare è facoltativa. Nel caso in cui, specie in realtà organizzative di grandi dimensioni, si ritenga utile preporre un responsabile, la sua designazione deve avvenire in base ai criteri previsti dal Codice (art. 29). Il responsabile esegue i compiti specificati analiticamente per iscritto dal titolare del trattamento, il quale deve vigilare sulla puntuale osservanza delle disposizioni in materia di trattamento. Può trattarsi anche di un soggetto esterno -persona fisica o giuridica- che svolga prestazioni strumentali e subordinate alle scelte del titolare del trattamento. Per esigenze organizzative possono essere designati responsabili anche più soggetti, mediante eventuale suddivisione di compiti Incaricati. Tutte le persone fisiche che hanno accesso ai dati a vario titolo (avvocati, praticanti, collaboratori e personale amministrativo) devono essere designate per iscritto quali incaricati del trattamento. L'atto di designazione, da parte del titolare o dell'eventuale responsabile, deve individuare l'ambito del trattamento consentito agli incaricati, i quali devono attenersi alle istruzioni impartite. Si possono utilizzare le modalità semplificate previste dall'art. 30, comma 2, del Codice. 5. Difesa di diritti e investigazioni difensive Le disposizioni che agevolano il lavoro dell'avvocato per effetto del bilanciamento operato dal Codice tra il diritto di difesa e gli altri diritti e libertà fondamentali delle persone interessate non operano solo durante lo svolgimento di un giudizio necessariamente già instaurato. In senso analogo dispone anche la legge n. 397/2000 per ciò che attiene al rapporto tra indagini difensive e procedimento penale. Le disposizioni del Codice possono essere utilmente applicate anche nella fase propedeutica all'instaurazione del giudizio, se l'attività è finalizzata effettivamente ed

22 esclusivamente a verificare l'esistenza di un diritto da tutelare in giudizio o l'eventualità di tale utile difesa nel giudizio medesimo. Ad analoga conclusione deve giungersi per particolari procedimenti o fasi propedeutiche nelle quali il diritto viene tutelato anche in sede amministrativa o in procedure di arbitrato o conciliazione previste dalla normativa comunitaria, da leggi, regolamenti o contratti collettivi Informativa Il cliente deve ricevere un'informativa, orale o scritta, prima della raccolta dei dati, ad esempio al momento del conferimento dell'incarico. Gli elementi da precisare sono indicati nel Codice (art. 13). É possibile utilizzare formule colloquiali per evidenziare -anche in modo sintetico, ma senza lacune o ambiguità- alcune circostanze che riguardano le finalità e le modalità del trattamento cui sono destinati i dati, la natura obbligatoria o facoltativa del loro conferimento, le conseguenze dell'eventuale rifiuto di rispondere, i soggetti e le categorie di soggetti ai quali possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati, l'ambito di diffusione dei dati medesimi, i diritti del cliente interessato (art. 7 del Codice) e gli estremi identificativi del titolare e degli eventuali responsabili del trattamento, se designati. Questa informativa è sempre necessaria quando i dati sono raccolti direttamente presso l'interessato, anche in caso di raccolta di dati attraverso ascolto, registrazione o intercettazione di conversazioni (cfr. provv. del Garante del 19 febbraio 2002). É possibile tuttavia non indicare gli elementi già noti alla persona che fornisce i dati (art. 13, comma 2). L'interessato deve poter individuare agevolmente chi è il titolare del trattamento (si veda quanto richiamato in premessa). Se è prevista una raccolta presso terzi di dati relativi al cliente, questa circostanza può essere evidenziata subito nell'informativa al cliente stesso, rendendo in tal modo superflua l'ulteriore informativa che, in alcuni casi, è necessaria in caso di dati raccolti presso terzi (cfr. art. 13, comma 4). Rispetto al quadro sin qui delineato, la disciplina è in parte diversa quando i dati personali trattati riguardano persone diverse dal cliente. In tal caso, se i dati sono trattati solo al fine di svolgere investigazioni difensive o comunque per far valere o difendere un diritto in sede giudiziaria, l'informativa è necessaria solo se i dati sono trattati per un periodo superiore a quello strettamente necessario per perseguire tali finalità, oppure per altre finalità con esse non incompatibili. Una fattiva collaborazione con codesto Consiglio e con altri organismi rappresentativi interessati potrà risultare utile per individuare formule armonizzate per adempiere contestualmente, e in modo agevole, sia agli obblighi informativa nella materia in esame, sia a quelli previsti dalla legge n. 397 del 2000 in tema di indagini difensive nella materia penale, eventualmente anche nell'ambito del codice deontologico previsto (art. 135 del Codice).

23 5.2. Consenso Dati comuni Non occorre richiedere il consenso del cliente quando il trattamento dei dati "comuni" (si tratta dei dati diversi da quelli sensibili e giudiziari tassativamente elencati dal Codice: art. 4, comma 1, lett. d) e c)) è necessario per adempiere agli obblighi del contratto di prestazione d'opera (art. 24, comma 1, lett. b) del Codice). Se, invece, i dati si riferiscono a terzi, il consenso non è egualmente richiesto quando il trattamento è necessario per svolgere indagini difensive o per far valere o difendere un diritto in sede giudiziaria. I dati devono essere però trattati esclusivamente per tali finalità e per il periodo strettamente necessario a perseguirle (art. 24, comma 1, lett. f) del Codice). Se non ricorrono queste finalità, il consenso è necessario se non è possibile fare utile applicazione di altri presupposti equipollenti del trattamento (dati "pubblici", informazioni relative ad attività economiche, adempimento di un obbligo di legge, ecc.: v. art. 24 del Codice) Dati sensibili Non occorre richiedere il consenso -che per i dati sensibili va manifestato per scritto- quando il trattamento è necessario per svolgere indagini difensive o per far valere o difendere un diritto in sede giudiziaria. In tal caso, i dati devono essere trattati esclusivamente per tali finalità e per il periodo strettamente necessario al loro perseguimento. Non è parimenti necessario richiedere al Garante il rilascio di una specifica autorizzazione. L'Autorità ne ha rilasciata da tempo una di carattere generale (aut. n. 4/2002), efficace sino al prossimo 30 giugno. La stessa verrà sostituita da un'autorizzazione analoga anch'essa "automaticamente" operante per tutti gli operatori interessati che svolgano le attività in essa indicate. Il trattamento può riguardare i dati sensibili relativi ai clienti. I dati sensibili relativi a terzi possono essere trattati se ciò è strettamente indispensabile per eseguire specifiche prestazioni professionali richieste dai clienti per scopi determinati e legittimi. In ogni caso, i dati devono essere strettamente pertinenti e non eccedenti rispetto ad incarichi conferiti che non possano essere svolti trattando dati anonimi o dati personali di natura diversa Dati idonei a rivelare lo stato di salute e la vita sessuale e "pari rango". Quando, tra i dati sensibili, si utilizzano quelli idonei a rivelare lo stato di salute e la vita sessuale, il loro trattamento può avvenire senza consenso quando il diritto difeso o fatto valere in giudizio è di rango pari a quello della persona cui si riferiscono i dati. In tal caso, il diritto tutelato deve consistere in un diritto della personalità o in un altro diritto o libertà fondamentale o inviolabile. Nel procedere a tale specifica valutazione, è necessario utilizzare come parametro di raffronto il diritto sottostante che il terzo intende far valere sulla base del materiale documentale che chiede di conoscere, anziché il "diritto di

24 azione e difesa", pure costituzionalmente garantito (e preso per molti altri aspetti in considerazione dal Codice a prescindere dall'"importanza" del diritto sostanziale fatto valere: provv. del Garante 9 luglio 2003). Sempre in materia di dati sulla salute e la vita sessuale, va richiamata l'attenzione sulla necessità di rispettare anche le specifiche prescrizioni dell'autorizzazione generale n. 2/ Dati giudiziari. Non è richiesto il consenso per trattare i dati giudiziari che il Codice individua ora in termini più ampi rispetto al passato (artt. 4, comma 1, lett. e) e 27 del Codice). Il professionista deve rispettare le prescrizioni di una specifica autorizzazione, anch'essa già rilasciata con un atto di carattere generale avente le caratteristiche suindicate (aut. gen. n. 7/2002). In particolare, i dati giudiziari relativi a terzi possono essere trattati quando ciò è strettamente indispensabile per eseguire specifiche prestazioni professionali richieste dai clienti per scopi determinati e legittimi. 6. Attività stragiudiziale Tenendo presenti le considerazioni sopra espresse a proposito della sfera di applicazione delle disposizioni sull'esercizio di un diritto in sede giudiziaria, va rilevato che all'attività stragiudiziale non sono applicabili le eccezioni previste dal Codice per gli obblighi di informativa in tema di dati raccolti presso terzi (art. 13, comma 5) e di consenso (artt. 24, comma 1, lett. f) e 26, comma 4, lett. c)). Tuttavia, anche in materia stragiudiziale potrà comunque farsi utile applicazione, per i dati "comuni", di altri presupposti equipollenti al consenso (dati relativi ad attività economiche; adempimento di obblighi di legge; ecc.) Informativa L'informativa, resa nei termini illustrati, in caso di raccolta presso terzi deve essere resa all'interessato all'atto della registrazione dei dati o non oltre la prima comunicazione a terzi Consenso Dati comuni Il consenso del cliente non è richiesto secondo quanto esposto al punto Il trattamento dei dati comuni di soggetti diversi dal cliente, nel caso in cui non possa applicarsi uno degli altri presupposti di cui all'art. 24 del Codice (ad esempio, dati "pubblici"), deve avvenire con il consenso dell'interessato Dati sensibili Il trattamento richiede il consenso scritto dell'interessato. Per quanto riguarda l'autorizzazione del Garante, opera l'autorizzazione generale n. 4/2002. L'incarico ricevuto dal professionista deve rientrare tra quelli che quest'ultimo può eseguire in base all'ordinamento professionale di riferimento.

25 Dati idonei a rivelare lo stato di salute e la vita sessuale Analogamente a quanto già accennato, il trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale richiede il consenso scritto dell'interessato e deve essere effettuato anche nel rispetto dell'autorizzazione generale n. 2/ Dati giudiziari Si formulano considerazioni analoghe a quanto illustrato al punto Altri aspetti Nell'ambito dei proficui contatti avuti con codesto Consiglio nazionale e con vari ordini, questa Autorità ha già manifestato la propria disponibilità a fornire chiarimenti e pareri in altre tematiche da approfondire, come quella del rapporto con gli investigatori privati autorizzati, della conservazione di documenti (in relazione ad eventuali altri incarichi, obblighi di legge, ecc.), della conoscibilità di atti e documenti in sede giudiziaria (calendari delle udienze, rilascio di copia delle pronunce giudiziarie, accessibilità in rete a tali documenti, ecc.), della pertinenza e non eccedenza dei dati prodotti nel giudizio, della notificazione di atti giudiziari, dei diritti degli interessati nella fase esecutiva e dell'informatica giuridica. Si conferma questa disponibilità ringraziando per l'attenzione dimostrata alle problematiche applicative del Codice. IL SEGRETARIO GENERALE Giovanni Buttarelli

26 NUMERO MAGGIO 2004 ADEMPIMENTI SEMPLIFICATI PER GLI AVVOCATI Adempimenti semplificati per gli avvocati Chiarimenti del Garante sui quesiti degli avvocati. Informativa ai clienti, ma consenso solo in casi specifici. Nomi delle parti sulle copertine dei fascicoli. Adempimenti semplificati per gli avvocati e privacy dei clienti più garantita anche nel corso delle attività che precedono il giudizio. Notificazioni dei trattamenti solo nei casi indicati dal Codice o in quelli stabiliti dal Garante. Informativa ai clienti, scritta o orale, anche in forma sintetica o colloquiale, purché completa. Adozione di idonee misure per la salvaguardia dei dati e redazione di in documento programmatico sulla sicurezza in caso di trattamento di dati sensibili o giudiziari in via informatica, entro il 30 giugno In un parere (consultabile sul sito indirizzato al Consiglio nazionale forense l Ufficio del Garante ha fornito alcuni chiarimenti per una corretta applicazione della disciplina sulla privacy nell esercizio dell attività forense. Quando l attività è svolta individualmente, titolare del trattamento è lo stesso avvocato. A lui spettano le decisioni sull uso dei dati, gli strumenti impiegati, il profilo della sicurezza. Sono contitolari del medesimo trattamento due professionisti che operano congiuntamente. Se l attività è invece svolta in forma societaria o associata il titolare è l entità nel suo complesso. In questo caso gli adempimenti previsti dal Codice devono essere attuati unitariamente per evitare frammentazioni o ripetizioni da parte dei singoli professionisti. La designazione del responsabile del trattamento è facoltativa, ma nelle grandi organizzazioni ne possono essere designati anche diversi. Chiunque ha accesso ai dati (praticanti, personale amministrativo ecc.), deve essere designato quale incaricato del trattamento, e per iscritto devono essere indicati anche i compiti. L avvocato è tenuto alla notificazione solo nei casi previsti dal Codice tenendo anche presenti quelli che sono stati sottratti a tale obbligo dal Garante. Dall aprile 2004, in base ad un provvedimento dell Autorità, non sono infatti più soggetti a notificazione i trattamenti di dati genetici e biometrici effettuati nel corso di investigazioni difensive o per far valere o difendere un diritto in giudizio, purché il diritto che si intende far valere sia almeno dello stesso rango di quello dell interessato. Non vanno inoltre notificati i trattamenti di dati economici relativi a clienti o fornitori, purché l avvocato non costituisca una banca dati informatica, con dati sulla solvibilità, situazione patrimoniale ecc. Il cliente deve essere sempre informato, anche in forma orale e sintetica purché completa, sull uso che verrà fatto dei suoi dati personali. I dati comuni e sensibili possono essere trattati senza consenso solo se il loro uso è necessario per svolgere indagini difensive o far valere un diritto. Se tra i dati sensibili vi sono anche informazioni relative a salute e vita sessuale il diritto difeso o fatto valere in giudizio deve essere un diritto della personalità o un altro diritto o libertà fondamentale o inviolabile. Non è richiesto il consenso per trattare i dati giudiziari, ma l avvocato deve rispettare le prescrizioni dell autorizzazione generale rilasciata a suo tempo dal Garante I dati dei clienti, inoltre, devono essere protetti da misure di sicurezza idonee e preventive per ridurre al minimo i rischi di distruzione, perdita, accesso non autorizzato ecc. Alcune cautele, le cosiddette misure minime di sicurezza, sono obbligatorie e hanno risvolti anche sul piano penale. In particolare, l avvocato che tratta dati sensibili o giudiziari con mezzi informatici è tenuto a predisporre un documento programmatico sulla sicurezza (Dps) entro il 31 marzo di ogni anno (per il 2004 entro il prossimo 30 giugno). Il Garante ha anche precisato che, contrariamente a quanto ipotizzato in diversi quesiti posti ai propri uffici, non occorre sostituire i nomi delle parti sul fascicolo cartaceo con un codice identificativo: è sufficiente adottare opportune precauzioni per rendere la documentazione accessibile solo al personale autorizzato. Regole diverse si applicano all esercizio dell attività stragiudiziale (arbitrati, conciliazioni, ricorsi amministrativi) dove il trattamento dei dati comuni di soggetti diversi dal cliente, a meno che siano dati ricavabili da fonti pubbliche, deve avvenire con il consenso dell interessato. Consenso che deve essere 1

27 scritto nel caso si tratti di dati sensibili, giudiziari o di informazioni sulla salute e le abitudini sessuali. Il Garante ha espresso, infine, al Consiglio nazionale forense la propria disponibilità a fornire ogni altro chiarimento e parere anche in altre tematiche da approfondire, quali ad esempio quelle del rapporto con gli investigatori privati, della conservazione di documenti, della conoscibilità di atti e documenti in sede giudiziaria. 2