Il Nuovo Codice Privacy in materia di protezione dei dati personali (D. Lgs. 196/2003)

Transcript

1 Il Nuovo Codice Privacy in materia di protezione dei dati personali (D. Lgs. 196/2003) Premessa Dal 1 Gennaio 2004 è entrato in vigore il Nuovo Codice Privacy (D.Lgs. 196/2003) il quale ha modificato il quadro delle misure minime di sicurezza che devono essere adottate nel trattamento dei dati personali, abrogando la precedente Legge 675/96. Questo nuovo decreto raccoglie e riordina le numerose norme che si sono succedute in materia e rinnova l intera disciplina, introducendo nuove misure di sicurezza e nuove disposizioni e codici di deontologia per alcuni settori specifici. Alla luce delle nuove disposizioni occorre mettere in atto un insieme d accorgimenti atti a garantire l inviolabilità, la congruenza e la corretta modalità di gestione delle informazioni legate alla sfera privata dei singoli individui (persone fisiche e giuridiche). L obiettivo è quello di garantire la riservatezza e la sicurezza delle informazioni gestite in formato elettronico e cartaceo da parte di aziende pubbliche e private, associazioni, studi professionali e liberi professionisti. Nell ottica di ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta (art. 31), la legge prescrive una serie di disposizioni da adottare da parte del Titolare, ovvero la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro Titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza (art. 4). I dati da tutelare sono quelli riferiti agli interessati del trattamento, ovvero la persona fisica (il dipendente, il consumatore,..) o l ente giuridico (la società cliente, il fornitore,..) che rilascia i suoi dati personali per determinate finalità. Il legislatore ha posto l attenzione sul dato e sulla modalità di trattamento (cartacea e/o elettronica) dello stesso, premettendo che non può essere garantita la riservatezza del dato se l incaricato del trattamento (colui che effettua il trattamento dei dati) non rispetta determinate misure di sicurezza (minime, idonee e preventive). Affinché venga limitato il rischio che i dati personali trattati possano essere distrutti, dispersi, conosciuti al di fuori dei casi consentiti o comunque trattati in modo illecito, occorre approntare un efficace sistema di custodia e controllo degli stessi.

2 Il Titolare deve predisporre le seguenti misure: Adempimenti Definire un organigramma privacy con nomina del responsabile\i e degli incaricati al trattamento dei dati; fornire istruzioni operative agli incaricati del trattamento; formare il personale; informare ai sensi dell art. 13 i dipendenti, clienti e fornitori interessati al trattamento; garantire ai sensi dell art. 7 i diritti degli interessati; effettuare l analisi dei rischi ed aggiornare entro il 31 marzo di ogni anno il Documento Programmatico sulla Sicurezza; riportare nella relazione accompagnatoria al bilancio dell avvenuta redazione del DPS; censire annualmente i dati definendo idonei tempi di conservazione degli stessi; adottare le Misure minime di sicurezza; adottare accorgimenti particolari nella gestione dei dati sensibili e giudiziari; garantire l adeguamento e/o aggiornamento periodico e sistematico delle misure minime previste dal Documento Programmatico sulla Sicurezza; fare la notifica al Garante nei casi e secondo le modalità previsti dagli articoli 37 e 38; adottare determinati disposizioni per il trasferimento dei dati all estero (art ); Misure Minime di Sicurezza Focalizzando l attenzione sulle misure minime da adottare, l art. 34 recita che il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell'allegato B), le seguenti misure minime: a) autenticazione informatica; b) adozione di procedure di gestione delle credenziali di autenticazione; c) utilizzazione di un sistema di autorizzazione; d) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito a singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici; e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici; f) adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi; g) tenuta di un aggiornato documento programmatico sulla sicurezza; h) adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari.

3 Il Documento Programmatico della Sicurezza Il Documento programmatico sulla sicurezza (DPS) è uno strumento fondamentale per dimostrare che l azienda ha messo in atto tutte le misure previste dal Codice (o sta procedendo alla messa in atto di queste), quelle minime ed eventualmente le idonee. Il DPS deve essere contenere: l'elenco dei trattamenti di dati personali; la distribuzione dei compiti e delle responsabilità nell'ambito delle strutture preposte al trattamento dei dati; l'analisi dei rischi che incombono sui dati; le misure da adottare per garantire l'integrità' e la disponibilità dei dati, nonché la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità; la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento (in tempi certi compatibili con i diritti degli interessati e non superiori a sette giorni); la previsione di interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal Titolare. La formazione e' programmata già al momento dell'ingresso in servizio, nonché in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati personali; la descrizione dei criteri da adottare per garantire l'adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformità al codice, all'esterno della struttura del Titolare; per i dati personali idonei a rivelare lo stato di salute e la vita sessuale (riguardante gli organismi sanitari e gli esercenti le professioni sanitarie), l'individuazione dei criteri da adottare per la cifratura o per la separazione di tali dati dagli altri dati personali dell'interessato. Con la nuova normativa, il DPS diventa obbligatorio per le categorie di soggetti, pubblici e privati, che si trovano a trattare dati personali con uso di strumenti elettronici, anche se questi ultimi non sono collegati ad una rete pubblica. Questo vuol dire che la presenza di dati personali in un solo PC, anche non collegato ad alcuna rete, né locale né Internet, è sufficiente a rendere obbligatoria la stesura del DPS. Per inciso la legge prevede, al punto 26 dell allegato B, che il Titolare riferisca nella relazione accompagnatoria del bilancio d'esercizio, se dovuta, dell'avvenuta redazione o aggiornamento del documento programmatico sulla sicurezza: pertanto con la nuova normativa il DPS diviene a tutti gli effetti un documento fondamentale per l azienda.

4 Privacy: Incombenza od opportunità? Un buon lavoro di controllo e monitoraggio delle proprie banche dati elettroniche e cartacee, in ogni fase del ciclo di vita del dato all interno della propria organizzazione, consente di compiere un analisi accurata dei flussi informativi della propria azienda, favorendo ottimizzazioni ed eliminando inefficienze e fattori di rischio. Alla luce di quanto detto aldilà degli adempimenti obbligatori previsti dalla legge, siamo convinti che la privacy debba essere affrontata come un processo di tipo organizzativo che deve essere integrato opportunamente all interno dei processi di ogni singola realtà aziendale. Solo così si potrà avere un adeguata applicazione del codice privacy da parte di tutte le funzioni aziendali, evitando formalismi inutili fine a se stessi. Sanzioni Se da un lato le nuove misure sono più rigorose di quelle previste dalla vecchia normativa, dall altro esse implicano, qualora disattese, importanti sanzioni di carattere penale ed amministrativo. Responsabilità penale Trattamento illecito (art. 167) Omessa adozione misure minime (art. 169) Inosservanza provvedimenti del Garante (art. 170) Falsità nelle dichiarazioni e notificazioni al Garante (art. 168) Responsabilità civile Mancata adozione delle misure idonee ad evitare il danno (art. 15 D. Lgs. 196/03, art codice civile) Sanzioni amministrative Omessa o inidonea informativa all interessato (art. 161) Omessa informazione o esibizione documenti al Garante (art.164) DESCRIZIONE Omessa o inidonea informativa Cessione illecita dei dati Trattamento illecito dei dati Mancata adozione delle misure minime di sicurezza Inosservanza dei provvedimenti adottati dal Garante SANZIONE Da a euro Da a euro Reclusione da 6 mesi a 3 anni Arresto fino a 2 anni ovvero sanzione amministrativa da a euro Reclusione da 3 mesi a 2 anni

5 La somma può essere aumentata sino al triplo quando risulta inefficace in ragione delle condizioni economiche del contravventore. Danno patrimoniale commisurato al danno: Chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell art del codice civile. Il danno non patrimoniale è risarcibile anche in caso di violazione: di un trattamento illecito dei dati; di una raccolta e registrazione per scopi illegittimi; di una gestione inesatta e non veritiera dei dati; di una eccedenza dei dati trattati in violazione ai principi di pertinenza e necessità; di una conservazione dei dati superiore ai limiti di legge e alla necessità rispetto agli scopi per i quali essi sono stati acquisiti o successivamente trattati; La nostra consulenza Il servizio di consulenza che Vi proponiamo è un progetto a corpo all interno del quale ci prefiggiamo l obiettivo di progettare, realizzare e rendere il Sistema Privacy completamente allineato ai requisiti di legge in materia. La metodologia adottata dalla nostra Società rispecchia la volontà di seguire il cliente durante tutto l iter d approntamento e regolarizzazione del suo Sistema Privacy, dall analisi iniziale alla verifica finale. La soluzione che Vi proponiamo comprende le seguenti fasi operative: Incontro (uno o più se necessario) presso le Vs. sedi al fine di censire i dati trattati, le modalità di trattamento e gli strumenti informatici utilizzati; compilazione congiunta della Check-List riassuntiva; analisi dei dati raccolti e valutazione dei rischi conseguenti alla Vs. situazione attuale; analisi e definizione dei ruoli soggettivi (interni ed esterni) al fine di individuare un Organigramma della Privacy; individuazione di eventuali adeguamenti infrastrutturali (hardware e software) atti ad accrescere la protezione da accessi indesiderati ed a garantire una corretta modalità di trattamento dei dati, per l adeguamento al D.Lgs. 196/2003; redazione della modulistica informativa e dei consensi: un modello per ogni singola tipologia (fornitore/cliente/dipendente); supporto per l integrazione del D. Lgs. 196/2003 sul internet della società; redazione delle lettere di nomina e delle istruzioni operative che i singoli addetti al trattamento dei dati (personale o eventuali fornitori) devono seguire per ottemperare agli obblighi del decreto legge; analisi dei processi aziendali e customizzazione della privacy all interno della documentazione contrattuale (selezione del personale, gestione clienti, gestione fornitori, videosorveglianza, ecc.);

6 redazione del Manuale Privacy della Società che contempla la politica privacy e le procedure applicabili all interno di tutta l organizzazione; revisione del Documento Programmatico sulla Sicurezza a revisione 2 per il 2006; consegna e spiegazione della documentazione e modulistica prodotta; formazione degli addetti al trattamento dei dati personali; auditing finale per verificare il grado di efficacia nell implementazione del sistema. Nell ottica di apportare valore aggiunto al servizio offerto, ci proponiamo di verificare quali misure minime obbligatorie siano state o meno approntate e quali suggerimenti organizzativi e/o infrastrutturali siano stati seguiti. La verifica di controllo avverrà in data da definire subito dopo la consegna del DPS, ed avrà l obiettivo di verificare il grado di comprensione ed applicazione del nuovo Sistema Privacy implementato. A seguito dell incontro verrà rilasciato un Rapporto di verifica nel quale sarà puntualizzato quanto riscontrato. Lo schema che segue riporta graficamente la sequenza delle fasi del servizio di consulenza:

7 Formazione Il corso della durata di 4 ore, erogato direttamente presso la sede del cliente, tratterà i seguenti argomenti: Il Codice Privacy: novità introdotte; classificazione dei dati; trattamento dei dati; organigramma privacy; lettere di nomina & istruzioni operative; informative & consenso; i diritti degli interessati; gli adempimenti organizzativi previsti dalla legge; le misure minime di sicurezza; l analisi dei rischi; il documento programmatico della sicurezza; il trattamento dei dati in formato elettronico; il trattamento dei dati in formato cartaceo; il regime sanzionatorio; gli adempimenti periodici; la privacy come processo organizzativo; il comportamento corretto degli incaricati del trattamento: come utilizzare i computer aziendali conformemente alla riservatezza e agli interessi di sicurezza dell azienda; le responsabilità oggettive dei dipendenti in qualità d incaricati del trattamento; i provvedimenti del garante: casi reali sanzionati; sintesi degli accorgimenti operativi per tutelare il proprio lavoro quotidiano; dibattito libero Manutenzione e Assistenza Il Testo Unico sulla privacy prevede tutta una serie di misure periodiche da adottare ogni anno per ottemperare agli obblighi del vigente codice in materia di trattamento dei dati personali. Ad integrazione di quelli che sono gli adempimenti periodici previsti dal codice, quali ad esempio l aggiornamento annuale del Documento Programmatico della Sicurezza, i provvedimenti del Garante emessi periodicamente dallo stesso, vanno a completare ed interpretare la legislazione esistente nei vari settori di attività. I recenti provvedimenti su internet e le centrali dei rischi ad esempio, denotano come questa materia implichi un continuo aggiornamento su quelle che sono le tematiche specifiche connesse al trattamento e alla tutela dei dati. L attività di assistenza e manutenzione mira quindi a: realizzare una volta l anno l analisi dei rischi sul trattamento dei dati; garantire l aggiornamento del sistema privacy con la revisione annuale del documento programmatico della sicurezza; aggiornare il personale con un corso di formazione l anno; integrare il sistema privacy dell organizzazione con le nuove disposizioni del Garante; garantire l assistenza e la consulenza specialistica su specifiche esigenze del cliente attinenti il trattamento, la sicurezza e la riservatezza sui dati;

8 verificare la corretta applicazione ed interpretazione del sistema privacy all interno dell organizzazione con una verifica ispettiva l anno mirata; supportare amministratori di sistema ed eventuali società esterne nella corretta attuazione delle misure minime di sicurezza anche in virtù di aggiornamenti del sistema informativo aziendale; Il contratto di Assistenza e Manutenzione del Sistema Privacy dura un anno. Il servizio in oggetto non prevede l adozione delle misure sistemistiche (cambio password, aggiornamento dei sistemi, ecc.) che rimane a carico della risorsa interna individuata e nominata come amministratore di sistema. Chi siamo Inline S.r.l. è una società formata da un team di esperti di sicurezza e di problematiche organizzative e tecnologiche che si occupa di gestione della sicurezza in modo esaustivo, a partire dall analisi del rischio fino all implementazione di complete e complesse soluzioni tecnologiche. Inline è composta da un team di professionisti con comprovata esperienza nella progettazione e certificazione di sistemi di gestione aziendali (qualità, ambiente, etica, sicurezza), e nell erogazione di consulenze e formazione professionale su tematiche correlate (videosorveglianza, biometria, tecnologie RDF, legge antiterrorismo, ecc.). Negli ultimi due anni, la società ha maturato un esperienza significativa sul D. Lgs. 196/2003, diventando un riferimento primario nel mondo alberghiero (partner ufficiale della Federalberghi di Roma) conformando un centinaio di aziende della piccola e media impresa, ed acquisendo importanti contratti con grandi brand internazionali. Per informazioni o comunicazioni info@inlinesrl.com Responsabile Consulenza Direzionale Privacy Luca Tarullo