STUDIO DOTT. BONVICINI. Circolare n. 3 del 10 aprile 2004

Transcript

1 STUDIO DOTT. BONVICINI Circolare n. 3 del 10 aprile 2004 Settore: Oggetto: PRIVACY IL CODICE DELLA PRIVACY: NOVITÀ E CONFERME Riferimenti: D.Lgs , n. 196 Dall è in vigore il nuovo Testo Unico in materia di tutela dei dati personali (o Codice della privacy) che introduce una relativa semplificazione delle incombenze in capo al titolare del trattamento.. Con la presente circolare si esaminano inoltre 2 aspetti particolari che interessano la gestione della posta elettronica aziendale e la pratica dello spamming. Il D.Lgs. n. 196/2003, contenente le disposizioni relative alla tutela dei dati personali in vigore dall , è stato formulato tenendo conto delle esperienze derivanti dall applicazione pratica della Legge n. 675/96 e delle esigenze di modifica e rinnovamento degli adempimenti ivi imposti. Pur non apportando sostanziali modifiche rispetto alla normativa precedente nei rapporti tra titolare e interessato al trattamento, il nuovo Codice della privacy costituisce una svolta significativa dal punto di vista degli obblighi imposti al titolare del trattamento nei rapporti con l Autorità Garante, rovesciando il principio su cui si fonda l obbligo di notifica, ora previsto solo per determinate fattispecie. NOVITÀ Le novità introdotte dal D.Lgs. n. 196/2003 in esame sono riassumibili nelle seguenti previsioni normative. LIMITAZIONE DELL OBBLIGO DI NOTIFICA AL GARANTE L obbligo di notifica all Autorità Garante (ossia di dichiarazione dell esistenza di un attività di raccolta e utilizzazione dei dati personali) non è più esteso alla generalità dei soggetti bensì è ristretto ad alcune categorie tassativamente stabilite dall art. 37 dello stesso Decreto in relazione alla tipologia dei dati trattati e allo scopo del trattamento. NOTIFICA AL GARANTE Obbligo nei soli casi espressamente previsti dall art. 37, D.Lgs. n. 196/2003 I casi in cui la notifica preventiva deve essere eseguita sono relativi ai seguenti trattamenti: dati genetici, biometrici o che indicano la posizione geografica di persone od oggetti mediante una rete di comunicazione elettronica (ad esempio, sistemi di video sorveglianza sia pubblici che privati); dati idonei a rilevare lo stato di salute e la vita sessuale, trattati a fini di procreazione assistita, prestazione di servizi sanitari per via telematica relativi a banche di dati o alla fornitura di beni, indagini epidemiologiche, rilevazione di malattie mentali, infettive e diffusive, sieropositività, trapianto di organi e tessuti e monitoraggio della spesa sanitaria;

2 dati idonei a rivelare la vita sessuale o la sfera psichica trattati da associazioni, enti od organismi senza scopo di lucro, anche non riconosciuti, a carattere politico, filosofico, religioso o sindacale; A tale proposito, va evidenziato che con l entrata in vigore del nuovo Codice della privacy risulta rovesciata la posizione degli enti non profit, soprattutto se operanti in campo sociosanitario ed assistenziale, che in precedenza figuravano tra i soggetti esonerati dall obbligo di notifica. dati trattati con l ausilio di strumenti elettronici volti a definire il profilo o la personalità dell interessato o ad analizzare abitudini o scelte di consumo, ovvero a monitorare l utilizzo di servizi di comunicazione elettronica con esclusione dei trattamenti tecnicamente indispensabili per fornire i servizi medesimi agli utenti; dati sensibili registrati in banche di dati a fini di selezione del personale per conto terzi, nonché dati sensibili utilizzati per sondaggi di opinione, ricerche di mercato e altre ricerche campionarie; dati registrati in apposite banche di dati gestite con strumenti elettronici e relative al rischio sulla solvibilità economica, alla situazione patrimoniale, al corretto adempimento di obbligazioni, a comportamenti illeciti o fraudolenti. L elencazione formulata dal legislatore, basata sul concetto di pericolosità del trattamento quale possibilità di recare pregiudizio a terzi, non è immutabile, ma lascia al Garante la facoltà di individuare, con proprio provvedimento, altri trattamenti suscettibili di pregiudicare i diritti e le libertà dell interessato. MODALITÀ DI PRESENTAZIONE DELLA NOTIFICA Dall la notifica al Garante deve essere effettuata: solo in via telematica compilando il modello disponibile sul sito Internet Non è quindi più ammesso l utilizzo di modelli cartacei o floppy disk, né per la compilazione né per l invio; con sottoscrizione mediante firma digitale. Qualora il titolare del trattamento non disponga di tale dispositivo, può effettuare l invio telematico attraverso un intermediario autorizzato. Ad oggi, il Garante ha stipulato una convenzione con le Poste Italiane Spa, in base alla quale la notifica può essere trasmessa presso gli uffici postali, ad un costo massimo di 25. NOTIFICA AL GARANTE Invio telematico Firma digitale Su apposito modello informatico La notifica va inoltrata, da parte del titolare, una sola volta e prima dell inizio del trattamento. Attività già in essere all Va sottolineato che per le attività di trattamento in essere prima dell , la notifica, se necessaria sulla base delle nuove disposizioni, deve essere effettuata entro il , anche se è stata inviata in precedenza in base alla Legge n. 675/96. In tal caso, il titolare deve dichiarare comunque di effettuare una nuova notifica. È in ogni caso richiesta una nuova notifica: a) prima della definitiva cessazione dell attività di trattamento; b) prima che si apportino all attività di trattamento alcune modifiche agli elementi da indicare nella notifica. Diritti di segreteria Per ogni notifica inviata al Garante devono essere corrisposti i diritti di segreteria, il cui importo è fissato in 150. Il pagamento può essere effettuato on line mediante carta di credito ovvero utilizzando altre modalità quali: bonifico bancario sul c/c intestato a Garante per la protezione dei dati personali, ABI CAB 03202, presso Banca Popolare di Lodi, agenzia n. 2 di Roma, via Bevagna n. 24, ROMA; versamento sul c/c/p n intestato a Garante per la protezione dei dati personali, Piazza di Monte Citorio 115/121, ROMA, causale diritti di segreteria per notifica ;

3 indicando gli estremi del pagamento nell apposito riquadro del modello. A completamento del tema trattato, si riporta di seguito un estratto della Scheda Informativa di sintesi delle regole relative alla notifica, fornita dal Garante in data : Che cosa è A chi è trasmessa In quale momento si presenta Quante volte si notifica Che cosa riguarda Va ripetuta? Cosa è cambiato dall È possibile una notifica distinta se si trasferiscono dati all estero? Che cosa accade se si omette la notifica o la si presenta in ritardo o incompleta? Cosa accade se nella notifica ci sono notizie non veritiere? LA NOTIFICA La notifica è una dichiarazione con la quale un soggetto pubblico o privato rende nota al Garante per la protezione dei dati personali l esistenza di un attività di raccolta e di utilizzazione dei dati personali, svolta quale autonomo titolare del trattamento. Al Garante, tramite il sito e utilizzando la procedura indicata nelle istruzioni. Per le attività di trattamento dei dati che non esistevano prima dell , la notifica va effettuata prima che inizi il trattamento medesimo. Per le attività che erano in essere prima dell , la notifica si può effettuare entro il Una sola volta, indipendentemente dalla durata, dal tipo e dal numero delle operazioni di trattamento, sia che si effettui un solo trattamento, sia che si curino più attività di trattamento con finalità correlate tra loro. La notifica riguarda l attività di trattamento di dati personali (a volte solo se sono registrati in banche dati o archivi indicati dalla legge o dal Garante), ma non una banca dati o un archivio in quanto tale. Può aversi, infatti, un trattamento anche se materialmente i dati non sono organizzati in una banca dati. No. Una nuova notifica è richiesta solo: a) prima che cessi definitivamente l attività di trattamento; b) oppure prima che si apportino al trattamento alcune modifiche agli elementi da indicare nella notifica. A partire da tale data sono tenuti a notificare solo alcuni soggetti, ossia i titolari che effettuano una o più attività di trattamento tra quelle specificamente indicate dal Codice (la precedente normativa, invece, prevedeva per tutti i titolari l obbligo di effettuare la notifica, a meno che potessero avvalersi dei casi di esonero o di possibile utilizzazione di una notifica semplificata). Il Garante potrà individuare, con un proprio provvedimento, nell ambito dei trattamenti che devono essere notificati, alcuni trattamenti che presentano minori rischi per i diritti degli interessati e che possono pertanto essere esonerati dalla notifica; potrà, al contrario, anche indicare altri trattamenti al momento non indicati espressamente dalla legge, che dovranno essere notificati. No. Se si trasferiscono dati all estero, la circostanza va indicata nella stessa, unica notifica che riguarda questi dati. Il titolare è punito con una sanzione pecuniaria (da a ) e con la pena accessoria della pubblicazione dell ordinanza che applica la sanzione stessa in uno o più giornali, per intero o per estratto. La falsa dichiarazione è un reato, punito con la reclusione (da 6 mesi a 3 anni e salvo che il fatto configuri un reato più grave). MISURE MINIME DI SICUREZZA È previsto il rafforzamento delle misure minime di sicurezza con riferimento ad archivi cartacei e banche dati elettroniche ed ogni altro aspetto relativo alla detenzione e conservazione dei dati, contro i rischi di distruzione, intrusione o uso improprio dei dati. Alle precauzioni già previste dalla normativa precedente (password, codici identificativi, antivirus, ecc.) che entrano in vigore l , se ne aggiungono altre, che dovranno essere adottate entro il (password di non meno di otto caratteri, autenticazione informatica, sistemi di cifratura, obbligo settimanale di backup, procedure per il ripristino dei dati, redazione entro il 31.3 di ogni anno del Documento Programmatico sulla Sicurezza, ecc.), sulla base delle indicazioni

4 contenute nell allegato B al Decreto in esame che sostituisce il precedente DPR n. 318/99. L art. 180, D.Lgs. n. 196/2003 prevede una disciplina transitoria a favore dei titolari ai quali l immediata applicazione delle misure minime di sicurezza è impedita da obiettive ragioni tecniche connesse con gli strumenti elettronici a disposizione. Per tali soggetti il termine ultimo per l adeguamento tecnologico necessario all adozione delle misure di sicurezza prescritte è differito al A tal fine gli stessi sono tenuti a: illustrare in un documento di data certa, da conservare presso la propria struttura, le ragioni dell impedimento; adottare ogni possibile misura di sicurezza in relazione agli strumenti elettronici detenuti in modo da evitare un incremento dei rischi di distruzione o perdita, anche accidentale, dei dati, di accesso non autorizzato o di trattamento non consentito o non conforme alla finalità della raccolta. ADEMPIMENTI RICHIESTI Si riportano di seguito gli adempimenti minimi previsti dalla normativa in esame. Gli stessi, già contemplati nell ambito della disciplina previgente (Legge n. 675/96), sono sostanzialmente confermati dal D.Lgs. n. 196/2003. INFORMATIVA INCARICATI DEL TRATTAMENTO RESPONSABILE DEL TRATTAMENTO AUTORIZZAZIONI GENERALI Resta fermo l obbligo di informare preventivamente gli interessati circa le modalità e le finalità del trattamento dei dati personali. Non è richiesta la forma scritta. Sul punto, si rammenta la necessità di aggiornare i prospetti dell informativa da consegnare agli interessati, eventualmente già redatti con i riferimenti alla normativa previgente, sostituendo questi ultimi con l indicazione delle disposizioni contenute nel D.Lgs. n. 196/2003. Individuazione degli incaricati del trattamento dei dati personali con atto di nomina e mansionario. Entrambi gli adempimenti richiedono la forma scritta. Individuazione del responsabile del trattamento dei dati personali con atto di nomina e mansionario. Entrambi gli adempimenti richiedono la forma scritta. La nomina è opzionale e legata a ragioni organizzative interne. La scelta del/i responsabile/i deve seguire determinati criteri stabiliti dal Codice, che richiede esperienza, capacità, affidabilità, nonché garanzia del rispetto delle disposizioni vigenti in materia. Mentre la normativa previgente subordinava l efficacia della nomina del responsabile all indicazione dello stesso nell atto di notifica, ora, tenendo presente che dall la notifica è obbligatoria solo nelle ipotesi citate, si ritiene che la nomina del responsabile sia desumibile dall atto scritto tra il titolare e il responsabile incaricato. Nell informativa consegnata all interessato deve essere indicato almeno un responsabile. Sono prorogate sino al le autorizzazioni generali previste per interi settori di attività, che esentano dall obbligo di formale richiesta al Garante in caso di trattamento di dati sensibili. Tali autorizzazioni riguardano: - dati sensibili (*) nei rapporti di lavoro - dati sensibili (*) inerenti salute e vita sessuale - dati sensibili (*) in associazioni e fondazioni - dati sensibili (*) e liberi professionisti - dati sensibili (*) in settori economici diversi (settore bancario, sondaggi e ricerche, elaborazione dati, selezione del personale, ecc.) - dati sensibili (*) e investigazioni private - dati giudiziari

5 CONSENSO DOCUMENTO PROGRAMMATICO SULLA SICUREZZA (*) Restano sostanzialmente invariati i principi di fondo che riguardano la manifestazione, da parte dell interessato, del consenso al trattamento dei dati, che deve essere reso: liberamente, solo dopo esaustiva informativa, per tutto o parte del trattamento, in forma scritta, tranne che nelle specifiche ipotesi per le quali non è richiesto (ad esempio, per assolvere ad un obbligo previsto dalla legge; per eseguire obblighi derivanti da un contratto del quale è parte l interessato; se il trattamento è effettuato da associazioni, enti od organismi non profit con riferimento a soggetti che hanno contatti regolari ed in attuazione degli scopi statutari). È prevista la redazione del Documento Programmatico sulla Sicurezza (DPS) entro il 31.3 di ogni anno (prima redazione entro il ) qualora il trattamento riguardi dati sensibili o giudiziari. Va sottolineato che in base al punto 26 del citato allegato B il titolare del trattamento deve riferire dell avvenuta redazione o aggiornamento del Documento Programmatico sulla Sicurezza nella relazione sulla gestione del bilancio d esercizio (se prevista). Si ritiene che tale adempimento debba essere espletato già per il bilancio relativo al 2003 da approvare nel Sul punto è comunque auspicabile un chiarimento da parte del Garante. Per dati sensibili si intendono i dati personali idonei a rivelare l origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale. GESTIONE DELLA POSTA ELETTRONICA AZIENDALE Con riferimento alla gestione della posta elettronica aziendale si pone una duplice questione nel senso di tutelare al contempo la sicurezza dei dati personali pervenuti a mezzo ed i diritti di segretezza della corrispondenza del lavoratore dipendente. Da un lato, infatti, l art. 15 della Costituzione dispone che la libertà e la segretezza della corrispondenza e di ogni altra forma di comunicazione sono inviolabili. La loro limitazione può avvenire soltanto per atto motivato dell'autorità giudiziaria con le garanzie stabilite dalla legge. D altro lato, tuttavia, poiché in caso di violazioni contrattuali e giuridiche, sia l azienda, sia il singolo lavoratore sono potenzialmente perseguibili con sanzioni, anche di natura penale, si pone per l azienda la necessità di verificare, nei limiti consentiti dalle norme legali e contrattuali, il rispetto delle regole e l integrità del proprio sistema informatico. L Autorità Garante ha affermato che la posta elettronica deve essere considerata corrispondenza privata escludendo, peraltro, l applicabilità della normativa penale a tutela della corrispondenza qualora il datore di lavoro abbia reso noto al personale dipendente la possibilità di rendere pubblico il contenuto di tale corrispondenza in quanto strettamente attinente l attività aziendale. La protezione delle in termini di corrispondenza privata viene esclusa, quindi, nel momento in cui il datore di lavoro redige un regolamento di utilizzo della posta elettronica nel quale viene chiaramente precisato che la posta elettronica è uno strumento aziendale e non è da considerare corrispondenza privata. SPAMMING Con il termine spamming si intende l invio di messaggi di tipo informativo o pubblicitario non richiesti, mediante sistemi automatizzati (sms, mms, fax, posta elettronica). Con il Provvedimento del e con il successivo comunicato stampa del , l Autorità Garante ha dichiarato che la pratica dello spamming è sottoposta a consenso dell interessato, in assenza del quale costituisce reato. L invio di pubblicitarie senza previo consenso del destinatario e l utilizzo di indirizzi di posta elettronica per inviare messaggi indesiderati a scopo promozionale o pubblicitario non è quindi

6 consentito dalla normativa sulla privacy. SCADENZE REDAZIONE DOCUMENTO PROGRAMMATICO SULLA SICUREZZA NOTIFICA TRATTAMENTO (SE OBBLIGATORIA) PER ATTIVITÀ GIÀ IN ESSERE ALL ADOZIONE MISURE MINIME DI SICUREZZA NECESSITÀ ADEGUAMENTO TECNOLOGICO SANZIONI AMMINISTRATIVE TIPO DI VIOLAZIONE OMESSA, INIDONEA INFORMATIVA SANZIONE Dati comuni da a Dati sensibili da a Aumento fino al triplo OMESSA O INCOMPLETA NOTIFICA Da a OMESSA INFORMAZIONE O ESIBIZIONE AL GARANTE Da a Dott. Bonvicini