Privacy semplice per le PMI A cura di: Francesca Scarazzai Dottore Commercialista Politecnico di Torino 25 novembre 2011
Semplificazioni nel tempo - 1 Maggio 2007: Guida pratica per le PMI Novembre 2007: Provvedimento per la semplificazione degli adempimenti in materia di customer care provvedimento di semplificazione in cui: 19 giugno 2008: provvedimento di semplificazione in cui: Fornisce le linee guida per l interpretazione della normativa; Indica nuove modalità semplificate per l adempimento degli obblighi già previsti; Individua un nuovo caso di esonero dall obbligo di chiedere il consenso dell interessato Segnala la necessità di un intervento normativo di semplificazione sul Codice
Semplificazioni nel tempo -2 Art.29 del DL 112/2008 poi convertito della Legge 133/2008: : realizza la suddetta richiesta del Garante e modifica alcuni articoli del Codice: art.34, comma 1bis (DPS), art.38 (notifica) e art.44 (circolazione nei paesi UE). Art. 6, comma 2, lett. a) n. 5 del DL 70/2011 (Decreto Sviluppo) poi convertito nella L. 106 del 12/07/2011 : modifica l art. 34 comma 1-bis del Codice.
Semplificazioni dall art. 29 del DL 112/2008 Modifiche al Codice Art.34, comma 1 bis (ante( modifiche 2011) ) : esonerava alcuni soggetti dall obbligo di tenuta del documento programmatico sulla sicurezza. Soggetti: : coloro che trattavano come unico dato sensibile lo stato di salute o malattia dei propri dipendenti e collaboratori anche a progetto, senza indicazione delle relative diagnosi o dell appartenenza a organizzazioni sindacali o a carattere sindacale. Misura: : autocertificazione in cui fosse dichiarato che l unico dato sensibile trattato era lo stato di malattia/salute e che il trattamento dei dati era stato eseguito in osservanza delle misure di sicurezza prescritte dall Allegato B del Codice. Il trattamento dati effettuato per finalità amministrative e contabili: : il Garante aveva provveduto ad individuare delle modalità semplificate di applicazione del disciplinare tecnico di cui all Allegato B del codice, mediante un proprio provvedimento da aggiornare periodicamente. Il Provvedimento è stato adottato il 27/11/2008.
Semplificazioni dall art. 6, comma 2, lett. a) n. 5 del DL 70/2011 Modifiche al Codice Art.34, comma 1 bis (oggi( oggi) ) : esonera alcuni soggetti dall obbligo di tenuta del documento programmatico sulla sicurezza. Soggetti: : coloro che trattano soltanto dati personali non sensibili e che trattano come unici dati sensibili e giudiziari quelli relativi ai propri dipendenti e collaboratori, anche se extracomunitari, compresi quelli relativi al coniuge e ai parenti. Misura: : autocertificazione in cui sia dichiarato di trattare soltanto tali dati in osservanza delle misure minime di sicurezza previste dal presente codice e dal disciplinare tecnico contenuto nell'allegato B). Il trattamento dati sopra indicati nonché il trattamento effettuato per finalità amministrative e contabili presso PMI, liberi professionisti e artigiani: : modalità semplificate di applicazione del disciplinare tecnico di cui all Allegato B del codice, potranno essere previste mediante un nuovo provvedimento da aggiornare periodicamente. Attualmente non ancora emanato.
Semplificazioni dall art. 6, comma 2, lett. a) n. 5 del DL 70/2011 Modifiche al Codice Art.34, comma 1 ter (oggi( oggi) ) : definisce il trattamento effettuato per finalità amministrative e contabili. Sono quelli relativi allo svolgimento delle attività di natura organizzativa, amministrativa, finanziaria e contabile (a prescindere dalla natura dei dati trattati). Perseguono tali finalità le attività organizzative interne, quelle funzionali all adempimento di obblighi contrattuali e precontrattuali, alla gestione del rapporto di lavoro in tutte le sue fasi, alla tenuta della contabilità e all applicazione delle norme in materia fiscale, sindacale, previdenziale - assistenziale, di salute, igiene e sicurezza sul lavoro
Modalità semplificate di applicazione del disciplinare tecnico di cui all Allegato B del Codice Ricordando il Provvedimento del 27 novembre 2008: Soggetti: : coloro che trattano come unico dato sensibile lo stato di salute o malattia dei propri dipendenti e collaboratori anche a progetto, senza indicazione delle relative diagnosi o dell appartenenza a organizzazioni sindacali o a carattere sindacale, nonché coloro che effettuano trattamenti per finalità amministrative e contabili, in particolare presso piccole e medie imprese, liberi professionisti e artigiani. Trattamenti senza ausilio di strumenti elettronici: Agli incaricati devono essere impartite, anche oralmente, istruzioni circa le modalità di controllo e custodia dei documenti contenenti dati personali, per l intero ciclo di trattamento Gli incaricati devono conservarli fino al termine del trattamento e non oltre.
Modalità semplificate di applicazione del disciplinare tecnico di cui all Allegato B del Codice Ricordando il Provvedimento del 27 novembre 2008: Trattamenti con l ausilio di strumenti elettronici. Istruzioni agli incaricati del trattamento per l utilizzo dei dati (impartite anche oralmente); Sistema di autenticazione informatica (username e password, disattivazione dello username, procedure e modalità predefinite per la disponibilità e l accessibilità ai dati in caso di assenza prolungata con preventive istruzioni agli incaricati) Sistema di autorizzazione(ogni incaricato può essere assegnato a diverse categorie di dati); Altre misure di sicurezza (periodica verifica e aggiornamento dei profili di autorizzazione accordati adeguatezza, proporzionalità e necessità, verifica e aggiornamento periodico della sicurezza degli elaboratori, salvataggio dei dati almeno mensile- no per i dati statici)
Modalità semplificate di applicazione del disciplinare tecnico di cui all Allegato B del Codice Ricordando il Provvedimento del 27 novembre 2008: Documento Programmatico sulla Sicurezza. Autocertificazione: per coloro che trattano come unico dato sensibile lo stato di salute o malattia dei propri dipendenti e collaboratori anche a progetto, senza indicazione delle relative diagnosi o dell appartenenza a organizzazioni sindacali o a carattere sindacale DPS semplificato: per soggetti pubblici o privati che trattano dati personali unicamente per finalità amministrative e contabili. ( L autorizzazione generale del per il trattamento dei dati sensibili da parte dei liberi professionisti è stata rinnovata il 24/06/2011 con scadenza il 31/12/2012)
Modalità semplificate di applicazione del disciplinare tecnico di cui all Allegato B del Codice Ricordando il Provvedimento del 27 novembre 2008: Documento Programmatico sulla Sicurezza SEMPLIFICATO deve avere i seguenti contenuti: Coordinate identificative del titolare del trattamento e dei responsabili ( in caso di frequente modifica indicare le modalità di recupero delle coordinate aggiornate). Descrizione generale del trattamento precisando le finalità, le categorie di persone interessate, dei dati dei destinatari. Elenco degli incaricati al trattamento e loro responsabilità o modalità di recupero delle coordinate aggiornate. Elenco delle misure di sicurezza e di prevenzione adottate per evitare distruzione, dispersione dei dati e accessi non autorizzati.
AMMINISTRATORI DI SISTEMA Con un altro Provvedimento del 27 novembre 2008 il Garante ha richiamato l attenzione sull importanza delle funzioni svolte dagli amministratori di sistema, di base dati, di reti,, prevedendo, a carico dei titolari dei trattamenti, l adozione di specifiche misure. Con un provvedimento del 12 febbraio 2009 veniva prorogato al 30/06/09 il termine per l adempimento delle prescrizioni previste nel provvedimento. Con la Deliberazione del 21/04/2009 il Garante deliberava l attivazione di una procedura di consultazione pubblica volta ad acquisire osservazioni e commenti volti a determinare ulteriori riflessioni su quanto previsto nel provvedimento. Con Provvedimento del 25/06/09 il Garante modificava alcune disposizioni del provvedimento del 27 novembre 2008 e prorogava al 15/12/2009 il termine per l adempimento delle prescrizioni previste nel provvedimento. Sono esclusi dal provvedimento coloro che trattano i dati a fini amministrativo - contabili e che pertanto pongono minori rischi per gli interessati. Non ci sono state modifiche, integrazioni, proroghe.