Print Friendly, PDF & Email
01.12.2004 - economia

TUTELA DELLA PRIVACY – D.LGS. 30 GIUGNO 2003, N. 196

TUTELA DELLA PRIVACY – D TUTELA DELLA PRIVACY – D.LGS. 30 GIUGNO 2003, N. 196

Sulla Gazzetta Ufficiale n. 174 del 29 luglio 2003 è stato pubblicato il D.Lgs. 30 giugno 2003, n. 196, in materia di protezione dei dati personali, di seguito denominato Codice.
Il provvedimento dovrebbe entrare in vigore il 1° gennaio 2005.
Si formula riserva di successiva nota informativa con cui si forniranno ulteriori chiarimenti, anche in ordine alla documentazione che le imprese dovranno predisporre per adeguarsi alle previsioni del Decreto, in considerazione della prean-nunciata possibile proroga dell’entrata in vigore del provvedimento. Gli uffici del Collegio comunque sono a disposizione per eventuali chiarimenti.
Il provvedimento in commento riunisce in unico contesto la legge 675/1996 e gli altri decreti legislativi, regolamenti e codici deontologici che si sono succeduti nel tempo. Il nuovo provvedimento, pur introducendo alcune importanti novità, non modifica sostanzialmente la previgente disciplina. Pertanto, salvo quanto di seguito esposto, le imprese, in tema di trattamento dei dati potranno continuare ad operare come in passato.
Prima di illustrare i principali obblighi posti a carico delle imprese si rileva che, in via generale e salvo casi particolari, le imprese del settore non devono effettuare alcuna comunicazione-notificazione al Garante né devono ottenere alcuna autorizzazione per il trattamento dei dati. Più precisamente, non è necessaria alcuna notificazione né alcuna autorizzazione per il trattamento di tutti i dati relativi ai dipendenti dell’impresa e per i dati personali di clienti e fornitori. Infatti, per il trattamento dei soli dati personali, che sono gli unici normalmente richiesti ai clienti e fornitori, il Codice non richiede alcun provvedimento autorizzatorio da parte del Garante, che, invece, è necessario solo per il trattamento dei dati sensibili. Per quanto attiene i rapporti di lavoro, il Garante con il provvedimento n. 1/2004, pubblicato sulla Gazzetta Ufficiale n. 190 del 4 agosto 2004, ha autorizzato il trattamento dei dati sensibili nel rispetto di alcune indicazioni fornite dallo stesso Garante.
1) Definizioni
Prima di illustrare i principali adempimenti cui sono tenute le imprese, si riportano le definizioni di alcuni termini che verranno utilizzati. Ai sensi dell’art. 4 del Codice, si intende per:
– dato personale qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale;
– dati identificativi, i dati personali che permettono l’identificazione diretta dell’interessato;
– dati sensibili, i dati personali idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale” (a mero titolo esemplificativo rientrano tra i dati sensibili: i certificati di malattia, maternità e puerperio, di appartenenza a categorie protette, richiesta di fruire permessi per festività religiose, per svolgere incarichi politici e/o sindacali);
– dati giudiziari, i dati personali idonei a rivelare provvedimenti di cui all’articolo 3, comma 1, lettere da a) a o) e da r) a u), del D.P.R. 14 novembre 2002, n. 313, in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualità di imputato o di indagato ai sensi degli articoli 60 e 61 del codice di procedura penale;
– interessato qualunque soggetto (persona fisica, società, pubblica amministrazione) cui si riferiscono i dati personali in possesso dell’impresa;
– titolare è la società (e non il legale rappresentante della società stessa) cui competono le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza;
– responsabile è la persona fisica, la persona giuridica preposta dal titolare al trattamento di dati personali;
– incaricati le persone fisiche autorizzate a compiere operazioni di trattamento dal titolare o dal responsabile.
2) Adempimenti a carico delle imprese
I principali adempimenti cui sono tenute le imprese consistono:
a) nel designare gli incaricati al trattamento dei dati;
b) nel rendere l’informativa agli interessati e nell’acquisire, dove previsto dal Codice, il consenso degli interessati;
c) nel rispettare, nel trattamento dei dati, la normativa vigente  in materia e l’autorizzazione generale rilasciata dal Garante;
d) nell’adottare e applicare le misure di sicurezza previste dal Codice;
e) nel tenere corsi di aggiornamento per gli incaricati.
In ogni caso il titolare dovrà, periodicamente, verificare la precisa applicazione ed osservanza delle disposizioni in materia e delle istruzioni impartite.
a) Designazione degli incaricati
La nomina degli incaricati è obbligatoria. L’art. 30 del Codice prevede due modalità di designazione: in forma scritta oppure mediante documentata preposizione della persona fisica ad un ufficio.
Secondo la prima modalità, il conferi-mento dell’incarico dovrà risultare da atto scritto, contenente le istruzioni cui dovrà attenersi nonché l’indicazione dei trattamenti affidati all’incaricato.
Nella seconda modalità, la designazione dell’incaricato è effettuata per mezzo della preposizione della persona fisica ad un’unità (ufficio, reparto) per la quale è individuato, per iscritto, l’ambito del trattamento consentito agli addetti all’unità medesima.
b) Informativa e consenso
L’impresa, prima di acquisire un qualsiasi tipo di dato personale, deve informare gli interessati e, quando necessario, deve farsi rilasciare, da tali soggetti, il consenso al trattamento.
L’informativa, il cui contenuto è fissato dall’art. 13 del Codice, deve riportare:
– le finalità e le modalità del trattamento dei dati;
– che il conferimento di tali dati è obbligatorio per il corretto svolgimento del rapporto contrattuale;
– che l’eventuale rifiuto a conferire i dati impedisce l’instaurarsi del rapporto contrattuale;
– i soggetti o le categorie di soggetti a cui i dati personali saranno eventualmente comunicati (ad esempio: studi legali, commercialista, studi di consulenza fiscale e elaborazioni paghe,…);
– i diritti dell’interessato;
– gli estremi identificativi del titolare del trattamento e del responsabile;
– la circostanza che i dati comunicati potranno venire conosciuti anche dagli incaricati dell’impresa.
Per quanto attiene il trattamento dei dati sensibili in ogni caso deve avvenire previa autorizzazione rilasciata dal Garante. Come detto per quanto attiene, tra l’altro, i rapporti di lavoro tale autorizzazione è già stata rilasciata dal Garante e pertanto non deve essere richiesta dalle imprese.
Più precisamente:
1) per quanto attiene i dati relativi ai dipendenti:
all’atto dell’assunzione, il datore di lavoro deve, in forma scritta o verbale, fornire al dipendente le informazioni indicate nell’art. 13 del Codice e sopra indicate.
Al solo fine di rendere più agevole la prova di aver fornito la prescritta informativa nel caso di contenzioso, è opportuno che l’informativa sia resa in forma scritta.
Inoltre, il datore di lavoro deve acquisire il consenso al trattamento dei dati da parte del dipendente. Il consenso deve essere reso obbligatoriamente in forma scritta.
Tali adempimenti devono essere posti in essere solo nei confronti dei nuovi assunti. Infatti, per i dipendenti già in forza sono validi sia l’informativa sia il consenso già rilasciati ed acquisiti dall’impresa al momento dell’assunzione.
2) per quanto attiene ai dati relativi a fornitori e clienti:
nel caso vengano richiesti, come normalmente accade, solo i dati strettamente necessari per lo svolgimento del rapporto contrattuale (ad esempio: dati dell’impresa, dati anagrafici delle persone fisiche, coordinate bancarie, codice fiscale e partita IVA) le imprese dovranno fornire a tali soggetti solamente un’informativa, anche in forma non scritta (e dunque oralmente).
Per tali soggetti non è obbligatorio acquisire il consenso, ai sensi dell’art. 24, comma 1 lett. a) e b) del Codice.
Peraltro, al solo fine di rendere più agevole la prova di aver fornito la prescritta informativa nel caso di contenzioso, l’informativa potrà essere resa in forma scritta, ed eventualmente potrà anche essere richiesto ed acquisito il consenso dell’interessato.
c) Rispetto, nel trattamento dei dati, della normativa vigente e dell’autorizzazioni generali rilasciate dal Garante
In generale, il Codice dispone che il trattamento dei dati avvenga nel rispetto dei diritti e delle libertà fondamentali, della dignità dell’interessato, con particolare riferimento alla riservatezza, all’identità personale ed al diritto alla protezione dei dati personali. Più precisamente, i dati personali oggetto del trattamento devono essere:
a) trattati in modo lecito e secondo correttezza;
b) raccolti e registrati per scopi determinati, espliciti e legittimi, ed utilizzati in altre operazioni del trattamento in termini compatibili con tali scopi;
c) esatti e, se necessario, aggiornati;
d) pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono raccolti o successivamente trattati;
e) conservati in una forma che consenta l’identificazione dell’interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati.
I dati personali trattati in violazione della disciplina rilevante in materia di trattamento dei dati personali non possono essere utilizzati.
Inoltre, il trattamento dei dati diversi da quelli sensibili e giudiziari che presenta rischi specifici per i diritti e le libertà fondamentali, nonché per la dignità dell’interessato, in relazione alla natura dei dati o alle modalità del trattamento o agli effetti che può determinare, è ammesso nel rispetto di misure ed accorgimenti a garanzia dell’interessato, ove prescritti (art. 17 del Codice).
Secondo quanto previsto dall’art. 16 del Codice, in caso di cessazione, per qualsiasi causa, di un trattamento i dati sono:
a) distrutti;
b) ceduti ad altro titolare, purché destinati ad un trattamento in termini compatibili agli scopi per i quali i dati sono raccolti;
c) conservati per fini esclusivamente personali e non destinati ad una comunicazione sistematica o alla diffusione;
d) conservati o ceduti ad altro titolare, per scopi storici, statistici o scientifici, in conformità alla legge, ai regolamenti, alla normativa comunitaria e ai codici di deontologia e di buona condotta sottoscritti ai sensi dell’articolo 12.
Tale previsione deve essere coordinata con quanto stabilito dalla normativa civilistica, fiscale, previdenziale ed assicurativa in materia di conservazione della documentazione.
Infine, come già detto, in materia di rapporti di lavoro il Garante ha rilasciato l’Autorizzazione n. 1/2004 al trattamento dei dati sensibili, fornendo alcune prescrizioni. Di seguito si pubblica un ampio stralcio del provvedimento del Garante, che riguarda il solo trattamento dei dati sensibili nei rapporti di lavoro.
“Il trattamento può riguardare i dati sensibili attinenti:
a) a lavoratori dipendenti, anche se prestatori di lavoro temporaneo o in rapporto di tirocinio, apprendistato e formazione e lavoro, ovvero ad associati anche in compartecipazione e, se necessario in base ai punti 3) e 4), ai relativi familiari e conviventi;
b) a consulenti e a liberi professionisti, ad agenti, rappresentanti e mandatari;
c) a soggetti che effettuano prestazioni coordinate e continuative o ad altri lavoratori autonomi in rapporto di collaborazione con i soggetti di cui al punto 1);
d) a candidati all’instaurazione dei rapporti di lavoro di cui alle lettere precedenti;
e) a persone fisiche che ricoprono cariche sociali o altri incarichi nelle persone giuridiche, negli enti, nelle associazioni e negli organismi di cui al punto 1);
f) a terzi danneggiati nell’esercizio dell’attività lavorativa o professionale dai soggetti di cui alle precedenti lettere.
3) Finalità del trattamento
Il trattamento dei dati sensibili deve essere indispensabile:
a) per adempiere o per esigere l’adempimento di specifici obblighi o per eseguire specifici compiti previsti dalla normativa comunitaria, da leggi, da regolamenti o da contratti collettivi anche aziendali, in particolare ai fini dell’instaurazione, gestione ed estinzione del rapporto di lavoro, nonché dell’applicazione della normativa in materia di previdenza ed assistenza anche integrativa, o in materia di igiene e sicurezza del lavoro o della popolazione, nonché in materia fiscale, sindacale, di tutela della salute, dell’ordine e della sicurezza pubblica;
b) anche fuori dei casi di cui alla lettera a), in conformità alla legge e per scopi determinati e legittimi, ai fini della tenuta della contabilità o della corresponsione di stipendi, assegni, premi, altri emolumenti, liberalità o benefici accessori;
c) per perseguire finalità di salvaguardia della vita o dell’incolumità fisica dell’interessato o di un terzo;
d) per far valere o difendere un diritto anche da parte di un terzo in sede giudiziaria, nonché in sede amministrativa o nelle procedure di arbitrato e di conciliazione nei casi previsti dalle leggi, dalla normativa comunitaria, dai regolamenti o dai contratti collettivi, sempre che i dati siano trattati esclusivamente per tali finalità e per il periodo strettamente necessario al loro perseguimento. Qualora i dati siano idonei a rivelare lo stato di salute e la vita sessuale, il diritto da far valere o difendere deve essere di rango pari a quello dell’interessato, ovvero consistente in un diritto della personalità o in un altro diritto o libertà fondamentale e inviolabile;
e) per esercitare il diritto di accesso ai documenti amministrativi, nel rispetto di quanto stabilito dalle leggi e dai regolamenti in materia;
f) per adempiere ad obblighi derivanti da contratti di assicurazione finalizzati alla copertura dei rischi connessi alla responsabilità del datore di lavoro in materia di igiene e di sicurezza del lavoro e di malattie professionali o per i danni cagionati a terzi nell’esercizio dell’attività lavorativa o professionale;
g) per garantire le pari opportunità;
h) per perseguire scopi determinati e legittimi individuati dagli statuti di associazioni, organizzazioni, federazioni o confederazioni rappresentative di categorie di datori di lavoro o dai contratti collettivi, in materia di assistenza sindacale ai datori di lavoro.
4) Categorie di dati
Il trattamento può avere per oggetto i dati strettamente pertinenti ai sopra indicati obblighi, compiti o finalità che non possano essere adempiuti o realizzati, caso per caso, mediante il trattamento di dati anonimi o di dati personali di natura diversa, e in particolare:
a) nell’ambito dei dati idonei a rivelare le convinzioni religiose, filosofiche o di altro genere, ovvero l’adesione ad associazioni od organizzazioni a carattere religioso o filosofico, i dati concernenti la fruizione di permessi e festività religiose o di servizi di mensa, nonché la manifestazione, nei casi previsti dalla legge, dell’obiezione di coscienza;
b) nell’ambito dei dati idonei a rivelare le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere politico o sindacale, i dati concernenti l’esercizio di funzioni pubbliche e di incarichi politici, di attività o di incarichi sindacali (sempre che il trattamento sia effettuato ai fini della fruizione di permessi o di periodi di aspettativa riconosciuti dalla legge o, eventualmente, dai contratti collettivi anche aziendali), ovvero l’organizzazione di pubbliche iniziative, nonché i dati inerenti alle trattenute per il versamento delle quote di servizio sindacale o delle quote di iscrizione ad associazioni od organizzazioni politiche o sindacali;
c) nell’ambito dei dati idonei a rivelare lo stato di salute, i dati raccolti e ulteriormente trattati in riferimento a invalidità, infermità, gravidanza, puerperio o allat-tamento, ad infortuni, ad esposizioni a fattori di rischio, all’idoneità psico-fisica a svolgere determinate mansioni, all’appartenenza a determinate categorie protette, nonché i dati contenuti nella certificazione sanitaria attestante lo stato di malattia, anche professionale dell’interessato, o comunque relativi anche all’indicazione della malattia come specifica causa di assenza del lavoratore.
5) Modalità di trattamento
Fermi restando gli obblighi previsti dagli articoli 11 e 14 del Codice, nonché dagli articoli 31 e seguenti del Codice e dall’Allegato B) al medesimo Codice, il trattamento dei dati sensibili deve essere effettuato unicamente con operazioni, nonché con logiche e mediante forme di organizzazione dei dati strettamente indispensabili in rapporto ai sopra indicati obblighi, compiti o finalità.
I dati sono raccolti, di regola, presso l’interessato.
La comunicazione di dati all’interessato deve avvenire di regola direttamente a quest’ultimo o a un suo delegato (fermo restando quanto previsto dall’art. 84, comma 1, del Codice), in plico chiuso o con altro mezzo idoneo a prevenire la conoscenza da parte di soggetti non autorizzati, anche attraverso la previsione di distanze di cortesia.
Restano inoltre fermi gli obblighi di informare l’interessato e, ove necessario, di acquisirne il consenso scritto, in conformità a quanto previsto dagli articoli 13, 23 e 26 del Codice.
6) Conservazione dei dati
Nel quadro del rispetto dell’obbligo previsto dall’art. 11, comma 1, lett. e), del Codice, i dati sensibili possono essere conservati per un periodo non superiore a quello necessario per adempiere agli obblighi o ai compiti di cui al punto 3), ovvero per perseguire le finalità ivi menzionate. A tal fine, anche mediante controlli periodici, deve essere verificata costantemente la stretta pertinenza, non eccedenza e indispensabilità dei dati rispetto al rapporto, alla prestazione o all’incarico in corso, da instaurare o cessati, anche con riferimento ai dati che l’interessato fornisce di propria iniziativa. I dati che, anche a seguito delle verifiche, risultano eccedenti o non pertinenti o non indispensabili non possono essere utilizzati, salvo che per l’eventuale conservazione, a norma di legge, dell’atto o del documento che li contiene. Specifica attenzione è prestata per l’indispensabilità dei dati riferiti a soggetti diversi da quelli cui si riferiscono direttamente le prestazioni e gli adempimenti.
7) Comunicazione e diffusione dei dati
I dati sensibili possono essere comunicati e, ove necessario diffusi, nei limiti strettamente pertinenti agli obblighi, ai compiti o alle finalità di cui al punto 3), a soggetti pubblici o privati, ivi compresi organismi sanitari, casse e fondi di previdenza ed assistenza sanitaria integrativa anche aziendale, istituti di patronato e di assistenza sociale, centri di assistenza fiscale, agenzie per il lavoro, associazioni ed organizzazioni sindacali di datori di lavoro e di prestatori di lavoro, liberi professionisti, società esterne titolari di un autonomo trattamento di dati e familiari dell’interessato.
Ai sensi dell’art. 26, comma 5, del Codice, i dati idonei a rivelare lo stato di salute non possono essere diffusi.”
d) Adozione e applicazione delle misure di sicurezza previste dal Codice
Il Codice ha introdotto rilevanti novità in materia di misure di sicurezza.
Gli articoli 31-36 e l’Allegato B del Codice individuano distinti obblighi in capo al titolare: l’obbligo di adottare misure idonee e l’obbligo di adottare misure minime.
1) Obbligo generale di adottare misure di sicurezza idonee
L’art. 31 del Codice impone al titolare di adottare misure di sicurezza idonee e preventive in modo da ridurre al minimo i rischi:
– di distruzione o perdita, anche accidentale, dei dati;
– di accesso non autorizzato ossia il rischio che i dati vengano conosciuti da soggetti non autorizzati;
– di trattamento non consentito o non conforme alle finalità della raccolta.
Secondo il parere reso dal garante il 22 marzo 2004, l’inosservanza di questo obbligo generale rende il trattamento illecito, anche se non determina un danno per gli interessati, viola inoltre i loro diritti ed espone a responsabilità civile per danno, anche non patrimoniale, qualora davanti al giudice ordinario il titolare non dimostri di aver adottato tutte le misure idonee ad evitarlo.
2) Obbligo di adottare misure minime di sicurezza
Nel quadro dell’obbligo generale di adottare misure idonee, il titolare deve comunque adottare talune misure di sicurezze minime, espressamente indicate dal Codice. Si tratta di misure indispensabili, la cui omissione costituisce anche reato, affinché sia assicurato un adeguato livello minimo di protezione dei dati personali.
Il Codice mantiene la previgente distinzione tra trattamento effettuato con o senza l’ausilio di strumenti elettronici, oppure riguardi dati sensibili o giudiziari.
Pertanto, al fine di individuare quali siano gli obblighi posti a carico del titolare del trattamento è necessario, preliminarmente, verificare se in impresa vengono tratti, o meno, dati personali mediante strumenti elettronici.
– Trattamento di dati personali con strumenti elettronici
Qualora l’impresa rientri in tale ipotesi dovranno essere adottate le seguenti misure minime (art. 34 Codice), nei modi previsti dall’Allegato B del Codice:
a) autenticazione informatica;
b) adozione di procedure di gestione delle credenziali di autenticazione;
c) utilizzazione di un sistema di autorizzazione;
d)aggiornamento periodico dell’individua-zione dell’ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici;
e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici;
f ) adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi;
g) tenuta di un aggiornato documento programmatico sulla sicurezza;
h) adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari.
Al riguardo si osserva che è posta una distinzione tra autenticazione informatica e sistema di autorizzazione.
L’autenticazione consiste in una procedura con la quale il sistema informatico “riconosce” e, dunque autentica l’utente abilitandolo all’accesso al sistema stesso. L’autorizzazione invece è una fase ulteriore all’autenticazione con la quale il sistema autorizza l’utente, già autenticato, ad accedere a determinate categorie di dati o file. I sistemi di autenticazione sono sempre obbligatori e quindi devono sempre essere previsti, mentre i sistemi di autorizzazione sono necessari solo quando per gli incaricati, già autenticati, sono previsti profili di autorizzazione di ambito diverso (così ad esempio, all’interno dell’uffico amministrativo dell’impresa, ad ogni incaricato è assegnato un codice personale di autenticazione – che deve avere almeno otto caratteri – con il quale è possibile accedere al sistema informatico nel suo complesso. Se però all’interno del medesimo uffico solo alcuni incaricati possono accedere a specifiche banche dati – ad esempio quelle relative alle paghe – dovrà essere previsto un sistema di autorizzazione che consenta solo a questi incaricati di prendere visione di tali banche dati).
Si osserva ancora che l’obbligo della redazione del documento programmatico sulla sicurezza non è obbligatoria in tutti i casi di trattamento di dati con strumenti elettronici ma solo in talune ipotesi. A tal proposito si rinvia a quanto si dirà più avanti.
– Trattamento di dati personali senza l’ausilio di strumenti elettronici
Il trattamento di dati personali effettuato senza l’ausilio di strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell’allegato B), le seguenti misure minime:
a) aggiornamento periodico dell’indivi-duazione dell’ambito del trattamento consentito ai singoli incaricati o alle unità organizzative;
b) previsione di procedure per un’idonea custodia di atti e documenti affidati agli incaricati per lo svolgimento dei relativi compiti;
c) previsione di procedure per la conservazione di determinati atti in archivi ad accesso selezionato e disciplina delle modalità di accesso finalizzata all’identificazione degli incaricati.
In tale ambito l’Allegato B al Codice precisa che:
– agli incaricati sono impartite istruzioni scritte finalizzate al controllo ed alla custodia, per l’intero ciclo necessario allo svolgimento delle operazioni di trattamento, degli atti e dei documenti contenenti dati personali. Nell’ambito dell’aggiornamento periodico con cadenza almeno annuale dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati, la lista degli incaricati può essere redatta anche per classi omogenee di incarico e dei relativi profili di autorizzazione;
– quando gli atti e i documenti contenenti dati personali sensibili o giudiziari sono affidati agli incaricati del trattamento per lo svolgimento dei relativi compiti, i medesimi atti e documenti sono controllati e custoditi dagli incaricati fino alla restituzione in maniera che ad essi non accedano persone prive di autorizzazione, e sono restituiti al termine delle operazioni affidate;
– l’accesso agli archivi contenenti dati sensibili o giudiziari è controllato. Le persone ammesse, a qualunque titolo, dopo l’orario di chiusura, sono identificate e registrate. Quando gli archivi non sono dotati di strumenti elettronici per il controllo degli accessi o di incaricati della vigilanza, le persone che vi accedono sono preventivamente autorizzate.
Tali prescrizioni dovranno essere contenute nelle lettere di designazione degli incaricati.
3) Obbligo di adottare e aggiornare il documento programmatico sulla sicurezza
Come precisato dal Garante nel parere del 22 marzo 2004, il documento programmatico sulla sicurezza (DPS) è una delle misure minime di sicurezza previste dal Codice. Peraltro esso deve essere predisposto ed aggiornato solo qualora siano trattati dati sensibili o giudiziari avvalendosi di elaboratori elettronici, anche isolati (ossia non collegati ad una rete pubblica o locale).
Il DPS deve contenere:
– l’elenco dei trattamenti di dati personali;
– la distribuzione dei compiti e delle responsabilità nell’ambito delle strutture preposte al trattamento dei dati;
– l’analisi dei rischi che incombono sui dati;
– le misure da adottare per garantire l’integrità e la disponibilità dei dati, nonché la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità;
– la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento;
– la previsione di interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare. La formazione è programmata già al momento dell’ingresso in servizio, nonché in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi;
– la descrizione dei criteri da adottare per garantire l’adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformità al codice, all’esterno della struttura del titolare;
– per i dati personali idonei a rivelare lo stato di salute e la vita sessuale l’indi-viduazione dei criteri da adottare per la cifratura o per la separazione di tali dati dagli altri dati personali dell’interessato.
Dell’avvenuta adozione e, per gli anni successivi, dell’aggiornamento deve essere data informazione nella relazione al bilancio.
Sul sito del Garante per la privacy (www.garanteprivacy.it) nella sezione fac-simili e adempimenti è reperibile una guida operativa per redigere il Documento Programmatico per la Sicurezza.
3) Sanzioni
Il Codice razionalizza il sistema sanzio-natorio che prevede illeciti amministrativi e reati penali.
Per gli illeciti penali si rendono punibili le condotte richiamate solo se dal fatto deriva nocumento, mentre in precedenza il nocumento costituiva solo un’aggravante.
Si riassumono i principali illeciti penali e le violazioni amministrative, rammentando che rimane comunque ferma la responsabilità civile per danni ex art. 2050 cod. civ., in base al quale è il titolare del trattamento che deve provare di aver adottato tutte le misure idonee ad evitare il danno (anche attraverso il Documento programmatico per la sicurezza).
Illeciti penali
Trattamento illecito di dati
– art. 167 – Chiunque, al fine di trarne per sé o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli art. 18, 19, 23, 123, 126 e 130, ovvero in applicazione dell’art. 129, è punito, se dal fatto deriva nocumento, con la reclusione da sei a diciotto mesi o, se il fatto consiste nella comunicazione o diffusione, con la reclusione da sei a ventiquattro mesi.
– Chiunque, al fine di trarne per sé o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli artt. 17 (trattamento che presenta rischi specifici) 20, 21, 22, co. 8 e 11, 25, 26, 27 e 45, è punito, se dal fatto deriva nocumento, con la reclusione da uno a tre anni.
Falsità nelle dichiarazioni e notificazioni al Garante
– art. 168 – Chiunque, nella notificazione di cui all’art. 37 o in comunicazioni, atti, documenti o dichiarazioni resi o esibiti in un procedimento dinanzi al Garante o nel corso di accertamenti, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi, è punito con la reclusione da sei mesi a tre anni.
Misure di sicurezza
– art. 169 – Chiunque, essendovi tenuto, omette di adottare le misure minime previste dall’art. 33, è punito con l’arresto sino a due anni o ammenda da diecimila euro a cinquantamila euro.
Inosservanza di provvedimenti del Garante
– art. 170 – Chiunque, essendovi tenuto, non osserva il provvedimento adottato dal Garante ai sensi degli artt. 26, co. 2, 90, 150, co. 1 e 2, e 143, co. 1, lett. c), è punito con la reclusione da tre mesi a due anni.
Violazioni amministrative
Omessa/inidonea informativa
– art. 161 – Violazione delle disposizioni di cui all’art. 13 (informativa all’interessato): sanzione da tremila euro a diciottomila euro.
Quando la violazione riguarda dati sensibili o giudiziari, trattamenti che presentano rischi specifici ai sensi dell’art. 17 o, comunque, di maggiore rilevanza del pregiudizio per uno o più interessati: sanzione da cinquemila euro a trentamila euro. La somma può essere aumentata sino al triplo se inefficace in ragione delle condizioni economiche del contravventore.
Omessa/incompleta notificazione
– art. 163 – Chiunque, essendovi tenuto, non provvede tempestivamente alla notificazione ai sensi degli artt. 37 e 38, ovvero indica in essa notizie incomplete, è punito con la sanzione da diecimila euro a sessantamila euro e pubblicazione dell’ordinanza-ingiunzione.
Omessa informazione/esibizione al Garante
– art. 164 – Chiunque omette di fornire le informazioni o di esibire i documenti richiesti dal Garante ai sensi degli artt. 150, co. 2, e 157, è punito con la sanzione da quattromila euro a ventiquattro mila euro.


ANCE Brescia - Riproduzione e utilizzazione riservata ai sensi dell’art. 65 della Legge n. 633/1941