| Dal 1° gennaio 2004
è in vigore, in Italia, il “Codice in materia
di protezione dei dati personali” (Decreto legislativo
n. 196 del 30/6/2003) che riforma interamente la disciplina
sulla privacy.
Tutte le aziende, imprese,
professionisti, enti privati e pubblici ed in generale
tutti quelli che trattano i dati personali sono sottoposti
alla realizzazione del Documento Programmatico sulla
Sicurezza.
Per dati personali di intende qualsiasi informazione
relativa a persona fisica, persona giuridica, ente o
associazione, identificabili, anche indirettamente (nome,
cognome, ragione sociale, ecc.).
La corretta applicazione della normativa consente, non
solo di adempiere agli obblighi di legge, ma anche di
migliorare l’organizzazione aziendale, i processi
di lavoro e la qualità dei risultati. Il Codice
richiede l’adozione di diverse misure di sicurezza
per garantire che i dati trattati siano custoditi e
controllati secondo alcune misure minime di sicurezza.
L’ordinamento è
molto complesso e presuppone uno studio approfondito
dell'azienda su come vengono raccolti, conservati ed
utilizzati i dati e presuppone un'alta competenza delle
aziende che offrono il servizio di consulenza per la
realizzazione del Documento Programmatico sulla Sicurezza.
Bisogna sapere che la non
corretta raccolta, tenuta e trattamento dei dati personali
(ivi comprese le e-mail) possono comportare sanzioni
penali o, nella "migliore delle ipotesi",
amministrative.
La mancata adozione delle misure minime o di quelle
idonee può inoltre portare il soggetto cui si
riferiscono i dati, e che è stato danneggiato,
a chiedere un risarcimento.
Questi in breve i servizi offerti per la gestione della
problematica:
• Analisi Iniziale
delle effettive necessità.
• Analisi del sistema informatico / Informativo.
• Consulenza per la redazione di tutta la documentazione
e del DPS.
• Messa in Sicurezza del sistema Informatico.
• Formazione degli Utenti.
• Assistenza post-vendita.
Stralcio del “Documento programmatico sulla sicurezza”.
Entro il 31 marzo di ogni anno, il titolare di un trattamento
di dati sensibili o di dati giudiziari redige anche
attraverso il responsabile, se designato, un documento
programmatico sulla sicurezza contenente idonee informazioni
riguardo:
19.1. l’elenco dei
trattamenti di dati personali;
19.2. la distribuzione
dei compiti e delle responsabilità nell’ambito
delle strutture preposte al trattamento dei dati;
19.3. l’analisi dei
rischi che incombono sui dati;
19.4. le misure da adottare
per garantire l’integrità e la disponibilità
dei dati, nonché la protezione delle aree e dei
locali, rilevanti ai fini della loro custodia e accessibilità;
19.5. la descrizione dei
criteri e delle modalità per il ripristino della
disponibilità dei dati in seguito a distruzione
o danneggiamento di cui al successivo punto 23;
19.6. la previsione di
interventi formativi degli incaricati del trattamento,
per renderli edotti dei rischi che incombono sui dati,
delle misure disponibili per prevenire eventi dannosi,
dei profili della disciplina sulla protezione dei dati
personali più rilevanti in rapporto alle relative
attività, delle responsabilità che ne
derivano e delle modalità per aggiornarsi sulle
misure minime adottate dal titolare. La formazione è
programmata già al momento dell’ingresso
in servizio, nonché in occasione di cambiamenti
di mansioni, o di introduzione di nuovi significativi
strumenti, rilevanti rispetto al trattamento di dati
personali;
19.7. la descrizione dei
criteri da adottare per garantire l’adozione delle
misure minime di sicurezza in caso di trattamenti di
dati personali affidati, in conformità al codice,
all’esterno della struttura del titolare;
19.8. per i dati personali
idonei a rivelare lo stato di salute e la vita sessuale
di cui al punto 24, l’individuazione dei criteri
da adottare per la cifratura o per la separazione di
tali dati dagli altri dati personali dell’interessato.
Ulteriori misure in caso di trattamento di dati sensibili
o giudiziari
20. I dati sensibili o giudiziari sono protetti contro
l’accesso abusivo, di cui all’ art. 615-ter
del codice penale, mediante l’utilizzo di idonei
strumenti elettronici.
21. Sono impartite istruzioni organizzative e tecniche
per la custodia e l’uso dei supporti rimovibili
su cui sono memorizzati i dati al fine di evitare accessi
non autorizzati e trattamenti non consentiti.
22. I supporti rimovibili contenenti dati sensibili
o giudiziari se non utilizzati sono distrutti o resi
inutilizzabili, ovvero possono essere riutilizzati da
altri incaricati, non autorizzati al trattamento degli
stessi dati, se le informazioni precedentemente in essi
contenute non sono intelligibili e tecnicamente in alcun
modo ricostruibili.
23. Sono adottate idonee misure per garantire il ripristino
dell’accesso ai dati in caso di danneggiamento
degli stessi o degli strumenti elettronici, in tempi
certi compatibili con i diritti degli interessati e
non superiori a sette giorni.
24. Gli organismi sanitari e gli esercenti le professioni
sanitarie effettuano il trattamento dei dati idonei
a rivelare lo stato di salute e la vita sessuale contenuti
in elenchi, registri o banche di dati con le modalità
di cui all’articolo 22, comma 6, del codice, anche
al fine di consentire il trattamento disgiunto dei medesimi
dati dagli altri dati personali che permettono di identificare
direttamente gli interessati. I dati relativi all’identità
genetica sono trattati esclusivamente all’interno
di locali protetti accessibili ai soli incaricati dei
trattamenti ed ai soggetti specificatamente autorizzati
ad accedervi; il trasporto dei dati all’esterno
dei locali riservati al loro trattamento deve avvenire
in contenitori muniti di serratura o dispositivi equipollenti;
il trasferimento dei dati in formato elettronico è
cifrato.
(Misure di sicurezza) 1. Chiunque, essendovi tenuto,
omette di adottare le misure minime previste dall’articolo
33 è punito con l'arresto sino a due anni o con
l'ammenda da diecimila euro a cinquan-tamila euro. 2.
All’autore del reato, all’atto dell’accertamento
o, nei casi complessi, anche con succes-sivo atto del
Garante, è impartita una prescrizione fissando
un termine per la regolariz-zazione non eccedente il
periodo di tempo tecnicamente necessario, prorogabile
in caso di particolare complessità o per l’oggettiva
difficoltà dell’adempimento e comunque
non superiore a sei mesi. Nei sessanta giorni successivi
allo scadere del termine, se risulta l’adempimento
alla prescrizione, l'autore del reato è ammesso
dal Garante a pagare una somma pari al quarto del massimo
dell'ammenda stabilita per la contravvenzione. L'a-dempimento
e il pagamento estinguono il reato. L’organo che
impartisce la prescrizione e il pubblico ministero provvedono
nei modi di cui agli articoli 21, 22, 23 e 24 del decreto
legislativo 19 dicembre 1994, n. 758, e successive modificazioni,
in quanto applicabili
|
Privacy e protezione dei dati personali
