Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
it/
Panfilo Marcelli
Commons Deed
Tu sei libero:
• di modificare quest'opera
• Ogni volta che usi o distribuisci quest'opera, devi farlo secondo i termini di questa licenza,
che va comunicata con chiarezza.
• In ogni caso, puoi concordare col titolare dei diritti utilizzi di quest'opera non consentiti da
questa licenza (p.marcelli@cmaconsulting.it).
• Questa licenza lascia impregiudicati i diritti morali.
Limitazione di responsabilità
Le utilizzazioni consentite dalla legge sul diritto d'autore e gli altri diritti non sono in alcun modo
limitati da quanto sopra.
Questo è un riassunto in linguaggio accessibile a tutti del Codice Legale (la licenza integrale)1.
1
http://creativecommons.org/licenses/by-nc/2.5/it/legalcode
Indice
Indice
INDICE.........................................................................................................................I
INTRODUZIONE.......................................................................................................1
PERCORSI FORMATIVI.......................................................................................................2
ORGANIZZAZIONE DEI CONTENUTI......................................................................................4
IL SITO WEB COLLEGATO AL LIBRO.....................................................................................5
RINGRAZIAMENTI............................................................................................................5
LIMITAZIONE DI RESPONSABILITÀ.......................................................................................5
PANFILO MARCELLI SI PRESENTA.......................................................................................6
LEZIONE 1 – INTRODUZIONE ALLA PRIVACY...............................................7
UNITÀ DIDATTICA 1.1 – IL DIRITTO ALLA PROTEZIONE DEI DATI PERSONALI............................15
Modulo 1.1.1 – Mini glossario.............................................................................16
Modulo 1.1.2 – Sintesi delle norme sulla privacy................................................17
Modulo 1.1.3 – Quadro normativo.......................................................................18
DOMANDE DI VERIFICA 1.1............................................................................................19
UNITÀ DIDATTICA 1.2 – IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI......................21
Modulo 1.2.1 – L’ufficio del Garante...................................................................22
Modulo 1.2.2 – Ispezioni del Garante .................................................................24
Modulo 1.2.3 – Nucleo speciale funzione pubblica e privacy della Guardia di
Finanza.................................................................................................................25
DOMANDE DI VERIFICA 1.2............................................................................................26
UNITÀ DIDATTICA 1.3 – LE PRINCIPALI NORME SULLA PRIVACY...........................................27
Modulo 1.3.1 – Codice in materia di protezione dei dati personali....................28
Modulo 1.3.2 – Allegati al Codice ......................................................................31
Modulo 1.3.3 – Allegato B - Disciplinare tecnico in materia di misure minime di
sicurezza ..............................................................................................................32
Modulo 1.3.4 – Le “semplificazioni” del 2008 sulla sicurezza e la notificazione
..............................................................................................................................37
Modulo 1.3.5 – I nuovi adempimenti per le funzioni di “amministratore di
sistema” ...............................................................................................................39
Modulo 1.3.6 – Gli “inasprimenti” delle sanzioni del 30 dicembre 2008...........41
DOMANDE DI VERIFICA 1.3............................................................................................43
RISPOSTE ALLE DOMANDE DI VERIFICA DELLA LEZIONE 1.....................................................44
LEZIONE 2 – ORGANIZZAZIONE DELLA PRIVACY....................................47
UNITÀ DIDATTICA 2.1 – PRINCIPALI ADEMPIMENTI PREVISTI DAL CODICE..............................57
Modulo 2.1.1 – L’informativa .............................................................................58
I
II
Introduzione
Questo testo è un corso di formazione sulle tematiche della privacy rivolto a coloro che
lavorano in azienda.
Come è noto il “Codice in materia di protezione dei dati personali” 2 prevede, tra gli
obblighi di sicurezza, la programmazione di interventi formativi per “rendere edotti”
gli incaricati del trattamento di dati personali dei rischi che incombono sui dati e delle
relative contromisure di sicurezza; è inoltre necessario che la pianificazione della
formazione sia riportata nel Documento Programmatico sulla Sicurezza, se redatto.
Per rispondere anche a tali esigenze è stato realizzato questo corso che si articola in sei
lezioni.
2
http://www.garanteprivacy.it/garante/doc.jsp?ID=1311248
3
http://www.arcobaleni196.it
1
Percorsi formativi
È opportuno che la formazione sulla privacy non venga svolta in maniera indifferenziata
per tutti gli incaricati ma che, viceversa, sia predisposta una “struttura formativa
modulare” in relazione alle tipologie di incarico al trattamento dei dati personali.
Le sei lezioni del testo si rivolgono, dunque, ad interlocutori diversi, come di seguito
specificato.
Le sei lezioni possono essere combinate secondo veri e propri “percorsi formativi”
quali quelli di seguito proposti.
È ovviamente possibile far svolgere a particolari classi di incaricati l’intero corso per
dare una formazione ed informazione più ampia.
L1
Introduzione alla privacy
Lezioni
Caso di CS1
Arcobaleni196
studio e la privacy
U11
U12
Il diritto
Il Garante per la
alla protezione ….
dei dati personali
protezione dei dati
personali
Unità
Didattiche
Domande DV11
Verifica
di verifica la tua comprensione
M111
M112
La privacy
in
Quadro
normativo
…
Moduli
Italia
Al corso è inoltre collegato il sito Arcobaleni1966 dal nome (fittizio) della società che è
protagonista dei nostri casi di studio ed esercitazioni.
Ringraziamenti
Si ringrazia ComplianceNet e CMa Consulting per l’aiuto e l’assistenza nella
redazione di questo corso; in particolare:
• Cristina Cellucci per l’entusiasmo che mette in tutte le sue iniziative (questo
corso non avrebbe visto luce senza il suo aiuto); Cristina può essere contattata al
seguente indirizzo email: cristina.cellucci@compliancenet.it
• Manlio Torquato per la revisione, correzione, puntualizzazione dei contenuti
del testo (questo corso ha rischiato, per colpa sua, più di una volta di non vedere
la luce...); Manlio può essere contattato al seguente indirizzo email:
manlio.torquato@gmail.com
Limitazione di responsabilità
ComplianceNet, CMA Consulting, Panfilo Marcelli, Cristina Cellucci, Manlio Torquato
e tutti coloro che hanno contribuito a tale documento non forniscono nessuna
assicurazione né garanzia che l’uso di questo documento, delle relative linee guida, dei
suggerimenti, delle check list e degli strumenti indicati in questa pubblicazione possano
garantire di per sé la conformità alle norme.
4
http://www.compliancenet.it/
5
http://www.cmaconsulting.it/
6
http://www.arcobaleni196.it
5
7
http://www.cmaconsulting.it/
6
Lezione 1 –
Introduzione alla
privacy
Obiettivi di apprendimento
• Cos’è la Privacy?
• Quale sono le norme più importanti in ambito privacy?
• Cos’è il Garante per la protezione dei dati personali e che poteri ha?
• Cosa sono i provvedimenti del Garante?
Percorsi formativi
• Corso per incaricati al trattamento dei dati personali.
• Corso per Direzione.
• Corso per Responsabile dei trattamenti.
• Corso per Responsabile dei trattamenti con video sorveglianza.
• Corso per Responsabile dei trattamenti di marketing.
Concetti chiave:
• Codice in materia di protezione dei dati personali.
• Allegati al Codice.
• Ufficio del Garante.
Lezione 1 –
Caso di studio a –
Arcobaleni196 e la privacy
Le lezioni di questo corso sono basate su una serie di casi di studio concreti. Simuleremo di
trovarci presso Arcobaleni196 srl8 una società che produce e commercializza vernici speciali per
la carrozzeria di veicoli. Sono stato convocato dal cavalier Pinco Arcobaleni, fondatore e
Direttore Generale dell’azienda. “Ho bisogno di una consulenza sulla privacy” mi ha detto
telefonicamente. E così vado a trovarlo.
Primo incontro
con il cavalier
Arcobaleni
“Ieri è stato rubato un altro computer portatile! È il terzo dall’inizio dell’anno adesso basta! Voglio
sapere chi è che ruba in azienda. Inoltre il mese scorso, nonostante il divieto di fumo in tutti gli
uffici, qualcuno ha acceso una sigaretta in uno dei bagni facendo suonare l’allarme antincendio.”
“Le telecamere non sono vietate di per sé” gli ho spiegato “ma la legge sulla privacy impone di
seguire delle regole.”
8
http://www.arcobaleni196.it/
9
http://www.compliancenet.it/category/compliancenet/privacy
10
“In Italia esistono norme precise, ed in alcuni casi anche severe, sui trattamenti di dati personali. Le
riprese effettuate con sistemi di videosorveglianza sono considerati trattamenti di dati personali. Dal
primo gennaio 2004 l’intera materia è stata riordinata e precisata dal Codice in materia di
protezione dei dati personali” ho spiegato.
Comunicazione del
Direttore Generale del 15
settembre 2008
Si comunica a tutto il
personale che a far data da
oggi è vietato il
trattamento di qualsiasi
dato personale in
azienda.
Firmato
Pinco Arcobaleni
Direttore Generale
“Me lo ha consigliato la dottoressa Rossetti. Mi ha detto che nel giugno 2008 è stato abrogato
l’obbligo delle misure di sicurezza per le aziende che non trattano dati sensibili.”
11
“Nessuno ha abrogato l’obbligo di adottare le misure di sicurezza” chiarisco “il Decreto Legge 25
giugno 2008 n.11210 del giugno 2008, poi tradotto in un provvedimento11 del Garante nel
dicembre 2008, ha semplicemente abrogato l’obbligo della redazione del Documento
Programmatico sulla sicurezza per tutte le aziende che non trattano dati sensibili o che trattano
solo dati sensibili inerenti salute e malattia dei propri dipendenti, senza indicazione della diagnosi”.
“Mi scusi mi sono espresso male. Intendevo dire che non trattiamo dati sensibili! Sa con tutte
queste definizioni … Adesso però dovrò rifare la comunicazione a tutto il personale… Non è che mi
darebbe una mano? Avrei bisogno che qualcuno mi chiarisse un po’ meglio le idee sulla privacy.
Ma mi dica subito: posso installare o no le telecamere?”
“Certamente cavaliere. Ma il mio consiglio è di fare un po’ di ordine sia sulle norme sia sugli
adempimenti privacy. Temo che ci siano numerosi obblighi che avete sottovalutato. Le posso fare
una proposta? Convochi i suoi principali collaboratori ed in un paio d’ore le farò un quadro
completo della normativa e di quello che serve per fare il censimento dei trattamenti.”
“Ingegnere, sarò franco: fino ad oggi non ci siamo curati di questi aspetti e non abbiamo mai avuto
problemi… Non siamo una grande azienda che può spendere migliaia di euro su questi temi. Io la
ringrazio per essere venuto a trovarmi ma vorrei essere onesto con lei: ho altre priorità!”
“Tocca a lei decidere, cavaliere. Le ricordo però che le sanzioni previste per il mancato rispetto
delle norme sulla privacy sono sia penali sia amministrative.”
“Le sanzioni penali possono comportare anche pene detentive oltre che pecuniarie. Le sanzioni
amministrative possono essere pecuniarie o a fronte di gravi irregolarità arrivare anche al blocco del
trattamento dei dati.”
“Che significa?”
“Significa che Arcobaleni196 non potrebbe più operare e sarebbe costretta a chiudere… Cavaliere
si fidi di me! Facciamo così: mi accordi due ore con i suoi collaboratori più stretti. E poi decida lei
se andare avanti con il mio aiuto o continuare a fare tutto da solo.”
10
http://www.camera.it/parlam/leggi/decreti/08112d.htm
11
http://www.garanteprivacy.it/garante/doc.jsp?ID=1571218
12
Sanzioni per gli adempimenti privacy prima degli inasprimenti introdotti con il D.L. n. 207 del 30
dicembre 2008 (articolo 4412)
Illeciti penali
Sanzioni amministrative
Trattamento illecito di dati Reclusione da 6 a 24 mesi
Omessa o inidonea informativa Da € 3.000,00 a € 18.000,00 Trattamento illecito di dati (dati sensibili,
giudiziari, trattamenti che presentano
rischi specifici) Reclusione da 1 a 3 anni
Omessa o inidonea informativa (dati
sensibili, giudiziari, trattamenti che Falsità nelle dichiarazioni e notificazioni
presentano rischi specifici) Da € 5.000,00 a € 30.000,00 al Garante Reclusione da 6 mesi a 3 anni
Arresto fino a 2 anni Sanzione
Cessione illecita di dati Da € 5.000,00 a € 30.000,00 Omessa adozione delle misure minime pecuniaria da € 10.000,00 a €
di sicurezza 50.000,00
Violazione relativa ai dati personali
idonei a rilevare lo stato di salute Da € 500,00 a € 3.000,00
Violazione da parte dei datori di lavoro
Omessa o incompleta notificazione Da € 10.000,00 a € 60.000,00 del divieto di Effettuare indagini su
opinioni politiche, Controllo attraverso
Omessa informazione o esibizione al luso di impianti audiovisivi, o altre
Garante dei documenti richiesti Da € 4.000,00 a € 24.000,00 apparecchiature art.4 Legge n.300/1970 Arresto da 15 giorni a 1 anno
“Okay ingegnere. Faccio venire immediatamente i miei principali collaboratori: Carmela Rossetti
della qualità e controlli, Giuseppina Nerucci delle risorse umane, Ercole Marroni della produzione,
Mariuccia Nerini della Contabilità.”
12
http://www.gazzettaufficiale.it/guridb/dispatcher?service=1&datagu=2008-12-
31&task=testoArticolo&progressivoarticolo=0&versionearticolo=1&subarticolo=1&numeroarticolo=44&redaz=008G0
232&tmstp=1232193077977
13
Introduzione
alla privacy
Inizia il corso…
14
Lezione 1 –
Unità didattica 1.1 – Il diritto
alla protezione dei dati
personali
15
Dato sensibile: qualunque dato che può rivelare l’origine razziale, l’appartenenza etnica, le
convinzioni religiose o di altra natura, le opinioni politiche, l’appartenenza a partiti o sindacati, lo
stato di salute e la vita sessuale.
Trattamento dei dati personali: qualunque operazione o complesso di operazioni, effettuate anche
senza mezzi elettronici o automatizzati (raccolta, registrazione, organizzazione, conservazione,
elaborazione, modificazione, selezione, estrazione, raffronto, utilizzo, interconnessione, blocco,
comunicazione, diffusione, cancellazione e distruzione).
Titolare del trattamento: la pubblica amministrazione, la persona giuridica o fisica cui competono
le decisioni in ordine alle finalità ed alle modalità del trattamento dei dati personali.
Interessato: la persona fisica, la persona giuridica, l’ente o l’associazione cui si riferiscono i dati.
Informativa: contiene le informazioni che il titolare del trattamento deve fornire all’interessato per
chiarire, in particolare, se quest’ultimo è obbligato o meno a rilasciare i dati, quali sono gli scopi e
le modalità del trattamento, come circolano i dati e in che modo esercitare i diritti riconosciuti dalla
legge.
Consenso: la libera manifestazione della volontà con la quale l’interessato accetta – in modo
espresso e, se vi sono dati sensibili, per iscritto - un determinato trattamento di dati che lo
riguardano, sul quale è stato preventivamente informato da chi utilizza i dati.
Il Garante: un’Autorità indipendente composta da quattro membri eletti dal Parlamento. È stata
istituita per la tutela dei diritti, delle libertà fondamentali e della dignità delle persone rispetto al
trattamento dei dati personali. Controlla se il trattamento di dati personali da parte di privati e
pubbliche amministrazioni è lecito e corretto. Esamina reclami, segnalazioni e ricorsi, svolge
accertamenti anche su richiesta del cittadino, esegue ispezioni e verifiche. Prescrive modifiche
necessarie od opportune per far adeguare i trattamenti alla disciplina vigente. Segnala al Parlamento
e al Governo l’opportunità di interventi normativi per tutelare gli interessati. Esprime pareri su
regolamenti e atti amministrativi di alcune amministrazioni pubbliche. Presenta al Parlamento e al
Governo una relazione annuale sullo stato di attuazione della normativa che regola la materia.
13
http://www.garanteprivacy.it/garante/document?ID=1382763
16
• I dati personali sono una proiezione della persona. La legge tutela la riservatezza,
l’identità personale, la dignità e gli altri nostri diritti e libertà fondamentali.
• Il trattamento dei dati che ci riguardano deve rispettare le garanzie previste dalla legge.
• La prima garanzia è la trasparenza. Ognuno di noi ha il diritto di “sapere”. Il diritto di
conoscere se un soggetto detiene informazioni, di apprenderne il contenuto, di farle
rettificare se erronee, incomplete o non aggiornate.
• Conoscere i nostri diritti e il modo per farli valere è semplice.
14
http://www.garanteprivacy.it/garante/doc.jsp?ID=1311248
15
Brochure “La tutela dei dati personali: il primo Garante sei tu” http://www.garanteprivacy.it/garante/document?
ID=1382763
17
Codice
Obblighi
normativi Allegati
Provvedimenti
Best
Linee guida
practices
Modelli
16
http://www.garanteprivacy.it/garante/doc.jsp?ID=1311248
17
http://www.garanteprivacy.it/garante/navig/jsp/index.jsp?folderpath=Provvedimenti
18
http://www.garanteprivacy.it/garante/navig/jsp/index.jsp?folderpath=Normativa%2FItaliana%2FIl+Codice+in+materia+di+protezione+dei+dati+personali
18
19
20
Lezione 1 –
Unità didattica 1.2 – Il
Garante per la protezione dei
dati personali
Modulo 1.2.1 – L’Ufficio del Garante
21
Presidente
Francesco Pizzetti
Vicepresidente
Giuseppe Chiaravalloti
Componenti
Mauro Paissan
Giuseppe Fortunato
Fonte immagini21
19
http://www.garanteprivacy.it/garante/doc.jsp?ID=1311248
20
Alla data del 17 gennaio 2009
21
http://www.garanteprivacy.it/garante/doc.jsp?ID=1116178
22
Fonte immagine23
Fonte immagine26
22
http://it.wikipedia.org/wiki/Stefano_Rodot%C3%A0
23
http://commons.wikimedia.org/wiki/Image:Stefano_Rodot%C3%A0_Trento_2007.jpg?uselang=it
24
http://www.garanteprivacy.it/garante/doc.jsp?ID=1127990
25
http://europa.eu/institutions/others/edps/index_it.htm
26
http://www.garanteprivacy.it/garante/doc.jsp?ID=1127990
27
http://maps.google.it/
23
Ogni anno, attraverso il proprio sito web e la sua newsletter28, il Garante rende noto il piano
ispettivo previsto per i successivi mesi.
Nella newsletter del 7 aprile 200829 il Garante ha comunicato che nel corso dei rimanenti mesi del
2008, nell'ambito dell'attività ispettiva programmata, una particolare attenzione sarebbe stata posta
ai sistemi di videosorveglianza e che sarebbero state effettuate ispezioni su tutto il territorio
nazionale sia per verificare il rispetto delle regole fissate dal Garante con il provvedimento del 2004
sull'uso delle telecamere, sia per poter disporre di un quadro aggiornato sull'attuale impiego dei
sistemi di videosorveglianza da parte di soggetti pubblici e privati.
Altri controlli, ha annunciato il Garante, avrebbero riguardato il rispetto dell'obbligo
dell'informativa da fornire agli interessati al momento della raccolta dei dati personali, la libertà e
validità del consenso, la durata della conservazione dei dati; infine sarebbero state effettuate
verifiche sull'adozione delle misure minime di sicurezza da parte di soggetti, pubblici e privati,
che effettuano trattamenti di dati sensibili.
Ovviamente, oltre agli accertamenti previsti nel programma varato, l'Ufficio del Garante svolge
anche le ordinarie ulteriori attività istruttorie di carattere ispettivo relative a segnalazioni, reclami e
ricorsi presentati all'Autorità.
28
http://www.garanteprivacy.it/garante/navig/jsp/index.jsp?folderpath=Newsletter
29
http://www.garanteprivacy.it/garante/doc.jsp?ID=1504209
24
Fonte immagine31
30
http://www.gdf.it/reparti/reparto.asp?idreparto=RM083&idcomune=&provincia=&denominazione=&catastale=
31
http://www.gdf.it/organizzazione/dove_siamo/comando_dei_reparti_speciali/info-407534563.html
25
26
Lezione 1 –
Unità didattica 1.3 – Le
principali norme sulla privacy
Modulo 1.3.1 – Codice in materia di protezione dei dati personali
27
1. disposizioni generali;
2. disposizioni relative a specifici settori;
3. norme relative alle forme di tutela, alle sanzioni ed all’ufficio del Garante per la protezione
dei dati personali.
Diritti fondamentali
L’articolo 1 spiega chiaramente lo spirito della norma: “chiunque ha diritto alla protezione dei dati
personali che lo riguardano”.
L’articolo 2 recita che il Codice “garantisce che il trattamento dei dati personali si svolga nel
rispetto dei diritti e delle libertà fondamentali, nonché della dignità dell’interessato, con particolare
riferimento alla riservatezza, all’identità personale e al diritto alla protezione dei dati personali”.
Trattamenti e dati
Le disposizioni del Codice si applicano al trattamento di dati personali cioè a “qualunque
operazione o complesso di operazioni, effettuati anche senza l’ausilio di strumenti elettronici,
concernenti:
• la raccolta,
• la registrazione,
• l’organizzazione,
• la conservazione,
• la consultazione,
• l’elaborazione,
• la modificazione,
• la selezione,
• l’estrazione,
• il raffronto,
• l’utilizzo,
• l’interconnessione,
• il blocco,
• la comunicazione,
• la diffusione,
• la cancellazione,
• la distruzione di dati
anche se non registrati in una banca di dati”.
32
http://www.garanteprivacy.it/garante/doc.jsp?ID=1311248
28
L’articolo 4 definisce i dati personali come “qualunque informazione relativa a persona fisica,
persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante
riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale”.
I dati personali si dividono in:
• dati identificativi, ossia “dati personali che permettono l’identificazione diretta
dell'interessato”;
• dati sensibili,ossia “dati personali idonei a rivelare l’origine razziale ed etnica, le
convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti,
sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o
sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale”.
Principi
Il Codice fissa alcuni principi generali che devono esser seguiti nel trattamento di dati personali; in
particolare:
• in applicazione del principio di necessità (articolo 3), i sistemi informativi e i programmi
informatici devono essere configurati, già in origine, in modo da ridurre al minimo l'utilizzo
di informazioni relative a clienti identificabili. Il trattamento di dati personali relativi a
clienti non è lecito se le finalità del trattamento, in particolare di profilazione, possono
essere perseguite con dati anonimi o solo indirettamente identificativi;
29
• nel rispetto del principio di proporzionalità nel trattamento (articolo 11, comma 1, lett. d),
tutti i dati personali e le varie modalità del loro trattamento devono essere pertinenti e non
eccedenti rispetto alle finalità perseguite;
• il trattamento dei dati è possibile solo se è fondato su uno dei presupposti di liceità che il
Codice prevede espressamente per gli organi pubblici da un lato (svolgimento di funzioni
istituzionali: articoli 18-22) e, dall’altro, per soggetti privati ed enti pubblici economici
(adempimento ad un obbligo di legge, provvedimento del Garante di c.d. “bilanciamento di
interessi” o consenso libero ed espresso: articoli 23-27);
• le finalità perseguite dal trattamento devono essere determinati, espliciti e legittimi (articolo
11, comma 1, lett. b); ciò comporta che il titolare possa perseguire solo finalità di sua
pertinenza.
Se l'interessato esercita il proprio diritto d'accesso ai dati che lo riguardano o uno degli altri diritti
che gli sono riconosciuti, il titolare del trattamento (o il responsabile) deve fornire riscontro (di
regola) entro quindici giorni dal ricevimento dell'istanza (art. 146 del Codice).
In caso di omesso o incompleto riscontro, i predetti diritti possono essere fatti valere dinanzi
all'autorità giudiziaria o con ricorso al Garante (art. 145 del Codice).
Sanzioni
Il Codice prevede sia sanzioni di carattere amministrativo sia illeciti penali.
Le sanzioni di carattere amministrativo sono causate da:
• omessa o inidonea informativa all’interessato (articolo 161);
• illecita cessione di dati personali (articolo 162);
• omessa o incompleta notificazione (articolo 163);
• omessa informazione o esibizione al Garante (articolo 164).
Gli illeciti penali sono causati da:
• trattamento illecito di dati (articolo 167);
• falsità nelle dichiarazioni e notificazioni al Garante (articolo 168);
• omissione delle misure minime di sicurezza (articolo 169);
• inosservanza di provvedimenti del Garante (articolo 170).
30
33
http://www.garanteprivacy.it/garante/doc.jsp?ID=1565171
34
http://www.garanteprivacy.it/garante/doc.jsp?ID=1556693
35
http://www.garanteprivacy.it/garante/doc.jsp?ID=1556635
36
http://www.garanteprivacy.it/garante/doc.jsp?ID=1556386
37
http://www.garanteprivacy.it/garante/doc.jsp?ID=1556419
38
http://www.garanteprivacy.it/garante/doc.jsp?ID=1556573
39
http://www.garanteprivacy.it/garante/doc.jsp?ID=1557184
40
http://www.garanteprivacy.it/garante/doc.jsp?ID=1557209
31
Il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate,
nei modi previsti dal disciplinare tecnico contenuto nell'allegato B), le seguenti misure minime:
a) autenticazione informatica;
b) adozione di procedure di gestione delle credenziali di autenticazione;
c) utilizzazione di un sistema di autorizzazione;
d) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai
singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici;
e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad
accessi non consentiti e a determinati programmi informatici;
f) adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità
dei dati e dei sistemi;
g) tenuta di un aggiornato documento programmatico sulla sicurezza;
h) adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati
idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari.
Con le semplificazioni adottate nel dicembre 2008 è stato aggiunto all’articolo 34 il comma 1-bis di
seguito riportato.
Per i soggetti che trattano soltanto dati personali non sensibili e che trattano come
unici dati sensibili quelli costituiti dallo stato di salute o malattia dei propri
dipendenti e collaboratori anche a progetto, senza indicazione della relativa diagnosi,
ovvero dall'adesione ad organizzazioni sindacali o a carattere sindacale, la tenuta di un
41
http://www.garanteprivacy.it/garante/doc.jsp?ID=1557184
42
http://www.garanteprivacy.it/garante/doc.jsp?ID=1311248
32
Il trattamento di dati personali effettuato senza l'ausilio di strumenti elettronici è consentito solo se
sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell'allegato B), le seguenti
misure minime:
a) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai
singoli incaricati o alle unità organizzative;
b) previsione di procedure per un'idonea custodia di atti e documenti affidati agli incaricati per
lo svolgimento dei relativi compiti;
c) previsione di procedure per la conservazione di determinati atti in archivi ad accesso
selezionato e disciplina delle modalità di accesso finalizzata all'identificazione degli
incaricati.
Allegato B
Il “Disciplinare tecnico in materia di misure minime di sicurezza” (allegato B43) specifica le
modalità con cui attuare le misure minime di sicurezza indicate nel Codice.
43
http://www.garanteprivacy.it/garante/doc.jsp?ID=1557184
33
successivamente, almeno ogni sei mesi. In caso di trattamento di dati sensibili e di dati
giudiziari la parola chiave è modificata almeno ogni tre mesi.
6. Il codice per l'identificazione, laddove utilizzato, non può essere assegnato ad altri incaricati,
neppure in tempi diversi.
7. Le credenziali di autenticazione non utilizzate da almeno sei mesi sono disattivate, salvo
quelle preventivamente autorizzate per soli scopi di gestione tecnica.
8. Le credenziali sono disattivate anche in caso di perdita della qualità che consente
all'incaricato l'accesso ai dati personali.
9. Sono impartite istruzioni agli incaricati per non lasciare incustodito e accessibile lo
strumento elettronico durante una sessione di trattamento.
10. Quando l'accesso ai dati e agli strumenti elettronici è consentito esclusivamente mediante
uso della componente riservata della credenziale per l'autenticazione, sono impartite idonee
e preventive disposizioni scritte volte a individuare chiaramente le modalità con le quali il
titolare può assicurare la disponibilità di dati o strumenti elettronici in caso di prolungata
assenza o impedimento dell'incaricato che renda indispensabile e indifferibile intervenire per
esclusive necessità di operatività e di sicurezza del sistema. In tal caso la custodia delle
copie delle credenziali è organizzata garantendo la relativa segretezza e individuando
preventivamente per iscritto i soggetti incaricati della loro custodia, i quali devono
informare tempestivamente l'incaricato dell'intervento effettuato.
11. Le disposizioni sul sistema di autenticazione di cui ai precedenti punti e quelle sul sistema di
autorizzazione non si applicano ai trattamenti dei dati personali destinati alla diffusione.
Sistema di autorizzazione
12. Quando per gli incaricati sono individuati profili di autorizzazione di ambito diverso è
utilizzato un sistema di autorizzazione.
13. I profili di autorizzazione, per ciascun incaricato o per classi omogenee di incaricati, sono
individuati e configurati anteriormente all'inizio del trattamento, in modo da limitare
l'accesso ai soli dati necessari per effettuare le operazioni di trattamento.
14. Periodicamente, e comunque almeno annualmente, è verificata la sussistenza delle
condizioni per la conservazione dei profili di autorizzazione.
34
19. Entro il 31 marzo di ogni anno, il titolare di un trattamento di dati sensibili o di dati
giudiziari44 redige anche attraverso il responsabile, se designato, un documento
programmatico sulla sicurezza contenente idonee informazioni riguardo:
19.1.l'elenco dei trattamenti di dati personali;
19.2.la distribuzione dei compiti e delle responsabilità nell'ambito delle strutture preposte
al trattamento dei dati;
19.3.l'analisi dei rischi che incombono sui dati;
19.4.le misure da adottare per garantire l'integrità e la disponibilità dei dati, nonchè la
protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità;
19.5.la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in
seguito a distruzione o danneggiamento di cui al successivo punto 23;
19.6.la previsione di interventi formativi degli incaricati del trattamento, per renderli
edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi
dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in
rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità
per aggiornarsi sulle misure minime adottate dal titolare. La formazione è
programmata già al momento dell'ingresso in servizio, nonchè in occasione di
cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti
rispetto al trattamento di dati personali;
19.7.la descrizione dei criteri da adottare per garantire l'adozione delle misure minime di
sicurezza in caso di trattamenti di dati personali affidati, in conformità al codice,
all'esterno della struttura del titolare;
19.8.per i dati personali idonei a rivelare lo stato di salute e la vita sessuale di cui al punto
24, l'individuazione dei criteri da adottare per la cifratura o per la separazione di tali
dati dagli altri dati personali dell'interessato.
44
Con le semplificazioni adottate nel dicembre 2008 per i titolari che trattano soltanto dati personali non sensibili e che
trattano come unici dati sensibili quelli costituiti dallo stato di salute o malattia dei propri dipendenti e collaboratori
anche a progetto, senza indicazione della relativa diagnosi, ovvero dall'adesione ad organizzazioni sindacali o a
carattere sindacale, la tenuta di un aggiornato documento programmatico sulla sicurezza è sostituita dall'obbligo di
autocertificazione
35
dati con le modalità di cui all'articolo 22, comma 6, del codice, anche al fine di consentire il
trattamento disgiunto dei medesimi dati dagli altri dati personali che permettono di
identificare direttamente gli interessati. I dati relativi all'identità genetica sono trattati
esclusivamente all'interno di locali protetti accessibili ai soli incaricati dei trattamenti ed ai
soggetti specificatamente autorizzati ad accedervi; il trasporto dei dati all'esterno dei locali
riservati al loro trattamento deve avvenire in contenitori muniti di serratura o dispositivi
equipollenti; il trasferimento dei dati in formato elettronico è cifrato.
27. Agli incaricati sono impartite istruzioni scritte finalizzate al controllo ed alla custodia, per
l'intero ciclo necessario allo svolgimento delle operazioni di trattamento, degli atti e dei
documenti contenenti dati personali. Nell'ambito dell'aggiornamento periodico con cadenza
almeno annuale dell'individuazione dell'ambito del trattamento consentito ai singoli
incaricati, la lista degli incaricati può essere redatta anche per classi omogenee di incarico e
dei relativi profili di autorizzazione.
28. Quando gli atti e i documenti contenenti dati personali sensibili o giudiziari sono affidati
agli incaricati del trattamento per lo svolgimento dei relativi compiti, i medesimi atti e
documenti sono controllati e custoditi dagli incaricati fino alla restituzione in maniera che ad
essi non accedano persone prive di autorizzazione, e sono restituiti al termine delle
operazioni affidate.
29. L'accesso agli archivi contenenti dati sensibili o giudiziari è controllato. Le persone
ammesse, a qualunque titolo, dopo l'orario di chiusura, sono identificate e registrate. Quando
gli archivi non sono dotati di strumenti elettronici per il controllo degli accessi o di incaricati
della vigilanza, le persone che vi accedono sono preventivamente autorizzate.
36
• amministrazioni pubbliche e società private che utilizzano dati personali non sensibili
(nome, cognome, indirizzo, codice fiscale, numero di telefono) o che trattano come unici
dati sensibili dei dipendenti quelli relativi allo stato di salute o all'adesione a organizzazioni
sindacali;
• piccole e medie imprese, liberi professionisti o artigiani che trattano dati solo per fini
amministrativi e contabili.
Obiettivo dell'Autorità è quello di mantenere un adeguato livello per le misure minime di sicurezza
venendo però incontro alle esigenze prospettate da imprese, soprattutto di piccole dimensioni,
volte a snellire le procedure, graduare le cautele a seconda della delicatezza dei trattamenti e a
contenere i costi.
• possono impartire agli incaricati le istruzioni in materia di misure minime anche oralmente;
• possono utilizzare per l'accesso ai sistemi informatici un qualsiasi sistema di
autenticazione basato su un username e una password; lo username deve essere disattivato
quando viene meno il diritto di accesso ai dati (es. non si opera più all'interno
dell'organizzazione);
• in caso di assenze prolungate o di impedimenti del dipendente possono mettere in atto
procedure o modalità che consentano comunque l'operatività e la sicurezza del sistema ( ad
es. l'invio automatico delle mail ad un altro recapito accessibile);
• devono aggiornare i programmi di sicurezza (antivirus) almeno una volta l'anno, e
effettuare backup dei dati almeno una volta al mese.
Con il provvedimento, inoltre, il Garante ha fornito a piccole e medie imprese, artigiani, liberi
professioni, soggetti pubblici e privati che trattano dati solo a fini amministrativi e contabili, alcune
indicazioni per la redazione di un documento programmatico per la sicurezza semplificato.
Procedure semplificate sono state indicate anche per chi tratta dati senza l'impiego di sistemi
informatici.
Insieme a quello sulle misure minime di sicurezza, il Garante ha adottato anche un provvedimento
che semplifica il modello utilizzato per effettuare le notificazioni, ossia le dichiarazioni da fare
45
http://www.garanteprivacy.it/garante/doc.jsp?ID=1573203
46
http://www.garanteprivacy.it/garante/doc.jsp?ID=1571218
37
38
Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici
servizi informatici cui questi sono preposti. Ciò, avvalendosi dell'informativa resa agli
interessati ai sensi dell'art. 13 del Codice nell'ambito del rapporto di lavoro che li lega al
titolare, oppure tramite il disciplinare tecnico la cui adozione è prevista dal provvedimento
del Garante n. 13 del 1° marzo 2007 (in Gazzetta Ufficiale 10 marzo 2007, n. 58); in
alternativa si possono anche utilizzare strumenti di comunicazione interna (a es., intranet
aziendale, ordini di servizio a circolazione interna o bollettini). Ciò, salvi i casi in cui tale
forma di pubblicità o di conoscibilità non sia esclusa in forza di un'eventuale disposizione di
legge che disciplini in modo difforme uno specifico settore. Nel caso di servizi di
amministrazione di sistema affidati in outsourcing il titolare deve conservare direttamente e
specificamente, per ogni eventuale evenienza, gli estremi identificativi delle persone fisiche
preposte quali amministratori di sistema.
4. Verifica delle attività. L'operato degli amministratori di sistema deve essere oggetto, con
cadenza almeno annuale, di un'attività di verifica da parte dei titolari del trattamento, in
modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza
rispetto ai trattamenti dei dati personali previste dalle norme vigenti.
5. Registrazione degli accessi. Devono essere adottati sistemi idonei alla registrazione degli
accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici
da parte degli amministratori di sistema. Le registrazioni (access log) devono avere
caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità
adeguate al raggiungimento dello scopo di verifica per cui sono richieste. Le registrazioni
devono comprendere i riferimenti temporali e la descrizione dell'evento che le ha generate e
devono essere conservate per un congruo periodo, non inferiore a sei mesi.
6. Tempi di adozione delle misure e degli accorgimenti. Per tutti i titolari dei trattamenti già
iniziati o che avranno inizio entro trenta giorni dalla data di pubblicazione nella Gazzetta
Ufficiale del presente provvedimento, le misure e gli accorgimenti (…) dovranno essere
introdotti al più presto e comunque entro, e non oltre, il termine che è congruo stabilire, in
centoventi giorni dalla medesima data. Per tutti gli altri trattamenti che avranno inizio dopo
il predetto termine di trenta giorni dalla pubblicazione, gli accorgimenti e le misure
dovranno essere introdotti anteriormente all'inizio del trattamento dei dati.
40
Con l’articolo 4449 del D.L. 30.12.2008 n. 207 sono state inasprite le sanzioni previste dal “Codice
in materia di protezione dei dati personali”50. In particolare il trattamento in violazione delle
misure di sicurezza, oltre ad essere punito con l’arresto sino a due anni, viene punito con una
sanzione amministrativa da 20.000 a 120.000 euro; vengono inoltre previsti casi di minore e
maggiore gravità, rispettivamente con diminuzione ed aumento delle sanzioni.
Illeciti penali
Sanzioni amministrative
Trattamento illecito di dati Reclusione da 6 a 24 mesi
Omessa o inidonea informativa Da € 3.000,00 a € 18.000,00 Trattamento illecito di dati (dati sensibili,
giudiziari, trattamenti che presentano
rischi specifici) Reclusione da 1 a 3 anni
Omessa o inidonea informativa (dati
sensibili, giudiziari, trattamenti che Falsità nelle dichiarazioni e notificazioni
presentano rischi specifici) Da € 5.000,00 a € 30.000,00 al Garante Reclusione da 6 mesi a 3 anni
Arresto fino a 2 anni Sanzione
Cessione illecita di dati Da € 5.000,00 a € 30.000,00 Omessa adozione delle misure minime pecuniaria da € 10.000,00 a €
di sicurezza 50.000,00
Violazione relativa ai dati personali
idonei a rilevare lo stato di salute Da € 500,00 a € 3.000,00
Violazione da parte dei datori di lavoro
Omessa o incompleta notificazione Da € 10.000,00 a € 60.000,00 del divieto di Effettuare indagini su
opinioni politiche, Controllo attraverso
Omessa informazione o esibizione al luso di impianti audiovisivi, o altre
Garante dei documenti richiesti Da € 4.000,00 a € 24.000,00 apparecchiature art.4 Legge n.300/1970 Arresto da 15 giorni a 1 anno
49
http://www.gazzettaufficiale.it/guridb/dispatcher?service=1&datagu=2008-12-
31&task=testoArticolo&progressivoarticolo=0&versionearticolo=1&subarticolo=1&numeroarticolo=44&redaz=008G0
232&tmstp=1232193077977
50
http://www.garanteprivacy.it/garante/doc.jsp?ID=1311248
41
Le nuove sanzioni
sanzione da 20.000 a 120.000 euro. L’articolo 169 prevede inoltre l’arresto sino a due anni ‐ nel
caso di regolarizzazione delle omissioni nei 60 giorni successivi l’autore della violazione è
ammesso a definire la violazione con il pagamento del quarto del massimo; l’adempimento ed il
pagamento estinguono il reato.
(Casi di minore gravità) Se taluna delle violazioni di cui agli articoli 161‐162‐163‐164 è di minore
gravità avuto riguardo anche alla natura economica e sociale dell’attività svolta i limiti minimi e
massimi delle sanzioni sono applicati in misura pari a 2/5 (due quinti)
all’art. 162 c. 2 ‐162 bis e 164, commesse anche in tempi diversi in relazione a banche dati di
42
43
Domanda
Il Codice in materia di Falso, il Codice in
protezione dei dati materia di protezione
personali è in vigore dei dati personali è in
dal primo gennaio vigore dal primo
2001. gennaio 2004 e
sostituisce la
precedente legge
n.675 del 1996.
Quando è stata Nel 2004 dal Codice
abrogata la legge sulla in materia di
privacy del 1996? protezione dei dati
personali.
La legge sulla privacy Falso. Le norme sulla
riguarda solo le privacy si applicano
persone fisiche e non sia a persone fisiche
le aziende. che ad aziende.
Domanda
L’Autorità Garante per Falso.
la protezione dei dati Il Garante può
personali non ha reali infliggere sanzioni ed
poteri ma può imporre le proprie
semplicemente decisioni fino al
“consigliare” i blocco dei
comportamenti trattamenti.
corretti.
La nomina dei Vero.
componenti I membri
dell’Autorità Garante dell’autorità sono
per la privacy è di tipo nominati dal
“politica”. Parlamento.
I cittadini, e le imprese, Vero.
possono appellarsi Sul sito del Garante sono
direttamente al garante per disponibili anche
far valere i propri diritti. suggerimenti e modelli
44
Domanda
L’allegato B al Codice Vero.
contiene l’elenco delle L’allegato contiene le
misure minime di disposizioni tecniche
sicurezza da adottare relative alla misure
per i trattamenti di dati minime di sicurezza
personali. già enunciate nel
Codice.
L’allegato A5 riguarda Vero. Questo allegato
le centrali rischi fissa le regole su
private. come trattare i dati
delle persone ed
aziende registrate
come cattivi (o buoni)
pagatori.
L’allegato A3 contiene Falso.
il codice deontologico Il codice deontologico
sul marketing. sul marketing non è
ancora stato
emanato.
45
46
Lezione 2 –
Organizzazione
della privacy
47
Obiettivi di apprendimento
Percorsi formativi
• Corso per Direzione.
• Corso per Responsabile dei trattamenti.
• Corso per Responsabile dei trattamenti con video sorveglianza.
• Corso per Responsabile dei trattamenti di marketing.
Concetti chiave:
• Organizzazione per la privacy.
• Adempimenti privacy.
• Titolare, Responsabile, incaricato.
48
Lezione 2 –
Caso di studio b
Arcobaleni196 si
organizza
49
Ne primo incontro con il Direttor Generale della società Arcobaleni196 (il cavalier Arcobaleni!)
ho fatto un riepilogo delle principali norme in ambito privacy.
Adesso sono di nuovo a colloquio con il cavalier Arcobaleni per decidere cosa deve fare l’azienda
per essere “conforme” alla normativa sulla privacy.
“Caro ingegnere” esordisce il cavalier Arcobaleni non appena mi sono accomodato nel suo ufficio
“la sua lezione di introduzione alla Privacy è stata molto interessante però fin’ora ho sentito solo
teoria … Capisce, noi siamo una piccola impresa e dobbiamo essere concreti! Mi ha convinto che
Arcobaleni196 deve organizzarsi meglio rispetto alla privacy. Ci dica allora: cosa dobbiamo fare, in
concreto? Quanto tempo ci vuole per mettere tutto a posto? E specialmente quanto mi costerà tutto
ciò?”
“Risponderò tra un attimo a tutte le sue domande, caro cavaliere. Per indicarle in modo chiaro e
completo gli adempimenti a cui siete soggetti ho bisogno di qualche altra informazione. Dunque le
chiedo una ulteriore cortesia. Mi spiega in breve di cosa si occupa Arcobaleni196?”
Presentazione di
Arcobaleni196
srl
La storia
Arcobaleni196 srl è una società specializzata nella produzione di vernici speciali per la carrozzeria
di veicoli. La società è stata fondata agli inizi degli anni 80 da Pinco Arcobaleni, attuale Direttore
Generale, ed è detentrice di numerosi brevetti nazionali ed internazionali. I prodotti non sono
venduti direttamente al pubblico ma alle principali case automobilistiche mondiali. La sede unica
dell’azienda è ubicata presso Colleazzurro, vicino Roma.
I dipendenti sono circa 60.
La società è certificata secondo la norma UNI EN ISO 9001:2000 per tutte le proprie attività.
Struttura organizzativa
La maggior parte dei dipendenti lavora nell’area “produzione”, area a cui fanno riferimento 4
reparti:
1. logistica;
2. impianti;
3. ricerca e sviluppo;
50
4. informatica.
Il resto dei dipendenti lavora nelle funzioni amministrative: contabilità, risorse umane, qualità.
Canali distributivi
Arcobaleni196 si avvale, per la commercializzazione dei propri prodotti, di una rete di distributori
internazionali. Negli ultimi cinque anni ha cominciato ad utilizzare anche il canale Internet e si è
dotata di un sito web51 che fungere da vetrina elettronica dei prodotti della società e permette:
“Bene cavaliere, adesso ho le idee più chiare. Un’ultima domanda. In questa azienda non c’è un
responsabile per la privacy?”
“Assolutamente no! Le ho già detto che non trattiamo dati personali! Anzi mi scusi non trattiamo
dati sensibili … Perché me lo chiede? Lei mi consiglia di nominare un responsabile?”
51
http://www.arcobaleni196.it/
51
“La nomina del responsabile dei trattamenti non è obbligatoria ma di solito è utile in quanto
concentra su una figura aziendale il rispetto degli adempimenti. Adesso cercherò di riassumerle
quali sono questi adempimenti nel caso di Arcobaleni196. Le dico subito che parte di essi nascono
dal tipo di trattamenti di dati personali che sono effettuati in azienda. Chi è che ha un quadro
completo di essi?”
“Non so …” medita Arcobaleni “Qualcosa posso dirle io stesso. Poi occorre chiedere al
responsabile dei sistemi informativi. Inoltre dobbiamo verificare anche con il responsabile
amministrativo …”
Al lavoro!
Eccoci di nuovo tutti intorno al tavolo. Spiego ancora una volta che per operare in modo efficace
rispetto agli adempimenti della privacy occorre in primo luogo partire dal censimento dei
trattamenti dei dati personali. Propongo dunque un “esercizio collettivo”.
“Calma, calma! Dobbiamo fare solo un simulazione. Riepilogo le regole di questo gioco
1) ciascuno di voi scriva sul proprio block notes un semplice elenco dei dati che tratta per la
propria attività lavorativa
2) con trattamento intendiamo letteralmente l’uso, manuale o informatizzato, di dati ed
informazioni
3) per semplificare consideriamo tutti i dati e le informazioni, anche quelle pubbliche, come
dati personali
4) indicate se il trattamento è completamento cartaceo (non automatizzato) o mediante sistemi
informatici
5) abbiamo 10 minuti
10 minuti dopo abbiamo i risultati. Mi faccio consegnare gli elenchi e metto tutto insieme in una
unica lista eliminando i doppioni. Ecco il risultato:
• Paghe e contributi
• Gestione personale
• Fatturazione attiva Clienti
• Fornitori
• Contabilità
• Ciclo di produzione
• Gestione Qualità, cartaceo
• Adempimenti societari, cartaceo
• Guardiania,
• Prototipi
“Bene, grazie a tutti per la collaborazione. A mio avviso, però, sulla base di quanto il cavalier
Arcobaleni mi ha raccontato prima del vostro arrivo dovremmo aggiungere i seguenti trattamenti:
• sicurezza sul posto di lavoro 626, cartaceo
• corrispondenza e protocollo posta entrata ed uscita
• videosorveglianza
• ordini via web
• posta elettronica
• curricula aspiranti collaboratori e dipendenti, cartaceo
• comunicazioni commerciali
• adempimenti e consulenza fiscale, cartaceo
• adempimenti e consulenza legale, cartaceo
• adempimenti e consulenza giuslavoristica, cartaceo”
Poi chiedo ai presenti di aiutarmi ad individuare dove si trovano i dati sensibili e giudiziari nei
trattamenti che abbiamo censito.
Ricordo le definizioni.
• Dati sensibili: i dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni
religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati,
associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i
dati personali idonei a rivelare lo stato di salute e la vita sessuale.
53
• Dati giudiziari: i dati personali idonei a rivelare provvedimenti di cui all'articolo 3, comma
1, lettere da a) a o) e da r) a u), del d.P.R. 14 novembre 2002, n. 313, in materia di casellario
giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi
pendenti, o la qualità di imputato o di indagato ai sensi degli articoli 60 e 61 del codice di
procedura penale.
Ecco il risultato.
Infine inseriamo una nuova colonna per indicare se il trattamento è svolto internamento all’azienda
o esternalizzato ad un fornitore.
54
“Bene signori, grazie a questo esercizio comune siamo giunti al punto che ci premeva. Quali sono
gli adempimenti privacy che Arcobaleni196 deve rispettare?”
1) Come tutte le aziende che trattano dati personali Arcobaleni196 deve dare l’informativa su
tali trattamenti a tutti gli interessati (clienti, fornitori, dipendenti) e nei casi previsti dalla
legge ottenere da questi il consenso al trattamento.
2) Tutti coloro che in azienda trattano dati personali devono ricevere dal titolare una lettera di
incarico scritta che specifici ambiti e modalità del trattamento.
3) Arcobaleni196 tratta anche dati sensibili e giudiziari, dunque deve adottare le relative
misure di sicurezza di tipo organizzativo e tecnologico tra cui la redazione e
l’aggiornamento annuale del Documento Programmatico della Sicurezza (DPS).
4) Arcobaleni effettua trattamenti di videosorveglianza dunque deve adottare gli
adempimenti indicati dal Garante per tali casi.
5) È opportuno dare ulteriori istruzioni scritte a tutti gli utilizzatori sull’uso di sistemi quali
Internet e posta elettronica.
55
“Per concludere” sottolineo “per garantire il rispetto di tutti questi adempimenti, che non vanno
svolti una tantum ma periodicamente, è fortemente consigliato, specie a garanzia del titolare
dell’azienda, nominare un responsabile aziendale della privacy.”
“Cominciamo a vedere più in dettaglio gli adempimenti richiesti dalle norme privacy. Siete tutti
pronti? Si parte con la seconda lezione.”
Inizia il corso…
56
Lezione 2 –
Unità didattica 2.1 –
Principali adempimenti
previsti dal Codice
57
L’informativa contiene le informazioni che il titolare del trattamento deve fornire all’interessato
per chiarire, in particolare, se quest’ultimo è obbligato o meno a rilasciare i dati, quali sono gli
scopi e le modalità del trattamento, come circolano i dati e in che modo esercitare i diritti
riconosciuti dalla legge.
Tratto dalla brochure del Garante per la protezione dei dati personali: “La tutela dei dati personali: il primo
Garante sei tu”52.
In maniera più formale il “Codice in materia di protezione dei dati personali”53 all’articolo 13
recita come segue.
52
http://www.garanteprivacy.it/garante/document?ID=1382763
53
http://www.garanteprivacy.it/garante/doc.jsp?ID=1311248
58
4. Se i dati personali non sono raccolti presso l'interessato, l'informativa di cui al comma
1, comprensiva delle categorie di dati trattati, è data al medesimo interessato all'atto della
registrazione dei dati o, quando è prevista la loro comunicazione, non oltre la prima
comunicazione.
In pratica:
Se taluno di questi elementi è già noto all’interessato, non è necessario farlo presente
nuovamente. In caso di dati raccolti presso l’interessato, l’informativa deve essere resa, anche
in forma orale, prima delle operazioni del trattamento. Nel rapporto con fornitori, clienti,
dipendenti e collaboratori non è necessario ripeterla in occasione di ogni contatto: è
sufficiente fornirla con una formula generale una tantum, all’inizio delle operazioni di
trattamento (che potranno anche protrarsi nel tempo). È possibile fornire l’informativa anche
oralmente, in modo sintetico e colloquiale, senza includere elementi già noti all’interessato
(art. 13 comma 2, del Codice). Si può utilizzare anche uno spazio all’interno dell’ordinario
materiale cartaceo e della corrispondenza
54
Ove possibile in forma scritta; ma si possono usare anche “informative” sotto forma di voce preregistrata (operatori
telefonici) o forma analoghe.
55
http://www.garanteprivacy.it/garante/doc.jsp?ID=1412271#par3
59
Informativa al trattamento dei dati personali al sensi del d. lgs. 196/2003 “Codice in materia
di protezione dei dati personali”
Ai sensi dell'art. 13 del d. lgs. 196/2003 “Codice in materia di protezione dei dati personali” ed in
relazione al rapporto contrattuale in essere con la nostra azienda, si informa che i Vostri dati
personali formeranno oggetto di trattamento, e più precisamente che:
le finalità del trattamento sono relative all’esecuzione degli obblighi derivanti dal rapporto
contrattuale e ad ogni incombenza ad esso strettamente correlata nonché a obblighi derivanti
da leggi, regolamenti e normativa comunitaria;
le modalità del trattamento possono prevedere l’utilizzo di mezzi cartacei e informatici atti a
memorizzare e gestire i dati stessi, mediante strumenti idonei a garantire la loro sicurezza e
la riservatezza;
i dati da Voi forniti potranno essere oggetto di comunicazione, nel pieno rispetto delle
prescrizioni di legge, per finalità strettamente correlate all’esecuzione dei nostri obblighi
contrattuali.
possono venire a conoscenza dei dati, in qualità di incaricati o responsabili, i dipendenti e i
collaboratori esterni addetti alla Funzione Contabilità Fornitori nonché soggetti, interni ed
esterni, che svolgono per conto della società compiti tecnici, di supporto (in particolare,
servizi legali, servizi informatici, spedizioni) e di controllo aziendale.
Vi ricordiamo che l’art. 7 del D.Lgs. 196 del 2003 Vi riconosce taluni diritti. In particolare Voi
potrete:
ottenere la conferma della esistenza o meno di dati personali che Vi riguardano, e che tali
dati Vi vengano comunicati in forma intelligibile;
ottenere l’indicazione dell’origine dei dati, delle finalità e modalità del trattamento, della
logica applicata nel caso di trattamento con l’ausilio di strumenti elettronici, degli estremi
identificativi del titolare e del responsabile, dei soggetti o delle categorie di soggetti ai quali
i dati possono essere comunicati o che possono venirne a conoscenza;
ottenere l’aggiornamento, la rettifica o, quando vi avete interesse, l’integrazione dei dati; la
cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione
di legge; l’attestazione che tali operazioni sono state portate a conoscenza di coloro ai quali i
dati sono stati comunicati o diffusi (quando ciò non si riveli impossibile o sproporzionato
rispetto al diritto tutelato);
opporVi in tutto o in parte, per motivi legittimi, al trattamento dei Vostri dati personali
ancorché pertinenti allo scopo della raccolta, o quando siano trattati ai fini di invio di
materiale pubblicitario o di vendita diretta o di ricerche di mercato o di comunicazione
commerciale.
Per l’esercizio di tali diritti, potrete rivolgerVi al responsabile del trattamento di Arcobaleni196
domiciliato per le funzioni presso la sede legale della società al quale ci si può rivolgere via email
privacy@arcobaleni196.
60
Il consenso è la libera manifestazione della volontà con la quale l’interessato accetta – in modo
espresso e, se vi sono dati sensibili, per iscritto - un determinato trattamento di dati che lo
riguardano, sul quale è stato preventivamente informato da chi utilizza i dati.
Tratto dalla brochure del Garante per la protezione dei dati personali: “La tutela dei dati personali: il primo
Garante sei tu”56.
In maniera più formale il “Codice in materia di protezione dei dati personali”57 agli articoli 23 e
24 recita come segue.
Art. 24. Casi nei quali può essere effettuato il trattamento senza consenso
1. Il consenso non è richiesto, oltre che nei casi previsti nella Parte II, quando il
trattamento:
Per sintetizzare:
Nella maggior parte dei trattamenti effettuati in azienda in relazione a clienti e fornitori non è
necessario avere il consenso della persona o ente a cui si riferiscono i dati (attenzione: l'informativa
va invece sempre data almeno una volta). Infatti il consenso non è richiesto nei seguenti casi
• i dati vengono trattati nell’esecuzione di un contratto o in fase pre-contrattuale (art. 24,
comma 1, lett. b), del Codice);
• il trattamento viene posto in essere per dare esecuzione a un obbligo legale (art. 24, comma
1, lett. a) del Codice);
• i dati provengono da registri ed elenchi pubblici (art. 24, comma 1, lett. c), del Codice);
62
• i dati sono relativi allo svolgimento di attività economiche da parte dell’interessato (art. 24,
comma 1, lett. d), del Codice).
Nei casi restanti, l'interessato deve aver manifestato un consenso libero, specifico e informato in
relazione al trattamento effettuato. Il consenso deve essere documentato per iscritto (art. 23 del
Codice).
Quando si trattano dati “sensibili” (ad esempio. per gli adempimenti amministrativi, busta paga,
gestione malattie di collaboratori e dipendenti) serve il consenso dell'interessato. Il consenso,
quando è necessario, deve essere dato per iscritto (art. 23 del Codice)
63
Informativa e consenso al trattamento dei dati personali al sensi del d. lgs. 196/2003 “Codice
in materia di protezione dei dati personali” (per i dipendenti)
Arcobaleni196, con sede in via Multicolori 123, ColleAzzurro (Roma), effettua trattamenti di Suoi
dati personali nel pieno rispetto delle norme di legge secondo principi di correttezza, liceità e
trasparenza e per finalità strettamente connesse e strumentali alla gestione del rapporto di lavoro, ivi
comprese le finalità previdenziali, e in particolare:
per adempiere ad un obbligo previsto dalla legge, da un regolamento o dalla normativa
comunitaria;
per eseguire obblighi derivanti dal Suo contratto di lavoro.
Può accadere che per l’adempimento di specifici obblighi relativi alla gestione del rapporto di
lavoro, anche in materia di igiene e sicurezza del lavoro e di previdenza e assistenza, Arcobaleni196
tratti i dati che la legge definisce come sensibili e cioè quelli idonei a rilevare l’origine razziale o
etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a
partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o
sindacale, nonché i dati personali idonei a rilevare lo stato di salute e la vita sessuale.
Rispetto al trattamento di tali dati, Le ricordiamo che non è richiesto dalla legge il Suo consenso nel
caso di trattamento necessario per adempiere a specifici obblighi o compiti previsti dalla legge, da
un regolamento o dalla normativa comunitaria.
Il Suo consenso al trattamento dei dati sensibili è invece richiesto dalla legge nel caso di
trattamento necessario per adempiere ad obblighi previsti da contratti collettivi, anche aziendali
(ad esempio, trattenute sindacali, corresponsioni di liberalità o benefici accessori).
Senza il Suo consenso non potranno essere eseguite le conseguenti operazioni.
Il trattamento dei Suoi dati personali avviene mediante strumenti informatici, telematici e manuali,
con logiche strettamente correlate alle finalità stesse e, comunque, in modo da garantire la sicurezza
degli stessi e sempre nel rispetto delle previsioni di cui all’art. 11 del D.Lgs. 196 del 2003.
Per lo svolgimento, per nostro conto, di talune delle attività relative al trattamento dei Suoi dati
personali, la società effettua comunicazioni a società o enti esterni di fiducia, nostri diretti
collaboratori che operano in totale autonomia come distinti “titolari” del trattamento. Si tratta, in
modo particolare, di soggetti che svolgono servizi di paghe e contributi, gestione di forme di
previdenza e assistenza, erogazioni dei buoni pasto ed altri servizi affini. Il loro elenco è
costantemente aggiornato e può conoscerlo agevolmente e gratuitamente chiedendolo al
Responsabile del trattamento.
Firmato
Il Responsabile del trattamento
Premesso che – come rappresentato nell’informativa che mi è stata fornita ai sensi del D.Lgs.
30/6/2003 n. 196 – può accadere che il trattamento di taluni dei miei dati sensibili derivi
dall’adempimento di obblighi previsti dal contratto collettivo, anche aziendale
64
Sono consapevole che, in mancanza di consenso, non potranno essere eseguite le conseguenti
operazioni.
Data __________________ Firma _______________________________
65
La notificazione è una dichiarazione con la quale il titolare del trattamento, prima di iniziarlo,
rende nota al Garante (che la inserisce nel registro pubblico dei trattamenti consultabile da
chiunque sul sito web dell'Autorità) l'esistenza di un'attività di raccolta e di utilizzazione dei dati
personali.
Tratto da “Guida pratica e misure di semplificazione per le piccole e medie imprese - 24 maggio 2007 -
(G.U. 21 giugno 2007 n. 142)58
In maniera più formale il “Codice in materia di protezione dei dati personali”59 agli articoli 37 e
38 recita come segue.
1. Il titolare notifica al Garante il trattamento di dati personali cui intende procedere, solo
se il trattamento riguarda:
fraudolenti.
1-bis. La notificazione relativa al trattamento dei dati di cui al comma 1 non è dovuta se
relativa all'attività dei medici di famiglia e dei pediatri di libera scelta, in quanto tale
funzione è tipica del loro rapporto professionale con il Servizio sanitario nazionale.
4. Una nuova notificazione è richiesta solo anteriormente alla cessazione del trattamento
o al mutamento di taluno degli elementi da indicare nella notificazione medesima.
6. Il titolare del trattamento che non è tenuto alla notificazione al Garante ai sensi
dell'articolo 37 fornisce le notizie contenute nel modello di cui al comma 2 a chi ne fa
richiesta, salvo che il trattamento riguardi pubblici registri, elenchi, atti o documenti
conoscibili da chiunque.
Semplificazione del dicembre 2008 (vedi Modulo 1.3.4 – Le “semplificazioni” del 2008 sulla
sicurezza e la notificazione)
Il 9 dicembre 2008 il Garante per la protezione dei dati personali ha reso noto60 un
provvedimento61 sulla semplificazione di alcuni adempimenti in materia di protezione dei dati
personali. Le nuove garanzie, adottate sentito il Ministro per la semplificazione normativa,
interessano:
• amministrazioni pubbliche e società private che utilizzano dati personali non sensibili
(nome, cognome, indirizzo, codice fiscale, numero di telefono) o che trattano come unici
dati sensibili dei dipendenti quelli relativi allo stato di salute o all'adesione a organizzazioni
sindacali;
• piccole e medie imprese, liberi professionisti o artigiani che trattano dati solo per fini
amministrativi e contabili.
Con tale provvedimento il Garante ha semplificato anche il modello utilizzato per effettuare le
notificazioni; il provvedimento sulla notificazione sarà operativo entro 60 giorni dalla
pubblicazione in Gazzetta e non comporterà l'obbligo di notificare di nuovo o modificare le
notificazioni a carico di chi lo abbia già fatto.
Per sintetizzare:
La notificazione è una dichiarazione fatta via Internet con la quale il titolare comunica al Garante di
effettuare trattamenti di dati facenti parte di una delle sette categorie considerate "a rischio":
• dati relativi al rischio sulla solvibilità economica, alla situazione patrimoniale, al corretto
adempimento di obbligazioni, a comportamenti illeciti o fraudolenti; come esclusi i dati
relativi agli inadempimenti dei propri clienti tenuti da ciascuna impresa
• dati genetici o biometrici
• dati volti a definire il profilo o la personalità dell'interessato, o ad analizzare abitudini o
scelte di consumo (c.d. profilazione)
• dati sensibili registrati in banche di dati a fini di selezione del personale per conto terzi (non,
quindi, quelli trattati direttamente dall’imprenditore)
60
http://www.garanteprivacy.it/garante/doc.jsp?ID=1573203
61
http://www.garanteprivacy.it/garante/doc.jsp?ID=1571218
68
• dati sensibili utilizzati per sondaggi di opinione, ricerche di mercato e altre ricerche
campionarie.
•
66
https://web.garanteprivacy.it/rgt/NotificaTelematica.php
67
https://web.garanteprivacy.it/rgt/FacSimile_Modello_Notificazione_2008.pdf
68
https://web.garanteprivacy.it/rgt/NotificaEsplora.php
70
Tratto da “Guida pratica e misure di semplificazione per le piccole e medie imprese - 24 maggio 2007 -
(G.U. 21 giugno 2007 n. 142)69
Per il trasferimento di dati personali in paesi situati all’interno dell’Ue non sussistono ulteriori
obblighi in quanto, in ossequio alla direttiva 95/46/Ce (qui in pdf70, 2.1 M, 20 pp.) , tutte le nazioni
dell'Unione hanno specifiche normative in materia di protezione dei dati personali che sono tra loro
simili. In pratica la conformità alla norma italiana assicura la conformità a livello UE (art. 42 del
Codice).
Per il trasferimento di dati personali in paesi situati fuori dall'Unione europea il Codice prevede
specifiche regole, tra cui il consenso dell'interessato espresso, se si tratta di dati sensibili, in forma
scritta; il trasferimento è però possibile se:
• è necessario per eseguire obblighi derivanti da un contratto del quale è parte l'interessato o
per adempiere, prima della conclusione del contratto, a specifiche richieste dell'interessato,
ovvero per la conclusione o per l'esecuzione di un contratto stipulato a favore
dell'interessato;
• è necessario per la salvaguardia di un interesse pubblico rilevante individuato con legge o
con regolamento;
• è necessario ai fini dello svolgimento delle investigazioni difensive (legge 7 dicembre 2000,
n. 397), o, comunque, per far valere o difendere un diritto in sede giudiziaria;
• il trattamento concerne dati riguardanti persone giuridiche, enti o associazioni.
69
http://www.garanteprivacy.it/garante/doc.jsp?ID=1412271#par6
70
http://www.garanteprivacy.it/garante/document?ID=432175
71
Gli “incaricati del trattamento” sono soggetti (solo persone fisiche) che effettuano materialmente
le operazioni di trattamento dei dati personali e operano sotto la diretta autorità del titolare (o del
responsabile) attenendosi a istruzioni scritte (art. 30 del Codice), le cosiddette “lettere di
incarico”. Il titolare del trattamento è tenuto a designare gli incaricati.
È sufficiente assegnare un dipendente ad una unità organizzativa, a condizione che risultino per
iscritto le categorie di dati cui può avere accesso e gli ambiti del trattamento.
Tratto da “Guida pratica e misure di semplificazione per le piccole e medie imprese - 24 maggio 2007 -
(G.U. 21 giugno 2007 n. 142)71 con alcune modifiche al testo
In maniera più formale il “Codice in materia di protezione dei dati personali”72 all’articolo 30
recita come segue.
In pratica:
Il Garante suggerisce73 per le piccole e medie aziende di effettuare le lettere di incarico come segue.
“In un'azienda nella quale ad una unità organizzativa sono stati assegnati un determinato
numero di dipendenti, si potrà ovviare ad una formale designazione (ad esempio, mediante
consegna di apposita comunicazione scritta), qualora si individuino gli ambiti di
competenza (in ordine ai trattamenti di dati consentiti) di quella unità mediante una
previsione scritta (ad es. nell'organigramma, nel contratto, nei mansionari, ecc.) e risulti
inoltre che tali dipendenti sono stati assegnati stabilmente a tale unità.”
71
http://www.garanteprivacy.it/garante/doc.jsp?ID=1412271#par1
72
http://www.garanteprivacy.it/garante/doc.jsp?ID=1311248
73
http://www.garanteprivacy.it/garante/doc.jsp?ID=1412271#4
72
Ambito di competenza
Ai sensi dell’art. 30 d. lgs. 196/2003 “Codice in materia di protezione dei dati personali” (il “Codice”) di
seguito Le sono fornite le istruzioni per il trattamento dei dati personali a cui Lei è incaricato.
Nel trattare i dati personali, sia se riferiti a persone fisiche, sia se riferiti a soggetti giuridici e
indipendentemente dalla natura ordinaria o particolare dei dati, si deve operare garantendo la massima
riservatezza delle informazioni, considerando tutti i dati personali confidenziali e, di norma, soggetti al
segreto d’ufficio; fatta eccezione per i soli dati anonimi, generalmente trattati per elaborazioni statistiche, e
quelli acquisibili da chiunque perché contenuti in atti, liste ed elenchi pubblici (seguendo comunque le
prescrizioni di legge).
La procedura di lavoro e la condotta tenuta nello svolgimento delle operazioni di trattamento, dovranno
evitare che i dati personali siano soggetti a rischi di distruzione e perdita anche accidentale; che ai dati
possano accedere persone non autorizzate; che vengano svolte operazioni di trattamento non consentite o non
conformi ai fini per i quali i dati sono stati raccolti.
Si deve dunque operare con la massima diligenza ed attenzione in tutte le fasi di trattamento, dalla esatta
acquisizione dei dati, all’eventuale loro aggiornamento, così per la conservazione ed eventuale cancellazione
o distruzione.
Non possono essere eseguite operazioni di trattamento per fini non previsti tra i compiti assegnati dal
responsabile diretto, comunque riferiti alle disposizioni e regolamenti vigenti.
I dati personali particolari possono essere trattati esclusivamente dagli incaricati, ivi compresi i diretti
superiori degli incaricati stessi, secondo l’appartenenza alle seguenti classi omogenee:
Direzione Generale
Qualità e Controlli
Risorse Umane
Contabilità
Produzione
Ricerca e Sviluppo
73
Tratto da “Guida pratica e misure di semplificazione per le piccole e medie imprese - 24 maggio 2007 -
(G.U. 21 giugno 2007 n. 142)74
Misure di sicurezza
Il titolare del trattamento è tenuto ad adottare tutte le misure idonee, valutate alla luce delle
conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle caratteristiche del
trattamento, a ridurre i rischi di distruzione o di perdita anche accidentale dei dati o di accesso non
autorizzato o non consentito ai dati (art. 31 del Codice).
In questo quadro vanno anche attuate le misure minime, applicabili a piccole e medie imprese (artt.
33-35 e all. B del Codice (10)).
L'obbligo generale di adottare idonee misure di sicurezza è posto dal Codice. Il titolare del
trattamento può adempiervi avvalendosi anche di un responsabile (art. 29, comma 2, del Codice).
Per i trattamenti effettuati senza l'ausilio di strumenti elettronici rientrano tra le misure minime:
• le istruzioni scritte finalizzate al controllo ed alla custodia dei dati impartite agli incaricati
• l'uso di contenitori o locali con idonea serratura per custodire i dati personali.
74
http://www.garanteprivacy.it/garante/doc.jsp?ID=1412271#par5
74
particolare riguardo alle piccole e medie imprese– ha già reso disponibile on-line, a far data dal 11
giugno 2004, una "Guida operativa".
Il Dps:
Il 9 dicembre 2008 il Garante per la protezione dei dati personali ha reso noto75 un
provvedimento76 sulla semplificazione di alcuni adempimenti in materia di protezione dei dati
personali. Le nuove garanzie, adottate sentito il Ministro per la semplificazione normativa,
interessano:
• amministrazioni pubbliche e società private che utilizzano dati personali non sensibili
(nome, cognome, indirizzo, codice fiscale, numero di telefono) o che trattano come unici
dati sensibili dei dipendenti quelli relativi allo stato di salute o all'adesione a organizzazioni
sindacali;
• piccole e medie imprese, liberi professionisti o artigiani che trattano dati solo per fini
amministrativi e contabili.
• possono impartire agli incaricati le istruzioni in materia di misure minime anche oralmente;
• possono utilizzare per l'accesso ai sistemi informatici un qualsiasi sistema di
autenticazione basato su un username e una password; lo username deve essere disattivato
quando viene meno il diritto di accesso ai dati (es. non si opera più all'interno
dell'organizzazione);
• in caso di assenze prolungate o di impedimenti del dipendente possono mettere in atto
procedure o modalità che consentano comunque l'operatività e la sicurezza del sistema ( ad
es. l'invio automatico delle mail ad un altro recapito accessibile);
• devono aggiornare i programmi di sicurezza (antivirus) almeno una volta l'anno, e
effettuare backup dei dati almeno una volta al mese.
Con il provvedimento, inoltre, il Garante ha fornito a piccole e medie imprese, artigiani, liberi
professioni, soggetti pubblici e privati che trattano dati solo a fini amministrativi e contabili, alcune
indicazioni per la redazione di un documento programmatico per la sicurezza semplificato.
Procedure semplificate sono state indicate anche per chi tratta dati senza l'impiego di sistemi
informatici.
75
http://www.garanteprivacy.it/garante/doc.jsp?ID=1573203
76
http://www.garanteprivacy.it/garante/doc.jsp?ID=1571218
75
Già nella precedente legge 675/96 (nel d.p.r. 318/99) era indicato che il DPS dovesse contenere il
piano di formazione per gli incaricati del trattamento; l’allegato B78 è molto più preciso nell'esigere
che il titolare del trattamento provveda a fornire ai propri dipendenti e collaboratori interventi
formativi specifici.
77
http://www.garanteprivacy.it/garante/doc.jsp?ID=1557184
78
http://www.garanteprivacy.it/garante/doc.jsp?ID=1557184
76
Ambito di competenza
Legenda
Descrizione sintetica degli interventi formativi: sono descritti sinteticamente gli obiettivi e le
modalità dell’intervento formativo, in relazione a quanto previsto dalla regola 19.6 (ingresso in
servizio o cambiamento di mansioni degli incaricati, introduzione di nuovi elaboratori, programmi o
sistemi informatici, ecc) .
Classi di incarico o tipologie di incaricati interessati: sono individuati le classi omogenee di incarico
a cui l’intervento è destinato e/o le tipologie di incaricati interessati, anche in riferimento alle
strutture di appartenenza.
Tempi previsti: sono indicati i tempi previsti per lo svolgimento degli interventi formativi.
77
La disciplina di protezione dei dati personali attribuisce a ciascun interessato il diritto di accedere ai
dati personali a sé riferiti e di esercitare gli altri diritti previsti dall'art. 7 del Codice.
Tratto da “Guida pratica e misure di semplificazione per le piccole e medie imprese - 24 maggio 2007 -
(G.U. 21 giugno 2007 n. 142)79
In maniera più formale il “Codice in materia di protezione dei dati personali”80 all’articolo 7
recita come segue.
In pratica:
79
Quesito SI NO
1. I soggetti che effettuano il trattamento
È stata effettuata una valutazione circa le operazioni di trattamento di dati personali, anche
sensibili, effettuate dall'impresa?
I dati trattati sono pertinenti e non eccedenti rispetto alle legittime finalità del trattamento,
oltre che esatti e aggiornati?
Le persone fisiche che all'interno dell'impresa trattano dati personali sono state designate
tutte quali "incaricate del trattamento"?
Sono state fornite a tutti gli "incaricati del trattamento" istruzioni scritte circa i propri
compiti?
Se all'interno dell'impresa sono stati individuati soggetti che hanno ambiti di autonomia nel
trattamento dei dati personali, sono stati designati per iscritto "responsabili del trattamento"?
Se fuori dell'impresa enti o persone fisiche trattano dati personali nel suo interesse, obbligati
a seguirne le istruzioni (come accade per i casi di outsourcing), sono stati designati per
iscritto quali "responsabili del trattamento"?
2. La notificazione del trattamento
Si è verificato, prima di intraprendere operazioni di trattamento, se l'impresa effettua i
trattamenti da notificare al Garante?
Se sono intervenute modificazioni relativamente ai trattamenti già eventualmente notificati, è
stato curato il loro aggiornamento in una nuova notificazione?
Se cessano i trattamenti, ciò ha formato oggetto di specifica notificazione?
3. L'informativa
È stata fornita l'informativa agli interessati in caso di dati raccolti presso di essi?
È stata fornita l'informativa agli interessati in caso di dati raccolti presso soggetti diversi
dagli interessati stessi?
4. Il consenso dell'interessato
Il trattamento dei dati personali viene effettuato in presenza di uno dei presupposti di liceità
indicati all'art. 24 del Codice?
Se non ricorre uno dei presupposti di liceità indicati all'art. 24 del Codice, è stato raccolto il
consenso dell'interessato?
Se sono trattati dati sensibili è stato raccolto il consenso scritto degli interessati?
Se sono trattati dati sensibili, è stato verificato se il trattamento rientra tra quelli già
autorizzati dal Garante con le autorizzazioni generali?
Se il trattamento di dati sensibili non rientra tra quelli previsti dalle autorizzazioni generali, è
stata richiesta al Garante un'autorizzazione ad hoc?
5. La sicurezza dei dati
Sono state adottate idonee misure di sicurezza per proteggere i dati personali?
Sono state adottate le misure minime di sicurezza previste per proteggere i dati personali?
Se sono trattati dati sensibili e giudiziari, è stato redatto, quando è necessario, il documento
programmatico per la sicurezza e ne vengono osservate le previsioni?
81
http://www.garanteprivacy.it/garante/doc.jsp?ID=1412271#par8
80
7. I doveri del titolare del trattamento in caso di esercizio dei diritti degli interessati ai sensi dell'art. 7 del
Codice
In presenza dell'esercizio del diritto d'accesso, viene dato riscontro all'interessato secondo le
modalità previste dalla legge?
81
82
83
Lezione 2 –
Unità didattica 2.2 –
Provvedimenti più rilevanti
per le aziende
Modulo 2.2.1 – Iniziative e provvedimenti del Garante
Modulo 2.2.2 – I nuovi adempimenti per le funzioni di
“amministratore di sistema”
Modulo 2.2.3 – Semplificazioni degli adempimenti
Modulo 2.2.4 – Banche: la “guida” del garante per l'uso dei dati
dei clienti
Modulo 2.2.5 – Privacy e pubblico impiego: le “linee guida” del
Garante
Modulo 2.2.6 – Linee guida del Garante per posta elettronica e
internet
Modulo 2.2.7 – Linee guida per il trattamento di dati dei
dipendenti privati
Modulo 2.2.8 – Impronte digitali e altri sistemi biometrici
Modulo 2.2.9 – Videosorveglianza
Modulo 2.2.10 – Altri provvedimenti e pubblicazioni
Domande di verifica 2.2
84
Il quadro normativo italiano sulla privacy non si limita al Codice ed ai suoi allegati perché il
Garante per la protezione dei dati personali può adottare provvedimenti che assumono valore
normativo.
Inoltre, spesso il Garante, attraverso il suo sito, pubblica linee guida, modelli o anticipa contenuti su
iniziative legislative in corso.
L’elenco completo82 dei provvedimenti è disponibile presso il sito del Garante; di seguito
riportiamo, in ordine cronologico83,i provvedimenti e le “pubblicazioni” più importanti che
approfondiremo nei moduli di questa unità didattica.
82
http://www.garanteprivacy.it/garante/navig/jsp/index.jsp?folderpath=Provvedimenti
83
Scritto in data 19 gennaio 2009
85
84
http://www.gazzettaufficiale.it/guridb/dispatcher?service=1&datagu=2008-12-31&task=dettaglio&numgu=304&redaz=008G0232&tmstp=1231080653127
85
http://www.garanteprivacy.it/garante/doc.jsp?ID=1571960
86
http://www.garanteprivacy.it/garante/doc.jsp?ID=1482111
87
http://www.garanteprivacy.it/garante/doc.jsp?ID=272444
86
Questo argomento è già stato affrontato nel modulo 1.3.5 della Lezione 1.
87
Il Decreto Legge 25 giugno 2008 n.11288 ha abrogato l’obbligo della redazione del Documento
Programmatico sulla sicurezza (DPS) per tutte le aziende che non trattano dati sensibili o che
trattano solo dati sensibili inerenti salute e malattia dei propri dipendenti, senza indicazione della
diagnosi. Tale decreto ha messo in atto quanto anticipato dal Garante il 19 giugno 200889 in
relazione ad una serie di significative semplificazioni degli adempimenti per l'intero settore
pubblico e privato ed in particolare nei riguardi di piccole e medie imprese, liberi professionisti e
artigiani. In sintesi le semplificazioni riguardano:
• informativa;
• consenso;
• designazione degli incaricati;
• comunicazioni pubblicitarie;
• notificazione dei trattamenti.
Informativa
Sulla base delle nuove disposizioni, i titolari possono:
• fornire un'unica informativa per il complesso dei trattamenti, anziché per singoli aspetti del
rapporto con gli interessati;
• fornire a questi ultimi una ricostruzione organica dei trattamenti e con linguaggio semplice,
senza frammentarla o reiterarla inutilmente;
• indicare le informazioni essenziali in un quadro adeguato di lealtà e correttezza;
88
http://www.camera.it/parlam/leggi/decreti/08112d.htm
89
http://www.garanteprivacy.it/garante/doc.jsp?ID=1526724
88
• redigere, per quanto possibile, una prima informativa breve. All'interessato, anche
oralmente, andrebbero indicate sinteticamente alcune prime notizie chiarendo subito, con
immediatezza, le principali caratteristiche del trattamento.
• utilizzare per l'informativa, specie per quella breve, gli spazi utili nel materiale cartaceo e
nella corrispondenza che si impiegano già, ordinariamente, per finalità amministrative e
contabili.
Inoltre:
• l'informativa breve può rinviare a un testo più articolato, disponibile agevolmente senza
oneri per gli interessati, in luoghi e con modalità facilmente accessibili anche con strumenti
informatici e telematici (in particolare, tramite reti Intranet o siti Internet, affissioni in
bacheche o locali, avvisi e cartelli agli sportelli per la clientela, messaggi preregistrati
disponibili digitando un numero telefonico gratuito);
• è possibile non inserire nell'informativa più articolata gli elementi noti all'interessato (art.
13, commi 2 e 4). (...) Se è prevista la raccolta di dati presso terzi è possibile formulare una
sola informativa per i dati forniti direttamente dall'interessato e per quelli che saranno
acquisiti presso terzi. Per questi ultimi dati, l'informativa può non essere fornita quando vi è
un obbligo normativo di trattarli (art. 13, comma 5);
• è opportuno che l'informativa più articolata sia basata su uno schema tendenzialmente
uniforme per il settore di attività del titolare del trattamento;
• è invece necessario fornire un'informativa specifica o ad hoc quando il trattamento ha
caratteristiche del tutto particolari perché coinvolge, ad esempio, peculiari informazioni (es.
dati genetici) o prevede forme inusuali di utilizzazione di dati, specie sensibili, rispetto alle
ordinarie esigenze amministrative e contabili, o può comportare rischi specifici per gli
interessati (ad esempio, rispetto a determinate forme di uso di dati biometrici o di controllo
delle attività dei lavoratori). Se il titolare del trattamento è un soggetto pubblico devono
essere inserite le indicazioni che la legge prevede per i dati sensibili e giudiziari.
Consenso
Il Garante ai sensi degli artt. 2, comma 2, 24 e 154, comma 1, lett. c), del Codice ha invitato tutti i
titolari del trattamento pubblici e privati a non chiedere il consenso degli interessati quando il
trattamento dei dati è svolto, anche in relazione all'adempimento di obblighi contrattuali,
precontrattuali o normativi, esclusivamente per correnti finalità amministrative e contabili, nonché
quando i dati provengono da pubblici registri ed elenchi pubblici conoscibili da chiunque, o sono
relativi allo svolgimento di attività economiche o sono trattati da un soggetto pubblico.
Designazione incaricati
Il Garante ha richiamato l'attenzione dei titolari del trattamento sulla circostanza che la
designazione degli incaricati del trattamento può avvenire in modo semplificato evitando singoli atti
circostanziati relativi distintamente a ciascun incaricato, individuando i trattamenti di dati e le
relative modalità che sono consentiti all'unità cui sono addetti gli incaricati stessi (art. 30 del
Codice).
Comunicazioni pubblicitarie
In applicazione del principio del bilanciamento degli interessi (art. 24, comma 1, lett. g), il Garante
ha disposto che i titolari del trattamento in ambito privato che hanno venduto un prodotto o prestato
un servizio, nel quadro del perseguimento di ordinarie finalità amministrative e contabili, possono
89
utilizzare senza il consenso i recapiti (oltre che di posta elettronica come già previsto per legge) di
posta cartacea forniti dall'interessato, ai fini dell'invio diretto di proprio materiale pubblicitario o di
propria vendita diretta o per il compimento di proprie ricerche di mercato o di comunicazione
commerciale. Ciò, rispettando anche le garanzie previste per le attività di profilazione degli
interessati (Provv. 24 febbraio 2005, doc. web n. 1103045), a condizione che:
• tale attività promozionale riguardi beni e servizi del medesimo titolare e analoghi a quelli
oggetto della vendita;
• l'interessato, al momento della raccolta e in occasione dell'invio di ogni comunicazione
effettuata per le menzionate finalità, sia informato della possibilità di opporsi in ogni
momento al trattamento, in maniera agevole e gratuitamente, anche mediante l'utilizzo della
posta elettronica o del fax o del telefono e di ottenere un immediato riscontro che confermi
l'interruzione di tale trattamento (art. 7, comma 4);
• l'interessato medesimo, così adeguatamente informato già prima dell'instaurazione del
rapporto, non si opponga a tale uso, inizialmente o in occasione di successive
comunicazioni.
90
91
• Assenze per malattia, certificati e visite mediche: in caso di assenza per malattia
all'amministrazione vanno consegnati certificati medici privi di diagnosi e con la sola
indicazione dell'inizio e della durata dell'infermità. Se il lavoratore produce documentazione
in cui è presente anche la diagnosi, l'ufficio deve astenersi dall'utilizzare queste informazioni
e deve invitare il personale a non produrre altri certificati con le stesse caratteristiche.
Particolari cautele devono essere adottate dall'ente pubblico quando tratta dati sulla salute
dei dipendenti nei casi di visite medico legali, denunce di infortunio all'Inail, abilitazioni al
porto d'armi e alla guida.
• Diffusione dei dati in Internet: le amministrazioni devono assicurare l'esattezza,
l'aggiornamento e la pertinenza dei dati pubblicati in rete e garantire il "diritto all'oblio",
cioè una tutela dinamica della riservatezza delle persone (trascorso un certo periodo dalla
pubblicazione è opportuno spostare i nominativi in un parte del sito dove non siano più
rintracciabili dai motori di ricerca esterni). Nelle graduatorie relative a concorsi o selezioni
vanno riportati solo dati pertinenti (elenchi nominativi abbinati ai risultati, elenchi di
ammessi alle prove scritte o orali, no a recapiti telefonici, codice fiscale ecc.) É sempre
vietata la diffusione di informazioni sulla salute del lavoratore o dei familiari interessati.
• Dati biometrici dei lavoratori pubblici: anche nell'ambito del pubblico impiego non è
consentito un uso generalizzato dei dati biometrici dei dipendenti (impronte digitali, iride)
per controllare le presenze o gli accessi sul luogo di lavoro. Il Garante può autorizzare
l'attivazione di tali sistemi di rilevazione solo in presenza di particolari esigenze (aree
adibite alla sicurezza dello Stato, torri di controllo, conservazione di oggetti di particolare
valore) e con precise garanzie (verifica preliminare dell'Autorità, no ad archivi centralizzati,
codice cifrato dell'impronta memorizzato solo nel badge del dipendente).
• Comunicazioni tra amministrazione e lavoratore: per prevenire la conoscenza
ingiustificata di dati da parte di persone non autorizzate, l'amministrazione deve adottare
forme di comunicazione con il dipendente protette e individualizzate: inoltrando le note in
busta chiusa, inviandole all'e-mail personale o invitandolo a ritirare personalmente la
documentazione.
90
http://www.garanteprivacy.it/garante/doc.jsp?ID=1417809
92
91
http://www.garanteprivacy.it/garante/doc.jsp?ID=1387522
93
Principi generali
Il datore di lavoro può trattare informazioni di carattere personale strettamente indispensabili per
dare esecuzione al rapporto di lavoro. Deve individuare il personale che può trattare tali dati e
assicurare idonee misure di sicurezza per proteggerli da indebite intrusioni o illecite divulgazioni.
Il lavoratore deve essere informato in modo puntuale sull'uso che verrà fatto dei suoi dati e gli
deve essere consentito di esercitare agevolmente i diritti che la normativa sulla privacy gli riconosce
(accesso ai dati, aggiornamento, rettifica, cancellazione etc). Entro 15 giorni dalla richiesta il datore
di lavoro è tenuto a comunicare in modo chiaro tutte le informazioni in suo possesso
Dati sanitari
I dati sanitari vanno conservati in fascicoli separati. Il lavoratore assente per malattia è tenuto a
consegnare al proprio ufficio un certificato senza la diagnosi ma con la sola indicazione dell'inizio e
della durata presunta dell'infermità.Il datore di lavoro non può accedere alle cartelle sanitarie dei
dipendenti sottoposti ad accertamenti dal medico del lavoro. Nel caso di denuncia di infortuni o
malattie professionali all'Inail, il datore di lavoro deve limitarsi a comunicare solo le informazioni
connesse alla patologia denunciata.
Dati biometrici
Non è lecito l'uso generalizzato e incontrollato di dati biometrici, specie se ricavati dalle impronte
digitali. L'uso può essere giustificato solo in casi particolari, per presidiare, ad esempio, accessi ad
"aree sensibili" (processi produttivi pericolosi, locali destinati a custodia di beni, documenti
riservati). Anche quando l'uso è consentito non è ammessa la costituzione di banche dati
centralizzate: è infatti sufficiente la memorizzazione su una smart card in uso esclusivo del
dipendente.
92
http://www.garanteprivacy.it/garante/doc.jsp?ID=1364099
94
In questo parere, il Garante nel ribadire il proprio orientamento circa il divieto di utilizzazione
generalizzata di sistemi di rilevazione biometrica all'ingresso delle banche, fissa altresì alcune
condizioni che in attesa di un puntuale intervento legislativo, e a fronte di eccezionali ed acclarate
situazioni di rischio inerenti alla specificità della realtà bancaria, consentono una temporanea
installazione di detti sistemi (rilevazione automatica di una impronta digitale, eventualmente
associabile all'immagine a seguito di decrittazione effettuata dall'autorità giudiziaria) nel rispetto di
alcune imprescindibili garanzie per gli interessati individuati dal provvedimento. Tali condizioni
sono ribadite e chiarite nel successivo provvedimento del 2005 a cui rimandiamo.
Provvedimento del 27 ottobre 2005 sulla rilevazione di impronte digitali in combinazione con
trattamenti di immagini
Il provvedimento, tenuto conto di quanto già indicato nel provvedimento generale 29 aprile 2004
sulla videosorveglianza 96 e nel provvedimento del 28 settembre 2001 relativo alle rilevazioni
biometriche97 presso gli istituti di credito, mira ad individuare le misure e gli accorgimenti a
garanzia degli interessati che dovranno essere posti in essere da tutti gli istituti di credito operanti
sul territorio nazionale che intendano avvalersi di sistemi di rilevazione di impronte digitali
combinati ad altri sistemi (immagini).
I principi fissati dal Garante sono:
96
98
http://www.garanteprivacy.it/garante/doc.jsp?ID=1247352
99
http://www.garanteprivacy.it/garante/doc.jsp?ID=1246675#Allegato
97
fonte immagine100
Si possono installare telecamere senza il consenso degli interessati, sulla base delle prescrizioni
indicate dal Garante, quando chi intende rilevare le immagini deve perseguire un interesse legittimo
a fini di tutela di persone e beni rispetto a possibili aggressioni, furti, rapine, danneggiamenti, atti di
vandalismo, prevenzione incendi, sicurezza del lavoro ecc.
Se i sistemi di videosorveglianza prevedono la raccolta delle immagini collegata e/o incrociata e/o
confrontata con altri particolari dati personali (ad esempio dati biometrici) oppure con codici
identificativi di carte elettroniche o con dispositivi che rendono identificabile la voce è necessaria
una autorizzazione preliminare da parte del Garante.
100
http://www.garanteprivacy.it/garante/doc.jsp?ID=1003482
101
http://www.garanteprivacy.it/garante/doc.jsp?ID=1003482
102
http://www.garanteprivacy.it/garante/doc.jsp?ID=1006052
98
• Inasprimento delle sanzioni privacy, 30 dicembre 2008103 (D.L. n. 207 del 30 dicembre
2008, articolo 44 )
• Rifiuti di apparecchiature elettriche ed elettroniche (Raae) e misure di sicurezza dei dati
personali, 13 ottobre 2008104
• Sicurezza dei dati di traffico telefonico e telematico, 17 gennaio 2008105;
• Comunicato stampa del Garante del 3 settembre 2003 che sintetizza chiaramente il quadro di
riferimento per le comunicazioni commerciali indesiderate (spamming)106.
Il Garante ha messo a punto una serie di indicazioni per evitare che, al momento di dismettere
apparecchiature elettriche ed elettroniche (anzitutto pc, ma anche cd rom o dvd), rimangano in
memoria nomi, indirizzi mail, rubriche telefoniche, foto, filmati, numero di conto bancario, dati
personali in generale, anche di tipo sensibile come quelli sanitari, riferiti non solo all'utilizzatore,
ma anche a terzi.
Da oggi in poi, privati cittadini, professionisti, ma anche aziende pubbliche che intendono
dismettere il proprio “usato” o consegnarlo ai punti di raccolta per lo smaltimento dovranno
preoccuparsi di cancellare in maniera definitiva - anche con l'aiuto degli stessi rivenditori o se
proprio necessario di tecnici specializzati - i dati personali memorizzati. Questo innanzitutto allo
scopo di non esporsi e non esporre altri a rischi anche gravi, come ad esempio la manipolazione di
dati e il furto di identità.
dei file dall'unità disco con i normali strumenti previsti dai sistemi operativi (ad es., con l'uso del
“cestino” o con comandi di cancellazione) - a scrivere ripetutamente nelle aree vuote del disco. Si
possono anche utilizzare sistemi di formattazione a basso livello degli hard disk o di
“demagnetizzazione”, in grado di garantire la cancellazione rapida delle informazioni.
Il provvedimento fissa le regole di base per la messa in sicurezza dei dati del traffico telefonico e di
Internet, conservati dai gestori per finalità di accertamento e repressione dei reati e per le altre
finalità ammesse dalla normativa.
Le prescrizioni impartite riguardano in particolare i seguenti ambiti:
• Accesso ai dati;
• Accesso ai locali;
• Sistemi di autorizzazione
• Tracciamento dell'attività del personale incaricato;
• Conservazione separata dei dati;
• Cancellazione dei dati;
• Controlli interni;
• Sistemi di cifratura.
Comunicato stampa del Garante del 3 settembre 2003 sulle comunicazioni commerciali
indesiderate (spamming)
Inviare e-mail pubblicitarie senza il consenso del destinatario è vietato dalla legge; se questa
attività, specie se sistematica, è effettuata a fini di profitto si viola anche una norma penale e il
fatto può essere denunciato all’autorità giudiziaria. Sono previste varie sanzioni e, nei casi più
gravi, la reclusione. La normativa sulla privacy non permette di utilizzare indirizzi di posta
elettronica per inviare messaggi indesiderati a scopo promozionale o pubblicitario anche quando si
omette di indicare in modo chiaro il mittente del messaggio e l’indirizzo fisico presso il quale i
destinatari possono rivolgersi per chiedere che i propri dati personali non vengano più usati.
100
101
Lezione 2 –
Unità didattica 2.3 –
Organizzazione della privacy
Modulo 2.3.1 – Il censimento dei dati personali
102
Il censimento dei trattamenti è l’attività più importante per una corretta ed efficace gestione degli
adempimenti privacy in azienda.
Riepiloghiamo, con parole semplici, qual è l’approccio migliore per affrontare tale attività.
• La definizione di dato personale è così ampia che conviene partire dal presupposto che tutti
i dati e le informazioni che trattiamo in azienda sono personali.
• Con trattamento è opportuno intendere “qualsiasi uso” di dati personali e dunque, per
quanto detto al punto precedente, qualsiasi utilizzo di qualsiasi dato è un trattamento
(compresa la cancellazione o distruzione di informazioni).
• Quanto detto si riferisce sia ai trattamenti di dati personali effettuati con strumenti
elettronici (sistemi informativi aziendali, pc in rete e stand alone per l’office automation e
la produttività personale, strumenti mobili quali notebook, subnotebook, cellulari evoluti,
ipod e similia) sia ai trattamenti senza l’ausilio di strumenti elettronici (documenti
cartacei vergati a mano o prodotti da strumenti meccanici quali macchine da scrivere e
fotocopiatrici o telematici quali fax); esiste poi una categoria di trattamenti che nasce da
elaborazioni con strumenti elettronici e il cui risultato viene poi riprodotto su carta: ad
esempio un report di stampa; in questo caso scegliamo di identificare nel censimento solo
il trattamento originario mentre demandiamo ai regolamenti organizzativi e alle misure di
sicurezza la gestione delle copie cartacee; in modo analogo ci comportiamo per i trattamenti
che a partire da una certa fonte vengono poi duplicati, distribuiti o rielaborati su supporti
diversi (ad esempio un elenco di clienti creato dal pc della contabilità, poi inviato per posta
elettronica alla funzione marketing e da questa stampato in 100 copie per la forza di
vendita).
• Vanno censiti i trattamenti effettuati dal titolare, direttamente o attraverso collaborazioni
esterne, con l’indicazione della natura dei dati e della struttura (ufficio, funzione, ecc.)
interna od esterna operativamente preposta, nonché degli strumenti elettronici impiegati.
• Useremo, per quanto possibile, il buon senso nei casi non contemplati ai punti precedenti.
104
Elementi minimi
• Descrizione sintetica: definizione del trattamento dei dati personali attraverso l’indicazione
della finalità perseguita o dell’attività svolta (es., fornitura di beni o servizi, gestione del
personale, ecc.) e delle categorie di persone cui i dati si riferiscono (clienti o utenti,
dipendenti e/o collaboratori, fornitori, eccetera).
• Natura dei dati trattati: indicazione se, tra i dati personali, sono presenti dati sensibili (S) o
giudiziari (G).
• Struttura di riferimento: indica la struttura (ufficio, funzione, ecc.) all’interno della quale
viene effettuato il trattamento.
• Altre strutture che concorrono al trattamento: nel caso in cui un trattamento, per essere
completato, comporta l’attività di diverse strutture va indicata, oltre quella che cura
primariamente l’attività, le altre principali strutture che concorrono al trattamento anche
dall’esterno.
• Descrizione degli strumenti elettronici utilizzati: va indicata la tipologia di strumenti
elettronici impiegati (elaboratori o p.c. anche portatili, collegati o meno in una rete locale,
geografica o Internet; sistemi informativi più complessi).
• Identificativo del trattamento: alla descrizione del trattamento, se ritenuto utile, può essere
associato un codice, facoltativo, per favorire un’identificazione univoca e più rapida di
ciascun trattamento nella compilazione delle altre tabelle.
• Banca dati: indicare eventualmente la banca dati (ovvero il data base o l’archivio
informatico), con le relative applicazioni, in cui sono contenuti i dati. Uno stesso trattamento
può richiedere l’utilizzo di dati che risiedono in più di una banca dati. In tal caso le banche
dati potranno essere elencate.
• Luogo di custodia dei supporti di memorizzazione: indicare il luogo in cui risiedono
fisicamente i dati, ovvero dove si trovano (in quale sede, centrale o periferica, o presso quale
fornitore di servizi, ecc.) gli elaboratori sui cui dischi sono memorizzati i dati, i luoghi di
conservazione dei supporti magnetici utilizzati per le copie di sicurezza (nastri, CD, ecc.) ed
ogni altro supporto rimovibile. Il punto può essere approfondito meglio in occasione di
aggiornamenti.
107
http://www.garanteprivacy.it/garante/document?ID=1007740&DOWNLOAD=true
105
Natura
dei dati
Descrizione sintetica del trattati
trattamento
Altre strutture
Struttura (anche esterne)
Finalità perseguita Categorie di di che concorrono Descrizione degli
o attività svolta interessati S G riferimento al trattamento strumenti utilizzati
106
Nello svolgimento dell'attività di impresa è normale che vengano trattati dati personali, vale a dire
informazioni riferibili a soggetti identificati o identificabili (ad esempio, dipendenti, clienti e
fornitori). I dati devono essere pertinenti e non eccedenti rispetto a finalità legittime, esatti e
aggiornati (art. 11 del Codice). Le operazioni di trattamento (quali la raccolta, comunicazione o
diffusione di dati personali) sono effettuate anche a cura del responsabile (se designato) e degli
incaricati del trattamento.
Il “titolare del trattamento”, è la “[...] entità che esercita un potere decisionale del tutto autonomo
sulle finalità e sulle modalità del trattamento, ivi compreso il profilo della sicurezza” (art. 28 del
Codice). In particolare, nell'ambito dello svolgimento dell'attività economica, “titolare del
trattamento” può essere la persona fisica (si pensi all'imprenditore individuale) o giuridica (ad
esempio, la società) che tratta i dati (con la raccolta, la registrazione, la comunicazione o la
diffusione).
Il “titolare del trattamento” è chiamato ad attuare gli obblighi in materia (riassunti nella presente
Guida) e, se ritiene di designare uno o più responsabili del trattamento, è tenuto a vigilare sulla
puntuale osservanza delle istruzioni da impartire loro.
Il “responsabile del trattamento” (possono essere più d'uno), è una figura che può essere designata a
propria discrezione dal titolare del trattamento con un atto scritto nel quale vanno indicati i compiti
affidati. Occorre scegliere persone fisiche od organismi che per esperienza, capacità ed affidabilità,
forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi
compreso il profilo relativo alla sicurezza (art. 29 del Codice).
Tale figura, la cui designazione da parte del “titolare del trattamento” è quindi facoltativa, ricorre
frequentemente in presenza di articolazioni interne delle realtà produttive dotate di una certa
autonomia (ad es., possono essere designati responsabili del trattamento i dirigenti di funzioni
aziendali, quali quelle del personale o del settore marketing) o, rispetto a soggetti esterni
all'impresa, per svariate forme di outsourcing che comportino un trattamento di dati personali (ad
es., per i centri di elaborazione dati contabili, per i servizi di postalizzazione, per le società di
recupero crediti109, etc.)
108
http://www.garanteprivacy.it/garante/doc.jsp?ID=1412271#par1
109
In materia v. il provvedimento generale del 30 novembre 2005, doc. web n. 1213644.
107
Gli “incaricati del trattamento” sono soggetti (solo persone fisiche) che effettuano materialmente le
operazioni di trattamento dei dati personali e operano sotto la diretta autorità del titolare (o del
responsabile) attenendosi a istruzioni scritte (art. 30 del Codice). Il “titolare del trattamento” è
tenuto a designarli.
È sufficiente assegnare un dipendente ad una unità organizzativa, a condizione che risultino per
iscritto le categorie di dati cui può avere accesso e gli ambiti del trattamento110.
110
Così, in un'azienda nella quale ad una unità organizzativa sono stati assegnati un determinato numero di dipendenti,
si potrà ovviare ad una formale designazione (ad esempio, mediante consegna di apposita comunicazione scritta),
qualora si individuino gli ambiti di competenza (in ordine ai trattamenti di dati consentiti) di quella unità mediante una
previsione scritta (ad es. nell'organigramma, nel contratto, nei mansionari, ecc.) e risulti inoltre che tali dipendenti sono
stati assegnati stabilmente a tale unità.
108
Alcuni trattamenti potrebbero essere gestiti in parte o totalmente con strutture terze.
I casi possibili sono:
1. Il trattamento ricade nei poteri decisionali dei titolare dell’azienda che semplicemente
esternalizza alcuni aspetti del trattamento ad un terzo o outsourcer. Esempio tipico potrebbe
essere la conservazione delle copie di sicurezza di nastri o tabulati presso una società
specializzata. In questo caso la società terza deve essere nominata “responsabile esterno”
del trattamento in questione mediante forma scritta.
2. Il trattamento è in contitolarità cioè è gestito da più titolari: è il caso in cui due o più
titolari, autonomi fra loro, gestiscono in comune il trattamento e condividono i poteri
decisionali sulle relative finalità e modalità. Esempio tipico: un trattamento, quale una banca
dati, in comune tra due professionisti). Nessuna nomina formale deve essere fatta.
3. Infine se il titolare non affida all’esterno nessun trattamento ma si limita semplicemente a
comunicare dei dati personali a soggetti terzi, in virtù di quanto previsto nell’informativa,
allora tale terzo è a sua volta un “titolare autonomo del trattamento”. Nessuna nomina
formale deve essere fatta anche in questo caso.
111
http://www.overlex.com/leggiarticolo.asp?id=1667
109
censisce ed aggiorna l'elenco dei trattamenti dei dati personali in azienda e garantisce il diritto
d’accesso come previsto dalle norme sulla privacy;
con l’assistenza del responsabile “Sistemi e Reti” individua, predispone, verifica, documenta e rende
note le misure di sicurezza (minime e più ampie) necessarie per la protezione dei dati personali.
110
Arcobaleni196 srl, è “Titolare” di trattamenti di dati personali che sono esternalizzati presso la Vs.
Azienda, per effetto del contratto stipulato il 21 settembre 2005, rif. ABC1230. Con la presente
Arcobaleni196 designa la Vs. Azienda quale “Responsabile del trattamento” ai sensi dell'art. 29 del
d. lgs. 196/2003 “Codice in materia di protezione dei dati personali” (il “Codice”) in relazione ai
trattamenti previsti nel contratto suddetto.
garantire che i trattamenti siano svolti nel pieno rispetto delle norme e di ogni prescrizione contenuta nel
Codice, nei relativi allegati compresi i codici deontologici, delle future modificazioni ed integrazioni nonché
informarsi e tenere conto dei provvedimenti, dei comunicati ufficiali, delle autorizzazioni generali emessi
dall'Autorità Garante per la Protezione dei Dati Personali (il “Garante”);
verificare la costante adeguatezza delle misure di sicurezza per la protezione dei trattamenti alle misure
minime di sicurezza di cui agli artt. da 33 a 35 del Codice, da adottarsi nei modi previsti dal Disciplinare
Tecnico allegato B al Codice e secondo le previsioni dell’art. 180, e delle eventuali modificazioni o
integrazioni che dovessero intervenire ai sensi dell’art. 36 nonché a quelle idonee e preventive di cui all’art. 31
così da ridurre al minimo i rischi di perdita e distruzione, anche accidentale, dei dati stessi, di accesso non
autorizzato, di trattamento non consentito o non conforme alle finalità della raccolta;
segnalare tempestivamente qualsiasi eventuale carenza sulle misure di sicurezza adottate o su qualunque altro
aspetto relativo ai trattamenti conferiti che dovesse comportare responsabilità civili e penali del Titolare;
curare l’aggiornamento periodico, almeno annuale, del Documento Programmatico sulla sicurezza previsto
dalla regola 19 del Disciplinare Tecnico citato, relativamente ai trattamenti di dati personali conferiti col
contratto suddetto, consegnandone copia in tempo utile affinché Arcobaleni196 possa provvedere
all’adempimento rispettando la scadenza prevista dalla normativa in questione;
comunicare tempestivamente qualsiasi richiesta ricevuta ai sensi dell'art. 7 del Codice, per consentirne
l'evasione nei termini previsti dalla legge e, in particolare, disporre l'organizzazione interna per l'eventuale
modifica, rettifica, integrazione e cancellazione dei dati, nonché il blocco del trattamento ove venisse disposto
dal Garante o dall'Autorità Giudiziaria.
Ci riserviamo, ai sensi dell'art. 29 comma 5 del Codice, la facoltà di effettuare verifiche periodiche
per vigilare sulla puntuale osservanza delle vigenti disposizioni in materia di trattamento, ivi
compreso il profilo relativo alla sicurezza, e delle istruzioni suddette.
Cordiali saluti
111
112
controlli.
Nel 2006 il Garante ha Vero.
pubblicato le linee- Con tale
guida per il provvedimento il
trattamento di dati dei Garante ha definito
dipendenti privati misure ed
accorgimenti per
disciplinare la
raccolta e l'uso dei
dati personali nella
gestione del rapporto
di lavoro.
L’informativa in caso Falso.
di videosorveglianza è In caso di
necessaria solo nel videosorveglianza
caso che le immagini l’informativa va
siano registrate sempre data. Se non
vi è registrazione di
immagini può essere
fornita una
informativa minima
sotto forma di
cartello.
114
Pagina bianca
115
112
http://www.compliancenet.it/
113
http://www.cmaconsulting.it/
114
http://www.arcobaleni196.it
116