Sei sulla pagina 1di 4

Linee fondamentali del Codice Privacy

Linee fondamentali del


Codice Privacy
L’avvento della Società dell’Informazione ha indirizzato il legislatore verso la
ricerca di una maggiore tutela dell’individuo. Il concetto di privacy si è evoluto
nel tempo, assumendo un nuovo significato più vicino alle Nuove tecnologie
informatiche. Il titolare del trattamento dati è obbligato ad adattare la propria
struttura aziendale alle prescrizioni contenute nel Codice delle Privacy

di Massimo Farina > mfarina@infomedia.it

I
l 1 gennaio 2004 è entrato in vigore il decreto legisla- Va sottolineato che per poter rientrare nel concetto di tratta-
tivo 30 giugno 2003, n. 196, cosiddetto “Codice mento è sufficiente il compimento di una sola operazione tra
Privacy” [1]. Si tratta di un testo normativo che sosti- quelle elencate. La definizione è talmente ampia da com-
tuisce la Legge n. 675/96 [2]. Una fonte, quest’ultima, prendere anche il trattamento senza ausilio di strumenti infor-
alla quale va riconosciuto il grande merito di aver dif- matici.
fuso la consapevolezza dell’esistenza di una sfera La genericità del concetto di dato ha spinto il legislatore verso
intangibile degna di tutela per ciascun individuo. La suddetta la specificazione dei singoli tipi rientranti nella categoria. La
Legge ha, però, dimostrato una capacità applicativa assai scar- previgente normativa contemplava i dati personali, i dati sen-
sa. Fino al 31 dicembre 2003, la percentuale di soggetti che sibili ed i dati anonimi; il Codice della Privacy offre una tipo-
potevano essere definiti “in regola” era davvero minima. logia più ricca. Tra le novità compare la definizione di “dato
Con il “Codice Privacy” si è voluto interrompere l’atteggia- giudiziario”, ossia quelle informazioni in materia di casella-
mento inerte di tutti coloro che, con totale indifferenza, rifiu- rio giudiziale, di anagrafe delle sanzioni amministrative
tavano consapevolmente l’adeguamento alla politica del dipendenti da reato e dei relativi carichi pendenti, o la quali-
rispetto della riservatezza altrui. tà di imputato o di indagato.
Il legislatore si è posto l’obbiettivo di rompere col passato attra- Colui che esegue il trattamento dei dati personali altrui è
verso un intervento reticolare che avanza su diversi fronti. denominato “titolare”. Il soggetto al quale si riferiscono le
Un primo passo è stato quello di pensare ad una razionaliz- informazioni è ,invece, l’”interessato”.
zazione e semplificazione della materia attraverso un “La persona fisica, giuridica o l’ente, che decide sulla finalità,
Testo Unico chiaro e semplice. la modalità del trattamento e sugli strumenti utilizzati per
Allo stesso tempo, si è cercato di scongiurare il pericolo di esso” (cioè il titolare del trattamento), può nominare uno o
vivere la nuova disciplina in assenza di effettività. L’autorità più soggetti “responsabili del trattamento dei dati” con
Garante, con apposito protocollo d’intesa, ha, infatti, deman- poteri determinati dallo stesso titolare attraverso l’atto di
dato la funzione di controllo alla Guardia di Finanza. nomina. Tutti coloro che effettivamente prenderanno cogni-
zione diretta dei dati (per esempio gli impiegati) sono deno-
Le definizioni minati “incaricati”. A questi ultimi dovranno essere imparti-
Ai sensi dell’art. 5 del D.lgs.196/03, l’oggetto della tutela è il te precise istruzioni esecutive, da parte del titolare o del
trattamento dei dati. Ciò significa che l’attenzione del legisla- responsabile, riguardanti le modalità di trattamento dei dati.
tore è rivolta alle modalità di utilizzo dei dati da parte del tito- Questa, in maniera assai semplificata, è la suddivisone dei
lare. È doveroso, a questo punto, chiarire alcune espressioni compiti “privacy” all’interno della struttura aziendale. (Per
lessicali che, nel linguaggio comune, potrebbero essere inte- ragioni di semplicità espositiva non sono state considerate
se con una valenza diversa da quella utilizzata nel Codice ulteriori figure per le quali si rimanda alle definizioni riporta-
della Privacy. Il riferimento è all’articolo 4, appositamente te nel Riquadro 1)
rubricato “definizioni”.
Il “trattamento” è “qualunque operazione o complesso di Gli adempimenti verso il “Garante
operazioni, effettuati anche senza l’ausilio di strumenti elet- per la Protezione dei Dati Personali”
tronici, concernenti la raccolta, la registrazione, l’organizza- Una possibile classificazione sugli obblighi gravanti in capo al
zione, la conservazione, la consultazione, l’elaborazione, la titolare del trattamento potrebbe essere la seguente: adempi-
modificazione, la selezione, l’estrazione, il raffronto, l’utiliz- menti verso l’Autorità Garante, adempimenti verso gli interes-
zo, l’interconnessione, il blocco, la comunicazione, la diffu- sati, adempimenti interni (o organizzativi).
sione, la cancellazione e la distruzione di dati, anche se non Il Codice delle Privacy prevede due tipi di adempimenti da
registrati in una banca di dati”. effettuarsi verso il Garante per la Protezione dei dati

DEV > n. 131 luglio/agosto 2005 19 <<


Speciale
Privacy

dati personali è stato istituito dalla legge 31 dicembre 1996 n.


RIQUADRO 1 675; è un organo collegiale costituito da quattro componenti
Le principali definizioni del Codice Privacy di nomina parlamentare: due eletti dalle Camera dei deputati
e due dal Senato della Repubblica.
• TITOLARE: la persona fisica, la persona giuridica, la pub-
La “notificazione” è una dichiarazione attraverso la quale il
blica amministrazione e qualsiasi altro ente, associazio-
Titolare comunica al Garante l’esistenza di un’attività di trat-
ne od organismo cui competono, anche unitamente ad
tamento di dati personali. Sotto la vigenza della Legge 675/96
altro titolare, le decisioni in ordine alle finalità, alle
si prevedeva un obbligo di notificazione quasi generalizzato;
modalità del trattamento di dati personali e agli stru-
nella gran parte dei casi i titolari dovevano comunicare l’atti-
menti utilizzati, ivi compreso il profilo della sicurezza;
vità di trattamento all’autorità Garante. Il codice Privacy ha
• INTERESSATO: la persona fisica, giuridica o l’ente cui si
notevolmente ridimensionato l’obbligo di notificazione: essa
riferiscono i dati personali;
dovrà essere effettuata nei soli casi tassativamente previsti
• RESPONSABILE: la persona fisica, la persona giuridica,
all’articolo 37. A titolo d’esempio, tra esse, rientra il tratta-
la pubblica amministrazione e qualsiasi altro ente, asso-
mento di “dati genetici e dati biomedici” oppure il tratta-
ciazione od organismo preposti dal titolare al tratta-
mento di “dati che indicano la posizione geografica di perso-
mento di dati personali;
ne od oggetti mediante una rete di comunicazione elettroni-
• NCARICATI: le persone fisiche autorizzate a compiere
ca”. Al di fuori delle specifiche ipotesi elencate dall’art. 37 (si
operazioni di trattamento dal titolare o dal responsabile
veda Riquadro 2) non è necessaria la notificazione, ancorché
• GARANTE: l'autorità di cui all'articolo 153, istituita dalla
si tratti di dati sensibili. Resta fermo il potere del Garante di
legge 31 dicembre 1996, n. 675.
individuare, con proprio provvedimento, alcuni trattamenti
• TRATTAMENTO: qualunque operazione o complesso di
esonerabili dall’obbligo di notificazione ovvero indicare quel-
operazioni, effettuati anche senza l'ausilio di strumenti
li che, seppur non contenuti nell’articolo 37, dovranno essere
elettronici, concernenti la raccolta, la registrazione, l'or-
notificati.
ganizzazione, la conservazione, la consultazione, l'ela-
La notificazione va fatta, una sola volta per tutti i trattamenti,
borazione, la modificazione, la selezione, l'estrazione, il
all’inizio dell’attività “a prescindere dal numero delle opera-
raffronto, l'utilizzo, l'interconnessione, il blocco, la
zioni e della durata del trattamento da effettuare”; una nuova
comunicazione, la diffusione, la cancellazione e la
notificazione da parte dello stesso titolare è imposta qualora
distruzione di dati, anche se non registrati in una banca
cessi definitivamente l’attività di trattamento ovvero nell’ipo-
di dati;
tesi di mutamento di taluno degli elementi da indicare nella
• DATO PERSONALE: qualunque informazione relativa a
notificazione medesima. Per tutti coloro che già svolgevano
persona fisica, persona giuridica, ente od associazione,
attività di trattamento, rientrante nelle ipotesi tassative dell’ar-
identificati o identificabili, anche indirettamente,
mediante riferimento a qualsiasi altra informazione, ivi
compreso un numero di identificazione personale; RIQUADRO 2
• DATI SENSIBILI: i dati personali idonei a rivelare l'origine I trattamenti da notificare al Garante
razziale ed etnica, le convinzioni religiose, filosofiche o
di altro genere, le opinioni politiche, l'adesione a partiti, a) dati genetici, biometrici o dati che indicano la posizione
sindacati, associazioni od organizzazioni a carattere reli- geografica di persone od oggetti mediante una rete di
gioso, filosofico, politico o sindacale, nonchè i dati per- comunicazione elettronica;
sonali idonei a rivelare lo stato di salute e la vita ses- b) dati idonei a rivelare lo stato di salute e la vita sessua-
suale; le, trattati a fini di procreazione assistita, prestazione di
• DATI GIUDIZIARI: i dati personali idonei a rivelare prov- servizi sanitari per via telematica relativi a banche di dati
vedimenti di cui all'articolo 3, comma 1, lettere da a) a o alla fornitura di beni, indagini epidemiologiche, rileva-
o) e da r) a u), del d.P.R. 14 novembre 2002, n. 313, in zione di malattie mentali, infettive e diffusive, sieroposi-
materia di casellario giudiziale, di anagrafe delle sanzio- tività, trapianto di organi e tessuti e monitoraggio della
ni amministrative dipendenti da reato e dei relativi cari- spesa sanitaria;
chi pendenti, o la qualità di imputato o di indagato ai c) dati idonei a rivelare la vita sessuale o la sfera psichica
sensi degli articoli 60 e 61 del codice di procedura trattati da associazioni, enti od organismi senza scopo
penale; di lucro, anche non riconosciuti, a carattere politico, filo-
• MISURE MINIME: il complesso delle misure tecniche, sofico, religioso o sindacale;
informatiche, organizzative, logistiche e procedurali di d) dati trattati con l'ausilio di strumenti elettronici volti a
sicurezza che configurano il livello minimo di protezione definire il profilo o la personalità dell'interessato, o ad
richiesto in relazione ai rischi previsti nell'articolo 31; analizzare abitudini o scelte di consumo, ovvero a moni-
• CREDENZIALI DI AUTENTICAZIONE: i dati ed i dispositivi, torare l'utilizzo di servizi di comunicazione elettronica
in possesso di una persona, da questa conosciuti o ad con esclusione dei trattamenti tecnicamente indispen-
essa univocamente correlati, utilizzati per l'autenticazio- sabili per fornire i servizi medesimi agli utenti;
ne informatica. e) dati sensibili registrati in banche di dati a fini di selezio-
ne del personale per conto terzi, nonchè dati sensibili
utilizzati per sondaggi di opinione, ricerche di mercato e
altre ricerche campionarie;
Personali: la “notificazione” e la richiesta di “autorizzazione” f) dati registrati in apposite banche di dati gestite con stru-
per i trattamenti effettuati. menti elettronici e relative al rischio sulla solvibilità eco-
L’Autorità Garante è un’amministrazione pubblica indipen- nomica, alla situazione patrimoniale, al corretto adem-
dente, istituita e disciplinata con una apposita legge, dotata di pimento di obbligazioni, a comportamenti illeciti o frau-
un elevato grado di autonomia, nei propri giudizi e valuta- dolenti.
zioni, rispetto al Governo. Il Garante per la protezione dei

>> 20 DEV > n. 131 luglio/agosto 2005


Linee fondamentali del Codice Privacy

ticolo 37, prima del gennaio 2004, il termine ultimo per adem-
piere all’obbligo di notificazione era stato fissato al 30 aprile
2004; per i trattamenti cominciati dopo tale data, resta fermo
l’obbligo di notificazione prima dell’inizio del trattamento
medesimo. Al secondo comma dell’articolo 38, del D.lgs.
196/03, è prevista la modalità di notificazione con sottoscri-
zione digitale ed esclusivamente per via telematica, attraverso
la compilazione del modello disponibile sul sito
https://web.garanteprivacy.it/rgt/; la procedura va ese-
guita anche in caso di già avvenuta notificazione secondo la
precedente Legge 675/96. Infine, gli articoli 163 e 168 con-
tengono le sanzioni per “omessa o incompleta notificazione”
e per “falsità nelle dichiarazioni e notificazioni”. Nella prima
ipotesi è prevista la sanzione pecuniaria amministrativa da
10.000 a 60.000 euro; il reato di falsità è punito con la reclu-
sione da 6 mesi a 3 anni.
Per quanto riguarda la “Richiesta di Autorizzazione al
Garante”, si tratta di un adempimento previsto per tutti i tito-
lari che trattano dati sensibili e giudiziari. Tenuto conto del-
l’altissimo numero di soggetti interessati, il legislatore ha pre-
visto le cosiddette Autorizzazioni Generali concesse a deter-
minate categorie di titolari o di trattamenti. Vi rientrano, tra gli
altri, i trattamenti svolti nell’ambito dei rapporti di lavoro,
quelli effettuati da parte di organismi di tipo associativo e
delle fondazioni o da liberi professionisti. FIGURA 1
Il sito dell’Autorità Garante per la Privacy
Ebbene, tutti i destinatari di autorizzazioni Generali, qualora
raccolgano dati sensibili o giudiziari, dovranno semplicemen-
te far riferimento alle Autorizzazioni Generali pronunciate per concerne il trattamento dei propri dati. Tali diritti vengono
il loro specifico settore di appartenenza. Al trattamento di dati esercitati con richiesta, rivolta anche senza formalità al titola-
sensibili in assenza di autorizzazione, laddove necessaria, re, alla quale è fornito idoneo riscontro senza ritardo.
consegue l’applicazione delle sanzioni previste all’articolo La violazione dell’obbligo di informativa verso l’interessato,
167, punto 2, del Codice Privacy: reclusione da 1 a 3 anni se denominata nel codice “omessa o inidonea informativa”, è
dal fatto deriva nocumento. Anche in questo caso, tenuto sanzionata in maniera differente a seconda del tipo di dati
conto della particolare natura dei dati coinvolti, il legislatore trattati: per i dati comuni da 3.000 a 18.000 euro; per i dati
ha scelto di ricorrere ai rimedi tipici del diritto penale. sensibili o giudiziari da 5.000 a 30.000 euro.
Altro adempimento, da espletare nei confronti dell’interessa-
Gli adempimenti verso gli interessati to, è costituito dalla preventiva richiesta di autorizzazione al
L’impianto normativo dettato in tema di Privacy è dedicato trattamento dei dati: il cosiddetto “consenso”. L’articolo 23 del
alla tutela dei diritti e delle libertà fondamentali delle perso- Codice Privacy impone al titolare di richiedere il consenso
ne fisiche, giuridiche o degli enti cui si riferiscono i dati per- scritto nell’ipotesi di trattamento di dati sensibili e, si aggiun-
sonali trattati. I principali destinatari della tutela sono,quindi, ga, anche giudiziari. Per la restante categoria di dati, quelli
gli interessati, verso i quali il legislatore ha stabilito dei preci- definiti genericamente “comuni”, si richiede il consenso
si adempimenti che i titolari del trattamento devono rispetta- espresso. Ciò significa che potrebbe essere fornito anche oral-
re. Si tratta di due obblighi ben precisi: “fornire l’informa- mente. Va rilevato, tal proposito, il disposto del comma 3 lad-
tiva” e “richiedere il consenso per il trattamento di dati”. dove, “il consenso è validamente prestato solo se è […] docu-
L’obbligo di informativa è previsto all’articolo 13 del D.lgs. mentato per iscritto”; è, perciò, preferibile, in ogni caso, un
196/03. Si tratta di una comunicazione finalizzata ad informa- consenso scritto.
re l’interessato sui soggetti che effettueranno il trattamento, Agli articoli 24 e 26 sono previste alcune deroghe all’obbligo
attraverso quali modalità e per quali finalità. La norma di rife- di consenso così come sopra illustrato. Tra le ipotesi escluse
rimento indica con estrema precisione gli elementi che devo- è compreso: “il trattamento necessario per adempiere ad
no essere contenuti nella comunicazione: la finalità e modali- obblighi normativi; il trattamento necessario per eseguire
tà del trattamento, la natura obbligatoria o facoltativa del con- obblighi derivanti da un contratto del quale è parte l’interes-
ferimento dei dati, le conseguenze di un eventuale rifiuto di sato […] o per adempiere, prima della conclusione del con-
rispondere, i soggetti o le categorie di soggetti a cui possono tratto, a specifiche richieste dell’interessato ed il trattamento
essere comunicati i dati o che possono venirne a conoscen- riguardante dati contenuti in pubblici registri, elenchi, atti o
za, gli estremi identificativi del titolare ed i diritti dell’interes- documenti conoscibili da chiunque”. Più precisamente, l’arti-
sato. colo 26 prevede alcune ipotesi di esclusione dal consenso nel
Non esistono formulari preconfezionati, ciascun titolare ela- trattamento di dati sensibili, previa autorizzazione, anche
bora l’informativa secondo le proprie esigenze e la propria generale, del Garante. Si tratta, tra gli altri, del “trattamento
struttura organizzativa interna; l’unico punto fermo è costitui- effettuato da associazioni, enti od organismi senza scopo di
to dal rispetto delle indicazioni contenute nell’articolo 13 del lucro a carattere politico, filosofico, religioso o sindacale […];
Codice Privacy. del trattamento necessario per la salvaguardia della vita o del-
Quanto ai diritti dell’interessato, previsti all’articolo 7 del l’incolumità fisica di un terzo; del trattamento necessario per
Codice Privacy, nell’informativa va puntualmente evidenziato le investigazioni difensive o per far valere in sede giudiziaria
che l’interessato ha diritto ad essere informato su tutto ciò che un diritto” ed infine del “trattamento necessario per l’adem-

DEV > n. 131 luglio/agosto 2005 21 <<


Speciale
Privacy

pimento di compiti od obblighi previsti dalla legge, da un adottate al fine di garantire l’integrità e la disponibilità dei
regolamento o da normativa comunitaria per la gestione del dati, nonché la protezione delle aree e dei locali in relazione
rapporto di lavoro”. alla loro custodia ed accessibilità; l’individuazione delle
Il titolare che procede al trattamento senza consenso per i dati modalità che possono essere poste a favore del ripristino
comuni è punito con la reclusione da 6 a 18 mesi ovvero, in della disponibilità dei dati qualora si verifichino episodi di
caso di comunicazione, da 6 a 24 mesi. distruzione o danneggiamento; gli interventi formativi in tema
Per il trattamento illecito di dati sensibili in assenza di con- di analisi dei rischi che incombono sui dati; i criteri per l’a-
senso, laddove richiesto, è prevista la reclusione da 1 a 3 dozione delle misure minime di sicurezza in caso di tratta-
anni, se dal fatto deriva nocumento. menti di dati personali affidati all’esterno della struttura (out-
sourcing) ed, infine, i criteri adottati per la separazione dei
Gli adempimenti interni (o organizzativi) dati sensibili da quelli comuni.
L’Allegato B al D.lgs. 196/03 è il “disciplinare tecnico in Gli obblighi sono molto più semplici nel caso di trattamen-
materia di misure minime di sicurezza”. Si tratta di quel to dati senza l’ausilio di strumenti elettronici. In tale caso
complesso di misure tecniche, informatiche, organizzative, le misure minime di sicurezza consistono in: aggiornamento
logistiche e procedurali di sicurezza che configurano il livel- periodico (con cadenza almeno annuale) dell’ambito consen-
lo minimo di protezione normativamente richiesto rispetto ai tito all’incaricato per il trattamento; controllo e custodia di atti
rischi i rischi di distruzione o perdita dei dati, di accesso non e documenti contenenti i dati personali fino al termine del
autorizzato o di trattamento non consentito o non conforme trattamento e conseguente restituzione; accesso controllato
alla finalità della raccolta (per alcuni aspetti tecnici, si veda agli archivi per i dati sensibili o giudiziari; individuazione e
l’articolo di questo Speciale “Misure minime di sicurezza: registrazione delle persone ammesse negli archivi, nel caso di
aspetti pratici”). accessi fuori dall’orario di lavoro ovvero, in caso di mancan-
Nell’Allegato B è presente un elenco preciso delle misure da za di vigilanza agli archivi, preventiva autorizzazione all’ac-
adottare. cesso.
Il primo passo consiste nella predisposizione di un sistema Il mancato rispetto di quanto previsto dal disciplinare tecnico
di autenticazione informatica. Ciò significa che il tratta- in materia di misure minime di sicurezza comporta l’applica-
mento dei dati personali deve essere consentito solo agli inca- zione delle seguenti sanzioni: arresto sino a 2 anni o ammen-
ricati muniti di “credenziali di autenticazione”. Queste ultime da da 10.000 a 50.000 euro.
sono costituite da un codice, per l’identificazione dell’incari- Da non confondere con le misure minime di sicurezza sono
cato, associato ad una parola chiave segreta e conosciuta le cosiddette misure idonee, le quali possono essere definite,
esclusivamente dall’incaricato stesso, obbligato ad adottare in generale, come adozione di tutti gli accorgimenti necessa-
tutte le cautele necessarie per assicurarne la segretezza; è, ri e tecnicamente attuali per ridurre al minimo il rischio di
altresì, tenuto a custodire i dispositivi in suo possesso ed distruzione, perdita, accesso non autorizzato o trattamento
esclusivo uso. La password dev’essere composta da un mini- illecito dei dati personali. In questo caso, la previsione è di
mo di otto caratteri; qualora lo strumento elettronico non lo contenuto più generale di quanto illustrato per le misure
consenta è necessario adottare una parola chiave composta minime di sicurezza. Può certamente affermarsi che condurre
dal numero massimo di caratteri consentiti. una analisi dettagliata dei rischi e dei relativi provvedimenti
La parola chiave va, obbligatoriamente, modificata con caden- comprende quanto previsto per la redazione del Documento
za semestrale; nel caso di trattamento di dati sensibili o giu- Programmatico per la Sicurezza.. È consigliabile, pertanto,
diziari la modifica ha una cadenza trimestrale. Le credenziali redigere tale documento anche se non si trattano dati sensi-
di autenticazione non utilizzate da almeno sei mesi debbono bili con strumenti informatici.
essere disattivate; fanno eccezione a tale regola le ipotesi di L’inosservanza dell’obbligo di adozione delle misure idonee è
utilizzo esclusivamente finalizzato alla gestione tecnica per le fonte di responsabilità civile.
quali non è prevista tale scadenza di modifica.
È prevista, inoltre, l’adozione di un sistema di autorizzazione, Bibliografia
qualora per gli incaricati siano individuati differenti profili di [1] Decreto legislativo 30 giugno 2003, n. 196, Codice in
accesso ai dati. In tal caso si rende necessario limitare l’ac- materia di protezione dei dati personali, in G.U. n. 174
cesso ai soli dati effettivamente necessari alla realizzazione del 29 luglio 2003, Supplemento Ordinario n. 123;
delle operazioni di trattamenti cui sono preposti gli incarica- [2] Legge 31 dicembre 1996, n. 675, Tutela delle persone e di
ti; tale obbiettivo può essere raggiunto con la configurazione, altri soggetti rispetto al trattamento dei dati personali, in
anteriore all’inizio del trattamento, di profili di autorizzazione G.U. n. 5 dell’8 gennaio 1997, Supplemento Ordinario n. 3
per ciascun incaricato o per classi omogenee di incaricati. [3] Decreto del Presidente della Repubblica 28 luglio 1999, n.
Con cadenza annuale si dovrà verificare la sussistenza delle 318, Regolamento recante norme per l’individuazione
condizioni per la conservazione dei profili di autorizzazione. delle misure di sicurezza minime per il trattamento dei
La misura di sicurezza più conosciuta dell’allegato b) è il dati personali a norma dell’articolo 15, comma 2, della
Documento Programmatico per la Sicurezza (cosiddetto legge 31 dicembre 1996, n. 675, in G. U. 14 settembre
D.P.S.). La sua presenza, nel Codice della Privacy, è stata 1999, serie generale, n. 216.
accolta, dai più, come una novità; in realtà, l’obbligo di redi-
gere tale documento compariva già nel D.P.R. 318/99 [3],
seppur con prescrizioni parzialmente differenti. Entro il 31 Massimo Farina
marzo di ogni anno, il titolare del trattamento di dati sensibi-
li o giudiziari, effettuato con strumenti elettronici, deve redi- È Patrocinatore Legale del Foro di Cagliari. É specializzato in
gere tale documento. Le informazioni essenziali che devono Informatica Giuridica e lavora come consulente freelance
comparire nel D.P.S. riguardano: l’elenco dei trattamenti; i nell’ambito della formazione e dei servizi alle Pubbliche
compiti e le responsabilità dei soggetti incaricati al trattamen- Amministrazioni ed alle imprese.
to; l’analisi dei rischi con l’indicazione delle misure che sono

>> 22 DEV > n. 131 luglio/agosto 2005