Principi fondamentali

il diritto alla protezione: viene affermato il principio per cui chiunque ha diritto alla tutela dei dati personali che lo riguardano;

le finalità: il Codice garantisce che il trattamento di dati si svolga nel rispetto dei diritti e delle libertà fondamentali, nonché della dignità dell’interessato, assicurando un elevato livello di protezione, nel rispetto dei principi di semplificazione, armonizzazione ed efficacia delle modalità previste per il loro esercizio;

la necessità del trattamento dei dati: viene sancito che i sistemi informativi e i programmi informatici devono essere configurati riducendo al minimo l’utilizzo di dati personali ed identificativi, escludendone addirittura il trattamento laddove sia possibile l’utilizzo di dati anonimi o che permettano l’identificazione solo in caso di necessità.

Definizioni principali e soggetti interessati

Trattamento: è tale, secondo la norma, qualunque operazione o complesso di operazioni, svolte con o senza l’ausilio di mezzi elettronici o comunque automatizzati, concernenti la raccolta, la registrazione, l’organizzazione, la conservazione, l’elaborazione, la modificazione, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati;

dati: possono essere "personali" (qualunque informazione relativa a persona fisica, giuridica, ente o associazione, identificati o identificabili anche indirettamente, compresi i numeri di identificazione personale), "identificativi" (sono i dati personali che consentono l’identificazione diretta dell’interessato, "sensibili" (quelli idonei a rivelare l’origine etnica e razziale, le convinzioni religiose, politiche, filosofiche, l’appartenenza a partiti e sindacati, nonché quelli idonei a rivelare lo stato di salute e la vita sessuale), e infine "giudiziari" (i dati personali in materia di casellario giudiziale, di anagrafe delle sanzioni dipendenti da reato e in genere le questioni attinenti alla giustizia civile e penale);

Garante: è l’autorità istituita per il controllo e la tutela della privacy, ed opera in piena autonomia e con indipendenza di giudizio e di valutazione.

il titolare del trattamento, che è sempre indispensabile, è il soggetto su cui gravano tutti i principali obblighi previsti dalla normativa, tra cui gli obblighi relativi alla notificazione, se necessaria, al rilascio dell’informativa, alla richiesta del consenso, alla richiesta di autorizzazione preventiva al Garante per i dati sensibili, all’adozione delle misure di sicurezza. Solitamente si identifica nel titolare dell’azienda;

il responsabile del trattamento, ovvero il soggetto preposto dal titolare al trattamento dei dati personali. Può o meno esistere nell’ambito dell’azienda, e più grande è la dimensione della stessa, maggiore sarà la necessità di nominare uno o più responsabili. Il responsabile, se esiste, deve procedere al trattamento dei dati personali attenendosi alle istruzioni impartite per iscritto dal titolare. La nomina, sebbene sia facoltativa, risulta in realtà opportuna, se non necessaria, sotto il profilo organizzativo, costituendo tra l’altro presupposto per la corretta applicazione delle misure minime di sicurezza, come meglio evidenziato in seguito;

gli incaricati del trattamento, che sono i soggetti che elaborano i dati personali cui hanno accesso, attenendosi alle istruzioni del titolare o del responsabile, sotto la loro diretta autorità.

Informativa

L’informativa costituisce un elemento imprescindibile della tutela della privacy, nel senso che è sempre dovuta. Essa può anche essere fornita verbalmente, ma ciò comporta evidenti svantaggi al momento di dover eventualmente provare il corretto comportamento del titolare. Costui, tramite l’informativa, fornirà all’interessato le finalità e le modalità del trattamento, il fatto che il conferimento dei dati sia obbligatorio o facoltativo, le conseguenze del mancato conferimento, i soggetti cui i dati potranno essere comunicati o che possono venire a conoscenza in qualità di responsabili o incaricati, i diritti riconosciuti all’interessato, l’identificazione del titolare e, se nominato, del responsabile del trattamento.

Si sottolinea che l’informativa è sempre dovuta, anche quando non è necessario il consenso espresso dell’interessato. Ciò avviene quando, per esempio, il titolare:

tratta dati non sensibili per adempiere ad obblighi contrattuali;

tratta dati non sensibili su specifiche richieste del cliente;

tratta dati provenienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque.

Consenso

Nel caso invece di trattamento di dati sensibili, il titolare deve sempre ottenere il consenso preventivo dell’interessato, oltre che l’autorizzazione del Garante, salvo particolari casi di esclusione disciplinati dalla norma.

Autorizzazioni del Garante

Al fine di agevolare gli adempimenti dei soggetti obbligati, il Garante nel passato ha fornito delle autorizzazioni di carattere generale, tra cui una specifica per i professionisti (la n. 4), secondo lo schema che segue:

1 – Datori di lavoro

2 - Operatori che trattano dati sulla salute

3 - Organismi di tipo associativo e fondazioni

4 – Liberi professionisti

5 - Banche, assicurazioni, chi svolge attività di ricerche personale, sondaggi, elaborazione dati

6 – Investigatori privati

7 - Soggetti che trattano dati di carattere giudiziario

Notificazione

La notificazione consiste in un modello, contenente tutta una serie di dati, tra cui quelli relativi ai trattamenti effettuati, alle modalità e alle finalità del trattamento, alle misure di sicurezza adottate, da inviare telematicamente al Garante prima dell’inizio del trattamento, ed una sola volta a prescindere dal numero delle operazioni e della durata del trattamento. Per i trattamenti già iniziati alla data di entrata in vigore del Codice, la scadenza è stata fissata al prossimo 30 aprile.

Contrariamente a quanto avveniva in passato, il titolare deve ora procedere ad inviare la notificazione solo nei casi previsti dalla norma (art. 37), vale a dire quando il trattamento riguarda, principalmente, dati relativi alla salute, alla sfera sessuale o psichica, dati volti a definire il profilo o la personalità, dati a fini della selezione del personale per conto terzi, dati relativi a sondaggi di opinione e ricerche di mercato, dati relativi alla solvibilità economica o alla situazione patrimoniale degli interessati. In sostanza, ora sono ben più rari i casi in cui è necessario provvedere a tale adempimento.

Misure minime di sicurezza

Il nuovo Codice riscrive (artt. 33-36 e Allegato B) integralmente le disposizioni in tema di sicurezza, in sostituzione di quanto in precedenza previsto dal Dpr 318/99.

Le misure minime di sicurezza, si ricorda, riguardano tanto i trattamenti effettuati con mezzi elettronici tanto quelli non elettronici.

La logica di fondo della norma, per quanto attiene alla sicurezza, è quella secondo cui i dati personali devono essere custoditi e controllati in modo da ridurre ad un ragionevole margine il rischio di sottrazione o perdita degli stessi, nonché di accessi non autorizzati da parte di terzi, evitando inoltre il trattamento di dati non consentito e non conforme.

Per fare ciò, quando il trattamento è effettuato con mezzi elettronici, è richiesto un sistema di autenticazione informatica: in pratica ciascun incaricato deve essere dotato di "credenziali di autenticazione" che consentano il superamento di una procedura di autenticazione attraverso l’identificazione dell’incaricato medesimo. Le credenziali possono consistere in strumenti quali smart card o dispositivi biometrici, ma molto più comunemente consisteranno in codici identificativi associati a password, aventi le caratteristiche illustrate nel riquadro che segue.

Altre misure di sicurezza riguardano:

la necessità di impartire adeguate istruzioni sull’utilizzo degli strumenti informatici, a cura del titolare o del responsabile, che hanno anche l’obbligo di controllare e gestire le credenziali di autenticazione;

l’adozione di strumenti anti-virus, da aggiornare almeno semestralmente;

l’effettuazione degli aggiornamenti dei programmi, per prevenire la vulnerabilità degli strumenti elettronici e correggerne i difetti, da effettuarsi almeno annualmente (semestralmente per i trattamenti di dati sensibili);

la necessità di effettuare il salvataggio dei dati almeno settimanalmente, impartendo le relative istruzioni organizzative e tecniche;

l’obbligo di redigere il "documento programmatico sulla sicurezza" annualmente (entro il 31 marzo di ogni anno) se si trattano dati sensibili o giudiziari, secondo lo standard illustrato nell’allegato B del Codice.

L’adeguamento alle nuove misure minime di sicurezza, è opportuno sottolinearlo, deve avvenire entro il prossimo 30 giugno 2004.

Gestione delle password

Composizione: la password deve essere composta da almeno otto caratteri, non contenenti riferimenti agevolmente riconducibili all’incaricato (per esempio il suo nome, cognome, ecc.)

Modifica: Al primo utilizzo l’incaricato deve modificare la password, e successivamente almeno ogni sei mesi. Se il trattamento riguarda dati sensibili la password deve essere modificata almeno ogni tre mesi.

Custodia e riservatezza: L’incaricato deve adottare le necessarie cautele per assicurare la segretezza della password, e la diligente custodia della stessa (come degli eventuali dispositivi) in suo possesso e a suo uso esclusivo.

Sanzioni amministrative

Informativa all’interessato omessa o non idonea

Da 3.000 a 18.000 Euro (ovvero da 5.000 a 30.000 Euro nei casi di dati sensibili o giudiziari o che presentano rischi specifici), aumentabile sino al triplo quando risulta inefficace in ragione delle condizioni economiche del contravventore.

Notificazione omessa o incompleta

Da 10.000 a 60.000 Euro, oltre alla sanzione accessoria della pubblicazione dell’ordinanza-ingiunzione su uno o più giornali.

Omessa informazione o esibizione al Garante

Da 4.000 a 24.000 Euro.

Sanzioni penali

Trattamento illecito di dati

Se dal fatto deriva documento, reclusione da sei a diciotto mesi; se il fatto consiste nella comunicazione o diffusione, reclusione da sei a ventiquattro mesi.

Se l’illecito è commesso al fine di trarne un profitto o recare un danno, se dal fatto deriva nocumento, reclusione da uno a tre anni.

False dichiarazioni o comunicazioni al Garante

Reclusione da sei mesi a tre anni.

Omessa adozione delle misure minime di sicurezza

Reclusione sino a due anni o ammenda da 10.000 a 20.000 Euro.

Inosservanza dei provvedimenti del Garante

Reclusione da tre mesi a due anni.

Scadenziario prossimi adempimenti

Entro tale data, in caso di trattamenti dati sensibili o di dati giudiziari, il titolare deve adottare il documento programmatico per la sicurezza; la norma dispone il 31 marzo di ogni anno quale termine per redigere tale documento.

Nei soli casi previsti dalla normativa (art. 37) entro tale data è necessario inviare le Notificazioni al Garante relativamente ai trattamenti già iniziati; si ricorda che per i nuovi trattamenti la Notificazione va effettuata prima dell’inizio del trattamento.

Nei soli casi previsti dall’art. 39 (dati idonei a rivelare lo stato di salute nell’ambito della ricerca scientifica; comunicazione di dati tra soggetti pubblici al di fuori dei casi previsti dalla legge), e per i trattamenti già iniziati, il titolare deve dare apposita comunicazione al Garante entra tale data (per trattamenti nuovi la comunicazione deve essere fatta preventivamente).

Entro tale termine devono essere adottate le nuove misure minime di sicurezza. Chi utilizza strumenti elettronici che, per obiettive ragioni tecniche, non consentono l’immediata applicazione delle misure minime, ha a disposizione un termine più ampio (un anno dall’entrata in vigore del Codice) per l’adeguamento, previa redazione di un documento con data certa da conservare presso la propria struttura.