LA NUOVA PRIVACY
1. PRINCIPI GENERALI.
Il nuovo “Codice della Privacy” (.pdf 2,84 MB) (così viene anche definito il Decreto Legislativo del 30 Giugno 2003, n. 196) è un testo unico che si occupa dei dati personali dei soggetti, persone fisiche o giuridiche. Esso è andato a sostituire la vecchia L. n. 675/1996, che, quindi, è andata in soffitta, perché abrogata, dal 1° Gennaio 2004 (v. art. 183 del Codice) e rappresenta il primo caso al mondo di razionale codificazione delle numerose disposizioni relative alla privacy ed alla tutela dei dati personali. Il suo testo si compone di 186 articoli più due allegati "A" e "B", che contengono, rispettivamente, i Codici Deontologici sulla tutela dei dati personali in particolari settori (il cui rispetto l'art. 12 del Codice definisce "condizione essenziale per la liceità e correttezza del trattamento dei dati personali" ed i quali contengono disposizioni esterne ed aggiuntive al Codice, specifiche e settoriali, che sono frutto di concertazione fra il legislatore, l'Autorità Garante e le categorie interessate e si occupano della privacy nelle seguenti aree: attività giornalistica; attività di ricerca storica; indagine statistica; ricerca scientifica; sistemi informativi creditizi) ed il Disciplinare Tecnico in materia di misure minime di sicurezza nel trattamento dei dati personali. Il Codice disciplina il trattamento di dati personali, anche detenuti all'estero, effettuato da chiunque è stabilito nel territorio dello Stato o in un luogo comunque soggetto alla sovranità dello Stato. L'art. 6 del recente D.L. n. 70/11, convertito con L. n. 106/11, ha chiarito che sono escluse dall'applicazione del Codice persone giuridiche, imprese, enti ed associazioni, se si fa riferimento trattamenti dati personali riconducibili a rapporti intercorrenti per finalità amministrativo-contabili (per il significato v. il nuovo art. 34, comma 1-ter, del Codice). E’ un “testo unico”, quindi, perché rappresenta una summa di tutti i testi normativi che in ambito nazionale e comunitario si occupano della privacy. In particolare, esso incorpora e dà attuazione a ben tre direttive comunitarie (24.10.1995, n. 95/46/CE – 15.12.1997, n. 97/66/CE – 12.07.2002, n. 2002/58/CE) e ad altri sedici testi normativi nazionali di varia natura (leggi, decreti legislativi e d.p.r.). Si occupa dei “dati personali”, perché disciplina qualsiasi attività inerente le informazioni di qualunque tipo concernenti persone fisiche, persone giuridiche, enti od associazioni. In particolare e salvo casi particolari, disciplina il trattamento di dati personali effettuato da chi è stabilito nel territorio dello Stato o è comunque soggetto alla sovranità dello Stato. Il fine perseguito dal codice della privacy è quello di garantire ai soggetti di cui sopra il diritto ad un trattamento dei loro dati personali secondo criteri di riservatezza, di protezione e di rispetto della loro identità personale. In altri termini, il nuovo T.U. è stato concepito ed emanato allo scopo di disciplinare e regolamentare qualunque operazione venga compiuta con i dati personali di un soggetto, affinché lo stesso non ne venga danneggiato e la sua dignità lesa. Per questo motivo il codice introduce un principio fondamentale che rappresenta un criterio-guida per chiunque opera e/o gestisce i dati personali di un soggetto. Trattasi del principio di necessità nel trattamento dei dati personali di un soggetto. In base ad esso quando si può realizzare il proprio scopo e la propria attività attraverso dati anonimi ovvero con opportune modalità che permettano di identificare un soggetto interessato solo in caso di necessità, è bene ridurre al minimo l’utilizzazione di dati personali e di dati identificativi ovvero, addirittura, escluderne il trattamento. In pratica, ciò equivale a dire che i sistemi informativi ed i programmi informatici devono essere predisposti in modo da ridurre al minimo l'utilizzazione di dati personali o identificativi delle persone e comporta conseguenze di tipo organizzativo per il titolare del trattamento e commerciali per chi realizza programmi informatici di gestione di dati personali.
2. IL TRATTAMENTO DEI DATI PERSONALI.
3. SOGGETTI CHE EFFETTUANO IL TRATTAMENTO.
3bis. L'AMMINISTRATORE DI SISTEMA.
LA SUA RIESUMAZIONE.
Questo soggetto era stato definito e previsto in precedenza dal D.P.R. 318/1999 (oggi non più in vigore), che all’articolo 1 lo definiva come il “soggetto al quale è conferito il compito di sovrintendere alle risorse del sistema operativo di un elaboratore o di un sistema di banca dati e di consentirne l’utilizzazione.” Il nuovo Codice della privacy non ha, invece, incluso questa figura tra le proprie definizioni normative, le quali fanno esclusivo riferimento: 1) al titolare; 2) al responsabile; 3) agli incaricati. Tuttavia, il Garante per la privacy, nel suo provvedimento 27 Novembre 2008, ha ritenuto che detta figura - perlomeno sostanzialmente - ancora esista, rilevando che: “gran parte dei compiti previsti nell'Allegato B spettano tipicamente all'amministratore di sistema: dalla realizzazione di copie di sicurezza (operazioni di backup e recovery dei dati), alla custodia delle credenziali, alla gestione dei sistemi di autenticazione e di autorizzazione.” Per cui, nel comunicato stampa del 14 Gennaio 2009 egli ne ha data una nuova definizione:”Gli "amministratori di sistema" sono figure essenziali per la sicurezza delle banche dati e la corretta gestione delle reti telematiche. Sono esperti chiamati a svolgere delicate funzioni che comportano la concreta capacità di accedere a tutti i dati che transitano sulle reti aziendali ed istituzionali. Ad essi viene affidato spesso anche il compito di vigilare sul corretto utilizzo dei sistemi informatici di un'azienda o di una pubblica amministrazione.”
DESIGNAZIONE.
OBBLIGHI DEL TITOLARE.
COMPITI DELL'A.S.
CONSIDERAZIONI.
3ter. RIPARTIZIONE DELLE RESPONSABILITA' TRA TITOLARE E RESPONSABILE.
Se il responsabile del trattamento viola il Codice della privacy e le istruzioni del titolare, chi sarà responsabile verso l'interessato? La risposta dipende, in primo luogo, dal tipo di violazione commessa. Se la violazione è di tipo penale, per il principio in base al quale la responsabilità penale è sempre personale sarà perseguibile il solo responsabile (ovviamente laddove siano esclusi comportamenti del titolare che integrino fattispecie di correità). Se la violazione sarà di tipo civilistico (es. danno contrattuale o extracontrattuale arrecato a terzi nel trattamento dei loro dati personali), occorre distinguere diverse ipotesi. Laddove il titolare del trattamento abbia impartito al responsabile precise istruzioni sui trattamenti, che siano conformi alla legge, abbia periodicamente vigilato sul rispetto di dette istruzioni e della legge da parte sua ed abbia scelto come responsabile un soggetto adeguato, capace, competente ed affidabile, allora potrà evitare una sua responsabilità o corresponsabilità civile verso terzi. Qualora, invece, non abbia ottemperato ad una sola di queste regole, perché non ha scelto un soggetto idoneo ed affidabile (c.d. "culpa in eligendo") ovvero perché ha omesso di vigilare sul rispetto da parte del titolare delle istruzioni impartitegli o della legge (c.d. "culpa in vigilando"), allora potrà aversi in capo al titolare una connessa e distinta responsabilità verso terzi unitamente a quella del responsabile. Lo stesso riteniamo si possa dire in merito alla ripartizione delle responsabilità tra gli incaricati di uno o più trattamenti e chi li ha scelti e deve vigilare su di essi (titolare o responsabile che sia). Ciò comporta anche che le uniche responsabilità (invero, assai marginali e residuali) che permangono in capo agli incaricati sono quelle derivanti dalla violazione delle disposizioni ed istruzioni fornite loro nell’ambito del documento di incarico. Essi in tali casi risponderanno, quindi, esclusivamente a titolo di inadempimento, nella misura in cui il loro operato non sia stato conforme a quanto richiesto dal titolare. In tema si veda, comunque, anche il presente specchietto.
4. REGOLE GENERALI PER IL TRATTAMENTO DEI DATI.
Chiunque (soggetto pubblico o privato che sia ovvero soggetto individuale o collettivo) opera con i dati personali di un individuo deve attenersi a dei principi fondamentali. Essi sono: a) il già citato principio di necessità nel trattamento dei dati personali (v. paragrafo 1); b) il principio della liceità e correttezza nel trattamento; c) il principio della chiarezza, predeterminazione, legittimità e trasparenza delle finalità perseguite nel trattamento; d) il principio della chiarezza, legittimità, liceità, trasparenza, correlazione e compatibilità delle finalità perseguite nei trattamenti connessi necessari e non previsti e/o non informati; e) il principio della rispondenza dei dati trattati all'identità o al profilo dell'interessato; f) il principio dell'aggiornamento dei dati, ove necessario; g) il principio di causalità tra i dati raccolti e le finalità del trattamento perseguite; h) il principio della completezza dei dati trattati; i) il principio di proporzionalità o di "stretta necessità e sufficienza" nella raccolta dei dati e nel rispetto delle finalità per le quali sono raccolti o successivamente trattati; l) il principio di rispetto del diritto all'oblio dell'interessato; m) il principio della valenza normativa dei codici deontologici; n) il principio del rispetto delle Autorizzazioni Generali al trattamento dei dati sensibili e giudiziari; o) il principio del divieto di impiegare processi o sistemi di trattamento dei dati completamente automatizzati, che determinino una definizione o una valutazione del profilo o della personalità dell'interessato, al fine di giungere all'emissione di un atto o provvedimento giudiziario o amministrativo; p) il principio della cessione dei dati personali alla fine del trattamento solo per trattamenti per fini compatibili ovvero per scopi storici, statistici o scientifici; q) il principio della verifica preliminare al trattamento e dell'interpello dell'interessato in caso di trattamento di dati non sensibili o giudiziari che, comunque, presenti rischi per la dignità, i diritti e le libertà fondamentali dell'interessato. Questi principi sono stabiliti: a) in generale, nel codice della privacy (v. gli artt. 11 e 14); b) in particolare, in codici deontologici settoriali (ne fa menzione l’art. 12 del codice: si tratta di codici sottoscritti nell’ambito delle categorie interessate, che vengono pubblicati sulla Gazzetta Ufficiale a cura del Garante e, una volta adottati con decreto del Ministro della Giustizia, sono riportati nell’apposito allegato A del Codice della privacy - sinora sono cinque i codici deontologici sottoscritti: provvedimento del 29.07.1998 codice deontologico attività giornalistica; provvedimento del 14.03.2001 codice deontologico per scopi storici; provvedimento del 31.07.2002 codice deontologico per scopi statistici e di ricerca scientifica nell’ambito del sistema statistico nazionale; provvedimento del 16.06.2004 relativo ai trattamenti di dati personali per scopi statistici e scientifici nel settore privato; provvedimento del 23.12.2004, relativo al trattamento di dati personali svolti nell'ambito di sistemi formativi di cui sono titolari soggetti privati, utilizzati a fini di concessione di crediti al consumo o comunque riguardanti l'affidabilità e la puntualità nei pagamenti); c) ovvero - ma solo in caso di trattamento che presenta rischi specifici per i diritti, le libertà fondamentali e la dignità dell’interessato - direttamente dal Garante, eventualmente anche a seguito di interpello del titolare. In particolare, i principi generali sanciti dal Codice (ripresi dallo stesso in attuazione della direttiva 95/46/CE, punto n. 28 della stessa) da seguire nel trattamento dei dati personali (pena la inutilizzabilità dei dati stessi) sono: - liceità e correttezza nel trattamento; - specificità delle finalità del trattamento; - conformità fra trattamento e scopi; - esattezza; - aggiornamento; - conservazione limitata con riferimento agli scopi; - informativa; - risarcibilità degli illeciti nel trattamento. Quest’ultimo punto vuol dire che se il trattamento si rivela illecito e ne è derivato danno all’interessato, l’autore del danno è tenuto al risarcimento ai sensi dell’art. 2050 c.c. e può essere risarcito il danno morale. In caso di cessazione, per qualsiasi causa, di un trattamento, i dati sono: a) distrutti; b) ceduti ad altro titolare (purché l’ulteriore trattamento risulti compatibile con gli scopi per i quali i dati erano stati raccolti); c) conservati per fini esclusivamente personali; d) ceduti ad altro titolare per scopi scientifici, statistici o storici.
5. IL CONSENSO DELL’INTERESSATO.
6. DIRITTI DELL’INTERESSATO - IN PARTICOLARE, L'INFORMATIVA.
7. LA NOTIFICAZIONE AL GARANTE DEL TRATTAMENTO DI DATI.
8. LA COMUNICAZIONE AL GARANTE.
9. SICUREZZA DEI DATI E DEI SISTEMI.
10. MISURE MINIME PER I TRATTAMENTI CON STRUMENTI ELETTRONICI.
B) SISTEMA DI AUTORIZZAZIONI.
C) VERIFICHE ANNUALI.
D) PROTEZIONE DEI DATI E DEGLI STRUMENTI ELETTRONICI.
E) CUSTODIA E RIPRISTINO DEI DATI E DEI SISTEMI.
F) DOCUMENTO PROGRAMMATICO SULLA SICUREZZA.
G) TECNICHE DI CIFRATURA E CODICI IDENTIFICATIVI.
11. (SEGUE) IL DOCUMENTO PROGRAMMATICO SULLA SICUREZZA.
In particolare, si tratta di fare riferimento: 1) a soggetti che trattano soltanto dati personali non sensibili (nome, cognome, indirizzo, codice fiscale, numero di telefono); 2) a soggetti che trattano come unici dati sensibili quelli costituiti dallo stato di salute o malattia dei propri dipendenti e collaboratori, anche a progetto, senza indicazione della relativa diagnosi; 3) a soggetti che trattano come unici dati sensibili quelli costituiti dall'adesione a organizzazioni sindacali o a carattere sindacale dei propri dipendenti e collaboratori, anche a progetto. Per questa categoria di titolari la tenuta di un aggiornato documento programmatico sulla sicurezza (D.P.S.) è sostituita dall'obbligo di autocertificazione, ai sensi dell'articolo 47 D.P.R. 28 dicembre 2000, n. 445 (dichiarazioni sostitutive dell'atto di notorietà), di trattare tali dati in osservanza delle misure di sicurezza prescritte. Dunque, si tratta di una novità notevole, che esonera questi soggetti a redigere il D.P.S. Peraltro, il Garante per la Privacy, con provvedimento del 27/11/2008, in attuazione all'art. 29 sopra richiamato, ha pure stabilito che i soggetti pubblici e privati che trattano: a) dati personali non sensibili; b) dati sensibili costituiti esclusivamente dallo stato di salute o malattia dei propri dipendenti e collaboratori, anche a progetto, senza indicazione della relativa diagnosi; c) dati sensibili costituiti esclusivamente dall'adesione a organizzazioni sindacali o a carattere sindacale dei propri dipendenti e collaboratori, anche a progetto ; d) dati personali unicamente per correnti finalità amministrative e contabili, in particolare liberi professionisti, artigiani e piccole e medie imprese, possono (non debbono) redigere un D.P.S. semplificato. Esso deve avere i seguenti contenuti: 1 - le coordinate identificative del titolare del trattamento, nonché, se designati, gli eventuali responsabili e, nel caso in cui l'organizzazione preveda una frequente modifica dei responsabili designati, potranno essere indicate le modalità attraverso le quali è possibile individuare l'elenco aggiornato dei responsabili del trattamento; 2 - una descrizione generale del trattamento o dei trattamenti realizzati, che permetta di valutare l'adeguatezza delle misure adottate per garantire la sicurezza del trattamento(n.b. in tale descrizione vanno precisate le finalità del trattamento, le categorie di persone interessate e dei dati o delle categorie di dati relativi alle medesime, nonché i destinatari o le categorie di destinatari a cui i dati possono essere comunicati); 3 - l'elenco, anche per categorie, degli incaricati del trattamento e delle relative responsabilità e, nel caso in cui l'organizzazione preveda una frequente modifica dei responsabili designati, potranno essere indicate le modalità attraverso le quali è possibile individuare l'elenco aggiornato dei responsabili del trattamento con le relative responsabilità; 4 - una descrizione delle altre misure di sicurezza adottate per prevenire i rischi di distruzione o perdita, anche accidentale, dei dati, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta. Infine, l'art. 6 del recente D.L. n. 70/11, convertito con L. n. 106/11, ha stabilito che: • per i soggetti che trattano con strumenti elettronici soltanto dati personali non sensibili e come unici dati sensibili e giudiziari quelli relativi ai propri dipendenti e collaboratori, anche se extracomunitari, compresi quelli relativi al coniuge ed ai parenti, la tenuta di un aggiornato documento programmatico sulla sicurezza è sostituita dall'obbligo di una autocertificazione di trattare soltanto tali dati in osservanza delle misure minime di sicurezza previste dal Codice della Privacy e dal Disciplinare Tecnico (Allegato B).
11ter. (SEGUE) SEMPLIFICAZIONI CIRCA LE MISURE MINIME DI SICUREZZA SUI PC.
12. (SEGUE) ULTERIORI MISURE MINIME IN CASO DI TRATTAMENTO CON STRUMENTI ELETTRONICI DI DATI SENSIBILI O GIUDIZIARI.
13. (SEGUE) MISURE DI TUTELA E GARANZIA.
14. LE MISURE MINIME PER I TRATTAMENTI CARTACEI.
14bis. (SEGUE) SEMPLIFICAZIONI CIRCA I TRATTAMENTI CARTACEI.
15. DEFINIZIONE DI PROFILI E PERSONALITA’ DELL’INTERESSATO.
16. TRATTAMENTO DEI DATI DA PARTE DI SOGGETTI PUBBLICI.
17. LE AUTORIZZAZIONI DEL GARANTE.
18. TRASFERIMENTI DI DATI ALL’ESTERO.
Il D.Lgs.vo n. 196/2003 dedica una parte apposita (Titolo VII) alla disciplina del trasferimento di dati all’estero. Questo aspetto è, poi, regolato anche da alcune specifiche deliberazioni del garante, adottate sulla base delle direttive comunitarie in materia di trasferimento di dati personali all’estero. Il principio fondamentale in materia di trasferimento di dati personali all’estero è quello dell’individuazione del luogo di destinazione delle informazioni trattate. Ogni trasferimento che sia diretto verso paesi appartenenti all’U.E. è consentito senza limitazione alcuna. Questo perché lo spazio comune europeo è disciplinato da una normativa uniforme in materia di tutela dei dati personali (Direttiva n. 95/46/Ce). Diversamente, per i dati destinati a paesi extraeuropei, si presume che il relativo ordinamento non presenti le stesse garanzie assicurate dallo Stato di provenienza delle informazioni. Pertanto, per una maggiore tutela dei diritti dell’interessato, vige il divieto del trasferimento dei dati, a meno che ricorra una delle condizioni previste dal D.Lgs.vo n. 196/2003, ovvero che l’ordinamento giuridico del Pese destinatario assicuri un adeguato livello di protezione dei dati personali. Per quanto riguarda il trasferimento di dati personali all’interno dei Paesi dell’U.E., il comma 2° dell’art. 1 della direttiva n. 95/46/Ce esprime il principio della libera circolazione dei dati personali fra i Paesi U.E., ovviamente sulla base delle tutele e delle garanzie apprestate dalla medesima direttiva. Per il trasferimento di dati verso Paesi extracomunitari, nei quali le garanzie poste tutela della privacy potrebbero non essere adeguate, altre sono le regole. L’art. 45 del codice, infatti, vieta il trasferimento di dati verso Paesi non appartenenti all’U.E. nei casi in cui l’ordinamento dello Stato di destinazione “non assicura un livello di tutela delle persone adeguato”. Il trasferimento di dati personali oggetto di trattamento fuori dal territorio italiano verso Paesi extra U.E., anche se temporaneo, comunque, è consentito quando: a) l'interessato ha manifestato il proprio consenso espresso o, se si tratta di dati sensibili, in forma scritta; b) è necessario per l'esecuzione di obblighi derivanti da un contratto del quale è parte l'interessato o per adempiere, prima della conclusione del contratto, a specifiche richieste dell'interessato, ovvero per la conclusione o per l'esecuzione di un contratto stipulato a favore dell'interessato; c) è necessario per la salvaguardia della vita o dell’incolumità fisica di un terzo; d) è necessario ai fini dello svolgimento delle investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397, o, comunque, per far valere o difendere un diritto in sede giudiziaria, sempre che i dati siano trasferiti esclusivamente per tali finalità e per il periodo strettamente necessario al loro perseguimento, nel rispetto della vigente normativa in materia di segreto aziendale e industriale; f) è effettuato in accoglimento di una richiesta di accesso ai documenti amministrativi, ovvero di una richiesta di informazioni estraibili da un pubblico registro, elenco, atto o documento conoscibile da chiunque, con l'osservanza delle norme che regolano la materia; g) è necessario, in conformità ai rispettivi codici di deontologia per esclusivi scopi scientifici o statistici ovvero per esclusivi scopi storici presso archivi privati dichiarati di notevole interesse storico; h) il trattamento concerne dati riguardanti persone giuridiche, enti o associazioni. Altresì, il trasferimento è consentito - anche al di fuori delle ipotesi appena viste - quando sia stato appositamente autorizzato dal Garante. Detta autorizzazione, in particolare, può essere data solo se: a) sussistono le garanzie per l’interessato individuate con le apposite decisioni assunte dalla Commissione Europea, ex art. 25 della direttiva n. 95/46/Ce, con le quali detta Commissione constata che un Paese non appartenente all'Unione europea garantisce un livello di protezione adeguato, tenuto anche conto della legislazione nazionale o degli impegni internazionali assunti dallo Stato verso il quale i dati personali sono destinati; b) i trasferimenti vengono effettuati sulla base ed in conformità delle clausole contrattuali tipo approvate dalla Commissione Europea con le specifiche direttive 2001/297/Ce e 2002/16/Ce; c) sussistono le garanzie per l’interessato individuate dal Garante in relazione a garanzie prestate con un contratto. Fuori dei casi di cui sopra, il trasferimento anche temporaneo fuori del territorio dello Stato, con qualsiasi forma o mezzo, di dati personali oggetto di trattamento, diretto verso un Paese non appartenente all'Unione europea, è vietato, quando l'ordinamento del Paese di destinazione o di transito dei dati non assicura un livello di tutela delle persone adeguato. Si noti bene che l'art. 29 del D.L. n. 112/08 prevede semplificazioni in tema di trasferimento di dati personali verso Paesi non U.E. Adesso il Garante per la Privacy può autorizzare detto trasferimento dopo avere appurato l'esistenza delle necessarie garanzie, oltre che su base contrattuale, anche mediante regole di condotta esistenti nell'ambito di società appartenenti a un medesimo gruppo. Ora l'interessato può far valere i propri diritti nel territorio dello Stato, in base al presente Codice, anche in ordine all'inosservanza delle garanzie medesime.
SOMMARIO:
1. PRINCIPI GENERALI.
2. IL TRATTAMENTO DEI DATI PERSONALI.
3. SOGGETTI CHE EFFETTUANO IL TRATTAMENTO.
3bis. L'AMMINISTRATORE DI SISTEMA.
3ter. RIPARTIZIONE DELLE RESPONSABILITA' TRA TITOLARE E RESPONSABILE.
4. REGOLE GENERALI PER IL TRATTAMENTO DEI DATI.
5. IL CONSENSO DELL’INTERESSATO.
6. DIRITTI DELL’INTERESSATO . IN PARTICOLARE, L'INFORMATIVA.
7. LA NOTIFICAZIONE AL GARANTE DEL TRATTAMENTO DI DATI.
8. LA COMUNICAZIONE AL GARANTE.
9. SICUREZZA DEI DATI E DEI SISTEMI.
10. MISURE MINIME PER I TRATTAMENTI CON STRUMENTI ELETTRONICI.
11. (SEGUE) IL DOCUMENTO PROGRAMMATICO SULLA SICUREZZA.
11bis. (SEGUE) SEMPLIFICAZIONI CIRCA IL D.P.S.
11ter. (SEGUE) SEMPLIFICAZIONI CIRCA LE MISURE MINIME DI SICUREZZA SUI PC.
12. (SEGUE) ULTERIORI MISURE MINIME IN CASO DI TRATTAMENTO CON STRUMENTI ELETTRONICI DI DATI SENSIBILI O GIUDIZIARI.
13. (SEGUE) MISURE DI TUTELA E GARANZIA.
14. LE MISURE MINIME PER I TRATTAMENTI CARTACEI.
14bis. (SEGUE) SEMPLIFICAZIONI CIRCA I TRATTAMENTI CARTACEI.
15. DEFINIZIONE DI PROFILI E PERSONALITA’ DELL’INTERESSATO.
16. TRATTAMENTO DEI DATI DA PARTE DI SOGGETTI PUBBLICI.
17. LE AUTORIZZAZIONI DEL GARANTE.
18. TRASFERIMENTI DI DATI ALL’ESTERO.
1. PRINCIPI GENERALI.
Il nuovo “Codice della Privacy” (.pdf 2,84 MB) (così viene anche definito il Decreto Legislativo del 30 Giugno 2003, n. 196) è un testo unico che si occupa dei dati personali dei soggetti, persone fisiche o giuridiche. Esso è andato a sostituire la vecchia L. n. 675/1996, che, quindi, è andata in soffitta, perché abrogata, dal 1° Gennaio 2004 (v. art. 183 del Codice) e rappresenta il primo caso al mondo di razionale codificazione delle numerose disposizioni relative alla privacy ed alla tutela dei dati personali. Il suo testo si compone di 186 articoli più due allegati "A" e "B", che contengono, rispettivamente, i Codici Deontologici sulla tutela dei dati personali in particolari settori (il cui rispetto l'art. 12 del Codice definisce "condizione essenziale per la liceità e correttezza del trattamento dei dati personali" ed i quali contengono disposizioni esterne ed aggiuntive al Codice, specifiche e settoriali, che sono frutto di concertazione fra il legislatore, l'Autorità Garante e le categorie interessate e si occupano della privacy nelle seguenti aree: attività giornalistica; attività di ricerca storica; indagine statistica; ricerca scientifica; sistemi informativi creditizi) ed il Disciplinare Tecnico in materia di misure minime di sicurezza nel trattamento dei dati personali. Il Codice disciplina il trattamento di dati personali, anche detenuti all'estero, effettuato da chiunque è stabilito nel territorio dello Stato o in un luogo comunque soggetto alla sovranità dello Stato. L'art. 6 del recente D.L. n. 70/11, convertito con L. n. 106/11, ha chiarito che sono escluse dall'applicazione del Codice persone giuridiche, imprese, enti ed associazioni, se si fa riferimento trattamenti dati personali riconducibili a rapporti intercorrenti per finalità amministrativo-contabili (per il significato v. il nuovo art. 34, comma 1-ter, del Codice). E’ un “testo unico”, quindi, perché rappresenta una summa di tutti i testi normativi che in ambito nazionale e comunitario si occupano della privacy. In particolare, esso incorpora e dà attuazione a ben tre direttive comunitarie (24.10.1995, n. 95/46/CE – 15.12.1997, n. 97/66/CE – 12.07.2002, n. 2002/58/CE) e ad altri sedici testi normativi nazionali di varia natura (leggi, decreti legislativi e d.p.r.). Si occupa dei “dati personali”, perché disciplina qualsiasi attività inerente le informazioni di qualunque tipo concernenti persone fisiche, persone giuridiche, enti od associazioni. In particolare e salvo casi particolari, disciplina il trattamento di dati personali effettuato da chi è stabilito nel territorio dello Stato o è comunque soggetto alla sovranità dello Stato. Il fine perseguito dal codice della privacy è quello di garantire ai soggetti di cui sopra il diritto ad un trattamento dei loro dati personali secondo criteri di riservatezza, di protezione e di rispetto della loro identità personale. In altri termini, il nuovo T.U. è stato concepito ed emanato allo scopo di disciplinare e regolamentare qualunque operazione venga compiuta con i dati personali di un soggetto, affinché lo stesso non ne venga danneggiato e la sua dignità lesa. Per questo motivo il codice introduce un principio fondamentale che rappresenta un criterio-guida per chiunque opera e/o gestisce i dati personali di un soggetto. Trattasi del principio di necessità nel trattamento dei dati personali di un soggetto. In base ad esso quando si può realizzare il proprio scopo e la propria attività attraverso dati anonimi ovvero con opportune modalità che permettano di identificare un soggetto interessato solo in caso di necessità, è bene ridurre al minimo l’utilizzazione di dati personali e di dati identificativi ovvero, addirittura, escluderne il trattamento. In pratica, ciò equivale a dire che i sistemi informativi ed i programmi informatici devono essere predisposti in modo da ridurre al minimo l'utilizzazione di dati personali o identificativi delle persone e comporta conseguenze di tipo organizzativo per il titolare del trattamento e commerciali per chi realizza programmi informatici di gestione di dati personali.
2. IL TRATTAMENTO DEI DATI PERSONALI.
E’ “trattamento”, secondo l’art. 4 del Codice, qualunque operazione o complesso di operazioni, effettuati anche senza l'ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati.
Pertanto, come si intuisce, qualsiasi attività che abbia ad oggetto dati personali (addirittura la mera consultazione, innovazione introdotta dal Codice) è un "trattamento", il quale rende applicabili gli obblighi di legge. Non è necessario perché si abbia un "trattamento" regolato dal Codice che i dati personali siano organizzati in un archivio o in una banca dati. Se, però, vi è una banca dati ed essa è tenuta per fini esclusivamente personali (p. es. un'agendina telefonica) ed i dati ivi contenuti non sono diffusi e/o comunicati in modo sistematico, il trattamento non è regolato dal Codice della Privacy. In questo caso, il titolare del trattamento deve solo adottare le misure minime di sicurezza, soggiacendo ad eventuali responsabilità risarcitorie in caso di danni agli interessati. Significativo è, poi, il riferimento ai concetti di "comunicazione" e di "diffusione". Per "comunicazione" si intende il dare conoscenza dei dati personali ad uno o più soggetti determinati diversi dall'interessato, in qualunque forma, anche mediante la loro messa a disposizione o consultazione. Per "diffusione" si intende, invece, il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione (p. es. pubblicazione di dati personali su un sito web). E’ “interessato” al trattamento la persona fisica, la persona giuridica, l'ente o l'associazione cui si riferiscono i dati personali. Quanto al concetto di "dato personale", esso consiste in qualunque informazione relativa a persona fisica, ente od associazione: a) che la identifica immediatamente e direttamente (p. es. i dati anagrafici di un individuo); ovvero b) che, anche se non la identifica immediatamente e direttamente, la rende identificabile (p. es. il codice fiscale). In dottrina si è soliti distinguere tra dati personali: 1) Sensibili. Sono le informazioni che rivelano gli aspetti più intimi e delicati di una persona e, cioé: a) l'origine razziale ed etnica; b) le convinzioni religiose, filosofiche o di altro genere; c) le opinioni politiche; d) l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale; e) i dati personali idonei a rivelare lo stato di salute; f) i dati idonei a rivelare gusti o abitudini sessuali; 2) Giudiziari. Sono un'altra categoria di informazioni, i cui trattamenti necessitano di garanzie particolari. Tali dati, infatti, sono quelli idonei a rivelare il coinvolgimento di una persona in procedimenti esclusivamente di natura penale. Si vedano, in tal senso, gli artt. 60-61 c.p.p. ed i provvedimenti elencati all'art. 3, comma 1°, del D.P.R. n. 313 del 2002, in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e di carichi pendenti. 3) Quasi-sensibili. Categoria introdotta dall'art. 9 del D.Lgs.vo n. 467/01, la quale comprende quei dati - diversi dai sensibili e dai giudiziari - che, pur essendo formalmente personali e comuni, implicano, per la loro natura, rischi specifici per i diritti e per le libertà fondamentali, nonché per la dignità dell'interessato (p. es. i dati relativi alla situazione patrimoniale di un soggetto). Detti rischi derivano non solo dalla particolare natura dei dati, ma anche dalle modalità con cui viene effettuato il trattamento e dagli effetti che il trattamento può cagionare all'interessato. Per il trattamento di questi dati, oltre ai principi generali fissati dal Codice, si applicano misure ed accorgimenti ulteriori, ove prescritti (p. es. il codice deontologico sul funzionamento dei sistemi informativi creditizi). Si tenga ben presente - e lo specificheremo anche più avanti - che il trattamento di dati sensibili e giudiziari da parte di privati e di enti pubblici economici (nonché di soggetti pubblici, per i soli dati giudiziari) dovrà attenersi anche alle prescrizioni fissate nelle c.d. Autorizzazioni Generali al trattamento del Garante. Dette autorizzazioni sono: 1) autorizzazione n. 1 del 2005 al trattamento dei dati sensibili nei rapporti di lavoro; 2) autorizzazione n. 2 del 2005 al trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale; 3) autorizzazione n. 3 del 2005 al trattamento dei dati sensibili da parte degli organismi di tipo associativo e delle fondazioni; 4) autorizzazione n. 4 del 2005 al trattamento dei dati sensibili da parte dei liberi professionisti; 5) autorizzazione n. 5 del 2005 al trattamento dei dati sensibili da parte di diverse categorie di titolari; 6) autorizzazione n. 6 del 2005 al trattamento di dati sensibili da parte degli investigatori privati; 7) autorizzazione n. 7 del 2005 al trattamento dei dati giudiziari da parte di privati, di enti pubblici economici e di soggetti pubblici.3. SOGGETTI CHE EFFETTUANO IL TRATTAMENTO.
Il riferimento è a: a) titolare del trattamento; b) responsabile del trattamento; c) incaricati del trattamento.
Titolare del trattamento. E’ considerato tale la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono le decisioni e le responsabilità in ordine alle finalità, alle modalità del trattamento di dati personali ed agli strumenti utilizzati, ivi compreso il profilo della sicurezza. Il titolare del trattamento non è soggetto ad alcun atto di nomina. Ad esso spetta il compito di vigilare sulla corretta attuazione delle norme previste dal codice della privacy. Inoltre, gli altri adempimenti che lo riguardano sono: a) curare la notificazione al Garante, se obbligatoria ai sensi degli artt. 37 e 38 del Codice; b) procedere mediante atto scritto alla nomina del responsabile del trattamento (se il titolare intende procedere a tale nomina, che è facoltativa e non rappresenta un obbligo) e sovrintendere al suo operato; c) rendere le informative agli interessati in ordine alle finalità ed alle modalità del trattamento e raccogliere (ove necessario) il loro consenso al trattamento ed alle comunicazioni/diffusioni (se previste) dei dati personali che li riguardano; d) predisporre le misure di sicurezza tecniche, informatiche, organizzative, logistiche e procedurali di cui agli artt. 31-36 del Codice ed al Disciplinare Tecnico allegato "B" al Codice. Il titolare dovrà anche procedere al monitoraggio periodico di come le istruzioni sul trattamento vengano eseguite dal responsabile e dagli incaricati e sarà tenuto ad organizzare in favore di questi iniziative periodiche di aggiornamento, formazione ed informazione sugli obblighi e sulla normativa privacy ( a tal uopo, nel DPS dovrà documentare detti interventi formativi). Occorre precisare che quando il trattamento è effettuato da una persona giuridica, da una pubblica amministrazione o da un qualsiasi altro ente, associazione od organismo, titolare del trattamento è l’entità nel suo complesso o l’unità od organismo periferico che esercita un potere decisionale del tutto autonomo sulle finalità e modalità del trattamento, ivi compreso il profilo della sicurezza. Infine, si ricordi che quando il titolare del trattamento risiede all'estero, egli deve nominare un rappresentante che sia stabilito nel territorio dello Stato italiano. Responsabile del trattamento. E’ la persona fisica, la persona giuridica, la p.a. e qualsiasi altro ente, associazione od organismo concretamente preposti dal titolare al trattamento dei dati personali. Il responsabile è, dunque, designato dal titolare. Tuttavia, quest’ultimo non è tenuto a tale designazione, che, dunque, è solo facoltativa. La designazione, se avviene all'interno della struttura titolare del trattamento (p. es. nei confronti di un dipendente), può essere definita come un atto unilaterale recettizio e non necessita di un'accettazione da parte del designato. Se essa, invece, avviene all'esterno, può definirsi come una proposta contrattuale (mandato con rappresentanza) che, dunque, dovrà essere accettata dal destinatario, il quale avrà diritto ad una specifica retribuzione economica e dovrà redigere una apposita e periodica relazione sulle attività svolte per conto del titolare. Se il titolare nomina il responsabile, la nomina stessa, gli ambiti del trattamento a lui assegnati, le istruzioni ed i compiti affidati dal titolare al responsabile sono analiticamente specificati per iscritto. Il titolare può anche designare più responsabili, anche suddividendo i loro compiti. La scelta del responsabile deve avvenire tra soggetti che, per esperienza, capacità ed affidabilità, forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza. Il responsabile effettua il trattamento attenendosi alle istruzioni impartite dal titolare, il quale, anche tramite verifiche periodiche, vigila sulla puntuale osservanza da parte del responsabile delle disposizioni vigenti in materia di trattamento di dati personali e delle proprie disposizioni. Incaricati del trattamento. Sono le persone fisiche autorizzate dal titolare o dal responsabile a compiere le operazioni materiali di trattamento dei dati personali. Le operazioni di trattamento possono essere effettuate solo da incaricati che operano sotto la diretta autorità del titolare o del responsabile, attenendosi alle istruzioni impartite da questi. La designazione è effettuata per iscritto ed individua puntualmente l’ambito del trattamento consentito, le finalità di esso e le istruzioni per la corretta gestione dei dati trattati. Si considera tale anche la documentata preposizione della persona fisica ad una unità per la quale è individuato, per iscritto, l’ambito del trattamento consentito agli addetti all’unità medesima. Ciò significa che se, per esempio, in una azienda, per quel dato settore di essa (p. es. l'ufficio contabilità), esiste un documento (p. es. l'organigramma aziendale) che individua per iscritto l'ambito dei trattamenti dei dati personali consentiti in quello stesso ufficio (p. es. trattamenti finalizzati alla compilazione delle buste paga, alla corresponsione degli stipendi, ecc...), non sarà necessario procedere a singole nomine per gli incaricati del trattamento in quel settore.3bis. L'AMMINISTRATORE DI SISTEMA.
LA SUA RIESUMAZIONE.
Questo soggetto era stato definito e previsto in precedenza dal D.P.R. 318/1999 (oggi non più in vigore), che all’articolo 1 lo definiva come il “soggetto al quale è conferito il compito di sovrintendere alle risorse del sistema operativo di un elaboratore o di un sistema di banca dati e di consentirne l’utilizzazione.” Il nuovo Codice della privacy non ha, invece, incluso questa figura tra le proprie definizioni normative, le quali fanno esclusivo riferimento: 1) al titolare; 2) al responsabile; 3) agli incaricati. Tuttavia, il Garante per la privacy, nel suo provvedimento 27 Novembre 2008, ha ritenuto che detta figura - perlomeno sostanzialmente - ancora esista, rilevando che: “gran parte dei compiti previsti nell'Allegato B spettano tipicamente all'amministratore di sistema: dalla realizzazione di copie di sicurezza (operazioni di backup e recovery dei dati), alla custodia delle credenziali, alla gestione dei sistemi di autenticazione e di autorizzazione.” Per cui, nel comunicato stampa del 14 Gennaio 2009 egli ne ha data una nuova definizione:”Gli "amministratori di sistema" sono figure essenziali per la sicurezza delle banche dati e la corretta gestione delle reti telematiche. Sono esperti chiamati a svolgere delicate funzioni che comportano la concreta capacità di accedere a tutti i dati che transitano sulle reti aziendali ed istituzionali. Ad essi viene affidato spesso anche il compito di vigilare sul corretto utilizzo dei sistemi informatici di un'azienda o di una pubblica amministrazione.”
DESIGNAZIONE.
La designazione dell'amministratore di sistema pare obbligatoria.
Così almeno pare di capire dall'analisi del provvedimento del Garante. In esso, infatti, si legge: ”Per tutti i titolari dei trattamenti già iniziati o che avranno inizio entro trenta giorni dalla data di pubblicazione nella Gazzetta Ufficiale del presente provvedimento, le misure e gli accorgimenti di cui al punto 4 dovranno essere introdotti al più presto e comunque entro, e non oltre, il termine che è congruo stabilire, in centoventi giorni dalla medesima data. Per tutti gli altri trattamenti che avranno inizio dopo il predetto termine di trenta giorni dalla pubblicazione, gli accorgimenti e le misure dovranno essere introdotti anteriormente all'inizio del trattamento dei dati.” (punto 5). La designazione quale amministratore di sistema deve essere, in ogni caso, individuale e deve recare l'elencazione analitica degli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato. Possono essere designati amministratori di sistema tanto uno o più degli incaricati al trattamento quanto il responsabile di esso. Tuttavia, anche quando le funzioni di amministratore di sistema sono attribuite ad un incaricato o a più di essi, il titolare e il responsabile, nella sua nomina, devono attenersi comunque a criteri di valutazione equipollenti a quelli richiesti per la designazione dei responsabili ai sensi dell'art. 29 Codice della Privacy. In altri termini, l'amministratore di sistema “è individuato tra soggetti che per esperienza, capacità ed affidabilità forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza.” (art. 29, comma 2°, cit.). Ciò in quanto - afferma il Garante - vi è una “particolare criticità del ruolo degli amministratori di sistema” e, per questo, vi deve essere una “particolare cura nell'attribuzione delle funzioni tecniche propriamente corrispondenti o assimilabili”, “anche in considerazione delle responsabilità, specie di ordine penale e civile (artt. 15 e 169 del Codice), che possono derivare in caso di incauta o inidonea designazione.”OBBLIGHI DEL TITOLARE.
L'eventuale attribuzione delle funzioni di amministratore di sistema e gli estremi identificativi delle persone fisiche amministratori di sistema, con l'elenco delle funzioni ad essi attribuite, devono comunque essere sempre riportati in un apposito documento formale.
Inoltre, nel caso di servizi di amministrazione di sistema affidati in outsourcing (cioè esternalizzati), il titolare deve conservare, per ogni evenienza, gli estremi identificativi delle persone fisiche preposte quali amministratori di sistema. L'operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, di un'attività di verifica da parte dei titolari del trattamento, in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza rispetto ai trattamenti dei dati personali previste dalle norme vigenti. PUBBLICITA'.(torna su)Qualora l'attività degli amministratori di sistema riguardi sistemi elettronici che trattano informazioni di carattere personale di lavoratori, i datori di lavoro-titolari (pubblici e privati che siano) sono tenuti a rendere nota o conoscibile l'identità degli amministratori di sistema nell'ambito delle proprie organizzazioni, secondo le caratteristiche dell'azienda o del servizio, in relazione ai diversi servizi informatici cui questi sono preposti.
Ciò, soprattutto, avvalendosi dell'informativa resa agli interessati ai sensi dell'art. 13 del Codice nell'ambito del rapporto di lavoro che li lega al titolare.COMPITI DELL'A.S.
Gli aa.ss. - come detto - sono coloro che di fatto accedono in via esclusiva agli elaboratori elettronici del titolare del trattamento.
Per questo, a parte i compiti sopra descritti (v. paragrafo n. 1), gli a.s. si devono occupare della registrazione dei loro accessi logici (autenticazione informatica) ai sistemi di elaborazione ed agli archivi elettronici. Le registrazioni degli accessi (access log) devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità, adeguate al raggiungimento dello scopo di verifica per cui sono richieste. Devono, altresì, comprendere i riferimenti temporali e la descrizione dell'evento che le ha generate e devono essere conservate per un congruo periodo, non inferiore a sei mesi. Si tratta di un sistema di controllo assai pregnante e la conservazione degli access log deve avvenire in archivi immodificabili ed inalterabili. In altre parole, il titolare di un trattamento dati deve adottare sistemi idonei alla registrazione degli accessi ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema. Detti access log devono avere le caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo di verifica per cui sono richieste. Pertanto, le registrazioni devono avere i riferimenti temporali certi e la descrizione dell’evento che le ha generate e devono essere conservate per un congruo periodo (=non inferiore a sei mesi).CONSIDERAZIONI.
1 - In primo luogo, gli amministratori di sistema sono generalmente preposti ad operazioni da cui discendono grandi responsabilità ed elevate criticità rispetto alla protezione dei dati personali a cui hanno accesso. Infatti, per sua natura, l’amministratore di sistema è dotato di una capacità di azione propria e di un rapporto fiduciario che lo lega al titolare nello svolgimento delle relative mansioni (ruolo così importante per le aziende e per le grandi organizzazioni pubbliche e private, tanto da farlo nominare a volte anche quale responsabile del trattamento). Ma anche nelle piccole realtà tale figura riveste una certa importanza, perché dovrebbe essere preposto a compiti di vigilanza e controllo del corretto utilizzo del sistema informatico gestito e utilizzato;
2 - In secondo luogo, le attività di backup o disaster recovery, l’organizzazione dei flussi di rete, la gestione dei supporti di memorizzazione o la semplice manutenzione hardware comportano la possibilità per tali soggetti di agire sulle informazioni critiche aziendali, attività tutte che ricadono nella definizione di “trattamento di dati personali”, anche quando l’amministratore non consulti in chiaro tali informazioni; 3 - Le funzioni tipiche dell’amministrazione di un sistema sono specificatamente richiamate all’interno dell’allegato B del Codice della Privacy, laddove si prevede l’obbligo per i titolari di assicurare la custodia delle componenti riservate delle credenziali di autenticazione. Si è voluto, quindi, assicurare un maggiore controllo su chi di fatto si occupa dell’assolvimento degli adempimenti previsti nello stesso allegato B, ovvero adempimenti che in genere sono affidati all’amministratore di sistema: realizzazione di copie di sicurezza, custodia delle credenziali, gestione dei sistemi di autenticazione e di autorizzazione, ect. 4 -Infine, vi sono alcuni reati previsti dal codice penale per i quali il rivestire la funzione di amministratore di sistema costituisce una circostanza aggravante (abuso della qualità di operatore di sistema nell’accesso abusivo a sistema informatico o telematico - art. 615-ter c.p. - o di frode informatica - art. 640-ter c.p. -, oppure per le fattispecie di danneggiamento di informazioni, dati e programmi informatici - artt. 635-bis e ter c.p. - e di danneggiamento di sistemi informatici e telematici - artt. 635-quater e quinques).3ter. RIPARTIZIONE DELLE RESPONSABILITA' TRA TITOLARE E RESPONSABILE.
Se il responsabile del trattamento viola il Codice della privacy e le istruzioni del titolare, chi sarà responsabile verso l'interessato? La risposta dipende, in primo luogo, dal tipo di violazione commessa. Se la violazione è di tipo penale, per il principio in base al quale la responsabilità penale è sempre personale sarà perseguibile il solo responsabile (ovviamente laddove siano esclusi comportamenti del titolare che integrino fattispecie di correità). Se la violazione sarà di tipo civilistico (es. danno contrattuale o extracontrattuale arrecato a terzi nel trattamento dei loro dati personali), occorre distinguere diverse ipotesi. Laddove il titolare del trattamento abbia impartito al responsabile precise istruzioni sui trattamenti, che siano conformi alla legge, abbia periodicamente vigilato sul rispetto di dette istruzioni e della legge da parte sua ed abbia scelto come responsabile un soggetto adeguato, capace, competente ed affidabile, allora potrà evitare una sua responsabilità o corresponsabilità civile verso terzi. Qualora, invece, non abbia ottemperato ad una sola di queste regole, perché non ha scelto un soggetto idoneo ed affidabile (c.d. "culpa in eligendo") ovvero perché ha omesso di vigilare sul rispetto da parte del titolare delle istruzioni impartitegli o della legge (c.d. "culpa in vigilando"), allora potrà aversi in capo al titolare una connessa e distinta responsabilità verso terzi unitamente a quella del responsabile. Lo stesso riteniamo si possa dire in merito alla ripartizione delle responsabilità tra gli incaricati di uno o più trattamenti e chi li ha scelti e deve vigilare su di essi (titolare o responsabile che sia). Ciò comporta anche che le uniche responsabilità (invero, assai marginali e residuali) che permangono in capo agli incaricati sono quelle derivanti dalla violazione delle disposizioni ed istruzioni fornite loro nell’ambito del documento di incarico. Essi in tali casi risponderanno, quindi, esclusivamente a titolo di inadempimento, nella misura in cui il loro operato non sia stato conforme a quanto richiesto dal titolare. In tema si veda, comunque, anche il presente specchietto.
4. REGOLE GENERALI PER IL TRATTAMENTO DEI DATI.
Chiunque (soggetto pubblico o privato che sia ovvero soggetto individuale o collettivo) opera con i dati personali di un individuo deve attenersi a dei principi fondamentali. Essi sono: a) il già citato principio di necessità nel trattamento dei dati personali (v. paragrafo 1); b) il principio della liceità e correttezza nel trattamento; c) il principio della chiarezza, predeterminazione, legittimità e trasparenza delle finalità perseguite nel trattamento; d) il principio della chiarezza, legittimità, liceità, trasparenza, correlazione e compatibilità delle finalità perseguite nei trattamenti connessi necessari e non previsti e/o non informati; e) il principio della rispondenza dei dati trattati all'identità o al profilo dell'interessato; f) il principio dell'aggiornamento dei dati, ove necessario; g) il principio di causalità tra i dati raccolti e le finalità del trattamento perseguite; h) il principio della completezza dei dati trattati; i) il principio di proporzionalità o di "stretta necessità e sufficienza" nella raccolta dei dati e nel rispetto delle finalità per le quali sono raccolti o successivamente trattati; l) il principio di rispetto del diritto all'oblio dell'interessato; m) il principio della valenza normativa dei codici deontologici; n) il principio del rispetto delle Autorizzazioni Generali al trattamento dei dati sensibili e giudiziari; o) il principio del divieto di impiegare processi o sistemi di trattamento dei dati completamente automatizzati, che determinino una definizione o una valutazione del profilo o della personalità dell'interessato, al fine di giungere all'emissione di un atto o provvedimento giudiziario o amministrativo; p) il principio della cessione dei dati personali alla fine del trattamento solo per trattamenti per fini compatibili ovvero per scopi storici, statistici o scientifici; q) il principio della verifica preliminare al trattamento e dell'interpello dell'interessato in caso di trattamento di dati non sensibili o giudiziari che, comunque, presenti rischi per la dignità, i diritti e le libertà fondamentali dell'interessato. Questi principi sono stabiliti: a) in generale, nel codice della privacy (v. gli artt. 11 e 14); b) in particolare, in codici deontologici settoriali (ne fa menzione l’art. 12 del codice: si tratta di codici sottoscritti nell’ambito delle categorie interessate, che vengono pubblicati sulla Gazzetta Ufficiale a cura del Garante e, una volta adottati con decreto del Ministro della Giustizia, sono riportati nell’apposito allegato A del Codice della privacy - sinora sono cinque i codici deontologici sottoscritti: provvedimento del 29.07.1998 codice deontologico attività giornalistica; provvedimento del 14.03.2001 codice deontologico per scopi storici; provvedimento del 31.07.2002 codice deontologico per scopi statistici e di ricerca scientifica nell’ambito del sistema statistico nazionale; provvedimento del 16.06.2004 relativo ai trattamenti di dati personali per scopi statistici e scientifici nel settore privato; provvedimento del 23.12.2004, relativo al trattamento di dati personali svolti nell'ambito di sistemi formativi di cui sono titolari soggetti privati, utilizzati a fini di concessione di crediti al consumo o comunque riguardanti l'affidabilità e la puntualità nei pagamenti); c) ovvero - ma solo in caso di trattamento che presenta rischi specifici per i diritti, le libertà fondamentali e la dignità dell’interessato - direttamente dal Garante, eventualmente anche a seguito di interpello del titolare. In particolare, i principi generali sanciti dal Codice (ripresi dallo stesso in attuazione della direttiva 95/46/CE, punto n. 28 della stessa) da seguire nel trattamento dei dati personali (pena la inutilizzabilità dei dati stessi) sono: - liceità e correttezza nel trattamento; - specificità delle finalità del trattamento; - conformità fra trattamento e scopi; - esattezza; - aggiornamento; - conservazione limitata con riferimento agli scopi; - informativa; - risarcibilità degli illeciti nel trattamento. Quest’ultimo punto vuol dire che se il trattamento si rivela illecito e ne è derivato danno all’interessato, l’autore del danno è tenuto al risarcimento ai sensi dell’art. 2050 c.c. e può essere risarcito il danno morale. In caso di cessazione, per qualsiasi causa, di un trattamento, i dati sono: a) distrutti; b) ceduti ad altro titolare (purché l’ulteriore trattamento risulti compatibile con gli scopi per i quali i dati erano stati raccolti); c) conservati per fini esclusivamente personali; d) ceduti ad altro titolare per scopi scientifici, statistici o storici.
5. IL CONSENSO DELL’INTERESSATO.
In alcuni casi per poter procedere legittimamente al trattamento dei dati personali di un soggetto occorre munirsi del suo consenso.
Detto obbligo riguarda tutti i titolari di trattamento privati e gli enti pubblici economici. Non è, invece, richiesto per le pubbliche amministrazioni. L’art. 18 del Codice, infatti, prevede che, salvo quanto previsto per gli esercenti le professioni sanitarie, i soggetti pubblici non devono richiedere il consenso dell’interessato.Comunque, se le p.p.a.a. chiedono ugualmente il consenso all’interessato, poco importa, perché il “di più” non vizia.
Peraltro, l' art. 6 del recente D.L. n. 70/11, convertito con L. n. 106/11, ha pure aggiunto che: • il trattamento dei dati personali è consentito senza il consenso dell'interessato nel caso di dati contenuti in curricula spontaneamente trasmessi da un soggetto ai fini dell'eventuale instaurazione di un rapporto di lavoro; • i trattamenti di dati sensibili contenuti nei curricula spontaneamente trasmessi da un soggetto ai fini dell'eventuale instaurazione di un rapporto di lavoro possono essere oggetto di trattamento prescindendo dal consenso scritto dell'interessato e dall'autorizzazione del Garante; • il trattamento dei dati personali è consentito senza il consenso dell'interessato nel caso di trattamenti effettuati sulla base di rapporti di controllo e di collegamento tra società e nell'ambito delle altre forme di organizzazione congiunta dell'attività d'impresa. Il consenso deve essere libero e specifico e deve essere dato dall’interessato una volta che a questi sia stata fornita l’informativa (c.d. consenso informato). Con riferimento ai privati ed agli enti pubblici economici, occorre distinguere: A) il consenso al trattamento dei dati personali comuni e non sensibili, che può essere dato anche oralmente, alla condizione che sia documentato per iscritto; B) dal consenso al trattamento dei dati sensibili (cioè i dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale), il quale è concesso, di regola, per iscritto dall’interessato e la gestione dei dati deve avvenire nel rispetto di quanto disposto dalla legge, dal Codice, dai regolamenti, nonché dalle autorizzazioni Generali del Garante (per esse v. paragrafo 2, alla fine); C) ed il consenso al trattamento dei dati giudiziari (cioé quelli idonei a rivelare il coinvolgimento di una persona in procedimenti esclusivamente di natura penale), per il quale non è necessario il previo consenso al trattamento da parte dell'interessato, anche se il trattamento stesso deve essere comunque autorizzato da espressa disposizione di legge o da provvedimento del garante, i quali devono specificare: 1) le finalità di interesse pubblico del trattamento; 2) i tipi di dati trattabili; 3) i tipi di operazioni eseguibili. A) Per quanto riguarda la prima ipotesi (dati personali comuni e non sensibili), l’art. 24 del Codice e la Parte II di esso individuano tutta una serie di casi in cui si può fare a meno del consenso. Ebbene, il consenso non è richiesto quando il trattamento: 1) è necessario per adempiere ad un obbligo previsto dalla legge, da un regolamento o dalla normativa comunitaria; 2) è necessario per eseguire obblighi derivanti da un contratto del quale è parte l'interessato o per adempiere, prima della conclusione del contratto, a specifiche richieste dell'interessato; 3) riguarda dati provenienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque, fermi restando i limiti e le modalità che le leggi, i regolamenti o la normativa comunitaria stabiliscono per la conoscibilità e pubblicità dei dati; 4) riguarda dati relativi allo svolgimento di attività economiche, trattati nel rispetto della vigente normativa in materia di segreto aziendale e industriale; 5) è necessario per la salvaguardia della vita o dell'incolumità fisica di un terzo. Se la medesima finalità riguarda l'interessato e quest'ultimo non può prestare il proprio consenso per impossibilità fisica, per incapacità di agire o per incapacità di intendere o di volere, il consenso è manifestato da chi esercita legalmente la potestà, ovvero da un prossimo congiunto, da un familiare, da un convivente o, in loro assenza, dal responsabile della struttura presso cui dimora l'interessato. Si applica la disposizione di cui all'articolo 82, comma 2; 6) con esclusione della diffusione, è necessario ai fini dello svolgimento delle investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397, o, comunque, per far valere o difendere un diritto in sede giudiziaria, sempre che i dati siano trattati esclusivamente per tali finalità e per il periodo strettamente necessario al loro perseguimento, nel rispetto della vigente normativa in materia di segreto aziendale e industriale; 7) con esclusione della diffusione, è necessario, nei casi individuati dal Garante sulla base dei principi sanciti dalla legge, per perseguire un legittimo interesse del titolare o di un terzo destinatario dei dati, anche in riferimento all'attività di gruppi bancari e di società controllate o collegate, qualora non prevalgano i diritti e le libertà fondamentali, la dignità o un legittimo interesse dell'interessato; 8) con esclusione della comunicazione all'esterno e della diffusione, è effettuato da associazioni, enti od organismi senza scopo di lucro, anche non riconosciuti, in riferimento a soggetti che hanno con essi contatti regolari o ad aderenti, per il perseguimento di scopi determinati e legittimi individuati dall'atto costitutivo, dallo statuto o dal contratto collettivo, e con modalità di utilizzo previste espressamente con determinazione resa nota agli interessati all'atto dell'informativa ai sensi dell'articolo 13; 9) è necessario, in conformità ai rispettivi codici di deontologia di cui all'allegato A), per esclusivi scopi scientifici o statistici, ovvero per esclusivi scopi storici presso archivi privati dichiarati di notevole interesse storico ai sensi dell'articolo 6, comma 2, del decreto legislativo 29 ottobre 1999, n. 490, di approvazione del testo unico in materia di beni culturali e ambientali o, secondo quanto previsto dai medesimi codici, presso altri archivi privati. 10) è svolto nell'esercizio di un'attività giornalistica e nel rispetto di certi limiti e condizioni. Le altre ipotesi di deroga all'obbligo di chiedere il consenso al trattamento di dati comuni sono contenute, come detto, nella II parte del Codice della Privacy. B) Per quanto riguarda il consenso al trattamento dei dati sensibili (il quale - come detto – è, di regola, fornito per iscritto dall’interessato) il comma 4° dell’art. 26 del Codice esclude, tuttavia, questa rigorosa disciplina (che comunque continua a prevedere la conformità del trattamento alle Autorizzazioni Generali al trattamento del Garante): a) quando il trattamento è effettuato da associazioni, enti od organismi senza scopo di lucro, anche non riconosciuti, a carattere politico, filosofico, religioso o sindacale, ivi compresi partiti e movimenti politici, per il perseguimento di scopi determinati e legittimi individuati dall'atto costitutivo, dallo statuto o dal contratto collettivo, relativamente ai dati personali degli aderenti o dei soggetti che in relazione a tali finalità hanno contatti regolari con l'associazione, ente od organismo, sempre che i dati non siano comunicati all'esterno o diffusi e l'ente, associazione od organismo determini idonee garanzie relativamente ai trattamenti effettuati, prevedendo espressamente le modalità di utilizzo dei dati con determinazione resa nota agli interessati all'atto dell'informativa ai sensi dell'articolo 13; b) quando il trattamento è necessario per la salvaguardia della vita o dell'incolumità fisica di un terzo. Se la medesima finalità riguarda l'interessato e quest'ultimo non può prestare il proprio consenso per impossibilità fisica, per incapacità di agire o per incapacità di intendere o di volere, il consenso è manifestato da chi esercita legalmente la potestà, ovvero da un prossimo congiunto, da un familiare, da un convivente o, in loro assenza, dal responsabile della struttura presso cui dimora l'interessato. Si applica la disposizione di cui all'articolo 82, comma 2; c) quando il trattamento è necessario ai fini dello svolgimento delle investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397, o, comunque, per far valere o difendere in sede giudiziaria un diritto, sempre che i dati siano trattati esclusivamente per tali finalità e per il periodo strettamente necessario al loro perseguimento. Se i dati sono idonei a rivelare lo stato di salute e la vita sessuale, il diritto deve essere di rango pari a quello dell'interessato, ovvero consistente in un diritto della personalità o in un altro diritto o libertà fondamentale e inviolabile; d) quando è necessario per adempiere a specifici obblighi o compiti previsti dalla legge, da un regolamento o dalla normativa comunitaria per la gestione del rapporto di lavoro, anche in materia di igiene e sicurezza del lavoro e della popolazione e di previdenza e assistenza, nei limiti previsti dall'autorizzazione e ferme restando le disposizioni del codice di deontologia e di buona condotta di cui all'articolo 111. Il trattamento dei dati sensibili non necessita né del consenso dell'interessato né della osservanza delle Autorizzazioni Generali del Garante, se riguarda (art. 26, comma 3°): a) dati sensibili relativi agli aderenti alle confessioni religiose e ai soggetti che con riferimento a finalità di natura esclusivamente religiosa hanno contatti regolari con le medesime confessioni, effettuato dai relativi organi, ovvero da enti civilmente riconosciuti, sempre che i dati non siano diffusi o comunicati fuori delle medesime confessioni. Queste ultime determinano idonee garanzie relativamente ai trattamenti effettuati, nel rispetto dei principi indicati al riguardo con autorizzazione del Garante; b) dati sensibili riguardanti l'adesione di associazioni od organizzazioni a carattere sindacale o di categoria ad altre associazioni, organizzazioni o confederazioni a carattere sindacale o di categoria. C) Quanto, infine, ai dati giudiziari, come detto, non è necessario il previo consenso al trattamento da parte dell'interessato, anche se il trattamento stesso deve essere comunque autorizzato da espressa disposizione di legge o da provvedimento del garante, i quali devono specificare: 1) le finalità di interesse pubblico del trattamento; 2) i tipi di dati trattabili; 3) i tipi di operazioni eseguibili. Si ribadisce, inoltre ed in conclusione, che in tutti e tre i casi (sub A, B e C), se il titolare del trattamento è un soggetto pubblico (tranne i c.d. enti pubblici economici), il consenso non deve essere richiesto. Si rammenti pure che il Garante per la Privacy, con provvedimento del 19/06/2008, ha stabilito alcune regole semplificative per tutti i titolari del trattamento in ambito privato e pubblico, in particolare per piccole e medie imprese, liberi professionisti ed artigiani. A tal uopo ed in tale ambito egli ha invitato tutti i titolari del trattamento, pubblici e privati, a non chiedere il consenso degli interessati quando il trattamento dei dati è svolto - anche in relazione all'adempimento di obblighi contrattuali, precontrattuali o normativi - esclusivamente per correnti finalità amministrative e contabili, nonché quando i dati provengono da pubblici registri ed elenchi pubblici conoscibili da chiunque, o sono relativi allo svolgimento di attività economiche o sono trattati da un soggetto pubblico.6. DIRITTI DELL’INTERESSATO - IN PARTICOLARE, L'INFORMATIVA.
Qualunque operazione concernente i dati personali di un soggetto (il c.d. “trattamento” di cui sinora) è operazione da ritenersi delicata secondo il Codice della privacy.
Ovviamente, deve trattarsi di operazioni che comprendono in sé la comunicazione sistematica o la diffusione dei dati personali, dal momento che il trattamento di dati personali effettuato da persone fisiche per fini esclusivamente personali e di non divulgazione è da ritenersi irrilevante (in altri termini, il codice della privacy non si occupa della rubrica telefonica del Sig. Rossi, ma di ben altre banche dati). Questo è ribadito dalla direttiva 95/46/CE, cui il D.Lgs.vo n. 196/2003 ha dato attuazione (v. § 1), secondo la quale (punto n. 12) dal punto di vista del diritto comunitario non rientra in un discorso di privacy “il trattamento di dati effettuato da una persona fisica nell’esercizio di attività a carattere esclusivamente personale o domestico, quali la corrispondenza e la compilazione di elenchi di indirizzi”. Ebbene, chi opera ad un certo livello con i dati personali di una di una moltitudine di soggetti oggi deve fare i conti con i diritti che la nuova legge sulla privacy riconosce a questi ultimi, salve le eccezioni di cui all'art. 8, comma 2° (trattamenti di dati personali effettuati: a) in base alla normativa anti-riciclaggio; b) in base alla normativa anti-usura; c) da Commissioni parlamentari d'inchiesta istituite ex art. 82 Cost.; d) da soggetto pubblico, per esclusiva finalità inerente alla politica monetaria e valutaria, al sistema dei pagamenti, al controllo degli intermediari e dei mercati creditizi e finanziari, nonché alla tutle della loro stabilità; e) ai fini dello svolgimento delle investigazioni difensive ex L. n. 397/2000, salvo la diffusione). 1) Approccio. (torna su) L'interessato ha diritto di ottenere dal titolare (o dal responsabile, se designato) la conferma dell'esistenza o meno di dati personali che lo riguardano, anche se non ancora registrati e la loro comunicazione in forma intellegibile. Altresì, l'interessato ha diritto di ottenere l'indicazione: a) di come le informazioni che lo riguardano sono state acquisite dal titolare del trattamento; b) delle finalità e modalità del trattamento; c) della logica applicata in caso di trattamento effettuato con l'ausilio di strumenti elettronici; d) degli estremi identificativi del titolare (e/o del responsabile, se designato e/o del rappresentante del titolare estero nel territorio dello Stato, ove ricorra tale figura); e) dei soggetti o delle categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili e/o di incaricati e/o di rappresentante del titolare estero nel territorio dello Stato. Dette richieste possono essere formulate liberamente dall'interessato e possono essere rinnovate con l'intervallo non minore di novanta giorni. 2) Informativa.(torna su)Con particolare riferimento alla informativa, vanno rimarcati alcuni concetti.
Chi gestisce dei dati personali è tenuto a contattare il soggetto cui quei dati si riferiscono (l’interessato, appunto) per informarlo circa le sue intenzioni e circa altri aspetti, in modo da renderlo pienamente consapevole. Ciò avviene sempre obbligatoriamente, anche nei casi in cui non è necessario acquisire il consenso dell'interessato, salvo limitatissime ipotesi in cui l'informativa non è dovuta (è il caso in cui il Garante esonera esplicitamente il titolare perché l'informativa comporta un impiego di mezzi manifestamente sproporzionato ovvero essa è impossibile) ovvero in quei casi in cui l'informativa può essere fornita in maniera semplificata (p. es.: quando è resa nei call-center; quando è resa nell'ambito di operazioni di cartolarizzazione dei crediti; quando è resa da organismi sanitari pubblici o privati ovvero da esercenti le professioni sanitarie; quando è resa da componenti di servizi o strutture di soggetti pubblici operanti in ambito sanitario o della prevenzione e sicurezza del lavoro). A tal proposito ed in particolare, è previsto dal codice l’obbligo specifico a carico del titolare di un trattamento di dati di informare l’interessato circa: a) le finalità cui sono destinati i suoi dati; b) le modalità di trattamento degli stessi; c) la natura obbligatoria o facoltativa del conferimento dei dati da parte dell’interessato; d) le conseguenze di un suo eventuale rifiuto di rispondere; e) i suoi diritti di cui all’art. 7 del Codice e l'eventuale responsabile destinato al riscontro di detti diritti; f) gli estremi identificativi del titolare del trattamento e, se designato, del responsabile (se i responsabili sono più di uno, è possibile indicare nell'informativa uno solo di essi, insieme al sito web o ad altre modalità con cui si possono rinvenire i nominativi di tutti questi); g) gli estremi identificativi dei collaboratori del titolare che potrebbero venire a conoscenza dei dati; h) gli altri soggetti ai quali i dati potrebbero essere comunicati; i) l’ambito di diffusione dei dati; j) eventuali elementi specifici individuati dal codice. L'informativa può essere resa all'interessato in forma scritta o equivalente (p. es. pubblicazione del suo testo su un sito web). Come accennato più sopra, il Garante per la protezione dei dati personali può individuare modalità semplificate per l’informativa da fornire da parte di chi opera in determinati settori (es.: servizi telefonici di assistenza). L’informativa all’interessato viene data prima del conferimento dei dati da parte sua. In caso di raccolta dei dati da terzi, viene data all’atto della registrazione dei dati negli archivi o, qualora sia prevista la loro comunicazione, non oltre la prima comunicazione. Questo limite non vale in alcuni casi particolari indicati al comma 5° dell’art. 13. L’obbligo della informativa è a carico sia di soggetti privati, sia di soggetti pubblici. Il Garante nella sua giurisprudenza ha individuato alcuni principi in materia di informativa. Essa, infatti, secondo il Garante: - deve essere comprensibile e sintetica; - può essere anche orale (in questo caso è consigliabile per il titolare di documentare in forma scritta che l'informativa è stata resa); - è dovuta anche quando ricorre una causa di esonero dall’obbligo di acquisire il consenso; - non può essere lacunosa o contenuta in documenti non facilmente disponibili. In alcuni casi, oltre a quanto sopra detto in merito ai contenuti dell'informativa, devono essere indicati anche altri elementi, a seconda del tipo di titolare del trattamento. Per esempio, i soggetti pubblici che trattano dati sensibili o giudiziari, nel fornire l'informativa all'interessato, devono fare espresso riferimento alle leggi che prevedono gli obblighi o i compiti in base ai quali il titolare può trattare dati sensibili o giudiziari. Infine, si noti bene che, in base all'art. 6 del recente D.L. n. 70/11, convertito con L. n. 106/11, è possibile omettere la informativa privacy qualora si tratti di curricula spontaneamente trasmessi da un soggetto ai fini dell'eventuale instaurazione di un rapporto di lavoro. 2bis) Informativa c.d. breve.(torna su)Il Garante, con provvedimento del 19/06/2008, ha stabilito alcune regole semplificative in tema di informativa per tutti i titolari del trattamento in ambito privato e pubblico, in particolare per piccole e medie imprese, liberi professionisti ed artigiani.
I titolari di cui sopra infatti possono: a) fornire un'unica informativa per il complesso dei trattamenti, anziché per singoli aspetti del rapporto con gli interessati; b) fornire a questi ultimi una ricostruzione organica dei trattamenti e con linguaggio semplice, senza frammentarla o reiterarla inutilmente; c) indicare le informazioni essenziali in un quadro adeguato di lealtà e correttezza; d) redigere, per quanto possibile, una prima informativa breve. All'interessato, anche oralmente, andrebbero indicate sinteticamente alcune prime notizie, chiarendo subito, con immediatezza, le principali caratteristiche del trattamento. In linea di massima, l'informativa breve, quando è scritta, può avere la seguente formulazione: "I SUOI DATI PERSONALI Utilizziamo - anche tramite collaboratori esterni - i dati che la riguardano esclusivamente per nostre finalità amministrative e contabili, anche quando li comunichiamo a terzi. Informazioni dettagliate, anche in ordine al suo diritto di accesso e agli altri suoi diritti, sono riportate su...". Per l'informativa, specie per quella breve, si possono utilizzare gli spazi utili nel materiale cartaceo e nella corrispondenza che si impiegano già, ordinariamente, per finalità amministrative e contabili. L'informativa breve può rinviare a un testo più articolato, disponibile agevolmente senza oneri per gli interessati, in luoghi e con modalità facilmente accessibili anche con strumenti informatici e telematici (in particolare, tramite reti Intranet o siti Internet, affissioni in bacheche o locali, avvisi e cartelli agli sportelli per la clientela, messaggi preregistrati disponibili digitando un numero telefonico gratuito). Anche questa più ampia informativa deve essere improntata a correttezza, tenendo conto di possibili modifiche del trattamento ed essere basata su espressioni sintetiche, chiare e comprensibili. Le notizie da indicare per legge (art. 13, comma 1) devono essere aggiornate, specificando la data dell'ultimo aggiornamento. E' possibile non inserire nell'informativa più articolata gli elementi noti all'interessato (art. 13, commi 2 e 4). E' opportuno omettere riferimenti meramente burocratici o circostanze ovvie (per esempio, quando alcune informazioni, compresi gli estremi identificativi del titolare, risultano da altre parti del documento in cui è presente l'informativa). Vanno utilizzate espressioni efficaci, anche se sintetiche, anche per quanto riguarda i diritti degli interessati e l'organismo o soggetto al quale rivolgersi per esercitarli. Se è prevista la raccolta di dati presso terzi è possibile formulare una sola informativa per i dati forniti direttamente dall'interessato e per quelli che saranno acquisiti presso terzi. Per questi ultimi dati, l'informativa può non essere fornita quando vi è un obbligo normativo di trattarli (art. 13, comma 5). E' opportuno che l'informativa più articolata sia basata su uno schema tendenzialmente uniforme per il settore di attività del titolare del trattamento. E', invece, necessario fornire un'informativa specifica o ad hoc quando il trattamento ha caratteristiche del tutto particolari perché coinvolge, ad esempio, peculiari informazioni (es. dati genetici) o prevede forme inusuali di utilizzazione di dati, specie sensibili, rispetto alle ordinarie esigenze amministrative e contabili, o può comportare rischi specifici per gli interessati (ad esempio, rispetto a determinate forme di uso di dati biometrici o di controllo delle attività dei lavoratori). Se il titolare del trattamento è un soggetto pubblico devono essere inserite le indicazioni che la legge prevede per i dati sensibili e giudiziari. Il Garante invita le associazioni di categoria a predisporre informative-tipo per determinati settori o categorie di trattamento, anche in collaborazione con questa Autorità. Il Garante si riserva, in questo quadro, di porre a disposizione gratuita (chiedendo anche la collaborazione delle camere di commercio), un kit contenente concrete istruzioni e fac-simile per semplificare tutti gli adempimenti in materia 3) Accesso.(torna su)Gli interessati hanno un diritto di accesso.
Questo vuol dire che il soggetto i cui dati personali vengono trattati ha la possibilità di chiedere notizie in merito ad essi, in merito al trattamento che ne viene fatto ed in merito alla loro divulgazione a terzi. La recente giurisprudenza del Garante ha stabilito sull'argomento che l'esercizio del diritto di accesso ai dati personali conservati dal titolare del trattamento consente di ottenere la comunicazione in forma intelligibile dei soli dati personali effettivamente detenuti, estrapolati dai documenti che li contengono ovvero - quando l'estrazione dei dati risulti particolarmente difficoltosa - la consegna in copia dei documenti in questione con l'omissione di ciò che non costituisce "dato personale" dell'interessato (cfr. Garante protezione dati pers., 07/12/2006). L'esercizio del diritto di accesso non consente, invece, di richiedere al titolare del trattamento né di ottenere, sempre e necessariamente, copia (fotostatica o autenticata) dei documenti detenuti, ovvero la creazione di documenti inesistenti - o non più esistenti - nei propri archivi o l'innovativa aggregazione dei dati personali trattati secondo modalità prospettate dall'interessato (ibidem). I dati sono estratti a cura del responsabile o degli incaricati e possono essere comunicati al richiedente anche oralmente ovvero offerti in visione mediante strumenti elettronici (l’importante è che la comunicazione avvenga in forma intelligibile). Se vi è richiesta, si può anche provvedere alla trasposizione dei dati su supporto cartaceo o informatico ovvero alla loro trasmissione per via telematica. In caso di difficoltà, il gestore può limitarsi ad esibire o a consegnare in copia gli atti ed i documenti contenenti i dati personali richiesti. Se con i dati dell’interessato si intrecciano dati di terzi, si procede, ove possibile, alla scomposizione ed alla separazione degli uni dagli altri. La comunicazione dei dati su richiesta dell’interessato è gratuita, a meno che la richiesta di accesso venga fatta nel dubbio circa il trattamento dei dati da parte del destinatario ovvero negli altri casi di approccio (v. n. 1) ovvero ancora quando è chiesta la riproduzione dei dati su uno speciale supporto o quando è necessario un notevole impiego di mezzi. In tal caso, dal titolare può essere chiesto un contributo spese, che comunque non può superare l'importo determinato dal Garante con apposito provvedimento generale. N.B. L’accesso di cui qui si parla non deve essere confuso con l’accesso agli atti e documenti amministrativi da parte di terzi. In merito ad esso, il nuovo codice della privacy precisa che resta ferma la disciplina di cui alla L. n. 241/1990 e successive modificazioni e di cui alle altre disposizioni di legge in materia. 4) Aggiornamento, rettifica ed integrazione.(torna su)Peraltro, l’interessato può anche adoperarsi per far aggiornare, rettificare ed integrare i suoi dati personali.
Si noti bene, però, che la rettificazione o l'integrazione non può avere luogo se concerne: 1) dati personali di tipo valutativo, relativi a giudizi, opinioni o ad altri apprezzamenti di tipo soggettivo; ovvero se riguarda 2) l'indicazione di condotte da tenersi o di decisioni in via di assunzione da parte del titolare del trattamento. 5) Blocco, cancellazione, trasformazione in forma anonima ed opposizione al trattamento.(torna su)L’interessato, comunque, non è tenuto a subire il trattamento dei propri dati.
Se i dati sono trattati in violazione di legge (p. es. il trattamento è effettuato senza la previa informativa all’interessato), egli, infatti, può chiederne il blocco, la cancellazione o la trasformazione in forma anonima oppure ancora può opporsi al trattamento, se sussistono dei motivi legittimi o se questo avviene ai fini di invio di materiale pubblicitario, di comunicazione commerciale e simili. Dette possibilità vengono esercitate dall’interessato (salve le eccezioni di cui al comma 2 dell’art. 8) mediante richiesta rivolta a chi gestisce i dati senza formalità particolari e, cioè, oralmente ovvero anche mediante raccomandata, telefax o posta elettronica. La richiesta può essere formulata anche da un soggetto munito di delega o procura conferitagli dall’interessato. Essa può essere rinnovata con l’intervallo non minore di novanta giorni. L’interessato può, altresì, farsi assistere da persona di fiducia. A detta richiesta deve essere fornito, senza ritardo, un riscontro su tutti i dati che riguardano l’interessato e che, comunque, sono trattati. A tal uopo, il titolare del trattamento può impiegare anche appositi programmi per elaboratore e/o istituire appositi uffici o servizi preposti alle relazioni con il pubblico. 6) Attestazioni dal titolare. (torna su) L'interessato ha diritto di ottenere dal titolare l'attestazione che egli, in caso di comunicazione o diffusione dei suoi dati, ha fornito ai destinatari informazioni sull'origine dei dati personali, sul loro contenuto, sulle finalità e modalità del trattamento. 7) Opposizioni. (torna su) L'interessato ha, infine, il diritto di opporsi, in tutto o in parte: a) per motivi legittimi al trattamento dei propri dati personali, anche se pertinente allo scopo della raccolta ed anche se in precedenza abbia manifestato il proprio consenso al trattamento. In dette ipotesi, anche a fronte di trattamenti corretti e conformi al Codice, l'interessato può esercitare il suo diritto di opposizione al trattamento, ma dovrà dimostrare l'esistenza di fondati motivi legittimi che prevalgano sul diritto del titolare a trattare i dati a quel punto legittimamamente acquisiti. b) al trattamento di dati personali che lo riguardano a fini di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale. 8) Modalità pratiche di esercizio dei diritti dell'interessato. (torna su) L'interessato può esercitare i diritti di cui sopra rivolgendosi senza alcuna formalità al titolare (o al responsabile, se c'è) del trattamento, i quali devono dare idoneo riscontro e senza ritardo, anche mediante la creazione ad hoc di uffici e/o servizi preposti alle relazioni con il pubblico. Il riscontro all'interessato comprende tutti i dati personali che lo riguardano comunque trattati dal titolare. La richiesta dell'interessato può essere inoltrata mediante raccomandata, telefax o posta elettronica (salvo i casi di approccio (v. n. 1), in cui l'interessato può formulare la sua richiesta anche oralmente). Nell'esercizio dei propri diritti l'interessato può conferire delega o procura scritta a persone fisiche, enti, associazioni od organismi. Egli può anche farsi assistere da una persona di fiducia. La persona che agisce per conto dell'interessato deve esibire o allegare copia della procura o delega unitamente ad una copia fotostatica non autenticata di un documento di riconoscimento dell'interessato. Se l'interessato agisce direttamente di persona, deve farsi identificare mediante l'allegazione o l'esibizione di una copia del proprio documento di identità.7. LA NOTIFICAZIONE AL GARANTE DEL TRATTAMENTO DI DATI.
La notificazione del trattamento è una dichiarazione con la quale un soggetto pubblico o privato rende nota al Garante l’esistenza di una sua attività di raccolta ed utilizzazione dei dati personali, di cui all’art. 37 del codice, svolta quale autonomo titolare del trattamento medesimo.
Il Garante inserisce le notificazioni ricevute in un registro dei trattamenti accessibile a chiunque e determina le modalità per la sua consultazione gratuita per via telematica, anche mediante convenzioni con soggetti pubblici o presso il proprio ufficio. Le notizie accessibili tramite la consultazione del registro possono essere trattate per esclusive finalità di applicazione della disciplina in materia di protezione dei dati personali. L’adempimento in questione spetta al titolare del trattamento, ossia alla persona fisica o giuridica cui competono le decisioni in ordine alle finalità ed alle modalità di utilizzo dei dati personali. Nel caso di più contitolari, ciascuno di essi è tenuto ad assolvere all’obbligo della notificazione, indicando nella stessa le generalità degli altri titolari. Il codice della privacy identifica (art. 37) i destinatari di questo adempimento, elencando la tipologia di dati personali il cui trattamento necessita della preventiva notifica al Garante. Trattasi, dunque, di: 1) dati genetici; 2) dati biometrici; 3) dati che indicano la posizione geografica di persone od oggetti mediante una rete di comunicazione elettronica; 4) dati idonei a rivelare lo stato di salute e la vita sessuale, trattati a fini di procreazione assistita, prestazione di servizi sanitari per via telematica relativi a banche di dati o alla fornitura di beni, indagini epidemiologiche, rilevazione di malattie mentali, infettive e diffusive, sieropositività, trapianto di organi e tessuti e monitoraggio della spesa sanitaria; 5) dati idonei a rivelare la vita sessuale o la sfera psichica trattati da associazioni, enti od organismi senza scopo di lucro, anche non riconosciuti, a carattere politico, filosofico, religioso o sindacale; 6) dati trattati con l'ausilio di strumenti elettronici volti a definire il profilo o la personalità dell'interessato o ad analizzare abitudini o scelte di consumo ovvero a monitorare l'utilizzo di servizi di comunicazione elettronica con esclusione dei trattamenti tecnicamente indispensabili per fornire i servizi medesimi agli utenti; 7) dati sensibili registrati in banche di dati a fini di selezione del personale per conto terzi, nonché dati sensibili utilizzati per sondaggi di opinione, ricerche di mercato e altre ricerche campionarie; 8) dati registrati in apposite banche di dati gestite con strumenti elettronici e relative al rischio sulla solvibilità economica, alla situazione patrimoniale, al corretto adempimento di obbligazioni, a comportamenti illeciti o fraudolenti. L’elenco sopra esposto dei trattamenti soggetti a notifica non deve, comunque, essere considerato definitivo. Il Garante, infatti, può individuare con proprio apposito provvedimento altri trattamenti per i quali si è tenuti a notifica, suscettibili di recare pregiudizio ai diritti e alle libertà dell'interessato, in ragione delle relative modalità o della natura dei dati personali. Peraltro, con analogo provvedimento il Garante può anche individuare, nell'ambito dei trattamenti sopra elencati, eventuali trattamenti non suscettibili di recare danno agli interessati e, pertanto, sottratti all'obbligo di notificazione. Questo avviene tenuto conto del fatto che il principio che ispira la ripartizione e l’elencazione di cui sopra è quello della occasionalità del trattamento. In altre parole, la notifica deve essere fatta nei casi in cui il trattamento dei dati personali indicati nell’art. 37 del codice sia sistematico. Per tal motivo, con provvedimento n. 1 del 31 Marzo 2004, il Garante ha deciso di sottrarre all’obbligo in questione una serie di trattamenti, individuati sulla base delle categorie di cui al comma 1 dell’art. 37. Successivamente, con comunicato del 23 Aprile 2004, il medesimo ha fornito ulteriori delucidazioni sulla corretta interpretazione del comma 1 dell’art. 37 del codice, indicando altre categorie di soggetti esonerati dall’obbligo di notificazione. I soggetti che non sono tenuti alla notificazione, tuttavia, - come chiarito dal comma 6 dell’art. 38 del codice - devono comunque fornire a chiunque ne faccia richiesta tutte le informazioni che andrebbero riportate nel modello da notificare al Garante, salvo che il trattamento riguardi pubblici registri, elenchi, atti o documenti conoscibili da chiunque. Veniamo alle modalità di notifica. La notificazione è effettuata prima dell’inizio del trattamento (n.b. i trattamenti già in atto al 1° Gennaio 2004 dovevano essere comunicati entro il 30 Aprile 2004), con un unico atto. Cioè: è unica e non deve essere ripetuta nel tempo, a prescindere dal numero delle operazioni e della durata del trattamento da effettuare, e può anche riguardare uno o più trattamenti con finalità correlate. Essa deve avvenire tramite la compilazione di un apposito modello, predisposto dallo stesso Garante e la sua trasmissione per via telematica con sottoscrizione digitale. In altri termini, la notificazione è validamente effettuata solo se è trasmessa per via telematica, utilizzando il modello predisposto dal Garante (v. sito www.garanteprivacy.it) ed osservando le prescrizioni da questi impartite, anche per quanto riguarda le modalità di sottoscrizione con firma digitale (a tal fine, il titolare del trattamento deve utilizzare un dispositivo di firma disponibile presso uno dei certificatori accreditati indicati nell’elenco di cui al sito www.cnipa.gov.it ovvero presso uno dei soggetti convenzionati) e di conferma del ricevimento della notificazione (il Garante, infatti, invierà all’indirizzo di posta elettronica indicato dal notificante un messaggio di conferma del ricevimento della notifica, che attesta il buon esito della procedura). Il Garante favorisce la disponibilità del modello per via telematica e promuove la notificazione anche attraverso convenzioni stipulate con soggetti autorizzati in base alla normativa vigente, anche presso associazioni di categoria e ordini professionali. Ogni notificazione inviata al Garante deve essere accompagnata dal pagamento dei diritti di segreteria, il cui importo è fissato in €. 150,00. Il Garante può individuare altro idoneo sistema per la notificazione in riferimento a nuove soluzioni tecnologiche previste dalla normativa vigente. La notificazione del trattamento è presentata al Garante prima dell'inizio del trattamento. Una nuova notificazione è richiesta solo anteriormente alla cessazione del trattamento o al mutamento di taluno degli elementi da indicare nella notificazione medesima. In caso di omessa o incompleta notificazione il titolare del trattamento è punibile con la sanzione amministrativa del pagamento di una somma da 10.000 a 60.000 euro e con la sanzione amministrativa accessoria della pubblicazione della ordinanza-ingiunzione, per intero o per estratto, in uno o più giornali (art. 163 del codice). Si noti bene che l'art. 29 del D.L. n. 112/08 ha recentemente previsto delle semplificazioni in tema di notifica dei trattamenti al Garante per la Privacy. Adesso detta notificazione è validamente effettuata solo se è trasmessa attraverso il sito del Garante, utilizzando l'apposito modello (nuovo art. 38 D.Lgs.vo n. 196/03). A ciò si aggiunga pure che il Garante, con provvedimento del 19/06/2008 ha stabilito alcune regole semplificative per tutti i titolari del trattamento in ambito privato e pubblico, in particolare per piccole e medie imprese, liberi professionisti ed artigiani. In questo ambito ha così disposto che la notificazione telematica al Garante non è necessaria per perseguire finalità amministrative e contabili, salvo che per eventuali casi eccezionali indicati per legge (art. 37).8. LA COMUNICAZIONE AL GARANTE.
Per “comunicazione”, secondo il codice (art. 4), si intende il dare conoscenza di dati personali ad uno o più soggetti determinati, diversi dall'interessato, dal rappresentante del titolare nel territorio dello Stato, dal responsabile e dagli incaricati. Ciò in qualunque forma.
L’art. 39 del codice, a tal proposito, stabilisce che un titolare di trattamento soggetto pubblico è tenuto a comunicare previamente al Garante la comunicazione di dati personali ad altro soggetto pubblico, non prevista da una norma di legge o di regolamento, effettuata in qualunque forma anche mediante convenzione. La comunicazione di cui sopra è inviata utilizzando il modello predisposto e reso disponibile dal Garante, e trasmessa a quest’ultimo per via telematica, osservando le modalità di sottoscrizione con firma digitale e conferma del ricevimento di cui all'articolo 38, comma 2, oppure mediante telefax o lettera raccomandata. Analogo obbligo di comunicazione è previsto per il trattamento di dati idonei a rivelare lo stato di salute previsto dal programma di ricerca biomedica o sanitaria di cui all'articolo 110, comma 1, primo periodo. Tutti i trattamenti oggetto di comunicazione di cui sopra possono essere iniziati decorsi quarantacinque giorni dal ricevimento della comunicazione, salvo diversa determinazione anche successiva del Garante.9. SICUREZZA DEI DATI E DEI SISTEMI.
Una delle regole principali in tema di privacy è rappresentata dalla sicurezza dei dati e dei sistemi.
Si tutela la privacy delle persone adeguando i propri archivi ed i propri elaboratori a misure di sicurezza che impediscano: - la perdita accidentale dei dati; - l’accesso abusivo agli stessi e nei sistemi che li contengono. La sicurezza è assicurata attraverso l’adozione da parte di chi gestisce dei dati personali di misure di sicurezza. Esse si distinguono in: a) misure idonee; b) misure minime. Misure idonee. L’art. 31 del Codice sancisce che i dati personali oggetto di trattamento sono custoditi e controllati in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta. Ciò anche avuto riguardo al progresso tecnico, alla natura dei dati ed alle caratteristiche del trattamento, di cui si devono comunque valutare i rischi. Il rispetto delle suddette misure (c.d. “idonee”) rappresenta, così, un interesse anche per chi deve utilizzare i dati. Si raggiunge, in tal modo, una comunanza di intenti: quello degli interessati di evitare che i propri dati personali entrino in possesso di malintenzionati; quello dei titolari del trattamento che sbarrano la strada ad hacker o simili. Il mancato rispetto delle misure idonee (cioè del minimum indispensabile per la sicurezza dei dati) comporta l’illiceità del trattamento eventualmente effettuato ed espone a responsabilità civile per danni, anche non patrimoniali, il gestore, qualora non dimostri di avere adottato tutte le misure idonee ad evitarli (artt. 15 del codice e 2050 del codice civile). Misure minime. Le misure minime di sicurezza sono indicate dal Codice della privacy agli artt. 33, 34 e 35 e specificate nel “Disciplinare Tecnico in materia di misure minime di sicurezza”, allegato al Codice stesso (allegato B) ed aggiornato periodicamente con decreto del Ministro della Giustizia, di concerto con il Ministro per le Innovazioni e le Tecnologie, in relazione all'evoluzione tecnica e all'esperienza maturata nel settore. Esse sono quelle volte ad assicurare un livello minimo di protezione dei dati personali e devono essere comunque garantite, anche a scanso di responsabilità penali (oltre che civili, v. art. 169 codice, che prevede l’arresto sino a due anni o l’ammenda da 10.000 euro a 50.000 euro e l’eventuale ravvedimento operoso). Le misure minime indicate dal Codice sono, in parte, quelle già indicate dal D.P.R. n. 318/1999 ed, in parte, misure nuove. Per quelle già precedentemente obbligatorie non è previsto alcun regime transitorio. Per l’adozione delle nuove misure è, invece, consentito un periodo più ampio di adeguamento: esse devono essere adottate entro il 31 Marzo 2006, come dispone il recente D.L. n. 273/2005 e conseguente Legge di conversione n. 51 del 2006. Una proroga è consentita nel caso in cui il titolare di un trattamento - che dispone di strumenti elettronici che, per obiettive ragioni tecniche, non consentono in tutto o in parte l’immediata applicazione delle misure minime - descriva le medesime ragioni in un documento - avente data certa - entro il 30 Giugno 2006 (v. sempre il D.L. n. 273/2005 e conseguente Legge di conversione n. 51 del 2006) e lo conservi presso la propria struttura. In ogni caso, detto titolare dovrà adottare ogni possibile misura di sicurezza ed idonee misure organizzative, logistiche o procedurali (v. art. 180 del Codice). Il codice, in tema di misure minime, distingue tra trattamenti con strumenti elettronici e trattamenti senza strumenti elettronici, nonché tra trattamenti di dati personali tout court e trattamenti di dati sensibili o giudiziari.10. MISURE MINIME PER I TRATTAMENTI CON STRUMENTI ELETTRONICI.
A) CREDENZIALI DI AUTENTICAZIONE.
Anzitutto, per questi trattamenti è previsto che gli incaricati siano dotati di credenziali di autenticazione (una o più per ciascuno). Solo attraverso esse gli incaricati possono dedicarsi ad un trattamento di dati con uno strumento elettronico. Infatti, con la credenziale l’incaricato può avviare e superare una procedura di autenticazione che gli apra la porta al trattamento all’interno di uno strumento elettronico, che altrimenti gli sarebbe precluso (n.b. avvenuto ciò - cioè penetrato nella memoria dello strumento elettronico - l’incaricato non potrà lasciare incustodito ed accessibile lo strumento stesso durante una sessione di trattamento dati e, a tal uopo, il titolare dovrà impartirgli istruzioni di comportamento in tal senso). In cosa consista la credenziale suddetta ce lo dice l’allegato B al codice della privacy (“Disciplinare per i criteri minimi di sicurezza”). Essa si compone di: 1) un codice per l’identificazione dell’incaricato (c.d. user id o login), che è suo, personale per sempre; 2) una parola chiave (c.d. password) associata al primo, che è riservata e conosciuta solo dallo stesso incaricato, priva di riferimenti riconducibili al medesimo, da modificarsi da parte sua al primo utilizzo e, poi, almeno ogni sei mesi ovvero tre, in caso di dati sensibili e giudiziari, composta di almeno otto caratteri o, se lo strumento elettronico non permette di arrivare ad otto caratteri, del numero di caratteri massimo consentito. La credenziale può consistere anche: a) in un dispositivo di autenticazione (sempre in possesso ed uso esclusivo dell’incaricato), eventualmente associato ad una parola chiave o ad un codice identificativo; b) in una caratteristica biometrica dell’incaricato, eventualmente associata ad una parola chiave o ad un codice identificativo. Le credenziali di autenticazione non utilizzate da almeno sei mesi sono disattivate. Idem per il caso di perdita da parte dell’incaricato della propria qualità che gli autorizza l’accesso ai dati personali per il loro trattamento. Il titolare di un trattamento mediante strumenti elettronici deve adottare delle procedure di gestione delle credenziali di autenticazione dei propri incaricati.B) SISTEMA DI AUTORIZZAZIONI.
Sempre in materia di trattamenti di dati personali con strumenti elettronici, in certi casi il titolare è tenuto alla utilizzazione di un sistema di autorizzazioni.
In altri termini, quando più incaricati trattano gli stessi dati personali, ma in modo diverso (per esempio alcuni incaricati possono solo inserire i dati, mentre altri possono solo consultarli), allora è necessario disporre di un “sistema di autorizzazioni” (n.b. con l’espressione “sistema di autorizzazioni” il Codice della privacy indica (art. 4) “l’insieme degli strumenti e delle procedure che abilitano l’accesso ai dati ed alle modalità di trattamento degli stessi, in funzione del profilo di autorizzazione del richiedente”) che funzioni da filtro per le diverse esigenze. In tal modo, ciascun incaricato si vedrà assegnato un determinato profilo di autorizzazione (sempre il Codice (art. 4) chiarisce che il “profilo di autorizzazione” è “l’insieme delle informazioni, univocamente associate ad una persona, che consente di individuare a quali dati essa può accedere, nonché i trattamenti ad essa consentiti”). Detto profilo è, di regola, individuato e configurato dal titolare anteriormente all’inizio del trattamento, in modo da limitare l’accesso ai soli dati necessari per effettuare le operazioni di trattamento. Con l’introduzione di questa regola in una organizzazione complessa si possono definire a priori le aree di trattamento dei dati, in modo che incaricati che svolgano funzioni simili (classi omogenee) abbiano gli stessi permessi. E’ importante che venga rispettata la regola generale di limitare, per ognuno, l’accesso ai soli dati necessari ad effettuare le operazioni di trattamento che gli competono. Verifiche periodiche o, almeno, annuali sono previste sui vari profili di autorizzazione. Si tratta di un attento controllo sul rispetto delle regole fissate in precedenza. Nel caso in cui si dovessero riscontrare delle situazioni anomale, si deve provvedere a correggerle, modificando i permessi e le autorizzazioni agli incaricati del trattamento che le hanno cagionate. Si ricordi, inoltre, che il Garante, con provvedimento del 19/06/2008 ha stabilito alcune regole semplificative per tutti i titolari del trattamento in ambito privato e pubblico, in particolare per piccole e medie imprese, liberi professionisti ed artigiani. Tra dette regole si rammenti che il Garante per la Privacy ha disposto che la designazione degli incaricati del trattamento può avvenire in modo semplificato evitando singoli atti circostanziati relativi distintamente a ciascun incaricato, individuando i trattamenti di dati e le relative modalità che sono consentiti all'unità cui sono addetti gli incaricati stessi (art. 30).C) VERIFICHE ANNUALI.
Almeno una volta l’anno, poi, si dovranno verificare i profili di incarico e saranno confermati o aggiornati i trattamenti e le operazioni che i singoli incaricati possono effettuare.
Si deve, così, tenere una lista in cui siano elencati singolarmente gli incaricati e, per ciascuno di essi, il corrispondente profilo di autorizzazioni al trattamento. La lista degli incaricati può essere redatta anche per classi omogenee di incarico e dei relativi profili di autorizzazione. Devono essere specificati anche i nomi degli addetti alla gestione ed alla manutenzione dei computers (o di altri strumenti elettronici) e i compiti, le responsabilità e i limiti di accesso al trattamento dei dati personali relativamente a questi ultimi.D) PROTEZIONE DEI DATI E DEGLI STRUMENTI ELETTRONICI.
I titolari di trattamento mediante strumenti elettronici devono, poi, assicurare la protezione degli strumenti elettronici stessi e dei dati rispetto a: 1) trattamenti illeciti di dati; 2) accessi non consentiti; 3) influenza di determinati programmi informatici.
I dati personali devono essere protetti contro il rischio di intrusione altrui e dall’azione di programmi concepiti per danneggiare altri sistemi informatici o telematici (c.d. “virus”). Debbono essere, quindi, installati dei sistemi hardware o software (per esempio antivirus, protezioni contro lo spyware, ecc…) per evitare o, quantomeno, limitare il rischio di perdita anche accidentale di dati personali. Detti strumenti di prevenzione dovranno essere aggiornati con periodicità almeno semestrale.E) CUSTODIA E RIPRISTINO DEI DATI E DEI SISTEMI.
Sempre il titolare deve procedere alla adozione di procedure per la creazione e la custodia di copie di sicurezza e per il ripristino della disponibilità dei dati e dei sistemi (c.d. back up dei dati e procedure di disaster recovery).
Queste misure sono richieste dal momento che la vulnerabilità dei sistemi informativi è molto spesso causata da difetti nei sistemi operativi, nelle applicazioni e nei programmi in genere. In particolare, i responsabili devono impartire istruzioni organizzative e tecniche che prevedono il salvataggio dei dati con frequenza almeno settimanale. Le istruzioni tecniche (possibilmente scritte) debbono servire per poter eseguire queste operazioni nella massima sicurezza e, quindi, debbono comprendere anche le operazioni di verifica e di controllo del buon successo delle copie dei dati. Le istruzioni organizzative debbono, invece, indicare chiaramente i tempi, i modi e le responsabilità nell’effettuazione delle copie e, inoltre, debbono contenere anche le indicazioni sulla conservazione e sulla manutenzione dei supporti (dischi, nastri, ecc…) su cui sono stati copiati i dati personali. Nel caso in cui, di fronte a problematiche conosciute e preventivabili, gli stessi produttori mettano a disposizioni versioni migliorative di sistemi operativi, applicazioni e programmi attraverso patch, service-pack, nuove release, ecc… che consentano l’eliminazione di queste potenziali fonti di rischio, si dovrà provvedere ad installare gli aggiornamenti con una periodicità che non può superare i 12 mesi, se vengono trattati dati personali comuni, 6 mesi, se vengono trattati dati sensibili o giudiziari.F) DOCUMENTO PROGRAMMATICO SULLA SICUREZZA.
Il titolare deve provvedere alla tenuta di un aggiornato documento programmatico sulla sicurezza.
Di esso se ne parla nel prossimo paragrafo.G) TECNICHE DI CIFRATURA E CODICI IDENTIFICATIVI.
Il titolare, infine, se è un organismo sanitario, deve adottare delle tecniche di cifratura o dei codici identificativi per determinati trattamenti con strumenti elettronici di dati sulla salute o sulla vita sessuale del paziente interessato.
11. (SEGUE) IL DOCUMENTO PROGRAMMATICO SULLA SICUREZZA.
L’art. 34 Cod. prevede, tra le misure minime da adottare da parte di chi tratta dati personali con strumenti elettronici, l’obbligo della tenuta di un documento programmatico sulla sicurezza, sempre aggiornato.
Detto aggiornamento deve avvenire entro il 31 Marzo di ogni anno, da parte del titolare del trattamento, anche attraverso il responsabile designato. L’art. 19 dell’allegato B del Codice descrive nel dettaglio come deve essere redatto il DPS. Una guida operativa facile e veloce da utilizzare è quella fornita proprio dal garante sul suo sito: http://www.garanteprivacy.it/garante/navig/jsp/index.jsp aperta l'homepage, è sufficiente cliccare sulla sinistra su "Fac-simile e adempimenti". In pratica, il DPS deve contenere:A) l’elenco dei trattamenti dei dati personali (19.1). In questa sezione deve essere inserito l’elenco dei trattamenti effettuati dal titolare, direttamente o attraverso collaborazioni esterne, con l’indicazione della natura dei dati trattati e della struttura (o reparto, funzione, ufficio, ecc...) interna o esterna che effettua il trattamento, nonché degli strumenti elettronici impiegati. Per ciascun trattamento vanno indicate le seguenti informazioni: a) descrizione sintetica del trattamento (ad essa può essere associato un codice utilizzabile poi anche nelle altre tabelle del DPS); b) natura dei dati trattati; c) struttura di riferimento nella quale viene effettuato il trattamento; d) altre strutture che concorrono al trattamento; e) descrizione degli strumenti elettronici utilizzati per il trattamento (indicare eventualmente la banca dati con le relative applicazioni in cui sono contenuti i dati e se uno stesso trattamento richiede l'utilizzo di dati inseriti in più banche dati, esse potranno essere elencate); f) indicazione del luogo in cui risiedono fisicamente i dati (ovvero dove si trovano gli elaboratori sui cui dischi sono memorizzati i dati, i luoghi di conservazione dei supporti magnetici utilizzati per le copie di sicurezza ed ogni altro supporto rimuovibile); elenco e descrizione sintetica degli strumenti utilizzati dagli incaricati per effettuare il trattamento (pc, terminale non intelligente, palmare, telefonino, ecc...); descrizione sintetica e qualitativa della rete che collega i dispositivi d'accesso ai dati utilizzati dagli incaricati (rete locale, geografica, internet, ecc...).
B) la distribuzione dei compiti e delle responsabilità nell’ambito delle strutture preposte al trattamento dei dati (19.2). In questo ambito vanno indicati, con riferimento alla struttura di cui sopra: l'organizzazione di essa; il dirigente o il suo responsabile; il suo ruolo o la sua qualifica in essa; i trattamenti ivi operati; una elencazione dei compiti dei membri della struttura e, cioé, una descrizione sintetica dei compiti ad essi assegnati in ciascuno dei trattamenti di competenza della struttura (es. acquisizione e caricamento dati, consultazione, comunicazione a terzi, manutenzione tecnica dei programmi, gestione tecnica operativa della base dati, con salvataggi, ripristini, ecc...); una elencazione delle responsabilità della struttura e dei membri rispetto ai trattamenti di competenza. N.B. Si possono utilizzare anche documenti già predisposti (provvedimenti, ordini di servizio, regolamenti interni, circolari), indicando con specifici riferimenti le precise modalità per reperirli;C) l’analisi dei rischi che incombono sui dati (19.3). Questa sezione del DPS deve contenere l’elenco degli eventi (? comportamenti degli operatori: 1) sottrazione delle credenziali di autenticazione; 2) carenza di consapevolezza, disattenzione o incuria; 3) comportamenti sleali o fraudolenti; ? eventi relativi agli strumenti: 1) azioni di virus informatici o di programmi suscettibili di recare danno; 2) spamming o tecniche di sabotaggio; 3) malfunzionamento, indisponibilità o degrado degli strumenti; 4) accessi esterni non autorizzati; 5) intercettazioni di informazioni in rete; ? eventi relativi al contesto fisico-ambientale: 1) ingressi non autorizzati a locali/aree ad accesso ristretto; 2) sottrazione di strumenti contenenti dati; 3) eventi distruttivi, naturali o artificiali; 4) guasto a sistemi complementari; 5) errori umani nella gestione della sicurezza fisica) che possono ingenerare danni e che comportano, quindi, rischi per la sicurezza dei dati personali. Essa deve racchiudere anche la descrizione delle principali conseguenze che si hanno per la sicurezza dei dati in relazione a ciascun possibile evento ed una valutazione delle gravità delle stesse, anche in relazione alla probabilità stimata dell’evento ed al contesto fisico-ambientale di riferimento ed agli strumenti elettronici utilizzati;
D) le misure in essere e da adottare per garantire l’integrità e la disponibilità dei dati, nonché la protezione delle aree e dei locali, rilevanti ai fini della loro custodia ed accessibilità (19.4). In questa sezione devono essere riportate, in forma sintetica, le misure in essere e da adottare a contrasto, prevenzione o contenimento dei rischi individuati dall’analisi dei rischi (v. punto precedente). Per “misura” qui si intende non solo lo specifico intervento tecnico od organizzativo posto in essere per prevenire, contrastare o ridurre gli effetti relativi ad una specifica minaccia, ma anche tutte quelle attività di verifica e controllo nel tempo, essenziali per assicurarne l’efficacia. In questa parte del DPS, pertanto, devono essere inseriti: la descrizione sintetica della misura di sicurezza adottata e la sua tipologia (di prevenzione, contrasto o contenimento); l’analisi dei rischi che ha motivato l’adozione della misura e, dunque, la minaccia che si intende prevenire, contrastare o contenere con la misura; l’identificativo dei data base o dell’archivio informatizzato e dei trattamenti interessati per ciascuna delle misure adottate; la data a partire dalla quale la misura è operativa o, se già operativa, una dicitura standard (p. es.: “in essere”); i tempi di messa in opera e validità della misura; gli ambiti a cui la misura si applica (ambiti fisici: un reparto, un edificio....; ambiti logici: una procedura, un’applicazione....); l’indicazione della periodicità con cui sono verificate la funzionalità e l’efficienza della misura in questione; l’indicazione della struttura operativa o della persona che ha la responsabilità dell’attuazione, della gestione della singola misura e della verifica di cui sopra;E) la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento (19.5). In questa parte il DPS contiene una descrizione dei criteri e delle procedure adottati per il ripristino dei dati in caso di loro danneggiamento o di loro inaffidabilità. Si tratta di situazioni eccezionali in cui è necessario procedere al ripristino dei dati personali detenuti dal titolare perché danneggiati o non più in sicurezza E' essenziale che in questi casi le procedure di reinstallazione siano efficaci. Pertanto, è opportuno descrivere sinteticamente anche i criteri e le procedure adottate per il salvataggio dei dati al fine di una corretta esecuzione del loro ripristino. Nel DPS vi sarà, quindi: l’identificazione del data base o dell’archivio interessato dal fenomeno; l’elenco dei dati sensibili o giudiziari in essi contenuti; una descrizione della tipologia di salvataggio e della frequenza con cui viene effettuato; l’indicazione del luogo fisico in cui sono custodite le copie dei dati salvate; il nominativo della persona incaricata di effettuare il salvataggio e/o di controllarne l’esito; la descrizione della procedura di ripristino; l’indicazione delle date in cui si prevede di effettuare dei test di efficacia delle procedure di salvataggio/ripristino dei dati adottate;
F) la previsione di interventi formativi (al momento del loro ingresso in servizio, in occasione del cambiamento delle loro mansioni, della introduzione di nuovi e significativi strumenti di trattamento di dati personali) degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare (19.6). In questa parte del DPS va riportata l’indicazione di un corso di formazione, con la descrizione sintetica degli obiettivi e delle modalità del corso. Detta indicazione va effettuata in relazione all'ingresso in servizio di incaricati, al loro eventuale cambiamento di mansioni, alla eventuale introduzione di nuovi elaboratori, programmo e/o sistemi informatici). In essa, altresì, deve essere riportato un elenco delle classi omogenee di incarico a cui il corso è destinato e/o le tipologie di incaricati interessati e il numero di addetti interessati dal corso. Inoltre, devono essere indicati i tempi previsti per lo svolgimento degli interventi formativi. Infine, deve essere inserita anche una parte contenente l’indicazione del numero di addetti già formati negli anni precedenti e quelli di cui si prevede la formazione nell’anno in corso.G) la descrizione dei criteri da adottare per garantire l’adozione delle misure minime di sicurezza, in caso di trattamenti di dati personali affidati, in conformità al codice, all’esterno della struttura del titolare (19.7). In questa sezione occorre indicare: l’attività di trattamento che è stata oggetto di delega a terzi ed è affidata all'esterno, con una sua descrizione sintetica; l’elenco dei dati personali, sensibili o giudiziari, oggetto di trattamento per la realizzazione dell’attività delegata; l’identificativo della società o dell'ente o del consulente a cui è stato affidato l’incarico, nonché il ruolo ricoperto agli effetti della disciplina sulla privacy (titolare o responsabile del trattamento); l’indicazione degli impegni (p. es. di trattare i dati solo nei limiti dell'incarico ricevuto; di adempiere gli obblighi previsti dal codice della privacy; di rispettare le eventuali istruzioni specifiche ricevute; di relazionare periodicamente sulle misure di sicurezza adottate; di informare immediatamente il titolare in caso di situazioni anomale o di emergenze) che, su base giuridica e/o contrattuale, il soggetto esterno, a cui viene affidato il trattamento, si assume; l’indicazione del numero e delle date delle verifiche previste;
H) l’individuazione dei criteri da adottare per la cifratura dei dati personali idonei a rivelare lo stato di salute e la vita sessuale di un interessato o per la separazione di questi dagli altri dati personali del medesimo (19.8). Si ricordi che questo punto riguarda solo gli organismi sanitari e gli esercenti professioni sanitarie. In questa sezione devono essere rappresentate le modalità di protezione adottate per i dati per cui è richiesta la cifratura o la separazione fra dati identificativi e dati personali sensibili, nonché i criteri e le modalità con le quali viene assicurata la sicurezza di tali trattamenti. In altri termini, in questa parte eventuale del DPS devono essere descritti i trattamenti oggetto della protezione, la tipologia di protezione adottata (scelta fra quelle indicate dal codice o in base a considerazioni specifiche del titolare) e la misura adottata (ad es. in caso di utilizzo di cifratura o crittografia, le modalità di conservazione delle chiavi e le procedure di utilizzo). Pertanto, in essa occorre inserire: l’identificativo di un insieme di informazioni personali; l’indicazione della tipologia di protezione adottata; l’indicazione della data a partire dalla quale le misure adottate sono diventate operative; la descrizione sintetica tecnico-organizzativa della misura adottata.
11bis. (SEGUE) SEMPLIFICAZIONI CIRCA IL D.P.S.
In particolare, si tratta di fare riferimento: 1) a soggetti che trattano soltanto dati personali non sensibili (nome, cognome, indirizzo, codice fiscale, numero di telefono); 2) a soggetti che trattano come unici dati sensibili quelli costituiti dallo stato di salute o malattia dei propri dipendenti e collaboratori, anche a progetto, senza indicazione della relativa diagnosi; 3) a soggetti che trattano come unici dati sensibili quelli costituiti dall'adesione a organizzazioni sindacali o a carattere sindacale dei propri dipendenti e collaboratori, anche a progetto. Per questa categoria di titolari la tenuta di un aggiornato documento programmatico sulla sicurezza (D.P.S.) è sostituita dall'obbligo di autocertificazione, ai sensi dell'articolo 47 D.P.R. 28 dicembre 2000, n. 445 (dichiarazioni sostitutive dell'atto di notorietà), di trattare tali dati in osservanza delle misure di sicurezza prescritte. Dunque, si tratta di una novità notevole, che esonera questi soggetti a redigere il D.P.S. Peraltro, il Garante per la Privacy, con provvedimento del 27/11/2008, in attuazione all'art. 29 sopra richiamato, ha pure stabilito che i soggetti pubblici e privati che trattano: a) dati personali non sensibili; b) dati sensibili costituiti esclusivamente dallo stato di salute o malattia dei propri dipendenti e collaboratori, anche a progetto, senza indicazione della relativa diagnosi; c) dati sensibili costituiti esclusivamente dall'adesione a organizzazioni sindacali o a carattere sindacale dei propri dipendenti e collaboratori, anche a progetto ; d) dati personali unicamente per correnti finalità amministrative e contabili, in particolare liberi professionisti, artigiani e piccole e medie imprese, possono (non debbono) redigere un D.P.S. semplificato. Esso deve avere i seguenti contenuti: 1 - le coordinate identificative del titolare del trattamento, nonché, se designati, gli eventuali responsabili e, nel caso in cui l'organizzazione preveda una frequente modifica dei responsabili designati, potranno essere indicate le modalità attraverso le quali è possibile individuare l'elenco aggiornato dei responsabili del trattamento; 2 - una descrizione generale del trattamento o dei trattamenti realizzati, che permetta di valutare l'adeguatezza delle misure adottate per garantire la sicurezza del trattamento(n.b. in tale descrizione vanno precisate le finalità del trattamento, le categorie di persone interessate e dei dati o delle categorie di dati relativi alle medesime, nonché i destinatari o le categorie di destinatari a cui i dati possono essere comunicati); 3 - l'elenco, anche per categorie, degli incaricati del trattamento e delle relative responsabilità e, nel caso in cui l'organizzazione preveda una frequente modifica dei responsabili designati, potranno essere indicate le modalità attraverso le quali è possibile individuare l'elenco aggiornato dei responsabili del trattamento con le relative responsabilità; 4 - una descrizione delle altre misure di sicurezza adottate per prevenire i rischi di distruzione o perdita, anche accidentale, dei dati, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta. Infine, l'art. 6 del recente D.L. n. 70/11, convertito con L. n. 106/11, ha stabilito che: • per i soggetti che trattano con strumenti elettronici soltanto dati personali non sensibili e come unici dati sensibili e giudiziari quelli relativi ai propri dipendenti e collaboratori, anche se extracomunitari, compresi quelli relativi al coniuge ed ai parenti, la tenuta di un aggiornato documento programmatico sulla sicurezza è sostituita dall'obbligo di una autocertificazione di trattare soltanto tali dati in osservanza delle misure minime di sicurezza previste dal Codice della Privacy e dal Disciplinare Tecnico (Allegato B).
11ter. (SEGUE) SEMPLIFICAZIONI CIRCA LE MISURE MINIME DI SICUREZZA SUI PC.
Peraltro, il medesimo articolo 29 D.L. n. 112/08, per i titolari di trattamento dati di cui al paragrafo 11bis, prevede che il Garante per la Privacy, sentito il Ministro per la semplificazione normativa, individui con proprio provvedimento, da aggiornare periodicamente, delle modalità semplificate di applicazione del disciplinare tecnico di cui all'Allegato B) del Codice della Privacy, in ordine all'adozione delle misure minime di sicurezza per il trattamento di dati personali effettuato con strumenti elettronici.
Il Garante, con provvedimento del 27/11/2008, ha stabilito le suddette modalità semplificate. In particolare, esso ha stabilito che i titolari di trattamenti di dati personali di cui all'art. 29 D.L. n. 112/08 possono applicare le misure minime di sicurezza prescritte dalla disciplina in materia di trattamenti realizzati con l'ausilio di strumenti elettronici osservando le modalità semplificate di seguito individuate: 1 - le istruzioni in materia di misure minime di sicurezza previste dall'Allegato B) possono essere impartite agli incaricati del trattamento anche oralmente, con indicazioni di semplice e chiara formulazione; 2 - per l'accesso ai sistemi informatici si può utilizzare un qualsiasi sistema di autenticazione basato su un codice per identificare chi accede ai dati (di seguito, "username"), associato a una parola chiave (di seguito: "password"), in modo che: a) l'username individui in modo univoco una sola persona, evitando che soggetti diversi utilizzino codici identici; b) la password sia conosciuta solo dalla persona che accede ai dati (in pratica, sono state rimosse le regole 5, 6, e 7, concernenti le modalità di creazione della password [numero dei caratteri, assenza di riferimenti all'incaricato nella sua creazione, modifica al primo utilizzo, modifica ogni 6 mesi ovvero 3 in caso di trattamento di dati sensibili e/o giudiziari], il divieto di assegnazione di uno username già utilizzato in precedenza da altri soggetti incaricati e l'obbligo di disattivazione delle credenziali in disuso oltre 6 mesi); 3 - l'username deve essere disattivato quando l'incaricato non ha più la qualità che rende legittimo l'utilizzo dei dati (ad esempio, in quanto non opera più all'interno dell'organizzazione); 4 - può essere adottata, quale procedura di autenticazione anche la procedura di login disponibile sul sistema operativo delle postazioni di lavoro connesse a una rete; 5 - in caso di prolungata assenza o impedimento dell'incaricato che renda indispensabile e indifferibile intervenire per esclusive necessità di operatività e di sicurezza del sistema, se l'accesso ai dati e agli strumenti elettronici è consentito esclusivamente mediante uso della password, il titolare può assicurare la disponibilità di dati o di strumenti elettronici con procedure o modalità predefinite, riguardo le quali sono fornite preventive istruzioni agli incaricati e gli stessi sono informati degli interventi effettuati (ad esempio, prescrivendo ai lavoratori che si assentino dall'ufficio per ferie l'attivazione di modalità che consentano di inviare automaticamente messaggi di posta elettronica ad un altro recapito accessibile); 6 - qualora sia necessario diversificare l'ambito del trattamento consentito, possono essere assegnati agli incaricati - singolarmente o per categorie omogenee - corrispondenti profili di autorizzazione, tramite un sistema di autorizzazione o funzioni di autorizzazione incorporate nelle applicazioni software o nei sistemi operativi, così da limitare l'accesso ai soli dati necessari per effettuare le operazioni di trattamento; 7 - i titolari di trattamenti di dati personali di cui all'art. 29 D.L. n. 112/08 assicurano che l'ambito di trattamento assegnato ai singoli incaricati, nonché agli addetti alla gestione o alla manutenzione degli strumenti elettronici, sia coerente con i princìpi di adeguatezza, proporzionalità e necessità, anche attraverso verifiche periodiche, provvedendo, quando è necessario (non più con periodicità almeno annuale), ad aggiornare i profili di autorizzazione eventualmente accordati; 8 - gli aggiornamenti periodici dei programmi per elaboratore volti a prevenire la vulnerabilità di strumenti elettronici (ad esempio, antivirus), anche con riferimento ai programmi di cui all'art. 615-quinquies del codice penale, nonché a correggerne difetti, sono effettuati almeno annualmente e se il computer non è connesso a reti di comunicazione elettronica accessibili al pubblico (linee ADSL, accesso a Internet tramite rete aziendale, posta elettronica), l'aggiornamento deve essere almeno biennale (questi obblighi, quindi, non sono più a cadenza semestrale per i trattamenti di dati sensibili e/o giudiziari); 9 - i dati possono essere salvaguardati anche attraverso il loro salvataggio (back up) con frequenza almeno mensile (non più settimanale) ed il salvataggio periodico può non riguardare i dati non modificati dal momento dell'ultimo salvataggio effettuato (dati statici), purché ne esista una copia di sicurezza da cui effettuare eventualmente il ripristino. Infine, l'art. 6 del recente D.L. n. 70/11, convertito con L. n. 106/11, ha stabilito che: • per i soggetti che trattano con strumenti elettronici soltanto dati personali non sensibili e come unici dati sensibili e giudiziari quelli relativi ai propri dipendenti e collaboratori, anche se extracomunitari, compresi quelli relativi al coniuge ed ai parenti e, comunque, per i soggetti – quali piccole e medie imprese, liberi professionisti ed artigiani – che effettuano trattamenti di dati personali per correnti finalità amministrative e contabili saranno adottate dal Garante modalità semplificate di applicazione del disciplinare tecnico (Allegato B) di cui sopra, in ordine all'adozione delle misure minime di sicurezza.12. (SEGUE) ULTERIORI MISURE MINIME IN CASO DI TRATTAMENTO CON STRUMENTI ELETTRONICI DI DATI SENSIBILI O GIUDIZIARI.
Il disciplinare tecnico in materia di misure minime di sicurezza prevede ulteriori misure, con particolare riferimento al trattamento con strumenti elettronici di dati sensibili o giudiziari.
I) Anzitutto, i dati sensibili giudiziari devono essere protetti contro l’accesso abusivo (rilevante penalmente ex art. 615-ter c.p.) di chicchessia nel sistema informatico o telematico nel quale si trovano. Lo strumento più idoneo a garantire la sicurezza delle reti è il firewall, che consente di separare in modo virtuale la rete interna (p. es. aziendale) dalla rete esterna (internet), creando un filtro di controllo contro gli accessi abusivi (in pratica, un firewall protegge il computer dalle intrusioni, analizzando i dati che viaggiano sulla connessione internet). L’adozione e la scelta di questi strumenti - che possono essere, a seconda dei casi, più o meno sofisticati - ed il conseguente investimento economico per l’installazione di queste apparecchiature e per la loro manutenzione deve essere valutato, ovviamente, caso per caso. II) In secondo luogo, il titolare di un trattamento deve impartire istruzioni organizzative e tecniche per la custodia e l’uso dei supporti rimuovibili su cui sono memorizzati i dati (nastri magnetici, dischi, cd rom), al fine di evitare accessi non autorizzati e trattamenti non consentiti. In pratica, si dovranno, quindi, indicare dove dovranno essere conservati i supporti, scegliendo luoghi protetti contro l’accesso abusivo, le corrette regole di conservazione (p. es. lontano dalle fonti di calore) e si dovranno individuare gli incaricati autorizzati all’accesso ai supporti in cui sono memorizzati i dati. I supporti removibili contenenti dati sensibili o giudiziari, se non utilizzati, sono distrutti o resi inutilizzabili ovvero possono essere riutilizzati da altri incaricati non autorizzati al trattamento degli stessi dati, se le informazioni precedentemente in essi contenute non sono intelligibili e tecnicamente in alcun modo ricostruibili. III) In terzo luogo, per scongiurare il pericolo di danneggiamento dei dati ovvero degli strumenti per trattare i dati, si devono predisporre preventivamente degli accorgimenti tecnici ed organizzativi per garantire il ripristino dell’accesso ai dati in tempi certi non superiori a sette giorni e, comunque, compatibili con i diritti degli interessati.13. (SEGUE) MISURE DI TUTELA E GARANZIA.
Il Disciplinare Tecnico in materia di misure minime di sicurezza prevede, infine, “misure di tutela e garanzia”, sempre con riferimento ai trattamenti effettuati con l’ausilio di strumenti elettronici.
Se ci si avvale della collaborazione di consulenti e/o di organizzazioni esterne per l’adozione delle misure minime di sicurezza, l’installatore ha l’obbligo di rilasciare una dichiarazione di conformità analoga a quella rilasciata per altri tipi di installazioni (p. es. per le caldaie e per gli impianti elettrici). Il legislatore, poi, ha voluto attribuire una grossa importanza all’adozione delle misure minime di sicurezza ed, in particolare, alla redazione o all’aggiornamento del DPS, tanto da obbligare i titolari di trattamento a dichiarare in modo formale nella relazione accompagnatoria del bilancio di esercizio di avere correttamente rispettato questo obbligo. Si tratta, quindi, di inserire all’interno della relazione una frase del tipo:”La società XY, in base a quanto disposto dal punto 26 del ‘Disciplinare tecnico in materia di misure minime di sicurezza’, allegato B) del D. Lgs.vo n. 196 del 2003 ha redatto (oppure aggiornato) il proprio DPS entro il 31 Marzo dell’anno corrente”. Il codice ha introdotto questa nuova regola per rendere meglio edotti gli organi di vertice del titolare del trattamento e responsabilizzarli in materia di sicurezza, attraverso l’obbligo di riferire nella relazione di accompagnamento a ciascun bilancio di esercizio circa l’avvenuta redazione o aggiornamento del DPS che sia obbligatorio come misura “minima” o che sia stato comunque adottato (regola 26 allegato B). Anche questa menzione rappresenta una misura “minima” nuova. In ogni caso, i soggetti già tenuti alla redazione del DPS, prima del nuovo Codice della privacy, devono indicare nella relazione di accompagnamento al bilancio relativo al 2003 l’avvenuto aggiornamento.14. LE MISURE MINIME PER I TRATTAMENTI CARTACEI.
Il codice della privacy, poi, passa ad analizzare le regole per i trattamenti effettuati senza l’ausilio di strumenti elettronici.
Questo tipo di trattamento è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell’allegato B), le seguenti misure minime: a) aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati o alle unità organizzative. Si deve, in pratica, tenere una lista in cui siano elencati singolarmente gli incaricati e per ognuno di essi il corrispondente profilo di autorizzazioni al trattamento. Nell’ambito dell’aggiornamento periodico - con cadenza almeno annuale - dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati, la lista di questi può essere redatta anche per classi omogenee di incarico e dei relativi profili di autorizzazione. b) previsione di procedure per un’idonea custodia i atti e documenti affidati agli incaricati per lo svolgimento dei relativi compiti. Agli incaricati, dunque, sono impartite istruzioni scritte finalizzate al controllo ed alla custodia degli atti e dei documenti contenenti dati personali per l’intero ciclo necessario allo svolgimento delle operazioni di trattamento. In particolare, poi, quando gli atti ed i documenti affidati agli incaricati del trattamento per lo svolgimento dei relativi compiti contengono dati personali sensibili o giudiziari, essi sono controllati e custoditi dagli incaricati fino alla restituzione, in maniera che ad essi non accedano persone prive di autorizzazione e sono restituiti al termine delle operazioni affidate. c) previsione di procedure per la conservazione di determinati atti in archivi ad accesso selezionato e disciplina delle modalità di accesso finalizzata all’identificazione degli incaricati. In altri termini, l’accesso agli archivi contenenti dati sensibili o giudiziari deve essere controllato. Le persone ammesse, a qualunque titolo, dopo l’orario di chiusura, devono essere identificate e registrate. Quando gli archivi non sono dotati di strumenti elettronici per il controllo degli accessi o di incaricati della vigilanza, le persone che vi accedono devo essere preventivamente autorizzate. I dati sensibili ed i dati giudiziari possono essere conservati solamente in archivi a cui possono accedere solamente gli incaricati autorizzati al trattamento.14bis. (SEGUE) SEMPLIFICAZIONI CIRCA I TRATTAMENTI CARTACEI.
Il Garante per la Privacy, con provvedimento del 27/11/2008, sempre per i titolari di trattamento dati di cui al paragrafo 11bis ha stabilito anche modalità semplificate per i trattamenti realizzati senza l'ausilio di strumenti elettronici.
In particolare: a - agli incaricati sono impartite, anche oralmente, istruzioni finalizzate al controllo e alla custodia, per l'intero ciclo necessario allo svolgimento delle operazioni di trattamento, degli atti e dei documenti contenenti dati personali; b - quando gli atti e i documenti contenenti dati personali sensibili o giudiziari sono affidati agli incaricati del trattamento per lo svolgimento dei relativi compiti, i medesimi atti e documenti sono controllati e custoditi dai medesimi incaricati fino alla restituzione in modo che a essi non accedano persone prive di autorizzazione, e sono restituiti al termine delle operazioni affidate. In pratica, è stato rimosso l'obbligo della registrazione e della autorizzazione per gli accessi agli archivi fuori orario.15. DEFINIZIONE DI PROFILI E PERSONALITA’ DELL’INTERESSATO.
Il legislatore, sensibile alla pericolosità dei sistemi di profilazione individuale, ha disciplinato in modo specifico il delicato aspetto relativo alla definizione di profili e personalità dell’interessato.
I profili elettronici individuali possono essere definiti, in via sintetica, come quelle situazioni in cui si delega, in via esclusiva, allo strumento elettronico una valutazione relativa al comportamento umano. Lo strumento, infatti, sulla base di criteri e regole matematiche predefinite, rilascia in automatico risultati che riproducono vere valutazioni, che sono alla base di specifiche decisioni. Di frequente la profilazione è il frutto di un procedimento composito, caratterizzato dall’interazione di un operatore con uno strumento elettronico che funge da supporto alla di lui valutazione soggettiva. Altre volte, invece, il procedimento di valutazione è affidato in via esclusiva alla macchina, senza l’assistenza dell’uomo. Solo quest’ultima ipotesi è quella disciplinata al legislatore tramite la previsione di un divieto assoluto quando si tratta di provvedimenti giudiziari o amministrativi che si fondano su tali valutazioni e con la previsione di un diritto di opposizione dell’interessato, per motivi legittimi, negli altri casi. In ogni caso, il codice stabilisce che se nella profilazione vi sono operazioni di raffronto tra dati sensibili e dati giudiziari dell’individuo interessato, occorre procedere ad annotazione scritta dei motivi di tali operazioni. Se, poi, dette operazioni e trattamenti sono effettuati utilizzando banche di dati di diversi titolari e, per tal motivo, comprendono la diffusione dei dati, è necessaria una espressa disposizione di legge che li ammetta. Si rammenti, infine, che i dati sensibili e giudiziari non possono comunque essere utilizzati nell’ambito di test psico-attitudinali.16. TRATTAMENTO DEI DATI DA PARTE DI SOGGETTI PUBBLICI.
Con riferimento ai soggetti pubblici (esclusi i c.d. enti pubblici economici), il trattamento da parte di essi è consentito soltanto per lo svolgimento delle loro funzioni istituzionali, anche in mancanza di norme di legge o di regolamento che lo preveda espressamente.
Salvo casi particolari (in materia di sanità), i soggetti non pubblici devono richiedere il consenso dell’interessato per il trattamento dei suoi dati personali. La comunicazione e la diffusione di dati personali da parte di un soggetto pubblico sono vietate: a) se c’è il divieto del Garante; b) se c’è il divieto dell’A.G.; c) se è stata ordinata la cancellazione dei dati; d) se è decorso il periodo di tempo necessario agli scopi per i quali i dati sono stati raccolti; e) se avvengono per finalità diverse da quelle indicate nella notificazione del trattamento. In tutti gli altri casi e purché non si tratti di dati giudiziari o sensibili, il codice consente la comunicazione dei dati trattati ad altri soggetti pubblici o privati. Tuttavia, mentre nel primo caso (comunicazione a soggetti pubblici, eccettuati gli enti pubblici economici) la comunicazione è ammessa se è prevista dalla legge o da regolamenti ovvero se è necessaria per lo svolgimento delle proprie funzioni istituzionali, nel secondo (comunicazione a soggetti privati o ad enti pubblici economici) la comunicazione è ammessa solo se è prevista dalla legge o da regolamenti. A) Dati personali sensibili. Per “dati sensibili” si intendono quei dati idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, le adesioni ai partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico, sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale. La raccolta di questi dati avviene, di regola, da parte del soggetto pubblico presso l’individuo interessato, da cui i dati provengono. Il trattamento deve essere preceduto dall’informativa di cui al paragrafo 3 del presente scritto. Nella informativa il soggetto pubblico deve fare espresso riferimento alla normativa che prevede i propri obblighi nell’effettuare il trattamento. Il trattamento di questi dati da parte di soggetti pubblici è consentito solo se autorizzato dalla legge, con specificazioni in merito da parte di essa. In particolare, se la legge, pur prevedendo il trattamento, non specifica i tipi di dati sensibili e le operazioni eseguibili con essi, il trattamento è consentito solo per quei dati e per quelle operazioni individuati con atto di natura regolamentare, adottato in conformità al parere espresso dal Garante. Se, invece, la legge non prevede proprio il trattamento, il soggetto pubblico può chiedere l’autorizzazione al trattamento al Garante. In ogni caso, il trattamento deve avvenire secondo modalità volte a prevenire la violazione della dignità dell’interessato, dei diritti e delle libertà fondamentali dello stesso. Dai soggetti pubblici possono essere trattati solo dati indispensabili per svolgere le proprie attività istituzionali. Nel trattamento i soggetti pubblici sono tenuti a verificare e ad assicurare periodicamente: 1) l’esattezza dei dati in loro possesso; 2) l’aggiornamento degli stessi; 3) la loro pertinenza rispetto alle finalità pubbliche perseguite; 4) la loro completezza, non eccedenza ed indispensabilità sempre rispetto a dette finalità; 5) la indispensabilità di quei dati in loro possesso che sono riferiti a soggetti diversi da quelli cui si riferiscono direttamente le prestazioni o gli adempimenti del soggetto pubblico; 6) la conservazione e l’utilizzo separati dei dati relativi a salute e vita sessuale rispetto agli altri dati in suo possesso; 7) l’utilizzo di tecniche di cifratura o di codici identificativi (o simili) nella gestione con strumenti elettronici (p. es. computers) di elenchi, registri o banche dati (n.b. dette tecniche o codici devono rendere temporaneamente inintelligibili i dati anche a chi è autorizzato ad accedervi e devono permettere di identificare gli interessati solo in caso di necessità); 8) l’utilizzo delle stesse tecniche o codici, con le medesime modalità ed effetti, anche nella gestione senza l’ausilio di strumenti elettronici di elenchi, registri o banche dati relativi alla salute ed alla vita sessuale degli interessati; 9) il rapporto tra i dati in loro possesso e gli adempimenti che gli competono. I dati che, a seguito delle verifiche suddette, risultino eccedenti o non pertinenti o non indispensabili non possono essere utilizzati (salvo la conservazione dell’atto o documento che li contiene). I dati idonei a rivelare lo stato di salute di un individuo non possono essere diffusi. B) Dati personali giudiziari. Per “dati giudiziari” si intendono i dati personali idonei a rivelare provvedimenti giudiziari penali di condanna e non, civili di interdizione ed inabilitazione, di fallimento ed amministrativi vari (elenco all’art. 3 del D.P.R. n. 313/2002). Il trattamento di questi dati da parte di soggetti pubblici è consentito solo se autorizzato dalla legge o dal Garante, con precisazioni in merito. Sul tema vale quanto già detto per i dati sensibili.17. LE AUTORIZZAZIONI DEL GARANTE.
L’art. 26 del codice prevede, al comma 4°, che in alcuni casi i dati sensibili possono essere oggetto di trattamento anche senza il consenso dell’interessato, previa autorizzazione del Garante.
Tale disposizione conferma numerose autorizzazioni rilasciate dal Garante prima dell’uscita del nuovo codice della privacy. Queste autorizzazioni generali al trattamento dei dati sensibili rilasciate dal Garante sono state prorogate nella loro efficacia sino al 30.06.2004. Con esse il Garante ha autorizzato determinate forme di trattamento dei dati sensibili, anche allo scopo di prescrivere misure uniformi a garanzia degli interessati, rendendo così superflua la richiesta di singoli provvedimenti autorizzatori. Si tratta di provvedimenti molto importanti, in quanto con essi il Garante ha dato il via libera allo svolgimento di una serie di trattamenti aventi ad oggetto dati sensibili relativi a particolari categorie senza la necessità, da parte del titolare, di recepire il consenso scritto dell’interessato. Essi sono: - Autorizzazione n. 1/2002 al trattamento dei dati sensibili nei rapporti di lavoro; - Autorizzazione n. 2/2002 al trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale; - Autorizzazione n. 3/2002 al trattamento dei dati sensibili da parte degli organismi di tipo associativo e delle fondazioni; - Autorizzazione n. 4/2002 al trattamento dei dati sensibili da parte dei liberi professionisti; - Autorizzazione n. 5/2002 al trattamento dei dati sensibili da parte di diverse categorie di titolari; - Autorizzazione n. 7/2002 al trattamento di dati di carattere giudiziario da parte di privati, di enti pubblici economici e di soggetti pubblici. Ciò conferma l’art. 40 del codice, secondo il quale “Le disposizioni del presente codice che prevedono un'autorizzazione del Garante sono applicate anche mediante il rilascio di autorizzazioni relative a determinate categorie di titolari o di trattamenti, pubblicate nella Gazzetta Ufficiale della Repubblica italiana”. Il titolare del trattamento che rientra nell'ambito di applicazione di un'autorizzazione rilasciata ai sensi dell'articolo 40 predetto non è tenuto a presentare al Garante una richiesta di autorizzazione, se il trattamento che intende effettuare è conforme alle relative prescrizioni. Se una richiesta di autorizzazione riguarda un trattamento autorizzato ai sensi dell'articolo 40, il Garante può provvedere, comunque, sulla richiesta se le specifiche modalità del trattamento lo giustificano. L'eventuale richiesta di autorizzazione è formulata utilizzando esclusivamente il modello predisposto e reso disponibile dal Garante e trasmessa a quest’ultimo per via telematica, osservando le modalità di sottoscrizione e conferma del ricevimento di cui all'articolo 38, comma 2. La medesima richiesta e l'autorizzazione possono essere trasmesse anche mediante telefax o lettera raccomandata. La decisione del Garante sull’autorizzazione è comunicata al richiedente entro 45 giorni, decorsi i quali la mancata pronuncia equivale a rigetto. In presenza di particolari circostanze, il Garante può rilasciare un'autorizzazione provvisoria a tempo determinato.18. TRASFERIMENTI DI DATI ALL’ESTERO.
Il D.Lgs.vo n. 196/2003 dedica una parte apposita (Titolo VII) alla disciplina del trasferimento di dati all’estero. Questo aspetto è, poi, regolato anche da alcune specifiche deliberazioni del garante, adottate sulla base delle direttive comunitarie in materia di trasferimento di dati personali all’estero. Il principio fondamentale in materia di trasferimento di dati personali all’estero è quello dell’individuazione del luogo di destinazione delle informazioni trattate. Ogni trasferimento che sia diretto verso paesi appartenenti all’U.E. è consentito senza limitazione alcuna. Questo perché lo spazio comune europeo è disciplinato da una normativa uniforme in materia di tutela dei dati personali (Direttiva n. 95/46/Ce). Diversamente, per i dati destinati a paesi extraeuropei, si presume che il relativo ordinamento non presenti le stesse garanzie assicurate dallo Stato di provenienza delle informazioni. Pertanto, per una maggiore tutela dei diritti dell’interessato, vige il divieto del trasferimento dei dati, a meno che ricorra una delle condizioni previste dal D.Lgs.vo n. 196/2003, ovvero che l’ordinamento giuridico del Pese destinatario assicuri un adeguato livello di protezione dei dati personali. Per quanto riguarda il trasferimento di dati personali all’interno dei Paesi dell’U.E., il comma 2° dell’art. 1 della direttiva n. 95/46/Ce esprime il principio della libera circolazione dei dati personali fra i Paesi U.E., ovviamente sulla base delle tutele e delle garanzie apprestate dalla medesima direttiva. Per il trasferimento di dati verso Paesi extracomunitari, nei quali le garanzie poste tutela della privacy potrebbero non essere adeguate, altre sono le regole. L’art. 45 del codice, infatti, vieta il trasferimento di dati verso Paesi non appartenenti all’U.E. nei casi in cui l’ordinamento dello Stato di destinazione “non assicura un livello di tutela delle persone adeguato”. Il trasferimento di dati personali oggetto di trattamento fuori dal territorio italiano verso Paesi extra U.E., anche se temporaneo, comunque, è consentito quando: a) l'interessato ha manifestato il proprio consenso espresso o, se si tratta di dati sensibili, in forma scritta; b) è necessario per l'esecuzione di obblighi derivanti da un contratto del quale è parte l'interessato o per adempiere, prima della conclusione del contratto, a specifiche richieste dell'interessato, ovvero per la conclusione o per l'esecuzione di un contratto stipulato a favore dell'interessato; c) è necessario per la salvaguardia della vita o dell’incolumità fisica di un terzo; d) è necessario ai fini dello svolgimento delle investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397, o, comunque, per far valere o difendere un diritto in sede giudiziaria, sempre che i dati siano trasferiti esclusivamente per tali finalità e per il periodo strettamente necessario al loro perseguimento, nel rispetto della vigente normativa in materia di segreto aziendale e industriale; f) è effettuato in accoglimento di una richiesta di accesso ai documenti amministrativi, ovvero di una richiesta di informazioni estraibili da un pubblico registro, elenco, atto o documento conoscibile da chiunque, con l'osservanza delle norme che regolano la materia; g) è necessario, in conformità ai rispettivi codici di deontologia per esclusivi scopi scientifici o statistici ovvero per esclusivi scopi storici presso archivi privati dichiarati di notevole interesse storico; h) il trattamento concerne dati riguardanti persone giuridiche, enti o associazioni. Altresì, il trasferimento è consentito - anche al di fuori delle ipotesi appena viste - quando sia stato appositamente autorizzato dal Garante. Detta autorizzazione, in particolare, può essere data solo se: a) sussistono le garanzie per l’interessato individuate con le apposite decisioni assunte dalla Commissione Europea, ex art. 25 della direttiva n. 95/46/Ce, con le quali detta Commissione constata che un Paese non appartenente all'Unione europea garantisce un livello di protezione adeguato, tenuto anche conto della legislazione nazionale o degli impegni internazionali assunti dallo Stato verso il quale i dati personali sono destinati; b) i trasferimenti vengono effettuati sulla base ed in conformità delle clausole contrattuali tipo approvate dalla Commissione Europea con le specifiche direttive 2001/297/Ce e 2002/16/Ce; c) sussistono le garanzie per l’interessato individuate dal Garante in relazione a garanzie prestate con un contratto. Fuori dei casi di cui sopra, il trasferimento anche temporaneo fuori del territorio dello Stato, con qualsiasi forma o mezzo, di dati personali oggetto di trattamento, diretto verso un Paese non appartenente all'Unione europea, è vietato, quando l'ordinamento del Paese di destinazione o di transito dei dati non assicura un livello di tutela delle persone adeguato. Si noti bene che l'art. 29 del D.L. n. 112/08 prevede semplificazioni in tema di trasferimento di dati personali verso Paesi non U.E. Adesso il Garante per la Privacy può autorizzare detto trasferimento dopo avere appurato l'esistenza delle necessarie garanzie, oltre che su base contrattuale, anche mediante regole di condotta esistenti nell'ambito di società appartenenti a un medesimo gruppo. Ora l'interessato può far valere i propri diritti nel territorio dello Stato, in base al presente Codice, anche in ordine all'inosservanza delle garanzie medesime.
