Protezione dei dati personali - ISCOM

Transcript

Giancarlo Butti
Banco Popolare - Audit Conformità e presidi 231/2001
PROTEZIONE DEI DATI PERSONALI: AGGIORNAMENTI NORMATIVI.
LE CONSEGUENZE SUGLI ADEMPIMENTI FORMALI E SUI SISTEMI INFORMATIVI.
(PROTECTING PERSONAL DATA: LATEST REGULATORY UPDATES.
THE FALL-OUT ON FORMAL PROCEDURES AND IT SYSTEMS.)
Sommario
Mentre è in discussione il nuovo regolamento privacy che
andrà a sostituire le varie normative nazionali all’interno
dell’UE sia il legislatore sia lo stesso Garante per la protezione dei dati personali hanno introdotto negli ultimi anni una
serie di variazioni all’insieme di norme che regolano la protezione dei dati personali.
La successione degli interventi, da un lato ha mirato a
semplificare taluni adempimenti, considerati troppo onerosi per
molte categorie di Titolari, dall’altro ha portato a una maggiore focalizzazione su settori particolari, come quello del credito e delle telecomunicazioni.
Le variazioni introdotte tuttavia non sempre hanno prodotto gli effetti desiderati, risultando in molti casi inapplicabili e quindi inutili. Solo dopo diverse rettifiche oggi si dispone
di un quadro complessivo che tuttavia propone una semplificazione più teorica che pratica.
Inoltre, a oltre 15 anni dall’introduzione della normativa, talune semplificazioni, quali ad esempio la limitazione alle
persone fisiche della tutela prevista dalle disposizioni normative, possono avere impatti non prevedibili non solo dal punto di
vista degli adempimenti formali, ma anche sui sistemi informativi utilizzati per la loro gestione. In questo articolo si
ripercorrono le tappe di alcune delle ultime variazioni e delle
loro possibili conseguenze.
1. Introduzione
Nella Tabella 1 sono riportate alcune definizioni
utili per la comprensione dei contenuti dell’articolo.
I testi della normativa riportati nell’articolo
hanno valore solo indicativo; i testi ufficiali sono unicamente quelli disponibili sulla Gazzetta Ufficiale
della Repubblica Italiana a mezzo stampa.
I testi qui riprodotti sono tratti dai siti
www.garanteprivacy.it e www.normattiva.it.
Speciale Sicurezza ICT
A bstract
While the new European privacy regulations that will
replace the various national regulations within the EU are
under discussion, both national legislators and the commissioner for Data Privacy have introduced in recent years a series
of variations to the current regulations that govern Data
Privacy.
The sequence of variations that from one side has attempted to simplify application of the rules, from another point of
view has considered them an additional burden and still another point of view has seen them as a specific zoom on critical
sectors such as Banking & Finance and Telecommunications.
The new modifications did not all have the desired effects,
often inapplicable in practice and therefore useless. Only after
various rectifications a simplified, complete working picture
has emerged but which is more theoretical than practical.
15 years from the introduction of the Data Privacy regulations these simplifications, such as the reduction of applicability of the regulations to only protect individuals, are modifying not only formal administrative requirements, but also the
IT Systems used to manage these processes. This article reviews
the sequence of some of the latest variations and their possible consequences - often unpredicted initially.
2. Le misure di sicurezza e l’impatto sui sistemi informativi nella normativa privacy
La regolamentazione degli aspetti relativi alla
sicurezza è disciplinata nell’ambito della normativa
privacy da una articolata serie di norme (vedi Tabella
2), contenute nel Dlgs 196/03 (art. 3 e artt. 30-36),
nell’ Allegato B - Disciplinare tecnico in materia
di misure minime di sicurezza (che regola in particolare le misure minime di sicurezza) e da una serie
61
Giancarlo Butti
di atti del Garante per la protezione dei dati personali.
In particolare tramite l’articolo 31:
Art. 31. Obblighi di sicurezza
1. I dati personali oggetto di trattamento sono custoditi e
controllati, anche in relazione alle conoscenze acquisite in base
al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo,
mediante l'adozione di idonee e preventive misure di sicurezza,
i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito
o non conforme alle finalità della raccolta.
Il Dlgs 196/03 introduce una generica richiesta di
definizione ed implementazione di misure di sicurezza, da valutare a carico del Titolare in funzione di
diversi fattori (al progresso tecnico, alla natura dei
dati e alle specifiche caratteristiche del trattamento),
nonché finalizzate a prevenire una serie di rischi ben
identificati (i rischi di distruzione o perdita, anche
accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme
alle finalità della raccolta).
Soddisfare tali richieste è tutt’altro che banale, in
particolare per quanto attiene i rischi di distruzione o
perdita, anche accidentale.
Nel caso in cui la mancata adozione di adeguate
misure di sicurezza o di altre fattispecie comporti un
danno per gli interessati si applica l’art. 15 del Dlgs
196/03:
Art. 15. Danni cagionati per effetto del trattamento
1. Chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell'articolo 2050 del codice civile.
2. Il danno non patrimoniale è risarcibile anche in caso di
violazione dell'articolo 11.
Ai Titolari sono prescritte in ogni caso una serie
di misure definite minime, meglio definite negli artt.
33 – 35 e nell’Allegato B - Disciplinare tecnico in
materia di misure minime di sicurezza (vedi
Tabella 3).
La mancata adozione di tali misure è presidiata
penalmente.
Impatti significativi sul sistema informativo sono
anche introdotti dall’art. 3:
Art. 3. Principio di necessità nel trattamento
62
dei dati
1. I sistemi informativi e i programmi informatici sono
configurati riducendo al minimo l'utilizzazione di dati personali e di dati identificativi, in modo da escluderne il trattamento quando le finalità perseguite nei singoli casi possono
essere realizzate mediante, rispettivamente, dati anonimi od
opportune modalità che permettano di identificare l'interessato
solo in caso di necessità.
Tale articolo la cui mancata adozione non viene
specificatamente sanzionata, è uno dei meno osservati della norma, anche in considerazione del notevole impatto che avrebbe la sua reale applicazione sui
sistemi informativi esistenti.
Il rispetto di tale principio è tuttavia costantemente richiamato nelle Autorizzazioni di carattere
generale (il cui mancato rispetto potrebbe essere
sanzionato) emesse periodicamente dal Garante per
la protezione dei dati personali per il trattamento dei
dati sensibili in vari ambiti, quali ad esempio nella
gestione dei rapporti di lavoro.
Il rispetto del complesso delle misure di sicurezza
e dell’articolo 3 è tutt’altro che semplice ed i casi di
violazione, per scarsa conoscenza della norma o per
oggettiva difficoltà sono molto frequenti (vedi
Tabella 4).
za
3. Le semplificazioni nelle misure di sicurez-
Sia il legislatore, sia il Garante per la protezione
dei dati personali hanno già da qualche anno iniziato
a svolgere un’attività di semplificazione delle norme,
ritenute troppo onerose in particolare per le PMI e
gli studi professionali.
Il primo passo è stata l’emissione della Guida
pratica e misure di semplificazione per le piccole e medie imprese - 24 maggio 2007, che in realtà si limita a tradurre in forma discorsiva i contenuti
del Dlgs 196/03 e relativi allegati.
Successivamente
è
stata
emessa
la
Semplificazione delle misure di sicurezza contenute nel disciplinare tecnico di cui all'Allegato
B) al Codice in materia di protezione dei dati
personali - 27 novembre 2008 (G.U. n. 287 del 9
dicembre 2008).
In particolare le semplificazioni del 2008 hanno
introdotto variazioni alle misure minime di sicurezza
(vedi Tabella 5), compresa la redazione del DPS.
Quello che interessa evidenziare è che il perimeSpeciale Sicurezza ICT
PROTEZIONE DEI DATI PERSONALI: AGGIORNAMENTI NORMATIVI. LE CONSEGUENZE SUGLI ADEMPIMENTI FORMALI E SUI SISTEMI INFORMATIVI.
(PROTECTING PERSONAL DATA: LATEST REGULATORY UPDATES. THE FALL-OUT ON FORMAL PROCEDURES AND IT SYSTEMS.)
tro di applicazione di tale semplificazione è particolarmente limitato, considerando che i soggetti che
possono avvalersene sono sommariamente identificati nell’art. 1:
Art. 1. Soggetti che possono avvalersi della
semplificazione
Le seguenti modalità semplificate sono applicabili dai soggetti pubblici o privati che:
a) utilizzano dati personali non sensibili o che trattano
come unici dati sensibili riferiti ai propri dipendenti e collaboratori anche a progetto quelli costituiti dallo stato di salute o
malattia senza indicazione della relativa diagnosi, ovvero dall'adesione a organizzazioni sindacali o a carattere sindacale;
b) trattano dati personali unicamente per correnti finalità
amministrative e contabili, in particolare presso liberi professionisti, artigiani e piccole e medie imprese (cfr. art. 2083 cod.
civ. e d.m. 18 aprile 2005, recante adeguamento alla disciplina comunitaria dei criteri di individuazione di piccole e medie
imprese, pubblicato nella Gazzetta Ufficiale 12 ottobre 2005,
n. 238).
In particolare tale formulazione non considera
diversi aspetti:
a) il datore di lavoro non si limita a trattare i dati
dei propri dipendenti, ma anche quelli dei loro
familiari e anche di questi ultimi può trattare
dati sensibili (ad esempio per la concessione di
agevolazioni di legge ai dipendenti)
b) relativamente al potenziale trattamento della
diagnosi di malattie o infortunio è lo stesso
Garante per la protezione dei dati personali,
che nelle proprie Linee guida in materia di
trattamento di dati personali di lavoratori
per finalità di gestione del rapporto di
lavoro alle dipendenze di datori di lavoro
privati, elenca i casi in cui un datore di lavoro
potrebbe venirne a conoscenza.
Appare quindi evidente che nessun Titolare che
abbia dipendenti possa rientrare nei casi previsti dall’art. 1, comma a.
Per quanto attiene l’art. 1, comma b la formulazione di correnti finalità amministrative e contabili
era talmente generica all’atto dell’emissione della
semplificazione che non consentiva un’idonea interpretazione; successivamente si è arrivati alla seguente formulazione, inserita direttamente nel Dlgs
196/03:
Art. 34. Trattamenti con strumenti elettronici
1-ter. Ai fini dell'applicazione delle disposizioni in materia di protezione dei dati personali, i trattamenti effettuati per
finalità amministrativo-contabili sono quelli connessi allo svolgimento delle attività di natura organizzativa, amministrativa, finanziaria e contabile, a prescindere dalla natura dei dati
trattati. In particolare, perseguono tali finalità le attività organizzative interne, quelle funzionali all'adempimento di obblighi contrattuali e precontrattuali, alla gestione del rapporto di
lavoro in tutte le sue fasi, alla tenuta della contabilità e all'applicazione delle norme in materia fiscale, sindacale, previdenziale-assistenziale, di salute, igiene e sicurezza sul lavoro.
Tale formulazione è estremamente estensiva; di
norma la maggior parte delle aziende e degli studi
professionali svolge quasi esclusivamente questo tipo
di trattamenti.
4. Le semplificazioni nella redazione del DPS
La redazione del DPS è considerata particolarmente onerosa ed è stata introdotta con il DPR del
28 luglio 1999, n. 318; successivamente con il Dlgs
196/03 e relativo Allegato B sono state introdotte
ulteriori specificazioni per la sua compilazione.
La sua redazione non è considerata obbligatoria
per tutti, ma è limitata ai soggetti che rientrano nella
definizione sotto riportata, come peraltro precisato
anche nella Guida pratica e misure di semplificazione per le piccole e medie imprese.
In base alla vigente disciplina, in caso di trattamento di
dati sensibili e giudiziari attraverso sistemi informatici [Vedi
art. 34 del Dlgs 196/03 per la corretta definizione] deve essere redatto il documento programmatico sulla sicurezza (art.
34, comma 1, lett. g) e regola 19 dell’Allegato B al Codice).
Come vedremo in realtà questo è vero unicamente se si considera il DPS come una delle misure minime di sicurezza; ma andiamo con ordine.
La prima semplificazione relativa al DPS è stata
introdotta con il Decreto-Legge convertito con
modificazioni dalla L. 6 agosto 2008, n. 133 (in
SO n.196, relativo alla G.U. 21/08/2008, n.195).
Art. 29. Trattamento dei dati personali
1. All'articolo 34 del ((codice in materia di protezione dei
dati personali, di cui al)) decreto legislativo 30 giugno 2003,
n. 196, dopo il comma 1 e' aggiunto il seguente:
(("1-bis. Per i soggetti che trattano soltanto dati personali
non sensibili e che trattano come unici dati sensibili quelli
63
Giancarlo Butti
costituiti dallo stato di salute o malattia dei propri dipendenti e collaboratori anche a progetto, senza indicazione della
relativa diagnosi, ovvero dall'adesione ad organizzazioni sindacali o a carattere sindacale, la tenuta di un aggiornato
documento programmatico sulla sicurezza e' sostituita dall'obbligo di autocertificazione, resa dal titolare del trattamento
ai sensi dell'articolo 47 del testo unico di cui al decreto del
Presidente della Repubblica 28 dicembre 2000, n. 445, di
trattare soltanto tali dati in osservanza delle altre misure di
sicurezza prescritte. In relazione a tali trattamenti, nonche'
a trattamenti comunque effettuati per correnti finalita' amministrative e contabili, in particolare presso piccole e medie
imprese, liberi professionisti e artigiani, il Garante, sentito il
Ministro per la semplificazione normativa, individua con
proprio provvedimento, da aggiornare periodicamente, modalita' semplificate di applicazione del disciplinare tecnico di cui
all'Allegato B) in ordine all'adozione delle misure minime di
cui al comma 1")).
Mentre la seconda semplificazione è stata introdotta con la già citata Semplificazione delle misure di sicurezza contenute nel disciplinare tecnico di cui all'Allegato B) al Codice in materia di
protezione dei dati personali - 27 novembre 2008
(G.U. n. 287 del 9 dicembre 2008), che amplia rispetto
alla definizione dell’agosto 2008 l’ambito dei dati
sensibili trattati dal Titolare il cui trattamento non
comporta la redazione del DPS e introduce il concetto delle correnti finalità amministrative e contabili, differenziando nei due casi le modalità di semplificazione delle quali può avvalersi il Titolare (autocertificazione o redazione di una versione più limitata
del DPS).
I limiti di tali definizioni sono stati già espressi nel
paragrafo precedente.
Con il Decreto legge 13 maggio 2011, n. 70,
convertito, con modificazioni, dalla legge 12
luglio 2011, n. 106 (G.U. 12/7/2011, n. 160), viene
introdotta la seguente ulteriore definizione:
1-bis. Per i soggetti che trattano soltanto dati personali non
sensibili e che trattano come unici dati sensibili e giudiziari
quelli relativi ai propri dipendenti e collaboratori, anche se
extracomunitari, compresi quelli relativi al coniuge e ai parenti, la tenuta di un aggiornato documento programmatico sulla
sicurezza è sostituita dall'obbligo di autocertificazione, resa
dal titolare del trattamento ai sensi dell' articolo 47 del testo
unico di cui al decreto del Presidente della Repubblica 28
dicembre 2000, n. 445, di trattare soltanto tali dati in osservanza delle misure minime di sicurezza previste dal presente
64
codice e dal disciplinare tecnico contenuto nell'allegato B). In
relazione a tali trattamenti, nonché a trattamenti comunque
effettuati per correnti finalità amministrativo-contabili, in particolare presso piccole e medie imprese, liberi professionisti e
artigiani, il Garante, sentiti il Ministro per la semplificazione
normativa e il Ministro per la pubblica amministrazione e
l'innovazione, individua con proprio provvedimento, da aggiornare periodicamente, modalità semplificate di applicazione del
disciplinare tecnico contenuto nel citato allegato B) in ordine
all'adozione delle misure minime di cui al comma 1.
Tale definizione è sufficientemente amplia e chiara da ridurre notevolmente, almeno in linea teorica, il
numero dei soggetti ancora tenuti alla redazione del
DPS.
Rientrano fra i Titolari per i quali permane l’obbligo di redazione medici, dentisti, banche, assicurazioni, commercialisti…
Tuttavia anche tale definizioni non è così esaustiva come si potrebbe ritenere. Sono diversi i dati sensibili dei collaboratori e dipendenti che un Titolare
potrebbe, suo malgrado, trattare e che quindi lo
escluderebbero da tale semplificazione.
Ad esempio, nel caso in cui un Titolare registri i
dati relativi alla navigazione Internet, potrebbe effettuare un trattamento di dati personali sensibili relativi ai propri dipendenti e collaboratori, come precisato in:
Lavoro: le linee guida del Garante per posta
elettronica e internet.
Anche questa limitazione è stata eliminata con
l’articolo 47 del Decreto sulle semplificazioni, che
abroga sia il comma appena citato sia la redazione del
DPS:
(Semplificazioni in materia di dati personali)
1. Al decreto legislativo 30 giugno 2003, n. 196, sono
apportate le seguenti modificazioni:
b) all’articolo 34 sono soppressi la lettera g) del comma 1
e il comma 1-bis;
c ) nel disciplinare tecnico in materia di misure minime di
sicurezza di cui all’allegato B sono soppressi i paragrafi da 19
a 19.8 e 26.
5. Impatti della semplificazione ed abrogazione nella redazione del DPS
La redazione del DPS, anche se non obbligatoria,
è comunque una scelta vivamente consigliata.
Infatti tale documento non è altri che l’elencazione delle modalità con cui il Titolare, dopo una analisi dei rischi più o meno approfondita e formalizzata,
ha implementato le propri misure di sicurezza, comprese quelle minime (che restano comunque obbligatorie), così come richiesto dall’art. 31 della normativa.
La presenza di un adeguato DPS (o di analogo
documento) è un valido strumento di difesa del
Titolare nel caso in cui un interessato subisca un
danno in seguito ad esempio alla distruzione dei suoi
dati (si pensi ad esempio alla distruzione o perdita di
documenti fiscali da parte di un commercialista) o
alla intercettazione di dati riservati (ad esempio per
un uso non corretto degli strumenti di trasmissione).
Solo la presenza di tale documento, che evidenzi
l’impegno adottato dal Titolare nell’adozione di
quanto prescritto dall’art. 31 del Dlgs 196/03, può
infatti ridurre le conseguenze di un’azione derivante
dall’applicazione dell’art. 15 dello stesso Dlgs
196/03.
6. La riduzione del perimetro
La normativa italiana ha introdotto già con la
legge 675/96 una tutela dei dati personali, non limitata alle sole persone fisiche, che trova pochi analoghi nelle altre legislazioni nazionali.
Avere esteso tale tutela alle persone giuridiche,
enti, associazioni… ha introdotto a carico dei
Titolari di trattamento una serie di oneri che mal si
bilanciavano con la tutela fornita, in considerazione
in particolare che le aziende si scambiano continuamente dati fra di loro e che il poter svolgere attività
di marketing presso altre aziende è una esigenza fondamentale.
Con il Decreto legge 13 maggio 2011, n. 70,
convertito, con modificazioni, dalla legge 12
luglio 2011, n. 106 (G.U. 12/7/2011, n. 160), viene
aggiunto all’art, 5 del Dlgs 196/03 il seguente
comma:
"3-bis. Il trattamento dei dati personali relativi a persone
giuridiche, imprese, enti o associazioni effettuato nell'ambito
di rapporti intercorrenti esclusivamente tra i medesimi soggetti
per le finalita' amministrativo - contabili, come definite all'articolo 34, comma 1-ter, non e' soggetto all'applicazione del
presente codice.";
Tale semplificazione, sebbene di ampia portata,
introduceva una serie di incongruenze piuttosto evidenti.
Infatti la limitazione alle sole persone fisiche della
tutela introdotta dal Dlgs 196/03, poteva essere
messa in atto solo nel caso in cui il Titolare del trattamento non fosse una persona fisica.
Quindi paradossalmente, mentre un’azienda non
era più tenuta, ad esempio, a rilasciare l’informativa
ad altre aziende (ma solo alle persone fisiche), un
libero professionista avrebbe dovuto continuare a
rilasciarla sia alle persone fisiche, sia alle persone giuridiche, enti, associazioni… dei quali trattava i dati.
Tale comma viene successivamente abrogato dal
Decreto Legge 6 dicembre 2011, n. 201, convertito, con modificazioni, dalla legge 22 dicembre
2011, n. 214 che ha introdotto la seguente variazione:
Art. 4. Definizioni
1. Ai fini del presente codice si intende per:
b) "dato personale", qualunque informazione relativa a
persona fisica, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi
compreso un numero di identificazione personale.
Definizione attualmente in vigore.
Tale semplificazione è invece chiara e senza ambiguità (almeno in apparenza) e di ampia portata.
7. Gli effetti della riduzione del perimetro
La riduzione alle sole persone fisiche (ma anche
questo come vedremo non è del tutto vero) della
tutela prevista dalla normativa privacy può avere
degli effetti imprevisti, sia su alcuni aspetti formali,
sia sull’applicazione di altri adempimenti che interessano i sistemi informativi.
Consideriamo prima di tutto quale sia la reale
portata di questa limitazione del perimetro.
Si è soliti considerare fra le persone fisiche i clienti (che siano effettivamente persone fisiche), i dipendenti, i collaboratori, i loro familiari, i cittadini…
In realtà non è proprio così; la formulazione della
normativa con la sua definizione attuale, non può
prescindere dalla sua formulazione precedente, che
comprendeva anche persone giuridiche, enti, associazioni…
In questo contesto è più che lecito porre la questione su come devono essere considerati ad esempio
professionisti ed artigiani.
65
Giancarlo Butti
Sono persone fisiche, e quindi tutelati dalla normativa, o prevale la loro condizione professionale e
quindi ne sono esclusi?
Al riguardo il Garante per la protezione dei dati
personali nella sua pubblicazione “La Privacy dalla
parte dell’impresa” cita seppure in un altro contesto
“…persona fisica (si pensi all’imprenditore individuale)…”.
Il legislatore per contro ha proposto ulteriori limitazioni alla tutela, alcune delle quali non sono state
successivamente convertite in legge.
Al di là di questo aspetto si introduce un’ulteriore
considerazione. A partire dall’entrata in vigore della
legge 675/96 appariva chiaro che, fra i soggetti tutelati dalla normativa, non rientravano solo quelli con
cui il Titolare aveva un rapporto diretto quali, ad
esempio, le aziende clienti e le aziende fornitrici.
Nella realtà infatti, non sussistono solo le relazioni fra le entità, in quanto prevalgono le relazioni fra
persone fisiche.
In altre parole i dipendenti ed i collaboratori del
Titolare interagiscono (e quindi trattano i dati) di collaboratori e dipendenti di clienti e fornitori. I dati di
tali soggetti sono presenti sui sistemi informativi e sui
documenti del Titolare. Tutti questi soggetti sono e
rimangono, tutelati dalla normativa, anche se per
palese impossibilità di gestire gli adempimenti formali con ognuno di essi, non sono mai stati considerati
salvo il caso di rare eccezioni: ad esempio quando un
Titolare di trattamento designa direttamente come
incaricato o come amministratore di sistema il dipendente/collaboratore di un soggetto terzo.
In questi casi i Titolari più virtuosi si ricordano
che tali soggetti sono tutelati dalla normativa, rilasciando loro oltre che ad una lettera di incarico anche
una informativa.
Le considerazioni di cui sopra non hanno effetti
solo di natura formale, ma anche sostanziale.
Solo per i dati dei soggetti tutelati dalla normativa
si devono, ad esempio, applicare le misure di sicurezza, siano queste minime o adeguate (al di là degli
aspetti di buon senso, che consiglierebbero di mantenere e manutenere quanto si è già fatto).
Consideriamo ora anche alcuni altri aspetti non
immediatamente percebili.
La limitazione del perimetro di tutela ed una più
chiara definizione di cosa si intenda per trattamenti
effettuati per finalità amministrativo-contabili può
impattare ad esempio sul provvedimento relativo agli
amministratori di sistema.
Com’è noto tale provvedimento esclude dall’am-
66
bito di applicazione proprio i trattamenti amministrativo-contabili.
Art. 4. Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici
Di seguito sono indicati gli accorgimenti e le misure che
vengono prescritti ai sensi dell'art. 154, comma 1, lett. c) del
Codice, a tutti i titolari dei trattamenti di dati personali effettuati con strumenti elettronici, esclusi, allo stato, quelli effettuati in ambito pubblico e privato a fini amministrativo-contabili che, ponendo minori rischi per gli interessati, sono stati
oggetto delle recenti misure di semplificazione (art. 29 d.l. 25
giugno 2008, n. 112, conv., con mod., con l. 6 agosto 2008,
n. 133; art. 34 del Codice; Provv. Garante 6 novembre
2008).
In base alla definizione successivamente introdotta all’art. 34 1-ter, sono ben pochi i normali ambiti
aziendali che potrebbero non rientrare in tale definizioni, svuotando di fatto la portata del provvedimento.
A ciò si aggiunge la recente ulteriore limitazione
del perimetro, che limita l’ambito di tutela (e quindi
di applicazione dell’intera normativa, compreso tale
provvedimento), ai soli dati relativi alle persone fisiche.
È evidente che il fare di più, registrando anche gli
accessi degli amministratori di sistema a dati e sistemi
non tutelati dalla normativa, potrebbe anche in questo caso apparire vantaggioso.
Tuttavia è necessario valutare un aspetto, che avrà
impatti ancora maggiori nella applicazione del provvedimento che andremo ad analizzare successivamente.
La registrazione degli accessi degli amministratori
di sistema comporta il trattamento di dati di persone
fisiche.
La stessa normativa, che ora tutela solo tale tipologia dati, impone quindi di rivedere adeguatamente il
proprio perimetro di registrazione. Non essendo più
imposta da un provvedimento del Garante per la protezione dei dati personali, tale registrazione di dati
personali, estesa agli accessi ai sistemi che trattano
dati di persone giuridiche o che trattano dati amministrativi e contabili, potrebbe di fatto essere considerata illecita o quantomeno eccessiva.
Giova anche ricordare i potenziali impatti derivanti dall’applicazione sul provvedimento dell’art. 4
dello Statuto dei lavoratori, ora che la maggior parte
di tali registrazioni non è più giustificata dal punto di
vista normativo.
Le aziende quindi, che già poco avevano apprezzato questo oneroso adempimento normativo,
hanno ora tutti gli strumenti per giustificarne la mancata adozione.
Riprendendo i concetti appena esposti, appare
evidente quanto risulterà complessa l’applicazione
del: Prescrizioni in materia di circolazione delle
informazioni in ambito bancario e di tracciamento delle operazioni bancarie - 12 maggio
2011 (G.U. n. 127 del 3 giugno 2011), il quale prescrive
non solo la registrazione dell’accesso ai dati da parte
di un limitato numero di soggetti, quali gli amministratori di sistema, ma anche da parte di tutti gli altri
incaricati, come meglio specificato al punto 4.2.1.
Punto 4.2.1. Tracciamento delle operazioni.
…la registrazione dettagliata, in un apposito log, delle
informazioni riferite alle operazioni bancarie effettuate sui
dati bancari, quando consistono o derivano dall'uso interattivo dei sistemi operato dagli incaricati, sempre che non si tratti
di consultazioni di dati in forma aggregata non riconducibili
al singolo cliente.
Al di là dell’ambiguità delle definizioni, sulle quali
non interessa in questa sede entrare nel merito, ciò
che si evidenzia è che relativamente a questo provvedimento, il richiamo all’articolo 4 dello Statuto dei
lavoratori ed alla conseguente necessità di definire un
accordo sindacale è stato richiamato direttamente dal
Garante per la protezione dei dati personali.
Le misure di cui al presente paragrafo sono adottate nel
rispetto della vigente disciplina in materia di controllo a
distanza dei lavoratori (art. 4, l. 20 maggio 1970, n. 300),
tenendo altresì conto dei princìpi affermati dal Garante in
tema di informativa agli interessati nelle linee guida sull'utilizzo della posta elettronica e di internet (Provv. 1° marzo
2007, doc. web n. 1387522).
Se prima della variazione introdotta dalla legge
214/2011 la definizione di tale accordo appariva
complessa, ora sarà veramente difficile.
Appare evidente che sarà lecito richiedere la limitazione delle registrazioni ai soli log di accesso ed
operatività sui dati bancari dei clienti tutelati dal Dlgs
196/03, cioè delle persone fisiche.
Che le varie applicazioni bancarie siano realizzate
per separare adeguatamente e preventivamente le
posizioni dei vari clienti in base al fatto che si tratti di
persone fisiche o di persone giuridiche è quantomeno dubbio. Tale criterio deve essere inoltre applicato
in ogni fase del processo di trattamento.
Per ora il provvedimento è stato rimandato a giugno 2014 e quindi i Titolari di trattamento (le banche) hanno ancora qualche mese per adeguarsi a
quanto richiesto dallo stesso.
Da ultimo un cenno sulla protezione garantita dal
Dlgs 196/03 alle persone diverse da quelle fisiche.
La semplificazione introdotta non ha escluso
completamente la tutela del Codice a questi soggetti.
Infatti nella parte del Codice - Capo I - Servizi di
comunicazione elettronica, vengono introdotti i concetti di “contraente” ed “utente” i quali, in base alle
definizioni presenti nell’attuale versione del Codice:
f) "contraente", qualunque persona fisica, persona giuridica, ente o associazione parte di un contratto con un fornitore
di servizi di comunicazione elettronica accessibili al pubblico
per la fornitura di tali servizi, o comunque destinatario di tali
servizi tramite schede prepagate;
g) "utente", qualsiasi persona fisica che utilizza un servizio di comunicazione elettronica accessibile al pubblico, per
motivi privati o commerciali, senza esservi necessariamente
abbonata;
si riferiscono sia alle persone fisiche sia a quelle
giuridiche.
Queste ultime quindi ricompaiono, anche se con
una tutela in parte più limitata, relativamente ad
ambiti molto significativi quali quelli relativi alle
comunicazioni in ambito marketing.
Al riguardo il Garante per la protezione dei dati
personali ha emesso uno specifico provvedimento.
Provvedimento in ordine all'applicabilità alle
persone giuridiche del Codice in materia di protezione dei dati personali a seguito delle modifiche apportate dal d.l. n. 201/2011 - 20 settembre
2012
(Pubblicato sulla Gazzetta Ufficiale n. 268 del 16
novembre 2012)
Meglio quindi continuare a rilasciare anche alle
persone giuridiche un’adeguata informativa se si
desiderano utilizzare i loro dati per finalità di marketing ed a tutelare adeguatamente i loro dati.
67
Giancarlo Butti
Tabella 1: Definizioni
Perimetro di
applicazione
Art. 5. Oggetto ed ambito di applicazione
1. Il presente codice disciplina il trattamento di dati personali, anche detenuti all'estero, effettuato da chiunque
è stabilito nel territorio dello Stato o in un luogo comunque soggetto alla sovranità dello Stato.
2. Il presente codice si applica anche al trattamento di dati personali effettuato da chiunque è stabilito nel territorio di un Paese non appartenente all'Unione europea e impiega, per il trattamento, strumenti situati nel
territorio dello Stato anche diversi da quelli elettronici, salvo che essi siano utilizzati solo ai fini di transito nel
territorio dell'Unione europea. In caso di applicazione del presente codice, il titolare del trattamento designa un
proprio rappresentante stabilito nel territorio dello Stato ai fini dell'applicazione della disciplina sul trattamento dei dati personali.
3. Il trattamento di dati personali effettuato da persone fisiche per fini esclusivamente personali è soggetto
all'applicazione del presente codice solo se i dati sono destinati ad una comunicazione sistematica o alla diffusione. Si applicano in ogni caso le disposizioni in tema di responsabilità e di sicurezza dei dati di cui agli articoli 15 e 31.
Il perimetro di applicazione della normativa è molto amplio e comprende:
• trattamenti effettuati in Italia da Titolari stabiliti in Italia
• trattamenti effettuati all’estero da Titolari
• trattamenti effettuati anche in Italia da soggetti stabiliti nel territorio di un Paese non appartenente all'Unione
europea
Fatto non molto noto, il rispetto del Dlgs 196/03 è obbligatorio per tutti, anche per il semplice cittadino e non solo
per aziende, enti, professionisti. In particolare nel caso in cui tali dati siano destinati a diffusione (ad esempio pubblicazione su un sito Internet, televisione, radio) o comunicazione sistematica si applica per intero la normativa privacy.
Dato personale
Art. 4. Definizioni
…
b) "dato personale", qualunque informazione relativa a persona fisica, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione
personale;
…
La definizione di dato personale (*) è molto più labile di quanto possa apparire ad una prima lettura.
Innanzi tutto un dato non nasce come “dato personale”, ma assume tale caratteristica unicamente se è riconducibile
in qualche modo, direttamente o indirettamente ad una persona fisica.
Un esempio può chiarire meglio questo aspetto, spesso trascurato.
Supponiamo che a 10 ragazzi sia sottoposto un questionario anonimo, composto da numerose domande. L’insieme
dei dati raccolti costituisce una serie di informazioni che non possono essere ricondotte ai singoli individui, in quanto
come precisato, il questionario è anonimo.
Supponiamo tuttavia che una delle domande consenta indirettamente di identificare il sesso di una persona, e che fra
questi 10 individui una sola persona sia di sesso femminile.
In questo caso le informazioni contenute nel questionario della ragazza saranno abbinabili ad una reale persona fisica, diventando quindi dati personali.
Tutti gli altri questionari anonimi non conterranno dati personali, pur contenendo le medesime informazioni.
L’esempio consente anche di comprendere come si possa interpretare il concetto di identificabile. Un dato personale
è tale se è riconducibile direttamente o indirettamente ad una specifica persona fisica.
I singoli questionari anonimi non sono riconducibili a specifiche persone fisiche salvo il caso di quello relativo alla
ragazza.
Aspetto particolarmente importante è che non è rilevante la forma con cui una informazione viene espressa, perché
questa assuma il carattere di dato personale. Ad esempio è un dato personale anche l’immagine di una persona purché questa sia riconducibile ad una persona fisica identificata o identificabile.
(*) Successivamente alle recentissime variazioni normative (legge 22 dicembre 2011, n. 214), il perimetro di tutela del Dlgs 196/03 è stato limitato ai soli dati personali
delle persone fisiche.
68
Dato sensibile
Art. 4. Definizioni
…
d) "dati sensibili", i dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a
carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la
vita sessuale;
Anche la definizione di dato sensibile non è univoca e assoluta.
Genericamente è possibile considerare sensibile un dato personale che potrebbe essere in qualche modo discriminante per una persona.
Fra questi rientrano quindi quelli relativi alle convinzioni, alle opinioni, ai costumi ed allo stato di salute…
La lettura attenta della definizione porta ad individuare un ampio margine di interpretazione in particolare per quanto
attiene le convinzioni; il Dlgs 196/03 infatti così recita:
…convinzioni religiose, filosofiche o di altro genere
Ulteriore aspetto particolarmente importante riguarda il termine utilizzato dalla normativa per caratterizzare i dati
sensibili.
Tali dati non sono quelli relativi a una determinata condizione della persona fisica, ma quelli idonei a rivelare tale
condizione.
Tale concetto è molto più ampio del precedente in quanto porta a considerare come sensibile anche il solo dato che
porterebbe a ritenere vera una determinata condizione.
Questo amplia notevolmente il perimetro dei dati considerabili come sensibili.
Ad esempio potrebbero essere considerati tali anche gli estratti conto di una banca, non tanto per gli importi in essa
indicati, quanto per le causali, che potrebbero riportare elargizioni in favore di enti religiosi, partiti politici, pagamenti
di fatture a cliniche o specialisti…
Trattamento
Art. 2. Finalità
1. Il presente testo unico, di seguito denominato "codice", garantisce che il trattamento dei
dati personali si svolga nel rispetto dei diritti e delle libertà fondamentali, nonché della dignità
dell'interessato, con particolare riferimento alla riservatezza, all'identità personale e al diritto
alla protezione dei dati personali.
2. Il trattamento dei dati personali è disciplinato assicurando un elevato livello di tutela dei
diritti e delle libertà di cui al comma 1 nel rispetto dei principi di semplificazione, armonizzazione ed efficacia delle modalità previste per il loro esercizio da parte degli interessati, nonché
per l'adempimento degli obblighi da parte dei titolari del trattamento.
Art. 4. Definizioni
a) "trattamento", qualunque operazione o complesso di operazioni, effettuati anche senza l'ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione
e la distruzione di dati, anche se non registrati in una banca di dati;
La corretta conoscenza della definizione di trattamento è fondamentale per comprendere il perimetro di applicazione
del Dlgs 196/03.
Per trattamento si intendono infatti le più comuni operazioni eseguite sui dati personali.
Rientrano in questa casistica anche la semplice consultazione (presa visione) o la registrazione (ad esempio dei log) e
conservazione.
Interessato
Art. 4. Definizioni
…
i) "interessato", la persona fisica, cui si riferiscono i dati personali;
69
Giancarlo Butti
Titolare
Art. 4. Definizioni
…
f) "titolare", la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle
modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza;
Responsabile
Art. 4. Definizioni
…
g) "responsabile", la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente,
associazione od organismo preposti dal titolare al trattamento di dati personali;
Incaricato
Art. 4. Definizioni
…
h) "incaricati", le persone fisiche autorizzate a compiere operazioni di trattamento dal titolare o dal responsabile;
Il Titolare del trattamento è la società, l’ente…, il libero professionista; non è il legale rappresentante di tali soggetti.
Il Responsabile è una figura facoltativa; può essere persona fisica o giuridica, interno o esterno alla struttura del
Titolare. Può esserci più di un Responsabile.
L’incaricato può essere solo una persona fisica.
70
Tabella 2: La regolamentazione della sicurezza
La regolamentazione degli aspetti relativi alla sicurezza è disciplinata nell’ambito della normativa privacy da:
• Dlgs 196/03 tramite gli articoli (art. 3 e artt. 30-36); la versione costantemente aggiornata del Dlgs 196/03 è disponibile sul sito www.garanteprivacy.it
• Allegato B - Disciplinare tecnico in materia di misure minime di sicurezza
• una serie di atti del Garante per la protezione dei dati personali; fra i principali si elencano i seguenti:
Etichette intelligenti (Rfid):
Dispositivi biometrici
Videosorveglianza
Distruzione di apparecchiature e supporti
Amministratori di sistema
Utilizzo di posta elettronica ed Internet
"Etichette intelligenti" (Rfid): il Garante individua le garanzie
per il loro uso
(9 marzo 2005)
Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro alle dipendenze
di datori di lavoro privati
(Deliberazione n. 53 del 23 novembre 2006)
Provvedimento in materia di videosorveglianza - 8 aprile 2010
(G.U. n. 99 del 29 aprile 2010)
Rifiuti di apparecchiature elettriche ed elettroniche (Raae) e
misure di sicurezza dei dati personali - 13 ottobre 2008
(G.U. n. 287 del 9 dicembre 2008)
Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle
funzioni di amministratore di sistema
(Provvedimenti a carattere generale - 27 novembre 2008) e successive modificazioni
Lavoro: le linee guida del Garante per posta elettronica e internet
(G.U. n. 58 del 10 marzo 2007)
Aspetti relativi alla sicurezza sono inoltre trattati nei seguenti atti:
Guida pratica e misure di semplificazione per le piccole e medie imprese - 24 maggio 2007
(G.U. n. 142 del 21 giugno 2007)
Semplificazione delle misure di sicurezza contenute nel disciplinare tecnico di cui all'Allegato B) al Codice
in materia di protezione dei dati personali - 27 novembre 2008
(G.U. n. 287 del 9 dicembre 2008)
Semplificazioni di taluni adempimenti in ambito pubblico e privato rispetto a trattamenti per finalità amministrative e contabili - 19 giugno 2008
(G.U. n. 152 del 1° luglio 2008)
Prescrizioni in materia di circolazione delle informazioni in ambito bancario e di tracciamento delle operazioni bancarie - 12 maggio 2011
(G.U. n. 127 del 3 giugno 2011)
71
Giancarlo Butti
Tabella 3: Misure di sicurezza
Dlgs 30 giugno 2003, n. 196 - CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI
Titolo V - Sicurezza dei dati e dei sistemi
Capo I - Misure di sicurezza
Art. 31. Obblighi di sicurezza
1. I dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento
non consentito o non conforme alle finalità della raccolta.
Art. 32. Particolari titolari
1. Il fornitore di un servizio di comunicazione elettronica accessibile al pubblico adotta, ai sensi dell'articolo 31, anche attraverso altri
soggetti a cui sia affidata l'erogazione del predetto servizio, misure tecniche e organizzative adeguate al rischio esistente, per salvaguardare
la sicurezza dei suoi servizi e per gli adempimenti di cui all'articolo 32-bis. (2)
1-bis. Ferma restando l'osservanza degli obblighi di cui agli articoli 30 e 31, i soggetti che operano sulle reti di comunicazione elettronica
garantiscono che i dati personali siano accessibili soltanto al personale autorizzato per fini legalmente autorizzati. (3)
1-ter. Le misure di cui ai commi 1 e 1-bis garantiscono la protezione dei dati relativi al traffico ed all'ubicazione e degli altri dati personali archiviati o trasmessi dalla distruzione anche accidentale, da perdita o alterazione anche accidentale e da archiviazione, trattamento,
accesso o divulgazione non autorizzati o illeciti, nonché assicurano l'attuazione di una politica di sicurezza. (3)
2. Quando la sicurezza del servizio o dei dati personali richiede anche l'adozione di misure che riguardano la rete, il fornitore del servizio
di comunicazione elettronica accessibile al pubblico adotta tali misure congiuntamente con il fornitore della rete pubblica di comunicazioni.
In caso di mancato accordo, su richiesta di uno dei fornitori, la controversia è definita dall'Autorità per le garanzie nelle comunicazioni
secondo le modalità previste dalla normativa vigente.
3. Il fornitore di un servizio di comunicazione elettronica accessibile al pubblico informa i contraenti e, ove possibile, gli utenti, se sussiste
un particolare rischio di violazione della sicurezza della rete, indicando, quando il rischio è al di fuori dell'ambito di applicazione delle
misure che il fornitore stesso è tenuto ad adottare ai sensi dei commi 1, 1-bis e 2, tutti i possibili rimedi e i relativi costi presumibili.
Analoga informativa è resa al Garante e all'Autorità per le garanzie nelle comunicazioni. (4)
* Ai sensi dell'art. 1, comma 12, del decreto legislativo 28 maggio 2012, n. 69, la parola "contraente" ha sostituito la parola "abbonato", ovunque ricorrente nel decreto
legislativo 30 giugno 2003, n. 196.
(1) Rubrica così sostituita dall'art. 1, comma 2, lett. a), del decreto legislativo 28 maggio 2012, n. 69.
(2) Comma così sostituito dall'art. 1, comma 2, lett. b), del decreto legislativo 28 maggio 2012, n. 69.
(3) Comma inserito dall'art. 1, comma 2, lett. c), del decreto legislativo 28 maggio 2012, n. 69.
(4) Comma così modificato dall'art. 1, comma 2, lett. d), del decreto legislativo 28 maggio 2012, n. 69.
Art. 32-bis Adempimenti conseguenti ad una violazione di dati personali (1)
1. In caso di violazione di dati personali, il fornitore di servizi di comunicazione elettronica accessibili al pubblico comunica senza indebiti ritardi detta violazione al Garante.
2. Quando la violazione di dati personali rischia di arrecare pregiudizio ai dati personali o alla riservatezza del contraente o di altra persona, il fornitore comunica anche agli stessi senza ritardo l'avvenuta violazione.
3. La comunicazione di cui al comma 2 non é dovuta se il fornitore ha dimostrato al Garante di aver utilizzato misure tecnologiche di
protezione che rendono i dati inintelligibili a chiunque non sia autorizzato ad accedervi e che tali misure erano state applicate ai dati
oggetto della violazione.
4. Ove il fornitore non vi abbia già provveduto, il Garante può, considerate le presumibili ripercussioni negative della violazione, obbligare
lo stesso a comunicare al contraente o ad altra persona l'avvenuta violazione.
5. La comunicazione al contraente o ad altra persona contiene almeno una descrizione della natura della violazione di dati personali e i
punti di contatto presso cui si possono ottenere maggiori informazioni ed elenca le misure raccomandate per attenuare i possibili effetti pregiudizievoli della violazione di dati personali. La comunicazione al Garante descrive, inoltre, le conseguenze della violazione di dati personali e le misure proposte o adottate dal fornitore per porvi rimedio.
6. Il Garante può emanare, con proprio provvedimento, orientamenti e istruzioni in relazione alle circostanze in cui il fornitore ha l'obbligo di comunicare le violazioni di dati personali, al formato applicabile a tale comunicazione, nonchè alle relative modalità di effettuazione, tenuto conto delle eventuali misure tecniche di attuazione adottate dalla Commissione europea ai sensi dell'articolo 4, paragrafo 5,
della direttiva 2002/58/CE, come modificata dalla direttiva 2009/136/CE.
72
7. I fornitori tengono un aggiornato inventario delle violazioni di dati personali, ivi incluse le circostanze in cui si sono verificate, le loro
conseguenze e i provvedimenti adottati per porvi rimedio, in modo da consentire al Garante di verificare il rispetto delle disposizioni del
presente articolo. Nell'inventario figurano unicamente le informazioni necessarie a tal fine.
8. Nel caso in cui il fornitore di un servizio di comunicazione elettronica accessibile al pubblico affidi l'erogazione del predetto servizio ad
altri soggetti, gli stessi sono tenuti a comunicare al fornitore senza indebito ritardo tutti gli eventi e le informazioni necessarie a consentire
a quest'ultimo di effettuare gli adempimenti di cui al presente articolo.
(1) Articolo inserito dall'art. 1, comma 3, del decreto legislativo 28 maggio 2012, n. 69.
Capo II - Misure minime di sicurezza
Art. 33. Misure minime
1. Nel quadro dei più generali obblighi di sicurezza di cui all'articolo 31, o previsti da speciali disposizioni, i titolari del trattamento
sono comunque tenuti ad adottare le misure minime individuate nel presente capo o ai sensi dell'articolo 58, comma 3, volte ad assicurare
un livello minimo di protezione dei dati personali.
1. Il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare
tecnico contenuto nell'allegato B), le seguenti misure minime:
a) autenticazione informatica;
b) adozione di procedure di gestione delle credenziali di autenticazione;
c) utilizzazione di un sistema di autorizzazione;
d) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla
manutenzione degli strumenti elettronici;
e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi
informatici;
f) adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi;
g) [soppressa] (1);
h) adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita
sessuale effettuati da organismi sanitari.
1-bis. [abrogato] (2)
1-ter. Ai fini dell'applicazione delle disposizioni in materia di protezione dei dati personali, i trattamenti effettuati per finalità amministrativo-contabili sono quelli connessi allo svolgimento delle attività di natura organizzativa, amministrativa, finanziaria e contabile, a
prescindere dalla natura dei dati trattati. In particolare, perseguono tali finalità le attività organizzative interne, quelle funzionali all'adempimento di obblighi contrattuali e precontrattuali, alla gestione del rapporto di lavoro in tutte le sue fasi, alla tenuta della contabilità e
all'applicazione delle norme in materia fiscale, sindacale, previdenziale-assistenziale, di salute, igiene e sicurezza sul lavoro. (3)
(1) Lettera soppressa dall'art. 45, comma 1, lett. c), del decreto legge 9 febbraio 2012, n. 5, convertito, con modificazioni, dalla legge 4 aprile 2012, n. 35. Si riporta, per
completezza, il testo originale: "tenuta di un aggiornato documento programmatico sulla sicurezza".
(2) Comma aggiunto dall'art. 6, comma 2, lett. a), numero 5), del decreto legge 13 maggio 2011, n. 70, convertito, con modificazioni, dalla legge 12 luglio 2011, n. 106
(in sostituzione del precedente comma 1-bis aggiunto dall'art. 29, comma 1, del decreto legge 25 giugno 2008, n. 112, convertito, con modificazioni, dalla legge 6 agosto
2008, n. 133), e successivamente abrogato dall'art. 45, comma 1, lett. c), del decreto legge 9 febbraio 2012, n. 5, convertito, con modificazioni, dalla legge 4 aprile 2012,
n. 35.
(3) Comma aggiunto dall'art. 6, comma 2, lett. a), numero 5), del decreto legge 13 maggio 2011, n. 70, convertito, con modificazioni, dalla legge 12 luglio 2011, n. 106,
in sostituzione del precedente comma 1-bis aggiunto dall'art. 29, comma 1, del decreto legge 25 giugno 2008, n. 112, convertito, con modificazioni, dalla legge 6 agosto
2008, n. 133.
Art. 35. Trattamenti senza l'ausilio di strumenti elettronici
1. Il trattamento di dati personali effettuato senza l'ausilio di strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal
disciplinare tecnico contenuto nell'allegato B), le seguenti misure minime:
a) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati o alle unità organizzative;
b) previsione di procedure per un'idonea custodia di atti e documenti affidati agli incaricati per lo svolgimento dei relativi compiti;
c) previsione di procedure per la conservazione di determinati atti in archivi ad accesso selezionato e disciplina delle modalità di accesso
finalizzata all'identificazione degli incaricati.
Art. 36. Adeguamento (1)
1. Il disciplinare tecnico di cui all'allegato B), relativo alle misure minime di cui al presente capo, è aggiornato periodicamente con decreto
del Ministro della giustizia di concerto con il Ministro per le innovazioni e le tecnologie e il Ministro per la semplificazione normativa, in
relazione all'evoluzione tecnica e all'esperienza maturata nel settore.
(1) Articolo così modificato dall'art. 29, comma 5-bis, del decreto legge 25 giugno 2008, n. 112, convertito, con modificazioni, dalla legge 6 agosto 2008, n. 133.
73
Giancarlo Butti
Codice in materia di protezione dei dati personali
B. Disciplinare tecnico in materia di misure minime di sicurezza
(Artt. da 33 a 36 del Codice)
Trattamenti con strumenti elettronici
Modalità tecniche da adottare a cura del titolare, del responsabile ove designato e dell'incaricato, in caso di trattamento con strumenti elettronici:
Sistema di autenticazione informatica
1. Il trattamento di dati personali con strumenti elettronici è consentito agli incaricati dotati di credenziali di autenticazione che consentano il superamento di una procedura di autenticazione relativa a uno specifico trattamento o a un insieme di trattamenti.
2. Le credenziali di autenticazione consistono in un codice per l'identificazione dell'incaricato associato a una parola chiave riservata
conosciuta solamente dal medesimo oppure in un dispositivo di autenticazione in possesso e uso esclusivo dell'incaricato, eventualmente
associato a un codice identificativo o a una parola chiave, oppure in una caratteristica biometrica dell'incaricato, eventualmente associata a
un codice identificativo o a una parola chiave.
3. Ad ogni incaricato sono assegnate o associate individualmente una o più credenziali per l'autenticazione.
4. Con le istruzioni impartite agli incaricati è prescritto di adottare le necessarie cautele per assicurare la segretezza della componente
riservata della credenziale e la diligente custodia dei dispositivi in possesso ed uso esclusivo dell'incaricato.
5. La parola chiave, quando è prevista dal sistema di autenticazione, è composta da almeno otto caratteri oppure, nel caso in cui lo strumento elettronico non lo permetta, da un numero di caratteri pari al massimo consentito; essa non contiene riferimenti agevolmente riconducibili all'incaricato ed è modificata da quest'ultimo al primo utilizzo e, successivamente, almeno ogni sei mesi. In caso di trattamento di
dati sensibili e di dati giudiziari la parola chiave è modificata almeno ogni tre mesi.
6. Il codice per l'identificazione, laddove utilizzato, non può essere assegnato ad altri incaricati, neppure in tempi diversi.
7. Le credenziali di autenticazione non utilizzate da almeno sei mesi sono disattivate, salvo quelle preventivamente autorizzate per soli
scopi di gestione tecnica.
8. Le credenziali sono disattivate anche in caso di perdita della qualità che consente all'incaricato l'accesso ai dati personali.
9. Sono impartite istruzioni agli incaricati per non lasciare incustodito e accessibile lo strumento elettronico durante una sessione di trattamento.
10. Quando l'accesso ai dati e agli strumenti elettronici è consentito esclusivamente mediante uso della componente riservata della credenziale per l'autenticazione, sono impartite idonee e preventive disposizioni scritte volte a individuare chiaramente le modalità con le quali il
titolare può assicurare la disponibilità di dati o strumenti elettronici in caso di prolungata assenza o impedimento dell'incaricato che renda
indispensabile e indifferibile intervenire per esclusive necessità di operatività e di sicurezza del sistema. In tal caso la custodia delle copie
delle credenziali è organizzata garantendo la relativa segretezza e individuando preventivamente per iscritto i soggetti incaricati della loro
custodia, i quali devono informare tempestivamente l'incaricato dell'intervento effettuato.
11. Le disposizioni sul sistema di autenticazione di cui ai precedenti punti e quelle sul sistema di autorizzazione non si applicano ai
trattamenti dei dati personali destinati alla diffusione.
Sistema di autorizzazione
12. Quando per gli incaricati sono individuati profili di autorizzazione di ambito diverso è utilizzato un sistema di autorizzazione.
13. I profili di autorizzazione, per ciascun incaricato o per classi omogenee di incaricati, sono individuati e configurati anteriormente all'inizio del trattamento, in modo da limitare l'accesso ai soli dati necessari per effettuare le operazioni di trattamento.
14. Periodicamente, e comunque almeno annualmente, è verificata la sussistenza delle condizioni per la conservazione dei profili di autorizzazione.
Altre misure di sicurezza
15. Nell'ambito dell'aggiornamento periodico con cadenza almeno annuale dell'individuazione dell'ambito del trattamento consentito ai
singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici, la lista degli incaricati può essere redatta anche per
classi omogenee di incarico e dei relativi profili di autorizzazione.
16. I dati personali sono protetti contro il rischio di intrusione e dell'azione di programmi di cui all'art. 615-quinquies del codice penale,
mediante l'attivazione di idonei strumenti elettronici da aggiornare con cadenza almeno semestrale.
17. Gli aggiornamenti periodici dei programmi per elaboratore volti a prevenire la vulnerabilità di strumenti elettronici e a correggerne
difetti sono effettuati almeno annualmente. In caso di trattamento di dati sensibili o giudiziari l'aggiornamento è almeno semestrale.
18. Sono impartite istruzioni organizzative e tecniche che prevedono il salvataggio dei dati con frequenza almeno settimanale.
Documento programmatico sulla sicurezza
Artt. da 19 a 19.8 [soppressi] (¹)
74
Ulteriori misure in caso di trattamento di dati sensibili o giudiziari
20. I dati sensibili o giudiziari sono protetti contro l'accesso abusivo, di cui all'art. 615-ter del codice penale, mediante l'utilizzo di idonei
strumenti elettronici.
21. Sono impartite istruzioni organizzative e tecniche per la custodia e l'uso dei supporti rimovibili su cui sono memorizzati i dati al fine
di evitare accessi non autorizzati e trattamenti non consentiti.
22. I supporti rimovibili contenenti dati sensibili o giudiziari se non utilizzati sono distrutti o resi inutilizzabili, ovvero possono essere
riutilizzati da altri incaricati, non autorizzati al trattamento degli stessi dati, se le informazioni precedentemente in essi contenute non
sono intelligibili e tecnicamente in alcun modo ricostruibili.
23. Sono adottate idonee misure per garantire il ripristino dell'accesso ai dati in caso di danneggiamento degli stessi o degli strumenti elettronici, in tempi certi compatibili con i diritti degli interessati e non superiori a sette giorni.
24. Gli organismi sanitari e gli esercenti le professioni sanitarie effettuano il trattamento dei dati idonei a rivelare lo stato di salute e la
vita sessuale contenuti in elenchi, registri o banche di dati con le modalità di cui all'articolo 22, comma 6, del codice, anche al fine di consentire il trattamento disgiunto dei medesimi dati dagli altri dati personali che permettono di identificare direttamente gli interessati. I dati
relativi all'identità genetica sono trattati esclusivamente all'interno di locali protetti accessibili ai soli incaricati dei trattamenti ed ai soggetti specificatamente autorizzati ad accedervi; il trasporto dei dati all'esterno dei locali riservati al loro trattamento deve avvenire in contenitori muniti di serratura o dispositivi equipollenti; il trasferimento dei dati in formato elettronico è cifrato.
Misure di tutela e garanzia
25. Il titolare che adotta misure minime di sicurezza avvalendosi di soggetti esterni alla propria struttura, per provvedere alla esecuzione
riceve dall'installatore una descrizione scritta dell'intervento effettuato che ne attesta la conformità alle disposizioni del presente disciplinare tecnico.
26. [soppresso] (¹)
Trattamenti senza l'ausilio di strumenti elettronici
Modalità tecniche da adottare a cura del titolare, del responsabile, ove designato, e dell'incaricato, in caso di trattamento con strumenti
diversi da quelli elettronici:
27. Agli incaricati sono impartite istruzioni scritte finalizzate al controllo ed alla custodia, per l'intero ciclo necessario allo svolgimento
delle operazioni di trattamento, degli atti e dei documenti contenenti dati personali. Nell'ambito dell'aggiornamento periodico con cadenza
almeno annuale dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati, la lista degli incaricati può essere redatta
anche per classi omogenee di incarico e dei relativi profili di autorizzazione.
28. Quando gli atti e i documenti contenenti dati personali sensibili o giudiziari sono affidati agli incaricati del trattamento per lo svolgimento dei relativi compiti, i medesimi atti e documenti sono controllati e custoditi dagli incaricati fino alla restituzione in maniera che ad
essi non accedano persone prive di autorizzazione, e sono restituiti al termine delle operazioni affidate.
29. L'accesso agli archivi contenenti dati sensibili o giudiziari è controllato. Le persone ammesse, a qualunque titolo, dopo l'orario di
chiusura, sono identificate e registrate. Quando gli archivi non sono dotati di strumenti elettronici per il controllo degli accessi o di incaricati della vigilanza, le persone che vi accedono sono preventivamente autorizzate.
(1) Paragrafi soppressi dall'art. 45, comma 1, lett. d), del decreto legge 9 febbraio 2012, n. 5, convertito, con modificazioni, dalla legge 4 aprile 2012, n. 35.
Per completezza, si riporta di seguito il testo dei paragrafi soppressi.
19. Entro il 31 marzo di ogni anno, il titolare di un trattamento di dati sensibili o di dati giudiziari redige anche attraverso il responsabile, se designato, un documento
programmatico sulla sicurezza contenente idonee informazioni riguardo:
19.1. l'elenco dei trattamenti di dati personali;
19.2. la distribuzione dei compiti e delle responsabilità nell'ambito delle strutture preposte al trattamento dei dati;
19.3. l'analisi dei rischi che incombono sui dati;
19.4. le misure da adottare per garantire l'integrità e la disponibilità dei dati, nonchè la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità;
19.5. la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento di cui al successivo punto 23;
19.6. la previsione di interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi
dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per
aggiornarsi sulle misure minime adottate dal titolare. La formazione è programmata già al momento dell'ingresso in servizio, nonchè in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati personali;
19.7. la descrizione dei criteri da adottare per garantire l'adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformità al codice,
all'esterno della struttura del titolare;
19.8. per i dati personali idonei a rivelare lo stato di salute e la vita sessuale di cui al punto 24, l'individuazione dei criteri da adottare per la cifratura o per la separazione di tali dati dagli altri dati personali dell'interessato.
26. Il titolare riferisce, nella relazione accompagnatoria del bilancio d'esercizio, se dovuta, dell'avvenuta redazione o aggiornamento del documento programmatico sulla sicurezza.
75
Giancarlo Butti
Tabella 4: casi di mancato rispetto delle misure di sicurezza
Nella seguente tabella sono riportati i casi più frequentemente riscontrati di mancata applicazione delle misure minime di sicurezza o
comunque di misure che impattano sulla sicurezza dei sistemi informativi.
Tali dati derivano dalla attività di verifica e consulenza effettuata dall’autore negli ultimi 14 anni.
CASI DI MANCATA APPLICAZIONE
Decreto legislativo 30 giugno 2003, n. 196
RIFERIMENTO NORMATIVO
A rt. 3. Principio di necessità nel trattamento
dei dati
VIOLAZIONE
Mancato adeguamento dei sistemi informativi.
L’obbligo di tale adempimento è richiamato dalle varie Autorizzazioni di carattere
generale; si riporta come esempio:
Autorizzazione n. 1/2009 al trattamento dei dati sensibili nei rapporti di lavoro
16 dicembre 2009
…
il trattamento dei dati sensibili di cui all'art. 4, comma 1, lett. d), del Codice, finalizzato alla gestione dei rapporti di lavoro, secondo le prescrizioni di seguito indicate.
Prima di iniziare o proseguire il trattamento i sistemi informativi e i programmi informatici sono configurati riducendo al minimo l'utilizzazione di dati personali e di dati
identificativi, in modo da escluderne il trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante, rispettivamente, dati anonimi od opportune
modalità che permettano di identificare l'interessato solo in caso di necessità, in conformità all'art. 3 del Codice.
B. Disciplinare tecnico in materia di misure minime di sicurezza
(Artt. da 33 a 36 del Codice)
Istruzioni agli incaricati
VIOLAZIONE
9. Sono impartite istruzioni agli incaricati …
Mancata formalizzazione scritta delle istruzioni.
21. Sono impartite istruzioni organizzative e
tecniche …
10. … sono impartite idonee e preventive
disposizioni scritte…individuando
preventivamente per iscritto …
Mancata individuazione scritta preventiva dei custodi delle credenziali.
VIOLAZIONE
4. Con le istruzioni impartite agli
incaricati….
18. Sono impartite istruzioni organizzative e
tecniche …
27. Agli incaricati sono impartite istruzioni
scritte …
Misure di tutela e garanzia
25. …riceve dall'installatore una descrizione
scritta dell'intervento effettuato che ne attesta
la conformità …
76
Mancata richiesta/rilascio della descrizione dell’intervento e della attestazione di conformità.
Separazione dei ruoli e dei profili di accesso
12, 13, 14, 27
Non corretta profilazione sui sistemi informativi.
Incoerenza nella gestione degli accessi alla stessa tipologia di dati quando questi sono
presenti in archivi diversi ed accessibili con diverse applicazioni.
Incoerenza nella gestione degli accessi alla stessa tipologia di dati quando questi sono
presenti in archivi on line e storici.
Presenza nei documenti di dati che richiedono autorizzazioni di accesso differenziate.
Errata organizzazione e separazione dei documenti.
Errata organizzazione e separazioni degli spazi fisici.
Non corretta gestione degli strumenti di uso comune a più strutture.
…
La normativa prescrive, correttamente, che a ruoli diversi che comportino differenziazione nei trattamenti e differenziazione nell’accesso
ai dati, corrispondano altrettanti profili abilitativi per l’accesso alle risorse dei sistemi informativi.
Analoga differenziazione deve avvenire per i dati ed i trattamenti effettuati fuori dal sistema informativo.
Questa semplice e corretta logica, applicabile nei casi più semplici, si scontra con enormi difficoltà oggettive allorquando il numero di
applicazioni e sistemi aumenta notevolmente.
Ad esempio, nel caso di una banca di medie dimensioni, si possono contare fino a 300 applicazioni, fino a 700 in una banca di grandi
dimensioni.
La stessa informazione (ad esempio i movimenti di un conto corrente) potrebbe essere disponibile su diverse applicazioni contemporaneamente, presenti in ambienti diversi e con livelli di profilatura non omogenei fra loro.
Una corretta mappatura di processi, attività, dati, applicazioni, ruoli (prerequisito per una corretta profilatura), ed il solo mantenimento
nel tempo, può risultare particolarmente oneroso e non praticabile.
Ulteriore differenziazione nella possibilità di profilatura potrebbe riguardare i dati on line e quelli “storici”, disponibili su nastri o supporti ottici, la cui consultazione non necessariamente richiede l’uso delle applicazioni di origine.
Ancor più complessa è la gestione dei dati contenuti nei documenti.
Un documento può essere l’integrazione di dati provenienti da applicativi e fonti diverse e non necessariamente chi consulta il documento
può essere autorizzato alla loro visione complessiva. Purtroppo i documenti non sono pensati per garantire livelli di accesso diversi dall’intero documento.
Il fatto che molto spesso l’unico trattamento possibile su dati e documenti sia la semplice consultazione non esime il Titolare dalle sue
responsabilità, come ben identificato nell’articolo 31 del Dlgs 196/03 e come il Garante per la protezione dei dati personali ha ribadito
nelle sue:
Prescrizioni in materia di circolazione delle informazioni in ambito bancario e di tracciamento delle operazioni bancarie - 12 maggio
2011
Ulteriore punto di attenzione, spesso di difficile applicazione, riguarda la separazione degli spazi fisici per quanti svolgono attività diverse
o addirittura appartengono a diverse società (e quindi Titolari) dello stesso Gruppo.
Anche in questo caso il rischio maggiore riguarda il possibile accesso in consultazione ad un dato da parte di che non è autorizzato.
Con la “Semplificazione delle misure di sicurezza contenute nel disciplinare tecnico di cui all'Allegato B) al
Codice in materia di protezione dei dati personali - 27 novembre 2008” le istruzioni relative alle misure minime
4, 9, 18, 21, 27 possono essere date anche oralmente da parte dei Titolari che rientrano fra i soggetti che possono
avvalersi di tale semplificazione.
Nessuna semplificazione è prevista relativamente alla misura minima 10.
77
Giancarlo Butti
Tabella 5: Semplificazioni alle misure minime di sicurezza
Semplificazione delle misure di sicurezza contenute nel disciplinare tecnico di cui all'Allegato B) al Codice
in materia di protezione dei dati personali - 27 novembre 2008
G.U. n. 287 del 9 dicembre 2008
2. Trattamenti effettuati con strumenti elettronici
I soggetti di cui al paragrafo 1 possono applicare le misure minime di sicurezza prescritte dalla disciplina in materia di trattamenti realizzati con l'ausilio di strumenti elettronici (art. 34 del Codice e regole da 1 a 26 dell'Allegato B) osservando le modalità semplificate di
seguito individuate.
2.1. Istruzioni agli incaricati del trattamento (modalità applicative delle regole di cui ai punti 4, 9, 18 e 21 dell'Allegato B))
Le istruzioni in materia di misure minime di sicurezza previste dall'Allegato B) possono essere impartite agli incaricati del trattamento
anche oralmente, con indicazioni di semplice e chiara formulazione.
2.2. Sistema di autenticazione informatica (modalità applicative delle regole di cui ai punti 1, 2, 3, 5, 6, 7, 8, 10 e 11 dell'Allegato B))
Per l'accesso ai sistemi informatici si può utilizzare un qualsiasi sistema di autenticazione basato su un codice per identificare chi accede
ai dati (di seguito, "username"), associato a una parola chiave (di seguito: "password"), in modo che:
a) l'username individui in modo univoco una sola persona, evitando che soggetti diversi utilizzino codici identici;
b) la password sia conosciuta solo dalla persona che accede ai dati.
L'username deve essere disattivato quando l'incaricato non ha più la qualità che rende legittimo l'utilizzo dei dati (ad esempio, in quanto
non opera più all'interno dell'organizzazione).
Può essere adottata, quale procedura di autenticazione anche la procedura di login disponibile sul sistema operativo delle postazioni di
lavoro connesse a una rete.
In caso di prolungata assenza o impedimento dell'incaricato che renda indispensabile e indifferibile intervenire per esclusive necessità di
operatività e di sicurezza del sistema, se l'accesso ai dati e agli strumenti elettronici è consentito esclusivamente mediante uso della password, il titolare può assicurare la disponibilità di dati o strumenti elettronici con procedure o modalità predefinite. Riguardo a tali
modalità, sono fornite preventive istruzioni agli incaricati e gli stessi sono informati degli interventi effettuati (ad esempio, prescrivendo ai
lavoratori che si assentino dall'ufficio per ferie l'attivazione di modalità che consentano di inviare automaticamente messaggi di posta elettronica ad un altro recapito accessibile: si vedano le Linee guida in materia di lavoro per posta elettronica e Internet approvate dal
Garante e pubblicate nella Gazzetta ufficiale 10 marzo 2007 , n. 58 [doc. web n. 1387522]).
2.3. Sistema di autorizzazione (modalità applicative delle regole di cui ai punti 12, 13 e 14 dell'Allegato B))
Qualora sia necessario diversificare l'ambito del trattamento consentito, possono essere assegnati agli incaricati –singolarmente o per categorie omogenee corrispondenti profili di autorizzazione, tramite un sistema di autorizzazione o funzioni di autorizzazione incorporate
nelle applicazioni software o nei sistemi operativi, così da limitare l'accesso ai soli dati necessari per effettuare le operazioni di trattamento.
2.3. Sistema di autorizzazione (modalità applicative delle regole di cui ai punti 12, 13 e 14 dell'Allegato B))
Qualora sia necessario diversificare l'ambito del trattamento consentito, possono essere assegnati agli incaricati –singolarmente o per categorie omogenee corrispondenti profili di autorizzazione, tramite un sistema di autorizzazione o funzioni di autorizzazione incorporate
nelle applicazioni software o nei sistemi operativi, così da limitare l'accesso ai soli dati necessari per effettuare le operazioni di trattamento.
2.4. A ltre misure di sicurezza (modalità applicative delle regole di cui ai punti 15, 16, 17 e 18 dell'Allegato B))
I soggetti di cui al paragrafo 1 assicurano che l'ambito di trattamento assegnato ai singoli incaricati, nonché agli addetti alla gestione o
alla manutenzione degli strumenti elettronici, sia coerente con i princìpi di adeguatezza, proporzionalità e necessità, anche attraverso verifiche periodiche, provvedendo, quando è necessario, ad aggiornare i profili di autorizzazione eventualmente accordati.
Gli aggiornamenti periodici dei programmi per elaboratore volti a prevenire la vulnerabilità di strumenti elettronici (ad esempio, antivirus), anche con riferimento ai programmi di cui all'art. 615-quinquies del codice penale, nonché a correggerne difetti, sono effettuati almeno annualmente. Se il computer non è connesso a reti di comunicazione elettronica accessibili al pubblico (linee Adsl, accesso a Internet
tramite rete aziendale, posta elettronica), l'aggiornamento deve essere almeno biennale.
I dati possono essere salvaguardati anche attraverso il loro salvataggio con frequenza almeno mensile. Il salvataggio periodico può non
riguardare i dati non modificati dal momento dell'ultimo salvataggio effettuato (dati statici), purché ne esista una copia di sicurezza da
cui effettuare eventualmente il ripristino.
78
2.5. Documento programmatico sulla sicurezza (modalità applicative delle regole di cui ai punti da 19.1 a 19.8 dell'Allegato B))
2.5.1. Fermo restando che per alcuni casi è già previsto per disposizione di legge che si possa redigere un'autocertificazione in luogo del
documento programmatico sulla sicurezza (vedi il precedente par. 1, lett. a); art. 29 d.l. n. 112/2008 cit.), i soggetti pubblici e privati
che trattano dati personali unicamente per correnti finalità amministrative e contabili, in particolare presso liberi professionisti, artigiani e
piccole e medie imprese, possono redigere un documento programmatico sulla sicurezza semplificato sulla base delle indicazioni di seguito
riportate.
Il documento deve essere redatto prima dell'inizio del trattamento e deve essere aggiornato entro il 31 marzo di ogni anno nel caso in cui,
nel corso dell'anno solare precedente, siano intervenute modifiche rispetto a quanto dichiarato nel precedente documento.
Il documento deve avere i seguenti contenuti:
a) le coordinate identificative del titolare del trattamento, nonché, se designati, gli eventuali responsabili. Nel caso in cui l'organizzazione
preveda una frequente modifica dei responsabili designati, potranno essere indicate le modalità attraverso le quali è possibile individuare
l'elenco aggiornato dei responsabili del trattamento;
b) una descrizione generale del trattamento o dei trattamenti realizzati, che permetta di valutare l'adeguatezza delle misure adottate per
garantire la sicurezza del trattamento. In tale descrizione vanno precisate le finalità del trattamento, le categorie di persone interessate e
dei dati o delle categorie di dati relativi alle medesime, nonché i destinatari o le categorie di destinatari a cui i dati possono essere comunicati;
c) l'elenco, anche per categorie, degli incaricati del trattamento e delle relative responsabilità. Nel caso in cui l'organizzazione preveda una
frequente modifica dei responsabili designati, potranno essere indicate le modalità attraverso le quali è possibile individuare l'elenco aggiornato dei responsabili del trattamento con le relative responsabilità;
d) una descrizione delle altre misure di sicurezza adottate per prevenire i rischi di distruzione o perdita, anche accidentale, dei dati, di
accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.
3. Modalità applicative per i trattamenti realizzati senza l'ausilio di strumenti elettronici (modalità applicative delle regole di cui ai punti
27, 28 e 29 dell'Allegato B))
I soggetti di cui al paragrafo 1 possono adempiere all'obbligo di adottare le misure minime di sicurezza di cui all'art. 35 del Codice
applicando le misure contenute nell'Allegato B) relativamente ai trattamenti realizzati senza l'ausilio di strumenti elettronici (regole da
27 a 29 dello stesso Allegato B)), con le modalità semplificate di seguito individuate.
3.1. Agli incaricati sono impartite, anche oralmente, istruzioni finalizzate al controllo e alla custodia, per l'intero ciclo necessario allo
svolgimento delle operazioni di trattamento, degli atti e dei documenti contenenti dati personali.
3.2. Quando gli atti e i documenti contenenti dati personali sensibili o giudiziari sono affidati agli incaricati del trattamento per lo svolgimento dei relativi compiti, i medesimi atti e documenti sono controllati e custoditi dai medesimi incaricati fino alla restituzione in modo
che a essi non accedano persone prive di autorizzazione, e sono restituiti al termine delle operazioni affidate.
79
Giancarlo Butti
Paradossi
L’applicazione letterale della normativa privacy nel suo complesso porta al verificarsi di alcuni paradossi che in sede di redazione delle
normativa difficilmente era facile prevedere.
Per testare l’attenzione dei partecipanti durante una delle sessioni formative da me svolte sull’argomento pongo uno specifico quesito.
Premesso che l’art. 7 del Dlgs 196/03 da ampi diritti all’interessato:
Art. 7. Diritto di accesso ai dati personali ed altri diritti
1. L'interessato ha diritto di ottenere la conferma dell'esistenza o meno di dati personali che lo riguardano, anche se non ancora registrati,
e la loro comunicazione in forma intelligibile.
che in base all’art. 8 del Dlgs 196/03, tale richiesta può essere formulata:
Art. 8. Esercizio dei diritti
1. I diritti di cui all'articolo 7 sono esercitati con richiesta rivolta senza formalità al titolare o al responsabile, anche per il tramite di un
incaricato, alla quale è fornito idoneo riscontro senza ritardo.
e che in base all’art. 9 del Dlgs 196/03 la richiesta può essere svolta:
Art. 9. Modalità di esercizio
1. La richiesta rivolta al titolare o al responsabile può essere trasmessa anche mediante lettera raccomandata, telefax o posta elettronica.
Il Garante può individuare altro idoneo sistema in riferimento a nuove soluzioni tecnologiche. Quando riguarda l'esercizio dei diritti di
cui all'articolo 7, commi 1 e 2, la richiesta può essere formulata anche oralmente e in tal caso è annotata sinteticamente a cura dell'incaricato o del responsabile.
Il quesito da me formulato è il seguente:
“Il Titolare che riceve da un interessato una richiesta dell'esistenza o meno di dati personali che lo riguardano, anche se non ancora registrati, quale risposta deve dare?”
La risposta corretta viene fornita dai partecipanti nella maggior parte dei casi.
Tale risposta è SI; esistono dati personali che riguardano il soggetto richiedente.
Tali dati sono stati forniti al Titolare dallo stesso richiedente al momento della sua richiesta.
Senza questi dati il Titolare non potrebbe verificare se sta trattando eventuali altri dati che riguardano l’interessato.
Questo non esclude il fatto che il Titolare ha comunque iniziato un trattamento sui dati personali del soggetto richiedente, anche se eventualmente in precedenza non lo stava facendo.
Tale trattamento continuerà anche successivamente, dovendo mantenere traccia della richiesta e della risposta fornita.
Si pone a questo punto anche il problema che per effettuare lecitamente tale trattamento il Titolare deve rilasciare un’apposita informativa
all’interessato.
Quindi, anche nel caso in cui il Titolare in precedenza non avesse mai gestito dati dell’interessato che ha effettuato tale richiesta, proprio
in conseguenza di tale richiesta avrà nei suoi archivi i dati dell’interessato.
Questo è solo uno dei tanti esempi di paradosso possibili…
80

Protezione dei dati personali - ISCOM

Transcript

Documenti analoghi

Modulo di richiesta per l`adesione al servizio NoiPA ad uso degli

fascicolo dati sensibili/giudiziari cartella personale (n. ----------)

Privacy - Giver Viaggi

Il titolare del trattamento CALZIFICIO PUNTO SRL

Trattamento effettuato con strumenti elettronici

informativa per trattamento di soli dati personali comuni

Informativa ex art. 13 D.lgs. 196/2003 Gentile Utente

autorizza - Genertel

Trattamento dei Dati - Meglio senza glutine