nuovo regolamento europeo ztl tcl e internet provider
Transcript
nuovo regolamento europeo ztl tcl e internet provider
NUOVO REGOLAMENTO EUROPEO, ZTL, TCL E INTERNET PROVIDER g) REGOLAMENTO EUROPEO SULLA PROTEZIONE DEI DATI. L´AVV. VALENTINA FREDIANI NE HA PARLATO AL PRIVACY DAY 2013 ORGANIZZATO DA FEDERPRIVACY L’annuale convegno Federprivacy a Pisa ha dimostrato che, nonostante tutto, le tematiche inerenti il Codice della Privacy sono tutt’altro che decadute nell’interesse di aziende, istituzioni e addetti ai lavori. Oltre 800 i partecipanti al Privacy Day 2013. D’altra parte, che piaccia o meno, la privacy coinvolge un numero crescente di attività e processi, compresi quelli che riguardano il singolo cittadino nella vita pratica di ogni giorno. Investire in conoscenza e aggiornamento significa fare prevenzione e sicurezza. Ne è convinto il Prefetto Francesco Tagliente che, aprendo i lavori, ha ricordato come sia imprescindibile il binomio tecnologie – privacy e quanto la mancanza di conoscenza della disciplina giuridica potrebbe indebolire le potenzialità dei progressi in tema di sicurezza. Una posizione abbracciata con forza, e da sempre dall’Avv. Valentina Frediani, socia onoraria di Federprivacy e fondatrice del network Consulentelegaleinformatico.it. Non poteva mancare dunque una partecipazione attiva per raccontare cosa accadrà ora che il Codice Privacy, come lo abbiamo conosciuto fino a oggi, sarà sostituito dal nuovo Regolamento Europeo sulla protezione dei dati, entro il 2014. Nel suo intervento l’Avv. Valentina Frediani ha voluto mettere in luce “Come cambia la figura del Responsabile con l’arrivo del nuovo Regolamento Europeo sulla protezione dei dati”. Egli dovrà dimostrare non solo che il trattamento è effettuato in modo conforme al Regolamento stesso, ma anche l’efficacia delle misure adottate per raggiungere tale scopo. Sua la responsabilità della conservazione della documentazione, dell’attuazione dei requisiti di sicurezza dei dati, dell’esecuzione della valutazione d’impatto sulla protezione dei dati e del rispetto dei requisiti di autorizzazione preventiva o di consultazione preventiva dell´autorità di controllo e del responsabile della protezione dei dati ai sensi dell´articolo 34, paragrafi 1 e 2. Responsabile e Incaricato dovranno inoltre notificare eventuali violazioni all’autorità di controllo entro e non oltre 72 ore dalla venuta a conoscenza. L’interessato dovrà ricevere anch’egli notizia della violazione, contente informazioni precise e codificate dal Regolamento. Se il responsabile del trattamento determina finalità, condizioni e i mezzi del trattamento dei dati personali insieme ad altri, i corresponsabili del trattamento determinano, mediante accordi interni scritti, le rispettive responsabilità in merito al rispetto degli obblighi derivanti dal regolamento, con particolare riguardo alle procedure e ai meccanismi per l´esercizio dei diritti dell´interessato. Qualora tale determinazione manchi o non sia sufficientemente chiara, l´interessato può esercitare i propri diritti nei confronti di uno qualunque dei responsabili del trattamento, che sono solidalmente responsabili. Risulta evidente come lo scopo di un simile Regolamento sia quello di porre la privacy al centro di un ripensamento di processi aziendali che tutelino l’utente finale / cittadino da un lato, ma anche gli stessi erogatori di prodotti e servizi. Una visione strategica che valorizza aree aziendali senza ridurre la conformità normativa a puro onere formale. Fonte: www.consulentelegaleinformatico.it h) ZTL: SUI CONTRASSEGNI NIENTE NOMINATIVI PER LE DITTE INDIVIDUALI Il contrassegno per il transito e la sosta nelle zone a traffico limitato (Ztl) non può contenere, nella parte visibile a tutti, i dati che identificano direttamente l'interessato, anche nel caso di intestazione a ditte individuali. Lo ha precisato il Garante [doc. web n. 2439150] a seguito della segnalazione di un cittadino che lamentava come sui contrassegni forniti agli agenti di commercio per l'accesso e la sosta nella Ztl della sua città venisse apposto, oltre ad un ologramma per la lettura ottica e alla targa dell'autovettura, anche il nome e cognome dell'interessato. Interpellato dal Garante, il servizio competente del Comune aveva spiegato che effettivamente per i titolari di aziende di commercio e servizi era stata prevista l'apposizione sui contrassegni della ragione sociale dell'azienda che, qualora venisse esercitata in forma di impresa individuale, doveva contenere almeno la sigla o il cognome dell'imprenditore. Il trattamento è pero risultato illecito. Come ha spiegato l'Autorità, l'apposizione sui contrassegni della ragione sociale dell'azienda individuale, essendo in questo caso idonea a identificare direttamente l'interessato, configura un trattamento di dati riguardanti le persone fisiche. Questi dati, in base al Codice privacy, non possono essere indicati sulla parte visibile dei contrassegni rilasciati per la circolazione o la sosta dei veicoli nelle Ztl, i quali devono contenere invece solo informazioni indispensabili a individuare l'autorizzazione rilasciata. L'Autorità ha dunque prescritto al Comune di non apporre in futuro sulla parte dei contrassegni che devono essere esposti sui veicoli, il nome e cognome dell'interessato eventualmente contenuti nella ragione sociale dell'azienda esercitata in forma di impresa individuale, ma di indicare solo i dati riguardanti l'autorizzazione. Il Comune ha sei mesi di tempo per adempiere. Il Garante, infine, si è riservato con autonomo provvedimento, di verificare i presupposti per contestare al comune la violazione amministrativa concernente la diffusione di dati personali in mancanza di idonei presupposti normativi. Fonte: Comunicato Stampa Newsletter Garante Privacy N. 373 del 24 maggio 2013 i) VIOLAZIONI DELLA PRIVACY COSTOSE PER TLC ED INTENET PROVIDER Costa caro all'internet provider e alla società di telecomunicazioni non segnalare le violazioni della privacy al garante e agli interessati. Lo ha precisato il garante nel suo provvedimento generale n. 161/2013, che illustra l'obbligo per società telefoniche e internet provider di avvisare il garante privacy e gli utenti quando i dati trattati per fornire i servizi subiscono gravi violazioni a seguito di attacchi informatici o di altro eventi, come incendi o altre calamità, che possano comportare perdita, distruzione o diffusione indebita di dati. Il provvedimento stabilisce che l'obbligo di comunicare le violazioni di dati personali, contenuti in particolare in data base elettronici o cartacei, spetta esclusivamente ai fornitori di servizi telefonici e di accesso a internet (e non, ad esempio, ai siti internet che diffondono contenuti, ai motori di ricerca, agli internet point, alle reti aziendali). Entro 24 ore dalla scoperta dell'evento, società di tlc e Isp devono fornire al garante le informazioni necessarie a consentire una prima valutazione dell'entità della violazione. In caso di inadempimento scattano multe salatissime. In base all'articolo 162-ter del codice della privacy (dlgs 196/2003) la omessa comunicazione della violazione di dati personali al garante ex articolo 32-bis, comma 1, sempre del codice della privacy, e la ritardata comunicazione, e cioè quella effettuata oltre i termini indicati dal provvedimento del garante, è punita con la sanzione amministrativa del pagamento di una somma da 25 mila a 150 mila euro. La omessa comunicazione della violazione di dati personali al contraente o ad altra persona ex 32-bis, comma 2, e la ritardata comunicazione, e cioè quella effettuata oltre i termini previsti dal garante è punita con la sanzione amministrativa del pagamento di una somma da 150 a 1.000 euro per ciascun contraente o altra persona interessata. In tale ipotesi c'è un tetto massimo al cumulo materiale delle sanzioni: è il 5% del volume d'affari realizzato dallo stesso nell'ultimo esercizio chiuso anteriormente alla notificazione della contestazione della violazione amministrativa. È possibile, però, l'aumento fino al quadruplo se le sanzioni risultino inefficaci in ragione delle condizioni economiche del contravventore, ai sensi dell'articolo 164-bis, comma 4 del codice della privacy. In base all'articolo 162-ter, comma 4, del codice della privacy la violazione della disposizione concernente la tenuta di un aggiornato inventario delle violazioni di dati personali (altro adempimento a carico di Isp e società di tlc), è punita con la sanzione amministrativa del pagamento di una somma da 20 mila euro a 120 mila euro. Le stesse sanzioni previste per i fornitori si applicano anche nei confronti dei soggetti ai quali sia stata affidata l'erogazione dei servizi, qualora tali soggetti abbiano omesso di comunicare senza ritardo al fornitore tutte le informazioni necessarie allo stesso per adempiere ai propri obblighi (articolo 162-ter, comma 5). Quanto alle sanzioni penali, l'articolo 168 del codice della privacy punisce, salvo che il fatto costituisca più grave reato, con la reclusione da sei mesi a tre anni il fornitore che dichiari o attesti falsamente notizie o circostanze, o produca atti o documenti falsi in occasione della comunicazione al garante conseguente alla violazione di dati personali, e anche i soggetti, cui sia affidata l'erogazione del servizio, che effettuino false comunicazioni al fornitore. Fonte: Italia Oggi del 15 maggio 2013 - Articolo a cura di Antonio Ciccia