Testo Unico Privacy Focus

Il codice in materia di protezione dei dati personali è un decreto legislativo (atto avente forza di legge) della Repubblica Italiana emanato il 30 giugno 2003, al n. 196 e noto comunemente anche come «Testo unico sulla privacy».

Sull’applicazione della normativa vigila l’Autorità Garante per la protezione dei dati personali, istituita sin dalla L. 675/1996, poi confermata anche dal Testo Unico del 2003.PrivacyIl D.Lgs 196/2003 sulla Privacy abroga la precedente legge 675/96, che era stata introdotta per rispettare gli Accordi di Schengen ed era entrata in vigore nel maggio 1997. L’Italia ha recepito la normativa europea con l’emanazione del decreto legislativo n. 196 del 30 giugno 2003 il quale si pone lo scopo di garantire che il trattamento dei dati personali si svolga nel rispetto dei diritti e delle libertà fondamentali nonché della dignità dell’interessato con particolare riferimento alla riservatezza, all’ identità personale e al diritto della protezione degli stessi dati personali.

La normativa, in pratica dà diritto agli interessati di ottenere la conferma dell’esistenza o meno di dati personali che lo riguardano nonché le finalità e le modalità di trattamento. Tale soggetto può richiedere l’aggiornamento, la rettifica, l’integrazione e la cancellazione dei dati.

La richiesta di accesso ai dati va fatta al responsabile del trattamento mediante lettera raccomandata, fax o posta elettronica. Questi, dopo aver verificato l’identità del richiedente, è tenuto ad agevolare l’accesso ai dati personali da parte dell’interessato anche attraverso l’impiego di appositi software per l’elaborazione. Il responsabile, quindi, dovrà estrarre i dati e comunicarli, anche oralmente o offerti in visione mediante strumenti elettronici, al richiedente. Se viene fatta richiesta dovrà provvedere alla trasposizione dei dati su supporti cartacei o informatici ovvero alla trasmissione dei dati per via telematica.

La raccolta dei dati tramite moduli o formulari comporta la nascita di diritti per il soggetto che fornisce i dati e di doveri da parte del soggetto che li richiede, li raccoglie e li conserva per utilizzarli successivamente. Ci riferiamo sia alla raccolta tramite moduli cartacei come l’attivazione di una polizza assicurativa, l’apertura di un conto corrente bancario, la sottoscrizione di un mutuo o la formulazione di un’offerta, sia alla compilazione di moduli tramite Internet come ad esempio la raccolta di curriculum o dei nominativi di persone interessate a ricevere proposte commerciali.

Definizione di dati sensibili Privacy

Si considerano sensibili i dati personali in grado di rilevare l’origine razziale ed etnica, le convinzioni religiose, filosofiche e di altroPrivacy genere, le opinioni politiche, l’adesione a partiti o sindacati nonché ogni dato in grado di rilevare lo stato di salute e la vita sessuale.

La disciplina del trattamento dei dati prevede che per la gestione dei dati sensibili è necessario il consenso dell’interessato e l’autorizzazione del Garante il quale comunica la decisione adottata in base alla richiesta di autorizzazione entro quarantacinque giorni, decorsi i quali la mancata pronuncia equivale a rigetto.

Il Codice della Privacy ha comunque escluso la necessità del consenso scritto per il trattamento dei dati sensibili dei dipendenti quando tale trattamento è necessario ad adempiere a specifici obblighi previsti dalla legge per la gestione del rapporto di lavoro. Pertanto, per il trattamento dei dati necessari per l’ordinaria gestione del rapporto di lavoro non sono necessarie né autorizzazioni del Garante né consensi scritti del lavoratore.

I dati sensibili contenuti in elenchi, registri o banche dati, nel caso in cui sono tenuti con strumenti elettronici, devono essere trattati con tecniche di cifratura affinché vengano resi inintelligibili.

Trattamento dei dati personali Privacy

All’ attualità il rischio più grande in tema di protezione dei dati personali è quello di perdere il controllo su tutti quei dati oggetto di esternalizzazione delle banche dati aziendali per essere ospitate presso reti di data center gestiti da terzi.
A dire il vero il decreto legislativo n. 196/2003 non tutela le banche dati (che invece sono tutelate dalla legge sul diritto d’autore) ma piuttosto il trattamento dei dati personali. Questo significa che il Codice della Privacy tutela i dati personali anche se non organizzati o registrati in una banca dati.

Il trattamento dei dati consiste in tutte le operazioni relative ai dati compiute anche senza l’ausilio di strumenti elettronici e può essere suddiviso in 2 grandi categorie a seconda che siano rivolti all’ interno o all’ esterno della struttura del titolare del trattamento.PrivacyIl trattamento delle informazioni nei rapporti con l’interno comprende le varie operazioni effettuate da chi raccoglie informazioni stesse al fine di organizzarle e renderle fruibili da se stessi o da altri soggetti autorizzati. Queste operazioni possono essere sintetizzate in: raccolta, registrazione su supporti informatici o cartacei, organizzazione ossia il processo del trattamento che ne favorisce la fruibilità, conservazione, consultazione, elaborazione, selezione, modifica e cancellazione.

Il trattamento delle informazioni nei rapporti con l’esterno comprende una serie di trattamenti che se applicati in maniera errata potrebbero portare ad una violazione della privacy e, nello specifico, riguardano l’utilizzo dei dati personali. I dati possono essere diretti a instaurare un rapporto con la persona cui si riferiscono oppure possono essere messi a disposizione di terzi.

Privacy all’ interno dell’azienda

In ambito aziendale i dati personali sono presenti ovunque per lo svolgimento dell’attività d’impresa: dall’ Ufficio Personale a quello Commerciale, all’ Amministrazione, agli Archivi, al Magazzino e all’ Ufficio Tecnico. In effetti questa diffusione dei dati personali non può costituire elemento di criticità a condizione che siano gestiti a norma di legge.

La gestione e il trattamento dei dati personali per certi versi possono rappresentare dei costi per l’azienda. Pertanto è necessario che l’impresa razionalizzi i dati da raccogliere e da conservare. In questo modo riuscirà a comprendere quali dati sono necessari e quali non lo sono. Questo perché la normativa italiana tutela tutte le informazioni in possesso del titolare del trattamento, anche quelle inutili.

Figure previste dalla normativa Privacy
Titolare del trattamento

La normativa italiana di tutela della Privacy oltre al soggetto interessato a cui si riferiscono i dati personali prevede anche una serie di figure coinvolte nell’ intero processo di acquisizione e trattamento dei dati. Ad alcuni di questi soggetti viene affidato un particolare compito affinché il trattamento dei dati sia corretto. Il primo soggetto di cui parleremo è il titolare del trattamento.

Come specificato dall’ articolo 28 del Codice della Privacy, il titolare del trattamento è l’entità che esercita un potere decisionalePrivacy del tutto autonomo sulle finalità e sulle modalità del trattamento, ivi compreso il profilo della sicurezza. Titolare del trattamento può essere una persona fisica ossia l’imprenditore o giuridica ossia la società stessa. In tal caso ogni responsabilità cadrà in capo alle persone fisiche che hanno la rappresentanza legale pro tempore o che hanno avuto una delega formale.

Compito del titolare del trattamento è quello di rispettare gli obblighi in materia di protezione dei dati, osservare le scadenze predisponendo la modulistica richiesta, aggiornando e monitorando costantemente l’attuazione delle prescrizioni.

Il titolare del trattamento può designare uno o più responsabili del trattamento a cui impartire specifiche istruzioni. Resta inteso che dovrà ugualmente vigilare sul corretto operato dei responsabili. Dovrà, inoltre, attivare e controllare periodicamente il sistema di sicurezza per il trattamento dei dati, inviare l’informativa a clienti, fornitori e a tutti coloro di cui tratta i dati, rispettare l’esercizio dei diritti dell’interessato, predisporre e sottoscrivere l’eventuale notifica al Garante, formare i propri collaboratori in merito alla gestione dei dati personali, decidere se adottare ulteriori misure di sicurezza non previste dal codice Privacy.

Il titolare del trattamento è chiamato a rispondere di ogni omissione o violazione anche con pesanti sanzioni amministrative e penali.

Responsabile del trattamento Privacy

Come già accennato, il responsabile del trattamento è una figura, nominata dal titolare del trattamento, che collabora attivamente per dare piena attuazione alla normativa all’ interno dell’impresa.

Il responsabile del trattamento deve essere individuato con atto scritto nel quale vanno indicati dettagliatamente i compiti affidati e le istruzioni impartite. La normativa prevede che nell’ individuazione del responsabile del trattamento occorre far riferimento a soggetti che per esperienza, capacità e affidabilità forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza.

In merito a questa figura la normativa prevede obblighi specifici ma altrettante libertà: la presenza del responsabile del trattamento in azienda è facoltativa, non viene stabilito il numero dei responsabili da nominare all’ interno di una struttura organizzativa, non è stabilito se il responsabile deve essere un soggetto interno o esterno all’ azienda. Tutto ciò è di esclusiva discrezionalità dell’impresa. Se nominato, il responsabile del trattamento può essere chiamato a rispondere sia civilmente che penalmente per il suo operato.

Incaricato del trattamento Privacy

Chi compie materialmente le operazioni di trattamento dei dati su incarico del titolare prende nome di incaricato del trattamento. Questi opera sotto l’autorità del titolare attenendosi alle disposizioni impartite. L’incaricato non ha alcun potere decisionale poiché è previsto che esegua esclusivamente le indicazioni impartite, può accedere ai soli dati personali necessari per il corretto svolgimento della propria attività lavorativa.

Sono incaricati del trattamento tutti i soggetti che trattano dati personali per conto dell’azienda indipendentemente dal rapporto che li lega all’ impresa. Resta inteso che anche gli incaricati, così come i responsabili, devono essere nominati per iscritto tramite una lettera contenente l’indicazione dei dati ai quali potranno accedere e le istruzioni per il corretto trattamento degli stessi. Dovranno, inoltre, ricevere adeguata formazione.

Amministratore del sistema informativo PrivacyPrivacyLa normativa sulla Privacy non prevede che debba essere obbligatoriamente nominato un amministratore del sistema informativo. Resta il fatto che è compito del titolare del trattamento provvedere all’ obbligo di assicurare la custodia delle componenti riservate delle credenziali di autenticazione nonché provvedere a realizzare copie di backup e gestire i sistemi di autenticazione e autorizzazione.

Poiché nelle grandi aziende questa figura risulta essere praticamente necessaria e non essendo prevista in maniera obbligatoria dalla normativa, solitamente si nomina un incaricato del trattamento a cui vengono dati i compiti di responsabilità al settore informatico o attribuendo compiti specifici in merito all’ individuazione e all’ implementazione delle misure di sicurezza informatiche.

Nel caso in cui l’azienda non debba avere risorse in grado di svolgere tale funzione potrà fare riferimento a soggetti esterni quali la software house che ha realizzato il sistema informatico o che ha in gestione la manutenzione hardware e software.



Vuoi approfondire i temi della Privacy in azienda? Contattaci !!  Insieme cercheremo la soluzione per la tua azienda

CONTATTACI

Link di Riferimento

www.lavoro.gov.it/SicurezzaLavoro – www.salute.gov.it – www.garanteprivacy.it – http://sistemieconsulenze.wordpress.com

Copy Protected by Chetan's WP-Copyprotect.