Elenco eventi formativi portale FPCU |
07.02.2006 - Ecco il testo approvato con le modifiche |
|
Art. 10. Garanzie di sicurezza nel trattamento dei dati personali 1. Al codice in materia di protezione dei dati personali, di cui al decreto legislativo 30 giugno 2003, n. 196, e successive modificazioni, sono apportate le seguenti modifiche: a) all'articolo 180: 1 ) al comma 1 le parole: «31 dicembre 2005» sono sostituite dalle seguenti: «31 marzo 2006»; b) all'articolo 181, comma 1, lettera a), le parole: «31 dicembre 2005» sono sostituite dalle seguenti: «28 febbraio 2006».
|
Sono un Ragioniere Commercialista iscritto all'albo e mi occupo principalmente di amministrazione del personale. Pur essendoci la autorizzazione generica per i professionisti iscritti agli albi, trattando dati sensibili (iscrizioni ai sindacati dei lavoratori) ho l'obbligo di fare la notifica al garante?
|
No, la notifica ormai (dopo l'entrata in vigore del Codice della Privacy) non è più un obbligo generale. E' importante evidenziare, però, che restano fermi tutti gli altri obblighi imposti dalla legge. |
Quali gli adempimenti per uno studio legale munito anche di apparati informatici? |
In un contesto tipo nel quale in genere si opera, deve essere fatta una primissima valutazione, prima di procedere nella attuazione negli adempimenti imposti dalla legge, di come è strutturata la gestione organizzativa delle attività di trattamento, di quali siano le figure soggettive dedicate ai trattamenti (titolare, responsabile e incaricati) e predisporre, eventualmente, precise deleghe e mansionari per gli incaricati. Successivamente, per ciascuna attività deve essere fatta una puntuale valutazione su: 1. quali tipi di dati personali vengono trattati; 2. quale è l'ambito di comunicazione e diffusione dei dati (per esempio alla pubblica amministrazione); 3. se vengono trattati dati sensibili; 4. se vengono fatti trattamenti incompatibili con le finalità di raccolta. Dopo la valutazione, occorre passare alla gestione degli adempimenti.
|
Sono un notaio e vorrei sapere per quanto attiene la mia professione come mi devo comportare riguardo alla legge in oggetto. |
E' difficile dare una risposta generale al quesito da Lei posto, perchè occorrerebbe verificare, nello specifico, quali tipologie di dati personali vengono trattati nell'ambito della Sua professione. 1) quali tipi di dati personali vengono trattati; Dopo la valutazione, occorre passare alla gestione degli adempimenti.
|
Ho uno studio professionale ed a suo tempo ho inviato alla Prefettura di Chieti, la comunicazione di possedere archivi anagrafici informatici con la specifica dell'attività da me svolta: consulenza amministrativa, fiscale.
|
No, la notifica a suo tempo effettuata alla Prefettura non sostituisce la notifica al Garante di cui alla legge in oggetto. Evidenziamo però che, ormai, la notificazione al garante è un adempimento residuale, previsto solo per ipotesi particolari. |
Può la Federazione Nazionale di un qualsivoglia Ordine Professionale Provinciale divulgare gli indirizzi privati degli iscritti all'Ordine, contro il volere dei singoli Ordini Provinciali, qualunque sia lo scopo per il quale la divulgazione avvenga? |
L'art. 61 del Codice prevede la possibilità di divulgare i dati degli iscritti, poiché questa è una delle precipue finalità di un ordine professionale. Un'eventuale diffusione degli indirizzi per scopi diversi da quelli previsti per la tenuta dell'albo, però, sarebbe in ogni modo illegittima per violazione dei principi di cui all'art.11 del Codice.
|
Per scendere nel particolare: per compiti non istituzionali e a richiesta di un singolo, possono essere divulgati gli indirizzi privati degli iscritti ai singoli Collegi Provinciali afferenti a detta Federazione?
|
Il contenuto informativo degli elenchi pubblici deve essere definito per legge o per norma regolamentare: in un Albo o Elenco professionale non possono comparire dati la cui "pubblicazione" non sia espressamente prevista. Le informazioni, pertanto, non potranno essere eccedenti rispetto alle finalità di raccolta.
|
Svolgo la professione di avvocato. I quesiti che pongo sono i seguenti: 1) la semplice raccolta di fascicoli di causa dei clienti in faldoni è trattamento dati? 2) i fascicoli attinenti al penale sono dati sensibili? 3) i fascicoli dove si descrive lo stato di salute del cliente (ai fini del giudizio anche civile per es. incidente stradale o quant'altro) sono dati sensibili?
|
1- Si, costituisce un trattamento svolto senza l'ausilio di strumenti automatizzati, non soggetto all'obbligo di notifica al Garante né al consenso dell'interessato, in quanto riguarda dati necessari all'adempimento di obblighi derivanti da un contratto di cui l'interessato è parte (articolo 24, lettera b del Codice). E' obbligatorio, però, informare l'interessato ai sensi dell'articolo 13. Si rammenti, infine, l'obbligo di raccogliere il consenso per il trattamento dei dati sensibili. 2- I dati sensibili sono unicamente quelli elencati dall'articolo 4 comma 1 lett.d) del Codice. 3- Si. Il trattamento di questo tipo di dati da parte di professionisti è stato comunque consentito, in via generale dal Garante, con autorizzazione rilasciata annualmente.
|
E' necessario inviare l'informativa per il consenso dei trattamenti ai nostri clienti o fornitori,dato che stiamo ricevendone alcune dagli stessi? | Non è necessario chiedere il consenso con una informativa se i dati vengono trattati per finalità connesse ad un obbligo di legge o per un regolamento comunitario. Quindi i dati dei clienti e dei fornitori se vengono trattati per quello scopo non necessitano di nessuna informativa. Serve l'informativa se voglio utilizzare gli stessi dati per scopi diversi, ad esempio per inviare materiale pubblicitario, depliant, ecc…
|
Essendo certificati Iso 9001 dobbiamo inviare via fax o via e-mail un questionario sulla soddisfazione del cliente nei confronti della nostra Azienda. Dobbiamo seguire qualche regola particolare...? | Se il questionario è anonimo, non c'è bisogno di fare nulla. Se il questionario consente di risalire a chi ha dato la risposta è necessario predisporre di una informativa ai sensi dell'art. 13 del Dlg. 196/2003 in cui sia specificata la finalità del trattamento, se i dati verranno comunicati e a chi, ecc…
|
I dati riguardanti i dipendenti vengono inviati al nostro consulente del lavoro per l'elaborazione delle retribuzioni mensili e questo viene indicato nella lettera d'assunzione che firmano. Il titolare deve comunque darne comunicazione scritta agli interessati? | Si deve controllare che nella lettera di assunzione ci siano ben specificati gli elementi necessari perché l'informativa che viene data ai dipendenti sia valida (art. 13 del del Dlg. 196/2003). Se per titolare si intende il "vostro" titolare questi "ha già dato l'informativa" e non deve dare ai dipendenti nessun'altra comunicazione scritta.
|
Il consulente al quale abbiamo affidato l'incarico di farci le paghe deve inviarci qualche dichiarazione? | Il consulente nel contratto che regola il rapporto con la vostra azienda deve dichiarare: 1) di essere consapevole che i dati che tratterà nell’espletamento dell’incarico ricevuto, sono dati personali e, come tali sono soggetti all’applicazione del codice per la protezione dei dati personali; 2) di ottemperare agli obblighi previsti dal Codice per la protezione dei dati personali 3) di adottare le istruzioni specifiche eventualmente ricevute per il trattamento dei dati personali o di integrarle nelle procedure già in essere. 4) di impegnarsi a relazionare annualmente sulle misure di sicurezza adottate e di allertare immediatamente il proprio committente in caso di situazioni anomale o di emergenze 5) di riconoscere il diritto del committente a verificare periodicamente l’applicazione delle norme di sicurezza adottate.
|
Abbiamo redatto il Documento Programmatico sulla Sicurezza e un allegato con le regole scritte da distribuire agli incaricati. Va bene? Oppure anche il Documento Programmatico sulla Sicurezza deve essere dato in copia a tutti?
|
E' opportuno consegnare una copia del Documento Programmatico sulla Sicurezza ad ogni incaricato |
Il mio Studio si occupa di tenuta contabilità per terzi, dichiarazione dei redditi ed anche di procedure concorsuali. Premesso che il segretario generale dell'ufficio del Garante Dott. Buttarelli (quotidiano Italia Oggi del 13.05.04) ha chiarito che l'opzione dell' 8 per mille esercitata dal contribuente nella dichiarazione dei redditi UNICO è da considerarsi dato sensibile, che le dichiarazioni vengono dallo Studio elaborate e conservate su PC e trasmesse telematicamente alla Amministrazione Finanziaria ed inoltre che tratto dati giudiziari relativi ai fallimenti sempre su PC, ritengo di dovere redigere il Documento Programmatico sulla Sicurezza ma di non dovere chiedere l'autorizzazione preventiva al trattamento dei dati sensibili. E' corretto?
|
Si è corretto |
Dai clienti a cui tengo la contabilità ricevo tutta la documentazione per adempiere all'incarico tra cui fatture acquisto/vendita, documentazione rapporti bancari, tutti dati che ritengo personali. Tutta questa documentazione viene da me conservata, per mia organizzazione interna, per almeno due anni (sia il cartaceo che i dati su PC). Chiedo se devo considerare titolare del trattamento il mio cliente mentre il mio studio dovrebbe essere l'unità esterna che è incaricato del trattamento dei dati. Se affermativo chi devo/posso considerare responsabile del trattamento dei dati?
|
No. L'incaricato può essere solamente persona fisica, e quindi non può essere lo "incaricato" lo studio. In questo caso invece si tratta di affidamento di trattamento in out-sourcing, e lo studio diviene "titolare di autonomo trattamento". |
Un albergo emette documento fiscale (fattura/ricevuta) con indicato il nome del cliente. Può desumersi indicazione di origine etnica / razziale il nome indicato nel documento fiscale posto che potrebbero essere nominativi di persone estere (origine slava, russa, araba, ebrea, anglosassone) e quindi dato sensibile? Se sì deve chiedere l'autorizzazione al trattamento al garante oppure c'è una autorizzazione generalizzata?
|
Non si deve richiedere nessuna autorizzazione per questo tipo di trattamento. Ovviamente l'albergo in quanto "titolare di trattamento" deve adeguarsi al Dlg. N.196/2003, e applicare le "misure minime di sicurezza", e redigere il Documento Programmatico sulla Sicurezza., in quanto tratta dati sensibili. |
Se si considera il caso del personale dipendente occupato nell'azienda: i cedolini busta paga, eventuale trattenute sindacali, certificati di malattia e/o infortuni devono essere considerati dati sensibili ? Se sì, come presumo, danno luogo all'obbligo di predisposizione del Documento Programmatico sulla Sicurezza anche se conservati su cartaceo o solo se mediante l'utilizzo di supporti informatici ?
|
I dati dei dipendenti sono "dati sensibili". Il Documento Programmatico sulla Sicurezza deve essere redatto solo nel caso vengano trattati con strumenti elettronici. |
Medico che conserva le varie diagnosi nella scheda paziente su supporto cartaceo deve redigere Documento Programmatico sulla Sicurezza? Mi sembra inoltre che i medici siano stati esonerati dalla richiesta di preventiva autorizzazione al Garante al trattamento dei dati sensibili. Se venissero conservate su PC cambierebbe qualcosa in ordine agli obblighi del medico?
|
Ovviamente il medico tratta dati sensibili e in quanto "titolare di trattamento" deve adeguarsi al Dlg. N.196/2003, e applicare le "misure minime di sicurezza", e se utilizza strumenti elettronici deve redigere il Documento Programmatico sulla Sicurezza. |
Chi controlla che le misure minime e gli altri adempimenti previsti dalla legge sono messi in pratica? | I controlli vengono effettuati dalla Polizia Postale e dalla Guardia di Finanza sulla base di un protocollo di intesa con il Garante.
|
Per chi tratta i dati sensibili è sufficiente redigere il Documento Programmatico sulla Sicurezza? | No. Non si deve confondere il Documento Programmatico sulla Sicurezza con le Misure minime di sicurezza specificate nell'Allegato B al Dlg. N.196/2003.
|
Se esiste una autorizzazione generale al trattamento dei dati, è possibile trattare i dati senza il consenso dell'interessato? | No, è solo possibile omettere la notifica al Garante Ci sono molti casi in cui si può fare a meno di richiedere il consenso all'interessato. In particolare se ci sono disposizioni di legge o regolamenti comunitari, oppure se c'è un contratto, ecc…
|
I medici, che sono per legge tenuti al segreto professionale, possono registrare i dati dei loro assistiti senza chiedere il consenso?
|
No, devono comunque chiedere il consenso al paziente e fornirgli l'informativa sul trattamento |
Quali sono le regole da seguire per chi non tratta dati sensibili o giudiziari? | E' difficile che una organizzazione (azienda, ente, studio professionale) non abbia archivi con dati sensibili: pensiamo per esempio ai certificati di malattia dei dipendenti!
|
E' vero che è obbligatorio per tutte le organizzazioni avere un Documento Programmatico della Sicurezza? | In base a quanto stabilito dall'art. 34 del Dlg. N.196/2003 Il Documento Programmatico sulla Sicurezza è obbligatorio per tutti coloro che trattano che trattano dati personali con l'impiego di elaboratori elettronici.
|
E' obbligatorio specificare nel Documento Programmatico sulla Sicurezza anche una analisi dei rischi? | Si, è esplicitamente richiesto al punto 19.6 dell'Allegato B del D.Lgs. 196/03 per tutte le organizzazioni che trattano dati sensibili con l'ausilio di elaboratori elettronici.
|
Una struttura alberghiera, che raccoglie i dati anche per un preciso obbligo di legge, dovendo fornire l'elenco degli ospiti alle Forze dell'Ordine, è esentata dal raccogliere il consenso al trattamento? | No, il consenso va comunque raccolto secondo le modalità previste dalla legge, anche perchè il trattamento dei dati in una struttura alberghiera non si limita alla registrazione dei nominativi negli elenchi degli ospiti per le Forze di Polizia, ma ci sono sicuramente trattamenti ulteriori per la contabilità, la gestione dei clienti, etc. etc
|
Abbiamo un sito Web dove registriamo i nominativi dei nostri potenziali clienti. Come ci dobbiamo comportare? | In questo caso dovete considerare questo tipo di trattamento in "out-sourcing" e prevedere che nel contratto che regola il rapporto con la vostra azienda il Provider dichiari: 1) di essere consapevole che i dati che tratterà nell’espletamento dell’incarico ricevuto, sono dati personali e, come tali sono soggetti all’applicazione del codice per la protezione dei dati personali; 2) di ottemperare agli obblighi previsti dal Codice per la protezione dei dati personali 3) di adottare le istruzioni specifiche eventualmente ricevute per il trattamento dei dati personali o di integrarle nelle procedure già in essere. 4) di impegnarsi a relazionare annualmente sulle misure di sicurezza adottate e di allertare immediatamente il proprio committente in caso di situazioni anomale o di emergenze 5) di riconoscere il diritto del committente a verificare periodicamente l’applicazione delle norme di sicurezza adottate.
|
Il Documento programmatico sulla sicurezza va compilato solo se i dati trattati sono sensibili e giudiziari usando i computer, oppure ogni volta si usa un computer anche se ci sono solo indirizzi o dati che si potrebbero benissimo trovare su un elenco telefonico? | Il segretario generale dell’Autorità garante dott. Giovanni Buttarelli ha sottolineato (in un incontro tenutosi a Roma il giorno 8 giugno 2004) come quello della redazione del documento programmatico della sicurezza sia un obbligo generalizzato, riguardante ogni soggetto che svolga un trattamento di dati personali. Infatti, al di fuori delle ipotesi nelle quali l’inadempimento è sanzionato penalmente (dati sensibili e giudiziari), la mancata predisposizione del dps espone i soggetti obbligati a tutte le conseguenze di natura civile e disciplinare previste dalla legge (ma si pensi anche alle conseguenze di ordine amministrativo e contabile per le persone giuridiche pubbliche)
|
Il Documento programmatico sulla sicurezza deve essere firmato e riportare data certa? | Non esiste nessuna norma nel codice che dice che il Documento programmatico sulla sicurezza (DPS) debba essere firmato. Il segretario generale dell’Autorità garante dott. Giovanni Buttarelli, in un recente convegno ha risposto che per "analogia con analoghi documenti civilistici" è doveroso che abbia data certa o che comunque si possa dimostrare con una prova documentale e non testimoniale che sia stato redatto nei termini e nei modi previsti, e che quindi deve avere data certa. Lo stesso discorso vale per la firma.
|
Sono configurabili come banca dati, anche i progetti che possono risiedere nel pc contenenti riferimenti o dati di clienti (ad esempio progetti, disegni, siti web, manutenzioni). | Si, in quanto all'articolo 4 del Dlgs. 196/2003 si definisce come "dato personale", qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale. |