07.02.2006 - Privacy: Il Senato approva il Decreto "milleproroghe" (a cura di Enrico Crisci)

Martedì 07 Febbraio 2006 00:00 | Scritto da Administrator | PDF | Stampa | E-mail

07.02.2006 - Ecco il testo approvato con le modifiche
Art. 10.
Garanzie di sicurezza nel trattamento dei dati personali
1. Al codice in materia di protezione dei dati personali, di cui al decreto legislativo 30 giugno 2003, n. 196, e successive modificazioni, sono apportate le seguenti modifiche:

a) all'articolo 180:

1 ) al comma 1 le parole: «31 dicembre 2005» sono sostituite dalle seguenti: «31 marzo 2006»;
2 ) al comma 3 le parole: «31 marzo 2006» sono sostituite dalle seguenti: «30 giugno 2006»;

b) all'articolo 181, comma 1, lettera a), le parole: «31 dicembre 2005» sono sostituite dalle seguenti: «28 febbraio 2006».

Il termine per l'attivazione delle cosiddette misure minime di sicurezza, passa dal 31 dicembre 2005 al 31 marzo 2006.
Sono concessi di tre mesi in più per l'adeguamento per coloro che hanno sistemi talmente complessi da presentare difficoltà oggettive e la scadenza è fissata al 30 giugno 2006.
E' stato spostato dal 31 dicembre 2005 al 15 maggio 2006 (nel decreto originario il termine era stato spostato al 28 febbraio 2006) il termine ultimo con cui le Pubbliche amministrazioni dovranno approvare i regolamenti per i trattamenti di dati sensibili.

Il testo del decreto di dicembre, sostituito da quello licenziato dal Senato, sottolinea che il rinvio è dovuto al rischio di vedere inadempienti gli uffici giudiziari. L'osservanza dei termini indicati dalla legge, spiega il testo del decreto, "Appare problematica per la complessità delle analisi da effettuare e l’onerosità delle soluzioni operative da adottare, cui si aggiunge l’oggettiva difficoltà di fornire, nella fase applicativa, la necessaria assistenza a tutti gli uffici giurisdizionali, nessuno dei quali dispone di figure professionali adeguate". Sempre secondo il testo, "L’applicazione delle misure di sicurezza ulteriori rispetto a quelle previste dal regolamento di cui al decreto del Presidente della Repubblica 28 luglio 1999, n. 318, comporta un considerevole impiego di risorse umane e finanziarie".
Quindi, si conclude, "La situazione è tale da giustificare la richiesta di una ulteriore protrazione dei termini e l’adozione di misure che consentano di superare le attuali difficoltà".

29.12.2005 - Il testo del Decreto legge che ha fissato i nuovi termini per l'adozione delle misure minime di sicurezza
e che è stato approvato nella riunione del Consiglio dei Ministri del 22 dicembre 2005 (a cura di Enrico Crisci)

Sono un Ragioniere Commercialista iscritto all'albo e mi occupo principalmente di amministrazione del personale. Pur essendoci la autorizzazione generica per i professionisti iscritti agli albi, trattando dati sensibili (iscrizioni ai sindacati dei lavoratori) ho l'obbligo di fare la notifica al garante?

 

No, la notifica ormai (dopo l'entrata in vigore del Codice della Privacy) non è più un obbligo generale. E' importante evidenziare, però, che restano fermi tutti gli altri obblighi imposti dalla legge.

Quali gli adempimenti per uno studio legale munito anche di apparati informatici?

In un contesto tipo nel quale in genere si opera, deve essere fatta una primissima valutazione, prima di procedere nella attuazione negli adempimenti imposti dalla legge, di come è strutturata la gestione organizzativa delle attività di trattamento, di quali siano le figure soggettive dedicate ai trattamenti (titolare, responsabile e incaricati) e predisporre, eventualmente, precise deleghe e mansionari per gli incaricati.

Successivamente, per ciascuna attività deve essere fatta una puntuale valutazione su:

1.     quali tipi di dati personali vengono trattati;

2.     quale è l'ambito di comunicazione e diffusione dei dati (per esempio alla pubblica amministrazione);

3.     se vengono trattati dati sensibili;

4.     se vengono fatti trattamenti incompatibili con le finalità di raccolta.

Dopo la valutazione, occorre passare alla gestione degli adempimenti.
Per una gestione di trattamenti in conformità alla legge, inoltre, non deve assolutamente essere trascurato l'aspetto della sicurezza degli archivi.
Inoltre, per quanto attiene al caso specifico di uno studio legale, rileviamo che:
anche la semplice raccolta di fascicoli di causa dei clienti in faldoni deve considerarsi un trattamento di dati personali, svolto senza l'ausilio di strumenti automatizzati, non soggetto all'obbligo di notifica al Garante né al consenso dell'interessato, in quanto riguarda dati necessari all'adempimento di obblighi derivanti da un contratto di cui l'interessato è parte (articolo 24, lettera b del Codice).
E' obbligatorio, però, informare l'interessato ai sensi dell'articolo 13.
Non si dimentichi, infine, l'obbligo dell'adozione delle misure per sicurezza dei dati, dettato dal combinato disposto dell'art.31 e segg. del Codice e dall'All.B.

 

Sono un notaio e vorrei sapere per quanto attiene la mia professione come mi devo comportare riguardo alla legge in oggetto.

E' difficile dare una risposta generale al quesito da Lei posto, perchè occorrerebbe verificare, nello specifico, quali tipologie di dati personali vengono trattati nell'ambito della Sua professione.
Tenga conto, comunque, delle seguenti indicazioni di massima.
In generale, il trattamento inizia al momento della raccolta dei dati presso l'interessato.
Non sussiste, invece, l'obbligo di notifica al Garante, in quanto tale adempimento non ha più carattere generale.
Per le diverse scadenze previste dalla legge, verifichi periodicamente lo specifico documento nelle "news" del nostro sito.
Senza dubbio, molte delle attività di trattamento effettuate da professionisti e aziende rientrano nell'ambito di applicazione del Codice della Privacy.
In un contesto tipo nel quale in genere si opera, deve essere fatta una primissima valutazione, prima di procedere nella attuazione negli adempimenti imposti dalla legge, di come è strutturata la gestione organizzativa delle attività di trattamento, di quali siano le figure soggettive dedicate ai trattamenti (titolare, responsabile e incaricati) e predisporre, eventualmente, precise deleghe e mansionari per gli incaricati.
Successivamente, per ciascuna attività deve essere fatta una puntuale valutazione su:

1) quali tipi di dati personali vengono trattati;
2) quale e' l'ambito di comunicazione e diffusione dei dati (per esempio alla pubblica amministrazione);
3) se vengono trattati dati sensibili;
4) se vengono fatti trattamenti incompatibili con le finalita' di raccolta.

Dopo la valutazione, occorre passare alla gestione degli adempimenti.
Per una gestione di trattamenti in conformità alla legge, inoltre, non deve essere assolutamente trascurato l'aspetto della sicurezza degli archivi.

 

Ho uno studio professionale ed a suo tempo ho inviato alla Prefettura di Chieti, la comunicazione di possedere archivi anagrafici informatici con la specifica dell'attività da me svolta: consulenza amministrativa, fiscale.
Vorrei sapere se questa comunicazione fatta, con la legislazione presente renderà possibile l'invio di un questionario da parte dell'Autorità garante della privacy.
La lista dei soggetti che hanno comunicato di essere in possesso di archivi anagrafici, dovrebbe essere nelle Prefetture.

 

No, la notifica a suo tempo effettuata alla Prefettura non sostituisce la notifica al Garante di cui alla legge in oggetto. Evidenziamo però che, ormai, la notificazione al garante è un adempimento residuale, previsto solo per ipotesi particolari.
Peraltro, tenga conto che gli adempimenti imposti dalla legge non si esauriscono con la sola notifica, ma sono ben altri.

Può la Federazione Nazionale di un qualsivoglia Ordine Professionale Provinciale divulgare gli indirizzi privati degli iscritti all'Ordine, contro il volere dei singoli Ordini Provinciali, qualunque sia lo scopo per il quale la divulgazione avvenga?

L'art. 61 del Codice prevede la possibilità di divulgare i dati degli iscritti, poiché questa è una delle precipue finalità di un ordine professionale. Un'eventuale diffusione degli indirizzi per scopi diversi da quelli previsti per la tenuta dell'albo, però, sarebbe in ogni modo illegittima per violazione dei principi di cui all'art.11 del Codice.
Se la sua domanda, però, vuole intendere per "indirizzi privati" gli indirizzi diversi da quelli dove si trova lo studio professionale, evidentemente tale attività sarebbe illegittima in quanto il menzionato articolo prevede la possibilità di diffondere quei dati — diversi da quelli sensibili e giudiziari- che devono essere inseriti in un albo professionale. Tra essi, chiaramente non rientrano gli "indirizzi privati" delle abitazioni degli iscritti.
Solo a richiesta dell'interessato, potranno essere diffusi dati ulteriori.

 

Per scendere nel particolare: per compiti non istituzionali e a richiesta di un singolo, possono essere divulgati gli indirizzi privati degli iscritti ai singoli Collegi Provinciali afferenti a detta Federazione?

 

Il contenuto informativo degli elenchi pubblici deve essere definito per legge o per norma regolamentare: in un Albo o Elenco professionale non possono comparire dati la cui "pubblicazione" non sia espressamente prevista. Le informazioni, pertanto, non potranno essere eccedenti rispetto alle finalità di raccolta.

 
Svolgo la professione di avvocato. I quesiti che pongo sono i seguenti:
1) la semplice raccolta di fascicoli di causa dei clienti in faldoni è trattamento dati?

2) i fascicoli attinenti al penale sono dati sensibili?

3) i fascicoli dove si descrive lo stato di salute del cliente (ai fini del giudizio anche civile per es. incidente stradale o quant'altro) sono dati sensibili?

 

 1- Si, costituisce un trattamento svolto senza l'ausilio di strumenti automatizzati, non soggetto all'obbligo di notifica al Garante né al consenso dell'interessato, in quanto riguarda dati necessari all'adempimento di obblighi derivanti da un contratto di cui l'interessato è parte (articolo 24, lettera b del Codice). E' obbligatorio, però, informare l'interessato ai sensi dell'articolo 13.
Si rammenti, infine, l'obbligo di raccogliere il consenso per il trattamento dei dati sensibili.

2- I dati sensibili sono unicamente quelli elencati dall'articolo 4 comma 1 lett.d) del Codice.
Tali dati rientrano, invece, tra quelli cd. "giudiziari".

3- Si. Il trattamento di questo tipo di dati da parte di professionisti è stato comunque consentito, in via generale dal Garante, con autorizzazione rilasciata annualmente.
Tenga conto, peraltro, nella valutazione delle problematiche di applicazione della legge alla Sua professione, l'aspetto della sicurezza delle banche dati, perchè, probabilmente, è la più rilevante (anche in termini di adeguamento).

 
E' necessario inviare l'informativa per il consenso dei trattamenti ai nostri clienti o fornitori,dato che stiamo ricevendone alcune dagli stessi? Non è necessario chiedere il consenso con una informativa se i dati vengono trattati per finalità connesse ad un obbligo di legge o per un regolamento comunitario. Quindi i dati dei clienti e dei fornitori se vengono trattati per quello scopo non necessitano di nessuna informativa. Serve l'informativa se voglio utilizzare gli stessi dati per scopi diversi, ad esempio per inviare materiale pubblicitario, depliant, ecc…

 
Essendo certificati Iso 9001 dobbiamo inviare via fax o via e-mail un questionario sulla soddisfazione del cliente nei confronti della nostra Azienda. Dobbiamo seguire qualche regola particolare...? Se il questionario è anonimo, non c'è bisogno di fare nulla. Se il questionario consente di risalire a chi ha dato la risposta è necessario predisporre di una informativa ai sensi dell'art. 13 del Dlg. 196/2003 in cui sia specificata la finalità del trattamento, se i dati verranno comunicati e a chi, ecc…

 
I dati riguardanti i dipendenti vengono inviati al nostro consulente del lavoro per l'elaborazione delle retribuzioni mensili e questo viene indicato nella lettera d'assunzione che firmano. Il titolare deve comunque darne comunicazione scritta agli interessati? Si deve controllare che nella lettera di assunzione ci siano ben specificati gli elementi necessari perché l'informativa che viene data ai dipendenti sia valida (art. 13 del del Dlg. 196/2003). Se per titolare si intende il "vostro" titolare questi "ha già dato l'informativa" e non deve dare ai dipendenti nessun'altra comunicazione scritta.

 
Il consulente al quale abbiamo affidato l'incarico di farci le paghe deve inviarci qualche dichiarazione? Il consulente nel contratto che regola il rapporto con la vostra azienda deve dichiarare: 1) di essere consapevole che i dati che tratterà nell’espletamento dell’incarico ricevuto, sono dati personali e, come tali sono soggetti all’applicazione del codice per la protezione dei dati personali; 2) di ottemperare agli obblighi previsti dal Codice per la protezione dei dati personali 3) di adottare le istruzioni specifiche eventualmente ricevute per il trattamento dei dati personali o di integrarle nelle procedure già in essere. 4) di impegnarsi a relazionare annualmente sulle misure di sicurezza adottate e di allertare immediatamente il proprio committente in caso di situazioni anomale o di emergenze 5) di riconoscere il diritto del committente a verificare periodicamente l’applicazione delle norme di sicurezza adottate.

 
Abbiamo redatto il Documento Programmatico sulla Sicurezza e un allegato con le regole scritte da distribuire agli incaricati. Va bene? Oppure anche il Documento Programmatico sulla Sicurezza deve essere dato in copia a tutti?

 

 E' opportuno consegnare una copia del Documento Programmatico sulla Sicurezza ad ogni incaricato
Il mio Studio si occupa di tenuta contabilità per terzi, dichiarazione dei redditi ed anche di procedure concorsuali. Premesso che il segretario generale dell'ufficio del Garante Dott. Buttarelli (quotidiano Italia Oggi del 13.05.04) ha chiarito che l'opzione dell' 8 per mille esercitata dal contribuente nella dichiarazione dei redditi UNICO è da considerarsi dato sensibile, che le dichiarazioni vengono dallo Studio elaborate e conservate su PC e trasmesse telematicamente alla Amministrazione Finanziaria ed inoltre che tratto dati giudiziari relativi ai fallimenti sempre su PC, ritengo di dovere redigere il Documento Programmatico sulla Sicurezza ma di non dovere chiedere l'autorizzazione preventiva al trattamento dei dati sensibili. E' corretto?

 

 Si è corretto
Dai clienti a cui tengo la contabilità ricevo tutta la documentazione per adempiere all'incarico tra cui fatture acquisto/vendita, documentazione rapporti bancari, tutti dati che ritengo personali. Tutta questa documentazione viene da me conservata, per mia organizzazione interna, per almeno due anni (sia il cartaceo che i dati su PC). Chiedo se devo considerare titolare del trattamento il mio cliente mentre il mio studio dovrebbe essere l'unità esterna che è incaricato del trattamento dei dati. Se affermativo chi devo/posso considerare responsabile del trattamento dei dati?

 

 No. L'incaricato può essere solamente persona fisica, e quindi non può essere lo "incaricato" lo studio. In questo caso invece si tratta di affidamento di trattamento in out-sourcing, e lo studio diviene "titolare di autonomo trattamento".
Un albergo emette documento fiscale (fattura/ricevuta) con indicato il nome del cliente. Può desumersi indicazione di origine etnica / razziale il nome indicato nel documento fiscale posto che potrebbero essere nominativi di persone estere (origine slava, russa, araba, ebrea, anglosassone) e quindi dato sensibile? Se sì deve chiedere l'autorizzazione al trattamento al garante oppure c'è una autorizzazione generalizzata?

 

 Non si deve richiedere nessuna autorizzazione per questo tipo di trattamento. Ovviamente l'albergo in quanto "titolare di trattamento" deve adeguarsi al Dlg. N.196/2003, e applicare le "misure minime di sicurezza", e redigere il Documento Programmatico sulla Sicurezza., in quanto tratta dati sensibili.
Se si considera il caso del personale dipendente occupato nell'azienda: i cedolini busta paga, eventuale trattenute sindacali, certificati di malattia e/o infortuni devono essere considerati dati sensibili ? Se sì, come presumo, danno luogo all'obbligo di predisposizione del Documento Programmatico sulla Sicurezza anche se conservati su cartaceo o solo se mediante l'utilizzo di supporti informatici ?

 

 I dati dei dipendenti sono "dati sensibili". Il Documento Programmatico sulla Sicurezza deve essere redatto solo nel caso vengano trattati con strumenti elettronici.
Medico che conserva le varie diagnosi nella scheda paziente su supporto cartaceo deve redigere Documento Programmatico sulla Sicurezza? Mi sembra inoltre che i medici siano stati esonerati dalla richiesta di preventiva autorizzazione al Garante al trattamento dei dati sensibili. Se venissero conservate su PC cambierebbe qualcosa in ordine agli obblighi del medico?

 

 Ovviamente il medico tratta dati sensibili e in quanto "titolare di trattamento" deve adeguarsi al Dlg. N.196/2003, e applicare le "misure minime di sicurezza", e se utilizza strumenti elettronici deve redigere il Documento Programmatico sulla Sicurezza.
Chi controlla che le misure minime e gli altri adempimenti previsti dalla legge sono messi in pratica? I controlli vengono effettuati dalla Polizia Postale e dalla Guardia di Finanza sulla base di un protocollo di intesa con il Garante.

 
Per chi tratta i dati sensibili è sufficiente redigere il Documento Programmatico sulla Sicurezza? No. Non si deve confondere il Documento Programmatico sulla Sicurezza con le Misure minime di sicurezza specificate nell'Allegato B al Dlg. N.196/2003.

 
Se esiste una autorizzazione generale al trattamento dei dati, è possibile trattare i dati senza il consenso dell'interessato? No, è solo possibile omettere la notifica al Garante Ci sono molti casi in cui si può fare a meno di richiedere il consenso all'interessato. In particolare se ci sono disposizioni di legge o regolamenti comunitari, oppure se c'è un contratto, ecc…

 
I medici, che sono per legge tenuti al segreto professionale, possono registrare i dati dei loro assistiti senza chiedere il consenso?

 

 No, devono comunque chiedere il consenso al paziente e fornirgli l'informativa sul trattamento
Quali sono le regole da seguire per chi non tratta dati sensibili o giudiziari? E' difficile che una organizzazione (azienda, ente, studio professionale) non abbia archivi con dati sensibili: pensiamo per esempio ai certificati di malattia dei dipendenti!

 
E' vero che è obbligatorio per tutte le organizzazioni avere un Documento Programmatico della Sicurezza? In base a quanto stabilito dall'art. 34 del Dlg. N.196/2003 Il Documento Programmatico sulla Sicurezza è obbligatorio per tutti coloro che trattano che trattano dati personali con l'impiego di elaboratori elettronici.

 
E' obbligatorio specificare nel Documento Programmatico sulla Sicurezza anche una analisi dei rischi? Si, è esplicitamente richiesto al punto 19.6 dell'Allegato B del D.Lgs. 196/03 per tutte le organizzazioni che trattano dati sensibili con l'ausilio di elaboratori elettronici.

 
Una struttura alberghiera, che raccoglie i dati anche per un preciso obbligo di legge, dovendo fornire l'elenco degli ospiti alle Forze dell'Ordine, è esentata dal raccogliere il consenso al trattamento? No, il consenso va comunque raccolto secondo le modalità previste dalla legge, anche perchè il trattamento dei dati in una struttura alberghiera non si limita alla registrazione dei nominativi negli elenchi degli ospiti per le Forze di Polizia, ma ci sono sicuramente trattamenti ulteriori per la contabilità, la gestione dei clienti, etc. etc

 
Abbiamo un sito Web dove registriamo i nominativi dei nostri potenziali clienti. Come ci dobbiamo comportare? In questo caso dovete considerare questo tipo di trattamento in "out-sourcing" e prevedere che nel contratto che regola il rapporto con la vostra azienda il Provider dichiari: 1) di essere consapevole che i dati che tratterà nell’espletamento dell’incarico ricevuto, sono dati personali e, come tali sono soggetti all’applicazione del codice per la protezione dei dati personali; 2) di ottemperare agli obblighi previsti dal Codice per la protezione dei dati personali 3) di adottare le istruzioni specifiche eventualmente ricevute per il trattamento dei dati personali o di integrarle nelle procedure già in essere. 4) di impegnarsi a relazionare annualmente sulle misure di sicurezza adottate e di allertare immediatamente il proprio committente in caso di situazioni anomale o di emergenze 5) di riconoscere il diritto del committente a verificare periodicamente l’applicazione delle norme di sicurezza adottate.

 
Il Documento programmatico sulla sicurezza va compilato solo se i dati trattati sono sensibili e giudiziari usando i computer, oppure ogni volta si usa un computer anche se ci sono solo indirizzi o dati che si potrebbero benissimo trovare su un elenco telefonico? Il segretario generale dell’Autorità garante dott. Giovanni Buttarelli ha sottolineato (in un incontro tenutosi a Roma il giorno 8 giugno 2004) come quello della redazione del documento programmatico della sicurezza sia un obbligo generalizzato, riguardante ogni soggetto che svolga un trattamento di dati personali. Infatti, al di fuori delle ipotesi nelle quali l’inadempimento è sanzionato penalmente (dati sensibili e giudiziari), la mancata predisposizione del dps espone i soggetti obbligati a tutte le conseguenze di natura civile e disciplinare previste dalla legge (ma si pensi anche alle conseguenze di ordine amministrativo e contabile per le persone giuridiche pubbliche)

 
Il Documento programmatico sulla sicurezza deve essere firmato e riportare data certa? Non esiste nessuna norma nel codice che dice che il Documento programmatico sulla sicurezza (DPS) debba essere firmato. Il segretario generale dell’Autorità garante dott. Giovanni Buttarelli, in un recente convegno ha risposto che per "analogia con analoghi documenti civilistici" è doveroso che abbia data certa o che comunque si possa dimostrare con una prova documentale e non testimoniale che sia stato redatto nei termini e nei modi previsti, e che quindi deve avere data certa. Lo stesso discorso vale per la firma.

 
Sono configurabili come banca dati, anche i progetti che possono risiedere nel pc contenenti riferimenti o dati di clienti (ad esempio progetti, disegni, siti web, manutenzioni). Si, in quanto all'articolo 4 del Dlgs. 196/2003 si definisce come "dato personale", qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale.

SOFTWARE E SERVIZI GRATUITI

 

seguici su:

 

Aderc & Facebook