Privacy

In data 1° gennaio 2004, ma più volte prorogato, è entrato in vigore il Decreto Legislativo n. 196/2003 che ha introdotto il Testo Unico del "Codice della Privacy" già introdotto nel nostro ordinamento dalla Legge 675/1996 disciplinante il diritto alla privacy.

In relazione alle tempistiche per l'adozione delle misure "minime di sicurezza" il Codice della Privacy fissa quale data per l'ultimo adempimento quella del 31 Marzo 2006. Successivamente a tale data ogni infrazione al suddetto Codice comporterà non solo sanzioni amministrative (da € 3.000,00 a € 50.000,00) ma anche la possibilità, in caso di denuncia da parte di dipendenti e/o terzi, di sanzioni penali (fino a 3 anni di reclusione) e del risarcimento dell'eventuale e maggiore danno arrecato.

SANZIONI CIVILI

Notificazione (art. 163): Omessa, non tempestiva o incompleta notificazione, la sanzione amministrativa va da 10.000 a 60.000 €., oltre alla pubblicazione dell'ordinanza su uno o più giornali.

Informativa (art. 161): L'omessa o inidonea informativa all'interessato, è punita con la sanzione amministrativa del pagamento di una somma da 3.000 € a 18.000 €. Nel caso in cui la violazione dell'informativa riguardi dati sensibili o giudiziari, o trattamenti di dati che presentano rischi specifici o di maggiore rilevanza del pregiudizio, la cifra è ancora più elevata: da 5.000 a 30.000 € (somma moltiplicabile per tre a seconda delle condizioni economiche del contravventore).

Omessa informazione o esibizione di documenti al Garante (art. 164): Chiunque omette di fornire le informazioni o di esibire i documenti richiesti dal Garante, è punito con una sanzione amministrativa del pagamento di una somma da 4.000 a 24.000 €.
SANZIONI PENALI

Falsità nelle dichiarazioni e notificazioni al Garante (art. 168): Chiunque, nella notificazione, o negli atti esibiti in un procedimento dinnanzi al Garante o nel corso di accertamenti, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi, salvo che il fatto costituisca più grave reato, è punito con la reclusione da 6 mesi a 3 anni.

Omessa adozione delle misure di sicurezza (art. 169): Chiunque, essendovi tenuto, omette di adottare le misure minime previste dall'art. 33 è punito con l'arresto sino a due anni o con l'ammenda da 10.000 € a 50.000 €.

La normativa sulla Privacy disciplina il trattamento dei dati personali (siano essi di persona fisica e/o giuridica), effettuato da qualsiasi libero professionista, imprenditore, società di persone, società di capitali, pubbliche amministrazioni e da qualsiasi associazione, cooperative e organismo. Restano escluse solo le persone fisiche che trattino dati personali di altre per fini esclusivamente personali.
Di seguito riportiamo indicativamente gli adempimenti da espletare ricordando che in base alla modalità di trattamento devono essere adottate misure differenti.

Nomina responsabili: il codice prevede la nomina interna del responsabile del trattamento dei dati personali e degli eventuali incaricati al loro trattamento.

Informativa: la persona fisica o giuridica della quale si andranno a trattare i dati ha il diritto di essere informata sia del trattamento stesso sia dei modi e delle finalità per cui è effettuato. Tale informativa deve essere sottoscritta ogni qual volta si entri in contatto per la prima volta con un nuovo cliente, dipendente, collaboratore, etc..

Adozione delle misure minime di sicurezza: entro il 31 dicembre 2005 dovranno essere adottate le misure minime di sicurezza previste dal Codice della Privacy. Tali misure possono essere così adempiute:
a) Nomina degli incaricati al trattamento dei dati: il Responsabile del trattamento nominerà e autorizzerà per iscritto tutte le persone addette all'utilizzo degli archivi cartacei e/o elettronici. Verrà inoltre redatto un apposito elenco di tutti gli incaricati che comprenderà, dove sia utilizzata una rete di computer, la User-id che identifica il Pc utilizzato da ognuno. Ad ogni incaricato dovranno essere assegnate delle password univoche e non riutilizzabili per entrare all'interno del programma. Tali password, che dovranno essere di almeno 8 caratteri, dovranno essere conservate diligentemente da ogni incaricato e dallo stesso modificato ogni sei mesi (ridotto a 3 per gli incaricati al trattamento di dati sensibili). Le password non utilizzate da almeno 6 mesi (es. maternità di un dipendente) e quelle non più utilizzate (ex. dipendente) devono essere disattivate.

b) Custodie della Password: Il Responsabile del trattamento nominerà un custode delle Password che sarà l'unico a conoscere tutte le Password, oltre naturalmente al singolo incaricato che sarà a conoscenza solo della propria e provvederà a controllare che le password siano univoche.

c) Amministratore di sistema: dove sia utilizzata una rete o vi siano più elaboratori, è necessario che il Responsabile nomini un Amministratore di Sistema incaricato del controllo dei trattamenti effettuati elettronicamente. Provvederà, inoltre, in presenza di dati sensibili, ad adottare idonee misure per garantire il ripristino dell'accesso ai dati, in caso di danneggiamento degli stessi o degli strumenti elettronici, entro il termine di 7 giorni.

d) Back-Up: dove esista un trattamento dei dati effettuato tramite elaboratore, vi è l'obbligo di provvedere ad effettuare, con frequenza almeno settimanale, copie di sicurezza ed a redigere un documento che spieghi il sistema utilizzato per effettuare tali copie.

e) Accessi ai locali: il Responsabile del trattamento nominerà uno o più responsabili all'accesso dei locali adibiti a conservazione cartacea e/o elettronica delle banche dati.

Documento Programmatico sulla Sicurezza (DPS): il Titolare del trattamento, in presenza di dati sensibili, dovrà redigere un Documento Programmatico sulla Sicurezza, in cui verranno elencati tutti i provvedimenti presi e gli adeguamenti effettuati al fine della tutela della Privacy. Il Titolare dovrà inoltre riferire della redazione o dell'aggiornamento di tale documento nella nota integrativa allegata al bilancio.

Intervento di esterni: quando per l'espletamento delle misure minime di sicurezza ci si avvalga della collaborazione di soggetti esterni, sarà necessario farsi rilasciare da questi ultimi una descrizione scritta dell'intervento o dell'aggiornamento effettuato da cui ne risulti la conformità alle disposizioni di legge.
DEFINIZIONI

Dati sensibili: si ricorda che tali dati sono identificati come tutti quei dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale.

Dato personale: qualunque informazione relativa a persona fisica, persona giuridica, ente o associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale (es. nome, cognome, indirizzo, telefono, codice fiscale, partita Iva, iscrizione alla CCIAA, immagine, foto, dati bancari).

Al fine di agevolare le aziende nell'espletamento di questa incombenza, NIXO comunica che è disponibile ad effettuare la consulenza necessaria per l'adeguamento al Testo Unico sulla Privacy.