Strategie e soluzioni per lo sviluppo della qualità nella cooperazione di abitazione e nel settore delle costruzioni
*
*
*

Privacy: novità e adempimenti introdotti dal D.Lgs. 196/2003

*
Il nuovo codice sulla privacy, introdotto dal D.Lgs. 196/03, modifica e riunisce in un unico testo le disposizioni in materia di trattamento dei dati personali previste dalla Legge 675/96 e dalla Direttiva UE 58/2002. 

Il nuovo Testo Unico sulla privacy, in vigore dal 1 gennaio 2004, prevede una serie di adempimenti piuttosto complessi che, riferendosi a tutti i dati personali trattati (sensibili e no) su qualunque supporto (cartaceo o elettronico), coinvolgono di fatto tutte le imprese.
Vi sono alcuni adempimenti che riguardano tutte le tipologie di aziende, altri che variano in funzione del tipo di dato trattato.

Rientra tra i primi, per esempio, la nomina di tutti gli incaricati al trattamento dei dati, ovvero tutti i dipendenti che, per vari motivi, trattano un qualunque dato personale. Tale nomina, tramite apposita lettera d’incarico, deve descrivere in dettaglio l’ambito di trattamento del dato di ognuno.

Tra i secondi si citano i seguenti:
  • Misure minime di sicurezza in caso di trattamento di dati personali su supporto elettronico: queste vanno dall'obbligo di autenticazione informatica all'utilizzo di un sistema di autorizzazioni secondo profili definiti, dall’adozione di antivirus alla effettuazione e custodia sicura di copie di back-up. Deve inoltre essere redatto, per chi tratta dati sensibili su supporto informatico, il DPS (Documento Programmatico della Sicurezza).Dal momento che sono dati sensibili, tra gli altri, quelli relativi alle malattie dei dipendenti o le trattenute sindacali in busta paga, si capisce come tale adempimento abbia un ambito di applicazione molto esteso.
  • Misure minime di sicurezza per dati personali trattati su supporto cartaceo: in questo caso gli adempimenti sono inferiori, ma devono comunque essere adottate procedure per il trattamento e la custodia di tali dati.
  • Adempimenti ulteriori sono previsti per i soggetti che trattano dati di cui Art. 37 e sono tenuti alla Notifica del trattamento dei dati al Garante.

Il Documento Programmatico sulla Sicurezza è un documento disciplinato dall'Art. 34 del Nuovo Testo Unico sulla privacy. Esso deve essere redatto entro il 31 marzo di ogni anno e l'avvenuta sua redazione o aggiornamento deve essere menzionata nella relazione accompagnatoria il bilancio d'esercizio.
Nell'ambito delle misure transitorie del 2004 i soggetti tenuti per la prima volta a redigere il Documento Programmatico sulla Sicurezza, non devono indicare nella relazione di cui sopra alcunché se il DPS 2003 o il DPS 2004 non sono stati adottati. I medesimi soggetti, qualora alla data in cui predispongono la predetta relazione abbiano redatto già il DPS 2004, indicheranno invece tale circostanza; potranno infine indicare facoltativamente quanto eventualmente già fatto nel 2003 e, sempre facoltativamente, l'aggiornamento 2004 in itinere.

Per quanto concerne in 2004 il termine di redazione è prorogato al 30 giugno. Entro tale data dovranno infatti essere adottate le nuove misure minime di sicurezza introdotte dal Codice della privacy a salvaguardia dei dati personali contenuti negli archivi e redatto il Documento Programmatico sulla Sicurezza relativo al 2004. 

Dal prossimo anno, decorso il periodo transitorio connesso all'entrata in vigore del Codice della privacy, il termine per l'aggiornamento del DPS rimarrà fissato al  31 marzo.

Il Documento Programmatico sulla Sicurezza deve contenere:
  • l'elenco dei trattamenti di dati personali;
  • la distribuzione dei compiti e delle responsabilità nell'ambito delle strutture preposte al trattamento;
  • l'analisi dei rischi che incombono sui dati;
  • le misure da adottare per garantire l'integrità e la disponibilità dei dati, nonché la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità;
  • la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento;
  • la previsione di interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare;
  • la descrizione dei criteri da adottare per garantire l'adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformità al codice, all'esterno della struttura del titolare;
  • per i dati personali idonei a rivelare lo stato di salute e la vita sessuale l'individuazione dei criteri da adottare per la cifratura o per la separazione di tali dati dagli altri dati personali dell'interessato (organismi sanitari). 

Le nuove norme sulle tematica della sicurezza dei dati personali, comportano cambiamenti su molte attività e funzioni aziendali. La fase transitoria esporrà  le imprese a maggiori rischi di inadempienze con il rischio di incorrere in sanzioni amministrative o sanzioni penali a carico del titolare del trattamento dei dati aziendali.
Riportiamo di seguito in modo schematico le principali sanzioni previste.

Sanzioni Civili
  • Omessa o incompleta notificazione (Art. 163)
Sanzione amministrativa da 10.000 a 60.000 euro, oltre alla pubblicazione dell'ordinanza in uno o più giornali;
  • Omessa o inidonea informativa all'interessato (Art. 161).
Sanzione amministrativa da 3.000 a 18.000 Euro. Nel caso di dati sensibili o giudiziari, o trattamenti di dati che presentino rischi specifici o di maggiore rilevanza del pregiudizio la cifra è ancora più elevata: da 5.000 a 30.000 Euro. 
  • Omessa informazione o esibizione di documenti al Garante (Art. 164)
Sanzione amministrativa da 4.000 a 24.000 Euro. 
  • Cessione dei dati in violazione di quanto previsto dal Codice (Art. 162)
Sanzione amministrativa da 5.000 a 30.000 Euro. 


Sanzioni Penali 
  • Falsità nelle dichiarazioni e notificazioni al Garante (Art. 168)
Chiunque, nella notificazione o negli atti esibiti in un procedimento dinnanzi al Garante o nel corso di accertamenti dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi, salvo che il fatto costituisca più grave reato, è punito con la reclusione da 6 mesi a tre anni. 
  • Omessa adozione di Misure Minime di sicurezza (Art. 169)
Chiunque essendovi tenuto, omette di adottare le misure minime di sicurezza previste dall'art. 33, è punito con l'arresto fino a 2 anni o con l'ammenda da 10.000 a 50.000 Euro. 
  • Risarcimento del danno 
Chiunque cagiona ad altri un danno per effetto del trattamento di dati personali è tenuto al risarcimento se non prova di aver adottato tutte le misure idonee ad evitare il danno medesimo.