Privacy: Le regole che le aziende ignorano

by in Consulenza PMI
privacy_articolo

Come molti di voi sanno, fra le mie diverse funzioni, in DB SERVIZI mi occupo di consulenza Privacy presso le aziende nostre clienti.
Mi piace affrontare questo argomento perché ho notato che l’oggetto di questo editoriale, non è considerato sufficientemente importante tanto da sottoporlo al giusto controllo e attenzione.
Ho deciso, quindi, di pubblicare un interessante articolo del Dott. Fabio Bianchi dello Studio Legale Filippi che riassume in buona sostanza tutti i concetti che sistematicamente cerco di trasmettere ai responsabili interni dei dati informatici e cartacei conservati e gestiti all’interno di ogni organizzazione aziendale.

Il codice della privacy e gli obblighi sul trattamento dei dati

Le norme contenute nel “Codice in materia di protezione dei dati personali” offrono la possibilità alle realtà imprenditoriali di controllare il corretto svolgimento delle strutture operative e dell’attività dei propri dipendenti. Gli obblighi previsti dal legislatore sono quelli di redazione del Documento Programmatico della Sicurezza (DPS) che prevede l’obbligo per l’azienda di effettuare il controllo degli obblighi previsti dalla normativa in itinere.

Il controllo degli obblighi previsti dalla normativa deve essere preceduta da un’attenta analisi della realta` operativa andando a valutare che tutti gli aspetti siano rispettati; cio` in quanto il trattamento dei dati personali verso soggetti esterni (es. aziende e fornitori) e` sempre piu` frequente e ognuno di tali soggetti tratta di dati di cui e` titolare l’azienda stessa.

Dunque spetta a quest’ultima come previsto dal Codice della privacy, adottare tutte le misure necessarie a garantire che la tutela dei dati sia conforme a legge.

Il codice della privacy

Per quanto concerne il trattamento dei dati personali il legislatore ha emanato il Codice della privacy nell’anno 2003 (D.Lgs. 30 giugno 2003, n. 196) ed in esso vi sono tutte le specifiche e gli obblighi per i soggetti interessati al trattamento dei dati.
In primis in relazione al «trattamento dati» il legislatore intende qualunque operazione o complesso di operazioni, effettuati anche senza l’ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l’organizzazione, la conservazione, la consultazione, l’elaborazione, la modificazione, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati.
In relazione a cio` il titolo III della parte I del D.Lgs. n. 196/2003 detta le regole generali per il trattamento dei dati, distinguendo tra quelle per tutti i trattamenti (capo I), quelle per i soggetti pubblici (capo II), ed infine le ulteriori per privati ed enti pubblici economici (capo III). Tale normativa disciplina i casi in cui la gestione dei dati sensibili e` autorizzata in quanto legata prettamente ad attivita` finalizzate all’interesse pubblico e i tipi di dati trattabili e le operazioni eseguibili per ciascuna delle attivita` previste ed assicura a tutti i soggetti che concedono informazioni e dati personali qualificabili come dati sensibili opportune garanzie in ordine al trattamento degli stessi da parte degli operatori dell’Amministrazione Pubblica e di altri soggetti che per essa effettuino il relativo trattamento.

Obblighi concernenti il trattamento dei dati

A tal proposito il legislatore ha previsto all’art. 11 del Codice della Privacy che i dati personali oggetto di trattamento devono essere:

1. trattati in modo lecito e secondo correttezza;

2. raccolti e registrati per scopi determinati, espliciti e legittimi, ed utilizzati in altre operazioni del trattamento in termini compatibili con tali scopi;

3. esatti e, se necessario, aggiornati;

4. pertinenti, completi e non eccedenti rispetto alle finalita` per le quali sono raccolti o successivamente trattati;

5. conservati in una forma che consenta l’identificazione dell’interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati.

E’ previsto il divieto di utilizzare i dati personali trattati in violazione della disciplina rilevante in materia di trattamento dei dati personali. Il Titolare del trattamento ed il Responsabile dei sistemi informativi, devono quindi preventivamente adottare procedure organizzative, informatiche e materiali che permettano al singolo incaricato l’accesso nel database ai soli dati necessari alle sue specifiche mansioni. Tale accesso e` consentito, oltre al titolare ed al responsabile, soltanto ad incaricati dotati di credenziali di autenticazione che consentano il superamento di una procedura di convalida relativa ad uno specifico trattamento o ad un insieme di trattamenti. La disciplina normativa specifica che il titolare dei dati sensibili ed il Garante della Privacy debbano essere messi in grado i conoscere come un’azienda gestisca tali dati.

In particolare il Garante emana delle Autorizzazioni Generali che debbono essere rinnovate con cadenza annuale, con cui si autorizza il trattamento dei dati sensibili e la relativa gestione. I dati sensibili individuati attraverso tali procedure vengono trattati previa verifica della loro pertinenza, completezza e indispensabilita` rispetto alle finalita` perseguite nei singoli casi, specie nel caso in cui la raccolta non avvenga presso l’interessato.
Gli adempimenti principali che consentano al Garante e ai terzi di conoscere esattamente se, perche´ e come una determinata azienda o ente gestisca dati sensibili sono:

• la notificazione all’Autorità Garante;

• l’informativa all’interessato;

• la raccolta dei consensi;

• la suddivisione dei compiti con l’attribuzione delle relative responsabilita` all’interno dell’organizzazione del Titolare;

• l’adozione delle misure di sicurezza.
Con riferimento alla notificazione al Garante si tratta di una comunicazione ufficiale che il Titolare rivolge al Garante per la Protezione dei Dati Personali circa il trattamento svolto con cui si comunica al Garante l’esistenza di un’attivita` di raccolta e di utilizzazione di dati personali.
E ` previsto l’obbligo di notifica al Garante per il Titolare che esegue il trattamento di:

• dati genetici, dati che indicano la posizione geografica di persone od oggetti mediante una rete di comunicazione elettronica;

• dati idonei a rivelare lo stato di salute e la vita sessuale,

• dati trattati con l’ausilio di strumenti elettronici volti a definire il profilo o la personalita` dell’interessato, o ad analizzare abitudini o scelte di consumo,

• dati sensibili registrati in banche di dati a fini di selezione del personale per conto terzi, nonche´ dati sensibili utilizzati per sondaggi di opinione

• dati registrati in apposite banche dati gestite con strumenti elettronici e relative al rischio sulla solvibilita` economica, alla situazione patrimoniale, al corretto adempimento di obbligazioni.

La notificazione al Garante deve essere effettuata per via telematica con apposito modello previsto dallo stesso.

Post author

Lascia un Commento

L'indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati *

XHTML: You can use these tags <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>