HOSTING WEB RENTAL SERVER STORAGE EMAIL BACKUP REMOTO   SHADOGROUP
 
 

 
 

COS’E’ IL DECRETO PRIVACY EUROPEA

Il DECRETO PRIVACY EUROPEA ex Dlgs 196 dell'anno 2003, anche detto Legge sulla Privacy, indica le misure minime da adottare da parte di tutti coloro che detengono dati anagrafici, dati inerenti il trattamento contabile, dati medici, dati civili e/o penali, insomma qualsivoglia elemento riconducibile alla persona, ente o segreto industriale trattato a livello meccanizzato (informatico) e non.

L'allegato "B" del decreto prevedeva che tutte le ditte di qualsivoglia natura, comprese quelle individuali, dovevano dotarsi di un documento che contenesse le "misure minime in materia di sicurezza" denominato D.P.S. (DOCUMENTO PROGRAMMATICO SULLA SICUREZZA).

Il DPS. era obbligatorio (Art. 34 del Testo Unico) solo per quelle organizzazioni che trattano dati personali (anche non sensibili) con l'impiego di elaboratori elettronici. Chi tratta i dati solo manualmente su supporto cartaceo, non era tenuto ad avere il documento programmatico della sicurezza.

Era esplicitamente richiesto dal comma 19.6 dell'Allegato B del D.Lgs. 196/03 per tutte le organizzazioni che trattano dati sensibili con l'ausilio di elaboratori elettronici.

La crescita del fenomeno rete/rischio porta con due fattori apparentemente contraddittori: con lo sviluppo della Rete aumenta la sofisticazione necessaria per mettersi al riparo da eventi spiacevoli, ma l'ampliamento del mercato rende meno costose le soluzioni di base e a larga diffusione.

Oggi è molto meno dispendioso attuare un'efficiente politica di protezione informatica: dunque, perché correre rischi?

Tenete ben presente, inoltre, che qualunque fosse il costo da sostenere, vi costerebbe sempre meno di un danno causato da un'improvvisa perdita o alterazione dati, di una intromissione indesiderata, di un furto di notizie, di una mancanza di servizio al vostro cliente, perche' quando il danno e' fatto, diventa difficile correre ai ripari.

Essendo stato abrogato il Documento Programmatico sulla Sicurezza (DPS, art. 34 del Codice sulla Privacy), che non dovrà quindi essere aggiornato entro il 31 marzo di ogni anno ed il suo mantenimento e relazione restano facoltativi ma consigliabili.

 

Il DPS, ricordiamo,  è un manuale dove viene pianificata la sicurezza dei dati in azienda: descrive come si tutelano i dati personali di dipendenti, collaboratori, clienti, utenti, fornitori ecc.

 

Il Garante ha individuato una figura responsabile per il trattamento dei dati più una serie di punti per i quali l’azienda deve adottare tutte le misure necessarie per l’espletamento della legge.

 

E’stato inoltre eliminato il dettato della regola 19 dell’Allegato B – Disciplinare tecnico in materia di misure minime di sicurezza del Codice in materia di protezione dei dati personali, concernente il contenuto del DPS e la regola 26 dello stesso, che prevede l’obbligo di riferire, nella relazione accompagnatoria del bilancio d’esercizio, se dovuta, dell’avvenuta redazione o aggiornamento del documento programmatico sulla sicurezza.

 

Occorre tuttavia osservare che le misure minime di sicurezza la cui efficace realizzazione era sottesa alla redazione del DPS sono rimaste invece inalterate, e in particolare nel settore dei trattamenti informatici.

 

L’art.34 del Codice continua infatti a imporre ai titolari:

 

a) l’autenticazione informatica;

b) l’adozione di procedure di gestione delle credenziali di autenticazione;

c) l’utilizzazione di un sistema di autorizzazione;

d) l’aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici;

e) la protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici;

f) l’adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi;

g) l’adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari.

 

Inalterate sono anche le misure minime nel campo dei trattamenti cartacei:

 

a) aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati o alle unità organizzative;

b) previsione di procedure per un’idonea custodia di atti e documenti affidati agli incaricati per lo svolgimento dei relativi compiti;

c) previsione di procedure per la conservazione di determinati atti in archivi ad accesso selezionato e disciplina delle modalità di accesso finalizzata all’identificazione degli incaricati.

 

E’ TUTTAVIA PREFERIBILE CHE LE AZIENDE CONTINUINO A TENERE UN DOCUMENTO SCRITTO (D.P.S.) CHE CONTENGA LE MISURE DI SICUREZZA ADOTTATE IN AZIENDA, LA LORO EVOLUZIONE NEL TEMPO, E GLI EVENTUALI EPISODI DI CONTESTAZIONE DI PRESUNTE VIOLAZIONI NECESSARIAMENTE DETTATO DALL’EVENTO DI CONTROLLI OPERATI DALLE FORZE DELL’ORDINE CHE AGEVOLERANNO IL TITOLARE RESPONSABILE DELLA PRIVACY AZIENDALE E QUINDI L’AZIENDA STESSA.

 

CIO’ ANCHE PER CONTINUARE A TENERE SOTTO CONTROLLO IL RISPETTO DELLE MISURE DI TUTELA DELLA PRIVACI PREVISTE DAL CODICE PENALE, CHE SONO TUTTE RIMASTE IN VIGORE.

 

LO SCOPO DEL D.P.S., INFATTI, E’ PROPRIO QUELLO DI DESCRIVERE LA SITUAZIONE RELATIVA ALLE MISURE ADOTTATE CON RIFERIMENTO AI PUNTI STABILITI DAL GARANTE.

 

 

A CHI SI RIVOLGE LA NORMATIVA?

Le categorie dei soggetti interessati a tale normativa sono molteplici, quali: commercialisti, consulenti del lavoro, avvocati, notai, medici, ditte di recupero crediti, assicurazioni, enti o associazioni a carattere politico, filosofico, religioso o sindacale, ditte che eseguono indagini di mercato, aziende di selezione del personale, datori di lavoro che conservano dati relativi allo stato di salute dei dipendenti, ecc.

Tutte le aziende trattano dati personali. Sicuramente la Vostra azienda tratta i dati (in elettronico o su carta) dei clienti e dei fornitori o ha un database dei dipendenti che oltre ai dati personali dei vostri dipendenti contiene, direttamente o indirettamente, anche i loro dati "sensibili" (p.e. le assenze per malattia). E' necessario, come richiesto dalla legge ai fini di proteggere il diritto alla Privacy degli interessati a cui i dati personali si riferiscono, rendere sicuri questi database.

 

QUALI SONO I DATI PERSONALI

A titolo esemplificativo:

- il nome, il cognome, l'indirizzo, il numero di telefono, il codice fiscale, la partita I.V.A., dati contabili, dati bancari...

- informazioni circa la composizione del nucleo familiare, la professione esercitata da un determinato soggetto, sia fisico che giuridico, la sua formazione...

- fotografie, radiografie, video, registrazioni, impronte...

- informazioni relative al profilo creditizio, alla retribuzione...

- informazioni relative alla salute di un soggetto, alla vita sessuale, alla partecipazione ad associazioni di categoria, a partiti, trattenute sindacali, cartelle cliniche, rilevazioni di presenze... etc..

La normativa prevedeva l'obbligo di redazione del Documento Programmatico sulla Sicurezza. La legge PRIVACY EUROPEA ex art. 196 dell'anno 2003 prevede nuovi adempimenti in merito alla protezione dei dati personali.

 

PERCHE’ DEVO PROTEGGERE LA MIA ATTIVITà'

Avete pensato a come proteggere il vostro sistema informatico?

Come dite? "Abbiamo un ottimo antivirus"??

Spiacenti, ma anche il miglior prodotto del mondo nulla può, da solo, contro la ferocia distruttiva dei "cyber-criminali" o, più semplicemente, un possibile black out hardware.

Professionisti ed aziende di ogni dimensione usufruiscono regolarmente di un collegamento Internet. Queste nuove tecnologie permettono connessioni sempre più veloci e meno costose, quindi, il problema che ne deriva è che sempre più computers sono "attaccati" alla rete in modo permanente, finendo così per diventare potenziali obiettivi di qualche pirata informatico.

 

NUOVA NORMATIVA EUROPEA

SUL TRATTAMENTO DATI PERSONALI

 

L’UE ha scelto di riformare la normativa sul trattamento dei dati personali principalmente a causa dell’incredibile evoluzione tecnologica degli ultimi 15 anni ed anche a causa delle difficoltà di regolamentazione relative ai rapporti tra privati cittadini e aziende europee ed aziende extra-europee.

I principali obiettivi del regolamento definito dalla Commissione Europea sono:

  • rendere più attuali i principi contenuti nella direttiva del 1995 ed introdurre un testo normativo unico direttamente applicabile in tutti i 28 paesi dell’Unione Europea;
  • definire i diritti delle persone fisiche in modo chiaro e stabilire inoltre gli obblighi di tutti quei soggetti che trattano o sono responsabili del trattamento dei dati;
  • stabilire le metodologie per garantire il rispetto delle norme oltre alle sanzioni previste per coloro i quali violano queste norme.

In data 18 dicembre 2015 è arrivata l’approvazione del testo di compromesso definitivo del regolamento da parte del CoRePer (Comitato dei Rappresentanti Permanenti). Rimangono quindi solamente alcune formalità burocratiche prima della pubblicazione in Gazzetta Ufficiale dell’Unione Europea.

 

Sono 4 i temi principali che il nuovo regolamento affronta, vediamoli di seguito.

 

1 - Diritti degli interessati

Grazie al nuovo regolamento vengono rafforzati i diritti delle persone fisiche europee che avranno maggiore controllo sui propri dati grazie a:

  • necessità di “chiaro consenso” dell’interessato per poter trattare i suoi dati;
  • accesso semplificato da parte dell’interessato ai propri dati personali;
  • diritto di rettifica, cancellazione e “oblio”;
  • diritto di obiezione (anche riguardo l’utilizzo dei dati personali ai fini di profilazione)
  • diritto di portabilità dei propri dati personali da un fornitore di servizi ad un altro.

 

2 - Titolari del trattamento

Nel nuovo regolamento sono specificati gli obblighi generali dei titolari del trattamento dei dati personali e di quelle figure che trattano i dati per conto di un’azienda (definiti come “incaricati al trattamento”).

I più rilevanti obblighi in questo senso sono:

  • obbligo di attuare misure di sicurezza adeguate in funzione del rischio associato alle operazioni di trattamento dei dati;
  • obbligo di comunicazione delle violazioni dei dati personali (“data breach notification”);
  • obbligo di nomina di un Data Privacy Officer in caso vengano svolte attività di trattamento dei dati rischiose.

 

3 - Garanti della privacy

Il regolamento conferma l’obbligo, già in essere per gli stati membri, di istituire un’autorità di controllo indipendente. Inoltre l’obiettivo è quello di istituire meccanismi appositi per garantire la coerenza nell’applicazione della normativa in tutti i paesi dell’Unione Europea. In particolare nelle dispute transfrontaliere, una società con controllate in diversi stati dovrà interagire solamente con l’autorità preposta nello stato membro in cui è presente lo stabilimento principale.

È prevista l’istituzione di un Comitato Europeo per la Protezione dei Dati che includerà i rappresentati di tutti gli stati membri.

È riconosciuto il diritto di presentare reclamo all’autorità di controllo, il diritto ad un ricorso giurisdizionale ed al risarccimento e responsabilità. Inoltre è previsto il diritto di ottenere il riesame da parte di un giudice nazionale delle decisioni prese dalle autorità preposte alla protezione dei dati.

Per quanto riguarda le sanzioni, sono previste multe fino a 20 milioni di €uro o fino al 4% del fatturato per i responsabili o gli incaricati del trattamento che violano le norme.

 

4 - Trasferimenti di dati

Il regolamento prevede la possibilità di trasferimento di dati personali a paesi terzi ed organizzazioni internazionali previa valutazione del livello di protezione offerto dal territorio o dal settore di trattamento del paese terzo eseguita dalla Commissione.

In caso di non adeguatezza, il trasferimento può avvenire ma solamente in casi particolari oppure se esistono adeguate garanzie (clausole di protezione dei dati, norme vincolanti d’impresa, clausole contrattuali).

 

 

Abbiamo già iniziato ad analizzare le novità comprese nella nuova normativa europea relativa al trattamento dei dati personali, ora cerchiamo di fare ulteriore chiarezza fornendo il maggior numero di informazioni possibili in modo chiaro e comprensibile.

 

Burocrazia

Uno degli obiettivi della riforma è la semplificazione.

Ad esempio, l’obbligo di notifica al Garante non sarà più obbligatorio per chi effettua particolari tipologie di trattamento (geolocalizzazione, ricerca genetica, profilazione, analisi della solidità finanziaria, ecc.), viene considerato troppo oneroso dal punto di vista amministrativo/finanziario e quindi viene sostituito da nuovi meccanismi che vanno a concentrarsi solamente sulle operazioni di trattamento che presentano potenziali rischi per i diritti e la libertà degli interessati.

Con l’introduzione del nuovo regolamento europeo diventa necessario andare a valutare il grado di impatto che il singolo trattamento può avere sulla privacy degli utenti.

 

Data Privacy Officer

Il nuovo regolamento ridefinisce le figure coinvolte nelle attività di trattamento. Viene introdotta la figura del Data Privacy Officer (o Responsabile della Protezione dei Dati Personali), obbligatoria nei casi in cui il responsabile del trattamento dei dati è un soggetto pubblico, il volume di dati trattati è rilevante oppure i dati trattati sono di tipo giudiziario o comunque sensibile.

Il DPO deve possedere requisiti di professionalità, indipendenza ed autonomia di spesa e riveste il ruolo di referente per il Garante per la privacy. Può essere un consulente esterno all’azienda e può essere contattato dall’autorità in caso di volontà di acquisire informazioni.

I compiti fondamentali del Data Privacy Officer sono:

  • conoscere e informare il responsabile del trattamento in merito agli obblighi derivanti dal regolamento europeo;
  • verificare l’applicazione del regolamento europeo;
  • garantire la conservazione della documentazione relativa ai trattamenti eseguiti;
  • controllare che le violazioni dei dati personali siano documentate e notificate;
  • controllare che venga effettuata la valutazione d’impatto sulla protezione dei dati e che venga richiesta l’autorizzazione o la consultazione preventiva nei casi previsti;
  • porsi come intermediario tra l’azienda e il Garante per la Privacy;
  • controllare l’esecuzione delle richieste del Garante per la Privacy.

 

Nuove forme di privacy

Il regolamento europeo in materia di trattamento e protezione dei dati personali introduce due principi fondativi:

  • Privacy by design: la tutela dei dati personali deve essere pensata sin dalle prime fasi in cui si progetta la raccolta delle informazioni. Diventa quindi necessario analizzare i flussi di dati e adottare criteri per la minimizzazione dei rischi del trattamento e, ove possibile, riducano la mole di dati trattati.
  • Privacy by default: viene introdotto l’obbligo di “prevenire la raccolta di dati non necessari per le finalità perseguite”.

 

Autodenuncia

Viene esteso a tutti i paesi dell’Unione Europea l’obbligo di autodenuncia relativamente alle violazione di dati (distruzione, perdita, modifica, rivelazione non autorizzata, accesso accidentale/illecito).

In molti stati esteri questo principio esiste già ed è noto come “data breach notification”. In Italia attualmente questo obbligo esiste solamente per gli operatori di comunicazioni elettroniche.

Con la nuova norma, chi subisce violazioni, deve obbligatoriamente:

  • notificare l’avvenuta violazione all’autorità di controllo entro le 72 ore dal fatto;
  • segnalare l’accaduto ai diretti interessati senza ritardi.

Questo spingerà molte aziende a dotarsi di software di monitoraggio che rilevino eventuali violazioni e a stipulare coperture assicurative adeguate.

 

Sanzioni

Se fin’ora le sanzioni previste erano fisse, con l’introduzione della nuova normativa queste variano in funzione di dimensioni dell’azienda e gravità delle violazioni:

  • fino a 20 milioni di euro per privati ed imprese che non sono parte di gruppi societari;
  • fino al 4% del fatturato consolidato per i gruppi societari.

 

IN COSA CONSISTE IL NOSTRO SERVIZIO

Nel caso desideriate mantenere e/o ottenere un Documento Programmatico di Sicurezza per agevolarvi in eventuali contestazioni e/o controlli dagli organi preposti, noi vi invieremo tramite E-MAIL, il contratto, un questionario da compilare attentamente e tutta la documentazione necessaria per adeguare la propria azienda (lettere facsimile da compilare secondo Legge).

Il questionario ci dovrà essere rispedito immediatamente o tramite PEC, oppure via E-Mail normale (a cui farà seguito la telefonata di un nostro responsabile), in modo che possa essere redatto il D.P.S. e fornite tutte le specifiche per adeguare la Vostra Azienda.

Siamo a ricordarVi che la persona o società che Vi certifica si rende corresponsabile civilmente e penalmente quanto Voi (la fattura ne è la prova) in caso di dichiarazioni mendaci.

Molti la fanno facile non rendendosi conto delle responsabilità che questo adempimento implica.