Decreto legislativo 30 giugno 2003, n. 196 Alessandria, 9 marzo 2006 Ordine dei Dottori Agronomi e dei Dottori Forestali Provincia di Alessandria Aggiornamento tecnico sulla “PRIVACY” Decreto legislativo 30 giugno 2003, n. 196 “Disciplina del trattamento dei dati personali” entrata in vigore 1° gennaio 2004
Dal 1° gennaio 2004 i Titolari, ossia i soggetti che trattano dati personali, debbono poter dimostrare non solo di aver effettuato tutti gli obblighi già previsti dalla legge n. 675/96, ma anche di aver dato adempimento ai nuovi obblighi previsti dal d. lgs. n. 196/03
I professionisti, come agronomi e forestali, che necessariamente trattano, ossia raccolgono, elaborano, ecc., dati personali dei clienti e dei fornitori (denominazione, dati anagrafici/fiscali, ecc.) e degli eventuali lavoratori/collaboratori (dati anagrafici, dati rilevanti ai fini retributivi, previdenziali, assistenziali, ecc.), sono soggetti a detti obblighi.
Esistono obblighi che riguardano il trattamento, anch’essi sanzionati, talora addirittura con pene più gravi dei quelle previste in materia di sicurezza dei dati. Un professionista che si preoccupi unicamente di redigere il documento programmatico sulla sicurezza e, ad esempio, di adeguare la parte informatica, senza effettuare le prescritte nomine o senza fornire informative e richiedere i consensi, non ha completamente adempiuto agli obblighi prescritti e potrebbe pertanto incorrere in sanzioni penali.
Le norme: hanno ripetutamente prorogato il termine ultimo entro il quale debbono essere definitivamente adottate talune misure in materia di sicurezza dati; non riguardano comunque gli adempimenti generali in materia di privacy (informative, consensi, nomine, ecc.), che debbono quindi essere stati attuati dal 1° gennaio 2004, o ancora prima se già previsti dalla legge n. 675.
I concetti fondamentali della normativa sono: DEFINIZIONI I concetti fondamentali della normativa sono: TRATTAMENTO Qualsiasi operazione o complesso di operazioni, effettuati anche senza l'ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati
DATO PERSONALE Qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale DATI SENSIBILI I dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale
DATI GIUDIZIARI I dati personali idonei a rivelare taluni provvedimenti di cui al casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualità di imputato o di indagato TITOLARE La persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro Titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza
RESPONSABILE La persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal Titolare al trattamento di dati personali INCARICATI Le persone fisiche autorizzate a compiere operazioni di trattamento dal Titolare o dal Responsabile
INTERESSATO La persona fisica, la persona giuridica, l'ente o l'associazione cui si riferiscono i dati personali COMUNICAZIONE Il dare conoscenza dei dati personali a uno o più soggetti determinati diversi dall'Interessato, dal Responsabile e dagli Incaricati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione DIFFUSIONE Il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione
DIRITTI DELL’INTERESSATO INFORMATIVA Insieme delle informazioni che debbono essere date previamente, oralmente o per iscritto, all’Interessato DIRITTI DELL’INTERESSATO Diritti di accesso ai dati personali ed altri diritti (di ottenere l’aggiornamento dei dati, la rettificazione, l’integrazione, la cancellazione, la trasformazione in forma anonima, il blocco, di opporsi al trattamento di essi, ecc.) MISURE MINIME Il complesso delle misure tecniche, informatiche, organizzative, logistiche e procedurali di sicurezza che configurano il livello minimo di protezione richiesto in relazione ai rischi previsti dal Codice
ATTIVITÀ PROFESSIONALE E PRIVACY I soggetti che trattano i dati devono essere o Titolari (e tale ad esempio la società, il professionista, l’associazione, ecc.) o Responsabili o Incaricati. Entrambi devono essere oggetto di espressa nomina/designazione (con atto scritto di contenuto minimo prestabilito) da parte del Titolare. Chi tratta i dati senza essere Titolare o essere stato nominato per iscritto Responsabile o Incaricato è in una situazione non conforme a quanto previsto dalle norme, quindi in illecito. Quindi si devono effettuare le nomine necessarie e predisporre adeguate procedure per il trattamento dei dati e la sicurezza degli stessi.
INFORMATIVA Il Titolare, prima di procedere al trattamento dei dati, deve fornire all’Interessato (cliente, fornitore, dipendente, collaboratore, ecc.), cioè al soggetto al quale i dati si riferiscono, le informazioni previste dalla legge. L’informativa deve essere preventiva e può essere, in generale, scritta o orale (difficile da verificarne il contenuto e le circostanze). Va ricordato infatti che il contenuto obbligatorio dell’informativa e’ espressamente e dettagliatamente disciplinato dalla legge (art.13 del codice 196/03).
CONSENSO In generale il trattamento da parte di privati (o di enti pubblici economici) di dati personali può avvenire se l’Interessato, debitamente e tempestivamente informato, ha prestato il suo espresso e formale consenso al trattamento. Esistono alcune ipotesi nelle quali il consenso non deve essere richiesto (dati cd. pubblici, trattamento obbligatorio per legge o per contratto, ecc.), che però riguardano, salvo sporadiche eccezioni, i dati comuni, ossia quelli non sensibili.
DATI SENSIBILI MISURE DI SICUREZZA Nel caso di dati sensibili oltre al consenso é necessaria anche l’autorizzazione del Garante al trattamento. MISURE DI SICUREZZA Tutti i dati personali oggetto di trattamento devono essere custoditi e controllati, in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.
La mancata adozione delle misure minime costituisce reato. I Titolari del trattamento devono adottare le misure minime individuate, volte ad assicurare un livello minimo di protezione dei dati personali. Il Titolare che non adotta queste misure, ossia le misure minime, incorre oltre che in responsabilità civili, per risarcimento danni, anche in responsabilità penali. La mancata adozione delle misure minime costituisce reato.
Autenticazione informatica LE MISURE NEI TRATTAMENTI CON STRUMENTI ELETTRONICI Le modalità da adottare, in caso di trattamento con strumenti elettronici, sono fra l’altro le seguenti: Autenticazione informatica Il trattamento di dati personali con strumenti elettronici è consentito agli Incaricati dotati di credenziali di autenticazione che consentano il superamento di una procedura di autenticazione relativa a uno specifico trattamento o a un insieme di trattamenti. Le credenziali di autenticazione consistono, di norma, in un codice per l’identificazione dell’Incaricato associato a una parola chiave riservata conosciuta solamente dal medesimo. Ad ogni Incaricato sono assegnate o associate individualmente una o più credenziali per l’autenticazione (password).
Le istruzioni impartite agli Incaricati prescrivono di adottare le necessarie cautele per assicurare la segretezza dei dati in possesso e ad uso esclusivo dell’Incaricato. La parola chiave è composta da almeno otto caratteri oppure, nel caso in cui lo strumento elettronico non lo permetta, da un numero di caratteri pari al massimo consentito; essa non deve contenere riferimenti agevolmente riconducibili all’Incaricato ed è modificata da quest’ultimo al primo utilizzo e, successivamente, almeno ogni sei mesi. In caso di trattamento di dati sensibili e di dati giudiziari la parola chiave è modificata almeno ogni tre mesi.
Il codice per l’identificazione, laddove utilizzato, non può essere assegnato ad altri Incaricati, neppure in tempi diversi. Le credenziali di autenticazione non utilizzate da almeno sei mesi sono disattivate, salvo quelle preventivamente autorizzate per soli scopi di gestione tecnica. Le credenziali devono essere disattivate anche in caso di perdita della qualità che consente all’Incaricato l’accesso ai dati personali. Sono impartite istruzioni agli Incaricati per non lasciare incustodito e accessibile lo strumento elettronico durante una sessione di trattamento.
Sistema di autorizzazione Se gli Incaricati sono più di uno devono essere individuati e configurati anteriormente all’inizio del trattamento, in modo da limitare l’accesso ai dati necessari per effettuare determinate operazioni (il tutto verificato annualmente). Esempio: user - administrator
Altre misure di sicurezza L’aggiornamento periodico, con cadenza almeno annuale, deve essere effettuato dai singoli Incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici; la lista degli Incaricati può essere redatta anche per classi omogenee di incarico e dei relativi profili di autorizzazione. I dati personali sono protetti contro il rischio di intrusione e dell’azione di programmi di cui all’art. 615-quinquies* del codice penale, mediante l’attivazione di idonei strumenti elettronici (cd. antivirus) da aggiornare con cadenza almeno semestrale.
Altre misure di sicurezza L’art. 615 quinquies c.p., che reca la rubrica “ Diffusione di programmi diretti a danneggiare o interrompere un sistema informatico”, punisce chiunque diffonde, comunica o consegna un programma informatico da lui stesso o da altri redatto, avente per scopo o per effetto il danneggiamento di un sistema informatico o telematico, dei dati o dei programmi in esso contenuti o ad esso pertinenti, ovvero l'interruzione, totale o parziale, o l'alterazione del suo funzionamento. Le pene consistono nella reclusione sino a due anni e con la multa sino a lire 20 milioni.
Gli aggiornamenti periodici dei programmi per elaboratore volti a prevenire la vulnerabilità di strumenti elettronici e a correggerne difetti (cd. patch) devono essere effettuati almeno annualmente. In caso di trattamento di dati sensibili o giudiziari l’aggiornamento è almeno semestrale. Il salvataggio dei dati deve avvenire con frequenza almeno settimanale.
DOCUMENTO PROGRAMMATICO SULLA SICUREZZA Entro il 31 marzo di ogni anno, il Titolare del trattamento di dati, che rientri nelle ipotesi previste dal Codice e dal Disciplinare, redige un documento programmatico sulla sicurezza contenente idonee informazioni riguardo: l’elenco dei trattamenti di dati personali; la distribuzione dei compiti e delle responsabilità nell’ambito delle strutture preposte al trattamento dei dati; l’analisi dei rischi che incombono sui dati;
DOCUMENTO PROGRAMMATICO SULLA SICUREZZA le misure da adottare per garantire l’integrità e la disponibilità dei dati, nonché la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità; la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento N.B.: il Disciplinare prevede anche che debbano essere adottate idonee misure per garantire il ripristino dell’accesso ai dati in caso di danneggiamento degli stessi o degli strumenti elettronici, in tempi certi compatibili con i diritti degli interessati e non superiori a 7 giorni;
DOCUMENTO PROGRAMMATICO SULLA SICUREZZA la previsione di interventi formativi degli Incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle Responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal Titolare. La formazione è programmata già al momento dell’ingresso in servizio, nonché in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati personali;
DOCUMENTO PROGRAMMATICO SULLA SICUREZZA la descrizione dei criteri da adottare per garantire l’adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformità al Codice, all’esterno della struttura del Titolare; per i dati personali idonei a rivelare lo stato di salute e la vita sessuale, l’individuazione dei criteri da adottare per la cifratura o per la separazione di tali dati dagli altri dati personali dell’Interessato.
MISURE DI TUTELA E GARANZIA Il Titolare che adotta misure minime di sicurezza avvalendosi di soggetti esterni alla propria struttura, per provvedere alla esecuzione deve ricevere dall’installatore una descrizione scritta dell’intervento effettuato che ne attesta la conformità alle disposizioni del presente disciplinare tecnico.
MISURE NEI TRATTAMENTI SENZA STRUMENTI ELETTRONICI Agli Incaricati devono essere impartite istruzioni scritte finalizzate al controllo ed alla custodia, per l’intero ciclo necessario allo svolgimento delle operazioni di trattamento, degli atti e dei documenti contenenti dati personali. Nell’ambito dell’aggiornamento periodico, con cadenza almeno annuale dell’individuazione dell’ambito del trattamento consentito ai singoli Incaricati, la lista degli Incaricati può essere redatta anche per classi omogenee di incarico e dei relativi profili di autorizzazione.
Quando gli atti e i documenti contenenti dati personali sensibili o giudiziari sono affidati agli Incaricati del trattamento per lo svolgimento dei relativi compiti, i medesimi atti e documenti sono controllati e custoditi dagli Incaricati fino alla restituzione in maniera che ad essi non accedano persone prive di autorizzazione, e sono restituiti al termine delle operazioni affidate. L’accesso agli archivi contenenti dati sensibili o giudiziari è controllato. Le persone ammesse, a qualunque titolo, dopo l’orario di chiusura, sono identificate e registrate. Quando gli archivi non sono dotati di strumenti elettronici per il controllo degli accessi o di Incaricati della vigilanza, le persone che vi accedono devono essere preventivamente autorizzate.
SCADENZE PREVISTE DALLA NORMATIVA SULLA PRIVACY Entro il 31 marzo 2006 (la scadenza iniziale del 30 giugno 2004 è stata prorogata al 3 dicembre 2004, poi al 30 giugno 2005, poi ancora al 31 dicembre 2005): Adottare le misure minime di sicurezza redigere il Documento programmatico sulla sicurezza (che dal 2006 avrà cadenza annuale ogni 31 marzo) nel quale sono contenute informazioni sulle misure minime adottate e previste nel nuovo codice agli artt. da 33 a 35 e all’all. B.
Entro il 31 marzo 2006 (la scadenza iniziale del 1 gennaio 2005 è stata prorogata al 31 marzo 2005 e poi al 30 settembre 2005) Se il titolare, alla data del 1/1/2004 (2006?), effettua trattamenti con strumenti elettronici chenon consentono, in tutto o in parte, l’applicazione delle misure minime previste dall’art. 34 del codice e delle corrispondenti modalità tecniche dell’all. B, ne descrive le ragioni in un documento a data certa da conservare presso la struttura (a disposizione per una verifica da parte del Garante) e adegua gli strumenti attraverso l’adozione delle misure di sicurezza (sempre entro il 31 marzo 2006).
N.B. Lo slittamento delle date previste inizialmente nell’articolato del codice è dovuto all’entrata in vigore del: D.Lgs. 24 giugno 2004 n. 158, D.Lgs. 9 novembre 2004 n. 266 e Legge n.26 del 1° marzo 2005 D.Lgs. n.273 del 30 dicembre 2005