A cura di Fabio Della Casa Gli Affari Generali e Legali A cura di Fabio Della Casa
1. TRATTAMENTO DEI DATI PERSONALI 1.1 In generale Quando parliamo di trattamento dei dati personali intendiamo riferirci all’applicazione del codice in materia di protezione dei dati personali (cosiddetto codice della privacy), di cui al D.Lg.vo 196/2003, entrato in vigore il 1 gennaio 2004. L’articolo 1 del Codice enuncia il principio del diritto alla riservatezza dei dati personali:“Chiunque ha diritto alla protezione dei dati personali che lo riguardano”.
1.2 I Dati personali Si definiscono come le informazioni relative a persona fisica e giuridica identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale. Sono i dati relativi alle persone fisiche e giuridiche quali ad esempio il nome, il cognome, la data di nascita, la denominazione sociale, il codice fiscale, la partita iva, le immagini/fotografie, le pubblicazioni, le attestazioni. Sono altresì considerati dati personali quelli relativi al traffico telefonico, alle e-mail ed ai file di log, cioè quelle informazioni attraverso le quali è possibile sapere quando, con chi e per quanto tempo ci si è collegati in rete (Internet, Intranet). Sempre a mero titolo esemplificativo, costituisce dato personale un codice P.I.N., quale per esempio il nostro codice segreto del Bancomat, in quanto "informazione relativa a persona fisica". Nella pratica i suddetti dati sono definiti come “dati comuni” per distinguerli da quelli “sensibili” e “giudiziari”
…continua l’origine razziale; Una disciplina è prevista per i dati c.d. "sensibili", definiti come dati personali idonei a rilevare, anche indirettamente: l’origine razziale; le convinzioni religiose, filosofiche o di altro genere; le opinioni politiche l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale; lo stato di salute e la vita sessuale. Nella tipologia dei dati sensibili sono da considerarsi ricompresi anche le semplici indicazioni utilizzate spesso nell’ambito della gestione del personale, come ad esempio “iscritto al sindacato”, “malato”, aspettativa per malattia o maternità”, fruizione per visite mediche o per attività sindacali/politiche”, “inidoneità” (psico-fisica, attitudinale, etc…). Si tratta di dati particolarmente delicati e, per tale ragione, sottoposti dal legislatore ad un regime peculiare.
…continua I dati giudiziari sono le informazioni rinvenibili nei provvedimenti emanati dal giudice penale per i quali è prevista la registrazione nel casellario giudiziale (art.3 del DPR 313/02 in materia di casellario giudiziale), nonché i dati idonei a rilevare la qualità di imputato o di indagato ai sensi degli articoli 60 e 61 del codice di procedura penale. Si citano a titolo esemplificativo: le sentenze di condanna, i provvedimenti penali divenuti irrevocabili, i provvedimenti definitivi che riguardano misure di sorveglianza.
1.3 I dati trattati da ER.GO 1. dati comuni relativi agli utenti; 2. dati comuni relativi ai fornitori 3. dati comuni relativi ad altri soggetti 4. dati(inclusi suoni ed immagini) idonei a rilevare la posizione di persone ed oggetti 5. dati relativi allo svolgimento di attività economiche e alle informazioni commerciai 6. dati di natura giudiziaria relativi ad utenti e/o parenti degli utenti stessi 7. dati relativi al personale , nonché ai candidati per diventarlo, di natura anche sensibile; 8. dati di natura sensibile relativi ad utenti( quali handicap, situazioni giudiziarie).
1.4 Diritto di accesso E' previsto che il soggetto interessato, cioè “la persona fisica, la persona giuridica, l'ente o l'associazione cui si riferiscono i dati personali”, abbia sempre il diritto d'accesso ai propri dati (art. 7), possa cioè richiedere di essere portato a conoscenza dell'esistenza di propri dati e di verificarli, per controllarne l'esattezza e che siano effettivamente usati per gli scopi previsti, e così via, con una serie ulteriore di diritti connessi quali a titolo d'esempio, aggiornamento, rettificazione o l'integrazione dei dati stessi
1.5 Principio di necessità Il codice introduce il “principio di necessità” secondo cui i sistemi informativi ed informatici dovranno essere configurati in modo da assicurare che i dati personali e o identificativi siano utilizzati solo se necessari, per il raggiungimento delle finalità; in caso contrario sarà necessario utilizzare dati anonimi o modalità che permettano di identificare l’interessato solo in caso di necessità. Da questo principio dovrebbero scaturire conseguenze molto rilevanti: il trattamento non necessario è illecito i casi di necessità sono nominati od esemplificati dalla legge
1.6 Trattamento Si definisce come “qualunque operazione o complesso di operazioni, effettuati anche senza l'ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati”
1.7 Modalità del trattamento I dati personali oggetto di trattamento devono essere: a) trattati in modo lecito e secondo correttezza; b) raccolti e registrati per scopi determinati, espliciti e legittimi, ed utilizzati in altre operazioni del trattamento in termini compatibili con tali scopi; c) esatti e, se necessario, aggiornati; d) pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono raccolti o successivamente trattati; e) conservati in una forma che consenta l'identificazione dell'interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati.
1.7 Danni cagionati per effetto del trattamento Chiunque causa danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell’art.2050 del codice civile, secondo cui: “Chiunque cagiona danno ad altri nello svolgimento di un'attività pericolosa, per sua natura o per la natura dei mezzi adoperati, e tenuto al risarcimento, se non prova di avere adottato tutte le misure idonee a evitare il danno”.
1.8 Garante della privacy E’ l’organo collegiale eletto dai due rami del Parlamento, con il compito di verificare che i trattamenti siano effettuati nel rispetto della disciplina normativa, in particolare mediante l’esame dei reclami e il divieto dei trattamenti illeciti.
1.9 Regole applicabili a tutti i trattamenti degli enti pubblici Il trattamento è consentito soltanto per lo svolgimento delle funzioni istituzionali. I soggetti pubblici non devono richiedere il consenso all’interessato, fatta eccezione per gli esercenti le professioni sanitarie e gli organismi sanitari pubblici.
1.10 Regole applicabili ai dati comuni trattati dagli enti pubblici Il trattamento per lo svolgimento delle funzioni istituzionali è consentito anche in assenza di una norma di legge o di regolamento che lo preveda espressamente. La comunicazione da parte di un soggetto pubblico ad altro soggetto pubblico è ammessa quando è prevista da una norma di legge o di regolamento ed in mancanza è ammessa qualora siano decorsi quarantacinque giorni dalla segnalazione presentata dall’ente interessato al Garante. La comunicazione da parte di un soggetto pubblico a privati e la diffusione da parte dello stesso sono ammesse unicamente quando sono previste da una norma di legge o regolamento.
1.11 Regole applicabili ai dati sensibili e giudiziari trattati dagli enti pubblici Il trattamento dei dati sensibili è consentito soltanto se autorizzato da espressa disposizione di legge nella quale sono specificati i tipi di dati che possono essere trattati e di operazioni eseguibili e le finalità di rilevante interesse pubblico perseguite. Se la legge specifica le finalità ma non i tipi di dati sensibili e di operazioni eseguibili, il trattamento è consentito soltanto in riferimento ai tipi di dati e di operazioni identificati dagli enti pubblici che effettuano il trattamento con appositi atti regolamentari resi pubblici, aggiornati periodicamente. Il trattamento dei dati giudiziari è consentito solo se autorizzato da espressa disposizione di legge o provvedimento del Garante. Secondo il principio di necessità i soggetti pubblici possono trattare solo i dati sensibili e giudiziari indispensabili per lo svolgimento delle attività istituzionali che non possono essere adempiute, caso per caso , mediante il trattamento di dati anonimi.
…continua I dati sensibili e giudiziari contenuti in elenchi, registri o banche dati, tenuti con l’ausilio di strumenti elettronici, sono trattati con tecniche di cifratura o mediante l’utilizzazione di codici identificativi o di altre soluzioni che, considerato il numero e la natura dei dati trattati , li rendono temporaneamente inintelligibili anche a chi è autorizzato ad accedervi e permettono di identificare gli interessati solo in caso di necessità. I dati idonei a rivelare lo stato di salute e la vita sessuale sono conservati separatamente da altri dati personali trattati per finalità che non richiedono il loro utilizzo; non possono essere diffusi.
1.12 Soggetti che effettuano il trattamento L’iniziativa e la gestione del trattamento dei dati personali spettano integralmente ad alcuni soggetti contemplati dal codice. Tali soggetti rivestono un ruolo attivo , mentre il ruolo passivo spetta al soggetto “interessato” al trattamento, cioè colui (persona fisica, persona giuridica, ente od associazione) al quale si riferiscono i dati personali e, al quale vengono garantiti i diritti e le tutele previste dal codice. I soggetti del trattamento sono: il titolare; il responsabile; l’incaricato.
1.13 Il Titolare Il titolare è “la persona,fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento dei dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza”. Nel caso di un trattamento effettuato nell’ambito di una amministrazione pubblica, di una associazione o di un ente , secondo l’indicazione del garante, il titolare è la struttura nel suo complesso Al titolare spetta quindi la determinazione delle finalità del trattamento, delle modalità del trattamento, vale a dire la scelta del come esercitare le operazioni di trattamento (raccolta, registrazione…con mezzi elettronici, cartacei), della qualità e quantità dei dati(pertinenza, non eccedenza,e completezza dei dati rispetto alle finalità) e dell’ambito di comunicazione e diffusione dei dati (determinazione dei soggetti destinatari delle operazioni o comunque dell’ambito diffusivo), delle misure di sicurezza. In merito alle misure di sicurezza, il titolare deve adoperarsi affinché i trattamenti svolti non causino danni ai soggetti cui si riferiscono i dati, oltre a garantire la loro corretta conservazione. Nel caso in cui il titolare abbia nominato uno o più responsabili, gli spetterà sempre e comunque un dovere di vigilanza, anche attraverso verifiche periodiche, sulla puntuale osservanza delle disposizioni o delle istruzioni impartite.
1.14 Responsabile del trattamento dei dati. Il Responsabile è “la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente , associazione od organismo preposti dal titolare al trattamento dei dati personali”. Il Responsabile - stando alla lettera della legge - è preposto dal titolare. La preposizione è quel rapporto attraverso il quale il Titolare(preponente) assegna al responsabile(preposto), a mezzo formale atto di nomina, il trattamento dei dati di propria pertinenza, in tutto o in parte. La designazione deve essere effettuata dal titolare, che mantiene il potere di direzione in ordine al trattamento dei dati, ossia le decisioni riguardanti i fini, i mezzi e le modalità del trattamento. Ciò che passa al Responsabile o ai Responsabili è la gestione dei trattamenti, anche mediante le istruzioni impartite agli incaricati e il mantenimento di un costante stato di attenzione riguardo la materia e le sue frequenti evoluzioni.
1.15 Incaricato La persona fisica autorizzata a compiere operazioni di trattamento dal titolare o dal responsabile. Gli incaricati, a differenza del responsabile, devono necessariamente esistere in qualsiasi realtà operativa e sono nominati dal titolare o dal responsabile. Di fatto, la loro attività consiste nella raccolta, elaborazione, archiviazione, ecc……….dei dati, in quanto sono coloro che materialmente compiono operazioni di trattamento. Le operazioni di trattamento possono essere effettuate solo da incaricati che operano sotto la diretta autorità del titolare o del responsabile, attenendosi alla istruzioni impartite.
1.16 . Compiti dell’incaricato del trattamento Questa prima parte dell’esposizione dovrebbe aver chiarito i seguenti codici di comportamento, che pur essendo esposti in forma sintetica, sono pregni di contenuti e di modalità operative: - il trattamento dei dati personali è consentito soltanto per lo svolgimento delle funzioni istituzionali assegnate al servizio di appartenenza, nei limiti stabiliti dalla legge e dai regolamenti; - i dati personali devono essere trattati con le modalità specificate al punto 1.7; - i diritti dell’interessato devono essere scrupolosamente rispettati. -Inoltre, i dati idonei a rivelare lo stato di salute e la vita sessuale sono conservati separatamente da altri dati personali trattati per finalità che non richiedono il loro utilizzo. I medesimi dati sono trattati con le modalità di cui al comma 6 anche quando sono tenuti in elenchi, registri o banche di dati senza l'ausilio di strumenti elettronici.
1.17 Misure minime di sicurezza Gli enti sono tenuti ad adottare le misure minime di sicurezza prevista da un disciplinare tecnico previsto dal codice della privacy, a seconda che i dati siano in formato elettronico o cartaceo. Per “misure minime" s’intende il complesso delle misure tecniche, informatiche, organizzative, logistiche e procedurali di sicurezza che configurano il livello minimo di protezione richiesto in relazione ai rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.
1.18 Misure minime previste per l’incaricato Il trattamento di dati personali con strumenti elettronici è consentito agli incaricati dotati di credenziali di autenticazione; Le credenziali di autenticazione consistono in un codice per l’identificazione dell’incaricato associato a una parola chiave riservata conosciuta solamente dal medesimo oppure in un dispositivo di autenticazione in possesso e uso esclusivo dell’incaricato, eventualmente associato a un codice identificativo o a una parola chiave, oppure in una caratteristica biometrica (es. impronta del dito) dell’incaricato, eventualmente associata a un codice identificativo o a una parola chiave. Ad ogni incaricato sono assegnate o associate individualmente una o più credenziali per l’autenticazione. La parola chiave, quando è prevista dal sistema di autenticazione, è composta da almeno otto caratteri oppure, nel caso in cui lo strumento elettronico non lo permetta, da un numero di caratteri pari al massimo consentito; essa non contiene riferimenti agevolmente riconducibili all’incaricato ed è modificata da quest’ultimo al primo utilizzo e, successivamente, almeno ogni sei mesi. In caso di trattamento di dati sensibili e di dati giudiziari la parola chiave è modificata almeno ogni tre mesi.
…continua il codice per l’identificazione, laddove utilizzato, non può essere assegnato ad altri incaricati, neppure in tempi diversi; lo strumento elettronico non deve essere lasciato incustodito e accessibile , durante una sessione di lavoro, neppure in ipotesi di breve assenza; la propria password non deve essere comunicata a nessuno, neppure a persone appartenenti all’organizzazione; in caso di prolungata assenza o impedimento dell’incaricato, lo stesso deve riportare la parola chiave su un foglio di carta, da inserire in una busta che deve essere chiusa e sigillata e consegnare la busta a chi custodisce le parole chiave, Solo al verificarsi di condizioni che rendano indispensabile e indifferibile accedere allo strumento elettronico, per esclusive necessità di operatività e di sicurezza del sistema, utilizzando la copia della parola chiave, il titolare od il responsabile potranno richiedere la busta che la contiene a chi la custodisce; dell’accesso verrà informato l’incaricato cui appartiene la parola chiave; adottare ogni misura di comportamento atta a minimizzare il rischio di essere contagiati , soprattutto per quanto riguarda supporti informatici rimovibili provenienti dall’esterno dell’Azienda(es. l’utilizzo di programmi di protezione antivirus);
…continua custodire ed utilizzare i supporti informatici rimovibili(Floppy disk, dischi ZIP; CD………..), contenenti dati personali, in modo tale da impedire accessi non autorizzati(furti inclusi)e trattamenti non consentiti; in particolare devono essere custoditi in cassetti chiusi a chiave, nelle pause presenti nel periodo di loro utilizzo; l’incaricato deve provvedere alla cancellazione dei dati o addirittura alla distruzione del supporto una volta cessate le ragioni per la conservazione degli stessi; trattare i dati sensibili contenuti in elenchi,registri o banche di dati tenuti con l’ausilio di mezzi elettronici o comunque automatizzati, con tecniche di cifratura o mediante l’utilizzazione di codici identificativi o di altri sistemi , che permettano di identificare gli interessati solo in caso di necessità; a tal fine i responsabili del trattamento impartiranno apposite istruzioni.
…continua Nel trattare dati con strumenti cartacei l’incaricato deve : custodire in modo appropriato gli atti e i documenti e i supporti contenenti dati personali; qualora i dati siano sensibili o giudiziari l’incaricato, prima di assentarsi dal posto di lavoro, anche temporaneamente, ed al termine della giornata lavorativa, nel caso in cui debba utilizzare i dati nei giorni successivi, deve depositare i relativi documenti in cassetti con serratura, armadi chiudibili a chiave o casseforti; al termine del trattamento l’incaricato deve invece restituire all’archivio i documenti non più necessari per lo svolgimento delle proprie mansioni lavorative; controllare che ai documenti contenenti dati sensibili o giudiziari non vi acceda altro personale privo di autorizzazione rilasciata dal Responsabile del trattamento e che, qualora autorizzato, restituisca la documentazione, al termine delle operazioni affidate.
1.19 Documento programmatico sulla sicurezza (D.P.S.) Rientra tra le “misure minime” richieste dal Codice della Privacy e deve essere aggiornato annualmente dal titolare del trattamento dei dati sensibili o dei dati giudiziari e dichiarato nella relazione consuntiva del bilancio d’esercizio. Deve contenere idonee informazioni riguardo: l'elenco dei trattamenti di dati personali; la distribuzione dei compiti e delle responsabilità nell'àmbito delle strutture preposte al trattamento dei dati; l'analisi dei rischi che incombono sui dati; le misure da adottare per garantire l'integrità e la disponibilità dei dati, nonché la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità; la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento di cui al successivo punto 23; la previsione di interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare. La formazione è programmata già al momento dell'ingresso in servizio, nonché in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati personali; la descrizione dei criteri da adottare per garantire l'adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformità al codice, all'esterno della struttura del titolare; Per i dati personali idonei a rivelare lo stato di salute e la vita sessuale, deve contenere l'individuazione dei criteri da adottare per la cifratura o per la separazione di tali dati dagli altri dati personali dell'interessato.