LA DEFINIZIONE DEL CONCETTO PRIVACY
Con il termine Privacy si intende il diritto di una persona a decidere in merito alle informazioni che la riguardano:
- A chi fornirle
- Quando fornirle
- Quali informazioni fornire
- Con quale scopo
La definizione del concetto privacy (termine inglese) viene associato a termini come “riservatezza”, “privatezza”. Nella realtà contemporanea con il concetto di privacy non si intende soltanto il diritto di essere lasciati in pace o di proteggere la propria sfera privata, ma soprattutto il diritto di controllare l’uso e la circolazione dei propri dati personali che costituiscono il bene primario dell’attuale società dell’informazione. (Fonte: http://www.garanteprivacy.it doc web 1663787)
La riservatezza come:
- Potere di interrompere il flusso di informazioni
- Tutela della dignità dei dati
I DATI E LE LORO CATEGORIE
I dati possono essere definiti come le informazioni che quotidianamente vengono trattate dalle organizzazioni.
La normativa le riassume nelle seguenti categorie:
Personali: qualunque informazione relativa a persona fisica, identificata o identificabile anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale
Sensibili: dati personali idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale.
Giudiziari: dati personali idonei che rivelano l’esistenza di determinati provvedimenti giudiziari soggetti ad iscrizione nel Casellario Giudiziale (es. provvedimenti penali di condanna definitivi, divieto o obbligo di soggiorno, misure alternative alla detenzione, la qualità di indagato e imputato).
IL TRATTAMENTO DEI DATI
La normativa raggruppa sotto la denominazione di Trattamento le seguenti attività, svolte con o senza l’ausilio di strumenti elettronici: raccolta, registrazione, organizzazione, conservazione, consultazione, elaborazione, modificazione, selezione, estrazione, raffronto, utilizzo, interconnessione, blocco, comunicazione, diffusione, cancellazione e distruzione di dati.
Comunicazione dei dati
Comunicare un dato significa far conoscere dati personali ad uno o più soggetti determinati oppure mettere a disposizione di soggetti determinati diversi dall’interessato questi dati.
Esempio: Comunicazioni con lo studio di elaborazione paghe
Diffusione dei dati
Diffondere un dato significa mettere a conoscenza di dati personali uno o più soggetti indeterminati oppure mettere a disposizione di soggetti indeterminati diversi dall’interessato questi dati.
Esempio: Pubblicazione sul proprio sito internet
IL GOVERNO DELLA PRIVACY
Soggetti Istituzionali:
- Garante per la protezione dei dati personali
- Guardia di Finanza
Soggetti Aziendali:
1. Il Titolare del Trattamento
È la persona fisica, la persona giuridica, la pubblica amministrazione e qualunque altro Ente a cui competono le decisioni in ordine a:
- Finalità del trattamento
- Modalità del trattamento
- Profilo di sicurezza
2. Il Responsabile del Trattamento
È la persona fisica, la persona giuridica, la pubblica amministrazione e qualunque altro Ente preposto dal Titolare al trattamento dei dati
3. L’Incaricato del Trattamento
È la persona fisica, che effettua le operazioni di trattamento applicando le istruzioni ricevute dal Titolare e dal Responsabile
L’interessato
È la persona a cui si riferiscono i dati. Può esercitare i diritti di cui all’art. 7 del D.Lgs. 196/03 e richiedere informazioni su:
- origine dei dati
- modalità di trattamento e le finalità
- estremi identificativi del titolare/responsabili/soggetti a cui i dati verranno comunicati
Modalità Operative per la richiesta di informazioni (ai sensi dell’art. 7 del D.Lgs. 196/03): Telefonate, mail oppure Modello predisposto dal Garante.
Tempi di risposta: 15 giorni dal ricevimento della richiesta; 30 giorni se le operazioni necessarie per un integrale riscontro sono di particolare complessità, ovvero ricorre altro giustificato motivo. In tal caso, il titolare o il responsabile devono comunque darne comunicazione all’interessato entro i predetti 15 giorni casi.
GLI ADEMPIMENTI IN TEMA PRIVACY
L’Informativa
È il documento tramite il quale il Titolare informa l’interessato circa i trattamenti che verranno effettuati con i suoi dati.
Scheletro dell’informativa (art. 13 D.Lgs. 196/03):
- Finalità del trattamento
- Natura del conferimento (obbligatoria/facoltativa)
- Soggetti a cui i dati potranno essere comunicati e ambito di diffusione
- Conseguenze di un eventuale rifiuto
- Diritti dell’Interessato (art. 7 D.Lgs. 196/03) e modalità per esercitare tale diritto
- Individuazione del Titolare/Responsabile/i
Deroga: l’informativa non è dovuta nel caso di ricezione di CV spontanei. In occasione del primo colloquio l’informativa potrà essere fornita in quell’occasione.
Il Consenso
È la manifestazione di volontà da parte dell’interessato che acconsente al trattamento dei propri dati da parte del Titolare in base a quanto indicato nell’informativa. Per poter effettuare trattamenti di dati personali è necessario il consenso espresso dell’interessato.
Caratteristiche del Consenso:
- Espresso liberamente
- Specifico in relazione ad un trattamento chiaramente individuato
- Obbligo di forma scritta per i dati sensibili
Casi di Esclusione:
Il consenso NON è richiesto quando il trattamento:
- È necessario per adempiere ad un obbligo di legge
- È necessario per eseguire obblighi derivanti da un contratto del quale è parte l’interessato
- Obbligo di forma scritta per i dati sensibili
- Riguarda dati provenienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque
- È necessario per la salvaguarda della vita o dell’incolumità di un terzo.
- È necessario ai fini delle investigazioni difensive (con esclusione della diffusione) per difendere o far valere un diritto in sede giudiziaria
LE MISURE DI SICUREZZA
Allegato B Disciplinare Tecnico in materia di misure minime di sicurezza
L’allegato B fissa le misure minime di sicurezza per il trattamento dei dati personali e non le misure sufficienti. Questo significa che il livello delle misure di sicurezza da mettere in atto deve essere deciso dal Titolare del trattamento, in base ad una puntuale valutazione dei rischi.
Le misure di sicurezza devono essere idonee e cioè essere efficaci nei confronti di:
- Distruzione e/o perdita di dati.
- Accesso non autorizzato ai dati.
- Trattamento non conforme alle finalità di raccolta dei dati.
Caratteristiche delle misure di sicurezza:
Preventive: devono prevenire i rischi.
Obbligatorie: la mancata adozione prevede sanzioni civili.
Correlate al mezzo utilizzato per il trattamento (cartaceo o informatico)
Crescenti: in funzione della tipologia dei dati trattati
Tipologia di Misure di Sicurezza
Ogni azienda in base alla valutazione dei rischi e al tipo di trattamento effettuato (con/senza l’ausilio di strumenti elettronici) pone in essere le specifiche misure che possono essere:
- Sicurezza Fisica
- Sicurezza Logica
- Sicurezza Procedurale
1. Misure di Sicurezza di tipo Fisico
Sono le misure poste a protezione degli ambienti dove si svolgono i trattamenti:
- Cassaforte
- Antifurto
- Videosorveglianza (deve essere gestita ai sensi del Provv. Garante 8 aprile 2010)
2. Misure di Sicurezza di tipo Logico
Sono le misure relative al sistema informatico:
- Backup
- Password di accesso ai computer
- Password di accesso ai dati online
Password:
- Una password per ciascun incaricato
- Lunghezza 8 caratteri
- Modificate periodicamente:
- ogni 6 mesi per trattamento di dati personali
- ogni 3 mesi per trattamento di dati sensibili
3. Misure di Sicurezza Procedurali
Sono le Procedure Operative aziendali a governo della sicurezza delle informazioni:
- Procedura di accesso visitatori
- Procedura di accesso agli archivi
- Procedura di gestione della documentazione aziendale (consultazione, archiviazione, ecc.)
GLI ADEMPIMENTI IN TEMA PRIVACY
Il Documento Programmatico sulla Sicurezza dei Dati (DPS)
Era un documento tramite il quale il Titolare dava evidenza dei trattamenti di dati posti in essere e delle misure di sicurezza in atto. Era una delle misure di sicurezza minime.
Caratteristiche:
- Riassumeva le misure di sicurezza in essere
- Doveva essere redatto/aggiornato entro il 31 marzo di ogni anno
- Era obbligatorio darne menzione nella relazione al Bilancio di fine anno
La redazione formale del DPS è stata abrogata dal decreto legge sulle semplificazioni (DL n. 5/2012). Questo significa che comunque tutte le misure di sicurezza previste dal Codice rimangono in vigore
Al posto del DPS è buona prassi:
- Continuare a mantenere aggiornato un Documento che consenta di dare evidenza del Governo Privacy da parte dell’azienda soprattutto in fase di controllo
- Prestare attenzione alle richieste di consenso da richiedere, alle informative da allegare alla propria modulistica o da inserire sul proprio sito internet, ai trattamenti particolari per i quali possono essere presenti ulteriori obblighi (videosorveglianza, biometria ecc.)
- Proteggere il proprio sistema informatico
IL PROSSIMO SCENARIO: IL REGOLAMENTO EUROPEO 679/2016
Il Regolamento UE 679/2016 in quanto tale è già immediatamente operativo senza la necessità di una legge di recepimento. Tuttavia, sono stati stabiliti due anni di tempo per l’adeguamento
TERMINE DA RISPETTARE PER L’ADEGUAMENTO: 25 MAGGIO 2018