Codice della Privacy: adempimenti e misure di sicurezza ai fini della conformità normativa

LA DEFINIZIONE DEL CONCETTO PRIVACY

Con il termine Privacy si intende il diritto di una persona a decidere in merito alle informazioni che la riguardano:

  • A chi fornirle
  • Quando fornirle
  • Quali informazioni fornire
  • Con quale scopo

La definizione del concetto privacy (termine inglese) viene associato a termini come “riservatezza”, “privatezza”. Nella realtà contemporanea con il concetto di privacy non si intende soltanto il diritto di essere lasciati in pace o di proteggere la propria sfera privata, ma soprattutto il diritto di controllare l’uso e la circolazione dei propri dati personali che costituiscono il bene primario dell’attuale società dell’informazione. (Fonte: http://www.garanteprivacy.it doc web 1663787)

La riservatezza come:

  • Potere di interrompere il flusso di informazioni
  • Tutela della dignità dei dati

I DATI E LE LORO CATEGORIE

I dati possono essere definiti come le informazioni che quotidianamente vengono trattate dalle organizzazioni.
La normativa le riassume nelle seguenti categorie:

Personali: qualunque informazione relativa a persona fisica, identificata o identificabile anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale

Sensibili: dati personali idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale.

Giudiziari: dati personali idonei che rivelano l’esistenza di determinati provvedimenti giudiziari soggetti ad iscrizione nel Casellario Giudiziale (es. provvedimenti penali di condanna definitivi, divieto o obbligo di soggiorno, misure alternative alla detenzione, la qualità di indagato e imputato).

IL TRATTAMENTO DEI DATI

La normativa raggruppa sotto la denominazione di Trattamento le seguenti attività, svolte con o senza l’ausilio di strumenti elettronici: raccolta, registrazione, organizzazione, conservazione, consultazione, elaborazione, modificazione, selezione, estrazione, raffronto, utilizzo, interconnessione, blocco, comunicazione, diffusione, cancellazione e distruzione di dati.

Comunicazione dei dati
Comunicare un dato significa far conoscere dati personali ad uno o più soggetti determinati oppure mettere a disposizione di soggetti determinati diversi dall’interessato questi dati.

Esempio: Comunicazioni con lo studio di elaborazione paghe

Diffusione dei dati
Diffondere un dato significa mettere a conoscenza di dati personali uno o più soggetti indeterminati oppure mettere a disposizione di soggetti indeterminati diversi dall’interessato questi dati.

Esempio: Pubblicazione sul proprio sito internet

IL GOVERNO DELLA PRIVACY

Soggetti Istituzionali:

  1. Garante per la protezione dei dati personali
  2. Guardia di Finanza

Soggetti Aziendali:

1. Il Titolare del Trattamento

È la persona fisica, la persona giuridica, la pubblica amministrazione e qualunque altro Ente a cui competono le decisioni in ordine a:

  • Finalità del trattamento
  • Modalità del trattamento
  • Profilo di sicurezza

2. Il Responsabile del Trattamento

È la persona fisica, la persona giuridica, la pubblica amministrazione e qualunque altro Ente preposto dal Titolare al trattamento dei dati

3. L’Incaricato del Trattamento

È la persona fisica, che effettua le operazioni di trattamento applicando le istruzioni ricevute dal Titolare e dal Responsabile

L’interessato

È la persona a cui si riferiscono i dati. Può esercitare i diritti di cui all’art. 7 del D.Lgs. 196/03 e richiedere informazioni su:

  • origine dei dati
  • modalità di trattamento e le finalità
  • estremi identificativi del titolare/responsabili/soggetti a cui i dati verranno comunicati

Modalità Operative per la richiesta di informazioni (ai sensi dell’art. 7 del D.Lgs. 196/03): Telefonate, mail oppure Modello predisposto dal Garante.

Tempi di risposta: 15 giorni dal ricevimento della richiesta; 30 giorni se le operazioni necessarie per un integrale riscontro sono di particolare complessità, ovvero ricorre altro giustificato motivo. In tal caso, il titolare o il responsabile devono comunque darne comunicazione all’interessato entro i predetti 15 giorni casi.

GLI ADEMPIMENTI IN TEMA PRIVACY

L’Informativa

È il documento tramite il quale il Titolare informa l’interessato circa i trattamenti che verranno effettuati con i suoi dati.

Scheletro dell’informativa (art. 13 D.Lgs. 196/03):

  • Finalità del trattamento
  • Natura del conferimento (obbligatoria/facoltativa)
  • Soggetti a cui i dati potranno essere comunicati e ambito di diffusione
  • Conseguenze di un eventuale rifiuto
  • Diritti dell’Interessato (art. 7 D.Lgs. 196/03) e modalità per esercitare tale diritto
  • Individuazione del Titolare/Responsabile/i

Deroga: l’informativa non è dovuta nel caso di ricezione di CV spontanei. In occasione del primo colloquio l’informativa potrà essere fornita in quell’occasione.

Il Consenso

È la manifestazione di volontà da parte dell’interessato che acconsente al trattamento dei propri dati da parte del Titolare in base a quanto indicato nell’informativa. Per poter effettuare trattamenti di dati personali è necessario il consenso espresso dell’interessato.

Caratteristiche del Consenso:

  • Espresso liberamente
  • Specifico in relazione ad un trattamento chiaramente individuato
  • Obbligo di forma scritta per i dati sensibili

Casi di Esclusione:

Il consenso NON è richiesto quando il trattamento:

  • È necessario per adempiere ad un obbligo di legge
  • È necessario per eseguire obblighi derivanti da un contratto del quale è parte l’interessato
  • Obbligo di forma scritta per i dati sensibili
  • Riguarda dati provenienti da pubblici registri, elenchi, atti o documenti conoscibili da                       chiunque
  • È necessario per la salvaguarda della vita o dell’incolumità di un terzo.
  • È necessario ai fini delle investigazioni difensive (con esclusione della diffusione) per                         difendere o far valere un diritto in sede giudiziaria

LE MISURE DI SICUREZZA

Allegato B Disciplinare Tecnico in materia di misure minime di sicurezza

L’allegato B fissa le misure minime di sicurezza per il trattamento dei dati personali e non le misure sufficienti. Questo significa che il livello delle misure di sicurezza da mettere in atto deve essere deciso dal Titolare del trattamento, in base ad una puntuale valutazione dei rischi.

Le misure di sicurezza devono essere idonee e cioè essere efficaci nei confronti di:

  • Distruzione e/o perdita di dati.
  • Accesso non autorizzato ai dati.
  • Trattamento non conforme alle finalità di raccolta dei dati.

Caratteristiche delle misure di sicurezza:

Preventive: devono prevenire i rischi.
Obbligatorie: la mancata adozione prevede sanzioni civili.
Correlate al mezzo utilizzato per il trattamento (cartaceo o informatico)
Crescenti: in funzione della tipologia dei dati trattati

 

Tipologia di Misure di Sicurezza

Ogni azienda in base alla valutazione dei rischi e al tipo di trattamento effettuato (con/senza l’ausilio di strumenti elettronici) pone in essere le specifiche misure che possono essere:

  1. Sicurezza Fisica
  2. Sicurezza Logica
  3. Sicurezza Procedurale

1. Misure di Sicurezza di tipo Fisico

Sono le misure poste a protezione degli ambienti dove si svolgono i trattamenti:

  • Cassaforte
  • Antifurto
  • Videosorveglianza (deve essere gestita ai sensi del Provv. Garante 8 aprile 2010)

2. Misure di Sicurezza di tipo Logico

Sono le misure relative al sistema informatico:

  • Backup
  • Password di accesso ai computer
  • Password di accesso ai dati online

Password:

  • Una password per ciascun incaricato
  • Lunghezza 8 caratteri
  • Modificate periodicamente:
    • ogni 6 mesi per trattamento di dati personali
    • ogni 3 mesi per trattamento di dati sensibili

3. Misure di Sicurezza Procedurali

Sono le Procedure Operative aziendali a governo della sicurezza delle informazioni:

  • Procedura di accesso visitatori
  • Procedura di accesso agli archivi
  • Procedura di gestione della documentazione aziendale (consultazione, archiviazione, ecc.)

GLI ADEMPIMENTI IN TEMA PRIVACY

Il Documento Programmatico sulla Sicurezza dei Dati (DPS)

Era un documento tramite il quale il Titolare dava evidenza dei trattamenti di dati posti in essere e delle misure di sicurezza in atto. Era una delle misure di sicurezza minime.

Caratteristiche:

  • Riassumeva le misure di sicurezza in essere
  • Doveva essere redatto/aggiornato entro il 31 marzo di ogni anno
  • Era obbligatorio darne menzione nella relazione al Bilancio di fine anno

La redazione formale del DPS è stata abrogata dal decreto legge sulle semplificazioni (DL n. 5/2012). Questo significa che comunque tutte le misure di sicurezza previste dal Codice rimangono in vigore

Al posto del DPS è buona prassi:

  • Continuare a mantenere aggiornato un Documento che consenta di dare evidenza del                     Governo Privacy da parte dell’azienda soprattutto in fase di controllo
  • Prestare attenzione alle richieste di consenso da richiedere, alle informative da allegare alla         propria modulistica o da inserire sul proprio sito internet, ai trattamenti particolari per i quali         possono essere presenti ulteriori obblighi (videosorveglianza, biometria ecc.)
  • Proteggere il proprio sistema informatico

IL PROSSIMO SCENARIO: IL REGOLAMENTO EUROPEO 679/2016

Il Regolamento UE 679/2016 in quanto tale è già immediatamente operativo senza la necessità di una legge di recepimento. Tuttavia, sono stati stabiliti due anni di tempo per l’adeguamento

TERMINE DA RISPETTARE PER L’ADEGUAMENTO: 25 MAGGIO 2018

 

 

SGSSGS
Struttura Sanitaria Accreditata con Autorizzazione N. 326 del 03/04/2019. Azienda con Sistema Qualità Certificato UNI EN ISO 9001:2015 - N. IT19/1101