Obblighi e scadenze

 

 

Operazioni da effettuare

 

MODALITA' E FINALITA' DEL CODICE

  • Trattare i dati personali secondo i principi indicati dalla legge.
  • Controllare la pertinenza e non eccedenza dei dati trattati rispetto alle finalità della raccolta (art.11).
  • Controllare l'esattezza dei dati ed eventualmente, qualora si renda necessario, provvedere al loro aggiornamento (art.11).
  • Conservare i dati in una forma che consenta l'identificazione dell'interessato per un periodo non superiore a quello necessario agli scopi della raccolta (art.11); superato tale termine, provvedere alla cancellazione del dato, ovvero alla sua trasformazione in forma anonima.
  • Individuare le figure attive del trattamento: il Titolare, l'incaricato, il Responsabile (figura facoltativa), l'amministratore di sistema, il soggetto preposto alla custodia delle parole-chiave.
    Nominare tali soggetti in forma scritta, fornendo le relative istruzioni.
    Solo la figura del Titolare non necessita di alcuna nomina, essendo egli, per espressa previsione di legge, "la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza" (art.4 comma 1 lett.f).
  • Rendere ai soggetti interessati l'informativa di cui all'articolo 13, anche in forma orale.
  • Per i soggetti privati e gli enti pubblici economici, acquisire il consenso per il trattamento dei dati comuni dell'interessato, ove richiesto (artt. 23 e 24).
  • Per i soggetti privati e gli enti pubblici economici, acquisire il consenso scritto per il trattamento dei dati sensibili dell'interessato (art. 26).
  • Sicurezza dei dati:
    Già dal 29/03/2000 (31/12/2000, per quanti hanno usufruito della proroga ex art.1 L.325/2000), devono essere state adottate le misure a suo tempo previste dal D.P.R. 318/1999 (Regolamento recante norme per l'individuazione delle misure minime di sicurezza per il trattamento dei dati personali, a norma dell'art. 15, c. 2, Legge 675/1996).
    Con l’entrata in vigore del Codice in materia di protezione dei dati personali, le misure minime di sicurezza sono, almeno in parte, cambiate. Le misure minime sono descritte nell’Allegato B del D.lgs.196/2003 "Disciplinare tecnico in materia di misure minime di sicurezza"; la loro mancata adozione implica un illecito penale e comporta le sanzioni di cui all’art. 169 del Codice stesso.
    Tuttavia, ai sensi dell’art. 180, le nuove misure minime di sicurezza, non previste dall'abrogato d.P.R. 318/1999, dovranno essere adottate entro il 31 dicembre 2004.

 

 

PRINCIPALI SCADENZE IN MATERIA DI MISURE MINIME DI SICUREZZA

  •  Annualmente, aggiornare l’individuazione dell’ambito di trattamento consentito ai singoli incaricati, ove variato, anche parzialmente.
  • Annualmente, e precisamente entro il 31 marzo di ogni anno, redigere il Documento programmatico sulla sicurezza di cui all’art.19, Allegato B (in caso di trattamento di dati sensibili con strumenti elettronici).
  • Aggiornare con cadenza almeno semestrale gli strumenti elettronici utilizzati al fine di proteggere i dati dal rischio di intrusione e dal rischio derivante da virus informatici (art. 16, Allegato B).
  • Aggiornare con cadenza almeno annuale (semestrale per il trattamento di dati sensibili) i programmi per computer volti a prevenire la vulnerabilità di strumenti elettronici ed a prevenirne i difetti (art. 17, Allegato B).
  • Fornire istruzioni organizzative e tecniche affinché il salvataggio dei dati sia effettuato settimanalmente.
  • Annualmente, programmare interventi di formazione per gli incaricati del trattamento.


PER I SOGGETTI PUBBLICI:

16.1.Emanazione del Regolamento per il trattamento dei dati sensibili.

16.2.Dare comunicazione al Garante circa la necessità di diffondere dati personali o comunicarli ad altri soggetti pubblici, quando ciò non sia previsto dalla legge o da un regolamento, qualora ciò risulti comunque necessario per lo svolgimento delle funzioni istituzionali (Art. 19, D.Lgs. 196/2003); nei casi previsti dall'art. 39, effettuare le comunicazioni al Garante entro il 30 giugno 2004.

16.3 Controllare l'esistenza di norme di legge o di regolamento prima di effettuare comunicazione o diffusione di dati a soggetti privati o ad enti pubblici economici;

16.4 Identificare e rendere pubblici i tipi di dati e le operazioni effettuabili sui dati sensibili, nel caso in cui una norma di legge specifichi solo le rilevanti finalità di interesse pubblico da seguire (art.20);

16.5 Per i Ministeri e la Presidenza del Consiglio: consultare il Garante per la protezione dei dati personali all'atto della predisposizione delle norme regolamentari e degli atti amministrativi suscettibili di incidere nelle materie disciplinate dal Codice. 

Notificazione (art.37):
17.1.Le notificazioni devono essere effettuate prima dell'inizio del trattamento (qualunque esso sia, manuale o automatizzato), se si rientra in una delle ipotesi previste dall’art. 37 del Codice.

17.2.Per i trattamenti iniziati prima dell’1 gennaio 2004, le notificazioni devono essere effettuate, in sede di prima applicazione del Codice, entro il 30 aprile 2004. 

Rispettare le autorizzazioni emanate dal Garante per il trattamento dei dati sensibili; esse vengono rinnovate annualmente. Per trattare lecitamente i dati sensibili, infatti, non è sufficiente ottenere il consenso dell’interessato, ma occorre verificare che il trattamento dei dati sia conforme a quanto indicato dal Garante nelle autorizzazioni, speciali o generali che siano.
 
RICHIESTE DELL’INTERESSATO ex art.7:
In caso di richiesta da parte dell’interessato, il Titolare deve adoperarsi per rispondere tempestivamente alle richieste dello stesso. In caso di mancata risposta entro quindici giorni dal ricevimento della sua richiesta, l’interessato potrà rivolgersi al Garante per ottenere soddisfazione dei propri diritti (artt.145 segg. del Codice).


 
PRINCIPALI ADEMPIMENTI PERIODICI
Oltre ai principi generali appena enunciati, il D.Lgs. 196/2003 impone una serie di verifiche e controlli da effettuare con cadenza periodica, o per espressa previsione normativa, o perché necessario procedere ad alcune modifiche ogniqualvolta muti uno degli elementi essenziali dell’organizzazione aziendale.
 
1° gennaio di ogni anno (si tratta degli adempimenti per i quali il Codice prevede una cadenza almeno annuale):

  • Aggiornare l’individuazione dell’ambito di trattamento consentito ai singoli incaricati, ove variato, anche parzialmente.
  • Verificare la sussistenza delle condizioni per la conservazione delle autorizzazioni per l’accesso ai dati particolari per gli incaricati.
  • Fornire istruzioni organizzative e tecniche affinché il salvataggio dei dati sia effettuato settimanalmente.
  • Programmare interventi di formazione per gli incaricati del trattamento.
  • Provvedere all’aggiornamento delle "patch" dei programmi per computer, nel caso di trattamento di dati comuni (art. 17, Allegato B). 

1°gennaio-1°luglio di ogni anno (adempimenti a cadenza semestrale):

  • Aggiornare i software antivirus, per tutti i tipi di dati (art. 16, Allegato B).
  • Provvedere all’aggiornamento delle "patch" dei programmi per computer, nel caso di trattamento di dati sensibili (art. 17, Allegato B).

31 marzo di ogni anno:
Aggiornare il Documento programmatico sulla sicurezza.
All’interno del documento programmatico per la sicurezza, deve essere previsto un PIANO DI FORMAZIONE per gli incaricati, che dovrà pertanto essere rivisto annualmente. Il piano impone che siano fatte previsioni effettive sui tempi di formazione e sulle strutture che gestiranno tali attività, nell’arco dell’anno. La formazione è programmata al momento dell’ingresso in servizio, nonché in occasione di cambiamenti di mansioni, o introduzione di nuovi significativi strumenti, rilevanti per il trattamento dei dati personali.
Quanto ai Responsabili, questi devono essere scelti tra persone dotate della necessaria esperienza, capacità, affidabilità: è, quindi, opportuno che la loro formazione sia più specifica rispetto a quella data agli incaricati, onde evitare il rischio di nomine invalide (culpa in eligendo).

 

Gestione del Transitorio
Allo stato attuale delle cose tutti i soggetti che trattano dati sensibili o giudiziari con strumenti elettronici devono approntare il DPSS entro il 30 giugno ’05 e al contempo adeguarsi alle misure minime di sicurezza.

Tale scadenza va riferita alle aziende che non avevano dovuto fare il DPSS secondo il vecchio DPR 318/99, le aziende che invece avevano già redatto il documento devono aggiornarlo annualmente entro il 31 marzo di ogni anno.


Viene, poi, chiarita l’interpretazione del comma 2, art. 180 secondo la quale per usufruire di 3 mesi in più rispetto al 30 giugno, per l’adeguamento alle misure minime, il documento in data certa contenente le ragioni per tale proroga, deve essere prodotto entro il 30 giugno stesso.

Il Garante, poi, viene in aiuto mettendo a disposizione un DPSS semplificato in forma di fac-simile che potrà essere usato da tutti nella fase di transitorio.
Appare evidente che, nella nuova situazione chiarita dal Garante, assolvere agli obblighi di cui al punto 26 dell’allegato B (dichiarazione dell’avvenuta redazione o revisione del DPSS in relazione accompagnatoria di bilancio), significa farlo già dal bilancio 2003 se si è fatto il DPSS secondo la previgente normativa, e dal bilancio 2005, nel caso in cui sia la prima volta.


Verifiche da attuare

Inoltre, in tutti i casi che seguono è necessario procedere a verifiche costanti (il legislatore non indica un periodo minimo di revisione, ma punisce dichiarazioni eventualmente difformi dalla realtà).


NOTIFICAZIONE:
Sarà necessario provvedere alla modifica della notificazione effettuata al Garante tutte le volte in cui cambi uno degli elementi in essa contenuti, sempre nel caso in cui si rientri nei trattamenti contemplati dall'art.37 del Codice.


INFORMATIVA:
E’ necessario distribuire nuove informative, o comunicare i mutamenti intervenuti, tutte le volte in cui cambi uno degli elementi descritti dall’art. 13 del Codice:

a. le finalità e le modalità del trattamento cui sono destinati i dati;

b. la natura obbligatoria o facoltativa del conferimento dei dati;

c. le conseguenze di un eventuale rifiuto di rispondere;

d. i soggetti o le categorie di soggetti ai quali i dati possono essere comunicati e l'ambito di diffusione dei dati medesimi;

e. il nome, la denominazione o la ragione sociale e il domicilio, la residenza o la sede del Titolare.
Non c’è obbligo di modificare l’informativa qualora cambino i Responsabili, che siano stati indicati nell’informativa solo in base alla qualifica rivestita; può anche essere indicato solo il luogo dove è conservato l’elenco completo dei Responsabili del trattamento, ovvero il modo per accedervi. E’ comunque necessario indicare nome e dati di almeno un Responsabile, se nominato.


QUALITA’ DEI DATI ex art. 11:
Il Titolare deve curare che il trattamento dei dati avvenga sempre nel rispetto dei principi dettati dall’art.11 del Codice; dunque, occorre verificare costantemente:

a. che i dati siano trattati in modo lecito e secondo correttezza;

b. che siano raccolti e registrati per scopi determinati, espliciti e legittimi, ed utilizzati in altre operazioni del trattamento in termini non incompatibili con tali scopi;

c. che siano esatti e, se necessario, aggiornati;

d. pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono raccolti o successivamente trattati;

e. conservati in una forma che consenta l'identificazione dell'interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati.
 
CONSENSO:
E’ necessario, in generale, procedere alla verifica dell’esistenza del consenso ogniqualvolta il trattamento sia effettuato per scopi diversi da quelli per cui il consenso era stato inizialmente prestato, nonché tutte le volte in cui i dati debbano essere comunicati a soggetti terzi, o diffusi ad un numero di persone indeterminato.


COMUNICAZIONI ALL’INTERESSATO RELATIVE ALLO STATO DI SALUTE:
Le comunicazioni all’interessato riguardanti lo stato di salute devono essere effettuate tramite il medico di medicina generale designato dall’interessato o dal Titolare; verificare dunque che tale regola sia sempre rispettata.