PERCHE’ ADEGUARSI?
Il testo unico privacy (DECRETO 196/2003, che sostituisce la legge n. 675/96) innova la normativa precedente, in vigore oramai da diversi anni.
E’ assolutamente obbligatorio essere in regola. Si rischiano sanzioni molto dure: multe fino a 120.000 Euro, reclusione fino a 3 anni.
QUANDO, LE SCADENZE?
Termine ultimo per adeguarsi a seconda della natura giuridica (aziende, professionisti entro il 31/03/06, salvo le vecchie misure di sicurezza che devono essere già in essere). Anche per il DPS il termine è lo stesso.
CHI DEVE ADEGUARSI?
Devono adeguarsi tutti coloro che trattano dati personali: aziende, professionisti, cooperative, associazioni, P.A., scuole, comuni, ospedali, enti pubblici ecc. (ovvero chiunque tratti dati personali di clienti, cittadini, dipendenti, fornitori, utenti, pazienti, colleghi, soci, associati ecc.).
Ovviamente gli adempimenti sono diversi a seconda delle dimensioni della struttura e della tipologia di trattamento dati.
QUALI DATI SONO DA CONSIDERARSI PERSONALI?
- A titolo esemplificativo, citiamo:
- il nome, il cognome, l’indirizzo, il numero di telefono, il codice fiscale, la partita I.V.A., dati bancari…
- informazioni circa la composizione del nucleo familiare, la professione esercitata da un determinato soggetto, sia fisico che giuridico, la sua formazione…
- fotografie, radiografie, video, registrazioni, impronte…
- informazioni relative al profilo creditizio, alla retribuzione…
- informazioni relative alla salute di un soggetto, alla vita sessuale, alla partecipazione ad associazioni di categoria, a partiti, trattenute sindacali, cartelle cliniche, rilevazioni di presenze…
CI SONO ADEMPIMENTI DIVERSI A SECONDA DEL SOGGETTO CHE TRATTA I DATI? QUALI?
Si, ovviamente una ditta individuale che non si avvale di nessun collaboratore, sarà gravata da pochi adempimenti rispetto ad una struttura societaria.
A seconda della dimensione e della tipologia di struttura che effettua il trattamento dei dati, dal tipo di dati trattati (solo comuni? anche sensibili o semi-sensibili? giudiziari?) delle modalità di trattamento, dell’esistenza o meno di una struttura informatica collegata ad internet, gli adempimenti sono differenti.
DI QUALI ADEMPIMENTI SI TRATTA?
Si tratta ad esempio di nominare le figure richieste dalla legge, di proteggere gli elaboratori contro il rischio di intrusione e di virus, di adottare delle misure fisiche di protezione (allarmi, stabilizzatori di corrente, armadi chiusi a chiave ed ignifughi, accesso selezionato ai locali…), di mettere per iscritto le procedure da seguire e soprattutto di redigere il DPS (documento programmatico sulla sicurezza), una documentazione che descrive quanto fatto in materia di tutela dei dati personali ed individua quanto ancora resta da fare. Solo il DPS fa prova dell’avvenuto adeguamento alla normativa.
QUALI SONO I DATI SENSIBILI?
Per dato sensibile, s’intende un dato idoneo a rivelare “l’origine razziale o etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale” di un soggetto.
Sono dati sensibili ad esempio le trattenute sindacali, i dati relativi ad infortuni o malattie, permessi per ore di assemblea sindacale, i dati delle cartelle cliniche, radiografie e registrazioni, ecc.
Tali dati possono essere oggetto di trattamento solo con il consenso scritto e consapevole dell’interessato, dopo che questo sia stato informato in modo esauriente.