Agenzie Immobiliari della Provincia di Caserta
Hobby&Art 468x60
Caserta Immobiliari.it
Agenzie vendita immobili a Caserta Home arrow Casa e Fisco arrow La privacy in Edilizia
I nostri affiliati:
Immobili in evidenza

Agenzie Immobiliari di Caserta
Links utili - CasertaImmobiliari.it
Username
Password
    
Hai dimenticato la password?
Links utili - CasertaImmobiliari.it
Hobby&Art 160x60
12701685 visite totali
La privacy in Edilizia PDF Stampa E-mail
 

GLI ADEMPIMENTI IN MATERIA DI PRIVACY PER LE IMPRESE CHE OPERANO NEL

SETTORE DELL'EDILIZIA

Con l'entrata in vigore del nuovo Codice della privacy (d. lgs. n. 196/2003), avvenuta lo scorso 1°

gennaio 2004, è stata introdotta una disciplina organica a tutela del c.d. diritto alla riservatezza dei

dati personali. Nonostante le recenti e reiterate proroghe intervenute in materia, che in realtà

riguardano solo alcuni aspetti della nuova disciplina, la maggior parte delle disposizioni di cui al Testo

Unico si avviano a festeggiare il primo anno di vita. Si tratta di norme che riguardano da vicino le

imprese e gli studi professionali, anche quelli che operano nel settore dell'edilizia, l'adempimento delle

quali, che per altro si accompagna a un severo sistema di sanzioni, comporta l'adozione di una

serie di soluzioni organizzative finalizzate a una più corretta gestione dei dati personali.

 

La nozione di trattamento e le categorie di dati personali.

Con il termine trattamento, ai sensi dell'art. 4, comma 1, lett. a) del Codice, si intende qualunque operazione o complesso di operazioni, effettuate anche senza l'ausilio di strumenti informatici, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzionedi dati, anche se non registrate in un'apposita banca dati.

A parte la questione se il nutrito elenco di cui sopra sia da considerarsi o meno tassativo, ovvero se il trattamento possa consistere anche in altri tipi di attività, è evidente che il legislatore ha inteso prendere in considerazione la maggior parte delle operazioni che è possibile effettuare sui dati personali. E' molto difficile, per non dire impossibile, che un soggetto possa utilizzare delle informazioni relative a terzi senza per questo operarne un trattamento giuridicamente rilevante.

Un altro concetto fondamentale per intendere a fondo il complesso sistema di tutela dei dati personali è poi quello di "dato". A tale proposito il codice distingue fra quattro categorie di dati: "personali", "identificativi", "sensibili" e "giudiziari". Con il primo termine si fa riferimento a qualunque informazione relativa a persone fisiche o giuridiche, identificate o identificabili, anche indirettamente, mediante riferimento a qualsiasi altro dato, ivi compreso un numero di identificazione personale (art. 4, comma 1, lett. b)).

Nella seconda categoria, invece, che si presenta come più ristretta, rientrano i dati personali che permettono l'identificazione diretta dell'interessato.

Fra i dati sensibili, in maniera ancora più specifica, sono compresi i dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale di un individuo. Infine, nella quarta categoria, sono compresi quei dati personali idonei a rivelare informazioni relative ai rapporti di un soggetto con la giustizia e tali da rivelare l'adozione di determinati provvedimenti nei suoi confronti da parte dell'amministrazione giudiziaria (ad esempio, eventuali carichi pendenti presso il casellario giudiziale, ecc.).

 

La suddivisione dei compiti: il titolare, il responsabile e gli incaricati del trattamento.

 

Ai sensi dell'art. 4 del dlgs n. 196/2003 è titolare del trattamento la persona fisica o giuridica, pubblica o privata, cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza. Il titolare del trattamento è tale proprio per il fatto di svolgere una serie di attività sui dati personali di soggetti terzi. Nel caso di un'azienda, in particolare, titolare del trattamento è la persona giuridica nel suo complesso, e non la persona fisica che ne ha la rappresentanza. Il titolare deve quindi procedere alla designazione degli incaricati del trattamento e, ove se ne ravvisi la necessità, del responsabile, la nomina del quale è soltanto eventuale.

La definizione normativa di responsabile del trattamento è fornita dal comma 1, lett. g), dell'art. 4 del d.lgs. n. 196/2003: "la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali". Il responsabile ha il compito di alleggerire il carico degli adempimenti gravanti sul titolare. E' evidente, quindi, che la nomina del responsabile è consigliabile solo nel caso di realtà organizzative aziendali o professionali di tipo medio-grande, nelle quali, per il numero di addetti e/o di settori produttivi e/o di filiali, sia necessario ripartire adempimenti e responsabilità.

La nomina del responsabile può essere effettuata soltanto dal titolare del trattamento e deve essere effettuata per iscritto, con descrizione analitica dei compiti al medesimo attribuiti.

Questo perché l'attribuzione di determinate funzioni comporta anche il trasferimento delle relative responsabilità. Il legislatore delegato ha quindi inteso fare in modo che il titolare del trattamento sia portato a individuare in modo espresso l'ambito delle rispettive attribuzioni, per evitare situazioni poco chiare nel caso in cui sia arrecato un danno agli interessati. La nomina del responsabile da parte del titolare non spoglia quest'ultimo delle sue responsabilità.

Questi dovrà pur sempre vigilare sulla puntuale osservanza da parte del responsabile delle istruzioni impartite, anche attraverso verifiche periodiche, mantenendo una precisa responsabilità sia per culpa in eligendo che per culpa in vigilando.

Gli incaricati del trattamento sono, invece, le persone fisiche autorizzate a compiere operazioni di trattamento dei dati personali dal titolare o dal responsabile. La designazione dell'incaricato viene fatta dal titolare o, se nominato, dal responsabile. Essa è necessaria per fare in modo che la conoscenza dei dati personali trattati dal titolare da parte dei soggetti che lavorano alle sue dipendenze o collaborano con questo possa essere considerata legittima.

 

Gli adempimenti previsti dal dlgs n. 196/2003

 

Una volta chiarita la distribuzione dei compiti all'interno dello studio professionale e dell'azienda, un primo ed essenziale passo per procedere agli adempimenti previsti dal Codice della privacy è quello di individuare la tipologia dei dati trattati dal titolare, nonché l'ambito e le finalità dei connessi trattamenti. Si tratta di un obbligo di fondamentale importanza, perché da esso dipendono tutti gli adempimenti successivi, ovvero:

a) la notificazione del trattamento (se sia necessario farla o meno e, in caso positivo, per quali tipologie di trattamento);

b) l'informativa agli interessati (bisognerà indicare la tipologia di dati trattati e le finalità del trattamento);

c) il consenso degli interessati (se sia necessario o meno);

d) la redazione della lettera di incarico del responsabile e degli incaricati del trattamento (bisognerà indicare l'ambito dei trattamenti consentiti a ciascuno di essi);

e) le misure minime di sicurezza;

f) gli altri adempimenti specifici previsti nella parte speciale del Codice.

 

La tipologia dei dati trattati dalle aziende e dagli studi professionali operanti nel settore dell'edilizia

 

Generalmente quanti operano nel settore dell'edilizia non trattano categorie di dati sensibili, per i quali sono richiesti specifici e più rigorosi adempimenti. Si tratta essenzialmente di dati personali (dati anagrafici, dati contabili e amministrativi, ecc.) riguardanti:

a) i clienti;

b) i fornitori;

c) i dipendenti e i collaboratori;

d) la pubblica amministrazione;

e) l'autorità giudiziaria (sia in quest'ultimo che nel caso precedente potrebbero però essere trattati anche dati c.d. giudiziari, anch'essi tutelati con maggiore severità dal dlgs n. 196/2003).

 

Gli adempimenti di cui al dlgs n. 196/2003:

a) la notificazione

La notificazione del trattamento è una dichiarazione con la quale un soggetto pubblico o privato rende nota al Garante l'esistenza di un'attività di raccolta e utilizzazione dei dati personali di cui all'art. 37 del d.lgs. n. 196/2003, svolta quale autonomo titolare del trattamento medesimo. Essa rappresenta l'adempimento iniziale per il legittimo utilizzo dei dati e, di conseguenza, deve essere effettuata necessariamente prima dell'inizio del trattamento stesso.

L'art. 37 del Codice ha operato una vera e propria rivoluzione in materia di notificazione del trattamento, con l'intento di semplificare l'individuazione dei soggetti tenuti all'adempimento.

Mentre la vecchia legge n. 675/96, infatti, elencava espressamente i casi di esonero, lasciando intendere che tutti i soggetti non indicati fossero tenuti alla notifica, il d.lgs. n. 196/2003 ha capovolto il criterio di identificazione dei destinatari dell'adempimento, elencando la tipologia di dati personali il cui trattamento necessita della preventiva notifica al Garante. Queste le tipologie di trattamento individuate dal legislatore delegato:

a) dati genetici, biometrici o dati che indicano la posizione geografica di persone od oggetti mediante una rete di comunicazione elettronica;

b) dati idonei a rivelare lo stato di salute e la vita sessuale, trattati a fini di procreazione assistita, prestazione di servizi sanitari per via telematica relativi a banche di dati o alla fornitura di beni, indagini epidemiologiche, rilevazione di malattie mentali, infettive e diffusive, sieropositività, trapianto di organi e tessuti e monitoraggio della spesa sanitaria;

c) dati idonei a rivelare la vita sessuale o la sfera psichica trattati da associazioni, enti od organismi senza scopo di lucro, anche non riconosciuti, a carattere politico, filosofico, religioso o sindacale;

d) dati trattati con l'ausilio di strumenti elettronici volti a definire il profilo o la personalità dell'interessato, o ad analizzare abitudini o scelte di consumo, ovvero a monitorare l'utilizzo di servizi di comunicazione elettronica con esclusione dei trattamenti tecnicamente indispensabili per fornire i servizi medesimi agli utenti;

e) dati sensibili registrati in banche di dati a fini di selezione del personale per conto terzi,

nonché dati sensibili utilizzati per sondaggi di opinione, ricerche di mercato e altre ricerche campionarie;

f) dati registrati in apposite banche di dati gestite con strumenti elettronici e relative al rischio sulla solvibilità economica, alla situazione patrimoniale, al corretto adempimento di obbligazioni, a comportamenti illeciti o fraudolenti.

Il principio che ispira la ripartizione in questione è quello dell'occasionalità del trattamento. In altre parole, la notificazione deve essere operata nei casi in cui il trattamento dei dati personali indicati nell'art. 37 avvenga in modo sistematico, ossia faccia parte integrante dell'attività svolta dal titolare. Si tratta di un principio interpretativo della massima importanza, che permette di risolvere in modo ragionevole la maggior parte dei casi dubbi che si possono porre nella pratica. Volta per volta il titolare del trattamento dovrà quindi domandarsi se il trattamento di alcuni dei dati personali di cui all'art. 37 del Codice sia occasionale rispetto allo svolgimento della propria attività, ovvero ne faccia parte integrante. In questo secondo caso la notificazione sarà obbligatoria.

Salvo casi particolari, si può dunque escludere che gli operatori del settore siano tenuti a effettuare la notificazione del trattamento al Garante

 

b) L'informativa

 

L'informativa agli interessati, disciplinata dall'art. 13 del d.lgs. n. 196/2003, è un atto con cui chi tratta i dati altrui identifica se stesso e la propria attività, rendendo noti nel contempo agli interessati le caratteristiche del trattamento e i diritti riconosciuti loro dalla legge. È un adempimento che deve necessariamente precedere il trattamento dei dati personali, in quanto rappresenta una condizione essenziale per il conferimento di un consenso (informato) da parte dell'interessato e per permettere allo stesso l'esercizio dei propri diritti.

Tuttavia si tratta di un documento privo di particolari formalità e dal contenuto in gran parte predeterminato dalla legge.

Il mancato adempimento di questo obbligo da parte dei soggetti che vi sono tenuti è punito autonomamente dal legislatore come illecito amministrativo (art. 161 del Codice) con la sanzione del pagamento di una somma da tremila a diciottomila euro e, nei casi di dati sensibili o giudiziari o di trattamenti che presentano rischi specifici ai sensi dell'articolo 17 del Codice o, comunque, di maggiore rilevanza del pregiudizio per uno o più interessati, da cinquemila a trentamila euro. La somma può inoltre essere aumentata sino al triplo quando risulti inefficace in ragione delle condizioni economiche del contravventore.

L'informativa può essere data oralmente o per iscritto e deve essere fornita all'interessato o alla persona presso la quale i dati sono raccolti. Tuttavia, per evidenti ragioni di convenienza, è meglio optare per la forma scritta, scegliendo, a seconda dei casi, le modalità ritenute più opportune per portare il documento a conoscenza dell'interessato.

L'informativa deve contenere:

- le finalità e le modalità del trattamento cui sono destinati i dati;

- la natura obbligatoria o facoltativa del conferimento dei dati;

- le conseguenze di un eventuale rifiuto di rispondere;

- i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati, e l'ambito di diffusione dei dati medesimi;

- i diritti dell'interessato di cui all'art. 7 del Codice;

- gli estremi identificativi del titolare e, se designati, del suo rappresentante nel territorio dello stato, nonché del responsabile.

Dalle decisioni adottate in questi anni dal Garante della privacy in materia di informativa si possono trarre una serie di interessanti considerazioni. Innanzitutto l'Authority ha sempre avuto modo di sottolineare come l'informativa debba essere redatta in modo semplice e chiaro, in modo da poter essere compresa facilmente dal destinatario. In caso contrario, a meno che possa essere imputata proprio a quest'ultimo la colpa della mancata comprensione del documento, l'informativa non potrà raggiungere la finalità che la contraddistingue, ossia quella di fornire all'interessato le informazioni necessarie all'espressione di un consenso informato, e, di conseguenza, non avrà valore.

E' altresì importante sottolineare che l'informativa è comunque dovuta anche quando sia prevista dalla legge un'ipotesi di esonero dall'acquisizione del consenso. Fermo restando che quest'ultima può essere resa all'interessato anche in forma orale, il Garante ha specificato che il documento che la contiene deve essere facilmente disponibile da parte dell'interessato.

 

c) Il consenso dell'interessato

 

L'art. 23 del dlgs n. 196/2003 stabilisce che il trattamento di dati personali da parte di privati ed enti pubblici economici è ammesso solo con il consenso espresso dell'interessato (per i trattamenti effettuati dalla pubblica amministrazione, invece, la fonte legittimante è direttamente la legge). Il consenso dell'interessato, per essere valido, deve essere espresso, libero, informato e consapevole, specifico; può riguardare l'intero trattamento ovvero una o più operazioni dello stesso; deve essere documentato per iscritto, ovvero deve risultare da un atto scritto, materialmente redatto dal responsabile o dall'incaricato del trattamento, che l'interessato ha espresso il proprio consenso (verbale) riguardo a un certo trattamento dopo essere stato adeguatamente informato al riguardo; deve essere manifestato in forma scritta quando il trattamento riguarda dati sensibili.

L'art. 24 del Codice individua tuttavia una serie di casi nei quali il trattamento può essere effettuato anche senza il consenso dell'interessato, purché non siano coinvolti dati sensibili.

Per quanto riguarda gli operatori del settore è opportuno segnalare che il consenso non è richiesto: qualora sia necessario per adempiere a un obbligo previsto dalla legge, da un regolamento o dalla normativa comunitaria; qualora sia necessario per eseguire obblighi derivanti da un contratto del quale è parte l'interessato o per adempiere, prima della conclusione del contratto, a specifiche richieste dell'interessato; qualora riguarda dati provenienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque, fermi restando i limiti e le modalità che le leggi, i regolamenti o la normativa comunitaria stabiliscono per la conoscibilità e pubblicità dei dati.

 

d) la designazione del responsabile e degli incaricati

 

L'impresa, come anticipato, deve procedere ad autorizzare alle operazioni di trattamento dei dati tutti quei soggetti che, come dipendenti, collaboratori o consulenti esterni, partecipano alla sua attività e che, di conseguenza, possono trovarsi a conoscere o gestire dati personali riguardanti i clienti o i fornitori della stessa.

La nomina del responsabile (eventuale), così come quella (obbligatoria) degli incaricati del trattamento, deve avvenire necessariamente per iscritto, con specifica menzione degli ambiti del trattamento consentiti e dei compiti affidati a ciascuno di essi. Il responsabile del trattamento, a sua volta, provvederà all'individuazione degli incaricati, e fornirà agli stessi le direttive da seguire nello svolgimento delle proprie operazioni. Gli incaricati dovranno attenersi alle norme del d.lgs. n. 196/2003 e alle istruzioni e direttive che saranno loro impartite volta per volta dal titolare e/o dal responsabile del trattamento. In particolare dovranno prestare attenzione a:

- trattare i dati personali dei quali vengono a conoscenza durante l'espletamento delle proprie funzioni in modo lecito e secondo correttezza, in modo da garantire la massima riservatezza delle informazioni trattate;

- effettuare il trattamento dei dati personali esclusivamente per le finalità connesse all'espletamento delle proprie funzioni;

- ove possibile, verificare l'esattezza dei dati personali trattati e curarne l'aggiornamento;

- verificare che i dati trattati siano pertinenti, completi e non eccedenti le finalità per le quali sono stati raccolti e successivamente trattati;

- aggiornare periodicamente, secondo le indicazioni del responsabile del trattamento, le banche dati alle quali hanno accesso;

- evitare di asportare dalla banca dati, su supporto cartaceo o elettronico, informazioni ivi contenute, se non per scopi strettamente connessi all'espletamento delle proprie funzioni e, comunque, sulla base di un'autorizzazione concessa dal titolare o dal responsabile del trattamento;

- in caso di allontanamento dal posto di lavoro, adottare le precauzioni necessarie, secondo le indicazioni fornite dal responsabile del procedimento, per evitare l'accesso ai dati personali da parte di terzi, ivi compresi altri incaricati del trattamento, se non specificamente autorizzati;

- per l'accesso alle banche dati della società, utilizzare gli appositi strumenti di identificazione forniti dal responsabile (password e codice identificativo personale), avendo cura di mantenere gli stessi segreti e di non comunicarli ad alcuno, neanche ad altri incaricati del trattamento, se non specificamente autorizzati;

- non diffondere né comunicare a terzi, in qualsiasi modo, informazioni contenute nelle banche dati della società.

Tuttavia, in caso di imprese con un numero elevato di dipendenti e/o collaboratori, si potrà anche evitare di preparare singole lettere di designazione per ciascuno degli incaricati del trattamento. Infatti, come suggerito anche dalla Assonime (Associazione fra le società italiane per azioni) in una propria circolare (n. 40 del 7 settembre 2004), le nomine di incarico possono essere semplificate e riguardare gli uffici, e non i singoli dipendenti. In questi casi, infatti, come ammesso dal comma 2 dell'art. 30 del d.lgs. n. 196/2003, non c'è necessità di atti individuali, perché è sufficiente l'inserimento del dipendente nell'organigramma aziendale o anche dell'ente pubblico, a condizione che siano individuati gli ambiti di trattamento per ciascun ufficio. In questo caso basterà preparare una lettera di incarico singola per ciascun ufficio o settore.

Particolare cura dovrà essere posta dal responsabile nell'individuazione delle modalità di accesso degli incaricati agli archivi informatici. Infatti, ai sensi della regola n. 1 del Disciplinare Tecnico allegato al d.lgs. n. 196/2003, il trattamento di dati personali con strumenti elettronici è consentito agli incaricati dotati di credenziali di autenticazione che permettano il superamento di una procedura di autenticazione relativa a uno specifico trattamento o a un insieme di trattamenti.

Le credenziali di autenticazione consistono in un codice per l'identificazione dell'incaricato associato a una parola chiave riservata conosciuta solamente dal medesimo oppure in un dispositivo di autenticazione in possesso e uso esclusivo dell'incaricato, eventualmente associato a un codice identificativo o a una parola chiave, oppure in una caratteristica biometrica dell'incaricato, eventualmente associata a un codice identificativo o a una parola chiave.

A ogni incaricato sono assegnate o associate individualmente una o più credenziali per l'autenticazione. Nello stesso tempo il responsabile del servizio deve fare in modo di comunicare agli incaricati le istruzioni necessarie al fine di adottare le cautele finalizzate ad assicurare la segretezza della componente riservata della credenziale e la diligente custodia dei dispositivi in possesso degli incaricati.

In particolare, gli incaricati sono tenuti a non lasciare incustodito e accessibile lo strumento elettronico durante una sessione di trattamento, così come devono fare attenzione a non lasciare in giro la propria password scritta su un pezzo di carta. Parimenti essenziale è che ciascun incaricato non comunichi ad alcun collega la propria password.

Eventuali esigenze legate alla sostituzione di un incaricato assente, ad esempio per malattia, dovranno essere preventivamente risolte dal responsabile, con la previsione di apposite modalità operative, che non potranno consistere nel semplice utilizzo della password dell'incaricato assente da parte del collega che lo sostituisce.

La parola chiave, quando è prevista dal sistema di autenticazione, deve essere composta da almeno otto caratteri oppure, nel caso in cui lo strumento elettronico non lo permetta, da un numero di caratteri pari al massimo consentito. La stessa, inoltre, non deve contenere riferimenti che possano essere agevolmente riconducibili all'incaricato e deve essere modificata da quest'ultimo al primo utilizzo e, successivamente, almeno ogni sei mesi. In caso di trattamento di dati sensibili e di dati giudiziari la parola chiave deve invece essere modificata almeno ogni tre mesi. Il codice per l'identificazione, laddove sia già stato utilizzato, non può essere assegnato ad altri incaricati, neppure in tempi diversi.

Le credenziali di autenticazione non utilizzate da almeno sei mesi devono essere disattivate, salvo quelle preventivamente autorizzate per soli scopi di gestione tecnica. Le stesse vanno disattivate anche in caso di perdita della qualità che consente all'incaricato l'accesso ai dati personali (ad esempio in caso di cambiamento delle mansioni o di dimissioni o licenziamento). Qualora per gli incaricati siano individuati profili di autorizzazione di ambito diverso, nel senso che ognuno di essi o determinate categorie di essi possa accedere soltanto ad alcune tipologie di trattamento, dovrà essere utilizzato un sistema di autorizzazione. In questo caso i profili di autorizzazione, per ciascun incaricato o per classi omogenee di incaricati, dovranno essere individuati e configurati anteriormente all'inizio del trattamento, in modo da limitare l'accesso ai soli dati necessari per effettuare le operazioni di trattamento.

Inoltre, con cadenza periodica, e comunque almeno annualmente, dovrà essere verificata la sussistenza delle condizioni per la conservazione dei profili di autorizzazione degli incaricati.

Qualora il trattamento riguardi dati sensibili o giudiziari, gli stessi dovranno essere protetti contro l'accesso abusivo, come previsto altresì dall'art. 615 ter del codice penale, mediante l'utilizzo di idonei strumenti elettronici.

Il responsabile dovrà avere cura di impartire agli incaricati idonee istruzioni organizzative e tecniche per la custodia e l'uso dei supporti rimovibili su cui vengano memorizzati i dati, al fine di evitare accessi non autorizzati e trattamenti non consentiti. In particolare, i supporti rimovibili contenenti dati sensibili o giudiziari, se non utilizzati, devono essere distrutti o resi inutilizzabili, ovvero essere riutilizzati da altri incaricati, non autorizzati al trattamento degli stessi dati, a condizione che le informazioni precedentemente in essi contenute non siano più intelligibili e tecnicamente in alcun modo ricostruibili.

Nel caso di trattamenti di dati realizzati senza l'ausilio di strumenti elettronici, agli incaricati dovranno essere impartite istruzioni scritte finalizzate al controllo e alla custodia, per l'intero ciclo necessario allo svolgimento delle operazioni di trattamento, degli atti e dei documenti contenenti dati personali.

Nell'ambito dell'aggiornamento periodico con cadenza almeno annuale dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati, la lista degli incaricati potrà essere redatta anche per classi omogenee di incarico.

Nei casi in cui gli atti e i documenti contenenti dati personali sensibili o giudiziari vengano affidati agli incaricati del trattamento per lo svolgimento dei relativi compiti, i medesimi atti e documenti dovranno essere controllati e custoditi dagli stessi fino alla restituzione in maniera che a essi non accedano persone prive di autorizzazione, e dovranno essere immediatamente restituiti al termine delle operazioni.

 

 e) L'adozione delle misure di sicurezza

 

La sicurezza dei dati personali conservati dal titolare del trattamento rappresenta un altro aspetto fondamentale che l'impresa deve tenere in considerazione. Quest'ultima, soprattutto in caso di trattamenti effettuati con strumenti elettronici, deve infatti garantire la sicurezza delle informazioni acquisite, adeguando i propri archivi e i propri elaboratori elettronici a misure si sicurezza che impediscano la perdita accidentale e/o l'accesso abusivo alle stesse.

Il legislatore delegato ha adottato un doppio regime in materia di sicurezza del trattamento dei dati personali, prevedendo, nell'ambito dei più generali obblighi di sicurezza di cui all'art. 31 del Codice, una serie di misure "minime" di sicurezza, elencate nei successivi articoli 34 e 35, finalizzate ad assicurare un primo livello di protezione ai dati personali.

Tra queste devono essere sottolineati l'obbligo di introdurre un sistema di autenticazione informatica che consenta l'individuazione degli incaricati del trattamento al momento dell'accesso agli archivi informatici, nonché quello di adottare apposite procedure per il ripristino della disponibilità dei dati e dei sistemi (c.d. disaster recovery) e di custodire adeguatamente le copie di sicurezza.

Da segnalare, poi, l'importante ruolo svolto in materia dal c.d. Documento Programmatico della Sicurezza (Dps) che, pur essendo obbligatorio, a rischio di sanzione penale, soltanto nel caso di trattamento di dati sensibili e/o giudiziari, conviene comunque stilare in ogni caso (come eventuale prova da utilizzare nel corso di un giudizio sulla responsabilità civile dell'impresa, che è stata valutata con particolare severità dal legislatore delegato).

Il Dps è finalizzato a descrivere l'organizzazione dell'azienda o dello studio professionale dal punto di vista dei possibili rischi ai quali possono andare incontro i dati raccolti dagli stessi (sia legati a calamità naturali che a comportamenti dannosi, volontari o meno, dell'uomo), nonché delle misure di sicurezza adottate per fronteggiare i medesimi.

Una volta redatto, sotto la responsabilità del titolare del trattamento, detto documento rappresenta dunque lo specchio dell'organizzazione dell'azienda/studio professionale e consente di avere un quadro aggiornato dei potenziali rischi ai quali sono esposti i trattamenti di dati personali effettuati dalla stessa, con indicazione delle misure di sicurezza adottate e/o da adottare.

Il Dps, che deve essere adottato improrogabilmente entro il 30 giugno 2005, dovrà essere conservato presso la sede dell'impresa titolare del trattamento e andrà quindi aggiornato annualmente, entro il 31 marzo di ogni anno, facendone menzione nella relazione di accompagnamento del bilancio di esercizio dell'azienda. Per la redazione del Dps l'Autorità Garante della privacy ha adottato uno schema tipo che può servire da guida per la sua compilazione (scaricabile on-line sul sito istituzionale).

 

f) L'affidamento all'esterno di trattamenti di dati personali

 

Altra importante questione è poi quella del rapporto tra l'impresa e gli eventuali soggetti esterni ai quali si sia deciso di esternalizzare (c.d. affidamento in outsourcing) un settore della propria attività che implichi un trattamento di dati personali. A questo proposito il Garante ha chiarito che il rapporto con il soggetto esterno non presuppone necessariamente la stipulazione di un accordo contrattuale specifico, essendo sufficiente anche un semplice scambio di corrispondenza.

Anche nel Dps andrà indicato il soggetto esterno e cioè la società, l'ente o il consulente cui è stata affidata l'attività di trattamento, nonché il ruolo ricoperto da quest'ultimo agli effetti della disciplina sulla protezione dei dati personali (titolare o responsabile del trattamento).

Tale indicazione è di per sé significativa, in quanto la società, il consulente o l'ente esterno non sempre sono responsabili del trattamento, ma potrebbero anche essere dei (con)titolari autonomi. Questo dipenderà, come già accennato, dalla ripartizione dei poteri che sia stata effettuata in concreto tra le parti. Il soggetto esterno sarà responsabile del trattamento quando il committente (titolare) abbia deciso di mantenere un potere decisionale sul trattamento, di modo che il soggetto esterno dovrà conformarsi alle decisioni di quest'ultimo e non potrà decidere autonomamente le finalità e le modalità del trattamento medesimo.

Le parti, una volta individuato il rapporto contrattuale sulla base del quale si svolge il trattamento dei dati affidato all'esterno, nonché gli aspetti tecnici e organizzativi relativi allo stesso, dovranno quindi avere cura di descrivere sommariamente il contenuto dell'attività esternalizzata, la tipologia di dati interessati dal trattamento (ad esempio se di tipo sensibile e/o giudiziario), le generalità e la forma giuridica nella quale è organizzato il soggetto esterno (privato, società, ecc.), il ruolo ricoperto da quest'ultimo nell'ambito del trattamento dei dati (titolare o responsabile).

Nel medesimo documento le parti dovranno poi avere cura di indicare i criteri in base ai quali dovrà essere effettuato il trattamento dei dati personali affidato all'esterno, impegnandosi a trattare gli stessi esclusivamente ai fini dell'espletamento dell'incarico ricevuto, nell'adempimento degli obblighi di cui al d.lgs. n. 196/2003 e nel rispetto delle direttive ricevute dal titolare del trattamento, nonché a relazionare periodicamente a quest'ultimo sulle misure di sicurezza adottate, informandolo di eventuali situazioni anomale o di emergenza.

 

 

(fonte SANPAOLOIMPRESE.COM  - GIANFRANCO DI RAGO.)

 
< Prec.   Pros. >
 
 
 
 
 
 
Calcolo ICI AAA: l'ICI calcolabile da questo modulo è valida per il solo comune di Caserta. Per tutti gli altri comuni, Caserta compresa, sono disponibili le aliquote nella tabella presente a ...

Cessione del Contratto di Locazione   Cessione del contratto di locazione L'art. 36 della legge n. 392 del 1978 prevede che il conduttore possa sublocare l'immobile o cedere il contratto di locazione anche senza il ...

Agevolazioni prima casa: sentenza   Agevolazioni prima casa Disposizioni rilevanti per l'individuazione del carattere di "abitazione non di lusso" ai fini del godimento dei benefici fiscali In tema di ...

La Mediazione immobiliare   ll contratto di mediazione immobiliare e la tutela del consumatore Il codice civile, all'articolo 1754, definisce il mediatore come ...

Abitabilità garantita dal Locatore   IMMOBILI - Il locatore garantisce l'abitabilità La Corte di Cassazione terza sezione civile, con la sentenza n. 8409 depositata l'11 Aprile, ha ribadito che rientra nelle ...

ICI aumenti in vista dal 1 gennaio 2007   ICI - L’ICI PREPARA 900 AUMENTI Dal 1° gennaio 2007 aumenterà l'ICI, ma anche le imposte dirette e indirette, per circa 900 Comuni di 33 province in 16 regioni. ...

Guida Fiscale per la casa In allegato La Guida Fiscale Per La Casa a cura dell'Agenzia delle Entrate. ...

Procedimento di convalida dello sfratto   DEL PROCEDIMENTO PER CONVALIDA DI SFRATTO. Art . 657. (Intimazione di licenza e di sfratto per finita locazione). Il locatore o il ...

D.M. 02/02/2006 Fondo di Solidarietà per beni immobili   Decreto Ministeriale 2 febbraio 2006 Istituzione del Fondo di solidarietà per gli acquirenti di beni immobili da costruire, ai sensi dell'articolo 18, comma 6, del D. Lgs. ...

Indici ISTAT     INDICI ISTAT ...

Osservatorio Immobiliare II Semestre 2005 A cura di ROCCO ATTINA’ Responsabile dell’Osservatorio Immobiliare FIAIP Fonte: www.fiaipcaserta.it LE VALUTAZIONI RIPORTATE IN LISTINO TENGONO CONTO DELLE VARIABILI DEL PREZZO, ...

Gli immobili ed il fisco parte I GLI IMMOBILI ED IL FISCO (prima parte)  Le agevolazioni per la prima casa: Per gli acquisti in regime di prima casa, ove vi siano i requisiti prescritti, il trasferimento a titolo ...

La Finanziaria e le Novità per l'ICI   La Finanziaria 2006 e le Novità per l'ICI   Tra le novità introdotte dal Senato nel disegno di legge di conversione del decreto fiscale 203/05 collegato ...

La privacy in Edilizia   GLI ADEMPIMENTI IN MATERIA DI PRIVACY PER LE IMPRESE CHE OPERANO NEL SETTORE DELL'EDILIZIA Con l'entrata in vigore del nuovo Codice della privacy (d. lgs. n. ...

Detrazioni 41% Istruzioni   COMUNICAZIONE DI INIZIO LAVORI DI RISTRUTTURAZIONE EDILIZIA PER FRUIRE DELLA DETRAZIONE D'IMPOSTA AI FINI IRPEF Art. 1, comma 3, della legge 27 dicembre 1997, n. 449 ...



Detrazioni ristrutturazioni edilizie: le novità  Ancora novità per l'anno 2006 sulle Detrazioni di imposta relative alle ristrutturazioni edilizie. Con la pubblicazione in Gazzetta Ufficiale del 24 marzo 2006 n. 70 del ...

 
   
   
 
Portale di annunci delle migliori agenzie immobiliari della Provincia di Caserta.
Caserta Immobiliari di FutureXPerience P.IVA 02857860619 © 2008 Tutti i diritti sono riservati.