GLI ADEMPIMENTI IN MATERIA DI PRIVACY PER LE IMPRESE CHE OPERANO NEL
SETTORE DELL'EDILIZIA
Con l'entrata in vigore del nuovo Codice della privacy (d. lgs. n. 196/2003), avvenuta lo scorso 1°
gennaio 2004, è stata introdotta una disciplina organica a tutela del c.d. diritto alla riservatezza dei
dati personali. Nonostante le recenti e reiterate proroghe intervenute in materia, che in realtà
riguardano solo alcuni aspetti della nuova disciplina, la maggior parte delle disposizioni di cui al Testo
Unico si avviano a festeggiare il primo anno di vita. Si tratta di norme che riguardano da vicino le
imprese e gli studi professionali, anche quelli che operano nel settore dell'edilizia, l'adempimento delle
quali, che per altro si accompagna a un severo sistema di sanzioni, comporta l'adozione di una
serie di soluzioni organizzative finalizzate a una più corretta gestione dei dati personali.
La nozione di trattamento e le categorie di dati personali.
Con il termine trattamento, ai sensi dell'art. 4, comma 1, lett. a) del
Codice, si intende qualunque operazione o complesso di operazioni,
effettuate anche senza l'ausilio di strumenti informatici, concernenti
la raccolta, la registrazione, l'organizzazione, la conservazione, la
consultazione, l'elaborazione, la modificazione, la selezione,
l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco,
la comunicazione, la diffusione, la cancellazione e la distruzionedi
dati, anche se non registrate in un'apposita banca dati.
A parte la questione se il nutrito elenco di cui sopra sia da
considerarsi o meno tassativo, ovvero se il trattamento possa
consistere anche in altri tipi di attività, è evidente che il
legislatore ha inteso prendere in considerazione la maggior parte delle
operazioni che è possibile effettuare sui dati personali. E' molto
difficile, per non dire impossibile, che un soggetto possa utilizzare
delle informazioni relative a terzi senza per questo operarne un
trattamento giuridicamente rilevante.
Un altro concetto fondamentale per intendere a fondo il complesso
sistema di tutela dei dati personali è poi quello di "dato". A tale
proposito il codice distingue fra quattro categorie di dati:
"personali", "identificativi", "sensibili" e "giudiziari". Con il primo
termine si fa riferimento a qualunque informazione relativa a persone
fisiche o giuridiche, identificate o identificabili, anche
indirettamente, mediante riferimento a qualsiasi altro dato, ivi
compreso un numero di identificazione personale (art. 4, comma 1, lett.
b)).
Nella seconda categoria, invece, che si presenta come più ristretta,
rientrano i dati personali che permettono l'identificazione diretta
dell'interessato.
Fra i dati sensibili, in maniera ancora più specifica, sono compresi
i dati personali idonei a rivelare l'origine razziale ed etnica, le
convinzioni religiose, filosofiche o di altro genere, le opinioni
politiche, l'adesione a partiti, sindacati, associazioni od
organizzazioni a carattere religioso, filosofico, politico o sindacale,
nonché i dati personali idonei a rivelare lo stato di salute e la vita
sessuale di un individuo. Infine, nella quarta categoria, sono compresi
quei dati personali idonei a rivelare informazioni relative ai rapporti
di un soggetto con la giustizia e tali da rivelare l'adozione di
determinati provvedimenti nei suoi confronti da parte
dell'amministrazione giudiziaria (ad esempio, eventuali carichi
pendenti presso il casellario giudiziale, ecc.).
La suddivisione dei compiti: il titolare, il responsabile e gli incaricati del trattamento.
Ai sensi dell'art. 4 del dlgs n. 196/2003 è titolare del trattamento
la persona fisica o giuridica, pubblica o privata, cui competono, anche
unitamente ad altro titolare, le decisioni in ordine alle finalità,
alle modalità del trattamento di dati personali e agli strumenti
utilizzati, ivi compreso il profilo della sicurezza. Il titolare del
trattamento è tale proprio per il fatto di svolgere una serie di
attività sui dati personali di soggetti terzi. Nel caso di un'azienda,
in particolare, titolare del trattamento è la persona giuridica nel suo
complesso, e non la persona fisica che ne ha la rappresentanza. Il
titolare deve quindi procedere alla designazione degli incaricati del
trattamento e, ove se ne ravvisi la necessità, del responsabile, la
nomina del quale è soltanto eventuale.
La definizione normativa di responsabile del trattamento è fornita
dal comma 1, lett. g), dell'art. 4 del d.lgs. n. 196/2003: "la persona
fisica, la persona giuridica, la pubblica amministrazione e qualsiasi
altro ente, associazione od organismo preposti dal titolare al
trattamento di dati personali". Il responsabile ha il compito di
alleggerire il carico degli adempimenti gravanti sul titolare. E'
evidente, quindi, che la nomina del responsabile è consigliabile solo
nel caso di realtà organizzative aziendali o professionali di tipo
medio-grande, nelle quali, per il numero di addetti e/o di settori
produttivi e/o di filiali, sia necessario ripartire adempimenti e
responsabilità.
La nomina del responsabile può essere effettuata soltanto dal
titolare del trattamento e deve essere effettuata per iscritto, con
descrizione analitica dei compiti al medesimo attribuiti.
Questo perché l'attribuzione di determinate funzioni comporta anche
il trasferimento delle relative responsabilità. Il legislatore delegato
ha quindi inteso fare in modo che il titolare del trattamento sia
portato a individuare in modo espresso l'ambito delle rispettive
attribuzioni, per evitare situazioni poco chiare nel caso in cui sia
arrecato un danno agli interessati. La nomina del responsabile da parte
del titolare non spoglia quest'ultimo delle sue responsabilità.
Questi dovrà pur sempre vigilare sulla puntuale osservanza da parte
del responsabile delle istruzioni impartite, anche attraverso verifiche
periodiche, mantenendo una precisa responsabilità sia per culpa in
eligendo che per culpa in vigilando.
Gli incaricati del trattamento sono, invece, le persone fisiche
autorizzate a compiere operazioni di trattamento dei dati personali dal
titolare o dal responsabile. La designazione dell'incaricato viene
fatta dal titolare o, se nominato, dal responsabile. Essa è necessaria
per fare in modo che la conoscenza dei dati personali trattati dal
titolare da parte dei soggetti che lavorano alle sue dipendenze o
collaborano con questo possa essere considerata legittima.
Gli adempimenti previsti dal dlgs n. 196/2003
Una volta chiarita la distribuzione dei compiti all'interno dello
studio professionale e dell'azienda, un primo ed essenziale passo per
procedere agli adempimenti previsti dal Codice della privacy è quello
di individuare la tipologia dei dati trattati dal titolare, nonché
l'ambito e le finalità dei connessi trattamenti. Si tratta di un
obbligo di fondamentale importanza, perché da esso dipendono tutti gli
adempimenti successivi, ovvero:
a) la notificazione del trattamento (se sia necessario farla o meno e, in caso positivo, per quali tipologie di trattamento);
b) l'informativa agli interessati (bisognerà indicare la tipologia di dati trattati e le finalità del trattamento);
c) il consenso degli interessati (se sia necessario o meno);
d) la redazione della lettera di incarico del responsabile e degli
incaricati del trattamento (bisognerà indicare l'ambito dei trattamenti
consentiti a ciascuno di essi);
e) le misure minime di sicurezza;
f) gli altri adempimenti specifici previsti nella parte speciale del Codice.
La tipologia dei dati trattati dalle aziende e dagli studi professionali operanti nel settore dell'edilizia
Generalmente quanti operano nel settore dell'edilizia non trattano
categorie di dati sensibili, per i quali sono richiesti specifici e più
rigorosi adempimenti. Si tratta essenzialmente di dati personali (dati
anagrafici, dati contabili e amministrativi, ecc.) riguardanti:
a) i clienti;
b) i fornitori;
c) i dipendenti e i collaboratori;
d) la pubblica amministrazione;
e) l'autorità giudiziaria (sia in quest'ultimo che nel caso
precedente potrebbero però essere trattati anche dati c.d. giudiziari,
anch'essi tutelati con maggiore severità dal dlgs n. 196/2003).
Gli adempimenti di cui al dlgs n. 196/2003:
a) la notificazione
La notificazione del trattamento è una dichiarazione con la quale un
soggetto pubblico o privato rende nota al Garante l'esistenza di
un'attività di raccolta e utilizzazione dei dati personali di cui
all'art. 37 del d.lgs. n. 196/2003, svolta quale autonomo titolare del
trattamento medesimo. Essa rappresenta l'adempimento iniziale per il
legittimo utilizzo dei dati e, di conseguenza, deve essere effettuata
necessariamente prima dell'inizio del trattamento stesso.
L'art. 37 del Codice ha operato una vera e propria rivoluzione in
materia di notificazione del trattamento, con l'intento di semplificare
l'individuazione dei soggetti tenuti all'adempimento.
Mentre la vecchia legge n. 675/96, infatti, elencava espressamente i
casi di esonero, lasciando intendere che tutti i soggetti non indicati
fossero tenuti alla notifica, il d.lgs. n. 196/2003 ha capovolto il
criterio di identificazione dei destinatari dell'adempimento, elencando
la tipologia di dati personali il cui trattamento necessita della
preventiva notifica al Garante. Queste le tipologie di trattamento
individuate dal legislatore delegato:
a) dati genetici, biometrici o dati che indicano la posizione
geografica di persone od oggetti mediante una rete di comunicazione
elettronica;
b) dati idonei a rivelare lo stato di salute e la vita sessuale,
trattati a fini di procreazione assistita, prestazione di servizi
sanitari per via telematica relativi a banche di dati o alla fornitura
di beni, indagini epidemiologiche, rilevazione di malattie mentali,
infettive e diffusive, sieropositività, trapianto di organi e tessuti e
monitoraggio della spesa sanitaria;
c) dati idonei a rivelare la vita sessuale o la sfera psichica
trattati da associazioni, enti od organismi senza scopo di lucro, anche
non riconosciuti, a carattere politico, filosofico, religioso o
sindacale;
d) dati trattati con l'ausilio di strumenti elettronici volti a
definire il profilo o la personalità dell'interessato, o ad analizzare
abitudini o scelte di consumo, ovvero a monitorare l'utilizzo di
servizi di comunicazione elettronica con esclusione dei trattamenti
tecnicamente indispensabili per fornire i servizi medesimi agli utenti;
e) dati sensibili registrati in banche di dati a fini di selezione del personale per conto terzi,
nonché dati sensibili utilizzati per sondaggi di opinione, ricerche di mercato e altre ricerche campionarie;
f) dati registrati in apposite banche di dati gestite con strumenti
elettronici e relative al rischio sulla solvibilità economica, alla
situazione patrimoniale, al corretto adempimento di obbligazioni, a
comportamenti illeciti o fraudolenti.
Il principio che ispira la ripartizione in questione è quello
dell'occasionalità del trattamento. In altre parole, la notificazione
deve essere operata nei casi in cui il trattamento dei dati personali
indicati nell'art. 37 avvenga in modo sistematico, ossia faccia parte
integrante dell'attività svolta dal titolare. Si tratta di un principio
interpretativo della massima importanza, che permette di risolvere in
modo ragionevole la maggior parte dei casi dubbi che si possono porre
nella pratica. Volta per volta il titolare del trattamento dovrà quindi
domandarsi se il trattamento di alcuni dei dati personali di cui
all'art. 37 del Codice sia occasionale rispetto allo svolgimento della
propria attività, ovvero ne faccia parte integrante. In questo secondo
caso la notificazione sarà obbligatoria.
Salvo casi particolari, si può dunque escludere che gli operatori
del settore siano tenuti a effettuare la notificazione del trattamento
al Garante
b) L'informativa
L'informativa agli interessati, disciplinata dall'art. 13 del d.lgs.
n. 196/2003, è un atto con cui chi tratta i dati altrui identifica se
stesso e la propria attività, rendendo noti nel contempo agli
interessati le caratteristiche del trattamento e i diritti riconosciuti
loro dalla legge. È un adempimento che deve necessariamente precedere
il trattamento dei dati personali, in quanto rappresenta una condizione
essenziale per il conferimento di un consenso (informato) da parte
dell'interessato e per permettere allo stesso l'esercizio dei propri
diritti.
Tuttavia si tratta di un documento privo di particolari formalità e dal contenuto in gran parte predeterminato dalla legge.
Il mancato adempimento di questo obbligo da parte dei soggetti che
vi sono tenuti è punito autonomamente dal legislatore come illecito
amministrativo (art. 161 del Codice) con la sanzione del pagamento di
una somma da tremila a diciottomila euro e, nei casi di dati sensibili
o giudiziari o di trattamenti che presentano rischi specifici ai sensi
dell'articolo 17 del Codice o, comunque, di maggiore rilevanza del
pregiudizio per uno o più interessati, da cinquemila a trentamila euro.
La somma può inoltre essere aumentata sino al triplo quando risulti
inefficace in ragione delle condizioni economiche del contravventore.
L'informativa può essere data oralmente o per iscritto e deve essere
fornita all'interessato o alla persona presso la quale i dati sono
raccolti. Tuttavia, per evidenti ragioni di convenienza, è meglio
optare per la forma scritta, scegliendo, a seconda dei casi, le
modalità ritenute più opportune per portare il documento a conoscenza
dell'interessato.
L'informativa deve contenere:
- le finalità e le modalità del trattamento cui sono destinati i dati;
- la natura obbligatoria o facoltativa del conferimento dei dati;
- le conseguenze di un eventuale rifiuto di rispondere;
- i soggetti o le categorie di soggetti ai quali i dati personali
possono essere comunicati o che possono venirne a conoscenza in qualità
di responsabili o incaricati, e l'ambito di diffusione dei dati
medesimi;
- i diritti dell'interessato di cui all'art. 7 del Codice;
- gli estremi identificativi del titolare e, se designati, del suo
rappresentante nel territorio dello stato, nonché del responsabile.
Dalle decisioni adottate in questi anni dal Garante della privacy in
materia di informativa si possono trarre una serie di interessanti
considerazioni. Innanzitutto l'Authority ha sempre avuto modo di
sottolineare come l'informativa debba essere redatta in modo semplice e
chiaro, in modo da poter essere compresa facilmente dal destinatario.
In caso contrario, a meno che possa essere imputata proprio a
quest'ultimo la colpa della mancata comprensione del documento,
l'informativa non potrà raggiungere la finalità che la
contraddistingue, ossia quella di fornire all'interessato le
informazioni necessarie all'espressione di un consenso informato, e, di
conseguenza, non avrà valore.
E' altresì importante sottolineare che l'informativa è comunque
dovuta anche quando sia prevista dalla legge un'ipotesi di esonero
dall'acquisizione del consenso. Fermo restando che quest'ultima può
essere resa all'interessato anche in forma orale, il Garante ha
specificato che il documento che la contiene deve essere facilmente
disponibile da parte dell'interessato.
c) Il consenso dell'interessato
L'art. 23 del dlgs n. 196/2003 stabilisce che il trattamento di dati
personali da parte di privati ed enti pubblici economici è ammesso solo
con il consenso espresso dell'interessato (per i trattamenti effettuati
dalla pubblica amministrazione, invece, la fonte legittimante è
direttamente la legge). Il consenso dell'interessato, per essere
valido, deve essere espresso, libero, informato e consapevole,
specifico; può riguardare l'intero trattamento ovvero una o più
operazioni dello stesso; deve essere documentato per iscritto, ovvero
deve risultare da un atto scritto, materialmente redatto dal
responsabile o dall'incaricato del trattamento, che l'interessato ha
espresso il proprio consenso (verbale) riguardo a un certo trattamento
dopo essere stato adeguatamente informato al riguardo; deve essere
manifestato in forma scritta quando il trattamento riguarda dati
sensibili.
L'art. 24 del Codice individua tuttavia una serie di casi nei quali
il trattamento può essere effettuato anche senza il consenso
dell'interessato, purché non siano coinvolti dati sensibili.
Per quanto riguarda gli operatori del settore è opportuno segnalare
che il consenso non è richiesto: qualora sia necessario per adempiere a
un obbligo previsto dalla legge, da un regolamento o dalla normativa
comunitaria; qualora sia necessario per eseguire obblighi derivanti da
un contratto del quale è parte l'interessato o per adempiere, prima
della conclusione del contratto, a specifiche richieste
dell'interessato; qualora riguarda dati provenienti da pubblici
registri, elenchi, atti o documenti conoscibili da chiunque, fermi
restando i limiti e le modalità che le leggi, i regolamenti o la
normativa comunitaria stabiliscono per la conoscibilità e pubblicità
dei dati.
d) la designazione del responsabile e degli incaricati
L'impresa, come anticipato, deve procedere ad autorizzare alle
operazioni di trattamento dei dati tutti quei soggetti che, come
dipendenti, collaboratori o consulenti esterni, partecipano alla sua
attività e che, di conseguenza, possono trovarsi a conoscere o gestire
dati personali riguardanti i clienti o i fornitori della stessa.
La nomina del responsabile (eventuale), così come quella
(obbligatoria) degli incaricati del trattamento, deve avvenire
necessariamente per iscritto, con specifica menzione degli ambiti del
trattamento consentiti e dei compiti affidati a ciascuno di essi. Il
responsabile del trattamento, a sua volta, provvederà
all'individuazione degli incaricati, e fornirà agli stessi le direttive
da seguire nello svolgimento delle proprie operazioni. Gli incaricati
dovranno attenersi alle norme del d.lgs. n. 196/2003 e alle istruzioni
e direttive che saranno loro impartite volta per volta dal titolare e/o
dal responsabile del trattamento. In particolare dovranno prestare
attenzione a:
- trattare i dati personali dei quali vengono a conoscenza durante
l'espletamento delle proprie funzioni in modo lecito e secondo
correttezza, in modo da garantire la massima riservatezza delle
informazioni trattate;
- effettuare il trattamento dei dati personali esclusivamente per le finalità connesse all'espletamento delle proprie funzioni;
- ove possibile, verificare l'esattezza dei dati personali trattati e curarne l'aggiornamento;
- verificare che i dati trattati siano pertinenti, completi e non
eccedenti le finalità per le quali sono stati raccolti e
successivamente trattati;
- aggiornare periodicamente, secondo le indicazioni del responsabile del trattamento, le banche dati alle quali hanno accesso;
- evitare di asportare dalla banca dati, su supporto cartaceo o
elettronico, informazioni ivi contenute, se non per scopi strettamente
connessi all'espletamento delle proprie funzioni e, comunque, sulla
base di un'autorizzazione concessa dal titolare o dal responsabile del
trattamento;
- in caso di allontanamento dal posto di lavoro, adottare le
precauzioni necessarie, secondo le indicazioni fornite dal responsabile
del procedimento, per evitare l'accesso ai dati personali da parte di
terzi, ivi compresi altri incaricati del trattamento, se non
specificamente autorizzati;
- per l'accesso alle banche dati della società, utilizzare gli
appositi strumenti di identificazione forniti dal responsabile
(password e codice identificativo personale), avendo cura di mantenere
gli stessi segreti e di non comunicarli ad alcuno, neanche ad altri
incaricati del trattamento, se non specificamente autorizzati;
- non diffondere né comunicare a terzi, in qualsiasi modo, informazioni contenute nelle banche dati della società.
Tuttavia, in caso di imprese con un numero elevato di dipendenti e/o
collaboratori, si potrà anche evitare di preparare singole lettere di
designazione per ciascuno degli incaricati del trattamento. Infatti,
come suggerito anche dalla Assonime (Associazione fra le società
italiane per azioni) in una propria circolare (n. 40 del 7 settembre
2004), le nomine di incarico possono essere semplificate e riguardare
gli uffici, e non i singoli dipendenti. In questi casi, infatti, come
ammesso dal comma 2 dell'art. 30 del d.lgs. n. 196/2003, non c'è
necessità di atti individuali, perché è sufficiente l'inserimento del
dipendente nell'organigramma aziendale o anche dell'ente pubblico, a
condizione che siano individuati gli ambiti di trattamento per ciascun
ufficio. In questo caso basterà preparare una lettera di incarico
singola per ciascun ufficio o settore.
Particolare cura dovrà essere posta dal responsabile
nell'individuazione delle modalità di accesso degli incaricati agli
archivi informatici. Infatti, ai sensi della regola n. 1 del
Disciplinare Tecnico allegato al d.lgs. n. 196/2003, il trattamento di
dati personali con strumenti elettronici è consentito agli incaricati
dotati di credenziali di autenticazione che permettano il superamento
di una procedura di autenticazione relativa a uno specifico trattamento
o a un insieme di trattamenti.
Le credenziali di autenticazione consistono in un codice per
l'identificazione dell'incaricato associato a una parola chiave
riservata conosciuta solamente dal medesimo oppure in un dispositivo di
autenticazione in possesso e uso esclusivo dell'incaricato,
eventualmente associato a un codice identificativo o a una parola
chiave, oppure in una caratteristica biometrica dell'incaricato,
eventualmente associata a un codice identificativo o a una parola
chiave.
A ogni incaricato sono assegnate o associate individualmente una o
più credenziali per l'autenticazione. Nello stesso tempo il
responsabile del servizio deve fare in modo di comunicare agli
incaricati le istruzioni necessarie al fine di adottare le cautele
finalizzate ad assicurare la segretezza della componente riservata
della credenziale e la diligente custodia dei dispositivi in possesso
degli incaricati.
In particolare, gli incaricati sono tenuti a non lasciare
incustodito e accessibile lo strumento elettronico durante una sessione
di trattamento, così come devono fare attenzione a non lasciare in giro
la propria password scritta su un pezzo di carta. Parimenti essenziale
è che ciascun incaricato non comunichi ad alcun collega la propria
password.
Eventuali esigenze legate alla sostituzione di un incaricato
assente, ad esempio per malattia, dovranno essere preventivamente
risolte dal responsabile, con la previsione di apposite modalità
operative, che non potranno consistere nel semplice utilizzo della
password dell'incaricato assente da parte del collega che lo
sostituisce.
La parola chiave, quando è prevista dal sistema di autenticazione,
deve essere composta da almeno otto caratteri oppure, nel caso in cui
lo strumento elettronico non lo permetta, da un numero di caratteri
pari al massimo consentito. La stessa, inoltre, non deve contenere
riferimenti che possano essere agevolmente riconducibili all'incaricato
e deve essere modificata da quest'ultimo al primo utilizzo e,
successivamente, almeno ogni sei mesi. In caso di trattamento di dati
sensibili e di dati giudiziari la parola chiave deve invece essere
modificata almeno ogni tre mesi. Il codice per l'identificazione,
laddove sia già stato utilizzato, non può essere assegnato ad altri
incaricati, neppure in tempi diversi.
Le credenziali di autenticazione non utilizzate da almeno sei mesi
devono essere disattivate, salvo quelle preventivamente autorizzate per
soli scopi di gestione tecnica. Le stesse vanno disattivate anche in
caso di perdita della qualità che consente all'incaricato l'accesso ai
dati personali (ad esempio in caso di cambiamento delle mansioni o di
dimissioni o licenziamento). Qualora per gli incaricati siano
individuati profili di autorizzazione di ambito diverso, nel senso che
ognuno di essi o determinate categorie di essi possa accedere soltanto
ad alcune tipologie di trattamento, dovrà essere utilizzato un sistema
di autorizzazione. In questo caso i profili di autorizzazione, per
ciascun incaricato o per classi omogenee di incaricati, dovranno essere
individuati e configurati anteriormente all'inizio del trattamento, in
modo da limitare l'accesso ai soli dati necessari per effettuare le
operazioni di trattamento.
Inoltre, con cadenza periodica, e comunque almeno annualmente, dovrà
essere verificata la sussistenza delle condizioni per la conservazione
dei profili di autorizzazione degli incaricati.
Qualora il trattamento riguardi dati sensibili o giudiziari, gli
stessi dovranno essere protetti contro l'accesso abusivo, come previsto
altresì dall'art. 615 ter del codice penale, mediante l'utilizzo di
idonei strumenti elettronici.
Il responsabile dovrà avere cura di impartire agli incaricati idonee
istruzioni organizzative e tecniche per la custodia e l'uso dei
supporti rimovibili su cui vengano memorizzati i dati, al fine di
evitare accessi non autorizzati e trattamenti non consentiti. In
particolare, i supporti rimovibili contenenti dati sensibili o
giudiziari, se non utilizzati, devono essere distrutti o resi
inutilizzabili, ovvero essere riutilizzati da altri incaricati, non
autorizzati al trattamento degli stessi dati, a condizione che le
informazioni precedentemente in essi contenute non siano più
intelligibili e tecnicamente in alcun modo ricostruibili.
Nel caso di trattamenti di dati realizzati senza l'ausilio di
strumenti elettronici, agli incaricati dovranno essere impartite
istruzioni scritte finalizzate al controllo e alla custodia, per
l'intero ciclo necessario allo svolgimento delle operazioni di
trattamento, degli atti e dei documenti contenenti dati personali.
Nell'ambito dell'aggiornamento periodico con cadenza almeno annuale
dell'individuazione dell'ambito del trattamento consentito ai singoli
incaricati, la lista degli incaricati potrà essere redatta anche per
classi omogenee di incarico.
Nei casi in cui gli atti e i documenti contenenti dati personali
sensibili o giudiziari vengano affidati agli incaricati del trattamento
per lo svolgimento dei relativi compiti, i medesimi atti e documenti
dovranno essere controllati e custoditi dagli stessi fino alla
restituzione in maniera che a essi non accedano persone prive di
autorizzazione, e dovranno essere immediatamente restituiti al termine
delle operazioni.
e) L'adozione delle misure di sicurezza
La sicurezza dei dati personali conservati dal titolare del
trattamento rappresenta un altro aspetto fondamentale che l'impresa
deve tenere in considerazione. Quest'ultima, soprattutto in caso di
trattamenti effettuati con strumenti elettronici, deve infatti
garantire la sicurezza delle informazioni acquisite, adeguando i propri
archivi e i propri elaboratori elettronici a misure si sicurezza che
impediscano la perdita accidentale e/o l'accesso abusivo alle stesse.
Il legislatore delegato ha adottato un doppio regime in materia di
sicurezza del trattamento dei dati personali, prevedendo, nell'ambito
dei più generali obblighi di sicurezza di cui all'art. 31 del Codice,
una serie di misure "minime" di sicurezza, elencate nei successivi
articoli 34 e 35, finalizzate ad assicurare un primo livello di
protezione ai dati personali.
Tra queste devono essere sottolineati l'obbligo di introdurre un
sistema di autenticazione informatica che consenta l'individuazione
degli incaricati del trattamento al momento dell'accesso agli archivi
informatici, nonché quello di adottare apposite procedure per il
ripristino della disponibilità dei dati e dei sistemi (c.d. disaster
recovery) e di custodire adeguatamente le copie di sicurezza.
Da segnalare, poi, l'importante ruolo svolto in materia dal c.d.
Documento Programmatico della Sicurezza (Dps) che, pur essendo
obbligatorio, a rischio di sanzione penale, soltanto nel caso di
trattamento di dati sensibili e/o giudiziari, conviene comunque stilare
in ogni caso (come eventuale prova da utilizzare nel corso di un
giudizio sulla responsabilità civile dell'impresa, che è stata valutata
con particolare severità dal legislatore delegato).
Il Dps è finalizzato a descrivere l'organizzazione dell'azienda o
dello studio professionale dal punto di vista dei possibili rischi ai
quali possono andare incontro i dati raccolti dagli stessi (sia legati
a calamità naturali che a comportamenti dannosi, volontari o meno,
dell'uomo), nonché delle misure di sicurezza adottate per fronteggiare
i medesimi.
Una volta redatto, sotto la responsabilità del titolare del
trattamento, detto documento rappresenta dunque lo specchio
dell'organizzazione dell'azienda/studio professionale e consente di
avere un quadro aggiornato dei potenziali rischi ai quali sono esposti
i trattamenti di dati personali effettuati dalla stessa, con
indicazione delle misure di sicurezza adottate e/o da adottare.
Il Dps, che deve essere adottato improrogabilmente entro il 30
giugno 2005, dovrà essere conservato presso la sede dell'impresa
titolare del trattamento e andrà quindi aggiornato annualmente, entro
il 31 marzo di ogni anno, facendone menzione nella relazione di
accompagnamento del bilancio di esercizio dell'azienda. Per la
redazione del Dps l'Autorità Garante della privacy ha adottato uno
schema tipo che può servire da guida per la sua compilazione
(scaricabile on-line sul sito istituzionale).
f) L'affidamento all'esterno di trattamenti di dati personali
Altra importante questione è poi quella del rapporto tra l'impresa e
gli eventuali soggetti esterni ai quali si sia deciso di esternalizzare
(c.d. affidamento in outsourcing) un settore della propria attività che
implichi un trattamento di dati personali. A questo proposito il
Garante ha chiarito che il rapporto con il soggetto esterno non
presuppone necessariamente la stipulazione di un accordo contrattuale
specifico, essendo sufficiente anche un semplice scambio di
corrispondenza.
Anche nel Dps andrà indicato il soggetto esterno e cioè la società,
l'ente o il consulente cui è stata affidata l'attività di trattamento,
nonché il ruolo ricoperto da quest'ultimo agli effetti della disciplina
sulla protezione dei dati personali (titolare o responsabile del
trattamento).
Tale indicazione è di per sé significativa, in quanto la società, il
consulente o l'ente esterno non sempre sono responsabili del
trattamento, ma potrebbero anche essere dei (con)titolari autonomi.
Questo dipenderà, come già accennato, dalla ripartizione dei poteri che
sia stata effettuata in concreto tra le parti. Il soggetto esterno sarà
responsabile del trattamento quando il committente (titolare) abbia
deciso di mantenere un potere decisionale sul trattamento, di modo che
il soggetto esterno dovrà conformarsi alle decisioni di quest'ultimo e
non potrà decidere autonomamente le finalità e le modalità del
trattamento medesimo.
Le parti, una volta individuato il rapporto contrattuale sulla base
del quale si svolge il trattamento dei dati affidato all'esterno,
nonché gli aspetti tecnici e organizzativi relativi allo stesso,
dovranno quindi avere cura di descrivere sommariamente il contenuto
dell'attività esternalizzata, la tipologia di dati interessati dal
trattamento (ad esempio se di tipo sensibile e/o giudiziario), le
generalità e la forma giuridica nella quale è organizzato il soggetto
esterno (privato, società, ecc.), il ruolo ricoperto da quest'ultimo
nell'ambito del trattamento dei dati (titolare o responsabile).
Nel medesimo documento le parti dovranno poi avere cura di indicare
i criteri in base ai quali dovrà essere effettuato il trattamento dei
dati personali affidato all'esterno, impegnandosi a trattare gli stessi
esclusivamente ai fini dell'espletamento dell'incarico ricevuto,
nell'adempimento degli obblighi di cui al d.lgs. n. 196/2003 e nel
rispetto delle direttive ricevute dal titolare del trattamento, nonché
a relazionare periodicamente a quest'ultimo sulle misure di sicurezza
adottate, informandolo di eventuali situazioni anomale o di emergenza.
(fonte SANPAOLOIMPRESE.COM - GIANFRANCO DI RAGO.)
|