Privacy

Marzo: è tempo di verifiche per la privacy.

Con l'avvicinarsi della scadenza del 31 marzo 2010, entro la quale è necessario procedere alla revisione annuale del Documento Programmatico sulla Sicurezza (DPS), si ritiene opportuno ricordare brevemente a tutti i titolari del trattamento di dati personali le principali regole e scadenze stabilite dal D. Lgs. 30 giugno 2003, n. 196 - Codice in materia di protezione dei dati personali.

I principi generali del "Codice della privacy"

Ogni titolare del trattamento di dati personali deve:
• trattare i dati personali secondo i principi indicati dal D.Lgs. n. 196/03;
• controllare la pertinenza e non eccedenza dei dati trattati rispetto alle finalità della loro raccolta (art.11);
• controllare l'esattezza dei dati trattati ed eventualmente, se necessario, provvedere al loro aggiornamento (art.11);
• conservare i dati in una forma che consenta l'identificazione dell'interessato per un periodo non superiore a quello necessario agli scopi della loro raccolta (art.11). Superato tale termine, deve provvedere alla cancellazione del dato, o alla sua trasformazione in forma anonima;
• individuare le cd. "figure privacy", vale a dire: il titolare, gli incaricati, i responsabili interni ed esterni (ricordando che il "responsabile" è una figura facoltativa), l'amministratore di sistema, il preposto alla custodia delle parole-chiave e gli incaricati della custodia degli archivi ad accesso controllato;
• nominare le predette "figure privacy", per iscritto e fornire loro le relative istruzioni per il trattamento de dati. Solo la figura del titolare del trattamento non ha bisogno di alcuna nomina, essendo egli, per espressa previsione di legge, "la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza" (art. 4, comma 1, lettera f).
• fornire ai soggetti interessati l'informativa prevista dall'art. 13;
• acquisire il consenso dell'interessato per il trattamento dei suoi dati comuni, ove richiesto (artt. 23 e 24);
• acquisire il consenso scritto dell'interessato per il trattamento dei suoi dati sensibili (art. 26);
• rispettare le autorizzazioni generali emanate dal Garante per il trattamento dei dati sensibili, che vengono rinnovate periodicamente (le ultime autorizzazioni sono state pubblicate sulla G.U. n. 13 del 18 gennaio 2010);
• in caso di richiesta di esercizio dei diritti riconosciuti all'interessato dall'art. 7 (accesso, cancellazione, rettifica, aggiornamento dei dati, ecc.) adoperarsi per rispondere tempestivamente. In caso di mancata o insufficiente risposta del titolare del trattamento entro 15 giorni dal ricevimento della richiesta, l'interessato potrà rivolgersi al Garante per ottenere soddisfazione dei propri diritti (artt. 145 e segg.);
• applicare almeno tutte le misure "minime" di sicurezza previste dal D.Lgs. n. 196/03 [artt. 34 e 35 e Disciplinare Tecnico, allegato B)];
• applicare le eventuali misure di sicurezza "idonee" (che sono facoltative e superiori a quelle "minime" obbligatorie) che ritenesse necessarie nel caso specifico (art. 31);
• applicare quanto previsto dal Provvedimento generale del Garante per la privacy del 27.11.2008 per la figura dell'amministratore del sistema informatico (nuove misure di sicurezza particolari).

Come è noto entro il 31 marzo enti, professionisti e aziende, che non si trovino nelle condizioni previste dalla legge per l'adozione di misure semplificate, dovranno aggiornare il Documento Programmatico sulla Sicurezza.

Difatti, l'art. 34 del Codice per la protezione dei dati personali prevede tra le misure minime l'adozione del c.d. Documento Programmatico sulla Sicurezza (DPS). Mentre l'art. 29, comma 1, D.L. 25 giugno 2008, n. 112, come modificato dalla relativa legge di conversione ha introdotto il comma 1-bis dell'art. 34 del Codice della protezione dei dati personali il quale prevede che per i soggetti che trattano soltanto dati personali non sensibili e che trattano come unici dati sensibili quelli costituiti dallo stato di salute o malattia dei propri dipendenti e collaboratori anche a progetto, senza indicazione della relativa diagnosi, ovvero dall'adesione ad organizzazioni sindacali o a carattere sindacale, la tenuta di un aggiornato documento programmatico sulla sicurezza è sostituita dall'obbligo di autocertificazione, resa dal titolare del trattamento ai sensi dell'articolo 47 del testo unico di cui al decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, di trattare soltanto tali dati in osservanza delle altre misure di sicurezza prescritte. In relazione a tali trattamenti, nonché a trattamenti comunque effettuati per correnti finalità amministrative e contabili, in particolare presso piccole e medie imprese, liberi professionisti e artigiani, il Garante, sentito il Ministro per la semplificazione normativa, ha emanato il 27 novembre 2008 un proprio provvedimento, che prevede modalità semplificate di applicazione del disciplinare tecnico di cui all'Allegato B) in ordine all'adozione delle misure minime di cui al comma 1 dell'art. 34 del Codice.

Nonostante i provvedimenti di semplificazione dell'Autorità Garante, si ritiene sempre consigliabile la stesura di un DPS anche in caso di trattamento di dati comuni con strumenti elettronici. Detta stesura risponde infatti a quei criteri di misure idonee (non minime) che mettono al riparo il titolare dalle responsabilità civili ex art. 2050 c.c., e - comunque - risponde all'osservanza di criteri di buona organizzazione aziendale.

Il DPS ha il compito specifico di indurre a fare, almeno una volta all'anno, il punto sul sistema di sicurezza adottato e da adottare nell'ambito della propria attività; tale documento ha una funzione meramente descrittiva, eppure per la sua violazione il Codice prevede sanzioni estremamente severe, che vanno dall'arresto fino a due anni (e conseguente inevitabile sanzione disciplinare prevista dal Codice deontologico) al possibile pagamento di somme da 20.000 a 120.000 euro (rispettivamente art. 169 ed art. 162 co. 2-bis del Codice).
Anche chi intenda, quindi, ricorrere alle misure semplificate (autocertificazione) dovrà fare attenzione a valutare attentamente di trovarsi nelle condizioni previste dalla legge. In caso contrario, abbiamo visto, che le sanzioni sono davvero pesanti oltre alle responsabilità penali connesse a dichiarazioni mendaci.

Altri aspetti che, a nostro avviso, devono essere sempre tenuti sotto controllo da parte dei titolari dei trattamenti, per garantire il pieno rispetto del Codice della privacy, aspetti da verificare costantemente, tenuto conto che il legislatore non indica un periodo minimo di revisione, ma punisce le dichiarazioni eventualmente difformi dalla realtà Tali aspetti riguardano essenzialmente: l'informativa sul trattamento, il consenso al trattamento e le qualità dei dati trattati.

1) Informativa

E' necessario fornire un'informativa completa ai sensi dell'art. 13 del Codice a tutti i nuovi clienti o fornitori e al nuovo personale nominato "incaricato" del trattamento dei dati (a prescindere dal tipo di rapporto contrattuale od extracontrattuale che lo lega al titolare).

In pratica, si devono fornire nuove informative, o comunicare i mutamenti intervenuti, a tutti i clienti, fornitori e dipendenti tutte le volte in cui cambi uno degli elementi indicati dall'art. 13, vale a dire:
a. le finalità e le modalità del trattamento cui sono destinati i dati;
b. la natura obbligatoria o facoltativa del conferimento dei dati;
c. le conseguenze di un eventuale rifiuto di rispondere;
d. i soggetti o le categorie di soggetti ai quali i dati possono essere comunicati o che possono venirne a conoscenza in qualità di incaricati del trattamento e l'ambito di diffusione dei dati medesimi;
e. il nome, la denominazione o la ragione sociale e il domicilio, la residenza o la sede del titolare.

Nella nuova informativa possono essere omessi gli elementi già noti agli interessati, cioè quelli contenuti nell'informativa fornita in precedenza.
Non c'è l'obbligo di modificare l'informativa se cambiano i responsabili del trattamento, purchè siano stati indicati nell'informativa precedente solo in base alla qualifica rivestita(non nominativamente). Nell'informativa si può anche indicare solo il luogo dove è conservato l'elenco completo dei responsabili del trattamento, ovvero il modo per accedervi (ad es. nel sito Internet del titolare). E' comunque necessario indicare nome e dati di almeno un responsabile, se è nominato.

2) Consenso

In generale è necessario procedere alla verifica dell'esistenza del consenso ogniqualvolta il trattamento dei dati personali sia fatto per scopi diversi da quelli per i quali il consenso era stato inizialmente prestato e tutte le volte in cui i dati debbano essere comunicati a soggetti terzi, o diffusi a un numero di persone indeterminato.

In ogni caso il titolare deve verificare se il trattamento dei dati effettuato rientra in uno dei casi di esclusione del consenso previsti dagli artt. 24 e 26 del Codice, rispettivamente per i dati comuni e per quelli sensibili.

3) Qualità dei dati trattati

Il titolare del trattamento deve verificare che il trattamento dei dati personali avvenga sempre nel rispetto dei principi dettati dall'art. 11 del Codice, pena il risarcimento dei danni eventualmente provocati a seguito di un trattamento dei dati difforme.
Perciò, il titolare deve verificare costantemente che i dati personali siano:
a. trattati in modo lecito e secondo correttezza;
b. raccolti e registrati per scopi determinati, espliciti e legittimi, ed utilizzati in altre operazioni del trattamento in termini non incompatibili con tali scopi;
c. esatti e, se necessario, aggiornati;
d. pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono raccolti o successivamente trattati;
e. conservati in una forma che consenta l'identificazione dell'interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati.

Sarà opportuno apporre data certa al nuovo Documento per poter certificare di averlo redatto o revisionato entro i termini.

Sebbene il D.Lgs. 196/2003 non preveda nello specifico l'obbligo di dare data certa al DPS, è necessario riuscire a dimostrare, in caso di contestazione, che tale documento è stato redatto o aggiornato entro il termine ultimo.

Le norme civilistiche prevedono, all'art. 2704, che "la data della scrittura privata della quale non è autenticata la sottoscrizione non è certa" fino al "giorno in cui non si verifichi un fatto che stabilisca in modo egualmente certo l'anteriorità della formazione del documento". Tutto ciò premesso, la situazione è risolta con l'apposizione della "data certa" sul documento. Tra i mezzi idonei ad assegnare la data certa ricordiamo:

il ricorso alla cosiddetta "autoprestazione", presso gli uffici postali con apposizione del timbro direttamente sul documento, anzichè sull'involucro che lo contiene;

l'adozione, per le amministrazioni pubbliche, di una delibera di cui sia certa la data in base alla concreta disciplina della formazione, numerazione e pubblicazione dell'atto;

l'apposizione della cosiddetta "marca temporale" sui documenti informatici;

l'apposizione di autentica, deposito del documento o vidimazione di un verbale presso un notaio;

la registrazione o produzione del documento presso un ufficio pubblico.

Per quanto riguarda gli altri documenti obbligatori previsti dal Codice, essi non hanno un termine previsto per legge: ad esempio l'informativa deve essere rivista solo se varia uno degli elementi fondamentali inseriti. Per le nomine dei responsabili e degli incaricati è obbligatoria la modifica se cambiano i compiti o i trattamenti previsti nella nomina.

Pertanto non tutti i documenti andranno rivisti entro il 31 di marzo ma solo il Documento Programmatico sulla Sicurezza.

Lo Studio Ciscato fornirà a richiesta ulteriori chiarimenti e/o valutazione in materia.