SpoonDesign opera da molti anni nella consulenza in materia di trattamento dei dati personali ed è a disposizione per un'attenta analisi e valutazione delle varie realtà dei singoli clienti così da poter consigliare i necessari interventi tecnici e collaborare nella stesura della documentazione prevista ad oggi dalla normativa vigente. Per fornire un quadro d'insieme relativo al trattamento dati ecco alcune utili informazioni.

 

A partire dal 1 gennaio 2004 è entrato in vigore in Italia il codice in materia di protezione dei dati personali (d.lgs 196/03), la così detta "Legge sulla Privacy". Sull'applicazione della normativa vigila l'Autorità Garante per la protezione dei dati personali, istituita sin dalla Legge 675/96, poi confermata anche dal Testo Unico del 2003. La normativa prevede una serie di adempimenti che possono essere suddivisi in due grandi categorie:

  • misure di sicurezza
  • misure normative

Nella prima vi rientrano gli obblighi connessi alla reale protezione della riservatezza, integrità e disponibilità dei dati; nella seconda vi rientrano gli obblighi connessi a specifiche previsioni normative, che non necessariamente riguardano la sicurezza dei dati. Tra le misure normative rientrano ad esempio:

  • rilascio informative agli interessati
  • acquisizione e gestione del consenso
  • designazione degli incaricati/responsabili
  • adozione dei provvedimenti del Garante
  • notificazione al Garante, ove prevista
  • richiesta di autorizzazione al Garante, ove necessaria e non già diversamente contemplata

Il codice prevede però che si adottino le misure minime (obbligatorie e contestabili da pubblici ufficiali), lasciando comunque la facoltà di adeguare il proprio impianto per la sicurezza dei dati con l'adozione di altre opportune ed idonee misure (di adozione volontaria e contestabili in sede giudiziaria). In genere le misure di sicurezza sono soggette ad aggiornamenti periodici con cadenza predeterminata che al massimo è pari a un anno: questi sono gli adempimenti periodici annuali che non sono mai stati abrogati e che, se presi alla leggera, possono costituire un reale pericolo di sanzione nei confronti di chi non vi adempie. Il Codice – a differenza della Legge 675/96 – distingue le misure di sicurezza in relazione ai

  • trattamenti senza strumenti elettronici
  • trattamenti con strumenti elettronici

Le modalità tecniche di attuazione delle misure minime di sicurezza sono previste nel Disciplinare Tecnico (allegato B) del Codice che individua ulteriori misure minime per il trattamento di dati sensibili e giudiziari. Per poter far fronte agli obblighi sopra descritti e attestare il rispetto della propria realtà lavorativa alle norme, è nato quindi il DPS, Documento Programmatico sulla Sicurezza, su cui poi è intervenuto il decreto legge 201/11 convertito con modificazioni dalla legge 204/11.

Il DPS è un manuale che contiene l'analisi dei rischi e la pianificazione della sicurezza dei dati in azienda: descrive come si tutelano i dati personali degli interessati che sono conservati e trattati in azienda. Il Garante ha individuato una figura di responsabile per il trattamento dei dati più una serie di punti per i quali l'azienda deve adottare tutte le misure necessarie per l'espletamento della legge. Lo scopo del DPS è proprio quello di descrivere la situazione aziendale con riferimento ai punti stabiliti dal garante sopra citati. La complessità ed il tempo di stesura del DPS variano a secondo della dimensione dell'azienda e dalla mole e tipologia dei dati (comuni, sensibili e/o giudiziari) da processare.

La legge 204/11 ha ridimensionato i campi di applicazione del DPS ma non ha in alcun modo eliminato le norme e gli obblighi relativi al rispetto dei requisiti di sicurezza; il Titolare dei dati è tenuto a norma di codice (Artt. 31 e 33) ad adottare sempre e comunque le "misure minime" di sicurezza (sia per i dati comuni che per i dati sensibili e/o giudiziari) richieste dal Codice PRIVACY affinché venga tutelata la riservatezza e la sicurezza dei dati personali contenuti negli archivi, siano questi archiviati elettronicamente o in qualunque altro modo, incluso il cartaceo. 

L'omissione di queste misure comporta per il Titolare dei Dati delle pesanti sanzioni economiche oltre che una responsabilità penale a norma dell'art. 169 del codice Privacy. Ricordiamo che le verifiche in materia sono operate dalla Guardia di Finanza, dalla Polizia postale e delle telecomunicazioni, dall'Agenzia delle Entrate o dagli ispettori del Garante.

Una recente interpretazione dell'Ufficio del Garante indica che sono obbligate alla stesura del DPS quelle entità che fanno un trattamento di dati sensibili mediante strumenti elettronici (in questa categoria ricade anche la gestione del personale). Anche in assenza di un DPS devono comunque essere identificati e nominati per iscritto gli Incaricati del Trattamento dati ed eventuali Responsabili dei dati interni o esterni all'azienda e si deve redigere un documento (se non lo si vuole chiamare DPS lo si può definire Regolamento per la protezione dei dati):

  • atto ad attestare di aver adempiuto coerentemente all'adozione delle misure di cui all'art. 34 ed all'Allegato B
  • da esibire in caso di controlli, ispezioni e contestazioni
  • valido come modello documentale per la limitazione della responsabilità amministrativa delle persone giuridiche e degli enti (D.Lgs. 231/01) limitatamente agli illeciti informatici e al trattamento illecito di dati
  • che in qualche modo dovrà richiamare nella logica e nella struttura il DPS

PHP - MySQL - Apache HTTP Server - HTML 5 - CSS 3 - JS - W3C - AJAX - jQuery