Privacy: cos'è e come funziona

Privacy: cos'è e come funziona
Adeguamento Compliance

D.Lgs. 196/03

Cosa è la normativa sulla Privacy?

È il complesso di norme con cui il legislatore italiano sancisce l’importanza della tutela e della protezione di tutte le informazioni riguardanti le persone giuridiche e fisiche, definendo tutto ciò che occorre fare quando si trattano dati ad esse collegati, coinvolgendo in questa responsabilità tutte le figure che si occupano del loro trattamento. La normativa attuale comprende:

2003: D.lgs. 196/03 che accorpa la normativa, tutt’ora in vigore. Le misure minime di sicurezza sono previste dall’Allegato B. Esistono numerosi provvedimenti ancillari alla normativa che prevedono misure di sicurezza obbligatorie per una serie di trattamenti ed interi settori di mercato.

2018: Regolamento UE. Impostazione “sistemica”. Il tema della sicurezza passa da una logica di “minimo” ad una logica di “adeguato” in base ai rischi corsi (e nei casi previsti dalla valutazione d’impatto). In base ad essa, ogni azienda o pubblica amministrazione dovrà fare un’analisi interna e decidere come posizionarsi. Diverrà definitivamente vincolante a maggio 2018.

Quale è il suo obiettivo?

La funzione dell’impianto della normativa sulla Privacy è quella di rispondere all’esigenza, così come sancita all’art. 1 del D.lgs. 196/03, derivante dal fatto che chiunque ha diritto alla protezione dei dati personali che lo riguardano. Tale esigenza si è fatta sempre più stringente in particolare nell’ultimo quinquennio alla luce delle nuove tecnologie informatiche che si sono diffuse a macchia d’olio andando a coprire i più svariati aspetti della nostra vita privata, sociale e lavorativa. Attraverso tali strumenti ed apparecchiature, la mole di dati che ci riguardano, anche come impresa e che viene raccolta pressoché quotidianamente deve essere trattata in modo che non venga leso il diritto alla riservatezza, né che certi dati ed informazioni finiscano in mano a concorrenti o diffusi in modo incontrollato per fini statistici.

Perché è necessario adeguarsi?

Essere in regola con quanto previsto dalla normativa è un obbligo per tutte le aziende, società, studi professionali ed enti, a prescindere dalla forma giuridica, dalle dimensioni, dal numero di dipendenti e dal fatturato. Ogni azienda od ente deve dimostrare di trattare i dati personali con cui viene a contatto (da parte di altre imprese, fornitori, clienti, dipendenti, collaboratori, ecc. ecc.) assicurando un adeguato livello di tutela dei diritti e delle libertà fondamentali, con particolare riferimento alla riservatezza, all’identità personale ed al diritto alla protezione dei dati personali stessi. Questo per quanto riguarda gli obblighi di legge.

Non indifferente, per un’azienda che voglia apparire sul mercato ed agli occhi dei propri clienti come a norma sotto tutti i punti di vista degli adempimenti normativi, il dimostrare di applicare scrupolosamente anche le prescrizioni del D.lgs. 196/03 e del Regolamento Europeo.

A chi si rivolge l’obbligo di adeguamento?

A tutte quelle persone giuridiche (società, enti pubblici, ecc. ecc.) che trattano a qualunque titolo e per fini connessi alla propria attività dati personali e/o sensibili. Tale obbligo è indipendente da elementi quali le dimensioni od il fatturato d’impresa.

Quali tipologie di dati sono oggetto della normativa sulla Privacy?

Si tratta di tutti quei dati che rientrano nella macro categoria dei Dati Personali.

Sono Dati Personali le informazioni che identificano o rendono identificabile una persona fisica e che possono fornire dettagli sulle sue caratteristiche, le sue abitudini, il suo stile di vita, le sue relazioni personali, il suo stato di salute, la sua situazione economica, ecc. ecc.

Nello specifico, essi si suddividono in:

-          Dati Identificativi: sono quelli che permettono l’identificazione diretta, come i dati anagrafici (ad es.: nome e cognome), le immagini, ecc. ecc.

-          Dati Sensibili: sono quelli che possono rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, lo stato di salute e la vita sessuale.

Quali figure interne sono previste dalla normativa?

La normativa attuale prevede:

-          Un Titolare del trattamento: è sempre l’azienda nella figura del legale rappresentante pro tempore

-          Un Responsabile del trattamento: è nominato dal Titolare del trattamento. Si occupa: a) di formare il personale dipendente e in rapporto di collaborazione b) adotta le disposizioni del D.lgs. 196/03 c) individua gli incaricati al trattamento ed impartisce istruzioni ed autorizzazioni d) informa il Titolare del trattamento ed il Garante nei casi di violazioni più gravi e) si aggiorna costantemente sulle modifiche della normativa in materia.

-          Incaricati al trattamento: sono le persone fisiche autorizzate dal Titolare o dal Responsabile a compiere operazioni di trattamento. Tutte le persone che lavorano in azienda come dipendenti o collaboratori individuali possono venire a contatto con dati personali/sensibili che devono trattare secondo quanto stabilito nel documento che gli viene sottoposto e che va sottoscritto in originale.

-          Un Amministratore di sistema: deve segnalare al Titolare o Responsabile quelle circostanze che rendano necessario l’aggiornamento delle misure di sicurezza e proteggano i PC mediante idonei programmi.

-          Un Custode Password: deve assicurarsi che le password dei PC utilizzati dagli incaricati siano modificate ogni 3 mesi e seguire le procedure previste per la loro gestione e conservazione.

Quali sono le sanzioni in caso di mancato adeguamento?

Il D.lgs. 196/03 prevede un articolato apparato sanzionatorio per coloro i quali commettono delle violazioni amministrative o degli illeciti penali non adeguandosi alla normativa o non rispettando quanto essa prevede.

Riportiamo qui di seguito alcune delle ipotesi più rilevanti:

-          Art. 161: Omessa o inidonea informativa all’interessato: la violazione del succitato art. 13 comporta il pagamento di una sanzione che va da € 6.000,00 ad € 36.000,00.

-          Art. 162: prevede una serie di altre ipotesi di illeciti, tra cui:

a)      In caso di trattamento di dati personali in violazione delle misure minime di sicurezza all’art. 33, è prevista una sanzione con il pagamento di una somma da € 10.000,00 ad € 120.000,00.

b)      In caso di inosservanza dei provvedimenti di prescrizione di misure necessarie o di divieto promulgati dal Garante di cui all’art. 154, è prevista una sanzione con il pagamento di una somma da € 30.000,00 ad € 180.000,00.

-          Art. 163: Omessa o incompleta notificazione: Chiunque, essendovi tenuto, non provvede tempestivamente alla notificazione al Garante del trattamento da parte sua di quei dati che per legge lo richiedono, o indica in esse notizie incomplete, è punito con la sanzione amministrativa del pagamento di una somma da € 20.000,00 ad € 120.000,00.

-          Art. 167: Trattamento illecito di dati: qualora dal fatto ne derivi nocumento è prevista la reclusione da 6 a 18 mesi o se il fatto consiste nella comunicazione o diffusione, con la reclusione da 6 a 24 mesi.

-          Art. 169: Misure di sicurezza: Chiunque, essendovi tenuto, omette di adottare le misure minime previste dall’art. 33 è punito con l’arresto sino a due anni.

Torna agli adeguamenti

iso 9001World Certification Services Ltd - ISO 9001fondo professioniFondo Paritetico Interprofessionale NazionalequestioQuestio 2016