Oggi è domenica 19 Novembre 2017
     
 

Furlanis Elettronica SaS di Furlanis Andrea & C.
Via Gaetano Pellegrini, 20 - 37136 VERONA VR
Tel: +39 045 581711 - Fax: +39 045 581597
E-mail: info@furel.it - Partita IVA: 01889680235

  Home page - Area riservata - Informazioni - Siti consigliati

PRIVACY: Le linee guida.

 
12/03/2004. In relazione al Codice in materia di protezione dei dati personali, ovvero il D. Lgs. 30 Giugno 2003 N°196, pubblichiamo alcune linee guida inerenti gli adempimenti e le relative scadenze, gli obblighi sono molti ed articolati, abbiamo quindi pensato di raggrupprli e schematizzarli in modo da facilitarne la lettura e l'applicazione.
 
 

Le linee guida:
- Trattare i dati personali secondo i principi indicati dalla legge.
- Controllare la pertinenza e non eccedenza dei dati trattati rispetto alle finalità della raccolta. (Art.11)
- Controllare l'esattezza dei dati ed eventualmente, provvedere al loro aggiornamento. (Art.11)
- Conservare i dati per un periodo non superiore a quello necessario agli scopi della raccolta. (Art.11)
- Superato tale termine, provvedere alla cancellazione del dato, o alla sua trasformazione in forma anonima.
- Identificare le figure del trattamento: Titolare, Incaricato, Responsabile (facoltativo), Amministratore di sistema, Preposto alla custodia delle password.
- Nominare i soggetti in forma scritta, fornendo loro le relative istruzioni e le procedure operative.
- Solo il Titolare non necessita di alcuna nomina, essendo colui a cui competono le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza. (Art.4 comma 1 Lett.f)
- Comunicare ai soggetti interessati l'informativa di cui all'Art.13, anche in forma orale.
- Per i soggetti privati e gli enti pubblici economici, acquisire il consenso per il trattamento dei dati. (Artt.23 e 24)
- Per i soggetti privati e gli enti pubblici economici, acquisire il consenso scritto per il trattamento dei dati sensibili. (Art.26)

Sicurezza dei dati:
Già dal 29 Marzo 2000 (o dal 31 Dicembre 2000, per chi ha usufruito della proroga ex Art.1 L.325/2000), dovevano essere adottate le misure a suo tempo previste dal D.P.R. 318/1999. (Regolamento recante norme per l'individuazione delle misure minime di sicurezza per il trattamento dei dati personali, a norma dell'Art.15, C. 2, L. 675/1996)
Con l'entrata in vigore del Codice in materia di protezione dei dati personali, le misure minime di sicurezza sono, almeno in parte, cambiate. Le misure minime sono descritte nell'All.to B del D.L.196/2003 "Disciplinare tecnico in materia di misure minime di sicurezza". La loro mancata adozione implica un illecito penale e comporta le sanzioni di cui all'Art.169 del Codice stesso.
Tuttavia, ai sensi dell'Art.180, le nuove misure minime di sicurezza, non previste dall'abrogato D.P.R. 318/1999, dovranno essere adottate entro il 30 Giugno 2004.

Le principali scadenze in materia di misure minime di sicurezza:
- Annualmente, aggiornare l'ambito del trattamento consentito ai singoli incaricati, laddove variato, anche se parzialmente.
- Annualmente, entro il 31 Marzo di ogni anno, redigere il "Documento Programmatico sulla sicurezza" di cui all'Art.19, All.to B. (In caso di trattamento di dati sensibili con strumenti elettronici)
- Aggiornare con cadenza almeno semestrale gli strumenti elettronici utilizzati al fine di proteggere i dati dal rischio di intrusione e dal rischio derivante da virus informatici. (Art.16, All.to B) (In questo caso però, il buon senso e l'esperienza ci insegnano che questi aggiornamenti vanno effettuati almeno settimanalmente, meglio se tutti i giorni)
- Aggiornare con cadenza almeno annuale (semestrale per il trattamento di dati sensibili) i programmi per computer volti a prevenire la vulnerabilità di strumenti elettronici ed a prevenirne i difetti (Art.17, All.to B) (Anche in questo caso, la cadenza consigliata è quella mensile, quella migliore è almeno settimanale)
- Bisogna fornire istruzioni procedurali e tecniche affinché il backup sia effettuato settimanalmente. (Questo parametro dipende anche dalla quantità di dati modificati dall'ultimo salvataggio, ed è consigliabile che sia quotidiano e con suporti a rotazione)
- Annualmente, programmare interventi di formazione per gli incaricati del trattamento.

Per i soggetti pubblici:
- Emanazione del Regolamento per il trattamento dei dati sensibili.
- Dare comunicazione al Garante circa la necessità di diffondere dati personali o comunicarli ad altri soggetti pubblici, quando ciò non sia previsto dalla legge o da un regolamento, qualora ciò risulti comunque necessario per lo svolgimento delle funzioni istituzionali. (Art.19, D.L.196/2003)
- Nei casi previsti dall'Art.39, effettuare le comunicazioni al Garante entro il 30 Giugno 2004.
- Controllare l'esistenza di norme di legge o di regolamenti prima di effettuare comunicazione o diffusione di dati a soggetti privati o ad enti pubblici economici.
- Identificare e rendere pubblici i tipi di dati e le operazioni effettuabili sui dati sensibili, nel caso in cui una norma di legge specifichi solo le rilevanti finalità di interesse pubblico da seguire. (Art.20)
- Per i Ministeri e la Presidenza del Consiglio: consultare il Garante per la protezione dei dati personali all'atto della predisposizione delle norme regolamentari e degli atti amministrativi suscettibili di incidere nelle materie disciplinate dal Codice.

Notificazione (Art.37):
- Le notificazioni devono essere effettuate prima dell'inizio del trattamento, se si rientra in una delle ipotesi previste dall'Art.37 del Codice.
- Per i trattamenti iniziati prima dell'1 Gennaio 2004, le notificazioni devono essere effettuate, in sede di prima applicazione del Codice, entro il 30 Aprile 2004.

Rispettare le autorizzazioni emanate dal Garante per il trattamento dei dati sensibili, vengono rinnovate annualmente. Per trattare lecitamente i dati sensibili, infatti, non è sufficiente ottenere il consenso dell'interessato, ma occorre verificare che il trattamento dei dati sia conforme a quanto indicato dal Garante nelle autorizzazioni, speciali o generali che siano.

Richieste dell'interessato (ex Art.7):
- In caso di richiesta da parte dell?interessato, il Titolare deve adoperarsi per rispondere tempestivamente alle richieste dello stesso.
- In caso di mancata risposta entro quindici giorni dal ricevimento della sua richiesta, l'interessato potrà rivolgersi al Garante per ottenere soddisfazione dei propri diritti. (Art.145 e seg. del Codice)

Principali adempimenti periodici:
Oltre ai succitati principi generali, il D.Lgs.196/2003 impone una serie di verifiche e di controlli da effettuare con cadenza periodica, o per espressa previsione normativa, o perché si rende necessario procedere ad alcune modifiche quando cambi uno degli elementi essenziali dell?organizzazione aziendale.

1° Gennaio di ogni anno. (Adempimenti per i quali il Codice prevede una cadenza almeno annuale)
- Aggiornare l'ambito di trattamento consentito ai singoli incaricati, quando variato, anche se parzialmente.
- Verificare la sussistenza delle condizioni per la conservazione delle autorizzazioni all'accesso ai dati particolari degli incaricati.
- Fornire istruzioni procedurali e tecniche affinché il salvataggio dei dati sia effettuato almeno settimanalmente.
- Programmare interventi di formazione per gli incaricati del trattamento.
- Provvedere all'aggiornamento delle "patch" dei programmi per computer, nel caso di trattamento di dati comuni. (Art.17, All.to B)

1° Gennaio e 1° Luglio di ogni anno. (Adempimenti a cadenza semestrale)
- Aggiornare i software antivirus, per tutti i tipi di dati. (Art.16, All.to B)
- Provvedere all'aggiornamento delle "patch" dei programmi per computer, nel caso di trattamento di dati sensibili (Art.17, All.to B)

31 Marzo di ogni anno:
- Aggiornare il Documento Programmatico sulla sicurezza.

All'interno del Documento Programmatico per la sicurezza, deve essere previsto un Piano di Formazione per gli incaricati, che dovrà essere rivisto annualmente. Il piano impone che siano fatte previsioni effettive sui tempi di formazione e sulle strutture che gestiranno tali attività, nell'arco dell'anno. La formazione è programmata al momento dell'ingresso in servizio, nonché in occasione di cambiamenti di mansioni, o introduzione di nuovi significativi strumenti, rilevanti per il trattamento dei dati personali.
I Responsabili, devono essere scelti tra persone dotate della necessaria esperienza, capacità, affidabilità: è, quindi, opportuno che la loro formazione sia più specifica rispetto a quella data agli incaricati, onde evitare il rischio di nomine invalide.

In tutti i casi che seguono è necessario procedere a verifiche costanti (il legislatore non indica un periodo minimo di revisione, ma punisce dichiarazioni eventualmente difformi dalla realtà):

Notifica:
E' necessario provvedere alla modifica della notificazione effettuata al Garante, tutte le volte in cui cambi anche solo uno degli elementi in essa contenuti.

Informative:
E' necessario distribuire nuove informative, o comunicare i mutamenti intervenuti, tutte le volte in cui cambi uno degli elementi descritti dall'Art.13 del Codice:
- le finalità e le modalità del trattamento cui sono destinati i dati
- la natura obbligatoria o facoltativa del conferimento dei dati
- le conseguenze di un eventuale rifiuto di rispondere
- i soggetti o le categorie di soggetti ai quali i dati possono essere comunicati e l'ambito di diffusione dei dati medesimi
- il nome, la denominazione o la ragione sociale e il domicilio, la residenza o la sede del Titolare.

Non c'è obbligo di modificare l?informativa qualora cambino i Responsabili che siano stati indicati nell'informativa solo in base alla qualifica rivestita.
Può anche essere indicato solo il luogo dove è conservato l?elenco completo dei Responsabili del trattamento, ovvero il modo per accedervi.
E' comunque necessario indicare nome e dati di almeno un Responsabile, se nominato.

Qualità dei dati: (ex Art.11)
Il Titolare deve curare che il trattamento dei dati avvenga sempre nel rispetto dei principi dettati dall'Art.11 del Codice, occorre quindi verificare costantemente:
- che i dati siano trattati in modo lecito e secondo correttezza
- che siano raccolti e registrati per scopi determinati, espliciti e legittimi, ed utilizzati in altre operazioni del trattamento in termini non incompatibili con tali scopi
- che siano esatti e, se necessario, aggiornati
- che siano pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono raccolti o successivamente trattati
- che siano conservati in una forma che consenta l'identificazione dell'interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati.

Consenso:
E' necessario, procedere alla verifica dell'esistenza del consenso ogniqualvolta il trattamento sia effettuato per scopi diversi da quelli per cui il consenso era stato inizialmente prestato, nonché tutte le volte in cui i dati debbano essere comunicati a soggetti terzi, o diffusi ad un numero di persone indeterminato.

Comunicazioni all'interessato relative allo stato di salute:
Le comunicazioni all'interessato riguardanti lo stato di salute devono essere effettuate tramite il medico di medicina generale designato dall'interessato o dal Titolare, verificare dunque che tale regola sia sempre rispettata.