 |
 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
::
Approfondimenti - Documento |
|
|
|
|
Novità Privacy: semplificazioni, ulteriori adempimenti e sanzioni raddoppiate per i trasgressori
di Roberto Ballanti (Studio Impresa srl) e Edo Berti (Studio Impresa srl)
Febbraio 2009
1. Introduzione
Semplificazioni, ulteriori adempimenti e sanzioni raddoppiate per i trasgressori al D.Lgs. 196/03 (c.d.
Codice Privacy) sono le novità privacy introdotte in questi ultimi mesi.
L'iter che ha portato ad importanti e non sempre condivisibili modifiche è iniziato in seguito all'approvazione,
da parte del Governo, dell'art. 29 del D.L. 25/06/08 n. 112, come modificato dalla legge di conversione 6/08/08
n. 133, in cui si richiedevano al Garante per la protezione dei dati personali di introdurre nuovi provvedimenti
che semplificassero gli adempimenti in termini di applicazione delle misure minime di sicurezza, riportate
nell'allegato B) del D.lgs. 196/03.
Successivamente a queste sollecitazioni sono stati emanati una serie di provvedimenti, prescrizioni e decreti
legge che modificano, per alcune categorie di soggetti interessati, le modalità di predisposizione delle misure
di sicurezza, di eventuale notifica al Garante e si "completa" con un aumento molto importante delle sanzioni
amministrative per le violazioni in materia di privacy.
L'obiettivo dell'Autorità è di garantire un idoneo livello di sicurezza tenendo conto delle ridotte dimensioni
di alcune realtà organizzative, nonché della particolare natura di alcuni trattamenti a fini esclusivamente
amministrativo-contabili.
In sostanza, mettendo ordine nel complesso insieme di provvedimenti e decreti emanati, le principali novità
privacy si possono racchiudere in:
1) semplificazione nell'applicazione delle misure di sicurezza nel trattamento dei dati personali con e senza
l'ausilio di strumenti elettronici;
2) ulteriori adempimenti privacy;
3) nuove sanzioni pecuniarie amministrative e nuovi ipotesi di violazione.
Riportiamo in sintesi alcune delle indicazioni del Garante.
2. Semplificazione nell'applicazione delle misure di sicurezza nel trattamento dei dati personali con e senza
l'ausilio di strumenti elettronici
I titolari del trattamento, che possono applicare queste semplificazioni sono i soggetti pubblici e privati
che:
1) utilizzano dati personali non sensibili o trattano come unici dati sensibili riferiti ai propri dipendenti e
collaboratori anche a progetto quelli costituiti dallo stato di salute o malattia senza indicazione delle
relativa diagnosi, ovvero all'adesione a organizzazioni sindacali o a carattere sindacale;
2) trattano dati personali unicamente per correnti finalità amministrative e contabili, in particolare presso
liberi professionisti, artigiani e piccole e medie imprese.
2.1 Istruzioni agli incaricati
Presupponendo l'obbligo di individuare per iscritto gli incaricati del trattamento, e quindi delineare
correttamente gli ambiti di trattamento e i conseguenti profili di autorizzazione, il provvedimento permette di
dare istruzioni verbali agli stessi incaricati limitatamente alle misure di sicurezza adottate in azienda.
2.2 Sistema di autenticazione e autorizzazione
Per l'accesso ai sistemi informatici si può utilizzare un qualsiasi sistema di autenticazione basato su un
codice per identificare chi accede ai dati (username), associato a una parola chiave (password) in modo che:
- l'username individui in modo univoco una sola persona, evitando che soggetti diversi utilizzino codici
identici;
- la password sia conosciuta solo dalla persona che accede ai dati.
Lo username deve essere disattivato quando l'incaricato non ha più la qualità che rende legittimo l'utilizzo
dei dati e può essere adottata, quale procedura di autenticazione, anche la procedura di login disponibile sul
sistema di rete.
Il titolare deve garantire la disponibilità di dati o strumenti elettronici, in caso di prolungata assenza o
impedimento dell'incaricato, con procedure o modalità predefinite e conosciute tra gli incaricati.
Infine il titolare, qualora si presenti la necessità di diversificare l'ambito di trattamento consentito, può
assegnare agli incaricati profili di autorizzazioni, tramite un sistema di autorizzazione o funzioni di
autorizzazioni incorporate nelle applicazioni software o dei sistemi operativi, così da limitare l'accesso ai
soli dati necessari per effettuare le operazioni di trattamento.
2.3 Altre misure di sicurezza
I titolari del trattamento, oggetto di questa semplificazione, devono verificare l'ambito di trattamento
assegnato agli incaricati, nonché agli addetti alla gestione o alla manutenzione degli strumenti elettronici,
provvedendo, quando è necessario, ad aggiornare i profili di autorizzazione eventualmente accordati.
Gli aggiornamenti periodici dei programmi volti a prevenire la vulnerabilità di strumenti elettronici (es.
antivirus), nonché a correggerne difetti, sono effettuati almeno annualmente. Se il computer non è connesso a
reti di comunicazioni elettronica accessibile al pubblico, l'aggiornamento deve essere almeno biennale.
I dati devono essere salvaguardati anche attraverso il loro salvataggio con frequenza almeno mensile.
2.4 Documento programmatico sulla sicurezza semplificato
Ricordando che per alcuni casi è già previsto per disposizione di legge la possibilità di redigere
un'autocertificazione in luogo del documento programmatico sulla sicurezza, i soggetti pubblici e privati che
trattano dati personali unicamente per correnti finalità amministrative e contabili, possono redigere un
documento programmatico sulla sicurezza semplificato (DPS).
Il provvedimento riduce il contenuto del DPS, nella sua versione "semplificata" e viene ridimensionato anche
l'obbligo di aggiornamento, da effettuarsi entro il 31 marzo di ogni anno, nel solo caso in cui siano
intervenute modifiche rispetto a quanto dichiarato nel precedente documento.
Il documento deve contenere:
- l'identificazione del titolare del trattamento, degli eventuali responsabili ed occorre elencare, anche per
classi omogenee, gli incaricati del trattamento. Inoltre è necessario descrivere i compiti e le responsabilità
del titolare, del responsabile e degli incaricati del trattamento;
- una descrizione generale dei trattamenti realizzati, che permetta di valutare l'adeguatezza delle misure di
sicurezza adottate per garantire la sicurezza del trattamento. In tale descrizione vanno identificati le
finalità del trattamento, le categorie di persone interessate e dei dati o delle categorie di dati relativi
alle medesime, nonché i destinatari o le categorie di destinatari a cui i dati possono essere comunicati;
- una descrizione delle altre misure di sicurezza adottate per prevenire i rischi di distruzione o perdita,
anche accidentale, dei dati, di accesso non autorizzato o di trattamento non consentito o non conforme alle
finalità della raccolta.
Rispetto alla versione del documento completo mancano alcuni contenuti quali: l'indicazione delle misure da
adottare per garantire una maggiore sicurezza ai dati, le misure di sicurezza relativi ai trattamenti in
outsourcing, gli interventi di formazione degli incaricati e le misure relative al salvataggio e recupero dei
dati.
2.5 Trattamenti di dati personali senza l'ausilio di strumenti elettronici
Anche in questo contesto sono previste istruzioni, anche verbali, agli incaricati finalizzate al controllo e
alla custodia, per l'intero ciclo necessario allo svolgimento delle operazioni di trattamento, degli atti e dei
documenti contenenti dati personali.
Inoltre è specificato un obbligo di custodia in capo all'incaricato del trattamento che deve controllare atti e
documenti contenenti dati sensibili fino alla restituzione, in modo che a essi non accedano persone prive di
autorizzazione.
2.6 Semplificazione al modello per la notificazione al Garante
La notificazione deve essere presentata al Garante prima dell'inizio del trattamento e una sola volta, da parte
dei soli soggetti che effettuano un trattamento compreso tra quelli elencati nell'art. 37 del D.Lgs. 196/03, a
prescindere dal numero delle operazioni e della durata del trattamento da effettuare. Una nuova notificazione è
richiesta solo anteriormente alla cessazione del trattamento o al mutamento di taluno degli elementi da
indicare nella notificazione medesima.
La notificazione semplificata contiene le seguenti informazioni:
- le coordinate del titolare e, eventualmente del suo rappresentante, nonché le modalità per individuare il
responsabile del trattamento se designato;
- la o le finalità del trattamento;
- una descrizione della o delle categorie di persone interessate e dei dati o delle categorie di dati relativi
alle medesime;
- i destinatari o le categorie di destinatari a cui i dati possono essere comunicati;
- eventuali trasferimenti di dati previsti verso Paesi terzi;
- una descrizione generale che permetta di valutare in via preliminare l'adeguatezza delle misure adottate per
garantire la sicurezza del trattamento.
Una volta ricevute, le notificazioni sono inserite in un registro pubblico consultabile gratuitamente da
chiunque on-line.
3. Ulteriori adempimenti
Il Garante, sempre nell'ottica di aumentare la sicurezza dei dati personali, ha emanato due provvedimenti che
riguardano gli amministratori di sistema e la dismissione degli strumenti elettronici che contengono dati
personali.
In seguito si riporta una breve sintesi dei due provvedimenti in questione.
3.1 Amministratori di sistema: occorre massima trasparenza sul loro operato
Gli amministratori di sistema sono figure essenziali per la sicurezza delle banche dati e la corretta gestione
delle reti telematiche, ma nello stesso tempo assumono un ruolo delicato nel contesto privacy in quanto possono
accedere a tutti i dati che transitano sulle reti aziendali e istituzionali.
Il Garante ha emanato questo provvedimento con lo scopo di richiamare l'attenzione sulla figura
dell'Amministratore di sistema e ha prescritto l'adozione di specifiche misure tecniche e organizzative che
agevolino la verifica sulla sua attività da parte di chi ha la titolarità delle banche dati e dei sistemi
informatici.
In estrema sintesi, le misure e cautele da adottare riguardano:
- registrazione degli accessi: adozione di sistemi di controllo che consentano la registrazione degli accessi
effettuate dagli amministratori di sistema ai sistemi di elaborazione e agli archivi elettronici. Tali
registrazioni devono comprendere i riferimenti temporali e la descrizione dell'evento che le ha generate e
devono essere conservate per un congruo periodo, non inferiore a 6 mesi;
- verifica delle attività: almeno con cadenza annuale il titolare del trattamento verifica la rispondenza
dell'operato degli amministratori di sistema alle misure organizzative, tecniche e di sicurezza previste dalla
legge per i trattamenti di dati personali;
- elenco degli amministratori di sistema e loro caratteristiche: i titolari del trattamento dovranno inserire
nel documento programmatico della sicurezza (sia completo che semplificato) o in un documento interno
(disponibile in caso di accertamenti da parte del Garante) gli estremi identificativi degli amministratori di
sistema e l'elenco delle funzioni loro attribuite.
Infine, dovranno essere valutate con attenzione esperienza, capacità e affidabilità della persona chiamata a
ricoprire il ruolo di amministratore di sistema, posizione che deve essere in grado di garantire il pieno
rispetto della normativa in materia di protezione dei dati personali, compreso il profilo della sicurezza.
3.2 Indicazioni del Garante per la cancellazione dei dati personali contenuti negli strumenti elettronici
dismessi
I dati personali presenti negli strumenti elettronici dimessi, possono esporre i titolari a rischi anche gravi,
come ad esempio la manipolazione di dati e il furto d'identità.
E' per questo motivo che il Garante ha predisposto degli idonei accorgimenti e misure volti a prevenire accessi
non consentiti ai dati personali memorizzati negli strumenti stessi.
Le misure suggerite dal Garante per una "rottamazione" sicura di pc e dispositivi elettronici hanno dunque
l'obiettivo di richiamare tutti gli utilizzatori sulla necessità di assicurare una reale ed effettiva
cancellazione dei dati o sia garantita la loro non intelligibilità. Tali misure si possono riassumere nel modo
seguente:
- misure tecniche preventive: è consigliato proteggere i file usando una password di cifratura, oppure
memorizzare i dati su hard disk o su altri supporti magnetici usando sistemi di cifratura automatica al momento
della scrittura;
- misure tecniche di cancellazione sicura: la cancellazione sicura delle informazioni su disco fisso o su altri
supporti magnetici è ottenibile con programmi informatici di "riscrittura" che provvedono a una cancellazione
definitiva dei file eliminati con i comandi di cancellazione presenti nel sistema operativo. Si possono anche
utilizzare sistemi di formattazione a basso livello degli hard disk o di "demagnetizzazione", in grado di
garantire la cancellazione rapida delle informazioni;
- smaltimento di rifiuti elettrici ed elettronici: per la distruzione degli hard disk e di supporti magnetici
non riscrivibili, come cd-rom e dvd, è consigliabile l'utilizzo di sistemi di punzonatura o deformazione
meccanica o di demagnetizzazione ad alta intensità o di vera e propria distruzione fisica.
Con questo provvedimento il Garante intende sviluppare una nuova consapevolezza e indicare i modi con i quali
rispettare i dati degli altri e tutelarsi rispetto ai propri.
4. Nuove sanzioni pecuniarie amministrative e nuove ipotesi di violazione
Con l'art. 44 del D.L. n. 207/2008 il Governo ha aumentato le sanzioni pecuniarie amministrative al fine di
creare un sistema dissuasivo efficace. Le precedenti sanzioni sono state mediamente raddoppiate;
si può parlare di un aumento del 100% della maggior parte delle sanzioni, come ad esempio:
- cessione dei dati irregolare (art. 162 c. 1) - da 10.000 a 60.000 euro, precedente da 5.000 a 30.000 euro;
- trattamento di dati in violazione delle misure minime di sicurezza (art. 162 c. 2 bis) - da 20.000 a
120.000 euro, precedente da 10.000 a 50.000 euro;
- omessa o incompleta notifica (art. 163) - da 20.000 a 120.000 euro, precedente da 10.000 a 60.000 euro.
Alcune violazioni prevedono, per un pagamento entro 60 giorni, sanzioni in misura ridotta. Sono stati inoltre
introdotti, nuovi meccanismi che garantiscono la flessibilità e modulazione delle sanzioni pecuniarie
amministrative.
In conclusione, si può affermare che da una parte il Garante ha definito alcune modalità che semplificano gli
adempimenti al D.Lgs. 196/03, cercando di garantire un idoneo livello di sicurezza dei dati personali; mentre
dall'altra parte il Governo ha voluto punire in maniera pesante, tutti coloro che non rispettano quelle regole
di prudenza informatica e organizzativa che dovrebbero essere predisposte ovunque si trattino dati personali o
che non rispettano con rigore la normativa privacy o comunque trattano dati personali in maniera illecita.
Riepilogando i provvedimenti, le prescrizioni e i decreti legge oggetto delle novità privacy sono i seguenti:
1) prescrizione 19/06/08: semplificazioni di taluni adempimenti in ambito pubblico e privato rispetto a
trattamenti per finalità amministrative e contabili;
2) provvedimento 13/10/2008: rifiuti di apparecchiature elettriche ed elettroniche e misure di sicurezza dei
dati personali;
3) provvedimento 22/10/08: semplificazione al modello per la notificazione al Garante;
4) provvedimento 27/11/2008: semplificazione delle misure di sicurezza contenute nel disciplinare tecnico di
cui all'allegato B) al Codice in materia di protezione dei dati personali;
5) provvedimento 27/11/2008: misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con
strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema;
6) Decreto legge n. 207/2008 (c.d. mille proroghe 2008), art. 44: aumento delle sanzioni pecuniarie
amministrative previste dal Codice Privacy e nuove ipotesi di violazioni.
Nota: il contenuto del documento deve essere interpretato in relazione al periodo
in cui è stato redatto.
|
 |
|
|
|
 |
|
In primo piano...  |
|
|
| [ p e r l e i m p r e s e ] |
|
Focus on...
|
|
|
