Introduzione privacy

 

  

Chi deve preoccuparsi della legge sulla privacy?

La legge sulla privacy tocca praticamente tutti, privati ed aziende, sia che vengano trattati i cosiddetti "dati sensibili", ovvero quei dati individuati dall'articolo 22 comma 1 della legge 675/96 , per i quali necessita anticipata autorizzazione da parte del garante, sia che vengano trattati dati non sensibili, per i quali non necessita (generalmente)  autorizzazione, ma occorre comunque attuare certe disposizioni.

Difficilmente qualcuno si fa carico di supportare le aziende che ne hanno bisogno. In primo luogo i commercialisti sono tra i primi ad indicare l'utilizzo di personale esperto in hardware e software, rimandando a questi qualsiasi problema.

 

 Scopo dichiarato della legge

La presente legge garantisce che il trattamento dei dati personali si svolga nel rispetto dei diritti, delle libertà fondamentali, nonché della dignità delle persone fisiche, con particolare riferimento alla riservatezza e all'identità personale

 

Il fine ultimo

Il fine ultimo è l'individuazione di un responsabile in caso di violazioni di privacy, un capro espiatorio in caso di problemi e denuncie.

Ecco che diventa quindi importante tutelarsi dai tutelati! Basta infatti, compiere atti involontari a cui finora non badava nessuno, per poter passare guai seri, specie se l'altra parte ne approfitta: la fotocopia della patente di un cliente sconosciuto all'atto della riscossione di un assegno senza fornire l'informativa dell'Art. 10, trattenere dati non strettamente utili ad obblighi contrattuali, contabili o fiscali o il cui termine di utilizzo è scaduto, inviare un fax con pubblicità ai propri clienti senza chiederne prima il permesso... queste ed altre azioni una volta comuni, possono adesso costare molto, anche dal punto di vista penale. E il responsabile deve esserci per forza, o si è comunque passibili di non aver rispettato la legge il cui scopo è quello di individuare in anticipo i responsabili!

 

Perchè non ne sapevo niente?

Perché nessuno, in primo luogo la maggior parte dei commercialisti, si preoccupa di diffondere la notizia con al dovuta importanza ed in tempo utile. Forse anche perché alla maggioranza dei cittadini che non hanno niente da nascondere, e che hanno vissuto senza problemi fino ad oggi, la nuova legge non interessa per niente, o forse perché alle aziende suona solo come intralcio allo svolgimento del lavoro (in effetti non lo semplifica di certo). 

 

Continuate la lettura delle informazioni presenti in 

questa sezione del sito per saperne di più.

 

Accenno introduttivo

Ai sensi alla legge n. 675/96 sulla privacy, il 29 marzo 2000 scadeva il termine per l’adozione delle misure minime di sicurezza previste dal D.P.R. n. 318/99. 

Per  “misura minima di sicurezza” si intende quel complesso di interventi, richiesti al titolare o ad un responsabile designato, di natura organizzativa, logistica, procedurale, tecnica e informatica, in grado di assicurare la protezione minima al trattamento dei dati. 

Le nuove disposizioni prevedono diverse tipologie di obblighi in relazione allo strumento utilizzato per il trattamento dei dati (computer e supporto cartaceo).

Per le aziende che gestiscono dati con l’ausilio di computer non accessibili da altri terminali, è necessario che ogni operatore disponga di una parola chiave (password) per l’accesso ai dati stessi.
Non solo: se gli incaricati sono più di uno, occorre individuare un apposito soggetto da preporre alla custodia delle password.

Se invece il trattamento avviene con elaboratori accessibili in rete (disponibili o non disponibili al pubblico), agli incaricati dovrà essere attribuito anche un codice personale (ID o username). Questi codici identificativi della persona che accede a determinate informazioni, dovranno essere disattivabili in caso di perdita, da parte dell’incaricato (ovvero l’operatore), delle qualità che gli consentivano l’accesso ai dati. La disattivazione del codice di accesso deve essere operata anche quando avvenga il mancato utilizzo del computer per più di sei mesi. Ciò implica pure la necessità di un periodico controllo, alfine di evitare che lo stesso codice possa essere utilizzato da diversi soggetti.

E’ inoltre necessaria una protezione costante dei dati ricorrendo all’installazione di appositi programmi anti-virus da aggiornare almeno ogni 6 mesi.

Più articolata è la regolamentazione del trattamento dei dati sensibili e di quelli rinvenibili nel casellario giudiziario, mediante computer accessibili in rete. In questo caso è necessaria la richiesta scritta e l’autorizzazione da parte del Garante. Inoltre gli incaricati del trattamento o della manutenzione dovranno essere preventivamente autorizzati dal titolare/responsabile. Almeno una volta all’anno il titolare o il responsabile, dovrà verificare se è ancora necessario l’accesso ai dati sensibili da parte degli incaricati.

L’accesso ai dati sensibili può essere consentito solo se preceduto dalla relativa richiesta e del preventivo accertamento della validità della stessa. Non è inoltre consentita l’utilizzazione di un medesimo codice identificativo personale per accedere “contemporaneamente” alla stessa applicazione da diverse stazioni di lavoro.

Per il trattamento dei dati sensibili e rinvenibili nel casellario giudiziale con elaboratori accessibili in rete e disponibili al pubblico, è necessario predisporre un documento che definisca:

·         i criteri tecnici ed organizzativi per la protezione di aree e locali interessati dalle misure di sicurezza, e le procedure per controllare l’accesso del personale autorizzato in tali locali

·         i criteri e le procedure necessarie per assicurare l’integrità dei dati e la sicurezza delle loro trasmissioni

·         il piano formativo elaborato per gli incaricati al fine di informarli dei rischi e della prevenzione di eventuali danni

 

Il documento va poi controllato, ed eventualmente aggiornato, almeno una volta all’anno. Gli eventuali supporti utilizzati per il trattamento di questi dati (floppy, tape, cd), devono essere distrutti se non è possibile cancellarli in modo che non sia tecnicamente possibile recuperare le informazioni precedenti.

Va prestata attenzione, anche alla disposizione sulle misure di sicurezza richieste per il trattamento dei dati personali con strumenti cartacei. In questo caso il DPR 318/99, stabilisce che:

·         nella designazione dell’incaricato e nelle istruzioni ad esso fornite, si precisi che l’accesso è limitato ai soli dati necessari per l’adempimento dei propri compiti;

·         che tali dati vengano conservati in archivi accessibili ai soli incaricati e che questi abbiano l’obbligo di conservarli e restituirli una volta ultimate le operazioni per le quali sono stati ricevuti.

 

Sempre riguardo a dati sensibili o rinvenibili nel casellario giudiziale, la norma prescrive inoltre la conservazione, in fase di utilizzazione da parte degli incaricati, in contenitori muniti di serratura; dispone altresì il controllo dell’accesso ai relativi archivi e l’obbligo di identificazione e registrazione di coloro che dovessero eventualmente recarsi negli archivi dopo l’orario di apertura.

Il mancato rispetto della normativa può comportare l’applicazione di sanzioni anche di carattere penale. Considerato che l’adozione delle misure minime, pur non proteggendo dalla responsabilità civile, esime da quella penale, è opportuno prestare particolare attenzione alle disposizioni del decreto.