Codice della privacy (D. Lgs. 30 giugno 2003, n. 196) Privacy e misure minime di sicurezza: i nuovi adempimenti per imprese, professionisti e pubbliche amministrazioni
di Annalisa De Vivo In tema di privacy, la scadenza del 30 giugno 2004 (recentemente prorogata al 31 dicembre), prevista per la redazione del Documento Programmatico sulla Sicurezza (DPS), ha riportato in primo piano il problema del trattamento dei dati personali, problema che coinvolge in ugual misura imprese e professionisti. In questa sede tenteremo di semplificare i termini del problema, cercando di capire cosa deve essere fatto e soprattutto chi è tenuto a farlo. Com'é noto, il codice in materia di protezione dei dati personali (d'ora innanzi Codice), introdotto nel nostro ordinamento dal D.Lgs. 30 giugno 2003, n. 196, ha riunito in un'unica trattazione metodologica il complesso sistema normativo che, a partire dalla legge n. 675/96, ha disciplinato la complessa materia della privacy. Nonostante tale riordino, tuttavia, permangono non poche difficoltà interpretative, soprattutto in relazione all'individuazione dei soggetti tenuti a porre in essere gli adempimenti di legge. Per tale motivo, negli ultimi tempi il Garante è intervenuto più volte al fine di fornire indicazioni supplementari, necessarie per l'inclusione - o, viceversa, per l'esclusione - di alcune categorie di soggetti dall'ambito di applicazione della norma. L'attuazione concreta degli adempimenti previsti dal Codice comporta, infatti, una serie di conseguenze che, al di là dell'aspetto giuridico, impattano notevolmente su quello organizzativo e gestionale dei soggetti coinvolti. Per non parlare dei costi che, inevitabilmente, i soggetti obbligati dovranno sostenere per l'adeguamento alle nuove disposizioni. Ma procediamo con ordine. ARTICOLAZIONE DEL CODICE DELLA PRIVACY Il Codice della privacy si compone di tre parti: - la prima, di carattere generale, contiene disposizioni applicabili a tutti i soggetti che effettuano il trattamento di dati sia nel settore pubblico sia in quello privato; - la seconda prevede regole peculiari per determinate attività; - la terza contempla, tra l'altro, le sanzioni amministrative e penali connesse all'inosservanza delle disposizioni in oggetto. Il Codice comprende anche due allegati: - allegato A, contenente i codici di deontologia previsti per il trattamento dei dati effettuato nell'ambito di alcuni settori particolari (ad esempio nell'esercizio dell'attività giornalistica, oppure nell'ambito del sistema statistico nazionale) - allegato B, contenente il disciplinare tecnico in materia di misure di sicurezza, che integra e completa il disposto di cui al DPR 318/99. In pratica, ai fini dell'adeguamento occorrerà innanzi tutto verificare gli obblighi generali descritti nella prima parte del Codice: informativa, consenso, notifica al Garante, predisposizione delle misure di sicurezza. Poi, sarà necessario passare alla verifica degli obblighi specifici legati all'attività svolta, obblighi descritti nella seconda parte del Codice.
DIZIONARIO "MINIMO" DELLA PRIVACY DATI PERSONALI E' dato personale qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale. DATI SENSIBILI Sono tali i dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale. DATI GIUDIZIARI Sono quei dati personali idonei a rivelare i provvedimenti iscritti nel casellario giudiziale, o la qualità di imputato ed indagato di un determinato soggetto. In pratica, tali dati rivelano l'esistenza di eventuali procedimenti penali a carico della persona. TRATTAMENTO E' l'operazione, o il complesso di operazioni, effettuate anche senza l'ausilio di strumenti elettronici (quindi sia su carta che mediante pc), concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati personali, anche se non registrati in una banca dati. CHI E' OBBLIGATO? Le disposizioni sulla privacy coinvolgono tutti gli operatori che per qualsiasi motivo trattano dati personali nell'ambito della propria attività: - imprese - professionisti - pubbliche Amministrazioni In ciascuno dei menzionati ambiti, è indispensabile l'individuazione dei soggetti che effettuano il trattamento dei dati personali: titolare, responsabile, incaricato del trattamento. Il titolare del trattamento é la persona fisica, la persona giuridica, la pubblica amministrazione o qualsiasi altro ente od organismo a cui spettano le decisioni in merito alle finalità e alle modalità del trattamento dei dati personali e agli strumenti utilizzati. Il responsabile del trattamento è la persona fisica, giuridica, la pubblica amministrazione o qualsiasi altro ente od organismo preposto dal titolare al trattamento dei dati personali. Diversamente da quella dell'incaricato, la presenza del responsabile è facoltativa. Tuttavia, ove tale figura sia prevista, la scelta del soggetto deve essere effettuata in base a criteri molto precisi: il responsabile, infatti, deve essere individuato tra soggetti che per esperienza, capacità ed affidabilità garantiscano il rispetto delle attuali disposizioni in materia di trattamento dei dati personali (compreso l'aspetto relativo alla sicurezza). Il Codice precisa che il titolare dovrà specificare per iscritto i compiti del responsabile. Gli incaricati del trattamento sono le persone fisiche autorizzate a compiere operazioni di trattamento dal titolare e dal responsabile, ai quali sono subordinate. Le loro mansioni sono di tipo esecutivo, dovendosi limitare a porre in essere materialmente le operazioni relative al
trattamento dei dati. La nomina degli incaricati deve essere effettuata per iscritto, e deve specificare l'ambito del trattamento ad essi consentito. QUALI SONO GLI OBBLIGHI? E' possibile individuare innanzi tutto una serie di regole che disciplinano il trattamento dei dati personali da parte dei soggetti obbligati. Questi ultimi, infatti, dovranno trattare i dati secondo le modalità previste dalla legge, fornendo un'apposita informativa ai soggetti i cui dati si vogliano raccogliere e, se necessario, richiedendo il consenso degli stessi alla raccolta dei dati personali. A loro volta, i dati personali devono essere trattati secondo le modalità di legge, altrimenti non possono essere utilizzati. Perciò, essi dovranno essere raccolti solo per scopi determinati e legittimi, senza eccedere mai le finalità che hanno motivato la raccolta e il trattamento, e dovranno essere conservati in modo da consentire l'identificazione dell'interessato per un periodo di tempo non superiore a quello necessario al conseguimento delle suddette finalità. Quanto agli adempimenti formali veri e propri, è possibile individuare i suddetti obblighi: 1) notificazione al Garante La notificazione al Garante per la protezione dei dati non è dovuta da tutti i soggetti che effettuano il trattamento di dati personali. Il Codice, sovvertendo le disposizioni previgenti, ha infatti previsto che tale adempimento si rende necessario solo in relazione a determinate operazioni di trattamento, espressamente previste dalla legge, ovvero oggetto di successivi chiarimenti da parte del Garante. Così, a titolo esemplificativo, la notificazione è obbligatoria per chiunque tratti dati genetici, biometrici, idonei a rivelare lo stato di salute,ecc.; tuttavia, in un successivo chiarimento, il Garante ha specificato che i trattamenti di dati genetici o biometrici effettuati nell'esercizio della professione di avvocato o di medico specialistico non sono soggetti a notificazione, ove tali dati non siano trattati in maniera sistematica a livello professionale. In altre parole, l'Autorità Garante, intervenendo in più riprese, ha ulteriormente ridotto i casi in cui la notifica si rende obbligatoria. Perciò, il relativo obbligo sussiste solo per alcune categorie di dati che, stante la loro natura, sono ritenuti particolarmente delicati. Tra l'altro, proprio a causa dell'incertezza regnante in merito al novero dei soggetti tenuti a tale adempimento, la scadenza per l'invio telematico della notifica, inizialmente fissata allo scorso 30 aprile, è stata successivamente spostata al 15 maggio. La mancata tempestiva notificazione, ovvero l'indicazione nella stessa di notizie incomplete è punita con una sanzione amministrativa il cui importo può variare da € 10.000 a 60.000, nonché con la sanzione accessoria della pubblicazione dell'ordinanza-ingiunzione in uno o più giornali indicati nel provvedimento che la applica. 2) Informativa L'informativa è la dichiarazione, resa in forma scritta od orale dal titolare o dal responsabile, con la quale si comunicano all'interessato le principali caratteristiche relative al trattamento dei dati personali che lo riguardano. In particolare, l'informativa deve specificare: - finalità e modalità del trattamento dei dati - natura obbligatoria o facoltativa del conferimento dei dati - conseguenze dell'eventuale rifiuto - ambito di diffusione dei dati personali, cioè il novero dei soggetti o delle categorie di sog-
getti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati - estremi identificativi del titolare e del responsabile (ove esistente). Stante la complessità di tali specificazioni, è preferibile che l'informativa, pur potendo essere resa anche oralmente, sia rilasciata in forma scritta, mediante apposito modello. L'omessa o inidonea informativa è punita con le seguenti sanzioni amministrative: - da € 3.000 a 18.000 (dati personali) - da € 5.000 a 30.000 (dati sensibili o giudiziari). 3) Consenso Il consenso dell'interessato, ove necessario, dovrà essere ottenuto prima dell'inizio del trattamento, a seguito dell'informativa. Il consenso dovrà essere scritto per i dati sensibili, e documentato per iscritto per i dati non sensibili. Il Codice elenca una serie di casi in cui il trattamento dei dati personali può essere effettuato senza che sia necessario il consenso dell'interessato: - trattamenti in ambito giudiziario, da parte di forze di polizia, per la difesa e sicurezza dello Stato, trattamenti in ambito pubblico, in ambito sanitario, riguardanti l'istruzione in ambito scolastico, per scopi storici, statistici o scientifici, riguardanti lavoro e previdenza sociale, il sistema bancario, finanziario ed assicurativo, effettuati da coloro che gestiscono servizi di comunicazione elettronica, trattamenti effettuati con finalità giornalistiche e di marketing diretto; - trattamento effettuato in ottemperanza ad un obbligo previsto dalla legge, da un regolamento o dalla normativa comunitaria; - trattamento necessario per eseguire obblighi derivanti da un contratto del quale è parte l'interessato o per adempiere, prima della conclusione del contratto, a specifiche richieste dell'interessato; - trattamento di dati provenienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque (fermi restando i limiti normativi vigenti in tema di conoscibilità e pubblicità dei dati); - trattamento di dati relativi allo svolgimento delle attività economiche, trattati nel rispetto della vigente normativa in materia di segreto aziendale e industriale. Al di fuori delle ipotesi elencate, il consenso dell'interessato al trattamento dei dati è sempre obbligatorio. QUALI SONO I DIRITTI DELL'INTERESSATO? In base a quanto stabilito dal Codice, l'interessato ha diritto di ottenere la conferma dell'esistenza di dati personali che lo riguardano, anche se non ancora registrati. Non solo, egli deve essere posto in condizione di conoscere le modalità e le finalità del trattamento, l'identità del titolare e degli altri soggetti designati, nonché dei soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza. L'interessato, infine, ha sempre il diritto di ottenere: - l'aggiornamento, la rettificazione o l'integrazione dei dati; - la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge; - l'attestazione che le precedenti operazioni sono state portate a conoscenza di quei soggetti ai quali i dati sono stati comunicati o diffusi, salvo il caso in cui l'adempimento sia impossibile
o richieda un impiego di mezzi manifestamente sproporzionato rispetto al diritto tutelato. Ad ogni modo, l'interessato ha diritto di opporsi per motivi legittimi al trattamento dei propri dati personali, anche a fini di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale. IL TRATTAMENTO DI DATI SENSIBILI O GIUDIZIARI I dati personali sensibili e/o giudiziari possono essere trattati solo previa autorizzazione del Garante. Tuttavia, al fine di snellire gli adempimenti gravanti sui soggetti che trattano tali dati, il Garante ha adottato una serie di autorizzazioni generali per particolari categorie di titolari o per specifici trattamenti di dati. In particolare, sono efficaci fino al 30 giugno 2004 le autorizzazioni generali rilasciate dal Garante in relazione ai trattamenti aventi ad oggetto: 1) i dati sensibili nei rapporti di lavoro; 2) i dati idonei a rilevare lo stato di salute e la vita sessuale; 3) i dati sensibili, nell'ipotesi di trattamento effettuato da parte di organismi di tipo associativo e fondazioni; 4) dati sensibili, nell'ipotesi di trattamento effettuato da parte di liberi professionisti; 5) dati sensibili, nell'ipotesi di trattamento effettuato da parte di diverse categorie di titolari; 6) dati sensibili, nell'ipotesi di trattamento effettuato da parte degli investigatori privati; 7) dati a carattere giudiziario, nell'ipotesi di trattamento effettuato da parte di privati, di enti pubblici economici e di soggetti pubblici. Il ricorso alle autorizzazioni generali, come ha spiegato lo stesso Garante, consente di snellire l'azione amministrativa e, al contempo, di semplificare gli adempimenti gravanti sui soggetti preposti al trattamento, con un notevole risparmio nei costi di gestione di questi ultimi. LE MISURE DI SICUREZZA La legge suddivide le misure di sicurezza da adottare in due categorie: 1. misure di sicurezza idonee Il Codice prevede che i dati personali oggetto del trattamento debbano essere custoditi e controllati in modo tale da ridurre al minimo i rischi di distruzione e perdita, ovvero di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta. L'adozione di misure di sicurezza idonee, perciò, consiste nella predisposizione di precauzioni tali da evitare il rischio di distruzione o dispersione anche accidentale degli stessi, ovvero di conoscenza da parte di terzi. L'inadempienza di tale obbligo, pur non essendo sanzionabile, espone al rischio di dover risarcire il danno al soggetto leso, ove quest'ultimo eserciti la relativa azione. 2. misure di sicurezza minime Sono tali quelle ritenute indispensabili alla tutela dei dati personali, specificate nell'allegato b (cd. disciplinare tecnico) e differenziate a seconda che i dati siano trattati: - senza l'ausilio di strumenti elettronici; - con l'ausilio di strumenti elettronici. Il mancato adeguamento alle misure minime di sicurezza costituisce reato, con la previsione della pena dell'arresto sino a 2 anni o di una sanzione variabile da € 10.000 a 50.000.
Le misure di sicurezza minime già previste avrebbero dovuto essere adottate entro il 1° gennaio 2004, mentre quelle introdotte dal nuovo Codice devono essere adottate entro il prossimo 31 dicembre, essendo slittata la scadenza del 30 giugno inizialmente prevista per tale adempimento. Le misure minime di sicurezza da adottare variano a seconda della tipologia del trattamento. TRATTAMENTO CON O SENZA STRUMENTI INFORMATICI Trattamento dei dati personali senza l'ausilio di strumenti informatici In caso di trattamento "cartaceo" dei dati personali, il Codice impone le seguenti misure minime di sicurezza: 1) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati o alle unità organizzative; 2) previsione di procedure per un'idonea custodia di atti e documenti affidati agli incaricati per lo svolgimento dei relativi compiti; 3) previsione di procedure per la conservazione di determinati atti in archivi ad accesso selezionato e disciplina delle modalità di accesso finalizzata all'identificazione degli incaricati. Le misure di cui ai punti 1 e 2 presuppongono l'avvenuta individuazione di uno o più incaricati del trattamento, con riferimento ai quali il disciplinare tecnico impone: - di impartire istruzioni scritte, da aggiornare annualmente, specificando l'ambito del trattamento consentito; - quando gli atti e i documenti contenenti dati sensibili o giudiziari sono affidati agli incaricati, di affidare a questi ultimi il controllo e la custodia di tali atti e documenti fino alla restituzione, in maniera che ad essi non accedano persone prive di autorizzazione. La misura di cui al punto 3 riguarda anche coloro che non abbiano designato alcun incaricato ed è mirata a garantire la sicurezza dei locali in cui vengono conservati i dati. Al riguardo, il disciplinare tecnico specifica che l'accesso agli archivi contenenti dati sensibili o giudiziari deve essere controllato; che le persone ammesse, a qualunque titolo, dopo l'orario di chiusura, devono essere identificate e registrate; infine, nel caso in cui gli archivi non siano dotati di strumenti elettronici per il controllo degli accessi o di incaricati della vigilanza, che le persone che vi accedono devono essere preventivamente autorizzate. Trattamento dei dati personali con l'ausilio di strumenti informatici Ove il trattamento sia effettuato con l'ausilio di strumenti informatici, le misure minime di sicurezza sono indubbiamente più complesse: a) autenticazione informatica; b) adozione di procedure di gestione delle credenziali di autenticazione; c) utilizzazione di un sistema di autorizzazione; d) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici; e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici; f) adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi; g) tenuta di un aggiornato documento programmatico sulla sicurezza (DPS); h) adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari.
Le misure riportate, che sono quelle previste dal disciplinare tecnico, devono essere adottate sul sistema informatico: al riguardo, è senz'altro necessario l'intervento di un tecnico che rilasci un'attestazione circa l'avvenuta l'adozione delle suddette misure. Coloro i quali gestiscono dati attraverso strumenti elettronici e per motivi tecnici non possono adeguarsi alle misure minime di sicurezza entro il 30 giugno, avranno tempo fino al 31 marzo 2005 (essendo stato prorogato di tre mesi il precedente termine del 1° gennaio 2005), purché spieghino le motivazioni dell'inadempimento in un documento avente data certa. IL DOCUMENTO PROGRAMMATICO SULLA SICUREZZA Tra le misure minime di sicurezza da adottare per il trattamento dei dati con l'ausilio di strumenti elettronici rientra anche la predisposizione del Documento Programmatico sulla Sicurezza (DPS). Solo per quest'anno il DPS deve essere redatto entro il 31 dicembre 2004 (essendo ulteriormente slittato il termine del 30 giugno). A partire dal 2005 dovrà essere redatto o aggiornato entro il 31 marzo di ogni anno. Il Garante ha provveduto a delimitare l'ambito di applicazione dell'obbligo di redazione del DPS, stabilendo che sono tenuti all'adempimento soltanto i soggetti che trattano dati sensibili e/o giudiziari con l'ausilio di strumenti elettronici. Il DPS dovrà contenere: - l'elenco dei trattamenti di dati personali; - la distribuzione dei compiti e delle responsabilità nella struttura preposta al trattamento dei dati; - l'analisi dei rischi a cui sono esposti i dati; - le misure da adottare per garantire l'integrità e la disponibilità dei dati, la protezione delle aree e dei locali in cui essi sono custoditi; - la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento; - la previsione di interventi formativi degli incaricati del trattamento, al fine di istruirli e di aggiornarli sulle misure adottate, sui rischi gravanti sui dati e sulle eventuali responsabilità. Gli interventi formativi, già programmati al momento dell'entrata in servizio dei soggetti, dovranno essere ripetuti in caso di cambio di mansioni, o di introduzione di nuovi strumenti per il trattamento dei dati personali; - nell'ipotesi di trattamenti affidati all'esterno della struttura del titolare, la descrizione dei criteri da adottare per garantire l'adozione delle misure minime di sicurezza; - per i dati personali idonei a rivelare lo stato di salute e la vita sessuale, l'individuazione dei criteri da adottare per la cifratura o per la separazione dagli altri dati personali dell'interessato. Per quanto riguarda le modalità di redazione del DPS, si suggerisce la lettura della "Guida operativa per redigere il Documento programmatico sulla sicurezza (DPS)", pubblicata nel sito ufficiale del Garante per la protezione dei dati personali www.garanteprivacy.it. DPS e bilancio Nella relazione accompagnatoria al bilancio di esercizio, se dovuta, il titolare dovrà riferire in merito all'avvenuta redazione/aggiornamento del DPS. Riguardo al bilancio d'esercizio 2003, lo scorso 22 marzo il Garante ha chiarito quanto segue: - i soggetti già tenuti in precedenza a predisporre o aggiornare il DPS devono adempiere al
suddetto obbligo anche nella relazione sul bilancio di esercizio per il 2003. Perciò, nel caso in cui essi abbiano aggiornato il DPS senza attendere la data del 30 giugno (ora 31 dicembre), dovranno darne notizia nella relazione accompagnatoria al bilancio. Se invece non avessero ancora redatto il DPS, dovranno limitarsi ad indicare l'avvenuto aggiornamento del DPS per l'anno 2003 e a comunicare sinteticamente che provvederanno ad aggiornare il DPS entro il 31 dicembre; - i soggetti tenuti per la prima volta a redigere il DPS entro il 30 giugno 2004 (ora 31 dicembre) devono fornire l'indicazione richiesta soltanto se alla data di predisposizione della relazione di accompagnamento al bilancio abbiano già predisposto il DPS. In caso contrario, non sono tenuti ad indicare nulla, se non facoltativamente (ad esempio potranno descrivere l'aggiornamento in corso per il 2004).