Consulenza Privacy - Gemini Informatica - Privacy e Tecnologia

Privacy (DLgs 196/2003): Il D.Lgs. 196/03 "Codice della Privacy" prevede che chiunque tratti "dati personali" nell’ambito della propria attività, predisponga tutte le "misure minime" necessarie alla protezione dei dati, predisponendo un funzionante e ben documentato Sistema di Gestione Privacy (SGP).
L’obiettivo del decreto è quello di ridurre al minimo il rischio di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.
I dati debbono essere trattati in modo da ridurre al minimo, mediante l’adozione di idonee e preventive misure di sicurezza, i rischi, anche accidentali, di distruzione o perdita.

Secondo il "Codice della Privacy", per "dato personale" si intende qualunque informazione relativa a persona fisica e, in alcuni casi specifici, a persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale.
Particolarmente meritevoli di tutela sono i cosiddetti "dati sensibili" e i cosiddetti "dati giudiziari".
Sono considerati "dati sensibili" i dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale;
Mentre "dati giudiziari" sono quei dati personali in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti. Inoltre possono essere quei dati personali indicanti la qualità di imputato o di indagato.
Per "trattamento" la norma intende qualunque operazione o complesso di operazioni, effettuati anche senza l'ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati.

Gli adempimenti previsti dalla nuova normativa (dal 1 aprile 2006 la normativa è pienamente in vigore) riguardano, di fatto, tutte le aziende che trattano dati sia in formato cartaceo che in formato elettronico.
Infatti, tutti coloro che trattano dati personali siano essi identificativi, sensibili o giudiziari, sono obbligati ad applicare le cosiddette "misure minime di sicurezza" su riportate (v. art. 34 e 35 D.Lgs 196/03).
Per chi gestisce dati elettronicamente tali misure minime, valutate nel contesto dei Sistemi Informatici o "Sistemi Informativi Aziendali" (valide anche in presenza di un solo PC) vanno dall’adozione di procedure di backup dei dati, all’adozione di software antivirus e di un sistema anti intrusione (firewall), alla pianificazione di procedure di ripristino dei sistemi e dei dati in caso di rottura, danneggiamento o furto delle macchine.
La mancanza di Computer in azienda non esonera la stessa dall’adottare alcune delle misure previste, dall’adempiere alle necessarie informative, dalla nomina dei profili di tutela previsti, e dall’identificazione, all’interno dell’organizzazione, delle figure previste dalla Legge (Titolare, Responsabile, Incaricati).

La normativa prevede oggi, malgrado la soppressione nel 2012 dell’obbligo specifico relativo al DPS (Documento Programmatico per la Sicurezza dei dati trattati), la predisposizione ipso facto di un documento riassuntivo (D.R.S.P. - Documento Riepilogativo del Sistema Privacy) contenente tutta la documentazione necessaria alla nomina di una serie di figure corresponsabili nel trattamento dei dati e, se del caso, la relativa notifica al Garante per la Privacy.
Infine, la normativa prevede una verifica annuale del documento su citato e delle procedure adottate verificandone il grado di rischio, la sua variabilità e l’effettiva implementazione in azienda (dal gennaio 2005).

Le responsabilità in cui si rischia di incorrere in caso di mancato adeguamento sono di tipo amministrativo e penale con multe da 3.000 a 60.000 euro e reclusione dai 6 mesi ai 4 anni.
In caso di infrazione alla normativa, il Garante per la Privacy può ordinare all'azienda la sospensione di ogni attività di trattamento dei dati personali fino alla risoluzione dei problemi emersi.