Adeguamento Testo Unico sulla Privacy
D.lgs. 196/03

Perché adeguarsi
Il testo unico privacy che sostituisce la legge n. 675/96 innova la normativa precedente, in vigore oramai da diversi anni, adeguandola ai mutamenti tecnologici avvenuti ed all’esperienza acquisita.
E’ assolutamente obbligatorio essere in regola. Si rischiano sanzioni molte dure: multe fino a 120.000 Euro, reclusione fino a 3 anni, vedere risarcimento del danno patrimoniale e morale ex art. 2050.

Chi deve adeguarsi
Devono adeguarsi tutti coloro che trattano datipersonali: aziende, professionisti, cooperative, associazioni, P.A., scuole, comuni, ospedali, enti pubblici ecc. (ovvero chiunque tratti dati personali di clienti, cittadini, dipendenti, fornitori, utenti, pazienti, colleghi, associati ecc.).
Ovviamente gli adempimenti sono diversi a seconda delle dimensioni della struttura e della tipologia di trattamento dati.

Prorogate le sole misure minime introdotte dal D.lgs 196/2003
Con la Legge del 1 marzo 2005 n. 26 di conversione del d.l.30 dicembre 2004 n. 314 recante “proroga di termini”, slitta di altri sei mesi- dal 30 giugno al 31 dicembre 2005 – il termine per l’adozione delle misure minime di sicurezza. Occorre però precisare che la proroga, si riferisce alle sole misure minime che sono state introdotte per la prima volta nel nostro ordinamento dal Codice Privacy (D.lgsl 196/2003), mentre non riguarda gli ulteriori adempimenti e le misure minime già contenute nella previgente normativa. In particolare, lo slittamento dei termini non riguarda quegli adempimenti che le aziende avrebbero dovuto adottare già a partire dal 29 marzo 2000 (31/12/2000 per quanti hanno usufruito della proroga ex art.n 1 L. 325/2000).Vale la pena di ricordare in questa sede i principali adempimenti che non sono soggetti a proroga:
– Informativa preventiva all’interessato,già prevista dall’art. 10 della L. 675/96.
– D.P.S. previsto dalla 675/96, per i soggetti che trattavano dati sensibili o attinenti ad alcuni provvedimenti giudiziari mediante una rete di telecomunicazioni disponibile al pubblico.
– Password il D.P.R. 318/99 prevedeva già l’adozione di parole chiave per gli incaricati del trattamento elettronico dei dati e la nomina del custode delle parole chiave. (art.2 D.P.R. 318/99 lettere a) e b).
Più precisamente sono interessate dalla proroga solo le misure minime ex artt. 31, 33, 34 e 35 del D.lgs 196/03 e lo dimostrano le recenti sanzioni del Garante sulle omesse notificazioni ex. art. 37. Resta la validità dell’art. 15 del codice, in base al quale chiunque cagiona danno ad altri per effetto della mancata adozione delle misure minime di sicurezza nel trattamento di dati personali, è tenuto al risarcimento dei danni ai sensi dell’articolo 2050 del codice civile. Permane quindi l’obbligo di adottare tutte le misure necessarie a garantire che il trattamento dei dati avvenga in modo da ridurre al minimo i rischi di accesso non autorizzato o trattamento non consentito o non conforme alle finalità di raccolta.

Nota legale sintetica
La recente legge di conversione di cui sopra ha previsto anche lo slittamento dal 30 settembre 2005 al 31 marzo 2006 del termine per l’adeguamento degli strumenti elettronici che, per obiettive ragioni tecniche, non consentano in tutto o in parte l’immediata osservanza di queste misure minime di sicurezza. Ad esempio nel caso in cui i dati siano contenuti su sistemi operativi che non consentono la gestione delle credenziali di autenticazione. In tali casi, rimane comunque fermo l’obbligo per il Titolare del trattamento di documentare le suddette ragioni con un atto a data certa, da redigere quanto prima e da conservare all’interno della propria struttura (art. 180 comma II del codice).

Nota sull’impatto organizzativo
Le strutture aziendali in questo ulteriore periodo a disposizione potranno effettuare un’accurata analisi della struttura che evidenzi eventuali debolezze nei sistemi di trattamento dei dati. Potranno inoltre approfittare dell’occasione per iniziare il percorso formativo e l’aggiornamento del personale incaricato del trattamento dei dati, così come previsto dall’art. 19 comma 6 dall ‘ Allegato B).

Come operare
Programmando un adeguamento progressivo.i dati personali, adottando le misure di sicurezza obbligatorie (fisiche, logiche ed organizzative), adeguandosi agli obblighi di informativa, consenso, notifica, nomina figure (responsabile, incaricati, custode delle credenziali ecc.), redigendo il Documento programmatico sulla sicurezza, formando il personale.

Servizio offerto
La S.L.Consulting, specializzata in servizi alle Aziende, comunica di aver organizzato uno staff interdisciplinare di esperti legali ed informatici al fine di assicurare l’esatto adempimento degli obblighi previsti dalla normativa in oggetto. L’adeguamento alla normativa in oggetto prevede:

Fase 1 ) Analisi della documentazione esistente sulla privacy
Questa prima fase riguarda il censimento e discriminazione dei dati (individuazione dei dati comuni, sensibili, semisensibili, dei trattamenti di particolare importanza per la struttura, dei dati facilmente recuperabili o meno, dei dati sottoposti a trasmissione esterna ecc.);

Fase 2 ) Individuazione e valutazione delle misure di sicurezza esistenti Nella seconda fase è necessario acquisire informazioni sulle misure adottate dall’Ente per ridurre al minimo i rischi di distruzione o perdita – anche accidentale – dei dati personali, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta;.

Fase 3 ) Rilevazione dei trattamenti, dei compiti e delle responsabilità Questa fase prevede la rilevazione dei trattamenti, svolti all’interno dell’Ente e all’esterno in outsourcing, che riguardano dati personali e che quindi vanno presi in considerazione dal Documento. Inoltre è necessario censire le funzioni e le responsabilità di tutti i soggetti fisici o entità organizzative che concorrono al trattamento dei dati;

Fase 4 ) Censimento e Messa in Sicurezza delle Banche dati Il censimento delle banche esistenti, sia su supporti informatici che in forma cartacea, è richiesto per individuare con precisione ove sono conservati i dati, rilevazione che assume particolare rilevanza per la documentazione cartacea, e le entità organizzative e i soggetti che possono consultare gli archivi. In questa fase si rilevano anche i sistemi di protezione utilizzati per la salvaguardia dei locali e delle attrezzature ove sono custoditi i dati;

Fase 5 ) Stesura del Documento Programmatico sulla Sicurezza (Dps)
Fase 6 ) Nei casi previsti dal Garante notificazione del trattamento;
Fase 7 ) Formazione del personale incaricato.

Vantaggi del servizio
La S.L.Consulting, fornisce in materia :
Consulenza all’adeguamento alla normativa;
Questa sarà effettuata dal nostro incaricato presso la Vostra Sede, si procederà quindi a porre in essere le fasi sopra elencate ivi compresa la redazione del Documento Programmatico sulla sicurezza.

Verrà garantita:

– Assistenza continua telefonica e on-line per tutta la durata contrattuale;
– Visite alla Sede;
– Assistenza in Sede in caso d’ispezione;
– Formazione del personale incaricato;
– Assistenza per la compilazione del D.P. S. e per la Notifica al Garante;