Scritto da Rossella La Ferla

Responsabile Area Privacy

Questo testo è da considerarsi puramente indicativo.

Per tutti gli adempimenti, scadenze e specifiche si deve fare comunque riferimento alle leggi vigenti

LA LEGGE – DESTINATARI

Tutte le persone fisiche e giuridiche, aziende, società private e pubbliche, professionisti e studi associati che trattano dati

personali e/o sensibili e/o giudiziari.

LA LEGGE – DISPOSIZIONI GENERALI

– Trattare i dati personali in modo lecito e secondo correttezza

– Controllare la pertinenza e non eccedenza dei dati trattati rispetto alle finalità della raccolta

– Controllare l'esattezza dei dati ed eventualmente, qualora si renda necessario, provvedere al loro aggiornamento

– Conservare i dati in una forma che consenta l'identificazione dell'interessato per un periodo non superiore a quello

necessario agli scopi della raccolta; superato tale termine, provvedere alla cancellazione del dato, ovvero alla sua

trasformazione in forma anonima

– Individuare le figure preposte al trattamento attive del trattamento: titolare, incaricato, responsabile, l'amministratore

di sistema, il soggetto preposto alla custodia delle parole-chiave

– Nominare tali soggetti – eccetto il titolare – in forma scritta, fornendo le relative istruzioni

– Rendere ai soggetti interessati l'informativa di cui all'articolo 13, anche in forma orale

– Per i soggetti privati e gli enti pubblici economici, acquisire il consenso per il trattamento dei dati comuni

dell'interessato, ove richiesto (artt. 23 e 24)

– Per i soggetti privati e gli enti pubblici economici, acquisire il consenso scritto per il trattamento dei dati sensibili

dell'interessato (art. 26)

– Adottare le misure minime di sicurezza previste dal disciplinare tecnico – allegato B – al D.Lgs. n. 196/2003

– Redigere il Documento Programmatico sulla Sicurezza in caso di trattamenti di dati sensibili mediante elaboratori.

 ADEMPIMENTI PERIODICI

1° gennaio di ogni anno (adempimenti a cadenza annuale)

– Aggiornare l’individuazione dell’ambito di trattamento consentito ai singoli incaricati, ove variato, anche parzialmente

– Verificare la sussistenza delle condizioni per la conservazione delle autorizzazioni per l’accesso ai dati particolari per gli

incaricati

– Fornire istruzioni organizzative e tecniche affinché il salvataggio dei dati sia effettuato settimanalmente

– Programmare interventi di formazione per gli incaricati del trattamento

– Provvedere all’aggiornamento delle "patch" dei programmi per computer, nel caso di trattamento di dati comuni (punto

17, Allegato B)

1° gennaio e 1° luglio di ogni anno (adempimenti a cadenza semestrale)

– Aggiornare i software antivirus, per tutti i tipi di dati (punto 16, Allegato B)

– Provvedere all’aggiornamento delle "patch" dei programmi per computer, nel caso di trattamento di dati sensibili (punto

17, Allegato B)

31 marzo di ogni anno

– Aggiornare il Documento Programmatico sulla Sicurezza

– All’interno del Documento Programmatico sulla Sicurezza, deve essere previsto un piano di formazione per gli incaricati,

che dovrà pertanto essere rivisto annualmente. Il piano impone che siano fatte previsioni effettive sui tempi di

formazione e sulle strutture che gestiranno tali attività, nell’arco dell’anno. La formazione è programmata al momento

dell’ingresso in servizio, nonché in occasione di cambiamenti di mansioni, o introduzione di nuovi significativi strumenti,

rilevanti per il trattamento dei dati personali.

 

LE PROROGHE

1ª proroga

La prima proroga vede approvato, nella seduta del 22 giugno 2004, un decreto legge che, all’art.3, posticipa al 31

dicembre 2004 i termini per l’adozione delle misure minime di sicurezza che non erano previste dal precedente

regolamento (d.P.R. 318/1999). Rif. DLgs. N.158 del 24 giugno 2004 convertito in Legge 27 Luglio 2004 n. 188; in

Gazzetta Ufficiale n. 177 del 30 luglio 2004.

Termine Misure minime: 31/12/2004

2 ª proroga

La seconda volta, con decreto legge del 9 novembre 2004 n. 266 "Proroga o differimento di termini previsti da

disposizioni legislative" pubblicato in Gazzetta Ufficiale – Serie Generale – n. 264 del 10 novembre 2004; i nuovi

termini per l’adozione indicati all'articolo 6 del decreto sono il 30 giugno 2005 per le cosiddette misure minime

nuove (quelle che non erano previste nel d.P.R. 318/1999 e 30 settembre 2005 per quei titolari che dispongono di

strumenti elettronici che, per obiettive ragioni tecniche, non consentono in tutto o in parte l’immediata applicazione

delle relative misure minime).

Termini Misure minime: 30/06/2005

Termine ultimo per titolari che non dispongono di strumenti elettronici adeguati: 30/09/2005

3 ª proroga

E' stato pubblicato sulla Gazzetta Ufficiale il decreto legge 314/2004 che dispone proroghe o differimento di termini

(scadenze) in materia di protezione dei dati personali e in particolare del termine per l'adozione delle misure minime

di sicurezza, che slitta dal 30 giugno 2005 al 31 dicembre 2005.

Si tratta delle misure di sicurezza di cui agli articoli da 33 a 35 (trattamenti con e senza l'ausilio di strumenti

elettronici) e all'allegato B (disciplinare tecnico delle misure minime) del D.Lgs. n. 196/2003, non previste dal D.P.R.

n. 318/1999, fra cui anche la stesura o aggiornamento del documento programmatico sulla sicurezza (detto DPS).

Prorogato dal 30 settembre 2005 al 31 marzo 2006, inoltre, il termine per il titolare che dispone di strumenti

elettronici che, per obiettive ragioni tecniche, non consentono in tutto o in parte l'immediata applicazione delle

misure minime e delle corrispondenti modalità tecniche di cui al disciplinare – allegato B al Codice. A tal fine il

titolare deve descrivere le ragioni in un documento a data certa (era entro il 30 Settembre 2005) da conservare

presso la propria struttura. Nel frattempo il titolare adotta tutte le possibili misure di sicurezza in relazione agli

strumenti elettronici detenuti in modo da evitare, anche sulla base di idonee misure organizzative, logistiche o

procedurali, un incremento dei rischi.

Il provvedimento è stato approvato il 1° marzo in via definitiva dal Senato (DDL n. 3294)

Termini Misure minime: 31/12/2005

Termine ultimo per titolari che non dispongono di strumenti elettronici adeguati: 31/03/2006

4ª proroga

E' stato pubblicato sulla Gazzetta Ufficiale il decreto legge 273/2005 che dispone proroghe o differimento di termini

(scadenze) in materia di protezione dei dati personali e in particolare del termine per l'adozione delle misure minime

di sicurezza, che slitta dal 31 dicembre 2005 al 31 marzo 2006.

– Le misure di sicurezza descritte negli artt. 33-35 dell’allegato B sono adottate entro il 31 marzo 2006

– Prorogato dal 30 giugno 2006, inoltre, il termine per il titolare che dispone di strumenti elettronici che,

per obiettive ragioni tecniche, non consentono in tutto o in parte l'immediata applicazione delle misure

minime e delle corrispondenti modalità tecniche di cui al disciplinare.

Termini Misure minime: 31/03/2006

Termine ultimo per titolari che non dispongono di strumenti elettronici adeguati: 30/06/2006

 

GLI ADEMPIMENTI GIA’ ATTIVI

– Trattare i dati personali in modo lecito e secondo correttezza

– Controllare la pertinenza e la non eccedenza dei dati trattati rispetto alle finalità della raccolta

– Controllare l'esattezza dei dati ed eventualmente, qualora si renda necessario, provvedere al loro aggiornamento

– Conservare i dati in una forma che consenta l'identificazione dell'interessato per un periodo non superiore a quello

necessario agli scopi della raccolta; superato tale termine, provvedere alla cancellazione del dato ovvero alla sua

trasformazione in forma anonima

– Individuare le figure preposte al trattamento: titolare, incaricato, responsabile, amministratore di sistema, soggetto

preposto alla custodia delle parole-chiave.

– Nominare tali soggetti (eccetto il titolare) in forma scritta, fornendo le relative istruzioni.

– Rendere ai soggetti interessati l'informativa di cui all'articolo 13, anche in forma orale

– Per i soggetti privati e gli enti pubblici economici, acquisire il consenso per il trattamento dei dati comuni dell'interessato,

ove richiesto (artt. 23 e 24)

– Per i soggetti privati e gli enti pubblici economici, acquisire il consenso scritto per il trattamento dei dati sensibili

dell'interessato (art. 26)

– Riscontro all'interessato Notifica al Garante (se dovuta).

Le precedenti leggi (n. 318 del 1999 e 675/1996 ) obbligavano già alle seguenti misure minime di sicurezza:

In caso di trattamento con computer non connessi in rete:

– individuazione scritta degli incaricati

– assegnazione password individuale

In caso di trattamento con computer connessi in rete

a) rete non accessibile al pubblico

– individuazione scritta degli incaricati

– assegnazione password individuale (con scadenza, metodi di assegnazione, validità ecc.)

– protezione da rischi derivanti da programmi di cui all'art. 615 quinques (virus etc)

b) rete accessibile al pubblico

– individuazione scritta degli incaricati

– assegnazione password individuale (con scadenza, metodi di assegnazione, validita' ecc)

– protezione da da rischi derivanti da programmi di cui all'art. 615 quinques (virus etc)

– autorizzazione degli strumenti che possono essere utilizzati per la connessione ai sistemi contenenti i dati.

L'autorizzazione deve individuare i singoli elaboratori attraverso i quali è possibile accedere per effettuare

operazioni di trattamento (firewall…).

– In caso di trattamento di dati sensibili: stesura DPS

GLI ADEMPIMENTI PROROGATI

In caso di trattamento con elaboratori elettronici

– autenticazione informatica;

– adozione di procedure di gestione delle credenziali di autenticazione;

– utilizzazione di un sistema di autorizzazione;

– aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla

gestione o alla manutenzione degli strumenti elettronici;

– protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a

determinati programmi informatici (nei casi previsti);

– adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilita' dei dati e dei sistemi;

– tenuta di un aggiornato documento programmatico sulla sicurezza (DPSS) (nei casi previsti);

– adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di

salute o la vita sessuale effettuati da organismi sanitaria (nei casi previsti).

In caso di trattamento senza elaboratori elettronici

– aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati o alle unita'

organizzative;

– previsione di procedure per un'idonea custodia di atti e documenti affidati agli incaricati per lo svolgimento dei relativi

compiti;

– previsione di procedure per la conservazione di determinati atti in archivi ad accesso selezionato e disciplina delle

modalità di accesso finalizzata all'identificazione degli incaricati.

 

 

LE SANZIONI – VIOLAZIONI AMMINISTRATIVE

 

 

Descrizione Art.   Sanzione (min-max)

Omessa o inidonea informativa all’interessato di cui

all’art.13, 

161  € 3.000,00 € 18.000,00

Omessa o inidonea informativa all’interessato per trattamenti

dati sensibili di cui all’art. 17,

161  € 5.000,00 € 30.000,00

Cessione di dati in violazione della norma prevista

all’art.16

161

 

 € 5.000,00 € 30.000,00

Omessa o incompleta notificazione al Garante 163  € 10.000,00 € 60.000,00

Omissione di fornire informazioni o esibire documenti richiesti

dal Garante Privacy

164 € 4.000,00 – 24.000,00

 

   

 

 

 

LE SANZIONI – ILLECITI PENALI

 

 

Descrizione Art. Sanzione (min-max)

Trattamento di dati privi del consenso dell’interessato

(art. 23) in presenza di nocumento

167 6 mesi – 18 mesi Reclusione

Falsità nelle dichiarazioni o nella presenza di documentazione

in procedimento dinanzi al Garante o nel corso

di accertamenti

168  6 mesi – 3 anni Reclusione

Omissione nell’adottare le misure minime di sicurezza

Previste dall’art. 33 (riferim. artt. 31 e 34

dall’autenticazione informatica, al DPS, al trattamento

dei dati senza strumenti informatici).

Il reato viene estinto se viene effettuato l’adempimento

Prescritto in 60 giorni e se viene pagata una somma pari

a un quarto del massimo (€ 12.500,00)

169

Ammenda € 10.000,00 – Arresto fino a due

anni (Ammenda € 50.000,00)

Inosservanza dei provvedimenti del Garante 170 Arresto da 3 mesi a 2 anni

 

Carmelo La FerlaConsulenzaPrivacyScritto da Rossella La Ferla Responsabile Area Privacy Questo testo è da considerarsi puramente indicativo. Per tutti gli adempimenti, scadenze e specifiche si deve fare comunque riferimento alle leggi vigenti LA LEGGE – DESTINATARI Tutte le persone fisiche e giuridiche, aziende, società private e pubbliche, professionisti e studi associati che trattano dati personali e/o...