Loading...loading
logo ordine avvocati

Codice della privacy

23/03/2004 Brevi note in relazione alla legge di riforma ed agli adempimenti connessi. Premessa L’obiettivo esplicitato nel titolo, cioè illustrare sinteticamente i punti salienti del nuovo “codice della privacy”, si è rivelato immediatamente illusorio stante l’ampiezza, la complessità e, soprattutto, l’estraneità che il mondo professionale deve ammettere rispetto alla materia in oggetto. Se condivisibili sono i principi di fondo che animano la legge la loro traduzione in regole di comportamento pare scontrarsi con la realtà quotidiana, le sue difficoltà operative e, forse, con una certa dose di impreparazione culturale. Di certo alcune prescrizioni sembrano dettate non tenendo assolutamente conto di come si svolge, materialmente, l’attività lavorativa sia negli studi che nelle aziende. Per quanto riguarda i professionisti e, in particolare, gli avvocati pare opportuno adottare una lettura dell’impianto normativo che coniughi, in maniera equilibrata, una giusta dose di prudenza da un lato e di realismo dall’altro. In sostanza ridimensionando alcune preoccupazioni “cosmiche” che comporterebbero l’adozione di procedure e strumenti tali da paralizzare l’attività di studio. Nella consapevolezza che la materia è tuttora in evoluzione e (speriamo) soggetta ad una auspicabile proroga per alcuni adempimenti, offriamo ai colleghi queste note sulla legge in generale cercando altresì di individuare quali siano gli aspetti che maggiormente si attaglino alla nostra professione. E’ superfluo sottolineare che ogni contributo è gradito in quanto solo dal confronto dialettico si possono ricavare le migliori soluzioni.

* * * * * I principi generali Dando attuazione a quanto contenuto nella terza proroga concessa al Governo per completare la varietà di interventi previsti dalle legge 675/96, è stato varato con D. Lgs. 30.6.003 n. 196, pubblicato nella G.U. del 29.07.2003 il cosiddetto "Codice della privacy." Il provvedimento è strutturato in tre parti: la prima esprime le norme di carattere generale, comuni a qualsiasi trattamento dei dati; nella seconda si articolano norme dedicate a particolari settori (pubblica amministrazione, giudiziario e sanitario); nella terza, infine, sono contenute le disposizioni che attengono alla tutela riconosciuta ai soggetti che si ritengono lesi dalla violazione di norme disposte dal D. Lgs. stesso e le misure sostanzialmente da applicare a coloro che utilizzano i dati impropriamente. L’accorpamento di norme sino ad ieri sparse in vari provvedimenti ha portato ad una sensibile semplificazione della materia, introducendo altresì alcune novità accanto alla conferma di norme già esistenti nella precedente legislazione. La nuova disciplina si uniforma a quella comunitaria che già in occasione dei primi interventi di cui alle leggi 675 e 676/95, aveva condizionato il legislatore nazionale ad armonizzare il sistema interno con quello dei paesi membri, come disposto dalle istituzioni europee. Di qui il richiamo nel preambolo non solo alla Direttiva n. 95/46, ispiratrice della legge 31.12.96 n. 675 bensì anche alla Direttiva 2002/58. Anzi, il nuovo codice italiano amplia la tutela riconosciuta a livello comunitario, contemplando nell’art. 1 del D. Lgs. 2003/196 non solo la persone fisiche ma anche le persone giuridiche. Nella sostanza vi è un complessivo adeguamento ai principi espressi dal diritto comunitario, soprattutto in tema di modalità di raccolta e trattamento dei dati personali (art. 1), sia con riferimenti specifici (art. 13 co. 5) sia mediante un richiamo esplicito alle direttive sopra menzionate (96/45/CE e 2002/58/CE) contenuto nell’art. 184 del D. Lgs, anche se nel co. 3 di detta norma si ribadisce che prevalgono disposizioni di norme interne (legislative e/o regolamentari) più restrittive. Tale limitazione potrebbe tuttavia essere vanificata dall’applicazione della giurisprudenza comunitaria che già ha perentoriamente affermato la prevalenza della direttiva 95/46 rispetto a norme interne di segno contrario, portando in tal modo ad una applicazione del nuovo codice coerente e compatibile con il primato del diritto comunitario già affermato dalla Corte Costituzionale. Tuttavia, a fronte della progressiva attuazione delle direttive comunitarie e del rilevo che il diritto alla (tutela della) privacy ha assunto - sia come diritto immediato che strumentale per altri diritti della persona - nel concreto si deve prendere atto che, viceversa, nuove tecnologie e, soprattutto, esigenze di sicurezza ed ordine pubblico portano ad una generale attenuazione della protezione a livello internazionale.

* * * * * Gli artt. da 1 a 6 del D. Lgs 193/2003 contengono i cosiddetti principi generali nell’ambito dei quali si apportano alcune modifiche al sistema previgente soprattutto nel rapporto tra perentoria affermazione del diritto (artt. 1 e 2) da un lato e considerazione di aspetti più direttamente legati al mercato dell’informazione dall’altro: ciò si traduce in termini di semplificazione, armonizzazione ed efficacia del sistema. Particolare importanza assumono le disposizioni di cui agli artt. 4 e 5 in tema di definizioni ed ambito di applicazione. Per quanto riguarda le prime assume determinante rilievo la necessità di definire i ruoli di titolare, responsabile ed incaricato del trattamento. Quanto al titolare, per il quale il codice ha ribadito le precedenti affermazioni della legge 675/96, si tratta del soggetto - persona fisica, giuridica o ente - che esercita un potere decisionale del tutto autonomo sulle finalità e modalità del trattamento, compreso, il profilo della sicurezza. Il responsabile è il soggetto (persona fisica o giuridica) che il titolare può designare mediante nomina per iscritto e sul quale il responsabile esercita il suo potere di controllo. La scelta dovrà cadere su persone che per esperienza forniscono idonea garanzia nel pieno rispetto delle norme in materia di trattamento dei dati, compreso il profilo della sicurezza. L’incaricato, infine, è soggetto che compie operazioni di trattamento e può essere solo una persona fisica. Opera sotto la direzione del titolare o del responsabile, se nominato, di cui segue le istruzioni. Anche in questo caso la designazione è effettuata per iscritto ed individua puntualmente l’ambito del trattamento consentito. Per quanto riguarda l’oggetto e l’ambito di applicazione del codice vengono in rilievo l’attività di trattamento dei dati e il fatto di essere stabilito sul territorio italiano o in un luogo soggetto alla sovranità dello Stato. Tralasciata, al momento, la disciplina applicabile o meno nel caso di trattamenti effettuati all’estero - distinguendo tra paesi CE e non - si precisa (art. 5 3° co.) che le norme del codice si applicano anche in caso di dati trattati da persone fisiche a scopo personale solo se essi sono destinati ad una comunicazione diffusa e sistematica. In ogni caso si applicano le norme in tema di responsabilità e sicurezza dei dati contenute negli artt. 15 e 31 del D. Lgs. Un breve cenno, date le finalità e, soprattutto, i destinatari delle presenti note, meritano le norme che si occupano dei diritti dell’interessato e delle modalità del loro esercizio. In generale possiamo dire che poco o nulla è sostanzialmente mutato rispetto la precedente disciplina. I diritti di accesso ai dati ed altri diritti sono espressi dall’art. 7 nell’ambito del quale i commentatori hanno segnalato, quale elemento di novità rispetto al passato, il diritto di cui alla lett. b) del co. 4, circa l’opposizione assoluta che può svolgere l’interessato al trattamento di dati che lo riguardano ai fini di invio di materiale pubblicitario e di vendita diretta o per il compimento di ricerche di mercato. Gli artt. 8, 9 e 10 si occupano, rispettivamente dell’esercizio dei diritti, delle modalità di esercizio e del riscontro all’interessato. Le prime due norme, al di là della differente titolazione, si occupano di modalità e tempi per l’esercizio dei diritti riconosciuti all’interessato; mentre l’art. 10 concerne le condotte richieste al titolare e/o al responsabile del trattamento affinché l’esercizio del diritto dell’interessato sia effettivo.

* * * * * Il titolo III° del codice si occupa delle regole generali per il trattamento dei dati. L’art. 11 enuncia i principi guida del trattamento: i dati sono trattati in modo lecito, corretto, per determinati scopi, legittimi ed espliciti; devono essere esatti e, se necessario aggiornati, pertinenti e non eccedenti lo scopo del trattamento, conservati in modo che non sia consentita l’identificazione dell’interessato per un tempo successivo a quello in cui è cessato lo scopo del trattamento. Si ribadisce, infine, che i dati trattati in violazione dei principi rilevanti in materia di trattamento, non possono essere utilizzati. L’informativa all’interessato, nei modi e termini previsti dall’art. 13, contempla vari elementi; è funzionale alla corretta realizzazione dei diritti dell’interessato mediante la comunicazione degli scopi, modalità del trattamento, dell’obbligatorietà o meno del conferimento, soggetti destinatari e soggetti preposti al trattamento. Alla cessazione del trattamento i dati devono essere distrutti ovvero ceduti ad altro titolare che li utilizzi in termini compatibili con lo scopo per il quale i dati sono stati raccolti, ovvero per scopi statistici, storici o scientifici. I dati possono anche essere conservati per fini esclusivamente personali e non destinati a comunicazione sistematica o diffusione. In ambito privatistico, fatte salve le norme che si occupano dei principi generali, rilevano in particolare quelle di cui agli artt. da 23 a 27, aventi ad oggetto il consenso al trattamento, quale condizione di liceità del trattamento stesso. Il consenso va richiesto all’interessato prima della raccolta dei dati da parte di privati ed enti pubblici economici, salvo i casi in cui tale obbligo non sussiste per esplicita previsione di legge. Il consenso deve essere esplicito essendo riservata la prova scritta solo relativamente al trattamento di dati sensibili. Peraltro ci si chiede come possa - nei casi in cui è richiesto - provarsi il rilascio del consenso, pur esplicito, ma che non sia stato prodotto per iscritto. Altro sottile sofisma riguarda il consenso per il trattamento di dati della salute (sensibili) per fini sanitari nel cui caso è possibile il consenso verbale documentato per iscritto! Viene da osservare che se l’interessato sottoscrive un modello prestampato il consenso è scritto; se la sottoscrizione viene fatta dall’operatore che attesti il consenso espresso verbalmente, torna sempre il dubbio circa la prova del rilascio, ove venisse per ipotesi contestato. Il legislatore, per fortuna, ha previsto ipotesi di esimenti e condizioni di equipollenza al consenso (art. 24 e 26 del codice privacy) articolati nelle lettere da a) ad i), delle quali le più rilevanti per i destinatari delle presenti note sono: lett. a) quando è necessario adempiere un obbligo previsto dalla legge, da un regolamento o dalla normativa comunitaria; lett. b) quando è necessario per eseguire obblighi derivanti da un contratto del quale è parte l’interessato o per adempiere, prima della conclusione del contratto, a specifiche richieste dell’interessato; lett. c) quando riguarda dati provenienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque, fermi restando i limiti e le modalità che le leggi, i regolamenti o la normativa comunitaria stabiliscono per la conoscibilità e pubblicità dei dati; lett. d) riguarda dati relativi allo svolgimento di attività economiche, trattati nel rispetto della vigente normativa in materia di segreto aziendale e industriale; lett. e) è necessario per la salvaguardia della vita o dell’incolumità fisica di un terzo. Se la medesima finalità riguarda l’interessato e quest’ultimo non può prestare il proprio consenso per impossibilità fisica, per incapacità di agire o per incapacità di intendere o di volere, il consenso è manifestato da chi esercita legalmente la potestà, ovvero da un prossimo congiunto, da un familiare, da un convivente o, in loro assenza, dal responsabile della struttura presso cui dimora l’interessato. Si applica la disposizione di cui all’articolo 82, comma 2; lett. f) con esclusione della diffusione, è necessario ai fini dello svolgimento delle investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397, o, comunque, per far valere o difendere un diritto in sede giudiziaria, sempre che i dati siano trattati esclusivamente per tali finalità e per il periodo strettamente necessario al loro perseguimento, nel rispetto della vigente normativa in materia di segreto aziendale e industriale; g) con esclusione della diffusione, è necessario, nei casi individuati dal Garante sulla base dei principi sanciti dalla legge, per perseguire un legittimo interesse del titolare o di un terzo destinatario dei dati, anche in riferimento all’attività di gruppi bancari e di società controllate o collegate, qualora non prevalgano i diritti e le libertà fondamentali, la dignità o un legittimo interesse dell’interessato; h) con esclusione della comunicazione all’esterno e della diffusione, è effettuato da associazioni, enti od organismi senza scopo di lucro, anche non riconosciuti, in riferimento a soggetti che hanno con essi contatti regolari o ad aderenti, per il perseguimento di scopi determinati e legittimi individuati dall’atto costitutivo, dallo statuto o dal contratto collettivo, e con modalità di utilizzo previste espressamente con determinazione resa nota agli interessati all’atto dell’informativa ai sensi dell’articolo 13. In definitiva, salvo poche eccezioni, è previsto un consenso preventivo generalizzato. Altro aspetto che precedentemente aveva creato non poche difficoltà operative riguarda la notifica al garante. Tale istituto aveva già subito una profonda modifica con il D. Lgs. 467/2001, uno degli ultimi decreti legislativi di modifica della legge 675. In completa inversione di tendenza la riforma non prevede più l’obbligo della notificazione, salvo in casi specifici analiticamente indicati dall’art. 37 e che potranno essere modificati per difetto od eccesso con provvedimento del garante. In sintesi tali casi sono relativi al trattamento di: a) dati genetici, biometrici o dati che indicano la posizione geografica di persone od oggetti mediante una rete di comunicazione elettronica; b) dati idonei a rivelare lo stato di salute e la vita sessuale, trattati a fini di procreazione assistita, prestazione di servizi sanitari per via telematica relativi a banche di dati o alla fornitura di beni, indagini epidemiologiche, rilevazione di malattie mentali, infettive e diffusive, sieropositività, trapianto di organi e tessuti e monitoraggio della spesa sanitaria; c) dati idonei a rivelare la vita sessuale o la sfera psichica trattati da associazioni, enti od organismi senza scopo di lucro, anche non riconosciuti, a carattere politico, filosofico, religioso o sindacale; d) dati trattati con l’ausilio di strumenti elettronici volti a definire il profilo o la personalità dell’interessato, o ad analizzare abitudini o scelte di consumo, ovvero a monitorare l’utilizzo di servizi di comunicazione elettronica con esclusione dei trattamenti tecnicamente indispensabili per fornire i servizi medesimi agli utenti; e) dati sensibili registrati in banche di dati a fini di selezione del personale per conto terzi, nonché dati sensibili utilizzati per sondaggi di opinione, ricerche di mercato e altre ricerche campionarie; f) dati registrati in apposite banche di dati gestite con strumenti elettronici e relative al rischio sulla solvibilità economica, alla situazione patrimoniale, al corretto adempimento di obbligazioni, a comportamenti illeciti o fraudolenti. trattamenti con finalità correlate. Per quanto riguarda ulteriori formalità da compiere da parte del titolare del trattamento ricordiamo in estrema sintesi l’obbligo di comunicazione (art. 39) in casi particolari e definiti e la (eventuale) richiesta di autorizzazione. Riguardo quest’ultima sono previste da un lato ipotesi in cui il titolare deve inoltrare al garante una apposita richiesta; dall’altro autorizzazioni generali relative a determinate categorie di titolari o di trattamenti pubblicate sulla G.U.. Le attuali autorizzazioni generali esplicheranno i loro effetti sino al giugno 2004. Il problema "autorizzazione" stando alla lettera della legge, che non è affatto chiara ed ai primi commenti, riguarda tuttavia solo il trattamento dei dati sensibili e giudiziari.

* * * * * Di estrema importanza, in quanto riferibili a tutti i soggetti che trattano dati, appaiono le norme di cui al titolo V in tema di misure di sicurezza. In dettaglio, per quanto possa interessare nella presente sede, osserviamo che l’art. 31 pone indicazioni di principio di carattere generale, valide per tutti, mentre l’art. 32 dispone le indicazioni cui devono attenersi i fornitori di un servizio di comunicazione elettronica accessibile al pubblico anche, eventualmente, congiuntamente al fornitore della rete pubblica di comunicazioni (art. 32 1° e 2° co.). Con gli artt. da 33 a 36 la riforma si occupa di prescrivere ed indicare le misure che consentano un livello minimo di protezione dei dati personali. L’art. 34, rimandando per completezza alle modalità applicative previste nel disciplinare tecnico contenuto nell’allegato B) del D. Lgs, elenca quali siano le misure minime di sicurezza che è tenuto ad adottare chi esegue un trattamento dati con strumenti elettronici. Il disciplinare tecnico (all. B) è soggetto ad aggiornamento periodico, senza che sia tuttavia indicato l’intervallo tra un aggiornamento e l’altro. Anche in caso di trattamento senza l’ausilio di strumenti elettronici devono essere adottate elementari misure minime, nei modi anch’essi espressi nell’all. B), individuate dall’art. 35. L’all. B) si articola in ventinove punti e suddivide le misure minime in base a tre sole fattispecie: - trattamenti con strumenti elettronici; - trattamenti di dati sensibili o giudiziari; - trattamenti che non prevedono l’uso di strumenti elettronici. Entro il 31 marzo di ogni anno il titolare del trattamento di dati sensibili o giudiziari, o il responsabile, se nominato, deve redigere un documento programmatico sulla sicurezza contenente informazioni in ordine ai dati trattati, da chi e le relative attribuzioni di compiti e responsabilità, l’analisi dei rischi e le misure per garantire l’integrità e disponibilità, la protezione delle aree e dei locali, la descrizione dei criteri e modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento, la previsione di interventi formativi degli incaricati del trattamento. Tutte le misure sinteticamente sopra riportate, ed altre ancora, sono inserite nel disciplinare dell’all. B) che opportunamente sarà da esaminare ed adottare da parte dei soggetti (titolare e/o responsabile) preposti al trattamento, conservandolo ben visibile ed a portata di mano onde eseguirne una applicazione fedele. L’elencazione delle modalità di autenticazione informatica, di autorizzazione è puntuale e minuziosamente articolata in 14 punti. In concreto, dato l’alto tasso di tecnicismo contenuto nella legge e negli allegati, sarà opportuno (e per alcuni indispensabile) l’ausilio del soggetto che cura l’assistenza al sistema informatico dello studio, sia per l’adozione delle misure minime di sicurezza che per la redazione del documento programmatico.

* * * * * E’ opportuno ricordare che le misure di sicurezza già disposte con il D.P.R. 318/99 avrebbero dovuto essere adottate entro il 31.12.2000 e quindi è scontata la loro installazione alla data di entrata in vigore del "codice". Per l’adozione delle nuove misure, diverse da quelle previste dal D.P.R. 318/99, l’art. 180 della riforma fissa il termine al 30 giugno 2004 salvo che alla data di entrata in vigore della riforma (1 gennaio 2004) non sia stata fatta una valutazione circa le obiettive ragioni tecniche che non consentano l’adeguamento alle nuove prescrizioni entro tale data. In tal caso la legge consente una moratoria sino al 31 dicembre 2004 a condizione che tali ragioni siano state esplicitate in un documento avente data certa, sottoscritto dal titolare e da questi conservato.

* * * * * Trattamento dei dati personali, tuttavia, non è sinonimo di trattamento solo con strumenti informatici: la normativa si preoccupa di dettare prescrizioni anche in caso di utilizzo di materiale cartaceo. Rispetto alla precedente disciplina le novità portano ad una semplificazione degli adempimenti. Per i dati comuni devono essere impartite agli incaricati istruzioni scritte efficaci per tutto il ciclo del trattamento, individuando l’ambito del trattamento per i singoli incaricati individuando anche classi omogenee di incarico e relativi profili di autorizzazione. E’ stato eliminato l’obbligo di conservare i documenti in contenitori muniti di serratura. Per quanto riguarda i dati sensibili o giudiziari essi devono essere custoditi e controllati sino a quando, al termine del trattamento, devono essere restituiti. L’accesso a questi ultimi dati è controllato e le persone che vi accedano dopo l’orario di chiusura sono identificate e registrate. In mancanza di strumenti elettronici di controllo dell’accesso ovvero di personale di vigilanza le persone che vi accedono devono essere previamente autorizzate.

* * * * * LE SANZIONI Il rispetto delle prescrizioni contenute nel codice è perseguito attraverso un apparato sanzionatorio di carattere amministrativo e penale che può riassumersi in sintesi nel seguente prospetto: A)SANZIONI AMMINISTRATIVE 1) OMESSA O NON IDONEA INFORMATIVA ALL’INTERESSATO Da 3.000 a 18.000 Euro (ovvero da 5.000 a 30.000 EURO nei casi di dati sensibili o giudiziari o che presentano rischi specifici), aumentabile sino al triplo quando risulta inefficace in ragione delle condizioni economiche del contravventore. 2) NOTIFICA OMESSA OD INCOMPLETA Da 10.000 a 60.000 Euro, oltre alla sanzione accessoria della pubblicazione dell’ordinanza- ingiunzione su uno o più giornali. 3) OMESSA INFORMAZIONE O ESIBIZIONE AL GARANTE Da 4.000 a 24.000 Euro B) SANZIONI PENALI 1) TRATTAMENTO ILLECITO DI DATI Se dal fatto deriva documento, reclusione da sei a diciotto mesi; se il fatto consiste nella comunicazione o diffusione, reclusione da sei a ventiquattro mesi. Se l’illecito è commesso al fine di trarne un profitto o recare un danno, se dal fatto deriva nocumento reclusione da uno a tre anni. 2) FALSE DICHIARAZIONI O COMUNICAZIONI AL GARANTE Reclusione da sei mesi a tre anni 3)OMESSA ADOZIONE DELLE MISURE MINIME DI SICUREZZA Reclusione sino a due anni o ammenda da 10.000 a 20.000 Euro. 4) INOSSERVANZA DEI PROVVEDIMENTI DEL GARANTE Reclusione da tre mesi a due anni.

* * * * * Adempimenti e scadenze per gli studi legali e professionali in genere Come già accadeva per la Legge 675/96, neppure il Codice menziona mai esplicitamente la categoria professionale degli avvocati, ma lo fa indirettamente con riferimento all’attività da questi svolta, prevedendo per il trattamento di dati personali effettuato “al fine di far valere o difendere un diritto in sede giudiziaria”, esenzioni da obblighi altrimenti previsti. Pare comunque opportuno, senza alcuna pretesa di completezza e assoluto affidamento sulle indicazioni accolte, delineare la condotta più prudente da adottare nell’espletamento dell’attività legale. Individuazione dei soggetti È necessario individuare: il titolare del trattamento e cioè il titolare dello studio ovvero in caso di studio associato l’associazione nel suo complesso; il responsabile: figura facoltativa, designata dal titolare e predisposta a verificare il corretto adempimento degli obblighi di legge; gli incaricati: coloro che materialmente compiono le operazioni di trattamento ( titolari, collaboratori, impiegate).

* * * * * Informativa e di richiesta di consenso L’informativa L’articolo 13 del Codice - il cui precedente si ritrova nell’articolo 10 della Legge 675/96 - disciplina una delle fasi prodromiche al complesso e articolato meccanismo del trattamento dei dati personali: la fase informativa, nella quale chi fornisce dati personali (propri o di terzi) è reso edotto di una serie di notizie. Per i dati comuni del cliente l’avvocato deve rilasciare idonea informativa (vedasi fac-simile allegato) mentre non è necessario il consenso. Quando i dati personali non sono raccolti presso la persona cui i medesimi si riferiscono (il cosiddetto “interessato”), l’informativa è data: (i) in prima battuta al soggetto presso il quale i dati sono raccolti, e (ii) successivamente, all’atto della registrazione dei dati o, qualora sia prevista la loro comunicazione, non oltre la prima comunicazione, all’interessato. In quest’ultima ipotesi - ossia nel caso in cui la raccolta dei dati personali non avvenga direttamente presso l’interessato, ma presso soggetti terzi - l’articolo 13, comma 5, lettera b) del Codice consente di non informare l’interessato dell’avvenuta raccolta dei dati personali quando, congiuntamente: (i) i dati siano trattati ai fini dello svolgimento delle investigazioni difensive di cui alla Legge 7 dicembre 2000, n. 397 o, comunque, per “far valere” o “difendere” un diritto in sede giudiziaria, e (ii) sempre che i dati siano trattati esclusivamente per tali finalità e per il periodo strettamente necessario al perseguimento dei fini di cui sub (i). I dati sensibili e giudiziari possono essere trattati, senza ulteriori adempimenti di sorta, ma esclusivamente ai fini dell’azione in giudizio, in virtù delle autorizzazioni standard n. 4/2002 e 7/2002.
La richiesta del consenso Salvo quanto detto sopra in relazione alle autorizzazioni n. 4 e 7/2002, circa la non obbligatorietà della richiesta di consenso per il trattamento dei dati comuni, ricordiamo ulteriori ipotesi di esenzione dall’obbligo di ottenere il consenso dell’interessato, previste dall’articolo 24, lettera f) del Codice, senza distinzione fra dati raccolti direttamente presso l’interessato e dati raccolti presso terzi. Esse riguardano le ipotesi in cui il trattamento “con esclusione della diffusione, è necessario ai fini dello svolgimento delle investigazioni difensive di cui alla Legge 7 dicembre 2000, n. 397 o, comunque, per far valere o difendere un diritto in sede giudiziaria, sempre che i dati siano trattati esclusivamente per tali finalità e per il periodo strettamente necessario al loro perseguimento, nel rispetto della vigente normativa in materia di segreto aziendale e industriale”; ed ancora quando “ è necessario per eseguire obblighi derivanti da un contratto del quale è parte l’interessato o per adempiere, prima della conclusione del contratto, a specifiche richieste dell’interessato; ovvero, lettera c), riguarda dati provenienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque, fermi restando i limiti e le modalità che le leggi, i regolamenti o la normativa comunitaria stabiliscono per la conoscibilità e pubblicità dei dati; ovvero, lettera d), riguarda dati relativi allo svolgimento di attività economiche, trattati nel rispetto della vigente normativa in materia di segreto aziendale e industriale”.

* * * * * Dati sensibili e Dati giudiziari: esenzione dall’obbligo di fornire l’informativa e di richiesta del consenso. L’articolo 26 del Codice stabilisce che i “dati sensibili” possono essere oggetto di trattamento solo: (i) con il consenso scritto dell’interessato, e (ii) previa autorizzazione del Garante. Il comma 4 dell’articolo 26 del Codice prevede che i dati sensibili possono essere oggetto di trattamento anche senza consenso dell’interessato, ferma restando la necessità di preventiva autorizzazione del Garante, quando, tra l’altro, il trattamento “è necessario ai fini dello svolgimento delle investigazioni difensive di cui alla Legge 7 dicembre 2000, n. 397 o, comunque, per far valere o difendere un diritto in sede giudiziaria, sempre che i dati siano trattati esclusivamente per tali finalità e per il periodo strettamente necessario al loro perseguimento. Se i dati sono idonei a rilevare lo stato di salute e la vita sessuale, il diritto deve essere di rango pari a quello dell’interessato, ovvero consistente in un diritto della personalità o in un altro diritto o libertà fondamentale e inviolabile” (lettera c)). A proposito dell’obbligo di ottenere la preventiva autorizzazione del Garante per procedere lecitamente al trattamento di dati sensibili, si ricorda che in forza dell’articolo 41, comma 7, della Legge 675/96 - come sostituito dall’articolo 4, comma 1, del D.Lgs. 9 maggio 1997, n. 123 – il Garante ha emanato sette Provvedimenti autorizzativi generali, la cui efficacia è stata prorogata dal medesimo Garante sino al 30 giugno 2004. Tra i suddetti sette Provvedimenti, è compresa l’Autorizzazione al trattamento dei dati sensibili da parte dei liberi professionisti n. 4/2002.
L’Autorizzazione n. 4/1998 - nel testo modificato ed aggiornato n. 4/2002 - prevede nel paragrafo 3 del punto 4) che (anche ove ricorra l’ipotesi di autorizzazione preventiva del Garante al trattamento di dati sensibili) restano comunque fermi gli obblighi di: (a) informare l’interessato ai sensi dell’articolo 10, commi 1 e 3 della Legge 675/96, anche quando i dati sono raccolti presso terzi, e (b) di acquisire il consenso scritto, precisando poi, nel successivo paragrafo 4, che se i dati sono raccolti per l’esercizio di un diritto in sede giudiziaria o per indagini difensive, l’informativa relativa ai dati raccolti presso terzi, e il consenso scritto, sono necessari solo se i dati sono trattati per un periodo superiore a quello strettamente necessario al perseguimento di tali finalità, oppure per altre finalità con esse non incompatibili. Tutela rafforzata è accordata dall’articolo 27 del Codice ai dati “giudiziari”, il cui trattamento è consentito da parte di privati o di enti pubblici economici soltanto se autorizzato da espressa disposizione di legge o provvedimento del Garante che specifichino le rilevanti finalità di interesse pubblico del trattamento, i tipi di dati trattati e di operazioni eseguibili. Per i liberi professionisti, tuttavia, risulta ancora valida - in forza del sopra citato provvedimento di proroga del Garante - l’autorizzazione n. 7/2002, in base alla quale tali soggetti sono autorizzati a trattare i dati giudiziari dei rispettivi clienti, nonché di terzi ove ciò sia strettamente indispensabile per eseguire specifiche prestazioni professionali richieste dai clienti stessi.

* * * * * Notificazione Entro il 30 aprile, nei casi e per i soggetti obbligati, dovranno essere effettuate tutte le notificazioni previste dall’articolo 37 del Codice, per i trattamenti iniziati prima del 1° gennaio 2004. Nella sostanza non pare scadenza che interessi in particolare gli avvocati, anche in virtù delle autorizzazioni generali n. 4/2002 e 7/2002. L’adempimento rappresentato dalla notificazione al Garante è forse quello che ha subito con il Codice il mutamento di disciplina più drastico. L’articolo 37 del Codice dispone che il titolare notifichi al Garante il trattamento di dati personali cui intende procedere, solo se il trattamento riguardi una serie di ipotesi specificamente individuate, nessuna delle quali parrebbe ricorrere nell’ambito dell’esercizio della professione forense. Né sembrerebbe possibile che i trattamenti di dati personali da parte degli avvocati possano essere individuati e qualificati dal Garante come trattamenti suscettibili di recare pregiudizio ai diritti e alle libertà dell’interessato, in ragione delle relative modalità o della natura dei dati personali, e, come tali, soggetti a notificazione ai sensi del comma 2 dell’articolo 37 del Codice. Ove, diversamente, a seguito di verifiche condotte con riferimento al trattamento svolto da ciascun avvocato, questi dovesse rilevare il ricorrere dell’obbligo di effettuare la notificazione al Garante, dovrà procedervi ai sensi dell’articolo 38 del Codice, prima dell’inizio del trattamento ed una sola volta, a prescindere dal numero di operazioni e dalla durata del trattamento da effettuare. La notificazione è validamente effettuata solo se è trasmessa per via telematica utilizzando il modello predisposto dal Garante e osservando le prescrizioni da questi impartite, anche per quanto riguarda le modalità di sottoscrizione con firma digitale e di conferma del ricevimento della notificazione19. L’art. 37 dispone che i titolari del trattamento, tra gli altri, dei dati genetici e biometrici debbano provvedere alla notifica al garante. Gli studi che trattano tali dati dovranno quindi provvedere alla notifica in via telematica compilando i campi del modello disponibile sul sito ufficiale del garante, www.garanteprivacy.it entro il 30 aprile 2004.

* * * * * Comunicazione e diffusione dei dati personali. L’articolo 25 del Codice dispone che la comunicazione e la diffusione dei dati personali sono vietate, oltre che in caso di divieto disposto dal Garante o dall’autorità giudiziaria: lettera a), in riferimento a dati personali dei quali è stata ordinata la cancellazione ovvero quando è decorso il periodo di tempo necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati; e, lettera b), per finalità diverse da quelle indicate nella notificazione del trattamento, ove prescritta. Nei casi diversi da quelli sopra indicati, la comunicazione e la diffusione saranno consentiti, fermo restando l’adempimento degli obblighi previsti per qualsiasi altra operazione di trattamento.

* * * * * Misure minime di sicurezza Entro il 30 giugno 2004 devono essere adottate tutte le misure previste negli articoli 33 e 35 del Codice e nell’allegato B (disciplinare tecnico). L’art. 180 ha tuttavia previsto la possibilità che l’adeguamento alle misure minime di sicurezza possa essere posticipato al 1° gennaio 2005 a condizione che il titolare abbia descritto le ragioni obiettive che non consentano l’adeguamento alle nuove prescrizioni in un documento a data certa da conservare presso la propria struttura. In questi casi, comunque, il titolare del trattamento dei dati dovrà adottare da subito ogni possibile misura di sicurezza in relazione agli strumenti elettronici detenuti.
Documento programmatico per la sicurezza In ordine all’individuazione degli adempimenti da compiere, entro quali scadenze e da parte di quali soggetti, soprattutto in sede di prima applicazione della normativa, non c’è sempre la massima chiarezza. Il discorso vale, in particolare, per il cosiddetto Documento programmatico per la sicurezza sia per la complessità di tale elaborato sia perché vi è chi ne prevede l’adozione già dal 31 marzo 2004. Da molte parti, infatti, si parla dell’adozione di tale atto, entro detto termine come di un fatto scontato e di obbligo generale procurando in tal modo notevoli preoccupazioni non sempre fondate. Il D.P.S., come viene sinteticamente definito, è previsto in generale dall’art. 34 del D. Lgs. 196/03 alla lett. G) il quale dispone che esso deve essere adottato nei modi previsti dal disciplinare tecnico di cui all’All. B). Quest’ultimo prescrive al punto 19 che “ Entro il 31 marzo di ogni anno, il titolare di un trattamento di dati sensibili o di dati giudiziari redige anche attraverso il responsabile, se designato, un documento programmatico sulla sicurezza ..” Si tratta di una relazione che «il titolare di un trattamento di dati sensibili o di dati giudiziari redige indicando una lunga serie di informazioni, tra le quali: l’elenco dei trattamenti di dati personali, la distribuzione dei compiti e delle responsabilità nell’ambito delle strutture preposte al trattamento dei dati; la descrizione dei criteri da adottare per garantire l’adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformità al codice, all’esterno della struttura del titolare; per i dati personali idonei a rivelare lo stato di salute e la vita sessuale di, l’individuazione dei criteri da adottare per la cifratura o per la separazione di tali dati dagli altri dati personali dell’interessato. Vi è da osservare, in proposito, che l’art. 180 del codice dispone che le “ Le misure minime di sicurezza di cui agli articoli da 33 a 35 e all’allegato B) che non erano previste dal decreto del Presidente della Repubblica 28 luglio 1999, n. 318, sono adottate entro il 30 giugno 2004. 2. Il titolare che alla data di entrata in vigore del presente codice dispone di strumenti elettronici che, per obiettive ragioni tecniche, non consentono in tutto o in parte l’immediata applicazione delle misure minime di cui all’articolo 34 e delle corrispondenti modalità tecniche di cui all’allegato B), descrive le medesime ragioni in un documento a data certa da conservare presso la propria struttura. 3. Nel caso di cui al comma 2, il titolare adotta ogni possibile misura di sicurezza in relazione agli strumenti elettronici detenuti in modo da evitare, anche sulla base di idonee misure organizzative, logistiche o procedurali, un incremento dei rischi di cui all’articolo 31, adeguando i medesimi strumenti al più tardi entro un anno dall’entrata in vigore del codice.” Se ne deve desumere, quindi, che il primo 31 marzo entro cui predisporre il D.P.S. è il 31 marzo 2005: la norma transitoria, infatti, non pone eccezioni di sorta prevedendo che l’adozione delle misure di sicurezza (tutte quelle di cui agli art. 33-35 D.Lgs. 196/03 e dell’All. B) sia realizzata entro il 30 giugno ovvero il 31 dicembre 2004. Il termine del 31 marzo 2004, senza una specifica eccezione per il D.P.S., è dunque incompatibile con la generale previsione transitoria che se fosse applicata come suggeriscono allarmanti commenti sulla stampa economica e su rubriche di associazioni varie, penalizzerebbe proprio quei soggetti che per la complessità degli interventi in sicurezza dovrebbero naturalmente godere del maggior termine possibile. A parte questa osservazione temporale (comunque non secondaria) si deve ulteriormente precisare che non tutti i professionisti, ed in particolare gli avvocati, trattano, nell’accezione legislativa accolta, dati sensibili e giudiziari. Sia i primi che i secondi sono specificamente individuati secondo rigorose fattispecie ditalchè non per il solo fatto che certi dati sono trattati da un avvocato sono “giudiziari”. Non solo, il D.P.S. deve essere adottato dal titolare del trattamento di dati sensibili e giudiziari che utilizza strumenti elettronici, mentre per colui che effettua il trattamento senza l’ausilio di essi rilevano solo le disposizioni di cui ai punti 28 e 29 dell’All. B) e cioè: ”Quando gli atti e i documenti contenenti dati personali sensibili o giudiziari sono affidati agli incaricati del trattamento per lo svolgimento dei relativi compiti, i medesimi atti e documenti sono controllati e custoditi dagli incaricati fino alla restituzione in maniera che ad essi non accedano persone prive di autorizzazione, e sono restituiti al termine delle operazioni affidate. 29. L’accesso agli archivi contenenti dati sensibili o giudiziari è controllato. Le persone ammesse, a qualunque titolo, dopo l’orario di chiusura, sono identificate e registrate. Quando gli archivi non sono dotati di strumenti elettronici per il controllo degli accessi o di incaricati della vigilanza, le persone che vi accedono sono preventivamente autorizzate.” Quindi, presumendo che nella maggior parte dei casi il trattamento dei dati sensibili e giudiziari sia la conseguenza di archiviazione cartacea nei propri fascicoli di atti, sentenze, cartelle cliniche, certificati, etc. , non c’è alcun obbligo di redigere il fatidico D.P.S.. A conclusione diversa, ovviamente, deve giungersi qualora il professionista tenga una vera e propria banca dati informatica sui provvedimenti relativi ai propri clienti idonei a “…. a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale..” ovvero “… idonei a rivelare provvedimenti di cui all’articolo 3, comma 1, lettere da a) a o) e da r) a u), del d.P.R. 14 novembre 2002, n. 313, in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualità di imputato o di indagato ai sensi degli articoli 60 e 61 del codice di procedura penale..”.

* * * * * Altri adempimenti E’ infine opportuno ricordare che, a prescindere dal fatto che gli specifici adempimenti di cui sopra (informativa, richiesta di consenso, autorizzazione del Garante per il trattamento dei dati sensibili, notificazione al Garante) siano richiesti o meno sull’avvocato incombono comunque tutti gli obblighi previsti dal Codice che non siano fatti oggetto di espressa deroga, come quelli dettati: (i) in tema di requisiti dei dati personali - ai sensi dell’articolo 11 - (ii) in tema di misure minime di sicurezza - come disciplinate dagli articoli dal 31 al 36 e dal disciplinare tecnico di cui all’allegato B) del Codice (in sostituzione integrale dell’abrogato D.P.R. 28 luglio 1999, n. 318) -, (iii) in merito al trasferimento dei dati all’estero - di cui agli articoli dal 42 al 4522 - e (iv) in merito alle cautele da adottare in caso di cessazione del trattamento.

* * * * * Legge 7 dicembre 2000, n. 397 (“Disposizioni in materia di indagini difensive”). Nell’ambito del diritto penale, quanto detto sinora deve necessariamente essere integrato alla luce delle modifiche al codice di procedura penale introdotte con la Legge 397/2000, in materia di indagini difensive, alla quale numerose disposizioni del Codice fanno, come visto, espressamente riferimento. In particolare, l’articolo 11 della Legge 397/2000, introducendo un nuovo articolo al codice di procedura penale (articolo 391bis), impone al difensore, al sostituto, agli investigatori privati ed ai consulenti tecnici, l’obbligo di fornire alle persone in grado di riferire circostanze utili ai fini dell’attività investigativa, una serie di informazioni (tra le quali, propria qualità e scopo del colloquio) che si aggiungono, a pena di inutilizzabilità delle dichiarazioni ricevute o delle informazioni assunte, a quelle dovute ai sensi del Codice.

* * * * * Codice di deontologia e di buona condotta per il trattamento di dati personali effettuato per lo svolgimento delle investigazioni difensive o per far valere o difendere un diritto in sede giudiziaria Come già accennato, in assenza di precise informazioni riguardanti il predisponendo “Codice di deontologia e di buona condotta per il trattamento di dati personali effettuato per lo svolgimento delle investigazioni difensive o per far valere o difendere un diritto in sede giudiziaria”, come previsto dall’articolo 135 del Codice, non risulta possibile verificare l’impatto di tali ulteriori regole rispetto alle disposizioni di legge contenute nel Codice. Chi scrive è tuttavia dell’opinione che le considerazioni svolte alla luce della Legge 675/96, pubblicate sulle pagine della Rivista del Consiglio dell’Ordine Avvocati di Milano nel giugno 2001, possano essere ribadite anche a seguito dell’introduzione del D.Lgs. 196/2003, il quale, pur recando con sé numerose novità, non modifica l’impianto normativo originario, né le finalità di tutela perseguite. Il menzionato “Codice di deontologia e di buona condotta” - come accaduto per i codici già emanati per altre attività, riportati nell’allegato A) al D.Lgs. 196/2003 - dovrebbe quindi rappresentare per i soggetti ai quali si applicherà e, in particolare, per gli avvocati, uno strumento di “armonizzazione” delle disposizioni contenute nel D.Lgs. 196/2003 alle peculiarità proprie dell’attività forense, com’è tipicamente quella di “far valere o difendere un diritto in sede giudiziaria”. Al contempo, il suddetto “Codice di deontologia e di buona condotta” non potrà che operare ed essere applicato in combinato disposto con le regole di carattere generale contenute nel vigente Codice deontologico forense del 17 aprile 1997, come modificato il 16 ottobre 1999 e il 26 ottobre 2002 e, in particolare, con le disposizione in esso contenute che in ogni caso continueranno a rappresentare per gli avvocati la specificazione dei generali principi di garanzia relativi alla modalità e ai requisiti dei dati personali prescritti dall’articolo 11 del D.Lgs.

* * * * * Notifiche in materia civile e penale Degne di nota, anche se più direttamente connesse all’attività svolta dagli ufficiali giudiziari, sono le modifiche apportate dall’articolo 174 del Codice agli articoli del codice di procedura civile e al codice di procedura penale in merito alle notificazioni, nonché, limitatamente al primo dei due codici di rito, alle modalità di intimazione ai testimoni (articolo 250 c.p.c.), alla pubblicità degli avvisi (articolo 490 c.p.c.) e agli avvisi di vendita (articolo 570 c.p.c.). Tutte le modifiche apportate dal Codice tendono, naturalmente, al rispetto del principio di riservatezza dei soggetti a vario titolo coinvolti nelle procedure giudiziarie.

* * * * * Tenuta dell’Albo professionale e regime di pubblicità dei provvedimenti disciplinari. Si contano numerosi i provvedimenti del Garante aventi ad oggetto la tenuta degli albi o elenchi professionali. Il concetto di fondo che emerge inequivocabilmente da dette pronunce - riportato in un comunicato stampa del Garante del 1999 - è che “la Legge consente la comunicazione e la diffusione a privati, ad enti pubblici economici, nonché ad altri enti pubblici e ad altri ordini professionali dei dati personali contenuti negli albi professionali, in quanto la materia è disciplinata espressamente da norme, leggi e regolamenti che opportunamente prevedono la pubblicità di tali atti”. Gli ordini professionali potranno trattare dati personali, per la tenuta di tali albi e l’espletamento di altri compiti, ai soli fini dello svolgimento delle funzioni istituzionali”. L’albo degli avvocati è liberamente conoscibile da chiunque vi abbia interesse, in quanto, sono parole del Garante, “gli albi dei liberi professionisti sono ispirati per loro stessa natura e funzione ad un regime di piena pubblicità, anche in funzione della tutela dei diritti di coloro che a vario titolo hanno rapporti con gli iscritti in albi”. L’avvocato non può invocare la “privacy” rispetto alla notizia dell’esistenza di un provvedimento disciplinare a suo carico che si rifletta sull’esercizio della sua professione. Il Garante ha osservato che i motivi alla base della pubblicità degli albi, ricorrono anche per i provvedimenti che comportano la sospensione o l’interruzione dell’esercizio della professione, i quali, per loro natura, devono considerarsi soggetti ad un regime di ampia pubblicità. In particolare, il regime di conoscibilità dei provvedimenti disciplinari si fonderebbe su rilevanti motivi di interesse pubblico connessi anche a ragioni di giustizia e al regolare svolgimento dei procedimenti giudiziari, rispetto ai quali non può ritenersi prevalente l’interesse alla riservatezza del professionista. La decisione del Garante sembrerebbe dover ricevere conferma, oggi, alla luce di quanto dispone l’articolo 61 del Codice, secondo il quale, agli effetti dell’applicazione del Codice, i dati personali diversi da quelli sensibili o giudiziari, che devono essere inseriti in un albo professionale in conformità alla legge o ad un regolamento, possono essere comunicati a soggetti pubblici e privati o diffusi, ai sensi dell’articolo 19, commi 2 e 3, anche mediante reti di comunicazione elettronica. Può essere altresì menzionata l’esistenza di provvedimenti che dispongono la sospensione o che incidono sull’esercizio della professione. Inoltre, l’ordine o collegio professionale può, a richiesta della persona iscritta nell’albo che vi ha interesse, integrare i suddetti dati con ulteriori dati pertinenti e non eccedenti in relazione all’attività professionale. A richiesta dell’interessato l’ordine o collegio professionale può altresì fornire a terzi notizie o informazioni relative, in particolare, a speciali qualificazioni professionali non menzionate nell’albo, ovvero alla disponibilità ad assumere incarichi o a ricevere materiale informativo a carattere scientifico inerente anche a convegni o seminari.

* * * * * PICCOLO GLOSSARIO Trattamento: operazione o complesso di operazioni, svolte con o senza l’ausilio di mezzi elettronici o comunque automatizzati, concernenti la raccolta, la registrazione, l’organizzazione, la conservazione, l’elaborazione, la modificazione, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati; Dati: a)"personali":(qualunque informazione relativa a persona fisica, giuridica, ente o associazione, identificati o identificabili anche indirettamente, compresi i numeri di identificazione personale); b)"identificativi" i dati personali che permettono l’identificazione diretta dell’interessato; c)"sensibili" (quelli idonei a rivelare l’origine etnica e razziale, le convinzioni religiose, politiche, filosofiche, l’appartenenza a partiti e sindacati, nonché quelli idonei a rivelare lo stato di salute e la vita sessuale); d)"giudiziari" (i dati personali in materia di casellario giudiziale, di anagrafe delle sanzioni dipendenti da reato e in genere le questioni attinenti alla giustizia civile e penale); Titolare del trattamento: soggetto su cui gravano tutti i principali obblighi previsti dalla normativa. Solitamente si identifica nel titolare dell’azienda ovvero dello studio professionale. In caso di studio associato saranno tutti i titolari ed in tal caso rileverà la necessità di nominare un Responsabile del trattamento: ovvero il soggetto preposto dal titolare al trattamento dei dati personali il quale dovrà procedere al trattamento dei dati personali attenendosi alle istruzioni impartite per iscritto dal titolare. La nomina, sebbene sia facoltativa, risulta in realtà opportuna, se non necessaria, sotto il profilo organizzativo, costituendo tra l’altro presupposto per la corretta applicazione delle " misure minime di sicurezza; Incaricati del trattamento: sono i soggetti che elaborano i dati personali cui hanno accesso, attenendosi alle istruzioni del titolare o del responsabile, sotto la loro diretta autorità. Informativa: costituisce un elemento imprescindibile della tutela della privacy, nel senso che è sempre dovuta. Essa può anche essere fornita verbalmente, ma è preferibile predisporla per iscritto. L’informativa fornisce all’interessato le finalità e le modalità del trattamento, il fatto che il conferimento dei dati sia obbligatorio o facoltativo, le conseguenze del mancato conferimento, i soggetti cui i dati potranno essere comunicati o che possono venire a conoscenza in qualità di responsabili o incaricati, i diritti riconosciuti all’interessato, l’identificazione del titolare e, se nominato, del responsabile del trattamento. Consenso: costituisce il presupposto affinché il titolare possa trattare dati sensibili, Autorizzazione: condizione preventiva, ottenuto il consenso, per trattare dati sensibili, salvo particolari casi di esclusione disciplinati dalla norma. Al fine di agevolare gli adempimenti dei soggetti obbligati, il Garante nel passato ha fornito autorizzazioni di carattere generale tra cui una specifica per i professionisti secondo il seguente schema
1 - Datori di lavoro
2 - Operatori che trattano dati sulla salute
3 - Organismi di tipo associativo e fondazioni
4 - Liberi professionisti
5 - Banche, assicurazioni, chi svolge attività di ricerche personale, sondaggi, elaborazione dati...
6 - Investigatori privati
7 - Soggetti che trattano dati di carattere giudiziario
Notificazione: modello, contenente tutta una serie di dati, tra cui quelli relativi ai trattamenti effettuati, alle modalità e alle finalità del trattamento, alle misure di sicurezza adottate, da inviare telematicamente al Garante prima dell’inizio trattamento, e una sola volta a prescindere dal numero delle operazioni e della durata del trattamento solo nei casi previsti dalla norma art. 37 (dati relativi alla salute, alla sfera sessuale o psichica, dati volti a definire il profilo o la personalità, dati a fini della selezione del personale per conto terzi, dati relativi a sondaggi di opinione e ricerche di mercato, dati relativi alla solvibilità economica o alla situazione patrimoniale degli interessati). Per i trattamenti già iniziati alla data di entrata in vi ore del Codice, la scadenza è stata fissata al prossimo 30 Aprile Misure minime di sicurezza: (artt. 33-36 del Codice ed Allegato B) dispositivi ed accorgimenti tecnici, modalità di conservazione che riguardano tanto i trattamenti effettuati con mezzi elettronici tanto quelli non elettronici. I dati personali devono essere custoditi e controllati in modo da ridurre ad un ragionevole margine il rischio di sottrazione o perdita degli stessi, nonché di accessi non autorizzati da parte di terzi, evitando inoltre il trattamento di dati non consentito e non conforme. Per fare ciò, quando il trattamento è effettuato con mezzi elettronici, è richiesto un sistema di autenticazione informatica: in pratica ciascun incaricato deve essere dotato di "credenziali di autenticazione" che consentano il superamento di una procedura di autenticazione attraverso l’identificazione dell’incaricato medesimo. Le credenziali possono consistere in strumenti quali smart card o dispositivi biometrici, ma molto più comunemente consisteranno in codici identificativi associati a password. Altre misura riguardano: la necessità di impartire adeguate istruzioni sull’utilizzo degli strumenti informatici, a cura del titolare o del responsabile, che hanno anche l’obbligo di controllare e gestire le credenziali di autenticazione; l’adozione di strumenti anti-virus, da aggiornare almeno semestralmente; l’effettuazione degli aggiornamenti dei programmi, per prevenire la vulnerabilità degli strumenti elettronici e correggerne i difetti, da effettuarsi almeno annualmente (semestralmente per i trattamenti di dati sensibili); la necessità di effettuare il salvataggio dei dati almeno settimanalmente, impartendo le relative istruzioni organizzative e tecniche; l’obbligo di redigere il "documento programmatico sulla sicurezza" annualmente (entro il 31 marzo di ogni anno) se si trattano dati sensibili o giudiziari, secondo lo standard illustrato nell’allegato B del Codice. L’adeguamento alle nuove misure minime di sicurezza, è opportuno sottolinearlo, deve avvenire entro il prossimo 30 aprile 2004 ovvero entro il 31 dicembre 2004 per coloro che hanno usufruito della proroga nei termini disposti dall’art. 180 del codice. Password: deve essere composta da almeno otto caratteri, non contenenti riferimenti agevolmente riconducibili all’incaricato (per esempio il suo nome, cognome, ecc.). Modifica: Al primo utilizzo l’incaricato deve modificare la password e successivamente almeno ogni sei mesi. Se il trattamento riguarda dati sensibili la password deve essere modificata almeno ogni tre mesi. Custodia e riservatezza: L’incaricato deve adottare le necessarie cautele per assicurare la segretezza della password, e la diligente custodia della stessa (come degli eventuali dispositivi) in suo possesso e a suo uso esclusivo.

* * * * *
Nuove | 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | 11 | 12 | 13 | 14 | 15 | 16 | 17 | 18 | 19 | 20 | 21 | 22 | 23 | 24 | 25 | 26 | 27 | 28 | 29 | 30 | 31 | 32 | 33 | 34 | 35 | 36 | 37 | 38 | 39 | 40 | 41 | 42 | 43 | 44 | 45 | 46 | 47 | 48 | 49 | 50 | 51 | 52 | 53 | 54 | 55 | 56 | 57 | 58 | 59 | 60 | 61 | 62 | 63 | 64 | 65 | 66 | 67 | 68 | 69