Loading...loading
logo ordine avvocati

Aggiornamenti delle norme sulla privacy

02/04/2004 Primi interventi del Garante sulla disciplina introdotta dalla D.Lgs. 196/2003

Con provvedimento del 22 marzo 2004 il Garante per la protezione dei dati personali è opportunamente intervenuto in ordine agli adempimenti previsti per l’adozione delle misure minime e per la redazione del fatidico DPS (Documento programmatico per la sicurezza).

Riportando quanto contenuto nel comunicato stampa dell’Autorità garante si evidenzia che è stato prorogato al 30 giugno 2004 il termine per adottare le nuove “misure minime” di sicurezza introdotte dal Codice della privacy a salvaguardia dei dati personali contenuti negli archivi; nonché per redigere il documento programmatico in materia di sicurezza (dps). Il dps deve contenere, in particolare, l’analisi dei rischi che incombono sui dati personali e le tutele da adottare per prevenire la loro distruzione, l’accesso abusivo e la dispersione ed è obbligatorio per chi raccoglie, utilizza e conserva dati sensibili o giudiziari. Potranno usufruire del termine del 30 giugno sia coloro che devono predisporre tale documento per la prima volta sia coloro che ne abbiano già redatto o aggiornato uno nel 2003. Il termine concesso oggi agli operatori riguarda solo ed esclusivamente l’adozione delle nuove misure introdotte dal Codice. Le "vecchie" misure minime, che erano già obbligatorie in passato, devono essere infatti adottate senza attendere il termine del 30 giugno.

Come è stato osservato il più lungo termine del 30 giugno 2004, per quanto riguarda in particolare le redazione del Documento programmatico per la sicurezza, è motivato dal fatto che nel nuovo DPSS si devono includere informazioni aggiuntive, rispetto a quelle in precedenza richieste, e si deve inoltre dare conto di avere adottato, o di essere in procinto di adottare, misure di sicurezza che possono essere in parte nuove, rispetto a quelle previste dal Dpr 318/1999 stesso. Per inciso, tali soggetti sono tenuti a redigere il DPSS per il 2004 entro il 30 giugno anche nell’ipotesi in cui, a tale data, sia trascorso meno di un anno dall’ultimo aggiornamento effettuato in base alle vecchie regole, previste dal Dpr 318/1999 Per i soggetti che non erano tenuti alla redazione del DPSS, in vigenza del Dpr 318/1999, ma lo sono ai sensi del nuovo codice privacy, la scadenza del 30 giugno 2004, imposta dal Garante, costituisce in realtà un anticipo, rispetto alla data che si sarebbe potuta ipotizzare, dalla lettura della norma (31 marzo 2005). Il Garante ritiene infatti che non sussistano margini per sostenere che, nel caso in esame, il DPSS possa essere redatto per la prima volta solo nel 2005. Il Garante ha affermato che si tratta di una misura da adottare con un documento, non di un accorgimento da applicare direttamente a strumenti elettronici, per cui non è possibile invocare un differimento al 2005, neppure in applicazione dello speciale meccanismo a proposito delle obiettive ragioni tecniche relative a strumenti elettronici. Tale interpretazione, ad avviso di chi scrive, è quantomeno originale. Si consideri, infatti, che sempre con il provvedimento del 22 marzo scorso il garante ha “prorogato” al 30 giugno (prima la data era stata individuata al 31.12.2003 o, secondo una lettura più aderente al testo legislativo, al 1.1.2004) anche il termine entro cui “..Il titolare che alla data di entrata in vigore del presente codice dispone di strumenti elettronici che, per obiettive ragioni tecniche, non consentono in tutto o in parte l’immediata applicazione delle misure minime di cui all’articolo 34 e delle corrispondenti modalità tecniche di cui all’allegato B), descrive le medesime ragioni in un documento a data certa da conservare presso la propria struttura” (art. 180 co. 1 D.Lgs. 196/2003). Non è chiara la coerenza e la logica secondo cui si possano adottare quelle misure tecniche minime per la sicurezza dei dati entro la fine d’anno imponendo, viceversa, che entro il 30 giugno sia redatto un documento che proprio sull’adozione di quelle misure, oltre ad una altra nutrita serie di indicazioni programmatiche, fonda la propria ratio. Perché delle due l’una: o si considera la redazione del DPS un mero esercizio accademico ed allora sfugge il senso di imporlo in termini temporali più angusti rispetto delle misure di sicurezza vere e proprie; oppure, se così non vuol essere, è necessario che i due termini coincidano.

* * * * *

Con provvedimento del 31 marzo 2004 il Garante ha, altresì, disposto fattispecie di (testuale) sottrazione all’obbligo di notificazione al Garante, tra i casi previsti dall'art. 37, comma 1, del d.lg. 30 giugno 2003, n. 196 tra le quali spicca per gli avvocati con riferimento ai casi di cui al comma 1, lett. a) di tale disposizione: “……b) i trattamenti di dati genetici o biometrici effettuati nell’esercizio della professione di avvocato, in relazione alle operazioni e ai dati necessari per svolgere le investigazioni difensive di cui alla legge n. 397/2000, o comunque per far valere o difendere un diritto anche da parte di un terzo in sede giudiziaria. Ciò sempre che il diritto sia di rango almeno pari a quello dell’interessato e i dati siano trattati esclusivamente per tali finalità e per il periodo strettamente necessario al loro perseguimento..”; nonché “2) con riferimento ai casi di cui al comma 1, lett. b) della medesima disposizione, i trattamenti di dati idonei a rivelare lo stato di salute e la vita sessuale effettuati da esercenti le professioni sanitarie, anche unitamente ad altri esercenti titolari dei medesimi trattamenti. In sostanza si vanno, anzi, si andranno ulteriormente riducendo le già ridotte ipotesi di obbligo di notifica al Garante, in forza di provvedimenti di esclusione (sottrazione) previsti per determinate categorie di soggetti.

* * * * *

Si riporta per comodità di lettura il testo integrale di quest’ultimo provvedimento: "Provvedimento relativo ai casi da sottrarre all'obbligo di notificazione"

Registro delle Deliberazioni n. 1

del 31 marzo 2004

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

In data odierna, in presenza del prof. Stefano Rodotà, presidente, del prof. Giuseppe Santaniello, vice presidente, del prof. Gaetano Rasi e del dott. Mauro Paissan, componenti, e del dott. Giovanni Buttarelli, segretario generale;

VISTO l’art. 37, commi 1 e 2, del d.lg. 30 giugno 2003, n. 196, recante il Codice in materia di protezione dei dati personali;

RILEVATO che tale Codice indica i trattamenti di dati da notificare al Garante e demanda a questa Autorità il compito di individuare, tra essi, quelli sottratti all’obbligo di notificazione purché non suscettibili di recare pregiudizio ai diritti e alle libertà dell’interessato in ragione delle modalità di trattamento o della natura dei dati (art. 37, comma 1);

RILEVATO che il medesimo Codice demanda altresì al Garante il compito di individuare ulteriori trattamenti in aggiunta a quelli elencati nella predetta disposizione;

VISTA la documentazione in atti;

RILEVATO in sede di prima applicazione del Codice che taluni trattamenti sono effettuati con modalità che permettono, allo stato, di sottrarli all’obbligo di notificazione, ferma restando l’osservanza degli ulteriori principi ed obblighi previsti dal Codice in materia di protezione dei dati personali;

VISTE le osservazioni formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;

RELATORE il Prof. Stefano Rodotà;

DELIBERA

A) di sottrarre all’obbligo di notificazione al Garante, tra i casi previsti dall'art. 37, comma 1, del d.lg. 30 giugno 2003, n. 196:

1) con riferimento ai casi di cui al comma 1, lett. a) di tale disposizione:

a) i trattamenti non sistematici di dati genetici o biometrici effettuati da esercenti le professioni sanitarie, anche unitamente ad altri esercenti titolari dei medesimi trattamenti, rispetto a dati non organizzati in una banca di dati accessibile a terzi per via telematica. Ciò limitatamente ai dati e alle operazioni, compresa la comunicazione, indispensabili per perseguire finalità di tutela della salute o dell’incolumità fisica dell’interessato o di un terzo;

c) i trattamenti di dati che indicano la posizione geografica di mezzi di trasporto aereo, navale e terrestre, effettuati esclusivamente a fini di sicurezza del trasporto;

2) con riferimento ai casi di cui al comma 1, lett. b) della medesima disposizione, i trattamenti di dati idonei a rivelare lo stato di salute e la vita sessuale effettuati da esercenti le professioni sanitarie, anche unitamente ad altri esercenti titolari dei medesimi trattamenti:

a) a fini di procreazione assistita, di trapianto di organi e tessuti, indagine epidemiologica, rilevazione di malattie mentali, infettive, diffusive o di sieropositività. Ciò sempre che i trattamenti siano effettuati non sistematicamente, rispetto a dati non organizzati in una banca di dati accessibile a terzi per via telematica e limitatamente ai dati e alle operazioni indispensabili per la tutela della salute o dell’incolumità fisica dell’interessato o di un terzo;

b) ad esclusivi fini di monitoraggio della spesa sanitaria o di adempimento di obblighi normativi in materia di igiene e sicurezza del lavoro e della popolazione;

3) con riferimento ai casi di cui al comma 1, lett. c), i trattamenti di dati idonei a rivelare la sfera psichica di lavoratori:

a) effettuati da associazioni, enti od organismi a carattere sindacale per adempiere esclusivamente a specifici obblighi o compiti previsti dalla normativa in materia di rapporto di lavoro o di previdenza, anche in tema di diritto al lavoro dei disabili;

b) effettuati da associazioni, enti od organismi senza scopo di lucro, anche non riconosciuti, a carattere politico, filosofico o religioso riguardo a dati di propri dipendenti o collaboratori, per adempiere esclusivamente a specifici obblighi previsti dalla normativa in materia di rapporto di lavoro o di previdenza;

4) con riferimento ai casi di cui al comma 1, lett. d), i trattamenti di dati personali:

a) che non siano fondati unicamente su un trattamento automatizzato volto a definire profili professionali, effettuati per esclusive finalità di occupazione o di gestione del rapporto di lavoro, fuori dei casi di cui alla lettera e) del medesimo art. 37, comma 1;

b) che non siano fondati unicamente su un trattamento automatizzato volto a definire il profilo di un investitore, effettuati esclusivamente per adempiere a specifici obblighi previsti dalla normativa in materia di intermediazione finanziaria;

c) relativi all’utilizzo di marcatori elettronici o di dispositivi analoghi installati, oppure memorizzati temporaneamente, e non persistenti, presso l’apparecchiatura terminale di un utente, consistenti nella sola trasmissione di identificativi di sessione in conformità alla disciplina applicabile, all’esclusivo

fine di agevolare l’accesso ai contenuti di un sito Internet;

5) con riferimento ai casi di cui al comma 1, lett. e), i trattamenti di dati sensibili effettuati:

a) al solo fine di selezione di personale per conto esclusivamente di soggetti appartenenti al medesimo gruppo bancario o societario;

b) da soggetti pubblici per adempiere esclusivamente a specifici obblighi o compiti previsti dalla normativa in materia di occupazione e mercato del lavoro;

c) da associazioni o organizzazioni di categoria al solo fine di svolgere ricerche campionarie relativamente a dati riguardanti l’adesione alla medesima associazione o organizzazione;

6) con riferimento ai casi di cui al comma 1, lett. f), i trattamenti di dati personali:

a) effettuati da soggetti pubblici per la tenuta di pubblici registri o elenchi conoscibili da chiunque;

b) registrati in banche di dati utilizzate in rapporti con l’interessato di fornitura di beni, prestazioni o servizi, o per adempimenti contabili o fiscali, anche in caso di inadempimenti contrattuali, azioni di recupero del credito e contenzioso con l’interessato;

c) registrati in banche di dati utilizzate da soggetti pubblici o privati per adempiere esclusivamente ad obblighi normativi in materia di rapporto di lavoro, previdenza o assistenza;

d) registrati in banche di dati utilizzate da soggetti pubblici al solo fine della tenuta ed esecuzione di atti, provvedimenti e documenti, in tema di riscossione di tributi, applicazione di sanzioni amministrative, o rilascio di licenze, concessioni o autorizzazioni;

e) relativi a immagini o suoni conservati temporaneamente per esclusive finalità di sicurezza o di tutela delle persone o del patrimonio;

f) trattati, in base alla legge, dai soggetti autorizzati in relazione alle operazioni e ai dati necessari all’esclusivo fine di prestare l’attività di garanzia collettiva dei fidi e i servizi a essa connessi o strumentali ("confidi");

B) di inviare copia della presente deliberazione all’Ufficio pubblicazione leggi e decreti del Ministero della giustizia ai fini della sua pubblicazione sulla Gazzetta Ufficiale della Repubblica italiana.

Roma, 31 marzo 2004


IL PRESIDENTE
Rodotà

IL RELATORE
Rodotà
Nuove | 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | 11 | 12 | 13 | 14 | 15 | 16 | 17 | 18 | 19 | 20 | 21 | 22 | 23 | 24 | 25 | 26 | 27 | 28 | 29 | 30 | 31 | 32 | 33 | 34 | 35 | 36 | 37 | 38 | 39 | 40 | 41 | 42 | 43 | 44 | 45 | 46 | 47 | 48 | 49 | 50 | 51 | 52 | 53 | 54 | 55 | 56 | 57 | 58 | 59 | 60 | 61 | 62 | 63 | 64 | 65 | 66 | 67 | 68 | 69