D.Lgs. 196/2003: Codice della privacy

La mtm ha scritto l'articolo "D.Lgs. 196/2003: Codice della privacy: un vero e proprio sistema di gestione della sicurezza dei dati personali" che è stato pubblicato sulla rivista Pulizia Industriale e Sanificazione - Mensile di manutenzione e igiene civile e industriale (giugno 2007 - anno XL edita da MO.ED.CO S.r.l.) e che abbiamo il piacere di riportare integralmente.

Il Decreto Legislativo n. 196 del 30 giugno 2003, “Codice in materia di protezione dei dati personali”, noto come “Codice della privacy”, vuole garantire che il trattamento dei dati personali si svolga nel rispetto dei diritti e delle libertà fondamentali, nonché della dignità dell'interessato, con particolare riferimento alla riservatezza, all'identità personale e al diritto alla protezione dei dati personali. In questo articolo cercheremo di spiegare brevemente questo decreto.

La storia della privacy
Il Decreto 196/03 rappresenta uno sviluppo di quella che era la situazione normativa previgente. La privacy entrò, infatti, a far parte della realtà italiana con la legge 675 del 31 Dicembre 1996: “Tutela di persone e di altri soggetti rispetto al trattamento di dati personali”. Questa legge è stata successivamente integrata dal DPR n. 318 del 28 luglio 1999 “Regolamento recante norme per l’individuazione delle misure minime di sicurezza per il trattamento dei dati personali, a norma dell’art. 15, comma 2, della legge 31 dicembre 1996, 675“, e dalla legge 3 novembre 2000 n. 325 “Disposizioni inerenti l’adozione delle misure minime di sicurezza nel trattamento dei dati personali previste dall’art. 15 della legge 31 dicembre 1996, 675”.
Il nuovo decreto legislativo n. 196 del 30 giungo 2003 rappresenta oggi un vero e proprio testo unico della normativa previgente rispetto alla quale sono state introdotte delle modifiche che però non discuteremo in questa sede lasciando più spazio a una visione più generale del decreto legislativo stesso.

Oggetto, ambito di applicazione e definizioni
L’articolo 5 “Oggetto ed ambito di applicazione” recita quanto segue:

“Il presente codice disciplina il trattamento di dati personali, anche detenuti all'estero, effettuato da chiunque è stabilito nel territorio dello Stato o in un luogo comunque soggetto alla sovranità dello Stato.
Il presente codice si applica anche al trattamento di dati personali effettuato da chiunque è stabilito nel territorio di un Paese non appartenente all'Unione europea e impiega, per il trattamento, strumenti situati nel territorio dello Stato anche diversi da quelli elettronici, salvo che essi siano utilizzati solo ai fini di transito nel territorio dell'Unione europea. In caso di applicazione del presente codice, il titolare del trattamento designa un proprio rappresentante stabilito nel territorio dello Stato ai fini dell'applicazione della disciplina sul trattamento dei dati personali.
Il trattamento di dati personali effettuato da persone fisiche per fini esclusivamente personali è soggetto all'applicazione del presente codice solo se i dati sono destinati ad una comunicazione sistematica o alla diffusione. Si applicano in ogni caso le disposizioni in tema di responsabilità e di sicurezza dei dati di cui agli articoli 15 e 31.”

Da quanto sopra indicato emerge chiaramente quanto sia ampio il campo di applicazione del decreto che esclude solo il trattamento effettuato da persone fisiche per fini personali lasciando comunque invariato l’obbligo di applicazione degli articoli 15 e 31 che si occupano rispettivamente dei danni cagionati per effetto del trattamento e della applicazione delle misure di sicurezza.

Al fine di capire cosa si intenda per titolare del trattamento, responsabile, incaricato, interessato, dati personali e quale differenza esista tra dati identificativi e dati sensibili riportiamo, di seguito, le definizioni del decreto stesso:

Il decreto non prevede ulteriori figure in ambito privacy oltre a quelle sopra indicate. Tuttavia aziende dotate di una struttura organizzativa sufficientemente articolata si dotano di un vero e proprio sistema di gestione della privacy e relativo organigramma per la privacy. In queste realtà è possibile quindi individuare un “coordinatore per la privacy” che diventa il riferimento diretto del titolare del trattamento (normalmente con funzioni di staff), a cui rimane in ultimo, la responsabilità del trattamento. Allo stesso modo è possibile individuare un “assistente legale per la privacy” (anche esso normalmente con funzioni di staff), che supporta il titolare del trattamento nella redazione delle informative destinate agli interessati (normalmente dipendenti, clienti, fornitori, ecc.), delle richieste di consenso (necessarie per il trattamento di dati sensibili), ma anche delle lettere di nomina dei responsabili e degli incaricati, oltre che assistere l’azienda in caso di richieste specifiche da parte degli interessati. L’ultima figura che è possibile individuare in tali realtà è “l’auditing per la privacy”, generalmente coincidente con il responsabile del sistema qualità, che, assieme al titolare e al coordinatore per la privacy nonché assieme ai diversi responsabili, verifica, periodicamente, la corretta applicazione delle misure di sicurezza.
Nelle due figure che seguono vengono schematizzate le relazioni previste dal decreto nelle diverse situazioni e un organigramma tipo. Risulta evidente che in strutture organizzative sufficientemente articolate sia quasi indispensabile dotarsi di un sistema organizzativo vero e proprio.

Le misure minime di sicurezza
I dati personali oggetto di trattamento devono essere custoditi e controllati in modo da ridurre al minimo i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.
Le misure di sicurezza minime sono distinte a seconda che si considerino trattamenti effettuati con strumenti elettronici o senza l’ausilio di strumenti elettronici (dati in formato cartaceo) e sono riportate negli art. 34 e 35 del decreto che riportiamo di seguito:

Il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell'allegato B), le seguenti misure minime:
a) autenticazione informatica;
b) adozione di procedure di gestione delle credenziali di autenticazione;
c) utilizzazione di un sistema di autorizzazione;
d) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici;
e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici;
f) adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi;
g) tenuta di un aggiornato documento programmatico sulla sicurezza;
h) adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari.

Il trattamento di dati personali effettuato senza l'ausilio di strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell'allegato B), le seguenti misure minime:
a) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati o alle unità organizzative;
b) previsione di procedure per un'idonea custodia di atti e documenti affidati agli incaricati per lo svolgimento dei relativi compiti;
c) previsione di procedure per la conservazione di determinati atti in archivi ad accesso selezionato e disciplina delle modalità di accesso finalizzata all'identificazione degli incaricati.”

Nell’Allegato B dello stesso decreto è riportato il disciplinare tecnico in materia di misure minime di sicurezza in cui sono indicate le azioni da intraprendere affinché siano garantite le misure minime citate nel decreto. Tra le diverse misure minime riveste particolare importanza la stesura del Documento Programmatico sulla Sicurezza, anche detto DPS. Il DPS rappresenta una immagine dell’azienda dal punto di vista del trattamento dei dati personali. Il DPS deve dunque essere aggiornato annualmente in modo da rappresentare ogni anno la situazione aggiornata dell’azienda dal punto di vista del trattamento dei dati personali: nomine, procedure, misure di sicurezza, etc.

Conclusioni
Come si può ben intuire da questo breve articolo le problematiche connesse alla privacy e alla protezione dei dati personali coinvolgono molte competenze, dal legale al tecnico informatico fino all’esperto in gestione aziendale. È pertanto fondamentale costituire un gruppo di lavoro ad hoc al fine di rispondere in modo adeguato a quanto richiesto da questo codice.



Privacy La mtm ha scritto l'articolo "D.Lgs. 196/2003: Codice della privacy: un vero e proprio sistema di gestione della sicurezza dei dati personali" che è stato pubblicato sulla rivista Pulizia Industriale e Sanificazione - Mensile di manutenzione e igiene civile e industriale (giugno 2007 - anno XL edita da MO.ED.CO S.r.l.) e che abbiamo il piacere di riportare integralmente. D.Lgs. 196/2003: Codice della privacy: un vero e proprio sistema di gestione della sicurezza dei dati personali Il Decreto Legislativo n. 196 del 30 giugno 2003, “Codice in materia di protezione dei dati personali”, noto come “Codice della privacy”, vuole garantire che il trattamento dei dati personali si svolga nel rispetto dei diritti e delle libertà fondamentali, nonché della dignità dell'interessato, con particolare riferimento alla riservatezza, all'identità personale e al diritto alla protezione dei dati personali. In questo articolo cercheremo di spiegare brevemente questo decreto. La storia della privacy Il Decreto 196/03 rappresenta uno sviluppo di quella che era la situazione normativa previgente. La privacy entrò, infatti, a far parte della realtà italiana con la legge 675 del 31 Dicembre 1996: “Tutela di persone e di altri soggetti rispetto al trattamento di dati personali”. Questa legge è stata successivamente integrata dal DPR n. 318 del 28 luglio 1999 “Regolamento recante norme per l’individuazione delle misure minime di sicurezza per il trattamento dei dati personali, a norma dell’art. 15, comma 2, della legge 31 dicembre 1996, 675“, e dalla legge 3 novembre 2000 n. 325 “Disposizioni inerenti l’adozione delle misure minime di sicurezza nel trattamento dei dati personali previste dall’art. 15 della legge 31 dicembre 1996, 675”. Il nuovo decreto legislativo n. 196 del 30 giungo 2003 rappresenta oggi un vero e proprio testo unico della normativa previgente rispetto alla quale sono state introdotte delle modifiche che però non discuteremo in questa sede lasciando più spazio a una visione più generale del decreto legislativo stesso. Oggetto, ambito di applicazione e definizioni L’articolo 5 “Oggetto ed ambito di applicazione” recita quanto segue: “Il presente codice disciplina il trattamento di dati personali, anche detenuti all'estero, effettuato da chiunque è stabilito nel territorio dello Stato o in un luogo comunque soggetto alla sovranità dello Stato. Il presente codice si applica anche al trattamento di dati personali effettuato da chiunque è stabilito nel territorio di un Paese non appartenente all'Unione europea e impiega, per il trattamento, strumenti situati nel territorio dello Stato anche diversi da quelli elettronici, salvo che essi siano utilizzati solo ai fini di transito nel territorio dell'Unione europea. In caso di applicazione del presente codice, il titolare del trattamento designa un proprio rappresentante stabilito nel territorio dello Stato ai fini dell'applicazione della disciplina sul trattamento dei dati personali. Il trattamento di dati personali effettuato da persone fisiche per fini esclusivamente personali è soggetto all'applicazione del presente codice solo se i dati sono destinati ad una comunicazione sistematica o alla diffusione. Si applicano in ogni caso le disposizioni in tema di responsabilità e di sicurezza dei dati di cui agli articoli 15 e 31.” Da quanto sopra indicato emerge chiaramente quanto sia ampio il campo di applicazione del decreto che esclude solo il trattamento effettuato da persone fisiche per fini personali lasciando comunque invariato l’obbligo di applicazione degli articoli 15 e 31 che si occupano rispettivamente dei danni cagionati per effetto del trattamento e della applicazione delle misure di sicurezza. Al fine di capire cosa si intenda per titolare del trattamento, responsabile, incaricato, interessato, dati personali e quale differenza esista tra dati identificativi e dati sensibili riportiamo, di seguito, le definizioni del decreto stesso: a) trattamento: qualunque operazione o complesso di operazioni, effettuati anche senza l'ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati; b) dato personale: qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale; c) dati identificativi: i dati personali che permettono l'identificazione diretta dell'interessato; d) dati sensibili: i dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale; e) dati giudiziari: i dati personali idonei a rivelare provvedimenti di cui all'articolo 3, comma 1, lettere da a) a o) e da r) a u), del D.P.R. 14 novembre 2002, n. 313, in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualità di imputato o di indagato ai sensi degli articoli 60 e 61 del codice di procedura penale; f) titolare: la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza; g) responsabile: la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali; h) incaricati: le persone fisiche autorizzate a compiere operazioni di trattamento dal titolare o dal responsabile; i) interessato: la persona fisica, la persona giuridica, l'ente o l'associazione cui si riferiscono i dati personali. Il decreto non prevede ulteriori figure in ambito privacy oltre a quelle sopra indicate. Tuttavia aziende dotate di una struttura organizzativa sufficientemente articolata si dotano di un vero e proprio sistema di gestione della privacy e relativo organigramma per la privacy. In queste realtà è possibile quindi individuare un “coordinatore per la privacy” che diventa il riferimento diretto del titolare del trattamento (normalmente con funzioni di staff), a cui rimane in ultimo, la responsabilità del trattamento. Allo stesso modo è possibile individuare un “assistente legale per la privacy” (anche esso normalmente con funzioni di staff), che supporta il titolare del trattamento nella redazione delle informative destinate agli interessati (normalmente dipendenti, clienti, fornitori, ecc.), delle richieste di consenso (necessarie per il trattamento di dati sensibili), ma anche delle lettere di nomina dei responsabili e degli incaricati, oltre che assistere l’azienda in caso di richieste specifiche da parte degli interessati. L’ultima figura che è possibile individuare in tali realtà è “l’auditing per la privacy”, generalmente coincidente con il responsabile del sistema qualità, che, assieme al titolare e al coordinatore per la privacy nonché assieme ai diversi responsabili, verifica, periodicamente, la corretta applicazione delle misure di sicurezza. Nelle due figure che seguono vengono schematizzate le relazioni previste dal decreto nelle diverse situazioni e un organigramma tipo. Risulta evidente che in strutture organizzative sufficientemente articolate sia quasi indispensabile dotarsi di un sistema organizzativo vero e proprio. Le misure minime di sicurezza I dati personali oggetto di trattamento devono essere custoditi e controllati in modo da ridurre al minimo i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta. Le misure di sicurezza minime sono distinte a seconda che si considerino trattamenti effettuati con strumenti elettronici o senza l’ausilio di strumenti elettronici (dati in formato cartaceo) e sono riportate negli art. 34 e 35 del decreto che riportiamo di seguito: *“Art. 34 Trattamenti con strumenti elettronici* Il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell'allegato B), le seguenti misure minime: a) autenticazione informatica; b) adozione di procedure di gestione delle credenziali di autenticazione; c) utilizzazione di un sistema di autorizzazione; d) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici; e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici; f) adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi; g) tenuta di un aggiornato documento programmatico sulla sicurezza; h) adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari. Art. 35 Trattamenti senza l'ausilio di strumenti elettronici Il trattamento di dati personali effettuato senza l'ausilio di strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell'allegato B), le seguenti misure minime: a) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati o alle unità organizzative; b) previsione di procedure per un'idonea custodia di atti e documenti affidati agli incaricati per lo svolgimento dei relativi compiti; c) previsione di procedure per la conservazione di determinati atti in archivi ad accesso selezionato e disciplina delle modalità di accesso finalizzata all'identificazione degli incaricati.” Nell’Allegato B dello stesso decreto è riportato il disciplinare tecnico in materia di misure minime di sicurezza in cui sono indicate le azioni da intraprendere affinché siano garantite le misure minime citate nel decreto. Tra le diverse misure minime riveste particolare importanza la stesura del Documento Programmatico sulla Sicurezza, anche detto DPS. Il DPS rappresenta una immagine dell’azienda dal punto di vista del trattamento dei dati personali. Il DPS deve dunque essere aggiornato annualmente in modo da rappresentare ogni anno la situazione aggiornata dell’azienda dal punto di vista del trattamento dei dati personali: nomine, procedure, misure di sicurezza, etc. Conclusioni Come si può ben intuire da questo breve articolo le problematiche connesse alla privacy e alla protezione dei dati personali coinvolgono molte competenze, dal legale al tecnico informatico fino all’esperto in gestione aziendale. È pertanto fondamentale costituire un gruppo di lavoro ad hoc al fine di rispondere in modo adeguato a quanto richiesto da questo codice.
Il Modello TWINSTER \| Il Safety Function Deployment \| TWINSTER e "Rischio rapina" \| Il regolamento Reach \| Ergonomia: una scienza multisettoriale \| Le norme armonizzate UNI EN 1005 - 4 e la UNI EN 1005 - 5 \| La norma armonizzata UNI EN 1005-2 e il metodo NIOSH \| D.Lgs. 196/2003: Codice della privacy \| Scelta e utilizzo dei DPI \| La valutazione del rischio vibrazioni in azienda

via L. Ariosto, 10 - 20052 Monza (MI) Tel. 039 28 48 437 - Fax 039 28 49 703 Email:info@emtem.com