(Alessandro Sigismondi)
Una domanda che da circa un mese si pongono i professionisti, commercianti, artigiani, avvocati, commercialisti, imprese, società, associazioni si chiedono: “Ma cosa bisogna fare per la privacy? Ma è necessario mettermi in regola? Ma è vero che le multe sono salatissime? Entro quando? Finora la privacy è conosciuta da molti solo per aver letto il termine quando si firma qualcosa in banca, quando viene richiesto un servizio telefonico, senza neanche sapere cosa realmente sia. E dopo banche,enti pubblici, società di marketing e Internet provider oggi tutti devono essere in regola… e la confusione è tanta. In realtà non bisogna avere paura della privacy, la normativa è molto chiara e detta regole semplici e precise a protezione dei dati personali.
Già oggi ogni organizzazione, piccola o grande che sia, ha proprie regole d’accesso ai dati personali ma spesso sono consuetudini non scritte e a volte per mancanza di tempo non si adottano semplici criteri di sicurezza. Scopo della legge (Decreto Legislativo 30 giugno 2003 n.196) La normativa sulla privacy serve per evitare la diffusione dei dati personali. Per dati personali s’intendono sia i dati delle persone fisiche che delle persone giuridiche come società, enti e associazioni. Obiettivo della normativa è garantire a coloro che vi affidano i loro dati personali che questi siano adeguatamente protetti al fine di evitarne un uso improprio, illecito e comunque non autorizzato. La norma prevede che i dati personali vadano trattati con particolare cura, una maggiore attenzione andrà posta verso il trattamento di dati sensibili o giudiziari: i dati sensibili sono quelli relativi a malattie, stato di salute, razza, scelte politiche, religiose o ideologiche, ecc., i dati giudiziari sono quelli relativi ai reati, carichi pendenti, ecc..
Chi deve mettersi in regola
Ogni attività lavorativa tratta dati personali ed ha sia archivi cartacei che con strumenti elettronici relativi ai propri clienti, fornitori, collaboratori e spesso anche a terzi con cui non si hanno rapporti, basta pensare a:
• dati anagrafici,
• fatture di spesa e d’incasso,
• documenti di trasporto,
• corrispondenza,
• atti di proprietà,
• dati catastali,
• cartigli dei disegni,
• perizie,
• fotografie,
• ricevute mediche,
• buste paga,
• contratti,
Anche l’artigiano senza aiuti, la piccola bottega, lo studio del singolo professionista senza collaboratori e addirittura senza computer deve adeguarsi a un minimo di misure previste.
Le figure previste nell’adeguamento
Il titolare del trattamento dati:
la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalita’, alle modalita’ del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza;
Il responsabile del trattamento dati :
E’ la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali;Ovviamente è possibile nominare un responsabile del trattamento dei dati che sarà preposto alla corretta applicazione della normativa. La nomina del responsabile in ogni caso non esonera le responsabilità del titolare.
L’amministratore di sistema:
L’amministratore di sistema è colui o coloro che gestiscono e mantengono il sistema informatico e che consentono l’accesso ai dati ai vari operatori dotandoli delle apposite password. Se possedete sufficienti capacità informatiche potete anche essere voi o un vostro consulente informatico.
Gli operatori o incaricati :
le persone fisiche autorizzate a compiere operazioni di trattamento dal titolare o dal responsabile;Nel caso del singolo professionista o artigiano senza collaboratori evidentemente le varie figure (titolare, responsabile, amministratore di sistema e operatore) corrisponderanno alla stessa persona. Secondo le dimensioni della propria organizzazione e le capacità personali i vari ruoli possono coincidere in una o più persone o divedersi tra più persone, ma comunque devono essere definite e nominate.
Le nomine:
Normalmente ogni organizzazione sa chi accede ai dati e in che modo, l’unica cosa da fare è metterlo per iscritto e comunicare alle varie persone di cosa sono responsabili e quali sono le procedure. E farsi firmare, dai soci, gli associati, i consulenti, i collaboratori e i dipendenti, un obbligo di riservatezza sui dati trattati. Non dimentichiamo che mettere per iscritto nomine, istruzioni e procedure, e non solo per la privacy, anche se all’inizio può sembrare impegnativo, elimina molti dei problemi causati dall’avvicendarsi del personale.
L’informativa sulla privacy:
La norma prevede che per trattare i dati personali di chiunque bisogna sempre informare l’interessato e per prima cosa chiederne il consenso (art.13 T.U.privacy). Ma non in tutti i casi; ad esempio quando i dati derivano da un rapporto contrattuale come per i clienti, fornitori, collaboratori, quando i dati personali derivano da pubblici registri come l’elenco del telefono, siti Internet o simili o quando vanno trattati per un obbligo di legge. Quando si trattano dati sensibili va sempre richiesto il consenso scritto e in ogni caso l’informativa sottoscritta è l’unica vera garanzia di avere informato sul trattamento di dati personali.
La cancellazione dei dati:
Chiunque può chiedere (art.7 del T.U privacy) al professionista, all’artigiano, al fornitore, alla società,ecc., se tratta i propri dati personali e può richiederne in ogni momento la rettifica, l’aggiornamento, il blocco o la cancellazione per questo la normativa prevede che sia utilizzato un software con i dati personali per garantire una veloce ricerca e cancellazione. Nel caso che una persona fisica o giuridica chiedesse il blocco dei dati sarà necessario rendere i dati del nominativo non più utilizzabili e spostare tutti i documenti in armadi chiusi a chiave e inaccessibili, per essere utilizzati solo per obblighi di legge o per tutela giuridica. E’ obbligatorio rilasciare un attestato sull’avvenuta cancellazione, blocco o rettifica dei dati personali.
L’archivio cartaceo
La normativa stabilisce semplici regole per la gestione degli archivi cartacei, prevede solo che vengano adottate e comunicate ai vari operatori le norme d’accesso. Per i normali dati cartacei bastano le classiche scaffalature a giorno con i faldoni, i contenitori a bottone, i tubi per i disegni, ecc., basta che non siano in luoghi aperti al pubblico o non presidiati, e ovviamente non bisogna scrivere sulla costa dei faldoni dati personali come il nome del cliente, basta scrivere un codice identificativo o il nome del progetto.
E se si trattano anche dati sensibili o giudiziari?
Alcune attività non hanno dati sensibili o giudiziari ma solo dati personali generici, ma ad esempio nel caso di dipendenti le buste paga e i documenti sanitari sono dati sensibili in quanto consentono di risalire allo stato di salute. Ma per questi basta avere un armadio chiuso a chiave o un ripostiglio con una porta con la serratura, nominare un responsabile e avere un registro dove scrivere chi ha preso cosa e quando.
La sicurezza dei luoghi
Ovviamente i dati personali, sia nei computer che negli archivi, devono essere in un luogo che sia accessibile solo ai vari operatori (ad esempio il proprio studio, negozio o laboratorio, come normalmente avviene) e bisogna adottare alcune misure di sicurezza passive o attive, come la porta blindata, sistema antifurto e quant’altro quando necessario. Non ci sono regole precise, basta garantire uno standard minimo di sicurezza contro eventuali intrusioni. Ovviamente le misure dovranno essere proporzionate al tipo di dati posseduti. Stampanti e fax devono essere posizionate in luoghi presidiati e non accessibili al pubblico per evitare che vengano letti dati personali, anche del tutto casualmente. Nel caso di studi associati che utilizzano attrezzature in comune è necessario garantire reciprocamente il rispetto della privacy in forma scritta.
Il commercialista
Molti affidano all’esterno, ad un commercialista, i propri dati contabili. In ogni caso i dati personali sono solo affidati al commercialista e rimangono sempre sotto la propria tutela quindi è necessario verificare che il commercialista operi in conformità alla normativa sulla privacy e che rilasci una garanzia scritta sull’applicazione della normativa e un obbligo di riservatezza sui dati stessi. Nel caso qualcuno risalisse a dati personali tramite il vostro commercialista, magari per sapere informazioni sullo stato dei pagamenti o sulla solvibilità economica di un vostro cliente, ne siete lo stesso responsabile voi.
L’impresa di pulizie
Normalmente l’impresa di pulizie lavora al di fuori dell’orario di lavoro e anche non volendo è possibile che vengano letti dati personali. Anche l’impresa deve rilasciare una garanzia scritta sul non utilizzo dei dati che possono essere letti, sull’applicazione della normativa e un obbligo di riservatezza sui dati stessi.
E-mail e Fax
Ovviamente è possibile inviare emai e fax ai propri clienti e fornitori senza chiedere ulteriori consensi agli stessi ma se si vogliono effettuare delle campagne email o fax ad esempio per ricercare futuri clienti o comunicare i vostri servizi, bisogna sempre prima chiedere il consenso all’invio.
Il trattamento informatizzato dei dati
Tutti le attività ormai utilizzano computer per trattare dati personali, basta pensare ai file di fatture o relazioni, ai disegni degli architetti, agli atti dei notai, alle domande al Comune o al Catasto e così via, tutti documenti dove sono riportati dati personali. La normativa sulla privacy prevede regole chiare e precise per la gestione dei dati quando sono informatizzati: Ma sono semplici regole di utilizzo.
– Usare sempre password di almeno 8 caratteri per accedere ai computer.
– Cambiare le password periodicamente. (almeno ogni 3 mesi)
– Fare periodicamente il backup dei dati. (consigliabile giornalmente)
– Stabilire procedure di archiviazione e di sicurezza.
– Utilizzare antivirus e firewall.
– Determinare procedure di utilizzo dei computer, della rete dati e di Internet (come ad esempio attivare il salvaschermo del computer con la riattivazione con password).
– Stabilire chi è responsabile
Il Documento Programmatico sulla Sicurezza (DPS)
In molti ci si chiede se il DPS : “Bisogna farlo? E’ obbligatorio?”. Si parla ovunque del DPS e quasi tutti pensano che facendolo si sia a posto con la normativa: non è ESATTO , il DPS non è che il documento riepilogativo di una serie di procedure inerenti esclusivamente la struttura informatica e non riguarda tutti gli altri aspetti e procedure della privacy, e spesso non deve essere fatto. Il DPS va fatto solo da chi tratta dati sensibili o Giudiziari In Modo Informatizzato, quindi:
• se non si usano computer (ad oggi perlomeno improbabile): non bisogna fare il DPS;
• se si trattano dati personali ma non dati sensibili o giudiziari: non bisogna fare il DPS;
• se si trattano dati personali in modo informatizzato ed anche dati sensibili o giudiziari, ma questi ultimi solo in modo cartaceo: non bisogna fare il DPS;
• se si tratta anche dati sensibili o giudiziari con i propri computer: il DPS va fatto.
Il DPS va redatto, tenuto ed aggiornato, e non và presentato a nessuno, a meno che non arrivi un controllo della Guardia di Finanza. Nel caso di persone giuridiche o enti che devono redigere la relazione accompagnatoria del bilancio d’esercizio, va riportato annualmente sulla stessa l’avvenuta redazione e aggiornamento del DPS. Essendo comunque il DPS un semplice documento che raccoglie i vari adempimenti attuati per la privacy può efficacemente essere utilizzato come proprio documento riassuntivo sulla privacy. Come un diario “aziendale”Nel 2008 il Garante ha previsto una semplificazione consentendo a coloro che conservano come dati sensibili esclusivamente quelli sullo stato di salute dei dipendenti e collaboratori, senza indicazione della relativa diagnosi, e quelli sull’adesione a organizzazioni sindacali; in questi casi è possibile sostituire il DPS con una autocertificazione. Considerando però che non è semplice valutare se si rientra appieno in questa classificazione, basti pensare ai dipendenti che si assentano per malattie dei figli, dei genitori o dei parenti disabili, riportando così lo stato di salute di terzi e non solo dei dipendenti, e considerando che comunque, indipendentemente dall’autocertificazione, bisogna comunque adottare le misure previste dal DPS, è sempre meglio fare il DPS, essendo certi così di evitare qualsiasi sanzione.
La Notificazione al Garante
In rari casi, quando i dati sono particolarmente sensibili (ad esempio per i dati genetici, dati biometrici, dati ai fini della procreazione assistita, dati per la selezione del personale conto terzi, dati per la valutazione della solvibilità economica, ecc.), va fatta la Notificazione al Garante che può essere effettuata esclusivamente via Internet sul sito del Garante per la Privacy.
I Documenti
La norma prevede che non debba essere presentato o consegnato alcun documento a nessun ente o autorità, neanche il Documento Programmatico sulla Sicurezza –DPS.
In effetti è sufficiente avere una cartella dove inserire, conservare ed aggiornare periodicamente:
1. le informative sulla privacy firmate dai vari nominativi trattati;
2. le nomine firmate dagli operatori;
3. gli obblighi di riservatezza firmate dagli operatori;
4. le comunicazioni effettuate ai vari operatori;
5. l’elenco dei trattamenti dati;
6. le comunicazione fatte e ricevute dai responsabili dei trattamenti dati esterni;
7. l’elenco degli operatori che accedono ai dati con le caratteristiche;
8. le procedure consegnate ai vari operatori;
9. l’eventuale Documento Programmatico sulla Sicurezza.
Nel caso di dati sensibili o giudiziari è opportuno tenere un registro per il prelievo e la riconsegna dei dati.
Solo la Notificazione al Garante, se prevista, deve essere effettuata via Internet al Garante.
Le sanzioni
Le sanzioni sono effettivamente salatissime.Ad esempio per la mancata adozione delle misure minime di sicurezza per trattamenti con strumenti elettronici, o anche senza, si va da €10.000 a €50.000 e fino a 2 anni di carcere. I controlli sono affidati dal Garante per la Privacy alla Guardia di Finanza.
VIOLAZIONI AMMINISTRATIVE
Omessa o inidonea informativa all’interessato – Art.161
Notificazione da 3.000 a 18.000 Euro, oppure da 5.000 a 30.000 Euro se dati sensibili.
La somma può essere aumentata sino al triplo quando risulta inefficace in ragione delle condizioni economiche del contravventore.
Cessione illecita di dati – “Altre fattispecie” – Art. 162
La cessione dei dati in violazione della normativa sul trattamento di dati personali è punita con la sanzione amministrativa da 5.000 a 30.000 Euro.
Omessa o incompleta notificazione – Art. 163
Notificazione da 10.000 Euro a 60.000 Euro ed in più condanna alla pubblicazione della sentenza.
Omessa informazione o esibizione al Garante – Art. 164
Notificazione da 4.000 a 24.000 Euro.
Pubblicazione della sentenza – “Pene accessorie” – Art. 172
La condanna per uno dei delitti previsti dal Codice importa la pubblicazione della sentenza.
ILLECITI PENALI
Trattamento illecito di dati – Art. 167
Salvo che il fatto non costituisca più grave reato, chiunque, al fine di trarne per sé o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione della normativa è punito, se dal fatto deriva nocumento, con la reclusione da 6 a 24 mesi.
Falsità nelle dichiarazioni e notificazioni al Garante – Art. 168
Chiunque, nella notificazione o in comunicazioni, atti, documenti o dichiarazioni resi o esibiti in un procedimento dinanzi al Garante o nel corso di accertamenti, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi, è punito con la reclusione da 6 a 24 mesi.
Misure di sicurezza – Art. 169
Chiunque, essendovi tenuto, omette di adottare le misure minime previste è punito con l’arresto sino a due anni o con l’ammenda da 10.000 a 50.000 Euro.All’autore del reato, all’atto dell’accertamento o, nei casi complessi, anche con successivo atto del Garante, è impartita una prescrizione fissando un termine per la regolarizzazione non eccedente il periodo di tempo tecnicamente necessario. (…) Nei sessanta giorni successivi allo scadere del termine, se risulta l’adempimento alla prescrizione, l’autore del reato è ammesso dal Garante a pagare una somma pari al quarto del massimo dell’ammenda stabilita per la contravvenzione. L’adempimento e il pagamento estinguono il reato.
Inosservanza di provvedimenti del Garante – Art. 170
Chiunque, essendovi tenuto, non osserva il provvedimento adottato dal Garante, è punito con la reclusione da 3 a 24 mesi.
LA RESPONSABILITÀ CIVILE PER DANNI
Danni cagionati per effetto del trattamento – Art. 15
Chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell’articolo 2050 del codice civile. È risarcibile anche il danno non patrimoniale.
Come fare per mettersi in regola? Ed evitare sanzioni
Anche qui la confusione è tanta: da una parte vengono offerte consulenze costosissime, dall’altra siti internet che offrono DPS o software gratuiti, da una parte chi esaspera la problematica della privacy a fini speculativi, dall’altra software per la privacy pensati solo per consulenti esperti. “Ma io, piccola o grande attività, cosa devo fare per mettermi in regola in modo facile e veloce? Non vorrei fare niente di più e niente di meno di quanto necessario! Devo comprare un programma che mi consenta di gestire gli adempimenti per la privacy? E poi come devo gestire tutti gli altri programmi dello studio? Devo comprare un data base per mettere i dati personali dei miei clienti? Devo creare dei file con un foglio elettronico per archiviare i dati? Devo creare un archivio dei progetti? Come faccio a legare i progetti con i dati personali? E l’archivio dei collaboratori? Devo fare un corso? Devo chiamare un consulente? Quanto mi costa?”
Gli adempimenti privacy prioritari in considerazione delle notificazione previste dal Codice della Privacy e più ricorrentemente sanzionate, sono di seguito riportati (non in ordine di priorità):
- § redazione e presentazione delle informative e, quando previsto, l’ottenimento del consenso degli interessati
- § redazione del DPS (Documento Programmatico sulla Sicurezza)
- § adeguamento periodico e costante della misure minime di sicurezza in base al tipo di trattamento effettuato
- § redazione e consegna delle lettere di incarico ai componenti del personale
- § nomina dei responsabili esterni e consegna della lettera di conferimento dell’incarico
- § formazione obbligatoria e periodica del personale
- § notifica al Garante (solo per chi rientra nell’obbligo previsto dall’art. 37)