Giovedì 15 aprile 2004

Novità PRIVACY

a cura di: AteneoWeb S.r.l.
- GLI ESONERI DALLA NOTIFICAZIONE AL GARANTE - IL DOCUMENTO PROGRAMMATICO SULLA SICUREZZA AL 30 GIUGNO 2004 ED IL MODELLO BASE DI DPS DEL GARANTE - LE INDICAZIONI SUL BILANCIO DI ESERCIZIO a cura dello Studio Valter Franco
GLI ESONERI DALLA NOTIFICAZIONE AL GARANTE Con provvedimento a carattere generale del 31 marzo 2004, pubblicato sulla G.U. 6.4.2004 n. 81 (confronta il testo sul sito http://www.garanteprivacy.it il Garante per la Protezione dei Dati Personali ha sottratto all'obbligo di notificazione alcuni casi indicati nell'articolo 37 del Dlgs. 196/2003. Si rammenta che l'articolo 37 del Dlgs. 196/2003 introduce l'obbligo di notificazione nei seguenti casi: Art. 37 - (Notificazione del trattamento) 1. Il titolare notifica al Garante il trattamento di dati personali cui intende procedere, solo se il trattamento riguarda: a) dati genetici, biometrici o dati che indicano la posizione geografica di persone od oggetti mediante una rete di comunicazione elettronica; b) dati idonei a rivelare lo stato di salute e la vita sessuale, trattati a fini di procreazione assistita, prestazione di servizi sanitari per via telematica relativi a banche di dati o alla fornitura di beni, indagini epidemiologiche, rilevazione di malattie mentali, infettive e diffusive, sieropositività, trapianto di organi e tessuti e monitoraggio della spesa sanitaria; c) dati idonei a rivelare la vita sessuale o la sfera psichica trattati da associazioni, enti od organismi senza scopo di lucro, anche non riconosciuti, a carattere politico, filosofico, religioso o sindacale; d) dati trattati con l'ausilio di strumenti elettronici volti a definire il profilo o la personalità dell'interessato, o ad analizzare abitudini o scelte di consumo, ovvero a monitorare l'utilizzo di servizi di comunicazione elettronica con esclusione dei trattamenti tecnicamente indispensabili per fornire i servizi medesimi agli utenti; e) dati sensibili registrati in banche di dati a fini di selezione del personale per conto terzi, nonché dati sensibili utilizzati per sondaggi di opinione, ricerche di mercato e altre ricerche campionarie; f) dati registrati in apposite banche di dati gestite con strumenti elettronici e relative al rischio sulla solvibilità economica, alla situazione patrimoniale, al corretto adempimento di obbligazioni, a comportamenti illeciti o fraudolenti. La notifica: un respiro di sollievo per gli Avvocati In particolare l'obbligo di cui alla lettera a) del predetto articolo sembrava coinvolgere direttamente gli Avvocati, per quanto poteva occorrere nelle cause i cui atti, eventualmente, riportassero dati genetici o biometrici., in quanto detti dati non erano ricompresi nell'autorizzazione generale al trattamento da parte di liberi professionisti nr. 4/2002 (che riguarda anche la professione di Avvocato secondo quanto indicato in detta autorizzazione generale nel secondo periodo del paragrafo 1 dell'autorizzazione medesima). Con il provvedimento 31.3.2004 il Garante dispone espressamente che, in relazione ai dati indicati nella precedente lettera a) del comma 1 art. 37 Dlgs. 196/2003, siano sottratti all'obbligo di notificazione: b) i trattamenti di dati genetici o biometrici effettuati nell'esercizio della professione di avvocato, in relazione alle operazioni e ai dati necessari per svolgere le investigazioni difensive di cui alla legge n. 397/2000, o comunque per far valere o difendere un diritto anche da parte di un terzo in sede giudiziaria. Ciò sempre che il diritto sia di rango almeno pari a quello dell'interessato e i dati siano trattati esclusivamente per tali finalità e per il periodo strettamente necessario al loro perseguimento; La notifica: dati genetici o biometrici nel settore sanitario Con riferimento sempre agli obblighi di notifica previsti dalla lettera a) dell'articolo 37 del Codice, con il provvedimento 31.3.2004 vengono esentati da notificazione i trattamenti non sistematici di dati genetici o biometrici, come segue: a) i trattamenti non sistematici di dati genetici o biometrici effettuati da esercenti le professioni sanitarie, anche unitamente ad altri esercenti titolari dei medesimi trattamenti, rispetto a dati non organizzati in una banca di dati accessibile a terzi per via telematica. Ciò limitatamente ai dati e alle operazioni, compresa la comunicazione, indispensabili per perseguire finalità di tutela della salute o dell'incolumità fisica dell'interessato o di un terzo; La notifica: un respiro di sollievo per le aziende di trasporto con sistemi di controllo satellitare Sempre l'articolo 37, comma 1, lettera a, prevede l'obbligo di notifica per i dati che indicano la posizione geografica di persone od oggetti mediante una rete di comunicazione elettronica: tale caso riguardava, palesemente, il controllo attraverso il sistema satellitare dei veicoli da parte delle imprese di trasporto. Con il provvedimento 31.3.2004, punto 1, lettera c), vengono sottratti all'obbligo di notificazione al Garante tali casi: - i trattamenti di dati che indicano la posizione geografica di mezzi di trasporto aereo, navale e terrestre, effettuati esclusivamente a fini di sicurezza del trasporto. La notifica: un respiro di sollievo per i dati trattati con l'ausilio di strumenti elettronici volti a definire il profilo o la personalità dell'interessato, o ad analizzare abitudini o scelte di consumo Con la lettera d) del punto 4 del provvedimento 31.3.2004, il Garante dispone l'esonero da notifica nei seguenti casi: i trattamenti a) che non siano fondati unicamente su un trattamento automatizzato volto a definire profili professionali, effettuati per esclusive finalità di occupazione o di gestione del rapporto di lavoro, fuori dei casi di cui alla lettera e) del medesimo art. 37, comma 1; b) che non siano fondati unicamente su un trattamento automatizzato volto a definire il profilo di un investitore, effettuati esclusivamente per adempiere a specifici obblighi previsti dalla normativa in materia di intermediazione finanziaria; c) relativi all'utilizzo di marcatori elettronici o di dispositivi analoghi installati, oppure memorizzati temporaneamente, e non persistenti, presso l'apparecchiatura terminale di un utente, consistenti nella sola trasmissione di identificativi di sessione in conformità alla disciplina applicabile, all'esclusivo fine di agevolare l'accesso ai contenuti di un sito Internet. La notifica: selezione del personale per conto terzi La lettera e dell'articolo 37 del codice prevede l'obbligo di notifica per il trattamento di dati sensibili registrati in banche di dati a fini di selezione del personale per conto terzi, nonché dati sensibili utilizzati per sondaggi di opinione, ricerche di mercato e altre ricerche campionarie Con il punto 5 del provvedimento 31.3.2004 vengono dispensati dall' obbligo di notifica i seguenti trattamenti di dati sensibili : a) al solo fine di selezione di personale per conto esclusivamente di soggetti appartenenti al medesimo gruppo bancario o societario b) da soggetti pubblici per adempiere esclusivamente a specifici obblighi o compiti previsti dalla normativa in materia di occupazione e mercato del lavoro c) da associazioni o organizzazioni di categoria al solo fine di svolgere ricerche campionarie relativamente a dati riguardanti l'adesione alla medesima associazione o organizzazione La notifica: dati sulla solvibilità economica e situazione patrimoniale La lettera f dell'articolo 37 del codice prevede l'obbligo di notifica per il trattamento di dati registrati in apposite banche di dati gestite con strumenti elettronici e relative al rischio sulla solvibilità economica, alla situazione patrimoniale, al corretto adempimento di obbligazioni, a comportamenti illeciti o fraudolenti. Con il punto 6 del provvedimento 31.3.2004 vengono dispensati dall'obbligo di notifica i seguenti trattamenti: a) effettuati da soggetti pubblici per la tenuta di pubblici registri o elenchi conoscibili da chiunque b) registrati in banche di dati utilizzate in rapporti con l'interessato di fornitura di beni, prestazioni o servizi, o per adempimenti contabili o fiscali, anche in caso di inadempimenti contrattuali, azioni di recupero del credito e contenzioso con l'interessato; c) registrati in banche di dati utilizzate da soggetti pubblici o privati per adempiere esclusivamente ad obblighi normativi in materia di rapporto di lavoro, previdenza o assistenza; d) registrati in banche di dati utilizzate da soggetti pubblici al solo fine della tenuta ed esecuzione di atti, provvedimenti e documenti, in tema di riscossione di tributi, applicazione di sanzioni amministrative, o rilascio di licenze, concessioni o autorizzazioni; e) relativi a immagini o suoni conservati temporaneamente per esclusive finalità di sicurezza o di tutela delle persone o del patrimonio; f) trattati, in base alla legge, dai soggetti autorizzati in relazione alle operazioni e ai dati necessari all'esclusivo fine di prestare l'attività di garanzia collettiva dei fidi e i servizi a essa connessi o strumentali ("confidi") IL DOCUMENTO PROGRAMMATICO SULLA SICUREZZA AL 30 GIUGNO 2004 Con parere del 22 marzo 2004 il Garante per la Protezione dei Dati Personali ha fornito indicazioni sulla prima applicazione in materia di misure minime di sicurezza e documento programmatico sulla sicurezza - d'ora innanzi semplicemente DPS - (il parere può essere consultato sul sito http://www.garanteprivacy.it ) In primo luogo si osserva, anche per esperienza diretta fattane nel corso di convegni, che lo stupore di fronte all'obbligo di redazione del DPS è fuori luogo, tenuto conto che il precedente D.P.R. 318/1999, emanato in attuazione dell'ora abrogata Legge 675/1996, prevedeva l'identico obbligo nel caso di trattamento di dati sensibili, ponendo misure di sicurezza comunque di livello inferiore a quelle ora dettate dal disciplinare tecnico allegato B al Codice; probabilmente due sono i fattori che hanno contribuito a suscitare "nuovo stupore": - un certo "rilassamento" da parte dei titolari del trattamento, in assenza di estesi controlli sull'assolvimento degli obblighi dettati dalla Legge 675/1996 e dal D.P.R. 318/1999; - l'introduzione nel Codice di sanzioni, specie quelle pecuniarie, di un certo rilievo Il Parere del Garante sottolinea che le misure che dovevano essere adottate in forza del D.P.R. 318/1999 (ad esempio la parola chiave per accedere al sistema) devono essere ancora oggi adottate, senza attendere il decorso dei termini transitori. Il Garante sottolinea che il DPS è anch'esso una "misura minima" di sicurezza, e che detto documento doveva essere già adottato (in forza del DPR 318/1999) entro il 29 marzo 2000 (oppure entro il 31 dicembre 2000 qualora entro il 31 marzo 2000 si fosse redatto un documento a data certa recante le motivazioni tecniche per le quali non si era in grado di adottare le misure prescritte), nonché aggiornato annualmente, sicché l'ultimo aggiornamento del documento doveva essere effettuato nel 2003, cosicché ora si tratterebbe di rivisitare tale documento e di modificarlo inserendo le ulteriori misure dettate dall'allegato B al Codice (ad esempio la nuova introduzione dell'indicazione dei termini per il ripristino dei dati - punto 19.5. e 23 del disciplinare tecnico allegato B al Codice). Il Garante ritiene che si sia di fronte ad una "misura nuova", sicché per il primo anno di applicazione del codice, il 2004, il DPS possa essere redatto entro il 30.6.2004, mentre per gli anni futuri la revisione del DPS dovrà avvenire entro il 31 marzo. Il 30.6.2004 rappresenta quindi il termine per redigere il DPS per: - coloro che debbono redigerlo per la prima volta - coloro che debbano aggiornare il documento redatto ai fini del DPR 318/1999 alle disposizioni introdotte dall'allegato B al Codice. Il termine del 30 giugno 2004 permetterà di utilizzare facoltativamente il modello base e semplificato del DPS che il Garante è in procinto di porre a disposizione dei titolari del trattamento interessati, soprattutto per le realtà medio - piccole che non si attiveranno entro il 31 marzo. LE INDICAZIONI SUL BILANCIO DI ESERCIZIO Il punto 26 dell disciplinare tecnico allegato B al codice prevede espressamente che: "Il titolare riferisce, nella relazione accompagnatoria del bilancio d'esercizio, se dovuta, dell'avvenuta redazione o aggiornamento del documento programmatico sulla sicurezza." In primo luogo si osserva che utilizzando le parole "relazione accompagnatoria del bilancio di esercizio, se dovuta" si dovrebbe intendere, per ciò che concerne le società commerciali, la "relazione sulla gestione", in quanto dovuta se il bilancio viene redatto in forma ordinaria e non dovuta se il bilancio viene redatto in forma semplificata. La nota integrativa è infatti, comunque, dovuta e non è una relazione accompagnatoria. Il Garante, in merito a tale disposizione, con il parere 22 marzo 2004, fornisce i seguenti chiarimenti: - i soggetti che in passato erano tenuti in forza del DPR 318/1999 alla redazione del DPS potranno riferire nella relazione al bilancio 2003, a seconda del caso ricorrente: - L'avvenuto aggiornamento del DPS alle nuove misure introdotte dal Codice (si reputa sia sufficiente l'inserimento di una frase del seguente tenore: "In riferimento agli obblighi stabiliti dal punto 26 del disciplinare tecnico allegato B al Dlgs. 196/2003, l' Organo Amministrativo informa di aver redatto il documento previsto dal punto 19 del medesimo disciplinare tecnico e di aver attuato le misure indicate nel predetto disciplinare, nel rispetto inoltre degli obblighi di sicurezza indicati nell'articolo 31 del predetto Dlgs.") - L'avvenuto aggiornamento nel 2003 del DPS redatto in forza dell'articolo 6 del D.P.R. 318/1999 e la comunicazione che detto DPS sarà aggiornato a quanto prescritto dal punto 19 del Codice entro il 30.6.2004 (si reputa sia sufficiente l'inserimento di una frase del seguente tenore "In riferimento agli obblighi stabiliti dal punto 26 del disciplinare tecnico allegato B al Dlgs. 196/2003, nonché di quanto indicato al punto 3 del parere del Garante per la Tutela dei Dati Personali 22.3.2004, si informa che il documento programmatico sulla sicurezza, redatto ai sensi del comma 1 dell'articolo 6 del D.P.R. 318/1999 è stato oggetto di aggiornamento, nel corso dell'esercizio 2003 e che l'aggiornamento di detto documento programmatico sulla sicurezza alle disposizioni introdotte dal Dlgs. 196/2003 e segnatamente dall'allegato B al predetto Dlgs. avverrà entro il 30 giugno 2004. "). - i soggetti che in passato NON erano tenuti in forza del DPR 318/1999 alla redazione del DPS e che sono tenuti alla redazione del DPS per la prima volta nel 2004 Si precisa che l'articolo 6 del DPR 318 prevedeva la redazione obbligatoria del documento programmatico sulla sicurezza nel caso ricorressero tutte le seguenti condizioni: - fosse impiegato un elaboratore accessibile mediante una rete di telecomunicazioni disponibile al pubblico (in merito il segretario del Garante - vedasi Il Sole 24 Ore del 2.12.1999 pag. 24 aveva precisato che per rete accessibile si intendeva anche quella dedicata che però viaggia con modalità pubbliche, per esempio una rete aziendale accessibile solo ai dipendenti che per i collegamenti utilizza le normali reti telefoniche e che, quindi, è potenzialmente accessibile al pubblico) - il trattamento deve riguardare dati di cui all'articolo 22 e 24 della Legge e cioè dati sensibili o giudiziari. Qualora non si sia predisposto il DPS in quanto, ad esempio, i dati erano memorizzati in un singolo personal computer non in rete, il DPS diviene ora obbligatorio in quanto la distinzione tra elaboratore in rete od accessibile al pubblico ed elaboratore non accessibile non è più contenuta né nel Codice nè nell'allegato B al Codice. Solo quindi in questo caso, a parte i soggetti che intraprendono l'attività dal 2004 (ma che non redigono quindi il bilancio per il 2003), non vi erano obblighi di redazione del DPS. In tal caso nella relazione al bilancio di esercizio si potranno fornire le seguenti indicazioni: - nessuna indicazione nella relazione al bilancio 2003 - oppure l'avvenuta predisposizione del DPS alla data di predisposizione della relazione (si reputa sia sufficiente l'inserimento di una frase del seguente tenore ""In riferimento agli obblighi stabiliti dal punto 26 del disciplinare tecnico allegato B al Dlgs. 196/2003, premesso che la società non era obbligata alla redazione del documento programmatico sulla sicurezza previsto in precedenza dall'articolo 6 del D.P.R. 318/1999 attuativo delle disposizioni di cui alla Legge 675/1996, l' Organo Amministrativo informa di aver redatto il documento previsto dal punto 19 del medesimo disciplinare tecnico e di aver attuato le misure indicate nel predetto disciplinare, nel rispetto inoltre degli obblighi di sicurezza indicati nell'articolo 31 del predetto Dlgs.") - oppure dare atto che la redazione del DPS è in itinere e sarà ultimata entro il 30 giugno 2004 si reputa sia sufficiente l'inserimento di una frase del seguente tenore ""In riferimento agli obblighi stabiliti dal punto 26 del disciplinare tecnico allegato B al Dlgs. 196/2003, premesso che la società non era obbligata alla redazione del documento programmatico sulla sicurezza previsto in precedenza dall'articolo 6 del D.P.R. 318/1999 attuativo delle disposizioni di cui alla Legge 675/1996, l' Organo Amministrativo informa che è stata iniziata la redazione di detto documento programmatico, previsto dal punto 19 del predetto disciplinare tecnico, e che ai sensi di quanto indicato al punto 3 del parere del Garante per la Tutela dei Dati Personali 22.3.2004, detto documento sarà ultimato entro e non oltre il prossimo 30 giugno 2004, nonché di aver attuato le misure indicate nel predetto disciplinare, nel rispetto inoltre degli obblighi di sicurezza indicati nell'articolo 31 del predetto Dlgs."" Clicca QUI per accedere allo speciale Privacy (leggi e regolamenti per la tutela dei dati personali) pubblicato nostro catalogo documenti (sezione "Varie e formulari") Vi ricordiamo che è disponibile sul nostro sito internet, anche un servizio di RISPOSTA A QUESITI (clicca QUI per accedere).
AUTORE:

AteneoWeb

AteneoWeb S.r.l.
Altri utenti hanno acquistato

Altri utenti hanno acquistato

Altri approfondimenti

tutti gli approfondimenti

Gli approfondimenti più letti

AteneoWeb s.r.l.

AteneoWeb.com - AteneoWeb.info

Via Gregorio X, 46 - 29121 Piacenza - Italy
staff@ateneoweb.com

C.f. e p.iva 01316560331
Iscritta al Registro Imprese di Piacenza al n. 01316560331
Capitale sociale 20.000,00 € i.v.
Periodico telematico Reg. Tribunale di Piacenza n. 587 del 20/02/2003
Direttore responsabile: Riccardo Albanesi

Progetto, sviluppo software, grafica: AI Consulting S.r.l.
SEGUICI

Social network

Canali informativi

Canali RSS

X Rottamazione cartelle esattoriali