04/08/2005
Il Codice della Privacy

Guida pratica per adeguarsi alla legge sulla privacy.



Lo scopo del presente paper è quello di fornire alcune indicazioni utili al fine di proseguire nell’adeguamento delle Società alla normativa in materia di privacy (D.Lgs. 196/2003).  Le fase dell’adeguamento comprendono:

  • nomine del responsabile del trattamento, incaricati, amministratore di sistema e custode delle password;
  • notificazione al Garante;
  • stesura di modelli di informativa e consenso;
    regolamento aziendale;
  • misure minime di sicurezza;
  • documento programmatico della sicurezza.

I.    Nomina del Responsabile del trattamento

Nel caso in cui i poteri sono sufficiente, l’Amministratore Delegato può procedere alla nomina del Responsabile del trattamento e comunicherà tale nomina con lettera indirizzata al soggetto designato, che egli dovrà restituire al Titolare del trattamento (la Società nella persona del Presidente del Consiglio di Amministrazione) dopo averla debitamente firmata.

II.    Nomina degli Incaricati del trattamento, dell’Amministratore di sistema e del Custode delle password

Il Responsabile, una volta nominato, dovrà provvedere al più presto ad individuare e a nominare gli Incaricati del trattamento, l’Amministratore di sistema ed il Custode delle password.  Per Sua informazione alleghiamo al presente una bozza di lettera di nomina degli stessi.

III.    Notificazione al Garante

Con il nuovo Codice della Privacy, diminuiscono le ipotesi di notifica obbligatoria.  In particolare, i trattamenti che devono essere notificati sulla base della classificazione prevista dalle istruzioni ufficiali, nonché nel modello di notifica, del Garante sono suddivisi in 8 tabelle che specificano altrettante tipologie di trattamenti di dati personali e sono:

  • Trattamento di dati genetici
  • Trattamento di dati biometrici
  • Trattamento di dati che indicano la posizione geografica di persone od oggetti mediante una rete di comunicazione elettronica
  • Trattamento di dati idonei a rivelare lo stato di salute e la vita sessuale, trattati a fini di procreazione assistita, prestazione di servizi sanitari per via telematica relativi a banche di dati o alla fornitura di beni, indagini epidemiologiche, rilevazione di malattie mentali, infettive e diffusive, sieropositività, trapianto di organi e tessuti e monitoraggio della spesa sanitaria
  • Trattamento di dati idonei a rivelare la vita sessuale o la sfera psichica trattati da associazioni, enti od organismi senza scopo di lucro, anche non riconosciuti, a carattere politico, filosofico, religioso o sindacale
  • Trattamento effettuato con l'ausilio di strumenti elettronici volti a definire il profilo o la personalità dell'interessato, o ad analizzare abitudini o scelte di consumo, ovvero a monitorare l'utilizzo di servizi di comunicazione elettronica con l'esclusione dei trattamenti tecnicamente indispensabili per fornire i servizi medesimi
  • Trattamento di dati sensibili registrati in banche di dati a fini di selezione del personale per conto terzi, nonché di dati sensibili utilizzati per sondaggi di opinione, ricerche di mercato e altre ricerche campionarie
  • Trattamento di dati sensibili registrati in apposite banche di dati gestite con strumenti elettronici e relative al rischio sulla solvibilità economica, alla situazione patrimoniale, al corretto adempimento di obbligazioni, a comportamenti illeciti o fraudolenti

Per valutare se la Società rientra nell’obbligo di notificare, avremmo bisogno di informazioni concernenti:  la natura dei dati trattati; l’ambito soggettivo e territoriale di diffusione dei dati trattati;  la modalità del trattamento; e la finalità del trattamento.

IV.    Modelli di Informativa e Consenso

La Società dovrà provvedere alla preparazione di modelli di informativa e consenso per il trattamento dei dati personali.  Si nota che per il trasferimento all’estero di tali dati, l’interessato deve manifestare il consenso espresso al trasferimento in Paesi non appartenenti all’Unione europea.  Alleghiamo una bozza di informativa e consenso per i dipendenti.

V.    Regolamento aziendale in materia di trattamento dei dati personali

La Società dovrà provvedere ad approvare, con delibera del Consiglio di Amministrazione, un Regolamento aziendale in materia di trattamento dei dati personali.  Per Sua informazione alleghiamo al presente una bozza di Regolamento, in modo che la Società possa provvedere a modificarlo e ad integrarlo così da renderlo adatto alle proprie esigenze.

VI.     Misure Minime e Documento Programmatico sulla Sicurezza

La Società dovrà adeguare le proprie strutture in modo che risultino conformi alle misure minime di sicurezza che richiedono:

  • autenticazione informatica
  • adozione di procedure di gestione delle credenziali di autenticazione
  • utilizzazione di un sistema di autorizzazione
  • aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici
  • protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici
  • adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi
  • tenuta di un aggiornato documento programmatico sulla sicurezza
  • adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari

Contemporaneamente bisogna procedere alla redazione del Documento Programmatico sulla Sicurezza (DPS) che dovrà essere firmato dal Responsabile del Trattamento e dagli Incaricati e poi conservato ed esibito in caso di verifica.   Una volta prodotto il Documento Programmatico sulla Sicurezza, sarà necessario convocare e tenere il Consiglio di Amministrazione nel quale si nominerà il Responsabile e si approverà il Regolamento aziendale. Per Sua informazione, alleghiamo al presente una bozza di verbale di Consiglio di Amministrazione a tal fine.

VII.    Conclusioni

Appare evidente come uno dei primi passi da intraprendere per finalizzare l’adeguamento della Società alla normativa sia quello di pianificare un incontro presso la sede della Società per l’analisi dello status attuale e per pianificare le attività ancora da eseguire.  In anticipo della riunione, sarebbe utile fornire le informazioni seguenti:

Documenti sulla società in generale

  1. Organigramma
  2. Mappa dei processi amministrativi
  3. Mappa delle strutture operative
  4. Struttura del sistema informatico

Documenti relativi al trattamento dei dati personali (ove esistenti)

  1. Politiche aziendali in materia di privacy e sicurezza
  2. Informazioni concernenti:
    • la natura dei dati trattati;
    • l’ambito soggettivo e territoriale di diffusione dei dati trattati;
    • modalità del trattamento;
    • la finalità del trattamento;
    • etc.
  3. Lettere di nomina di responsabili, incaricati, amministratori di sistema, custodi delle password
  4. Modelli di informativa e consenso

* * * * *

Per ulteriori informazioni sulla Privacy, contattare Anthony Sistilli a +39 06 4544 4281 o anthony.sistilli@ssalaw.it



ANTHONY SISTILLI