RISPOSTE ALLE DOMANDE PIU’ FREQUENTI SULLA PRIVACY

Quando è entrato in vigore il Testo Unico sulla protezione dei dati presonali e cosa impone?
Quali sono le misure minime da adottare per la tutela della privacy?. 2
Quali sono i soggetti coinvolti dalla normativa?.
Qual'è la differenza tra dati personali e dati sensibili?. 2
I dati trattati da un'azienda devono essere autorizzati dall'interessato? In che modo? E quali sono i suoi diritti? 2

In cosa consiste e quando è necessario il Documento Programmatico della Sicurezza?
Cos'è la Data Certa?. 3
Quando va effettuata la notifica al Garante della privacy?. 3
Quali altri accorgimenti sono utili per la tutela dei dati sul posto di lavoro?. 4
Vi sono controlli periodici da fare?. 4
Vi sono disposizioni specifiche per chi ha Aree sottoposte a video sorveglianza?. 4

Quali sono le sanzioni previste per omissioni e illeciti nel trattamento della privacy?
A chi è affidato il controllo degli adempimenti previsti dalla legge?. 5 . 5
Che cosa prevede la legge 133/2008?. 5
Chi è l'amministratore di sistema? 6
Quando è obbligatorio nominarlo?. 6. 6


contatta l'ufficio

Contatta l'ufficio.


 

Quando è entrato in vigore il Testo Unico sulla protezione dei dati personali e cosa impone?

Il codice sulla privacy, in vigore dal 1 gennaio 2004, modifica e riunisce in un unico testo le disposizioni italiane in materia di trattamento dei dati personali, dalla Legge 675/96 alla direttiva UE 58/2002 e impone a tutte le persone fisiche e/o giuridiche, private e/o pubbliche che trattino dati di terzi, (Dati Personali) indipendentemente dalle loro dimensioni di adottare le Misure Minime di Sicurezza.


Quali sono le misure minime da adottare per la tutela della privacy?

Le misure minime di sicurezza sono tutte le prescrizioni idonee ad evitare il danno di abusi o perdite accidentali dei dati personali.
Chi tratta i dati cartacei deve:
eleggere un responsabile al trattamento dei dati e nominare gli addetti che li usano; mettere sotto controllo gli accessi ai dati e formalizzare i permessi all’uso; redigere un piano di sicurezza e un piano della formazione al personale coinvolto.
Chi tratta i dati  mediante supporti informatici deve inoltre:
nominare l’amministratore della rete, il custode delle password, delle copie di sicurezza, degli antivirus e firewall; adottare le credenziali di autenticazione e un sistema di gestione delle autorizzazioni.


Quali sono i soggetti coinvolti dalla normativa?

La normativa individua quattro soggetti coinvolti nel trattamento dei dati:
il titolare, ovvero la persona fisica o giuridica, associazione o ente, cui competono le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali;
il responsabile, cui è affidato per iscritto il compito della gestione e tutela dei dati personali;
gli incaricati, autorizzati in forma scritta dal responsabile a compiere le necessarie operazioni di trattamento dei dati;
il soggetto, a cui si riferiscono i dati personali oggetto del trattamento.



Qual'è la differenza tra dati personali e dati sensibili?

I dati personali sono gli elementi che ci consentono di identificare univocamente una persona fisica o giuridica, un ente o una associazione, per esempio il nome e cognome, la partita IVA, i numeri di telefono, ecc.
I dati sensibili, invece, sono possono rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale.

I dati sensibili sono trattati principalmente da ospedali, enti pubblici, società di selezione del personale, istituti di rilevazione demoscopica, etc.


I dati trattati da una azienda devono essere autorizzati dall'interessato? In che modo? E quali sono i suoi diritti?

L’interessato deve essere sempre informato, in forma scritta od orale, di essere oggetto del trattamento dei suoi dati personali. È richiesta tassativamente la forma scritta se il trattamento riguarda i dati “sensibili”, nel qual caso deve essere anche indicata la ragione che ne motiva il trattamento.
Gli interessati hanno il diritto di ricevere l’informativa, di prestare il consenso preventivo informativo, e di avvalersi dell’Art. 7 per richiederne l’aggiornamento, l’integrazione, l’opposizione al trattamento per alcuni fini e la cancellazione dei propri dati personali.
 

In cosa consiste e quando è necessario il Documento Programmatico della sicurezza?

Il Documento Programmatico della Sicurezza (DPS) è uno strumento con cui ogni azienda provvede ad una valutazione del rischio per la sicurezza del trattamento dei dati personali e progetta tutte le misure necessarie alla riduzione di tale rischio. È obbligatorio per tutte le aziende che trattano i dati sensibili con l’impiego di elaboratori elettronici, con l’esclusione di chi tratti dati riguardanti lo stato di salute o malattia (senza indicazione di diagnosi) ovvero l’adesione ad organismi sindacali dei propri dipendenti, per sole finalità amministrative e contabili, e va redatto o aggiornato entro il 31 marzo di ogni anno.


Che cos'è la data certa?

La data certa è uno strumento che consente di attestare la data di creazione e sottoscrizione di un documento. Ciò è necessario, ad esempio, per dimostrare di aver adempiuto ad un obbligo amministrativo entro i termini previsti dalla legge.
Il metodo più semplice consiste nella cosiddetta “autoprestazione” postale; è sufficiente recarsi presso un ufficio postale con i documenti e richiedere il servizio di “data certa”.


Quando va effettuata la notifica al garante della privacy?

La notifica va effettuata al Garante, tramite l’apposito procedimento telematico, qualora si trattino particolari tipologie di dati sensibili (indicati nell’articolo 37 del T.U.) come :
1.   dati genetici, biometrici o idonei a rivelare lo stato di salute, la vita sessuale o la sfera psichica;
2.   dati che indicano la posizione geografica mediante una rete di comunicazione elettronica;
3.   dati trattati volti a definire il profilo o la personalità dell’interessato, le sue abitudini o scelte di consumo, o a monitorare l’utilizzo di servizi di comunicazione elettronica;
4.   dati sensibili registrati in banche di dati a fini di selezione del personale per conto terzi;
5.   dati sensibili utilizzati per sondaggi di opinione, ricerche di mercato e altre ricerche campionarie;
6.   dati relativi al rischio sulla solvibilità economica, alla situazione patrimoniale, al corretto adempimento di obbligazioni, a comportamenti illeciti o fraudolenti.



Quali altri accorgimenti sono utili per la tutela dei dati sul posto di lavoro?

In aggiunta alle misure minime previste dal codice, è bene utilizzare alcuni accorgimenti  per la sicurezza dei dati di interesse aziendale, quali:
1.    l’applicazione di clausole di riservatezza ai contratti con clienti, collaboratori e fornitori, che impongano la non divulgazione dei dati aziendali;
2.     l’uso di regole di condotta sull’utilizzo degli strumenti elettronici in dotazione alla azienda, come ad esempio il divieto di installare software senza l’autorizzazione del datore di lavoro e di utilizzare la rete internet per finalità diverse da quelle stabilite per l’esercizio dell’attività lavorativa.



Vi sono controlli periodici da fare?

Chiunque tratti dati personali con l’ausilio di strumenti elettronici è tenuto ad effettuare periodicamente controlli e aggiornamenti sui sistemi, per ridurre il rischio di abuso o perdita dei dati.
 
Il primo di gennaio di ogni anno si deve:
1.        Verificare ed eventualmente aggiornare l’ambito del trattamento dei dati consentito ai singoli incaricati;
2.        Verificare la sussistenza delle condizioni per la conservazione delle autorizzazioni per l’accesso ai dati per gli incaricati;
3.        Fornire istruzioni organizzative e tecniche affinché il salvataggio dei dati sia effettuato settimanalmente;
4.        Programmare interventi di formazione per gli incaricati del trattamento;
5.        Provvedere all’aggiornamento delle "patch" dei programmi per computer. In caso di dati sensibili, l’obbligo diviene semestrale.
 
Al 31 marzo di ogni anno si deve:
Aggiornare il Documento Programmatico sulla Sicurezza.
 
Con cadenza semestrale si deve:
1.        Aggiornare i software antivirus e firewall;
2.        Provvedere all’aggiornamento dei "patch" dei programmi per computer, nel caso di trattamento di dati sensibili.



Vi sono disposizioni specifiche per chi ha Aree sottoposte a video sorveglianza?

L’azienda deve dichiarare che, con tali installazioni, non effettuerà nessun controllo diretto o indiretto sul personale dipendente, nè controllerà l’attività del personale stesso. Deve anche indicare le Aree sottoposte a video sorveglianza, la Modalità di acquisizione delle immagini video, la Modalità di conservazione delle immagini acquisite e le Responsabilità con un elenco del personale addetto ed autorizzato alla visualizzazione e gestione delle immagini visualizzate in tempo reale e registrate.



Quali  sono le sanzioni previste per omissioni e illeciti nel trattamento della privacy?

Gli illeciti nel trattamento dei dati personali possono essere di tipo Amministrativo, Civile o Penale. Le sanzioni amministrative vanno da un minimo di 6.000 euro per omessa o inidonea informativa riguardo ai dati personali a 120.000 euro per mancata o inidonea notifica al garante.
Le sanzioni civili comportano il risarcimento dei danni patrimoniali e morali agli interessati danneggiati.
Le sanzioni penali vanno da 6 mesi a 3 anni di reclusione in caso di falsa dichiarazione o trattamento illecito al fine di profitto, oppure 2 anni di carcere o ammenda pecuniaria fino a 180.000 euro per mancata adesione delle misure minime di sicurezza.



A chi è affidato il controllo degli adempimenti previsti dalla legge?


Alla Polizia Postale e alla Guardia di Finanza che ha da tempo sottoscritto un protocollo di intesa con il Garante per la privacy.



Che cosa prevede la legge 133/2008?

L'art. 29 del d.l. 112/2008, convertito con la legge n. 133/2008, ha introdotto alcune semplificazioni per quanto riguarda alcuni adempimenti previsti dal Testo Unico, In particolare, la disciplina del Documento Programmatico per la Sicurezza.
E’ stato escluso dall’obbligo di redigere il DPS chi tratti dati sensibili riguardanti lo stato di salute/malattia (senza indicazione di patologia) o l’adesione a organismi sindacali dei propri dipendenti, per sole finalità amministrative e contabili.
In questo caso, il titolare del trattamento dei dati dovrà redigere una autocertificazione, ai sensi del dell'art. 47 d.P.R. n. 445/2000, in cui si dichiari, appunto, di trattare solamente tali tipi di dati in osservanza delle altre misure di sicurezza prescritte dalla normativa sulla Privacy.



Chi è l'amministratore di sistema?

L’amministratore di sistema è una figura tecnica necessaria per la gestione e manutenzione dei sistemi informatici complessi. In particolare, si occupa di configurare e gestire le chiavi d’accesso e di autentificazione di tutti gli utenti.



Quando è obbligatorio nominarlo?

 Il Garante della privacy, con un recente provvedimento, ha disposto l’obbligo, da parte del Titolare del trattamento dei dati, di nominare esplicitamente l’amministratore di sistema. Ha inoltre disposto che lo stesso titolare si accerti delle idoneità tecniche e di fiducia della persona incaricata al ruolo di amministratore di sistema, e che sia predisposto un sistema informatico che consenta di registrare e conservare i dati riguardanti l’accesso e le operazioni (i cosiddetti “access log”) compiute dall’amministratore di sistema, per un periodo di tempo non inferiore ai sei mesi.