Aggiornamento
del Documento Programmatico sulla Sicurezza (DPS) entro il 31 Marzo 2007; cosa bisogna sapere, cosa e
come fare
>
Perché e quando adeguarsi
Il
TUP (Testo Unico sulla Privacy) che sostituisce la legge n.
675/96, approvato col decreto N.196 del 30/6/03, è entrato
in vigore il 1° gennaio 2006 innovando profondamente la normativa
prima vigente. Riguarda la tutela delle persone rispetto al
trattamento dei dati personali, ovvero la circolazione dei
dati riservati. Il TUP si applica indifferentemente sia al
trattamento dei dati con mezzi informatici, che con altri
mezzi come ad esempio gli archivi cartacei. E' obbligatorio
mettersi a norma entro il 31 marzo 2007.
Chi
non si sarà adeguato rischia pesanti sanzioni, sia amministrative
che penali: multe e/o reclusione con possibile risarcimento
del danno patrimoniale e morale ex art. 2050.
I
controlli, precedentemente gestiti dal Garante della Privacy,
sono ora stati affidati anche alla Guardia di Finanza ed
alla Polizia Postale, certamente molto più presenti nei
controlli aziendali.
>
Chi deve adeguarsi
Devono adeguarsi tutti coloro che trattano dati sensibili, personali e
identificativi come ad esempio:
-
Aziende
di persone, di capitali e cooperative
-
Professionisti
-
Centri
servizi e C.A.F.
-
Associazioni
di categoria
-
Pubblica
Amministrazione e Scuole
-
Comuni
ed Enti Locali
-
Ospedali
pubblici e privati, case di cura, centri di terapia, laboratori
dentistici e medici
-
Chiunque
tratti dati personali di clienti, cittadini, dipendenti, fornitori,
utenti, pazienti, colleghi, soci, associati ecc..
>
Come adeguarsi
Inventariando
i dati personali, identificativi e sensibili, le banche dati
fisiche e digitali in cui sono conservati i dati nonché le
norme di sicurezza adottate per la loro conservazione.
Redigendo
un apposito documento programmatico relativo alle misure
minime di sicurezza (DPS) attuate in azienda.
Tale documento - da aggiornare annualmente entro il 31/3 -
deve anche prevedere un progressivo miglioramento (misure
idonee di sicurezza) che non resti lettera morta.
Adeguandosi
agli obblighi di informativa, consenso, nomina Responsabili
e Incaricati con rispettivi mansionari.
Formando
il personale preposto al trattamento dei dati e dotandolo
di specifiche istruzioni al riguardo.
>
Quali sono le misure minime di sicurezza da adottare?
Impedire
il trattamento non autorizzato e non consentito
Impedire
l’accesso non autorizzato
Ridurre
i rischi di perdita e/o distruzione
>
Quali sono i dati sensibili, personali o identificativi?
Dati
personali qualunque informazione relativa a persona
fisica, persona giuridica, ente od associazione, identificati
o identificabili, anche indirettamente, mediante riferimento
a qualsiasi altra informazione, ivi compreso un numero di
identificazione personale
Dati
identificativi i dati personali che permettono l’identificazione
diretta dell’interessato
Dati
sensibili i dati personali idonei a rivelare l'origine
razziale ed etnica, le convinzioni religiose, filosofiche
o di altro genere, le opinioni politiche, l'adesione a partiti,
sindacati, associazioni od organizzazioni a carattere religioso,
filosofico, politico o sindacale, nonché i dati personali
idonei a rivelare lo stato di salute e la vita sessuale
>
Chi deve provvedere agli adempimenti?
Titolare
la persona fisica, la persona giuridica, la pubblica amministrazione
e qualsiasi altro ente, associazione od organismo cui competono,
anche unitamente ad altro titolare, le decisioni in ordine
alle finalità, alle modalità del trattamento di dati personali
e agli strumenti utilizzati, ivi compreso il profilo della
sicurezza
Responsabile
la persona fisica, la persona giuridica, la pubblica amministrazione
e qualsiasi altro ente, associazione od organismo preposti
dal titolare al trattamento di dati personali
Incaricati
le persone fisiche autorizzate a compiere operazioni di
trattamento dal titolare o dal responsabile
>
Privacy e sicurezza
E'
del tutto evidente che il concetto di Privacy non può disgiungersi
da quello della sicurezza perché non esiste l'uno senza l'altro,
sia per quanto attiene alle misure da adottare che alle apparecchiature
da impiegare. Un’area di attività sempre più cruciale che
coinvolge hardware, software e competenze.
>
Le sanzioni
ILLECITO |
SANZIONE
AMMINISTRATIVA |
SANZIONE PENALE |
| Omessa
o inidonea informativa all’interessato |
da
3.000 a 18.000 euro
per
violazione dei dati ex art.13; per violazione dei
dati sensibili o giudiziari
da
5.000 a 30.000 euro
e
fino al triplo se risulta inefficace per le condizioni
economiche del contravventore
|
|
| Altre
fattispecie
(violazione art.16, 1° comma lett. B;
art.84 1° comma)
|
da
5.000 a 30.000 euro |
|
| Omessa
o incompleta notificazione |
da
10.000 a 60.000 euro
eurosanzione
accessoria: pubblicazione ordinanza - ingiunzione
|
|
| Omessa
informazione o esibizione al Garante |
da
4.000 a 24.000 euro |
|
| Trattamento
illecito di dati |
|
Reclusione
da 6 a 18 mesi (se dal fatto deriva nocumento)
Reclusione
da 6 a 24 mesi (se il fatto consiste nella
comunicazione e/o diffusione)
Reclusione
da 1 a 3 anni (se il fatto costituisce
reato più grave: al fine di trarre profitto per se
o altri o per arrecare danno) |
| Falsità
nelle dichiarazioni e notificazioni al Garante |
|
Reclusione
da 6 mesi a 3 anni |
| Inadeguatezza
delle Misure di sicurezza |
da
10.000 a 50.000 euro |
Reclusione
fino a 2 anni |
| Inosservanza
di provvedimenti del Garante |
|
Reclusione
da 3 mesi a 2 anni |
|
