Il Decreto Legislativo n. 196 del 30.06.2003 è entrato in vigore il 1 Gennaio 2004, abrogando la legge 675/96 in materia di riservatezza dei dati personali e il DPR 318 sulle misure minime di sicurezza nel trattamento dei dati comuni riferiti a clienti, fornitori, dipendenti ecc.
Tale codice conferma degli obblighi attualmente vigenti e introduce nuove misure minime di sicurezza.
In breve …..
Quadro normativo
Chi deve adeguarsi?
Principali adempimenti
DPS – Documento Programmatico sulla Sicurezza
Scadenze
Controlli
Sanzioni
Le leggi
In vigore fino al 31-12-2003, Legge 675/1996 (disciplina trattamento dati personali) DPR 318/1999 (Misure Minime di sicurezza)
In vigore dal 01-01-2004, D.Lgs. 196/2003 (Codice in materia di protezione dei dati personali) Allegato B (Disciplinare Tecnico Misure Minime di sicurezza)
Quadro Normativo 196/03
Richiede una precisa documentazione redatta e aggiornata nel tempo
Prevede verifiche ispettive periodiche e conseguente redazione di appositi verbali
Disciplina le caratteristiche degli archivi fisici e dei Sistemi Informativi, e prevede specifiche
contromisure fisiche e tecnologiche per garantire la Sicurezza di dati e informazioni
Impone l’obbligo di formare il personale
Chi deve adeguarsi?
Le aziende, indipendentemente dalla loro dimensione
I liberi professionisti
… Ovvero chiunque tratti dati personali di clienti, cittadini, dipendenti, fornitori, utenti, pazienti, colleghi, soci, ecc.
Principali adempimenti
l’obbligo di redigere il Documento Programmatico sulla Sicurezza
Informativa: obbligo per il titolare del trattamento di dare anticipatamente l’informativa all’interessato fornendo informazioni sul trattamento dei dati
Consenso: Il consenso dell’interessato al trattamento dei propri dati personali costituisce il presupposto per la legittima utilizzazione dei dati da parte di terzi soggetti. La validità del consenso viene disciplinata differentemente a seconda della tipologia del dato trattato dall’azienda.
Trattamento: Obblighi dell’azienda per il trattamento dei dati personali o sensibili
Notifica al Garante: Notificazione all’Autorità Garante del trattamento di alcuni dati secondo determinate modalità
Sicurezza: i dati devono essere trattati secondo definite misure di sicurezza tecniche ed organizzative
Scadenze
Termine ultimo per adeguarsi è il 31 Dicembre 2005.
L’individuazione dei trattamenti ( personali e comuni o dati sensibili con comunicazione al Garante della Privacy) da parte del titolare al trattamento dati, ad attuare presso la propria sede le giuste regole atte a garantire la sicurezza dei dati così come la normativa prevede (già entro il 30 Giugno 2004).
La stesura del DPS e l’adozione delle misure minime di sicurezza deve avvenire entro il 31 Dicembre 2005
E’ possibile chiedere una proroga, solo in alcune situazioni molto particolari, ad esempio: adeguamenti di strumenti elettronici ma ciò deve essere documentato con data certa.
Controlli: Accordo tra Garante e Guardia di Finanza
I controlli sulla corretta applicazione della nuova normativa verranno effettuati dalla Polizia Postale (con le sue 76 Sezioni sul territorio) e la Guardia di Finanza in forza di un protocollo di intesa con il Garante.
Quindi alcune categorie (consulenti del lavoro, commercialisti, centri di elaborazione dati, odontotecnici) devono prepararsi a eventuali controlli da parte anche dei loro clienti! Con possibilità Sanzionatoria.
Sanzioni
Adempimenti |
Violazioni |
Sanzioni |
Informativa dell’Interessato |
Mancata Informativa |
Sanzione amministrativa da € 3.000 a € 18.000 aumentata fino a 3 volte se inefficace in ragione delle condizioni economiche del contravventore |
Consenso dell’Interessato |
Mancato consenso |
Sanzione penale: Reclusione fino a 6 mesi in funzione del tipo di dati o reato |
Trattamento dei dati |
Comunicazione o diffusione non consentita |
Sanzione penale: reclusione da 6 mesi a 3 anni. |
Informativa dell’Interessato |
Mancata Informativa per dati particolari |
Sanzione amministrativa da |
Trattamento dei dati |
Danni cagionati per effetto del trattamento dei dati personali |
Risarcimento danni (2050 codice civile svolgimento di attività pericolose); è onere del titolare provare di aver adottato tutte le misure minime idonee a prevenire il danno (inversione dell’onere di prova) |
Rapporti col Garante |
Omissione di informazioni o documenti richiesti dal Garante |
Sanzione amministrativa da |
La CLAAI ha stipulato con la ALARIO MANAGEMENT SERVICE apposita convenzione per consulenza ed assistenza alle imprese associate in materia di privacy. Per contatti telefonare segreteria CLAAI al n. 081/5544990