logo

Benvenuti sul sito di Sicurdata Srl. Siamo a vostra disposizione per tutto ciò che riguarda consulenza in ambito Data Protection & E-Privacy e Compliance.

Contatti

Indirizzo:

Viale Belfiore, 42 - 50123 - Firenze (FI), Italia.
Email : info@opendata.it

 Domande?

Visita la sezione Questions & Answers

Domande e risposte frequenti - Privacy Faq

La precedente legge 675/96 è ancora in vigore ?
No, è stata abrogata con l'entrata in vigore del D.Lgs. 196/2003. Il nuovo Codice ha, infatti, riunito in un nuovo testo la L.675/96, le varie leggi e i Decreti che, nel corso degli anni, sono stati emanati sul trattamento dei dati personali.
Chi è tenuto ad applicare la normativa sul trattamento dei dati personali ?
Devono adeguarsi tutti coloro che trattano dati personali, sia in formato elettronico che cartaceo, e quindi: le aziende, i professionisti (commercialisti, medici, avvocati, notai, architetti, geometri…), i comuni, le pubbliche amministrazioni, gli ospedali, le scuole, i sindacati, le associazioni, le case di riposo e case di cura (pubbliche e private), le cooperative. In ultima analisi chiunque tratti dati personali di clienti, fornitori, dipendenti, soci, cittadini, pazienti, associati ecc ?
Cosa si intende per 'Strumenti Elettronici' ?
Sono gli elaboratori, i programmi per elaboratori e qualunque dispositivo elettronico o comunque automatizzato con cui si effettua il trattamento. Es.: Computers, cellulari con fotocamera, macchine fotografiche digitali, e tutti gli altri strumenti elettronici che la tecnologia mette a disposizione.
E' necessario inviare l'informativa a tutti i clienti presenti in archivio ? Va inviata anche se attualmente non sussistono rapporti lavorativi ?
L'informativa deve essere resa prima di iniziare un trattamento ed ha il fine di rendere edotto l'interessato del posizionamento dei dati che lo riguardano e di come intervenire per l’eventuale correzione, aggiornamento,  cancellazione, ecc. L'articolo 4 del D.Lgs. 196/2003 definisce "trattamento" anche la conservazione dei dati, che devono comunque essere trattenuti, ex art.11, per un periodo di tempo non superiore a quello necessario agli scopi per i quali sono  stati raccolti e trattati.
L'informativa deve avere obbligatoriamente la forma scritta?
In base a quanto stabilito dall'art. 13 l’informativa può essere validamente fornita anche in forma verbale. Tuttavia si consiglia l'utilizzo della forma scritta (in caso di contestazione, infatti, può essere difficile  provare di avere reso un'informativa orale), possibilmente controfirmata per ricezione dall'interessato.
L'informativa deve essere resa anche ai clienti/fornitori esteri?
Non sono previste delle differenze di trattamento per i dati relativi a soggetti stranieri quindi è obbligatorio rendere anche in questo caso idonea informativa.
Il consenso deve essere rilasciato necessariamente per iscritto?
L'art. 23 richiede che il consenso sia documentato per iscritto. Questo significa che il consenso può anche essere rilasciato oralmente ma deve essere annotato con cura (ad esempio prendendo nota del giorno e del nome della persona  che ha dato il consenso in un registro, un data base o un file). Viceversa il consenso al trattamento dei dati sensibili deve essere obbligatoriamente rilasciato in forma scritta.
Che differenza c'è fra il 'titolare' e il responsabile del trattamento?
Il "titolare" del trattamento è la persona fisica o giuridica alla quale competono, anche insieme ad altro titolare, le decisioni in ordine alle finalità del trattamento, alle modalità ed all’adozione delle misure di sicurezza.  Il titolare può facoltativamente designare un "responsabile" preposto al trattamento dei dati.
I dati presenti nelle buste paga rientrano nella nozione di dati sensibili?
Alcuni dati possono avere natura sensibile come ad esempio i sussidi di cura, l'iscrizione al sindacato, l’indennità missione handicappati, lo stato di salute del lavoratore ecc...
Quali sono i Dati Giudiziari?
Sono le informazioni riportate nel casellario giudiziale nonché la qualità di imputato o di indagato.
Cosa si intende per Dato sensibile?
Sono i dati personali idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere  religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale. Es: cartelle cliniche, radiografie, dati relativi alle malattie dei dipendenti, l'iscrizione ad un sindacato?
A cosa serve l'informativa?
L'informativa ha la finalità di attuare i principi della correttezza, lealtà e trasparenza del trattamento. Non può essere generica in quanto deve fornire all'interessato una serie di informazioni relative alle finalità  del trattamento, modalità, natura obbligatoria o facoltativa del conferimento, soggetti che possono conoscere i dati ecc. Deve essere fornita preventivamente e permette all’interessato di esprimere un consenso valido al trattamento dei dati  nei casi in cui è richiesto.
Cosa stabilisce il Codice sulla Privacy relativamente all'indirizzo di posta elettronica?
L'indirizzo elettronico va considerato un dato personale a tutti gli effetti, e, pertanto, la sua raccolta ed utilizzo, in assenza dell'informativa ed eventualmente del consenso dell'interessato, costituiscono operazioni  di trattamento illecite. Parimenti la raccolta di indirizzi e-mail da aree pubbliche su internet rappresenta un cambio di finalità, nel senso che se un interessato lascia il proprio indirizzo in un newsgroup o per ricevere risposte a precedenti sue  richieste non per questo può essere contattato da un soggetto terzo per altri fini senza il suo consenso.
Cosa è il Documento Programmatico sulla Sicurezza (DPS)?

Il documento programmatico per la sicurezza (DPS) fotografa le banche dati presenti in azienda e le misure di sicurezza adottate. Si compone dei seguenti punti:
a) elenco dei trattamenti eseguiti; b) distribuzione dei compiti e delle responsabilità nell’ambito delle strutture preposte al trattamento dei dati; c) analisi dei rischi che incombono sui dati; d) misure adottate per garantire l'integrità e la disponibilità dei dati, nonché la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità; e) criteri e modalità per il ripristino della disponibilità dei dati in seguito ad eventuali episodi di distruzione o danneggiamento; f) interventi formativi degli incaricati del trattamento; g) criteri per garantire l'adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformità al codice, all'esterno della struttura del titolare; h) per i dati personali idonei a rivelare lo stato di salute e la vita sessuale l'individuazione dei criteri da adottare per la cifratura o per la separazione di tali dati dagli altri dati personali dell'interessato.
Inoltre una delle questioni dibattute in dottrina riguarda proprio l'adozione del Documento programmatico sulla sicurezza (di seguito DPS), nell'ambito specifico del trattamento di dati per via elettronica. In merito si riscontrano due orientamenti: da una parte si sostiene che deve essere adottato solo nel caso di trattamento di dati sensibili e giudiziari e dall'altra che deve essere adottato in ogni caso stante l’obbligo generale sancito dal Codice per il trattamento dei dati personali. Dalla lettura del Decreto appare chiaro come il Legislatore abbia predisposto una tutela più stringente per i dati sensibili e giudiziari rispetto ai dati personali. Sarebbe però incongruente interpretare quanto scritto sul Disciplinare tecnico solo nel senso dell’adozione del DPS in caso di trattamento di dati sensibili e giudiziari. In primo luogo perché si verificherebbe un contrasto tra obbligo generale (sancito dall'art. 34 dove si parla di «dati personali») e obbligo specifico sancito dall'Allegato B (c.d. Disciplinare tecnico) all'art. 19 (in cui si parla di «dati sensibili» e «giudiziari»). L'art. 34 precisa che la redazione del DPS deve avvenire «nei modi» previsti dal Disciplinare tecnico ma non specifica "in conformità" ossia nei limiti da esso previsti. A mio avviso, dunque, l'art.19 stabilisce semplicemente una indicazione temporale sull'aggiornamento del DPSS in caso di trattamento di dati sensibili e giudiziari fermo restando l'obbligo generale di aggiornamento sancito dall'art. 34. Tale lettura trova conforto nella sistematica del Codice: se, per esempio, analizziamo il Disciplinare tecnico si riscontra una statuizione di tempi più brevi per l’adozione di misure relative al trattamento dei dati sensibili e giudiziari e più lunghi per le altre tipologie di dati. In tal senso si vedano l'art. 5 in cui si stabilisce un aggiornamento almeno semestrale della parola chiave (password) in caso di trattamento di dati personali e almeno trimestrale in caso di trattamento di dati sensibili e giudiziari. Allo stesso modo l'art. 17 prevede un aggiornamento dei programmi di protezione almeno annuale nel caso di trattamento di dati personali e almeno semestrale in caso di trattamento di dati sensibili e giudiziari.
In secondo luogo, è palese l'incongruenza se leggiamo quanto scritto all'art. 19.7, Allegato B, il quale sancisce l'obbligo di descrivere, all'interno del DPS, i «criteri da adottare per garantire l'adozione delle misure minime di sicurezza in caso di trattamento di dati personali» (senza ulteriori specifiche) «affidati (…) all'esterno della struttura del titolare». Se la lettura fosse nel senso di un obbligo di redigere il DPS gravante solo sui titolari di trattamenti di dati sensibili e giudiziari si configurerebbe una situazione di disparità di trattamento, che suscita dubbi sul piano della ragionevolezza. Non si comprende infatti il motivo per cui l'affidamento del trattamento di dati personali (per esempio dati comuni) all'esterno della struttura, diventi rilevante solo nel caso in cui si trattino anche dati sensibili e giudiziari. Per finire, continuando la lettura del Disciplinare tecnico ogni incertezza sembra fugata dal titolo «Ulteriori misure da adottare in caso di trattamento di dati sensibili o giudiziari» (art. 20 ss.). Se analizziamo la sistematica del Codice appare evidente che il Legislatore utilizza l'aggettivo "ulteriori" per disciplinare un ambito specifico di trattamento, dopo aver dettato la disciplina generale. In tal senso si veda il Capo II «Regole ulteriori per i soggetti pubblici» (art. 18 ss.) che detta, appunto, "ulteriori" regole per il trattamento effettuato da soggetti pubblici dopo aver dettato quelle generali per tutti i trattamenti (si veda il Capo I «Regole per tutti i trattamenti»). L'interpretazione estensiva, qui sostenuta, sembra essere corretta anche riflettendo sui profili operativi del Codice. Il DPS, infatti, non è altro che una "fotografia" degli adempimenti eseguiti dal soggetto e quindi in caso di un controllo da parte delle Autorità competenti risulta essere un importante strumento di tutela dalle sanzioni penali e dalle richieste di risarcimento danni per violazione della privacy. Anche dal punto di vista pratico, quindi, sembra ragionevole sostenere che il Legislatore abbia voluto stabilire un obbligo generale di adozione del DPS riservando un’attenzione particolare al trattamento dei dati sensibili e giudiziari per il quale si prevede un aggiornamento del Documento in tempi più ristretti o comunque ben determinati («entro il 31 marzo di ogni anno»).
Poi, Sul Sito del Garante, nella cartella "disposizioni del 1 Marzo 2005", c'é il parere del Garante proprio in merito a questa nuova disposizione poi pubblicato in gazzetta n. 50 del 2-3-2005.
Altra fonte "il sole 24 ore" del 6 di Marzo 2005 ci sono ben 5 pagine in merito a questo argomento.
Interpretazione e abolizione del DPSS (Leggi il pdf)

Qual è lo scopo del DPS?
Descrivere la situazione attuale (analisi dei rischi, distribuzione dei compiti, misure approntate, distribuzione delle responsabilità ecc…) ed il percorso di adeguamento prescelto dalla struttura per adeguarsi alla normativa privacy.  L'obbligo di redazione del DPS coinvolge tutti i soggetti che trattino dati sensibili o giudiziari con l'ausilio di strumenti elettronici (può però essere opportuno predisporre comunque il Documento programmatico per la sicurezza, soprattutto nelle  strutture di una certa complessità).
Quali sono le principali sanzioni previste?
Le sanzioni variano a seconda dei casi. Vedi paragrafo SANZIONI
Cosa contiene l'allegato B?
È il Disciplinare tecnico in materia di misure minime di sicurezza, che indica in 29 punti quali sono le misure minime di sicurezza da adottare. È aggiornato periodicamente con Decreto del Ministro della Giustizia di concerto con il Ministro  per le Innovazioni e le Tecnologie.
Cosa deve fare chi tratta i dati senza l'ausilio di strumenti elettronici?
Chi tratta dati personali senza tali mezzi è tenuto ad adottare le seguenti misure minime: a) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati; b) prevedere procedure per una idonea  custodia di atti e documenti affidati agli incaricati per lo svolgimento dei relativi compiti; c) prevedere procedure per la conservazione di determinati atti in archivi ad accesso selezionato e disciplinare le modalità di accesso finalizzata all' identificazione degli incaricati.
Cosa sono le Misure Minime?
Sono il complesso delle misure tecniche, informatiche, organizzative, logistiche e procedurali di sicurezza che configurano  il livello minimo di protezione richiesto in relazione ai rischi previsti dalla legge. Sono differenziate a seconda che il trattamento sia effettuato con strumenti elettronici o cartacei.
Read 1386 times Last modified on Lunedì, 22 Giugno 2015 09:12

Cookies

I cookies sono piccoli file di testo creati da un server e sono memorizzati sul dispositivo utilizzato dall'Utente per la navigazione sul sito. Essi permettono al sito di garantire all'Utente tutte le funzionalità, una migliore e completa esperienza di navigazione, e di essere al corrente delle preferenze e dei comportamenti dell'utente. Sicurdata Srl utilizza due tipi di cookies, di sessione e persistenti.

I cookies di sessione consentono all'Utente l'esplorazione sicura ed efficiente del sito internet; questi cookies non vengono memorizzati in modo permanente sul dispositivo dell'Utente e si cancellano con la chiusura del browser. I cookies persistenti vengono trasmessi al dispositivo dell'Utente la prima volta che si collega al sito di Sicurdata Srl, e sono memorizzati sul dispositivo stesso. Sicurdata Srl utilizza cookies persistenti per memorizzare le preferenze dell'utente e di terze parti (Google Analytics) al fine di produrre statistiche di utilizzo del sito e per la scelta della lingua.

L'Utente può opporsi alla registrazione dei cookies sul proprio dispositivo configurando il browser usato per la navigazione: se utilizza il sito di Sicurdata Srl senza cambiare le impostazioni del browser, presupponiamo che vorrà ricevere tutti i cookies usati dal sito e fruire di tutte le funzionalità.

Newsletter

Iscrivendoti alla nostra mailing list sarai in grado di ricevere tutte le nostre ultime notizie.
Privacy e Termini di Utilizzo
Non preoccuparti, odiamo lo spam!

Contattaci

Rimaniamo in contatto