Autore: Danilo Gonella
Pubblicato il: 11 Dicembre 2007
Email: infolegislazione@windowserver.it
Introduzione
Lo scopo di questo articolo è quello fornire una conoscenza dei concetti base del D.Lgs. 196 del 30 giugno 2003, detto anche Testo Unico sulla Privacy o, più semplicemente, Codice.
Ricorderete sicuramente la famosa L. (Legge) numero 675 con la quale il nostro legislatore, per la prima volta, ha introdotto la normativa sulla Privacy. Dal 31 dicembre 1996, data della L. 675, c’è stato un susseguirsi di norme, chiarimenti, interpretazioni che sono state nel tempo modificate, tagliate ed infine raccolte nel Decreto che stiamo approfondendo.
La sicurezza che i nostri dati personali siano protetti è un diritto. E questo, oltre ad essere un principio condivisibile, dal giugno 2003 è anche una legge dello Stato che detta una scadenza precisa: il 31 dicembre 2004. Il D.L. (Decreto Legge) numero 266 del 2004, pubblicato sulla G.U. (Gazzetta Ufficiale) del 10 novembre 2004, ha prorogato la scadenza al 30 giugno 2005. E quindi dal 1 luglio 2005 ci sono nuove misure minime di sicurezza, non indicate nella precedente legge, che devono essere tassativamente adottate. Però attenzione: questa scadenza è relativa solamente alle misure minime previste dall’allegato B del Codice (detto disciplinare tecnico), ma la legge è in vigore e valida dal 1 gennaio 2004, pertanto la documentazione doveva essere a suo tempo già aggiornata con quanto previsto dal decreto che stiamo esaminando.
Abbiamo parlato di misure minime: ma cosa sono? L’articolo 4 del Codice, intitolato “Definizioni”, comma 3 lettera a) definisce “’misure minime’, il complesso delle misure tecniche, informatiche, organizzative, logistiche e procedurali di sicurezza che configurano il livello minimo di protezione richiesto …”. Dicevamo anche che devono essere tassativamente adottate: ma adottate da chi? La risposta è molto semplice: da tutti! Aziende, imprese, ditte, studi professionali, banche, assicurazioni, organizzazioni ed esercenti le professioni sanitarie, ed ogni altra categoria privata e pubblica, indipendentemente dalle loro dimensioni, sono tenute ad operare nel rispetto di precise regole che riguardano la sicurezza dei dati e dei sistemi, informatici e non, al fine di ridurre al minimo le fonti di rischio che minacciano i dati stessi e garantire correttezza, integrità e aggiornamento delle informazioni.
La 196 stabilisce tutta una serie di obblighi ed adempimenti; ma proviamo a guardarla da una prospettiva diversa: noi trattiamo dati che non ci appartengono, che sono personali (vedremo successivamente la giusta definizione di questo concetto); quindi rispettare il codice, per un professionista o un imprenditore, non è solo un obbligo dovuto, ma un modo per conquistare la piena fiducia della propria clientela, e quindi di valorizzarsi. In altre parole, significa inquadrare in maniera diversa l’aggiornamento in tecnologie e procedure da Costo a Investimento.
I Punti Chiave
Finalità della 196: proteggere i dati personali di chiunque. Chi deve applicarla: tutte le imprese ed i professionisti. Basta infatti fare anche semplicemente una fattura per mettere in gioco dei dati personali.
Le Misure
Come ho già detto, definiamo misura quel particolare adempimento che dobbiamo attuare per essere in regola con quanto prevede il Codice. Ci sono misure obbligatorie per tutti e misure specifiche per chi gestisce dati sensibili e/o giudiziari, come ad esempio avvocati, commercialisti, consulenti del lavoro, ecc., o per chi svolge attività particolari, ad esempio per le professioni sanitarie. Vediamo ora di che tipo sono le misure da attuare:
- Misure Informatiche: devono essere realizzate le misure previste dal Codice anche con l’aggiornamento dei sistemi operativi (vedremo fra poco in dettaglio)
- Misure Logistiche: il codice prevede tutta una serie di misure anche sull’archiviazione della documentazione cartacea
- Misure Procedurali: deve essere realizzata tutta la documentazione prevista dal Codice come, ad esempio, il Documento Programmatico della Sicurezza (brevemente DPS), la nomina delle figure previste, l’invio di informative ed eventuali richieste di consenso, e quant’altro necessario
Deve essere quindi analizzato in dettaglio ogni singolo caso specifico, in relazione alla tipologia del trattamento (dati comuni, sensibili e/o giudiziari), tipologia delle misure, quantità e qualifica delle persone che si occupano del trattamento dei dati, differenziando anche tipologia e qualità dei dati trattati.
Considerata la complessità della materia è opportuno far eseguire l’analisi dell’attività, la compilazione del DPS e di quant’altro necessario ad adempiere a quanto richiesto dal Codice, ad una persona professionalmente preparata.
Le Sanzioni
Riguardo a quanto appena considerato, analizziamo ora quali sono le sanzioni previste:
- Le sanzioni penali vengono applicate a chi non attua in maniera completa quanto previsto dal codice per la propria tipologia di trattamento. In caso di controllo viene verificata l’omissione e vengono di conseguenza applicate le sanzioni.
- Le sanzioni civili, invece, vengono applicate a chi attua in maniera completa quanto previsto dal codice per la propria tipologia di trattamento, ma non esegue o aggiorna parte delle misure realizzate. Ad esempio, caso non raro, non viene aggiornato l’antivirus, il computer viene infettato e viene spedito nella rete internet l’archivio delle presenze giornaliere completo dei dati dei documenti di identità.
Conclusione
Entro il 30.06.2004, come dicevamo, le imprese dovevano compilare, per la prima volta, il Documento Programmatico della Sicurezza, detto DPS, cioè un manuale nel quale descrivere la situazione attuale e gli interventi che l’impresa intendeva realizzare per adeguarsi alla nuova normativa. Il DPS dev'essere obbligatoriamente aggiornato, con periodicità annuale, entro il 31 marzo di ogni anno. Vi ricordo che, ad oggi, la data ultima per mettersi in regola, predisporre tutta la documentazione cartacea e aggiornare, come vedremo, e configurare correttamente i sistemi informatici, era il 30 giugno 2005. Dal 1 luglio, infatti, sono entrate in vigore tutte le misure e gli obblighi che abbiamo finora accennato.