Privacy, gli adempimenti nel mondo hi-tech

di Valentina Frediani (ConsulenteLegaleInformatico.it) - Ecco qualche esempio pratico di notifica al Garante per chi gestisce dati frutto di rilevazioni hi-tech. Dalla biometria alla videosorveglianza

Roma - È ormai prossimo il termine di scadenza per il rinnovo della notificazione al Garante relativamente all'esistenza di un'attività di raccolta e utilizzazione di dati personali. Difatti, entro il 30 aprile 2004, i titolari dei trattamenti indicati dalla legge, dovranno procedere a trasmettere al Garante - mediante via telematica e con l'utilizzo della firma elettronica - la dichiarazione con la quale rendono nota allo stesso l'esistenza di tale attività.

I trattamenti da notificare sono quelli elencati all'art. 37 del decreto legislativo 196/2003, ma il Garante ha provveduto recentemente ad individuare delle sottocategorie per cui tale notificazione è esclusa. Vediamo alcuni casi che potrebbero risultare più interessanti per coloro che operano interagendo con le nuove tecnologie.

Tra i dati indicati dalla prima categoria individuata dal codice, troviamo i dati biometrici: della biometria abbiamo più volte parlato come uno "strumento" particolarmente delicato in quanto consente il riconoscimento dell'identità di un individuo mediante l'identificazione di particolari caratteristiche del corpo umano; dalla notifica sono esclusi i trattamenti non sistematici di dati biometrici effettuati da esercenti le professioni sanitarie, qualora non siano organizzati in una banca di dati accessibile a terzi per via telematica.
Sempre alla prima categoria appartengono anche dati che indicano la posizione geografica di persone od oggetti mediante una rete di comunicazione elettronica. La notifica è esclusa solo qualora la raccolta avvenga esclusivamente a fini di sicurezza del trasporto: appare quindi evidente che laddove la raccolta dei dati non sia a fini di sicurezza ma a titolo, ad esempio, meramente organizzativo, il titolare dovrà procedere.

Sono poi oggetto di notifica i trattamenti aventi ad oggetto prestazione di servizi sanitari per via telematica relativi a banche di dati o alla fornitura di beni, indagini epidemiologiche, rilevazione di malattie mentali, infettive e diffusive, sieropositività, trapianto di organi e tessuti e monitoraggio della spesa sanitaria: la notifica è esclusa se i trattamenti sono effettuati non sistematicamente, rispetto a dati non organizzati in una banca di dati accessibile a terzi per via telematica e limitatamente ai dati e alle operazioni indispensabili per la tutela della salute o dell'incolumità fisica dell'interessato o di un terzo, e qualora la raccolta avvenga ad esclusivi fini di monitoraggio della spesa sanitaria o di adempimento di obblighi normativi in materia di igiene e sicurezza del lavoro e della popolazione.

Vige poi l'obbligo di notifica di quei dati trattati con l'ausilio di strumenti elettronici volti a definire il profilo o la personalità dell'interessato, o ad analizzare abitudini o scelte di consumo, ovvero a monitorare l'utilizzo di servizi di comunicazione elettronica con esclusione dei trattamenti tecnicamente indispensabili per fornire i servizi medesimi agli utenti.

Il Garante ha comunque ritenuto doversi escludere dall'onere di notifica i trattamenti che non siano fondati unicamente su un trattamento automatizzato volto a definire profili professionali, effettuati per esclusive finalità di occupazione o di gestione del rapporto di lavoro.

Da questa tipologia di dati vanno anche scartati quelli relativi all'utilizzo di marcatori elettronici o di dispositivi analoghi installati, oppure memorizzati temporaneamente, e non persistenti, presso l'apparecchiatura terminale di un utente, consistenti nella sola trasmissione di identificativi di sessione in conformità alla disciplina applicabile, all'esclusivo fine di agevolare l'accesso ai contenuti di un sito Internet.

Inoltre i dati registrati in apposite banche di dati gestite con strumenti elettronici e relative al rischio sulla solvibilità economica, alla situazione patrimoniale, al corretto adempimento di obbligazioni, a comportamenti illeciti o fraudolenti devono essere segnalate. In tale ambito il Garante ha però precisato non doversi procedere qualora si tratti di dati raccolti in pubblici registri o elenchi conoscibili da chiunque o di dati registrati in banche di dati utilizzate in rapporti con l'interessato di fornitura di beni, prestazioni o servizi, o per adempimenti contabili o fiscali, anche in caso di inadempimenti contrattuali, azioni di recupero del credito e contenzioso con l'interessato.

Sono anche esclusi i dati registrati in banche di dati utilizzate da soggetti pubblici o privati per adempiere esclusivamente ad obblighi normativi in materia di rapporto di lavoro, previdenza o assistenza.

Un richiamo si ha anche in merito alla videosorveglianza: dall'obbligo di notifica sono esclusi i dati relativi a immagini o suoni conservati temporaneamente per esclusive finalità di sicurezza o di tutela delle persone o del patrimonio.

Al di là dunque dell'obbligo di rinotificare i trattamenti al Garante, è comunque in vigore già dal primo gennaio 2004 l'obbligo della prima notifica per chi tratta i dati indicati dall'art. 37 Codice Privacy.

Ma che fine faranno le notifiche? Ebbene, sarà costituito un registro pubblico delle stesse consultabile gratuitamente on line potendo così chiunque acquisire notizie ed utilizzarle per le finalità di applicazione del Codice stesso, come ad esempio in caso di diritto di accesso ai dati o di riscontro.

È opportuno infine sapere che la omessa o incompleta notificazione può comportare una sanzione da 10.000 a 60.000 euro, mentre in caso di falsità di dichiarazioni e notificazione al Garante, la reclusione è da 6 mesi a 3 anni. Si consiglia dunque di visitare il sito www.garanteprivacy.it sul quale sono presenti integralmente le categorie di trattamenti da notificare e non.

Avv. Valentina Frediani
www.consulentelegaleinformatico.it
18 Commenti alla Notizia Privacy, gli adempimenti nel mondo hi-tech
Ordina
  • Quesito n. 1) Cosa si intende per "prestazione di servizi sanitari per via telematica relativi a banche di dati o alla fornitura di beni"?

    Quesito n. 2) Le società nostre clienti ci affidano la gestione della contabilità, gestendo comunque presso la loro sede la fatturazione. Il DPSS deve essere redatto solo se si trattano dati sensibili con strumenti elettronici. Se una società affida la tenuta delle paghe ad un professionista esterno, come pure la contabilità, deve comunque redigere tale documento?

    Infinite grazie,
    cordiali saluti
    Monia M.
    non+autenticato
  • Se un'azienda possiede una lista di nominativi
    di nomi/cognomi/email aziendali di un cliente

    e usa quelle mail per fornire il suo servizio
    deve mettere in atto le misure di sicurezza
    previste dal Testo Unico (D.Lgs. 196/2003)?

    grazie
    non+autenticato
  • una classica industria manifatturiera, una fabbrica per capirci, con operai ed impiegati.

    amministrazione
    produzione
    fatturazione
    progettazione
    magazzini materie prime
    magazzini prodoto finito / spedizioni

    ovviamente si ha una anagrafica clienti e tutta la contabilità.

    si hanno i dipendenti.

    ebbene questo tipo di industria (diffusissima!) deve fare qualcosa? Perchè la mia impressione è che NON si debba fare proprio niente!
    non+autenticato
  • Ti sbagli.

    Se per esempio l'industria di cui sopra effettua visite mediche al proprio personale e detiene tali risultati presso la propria sede DEVE effettuare la notifica.

    Se per esempio tale industria prepara in proprio le buste paga ed alcuni dipendenti, essendo iscritti ad un sindacato, hanno ritenute sindacali che potrebbero ricondurli a questa o quest'altra opinione politica, DEVE effettuare la notifica.

    Potrei continuare, ma mi pare basti questo ...
    non+autenticato
  • Ti sbagli TU !!!!

    Con il nuovo Testo Unico (D.Lgs. 196/2003) di norma NON bisogna di norma notificare, tranne le rare casistiche individuate dall'articolo 37, e quelle che citi NON rientrano tra quelle previste dall'articolo 37.

    Invece bisogna comunque fare quanto previsto dall'articolo 34:

    Art. 34 (Trattamenti con strumenti elettronici)
    1. Il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell?allegato B), le seguenti misure minime:
    a) autenticazione informatica;
    b) adozione di procedure di gestione delle credenziali di autenticazione;
    c) utilizzazione di un sistema di autorizzazione;
    d) aggiornamento periodico dell?individuazione dell?ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici;
    e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici;
    f) adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi;
    g) tenuta di un aggiornato documento programmatico sulla sicurezza;
    h) adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari.
    non+autenticato
  • E la tua impressione è COMPLETAMENTE SBAGLIATA !!
    L'azienda manifatturiera DEVE fare tutto quello che è richiesto dall'articolo 34 del D.Lgs. 196/2003, che ti riporto di seguito:

    Art. 34 (Trattamenti con strumenti elettronici)
    1. Il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell?allegato B), le seguenti misure minime:
    a) autenticazione informatica;
    b) adozione di procedure di gestione delle credenziali di autenticazione;
    c) utilizzazione di un sistema di autorizzazione;
    d) aggiornamento periodico dell?individuazione dell?ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici;
    e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici;
    f) adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi;
    g) tenuta di un aggiornato documento programmatico sulla sicurezza;
    h) adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari.
    non+autenticato
  • Una cosa che non sono riucito a capire ...

    Il fatto di tenere su un proprio server l' email di alcuni clienti(pop/imap) senza fornire accesso ad internet implica la notifica al garante?

    non+autenticato
  • No, in questo caso non devi fare alcuna notifica al Garante, poiché il tuo caso non rientra tra nessuno di quelli previsti dall'articolo 37 del D.Lgs. 196/2003.
    non+autenticato
  • l'email non è un dato sensibile ...
    non+autenticato
  • La mia domanda è la seguente e penso che vada a soddisfare molte situazioni analoghe:
    - nel caso di una ditta privata che mantenga memorizzati elettronicamente (i classici gestionali) i dati relativi a contabilità aziendale e quindi dati inerenti alla solvibilità economica come ci si deve comportare?
    Secondo i "nuovi" chiarimenti sembrerebbe che non debba presentare alcuna notificazione o mi sbaglio?
  • Non ti sbagli. Secondo i nuovi "chiarimenti" non sono da notificare i trattamenti di dati personali

    "registrati in banche di dati utilizzate in rapporti con l'interessato di fornitura di beni, prestazioni o servizi, o per adempimenti contabili o fiscali, anche in caso di inadempimenti ocntrattuali, azioni di recupero del credito e contenzioso con l'interessato".

    Quindi tutto quello che riguarda menate contabili e amministrative non è da notificare, grazie al cielo. Tieni però presente che questo (il fatto che non vi sia l'obbligo di notifica) non esime il titolare dal mettere in atto tutte le misure di sicurezza previste dal D:Lgs. 196/2003, tra cui in particolare la redazione del Documento Programmatico sulla Sicurezza.
    non+autenticato
  • > Tieni
    > però presente che questo (il fatto
    > che non vi sia l'obbligo di notifica) non
    > esime il titolare dal mettere in atto tutte
    > le misure di sicurezza previste dal D:Lgs.
    > 196/2003, tra cui in particolare la
    > redazione del Documento Programmatico sulla
    > Sicurezza.

    Si infatti però il DPS va redatto entro il 30/06/04 se non erro
  • Corretto. E con questo ?
    non+autenticato
  • e con questo significa che ho ancora tempo fino al 30/06/04 per redigere il nuovo DPS.;)
    - Scritto da: Anonimo
    > Corretto. E con questo ?
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 7 discussioni)