mercoledì 31 marzo 2010

D.Lgs 106/2009: novità in materia di sicurezza sul lavoro

Il 3 agosto 2009 é stato approvato il D.lgs. 106/2009 (con entrata in vigore 20 agosto 2009), correttivo al D.lgs. 81/08 denominato “Testo unico della sicurezza”.


Il decreto ha apportato numerose novità tra cui:

Sistemi di gestione della sicurezza: se correttamente ed efficacemente attuato assolve all'obbligo di vigilanza del datore di lavoro.

Data certa: il documento assume data certa anche se firmato da tutti gli attori della sicurezza ( firme del datore di lavoro, RSPP, RLS e Medico competente).

Valutazione stress lavoro correlato: la valutazione del rischio è sospesa al 01/08/2010 in attesa delle linee guida che dovranno essere emesse dalla Commissione consultiva permanente per la salute e sicurezza sul lavoro.

Contratti di appalto e prestazione d'opera: non è più necessaria la predisposizione del DUVRI per i lavori ai servizi di natura intellettuale, alle mere forniture di materiali o attrezzature nonché ai lavori o servizi la cui durata non sia superiore ai due giorni, sempre che essi non comportino rischi derivanti dalla presenza di agenti cancerogeni, biologici, atmosfere esplosive o dalla presenza dei rischi particolari ( es. lavori in quota in condizioni critiche, lavori di smontaggio e montaggio di elementi prefabbricati pesanti, ecc…)

Sistema di qualificazione delle imprese: relativamente al settore dell'edilizia, oltre ai sistemi di qualificazione già previsti per gli altri settori, è istituita una sorta di patente a punti della sicurezza che in caso di azzeramento del punteggio per reiterate violazioni comporta l'impossibilità di svolgere lavori.

INFORMAZIONI:
ALBANO DE SANTIS
CONSULENTE SICUREZZA SUL LAVORO
SAN BENEDETTO DEL TRONTO(AP)
TEL.347/8585975

Privacy e sicurezza - La protezione di un patrimonio: i dati aziendali

Aziende, Liberi Professionisti e Pubbliche Amministrazioni al giorno d'oggi trattano i dati personali servendosi di strumenti che non tutelano né loro stessi né i diretti interessati: è agli occhi di tutti come negli ultimi tempi sia cresciuto smisuratamente il numero di lettere, e-mail, fax e sms ricevuti e indesiderati; le cause sono da ricercarsi in una normativa che non tutelava pienamente i dati personali importanti per chi li rilascia oltre che per chi li detiene.
Il Garante della Privacy ha regolamentato le modalità di trattamento dei dati aziendali nei 183 articoli del Decreto Legislativo n°196 del 30 Giugno 2003.

I soggetti interessati dalla nuova normativa, indipendentemente dalle loro dimensioni, sono:

  • aziende private, di ogni settore economico  
  • studi professionali e liberi professionisti  
  • studi medici, dentistici e ambulatoriali  
  • pubbliche Amministrazioni, ad ogni livello  
  • strutture didattiche e docenti/consulenti  
  • istituti bancari, assicurativi e finanziari  
  • associazioni, cooperative e consorzi
  •  
La legge fissa il 30 Giugno 2005 come termine ultimo per l'adeguamento alla normativa, e a partire da tale data sarà reso obbligatorio un aggiornamento entro il 31 Marzo di ogni anno.

I controlli saranno effettuati dall'Ufficio del Garante, dalla Polizia Postale e dalla Guardia di Finanza, con sanzioni sia amministrative (con multe da 500 a 60.000 Euro) che penali (nei casi più gravi fino a 2 anni di reclusione).

Soluzione:
Il nostro consulente offre una consulenza gratuita attraverso la quale verificare la conformità al Decreto Legge 196/2003 relativamente al trattamento e alla protezione dei dati personali e sensibili da parte di imprese, liberi professionisti e Pubblica Amministrazione.
Il nostro studio provvede a tutti gli adempimenti previsti dalle norme su Privacy e Sicurezza:

  1. progettazione e definizione degli interventi di adeguamento ai sistemi hardware e software  
  2. redazione e distribuzione di lettere d'incarico, consenso e autorizzazioni al trattamento dati  
  3. stesura del Documento Programmatico per la Sicurezza (DPS) a tutela dei dati sensibili  
  4. formazione dei responsabili e adeguamento dei documenti nei casi di variazioni d'utilizzo  
  5. aggiornamento della documentazione nei termini previsti dalla Legge periodicamente.


 
» Richiedi una consulenza gratuita «
al nostro consulente di zona:
SIG. A. DE SANTIS
CONSULENTE PRIVACY A TERAMO/BELLANTE
TEL.347-8585975

Formazione Privacy in Azienda - Come previsto dal D.Lgs. 196/2003

Formazione Privacy in Azienda
Come previsto dall’articolo 19 dell’Allegato B al Testo Unico sulla Privacy è necessario provvedere alla formazione di titolari, responsabili e incaricati sul corretto trattamento dei dati.sia aspetti tecnici che normativi e verrà erogata attraverso un corso presso la Vostra sede, secondo giorni e orari da concordare. Al termine del corso verrà rilasciato un attestato di formazione a ogni incaricato/responsabile partecipante.

La nostra società vi offre la possibilità di corsi di formazione ad un costo ridotto.

Per informazioni contattare l'agente di zona Abruzzo, Marche

Dott. A. DE SANTIS
Consulente Privacy e Sicurezza sul luogo di Lavoro
TEL: 347/8585975

lunedì 29 marzo 2010

La storia sulla TUTELA DEI DATI PERSONALI

Nel 1970, il governo svedese decise di attribuire un codice di riconoscimento individuale a tutti i cittadini (simile al nostro codice fiscale).

Furono avviati una serie di programmi sociali, tra i quali un progetto per l'archiviazione su "calcolatore" dei dati sanitari e delle cartelle cliniche dei cittadini, con possibilità di accesso tramite terminali collegati alla rete telefonica pubblica.

In caso di emergenza (ad esempio in caso di incidente stradale) il medico del pronto soccorso, utilizzando il codice personale del malato, poteva leggere i dati sanitari dell'individuo ed intervenire in un quadro di migliore conoscenza dell'individuo, dal punto di vista clinico.

Qualche tempo dopo, fece notizia il caso di un cittadino che si vide rifiutare un posto di lavoro perché nella sua cartella clinica elettronica era riportata l'informazione che un prozio aveva mostrato sintomi di alterazione delle facoltà mentali.

La normativa sulla Privacy nacque quindi con lo scopo di evitare che i dati sensibili di ogni individuo vengano utilizzati al di fuori dei fini per i quali questi dati sono stati raccolti.

Un’informazione utile dal punto di vista clinico, ad esempio, deve essere utilizzata solo ed esclusivamente nell’ambito delle argomentazioni mediche.



La normativa sulla privacy in Italia



Malgrado le prime proposte volte a regolamentare la tutela della privacy in Italia risalgano agli anni ’80, anche grazie alle iniziative di sensibilizzazione ed alle sollecitazioni provenienti dall’Unione Europea, solo nel 1996 fu (finalmente) approvata la Legge N ° 675, cd.

Codice di Protezione della Privacy, che recepiva anche nel nostro paese i principi sanciti da una specifica Direttiva Comunitaria in materia.

Più recentemente, l’ultimo provvedimento normativo del legislatore italiano in tema di tutela della riservatezza individuale è stato il Decreto Legislativo N° 196 del Giugno 2003, denominato “Codice in materia di protezione dei dati personali”.

Nel nuovo Codice sono stati delineati in modo più approfondito sia i principi generali che alcune tematiche settoriali, già regolamentate dalla precedente legge (ad esempio, la riservatezza nelle comunicazioni elettroniche).

Consulente privacy in provincia di Teramo e Ascoli Piceno

Il concetto di privacy ormai è noto ai più. La privacy è entrata nelle aziende, negli enti pubblici, negli studi dei professionisti e si è consolidata come diritto di ciascuno di vedersi preservato da una profilazione non autorizzata. Il nuovo decreto legislativo 106/2003 ha apportato una serie di obblighi cui tutti coloro che trattano dati non a scopo personale ma relativamente ad attività, sono costretti ad adeguarsi a quanto stabilito dal legislatore. Per tanti ciò comporta dispendio di energie, di investimenti e spesso coinvolge anche la reimpostazione delle procedure di trattamento dei dati all’interno della struttura di riferimento.


Questo sito si propone di fornire sia elementi introduttivi alla normativa che approfondimenti ed aggiornamenti tali da consentire un approccio diretto con la materia sia per il responsabile privacy dell’azienda o dell’ente pubblico, sia per il privato che intenda verificare se è avvenuta una lesione dei suoi diritti o quali sono le modalità di esercizio degli stessi.

Dal punto di vista di chi opera da tempo nel settore privacy - avendo avuto la possibilità di verificare le condizioni di riservatezza dei dati nelle più diverse realtà nazionali - gli obblighi normativi vigenti rispondono alla necessità di stimolare mentalità di sicurezza attualmente assente in gran parte delle persone.

La sicurezza dei dati fino ad ieri era un optional: le struttura non effettuavano le copie di sicurezza sottovalutandone l’importanza, lasciavano i propri pc sprovvisti di password e ciò incrementava inarrestabilmente sia gli atti di concorrenza sleale che quelli di danneggiamento o violazione dei dati.

Oggi i dati personali di cui è titolare una struttura non devono essere considerati solo delle anagrafiche ma un patrimonio vero e proprio.

Nel millennio in cui si assiste ad un continuo progresso tecnologico, assimilare il concetto di sicurezza significa saper vivere nell’era dell’informatizzazione. Trascurare questo aspetto significa arrendersi e remare contro all’evoluzione.

Ecco la chiave di lettura dell’attuale normativa che interviene in un periodo di forte trasformazione e che serve a traghettarci verso un nuovo concetto di riservatezza, dove il principio basilare è la trasparenza nel trattamento dei dati e la libertà di scegliere chi possa o meno effettuare questo trattamento.

Per informazioni contattatemi al Tel.347/8585975 ,
Consulente  Privacy  per aziende a Giulianova ,
Sig. DE SANTIS ALBANO.

mercoledì 24 marzo 2010

Domande e risposte sulla Privacy -"Il codice sulla Privacy"

Il Codice della Privacy


Che cosa tratta










1 - Quali finalità si propone il Codice?


Le norme del Codice della privacy, in aderenza alla disciplina dell'Unione Europea, intendono garantire che il trattamento dei dati personali si svolga nel rispetto dei diritti e delle libertà fondamentali (tutelati, in generale, dalla Costituzione della Repubblica), nonché della dignità delle persone fisiche, con particolare riferimento alla riservatezza e all'identità personale.


La tutela si estende anche ai diritti delle persone giuridiche.










2- Che cos'è il trattamento dei dati personali ?


Il trattamento dei dati personali è qualunque operazione o complesso di operazioni svolte con o senza l'ausilio di strumenti elettronici, che concerne le operazioni di:


-raccolta dei dati, -registrazione, -organizzazione, -conservazione, -consultazione, -elaborazione, -blocco, -modificazione, -utilizzo, -interconnessione, -comunicazione, -diffusione, -cancellazione, -distruzione, -selezione, -estrazione, -raffronto.










3- Quali sono i dati personali ?


I dati personali sono tutte le informazioni relative a persone fisiche o giuridiche, oppure ad enti e associazioni, che consentano l'identificazione diretta o indiretta di questi stessi soggetti.


Ad esempio, sono dati personali rientranti nelle previsioni del Codice, oltre ai dati anagrafici ed economici, anche le immagini, i suoni e i codici identificativi riconducibili a un individuo.


Esiste, inoltre, una categoria di dati - i cosiddetti dati sensibili - attinenti alla sfera personalissima dei singoli (informazioni sulle opinioni religiose o politiche, sulle abitudini sessuali, etc.), per i quali la legge prevede una tutela più forte rispetto agli altri.


Il trattamento di dati giudiziari, cioè i dati personali idonei a rivelare provvedimenti di cui all'articolo 3, comma 1, lettere da a) a o) e da r) a u), del d.P.R. 14 novembre 2002, n. 313, in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualità di imputato o di indagato ai sensi degli articoli 60 e 61 del codice di procedura penale, è ammesso solo se autorizzato da espressa disposizione di legge o provvedimento del Garante, che ne specifichi le finalità, i tipi di dati e le operazioni autorizzate.










4 - Che cos'è una banca dati ?


Una banca dati è un insieme di informazioni personali, raccolte e conservate in una o più unità di supporto, dislocate in uno o più siti, organizzata secondo una pluralità di criteri determinati, tali da facilitarne il trattamento.










5 - Che cos'è una base dati ?


Raccolta di dati digitali o cartacei in formato omogeneo (ad es Database fatture in formato Access o cassetto contenente tutte le bolle dei clienti).










6 - Che cos’è un sistema di archiviazione?


Unità sia digitale (server) che analogica (armadio, cassetti e archivi), contenente una o più base dati.










7 - Quali sono i soggetti del trattamento ?


Il titolare: la persona fisica o giuridica, la pubblica amministrazione o qualsiasi altro ente, associazione o organismo cui competono le decisioni circa le finalità e le modalità del trattamento di dati personali, ivi compresa la sicurezza dei dati.


Il responsabile: la persona fisica o giuridica, la pubblica amministrazione o qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali.


L'incaricato: colui che compie le operazioni del trattamento di dati personali, attenendosi alle istruzioni impartite dal titolare o dal responsabile.


L'interessato: la persona fisica, la persona giuridica, l'ente o l'associazione cui si riferiscono i dati personali.


Il rappresentante stabilito nel territorio dello Stato: Nel caso in cui il titolare risieda all’estero, deve essere nominato un rappresentante che sia stabilito nel territorio dello Stato italiano.










8 - Qual'è l'ambito di applicazione del Codice?


Il Codice si applica al trattamento di dati personali (anche se detenuti all'estero) da chiunque effettuato nel territorio dello Stato, con o senza mezzi elettronici, o comunque automatizzati.


Inoltre, il Codice si applica anche al trattamento di dati personali effettuato da chiunque sia stabilito in un qualunque Paese, anche extraeuropeo, ed impieghi per il trattamento mezzi situati nel territorio dello Stato, anche diversi da quelli elettronici o automatizzati, salvo che essi siano utilizzati a soli fini di transito nell’Unione Europea. In questi casi deve essere nominato il rappresentante stabilito nel territorio dello Stato italiano.


Non è soggetto alla legge il trattamento di dati personali effettuato da persone fisiche per fini esclusivamente personali (agende, elenchi, raccolte), sempre che i dati non siano destinati ad una comunicazione sistematica o alla diffusione.


Anche in questo caso, comunque, il titolare deve garantire la sicurezza dei dati ed è responsabile del danno eventualmente prodotto per effetto di una qualunque operazione di trattamento.










9 - Quali sono gli obblighi del titolare nei confronti dell'Autorità Garante per la protezione dei dati personali?


Il titolare che intenda procedere ad un trattamento di dati personali, rientranti tra quelli previsti dall’art. 37 del Codice, deve darne comunicazione, mediante notificazione, all'Autorità Garante per la protezione dei dati personali.


Il Garante è un'autorità pubblica, che opera in piena autonomia e con indipendenza di giudizio e di valutazione e che ha specifiche funzioni di controllo e vigilanza in materia di tutela dei dati personali.


Si tenga però presente che, in virtù delle novità introdotte dal D,lgs. 196/2003, che ha abrogato la legge 675/1996, l’adempimento della notificazione, prima obbligo generalizzato, sarà in futuro limitato ai soli casi previsti da un emanando regolamento.










10 - Cosa deve essere comunicato al Garante?


Al Garante deve essere comunicato il trattamento dei dati personali riguardante particolari settori, specificatamente elencati dall’art. 37. Inoltre, il Garante con proprio provvedimento potrà individuare altri trattamenti suscettibili di recare pregiudizio ai diritti ed alle libertà dell’interessato.


Le modifiche di cui sopra comportano un cambiamento anche nelle modalità di effettuazione della notifica, che può avvenire solo per via telematica.










11 - Quali sono gli obblighi relativi al trattamento ?


I dati personali devono essere:


a. trattati in modo lecito e corretto;


b. raccolti e registrati per scopi determinati, espliciti e legittimi ed utilizzati in altre operazioni del trattamento in termini non incompatibili con tali scopi;


c. esatti e, se necessario, aggiornati;


d. pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono stati raccolti o successivamente trattati;


e. conservati in una forma che consenta l'identificazione dell'interessato, per un periodo di tempo non superiore a quello necessario agli scopi per cui sono stati raccolti o trattati.










12 - Quali informazioni devono essere fornite agli interessati ?


Il soggetto interessato, o la persona presso la quale sono raccolti i dati personali devono essere preventivamente informati per iscritto, circa:


a. le finalità e le modalità del trattamento;


b. l'obbligo o la facoltà di conferire i dati;


c. le conseguenze giuridiche del rifiuto a rispondere;


d. i soggetti a cui i dati possono essere comunicati;


e. l'ambito di diffusione dei dati personali;


f. i diritti spettanti al soggetto interessato;


g. identificazione anagrafico-logistica del titolare del trattamento, del responsabile nel territorio dello Stato, di almeno un responsabile del trattamento, se designato; occorre indicare, inoltre, le modalità tramite cui reperire l’elenco completo ed aggiornato di tutti i responsabili del trattamento.


11 - E' necessario il consenso dell'interessato per il trattamento dei dati personali ?


Il trattamento di dati personali da parte di privati o di enti pubblici economici è ammesso soltanto con il consenso espresso dell'interessato, salve le eccezioi di cui al punto seguente. Il consenso è validamente prestato soltanto se è espresso liberamente.


Il consenso per il trattamento dei dati comuni può anche essere orale, purché documentato per iscritto, mentre quello per i dati sensibili deve essere prestato esclusivamente in forma scritta.














13 - Quando non è necessario il consenso dell'interessato ?


Il consenso dell'interessato non è richiesto quando il trattamento:


a. riguarda dati trattati per adempiere ad obblighi previsti da leggi, regolamenti o disposizioni comunitarie;


b. è necessario per l'esecuzione di un contratto di cui è parte l'interessato, o per l’esecuzione di misure precontrattuali adottate su richiesta di quest’ultimo;


c. riguarda dati provenienti da pubblici registri, elenchi o documenti conoscibili da chiunque;


d. riguarda dati relativi allo svolgimento di attività economiche;


e. è necessario per la salvaguardia dell'incolumità o della vita dell'interessato o di un terzo;


f. con l’esclusione della diffusione, è effettuato per lo svolgimento di investigazioni difensive;


g. con l’esclusione della diffusione, è necessario, nei casi individuati dal Garante, per perseguire un legittimo interesse del titolare o di un terzo destinatario, anche in riferimento all’attività di gruppi bancari e di società controllate o collegate;


h. con esclusione della comunicazione all’esterno e della diffusione, è effettuato da associazioni, enti o organismi senza scopo di lucro, anche non riconosciuti, in riferimento a soggetti che hanno con essi contatti regolari o ad aderenti, per il raggiungimento di scopi determinati e legittimi individuati dall’atto costitutivo, dallo statuto o dal contratto collettivo;


i. è necessario, in conformità con i codici deontologici, per esclusivi scopi scientifici, statistici o storici.










14 - Quali sono i diritti dell'interessato ?


Il Codice prevede che, circa i suoi dati personali, l'interessato abbia diritto:


a. di conoscere, mediante l'accesso al registro dei trattamenti presso il Garante, l'esistenza di trattamenti che lo riguardino;


b. di essere informato dal titolare circa le finalità del trattamento;


c. di ottenere dal titolare la conferma, l'aggiornamento, la cancellazione, la rettifica dei dati trattati, o la loro trasformazione in forma anonima;


d. di opporsi in tutto o in parte, per motivi legittimi, al trattamento di dati che lo riguardino.


e. di chiedere il blocco dei dati trattati in violazione di legge.










15 - Come possono essere fatti valere i propri diritti dall'interessato ?


L'interessato può e deve, in primo luogo, agire direttamente nei confronti del titolare, del responsabile, o tramite gli incaricati del trattamento, chiedendo che i suoi diritti, se violati, vengano ripristinati.


L'interessato, dopo aver fatto valere i suoi diritti nei confronti del titolare del trattamento, in mancanza di soddisfazione della richiesta, può far valere i propri diritti dinanzi all'Autorità giudiziaria o con ricorso al Garante.


Se si sceglie la strada della giustizia ordinaria non è più possibile proporre ricorso al Garante.














16 - Cosa è previsto per i dati sensibili ?


I dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, politico, filosofico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale, possono essere trattati soltanto con il consenso scritto dell'interessato e con l'autorizzazione del Garante.


Per i soggetti pubblici il trattamento è consentito solo ed esclusivamente se è autorizzato da una legge, che specifichi quali sono i dati trattabili e le operazioni eseguibili, nonché le rilevanti finalità di interesse pubblico che si intendono perseguire.


In presenza di una previsione di legge che specifichi le finalità di rilevante interesse pubblico, ma non i tipi di dati sensibili e di operazioni eseguibili, i soggetti pubblici, con atto di natura regolamentare adottato in conformità col parere espresso dal Garante, devono identificare e rendere pubblici i tipi di dati e di operazioni strettamente pertinenti e necessari in relazione alle finalità perseguite nei singoli casi.


Nel caso in cui il trattamento non è espressamente previsto da una disposizione di legge, i soggetti pubblici possono chiedere una speciale autorizzazione al Garante, rendendo altresì pubblici, nei modi di cui sopra, i tipi di dati e di operazioni strettamente pertinenti e necessari in relazione alle finalità perseguite nei singoli casi.


In tutti i casi, comunque, è necessario fornire all'interessato una completa informativa.














17 - Cosa è previsto per i dati inerenti alla salute ?


Gli esercenti le professioni sanitarie e gli organismi sanitari pubblici possono, anche senza l'autorizzazione del Garante, trattare i dati personali idonei a rivelare lo stato di salute, limitatamente ai dati e le operazioni indispensabili per il perseguimento di finalità di tutela dell'incolumità fisica e della salute dell'interessato.


Se le finalità di tutela riguardano terzi o la collettività, in mancanza del consenso dell'interessato, il trattamento può avvenire soltanto previa autorizzazione del Garante.


Sono previste modalità semplificate per la raccolta del consenso.


E’ in ogni caso vietata la diffusione dei dati inerenti alla salute.














18 - Quali sono le garanzie di sicurezza dei dati personali previsti dal Codice?


L’Allegato B del Codice ("Disciplinare tecnico in materia di misure minime di sicurezza") ha individuato le misure minime di sicurezza che tutti i titolari del trattamento, siano essi soggetti privati o pubblici, devono adottare, pena l’arresto sino a due anni.


Le misure individuate sono graduate per classi di dati e per tipologie di trattamento. Occorre pertanto verificare accuratamente quali misure di sicurezza sono obbligatorie, in relazione ai singoli trattamenti.


I dati personali oggetto del trattamento devono, comunque, essere custoditi in modo da ridurre al minimo i rischi di distruzione o perdita, anche accidentale, nonché di accesso non autorizzato o di trattamento non consentito e non conforme alle finalità di raccolta.


A tale scopo devono essere predisposte tutte le idonee misure di sicurezza in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento. Eventuali danni subiti dagli interessati dovranno ottenere risarcimento.














19 - Cosa è previsto per la comunicazione e la diffusione dei dati personali ?


La comunicazione e la diffusione sono consentite, come il trattamento, con il consenso dell’interessato, ovvero nel caso in cui ricorra un’ipotesi di esenzione.


In ogni caso, non possono essere comunicati o diffusi i dati per i quali è stata ordinata la cancellazione, ovvero quando è stato superato il periodo di tempo necessario al raggiungimento degli scopi, ovvero per scopi diversi da quelli indicati nella notificazione del trattamento al Garante, ove prescritta.














20 - Quali sono le regole per i dati trattati da soggetti pubblici ?


Il trattamento, la comunicazione e la diffusione di dati personali da parte di soggetti pubblici sono ammessi unicamente per lo svolgimento di funzioni istituzionali, anche in mancanza di una norma di legge o regolamento che lo preveda espressamente.


La comunicazione e la diffusione a soggetti pubblici sono ammesse soltanto quando siano previste da leggi o regolamenti, o risultino comunque necessarie per lo svolgimento di funzioni istituzionali: in quest'ultimo caso deve essere data comunicazione al Garante.


La comunicazione e la diffusione a soggetti privati o ad enti pubblici economici è ammessa soltanto se prevista da legge o regolamento.














21 - Quali sanzioni sono previste ?


Il Codice sanziona penalmente i comportamenti adottati in difformità dallo stesso, quali il trattamento illecito di dati personali, la omessa adozione delle misure di sicurezza, nonché l'omessa osservanza dei provvedimenti del Garante, la falsità nelle dichiarazioni al Garante.


Sono, inoltre, previste sanzioni amministrative nei casi di omessa o incompleta notificazione del trattamento al Garante, di inosservanza delle richieste del Garante o per l'omessa informativa ai soggetti interessati.

Per ulteriori domande rivolgersi:

Professionista e Tecnico per la materia Privacy
Dott. De Santis A.
Tel. 347/8585975
Tortoreto/Giulianova (Teramo)
Regione Abruzzo

nuove scadenze Privacy alle aziende riguardanti le Misure minime di sicurezza da adottare

MISURE MINIME DI SICUREZZA (Art. 33-36)







Per quanto concerne la generalità dei soggetti, si osserva che a partire dal 1° gennaio 2004, data di entrata in vigore del nuovo codice, le misure minime di sicurezza, che devono essere adottate, sono previste dal disciplinare tecnico, che va a sostituirsi al Dpr 318/1999.

Conscio del fatto che una scadenza così ravvicinata potrebbe creare problemi di ordine tecnico, ai soggetti che trattano dati personali, il legislatore ha differito, con le disposizioni transitorie, il termine ultimo entro il quale è possibile adeguarsi a quanto previsto dal disciplinare tecnico, nei seguenti termini:





§ per tutti i soggetti, il comma 1 dell’articolo 180 stabilisce il termine ultimo del 31 dicembre 2004*, per adottare le nuove misure minime (cioè quelle che, essendo state introdotte dal disciplinare tecnico, non erano in precedenza previste dal Dpr 318/1999).





§ nel solo caso in cui si possiedano strumenti elettronici tecnicamente inadeguati, i commi 2 e 3 dell’articolo 180 differiscono ulteriormente al 31 marzo 2005* il termine ultimo, entro cui si devono adottare le nuove misure minime.



La norma detta le condizioni, che autorizzano ad avvalersi del maggiore termine:



la circostanza di disporre di strumenti elettronici che, per obiettive ragioni tecniche, non consentono in tutto o in parte l’immediata applicazione delle misure minime, deve essere verificata in data 1° gennaio 2004. Chi si trovasse in questa situazione può quindi beneficiare del maggiore termine, anche nell’ipotesi in cui gli strumenti elettronici venissero sostituiti, con strumenti adeguati, prima del 31 dicembre 2004;



entro il 31 dicembre 2004, il titolare deve redigere un documento a data certa, da custodire presso la propria struttura (non va quindi inviato al Garante), nel quale espone le ragioni per cui gli strumenti elettronici sono, in tutto o in parte, inadeguati. Si ricorda che, per ottenere il requisito della data certa, non è necessario recarsi da un notaio o all’Ufficio del registro, ma è ad esempio sufficiente inviare a sé stessi il documento, mediante piego raccomandato con ricevuta di ritorno



il titolare deve comunque adottare ogni possibile misura di sicurezza, in relazione agli strumenti elettronici detenuti, in modo da evitare, anche sulla base di idonee misure organizzative, logistiche o procedurali, un incremento dei rischi per la sicurezza.



REDAZIONE DEL DOCUMENTO PROGRAMMATICO SULLA SICUREZZA (Art.34, comma 6)





L’obbligo di redigere il documento programmatico di sicurezza viene generalizzato, a tutti in casi in cui si trattino dati sensibili o giudiziari con l’utilizzo di strumenti elettronici, anche nell’ipotesi in cui tali strumenti non siano in rete (con il nuovo codice, è quindi sufficiente che tali dati siano trattati con un singolo elaboratore, perché si debba procedere alla redazione del documento).



Viene inoltre fissato un termine generale, entro il 31 marzo di ogni anno, per la redazione e, negli anni successivi, l’aggiornamento di tale documento.





Per il solo anno 2004, il Garante ha fissato al 31 dicembre 2004* il termine ultimo, entro il quale redigere per la prima volta o aggiornare il documento. L’Autorità ha imposto tale scadenza a tutti i soggetti che trattano dati sensibili o giudiziari con elaboratori, per cui si osserva quanto segue:





§ per i soggetti che erano già tenuti alla redazione del DPSS, in vigenza del Dpr 318/1999, il più lungo temine del 31 dicembre è motivato dal fatto che nel nuovo DPSS si devono includere informazioni aggiuntive, rispetto a quelle in precedenza richieste, e si deve inoltre dare conto di avere adottato, o di essere in procinto di adottare, misure di sicurezza che possono essere in parte nuove, rispetto a quelle previste dal Dpr 318/1999 stesso.





Per inciso, tali soggetti sono tenuti a redigere il DPSS per il 2004 entro il 31 dicembre anche nell’ipotesi in cui, a tale data, sia trascorso meno di un anno dall’ultimo aggiornamento effettuato in base alle vecchie regole, previste dal Dpr 318/1999





§ per i soggetti che non erano tenuti alla redazione del DPSS, in vigenza del Dpr 318/1999, ma lo sono ai sensi del nuovo codice privacy, la scadenza del 31 dicembre 2004, imposta dal Garante, costituisce in realtà un anticipo, rispetto alla data che si sarebbe potuta ipotizzare, dalla lettura della norma (31 marzo 2005). Il Garante ritiene infatti che non sussistano margini per sostenere che, nel caso in esame, il DPSS possa essere redatto per la prima volta solo nel 2005





§ la stessa regola vale per i soggetti che, disponendo di strumenti elettronici tecnicamente inadeguati, redigono entro il 31 dicembre 2004 un documento avente data certa, per differire al 31 marzo 2005 il termine ultimo entro cui adottare le nuove misure minime di sicurezza. Se trattano dati sensibili o giudiziari con l’utilizzo di elaboratori, tali soggetti devono comunque rispettare il termine del 31 dicembre per redigere per la prima volta, o aggiornare, il DPSS, in quanto il Garante ha affermato che si tratta di una misura da adottare con un documento, non di un accorgimento da applicare direttamente a strumenti elettronici, per cui non è possibile invocare un differimento al 2005, neppure in applicazione dello speciale meccanismo a proposito delle obiettive ragioni tecniche relative a strumenti elettronici.







* (termini modificati dal decreto legge del 22 giugno 2004)







Sintesi delle misure minime e scadenze sulle operazioni cicliche da effettuare

informazioni presso:
Professionista in materia  privacy alle aziende
Dott. A. De Santis
San Benedetto del Tronto/Centobuchi (Ascoli Piceno) 
Regione Marche