|
IL
NUOVO “CODICE” SULLA PRIVACY
Il 27 giugno scorso è stato approvato
il Codice delle leggi in materia di protezione dei
dati personali. Cambiano le regole per le notificazioni
e le misure di sicurezza.
I testi unici, per definizione, sono strumenti legislativi
mediante i quali si riunisce in unico (e corposo)
provvedimento, tutta la precedente normativa emanata
sulla materia. Ciò è accaduto anche
per la disciplina inerente la tutela dei dati personali;
il legislatore ha ridotto in un unico “codice”
normativo le numerose disposizioni intervenute in
materia di privacy dal lontano dicembre 1996, mese
di emanazione della Legge sui dati personali (675/96).
Numerose le novità, sia per gli adempimenti
di tipo amministrativo, che per le misure minime di
sicurezza richieste per il trattamento dei dati. Cercheremo
di passarle brevemente in rassegna, dedicando il prossimo
articolo ad approfondimenti sul tema delle misure
di sicurezza. Si precisa che l’analisi viene
effettuata sul testo “ufficioso” circolante
su internet nei primi giorni di luglio, stante l’impossibilità
di reperire il testo “ufficiale” sui siti
istituzionali.
Notificazione
Con la legge sulla privacy del 1996, si stabilì
che prima di iniziare qualunque trattamento di dati
personali, fosse necessario effettuare una notificazione
all’ufficio del Garante. L’omissione della
notificazione venne sanzionata penalmente. Successivamente
(a decorrere dal 1 marzo 2002 - art 24 del decreto
legislativo 467/2001), detto adempimento fu mitigato,
prevedendo che fossero obbligati alla notificazione
solo o titolare di trattamenti di dati personali in
grado di recare pregiudizio ai diritti ed alle libertà
dell’interessato; tuttavia, detto principio
astratto non trovò applicazione in quanto non
venne mai emanato un regolamento che fissasse (in
concreto) quali tipologie di trattamento dei dati
dovessero essere sottoposte alla notificazione.
Ebbene, dal 1 gennaio 2004, la notificazione non sarà
più obbligatoria per tutte le tipologie di
trattamento. Con il Testo Unico, infatti, sono state
individuate le categorie obbligate ad effettuare la
notificazione. In rapidissima sintesi, dovranno effettuare
la notificazione solo coloro che effettuano trattamenti
di dati genetici, biometrici, relativi all’ubicazione
di persone od oggetti; ovviamente anche coloro che
trattano dati relativi allo stato di salute, o alla
vita sessuale, o alla sfera psichica, ovvero coloro
che trattano dati a carattere politico, filosofico,
ecc., dovranno effettuare la notificazione, così
come coloro che trattano dati con l’ausilio
di strumenti elettronici volti a definire il profilo
o la personalità dell’interessato, o
ad analizzare abitudini o scelte di consumo, ovvero
a monitorare l’utilizzo di servizi di comunicazione
elettronica con esclusione dei trattamenti tecnicamente
indispensabili per fornire i sevizi medesimi agli
utenti. Sono inoltre obbligati alla notificazione
coloro che trattano dati sensibili registrati in banche
dati ai fini di selezione del personale, nonché
coloro che trattano dati sensibili utilizzati per
sondaggi di opinione, ricerche di mercato e altre
ricerche campionarie. Infine, sono obbligati al trattamento
dei dati personali coloro che trattano dati personali
relativi al rischio sulla solvibilità economica,
alla situazione patrimoniale, a comportamenti illeciti
e fraudolenti, al corretto adempimento di obbligazioni.
Misure
di sicurezza
Le misure minime di sicurezza richieste per effettuare
il trattamento dei dati personali sono state adeguate
allo stato dell’attuale tecnologia e rafforzate.
In merito ai trattamenti effettuati con strumenti
elettronici, sono state rese obbligatorie le misure
descritte nella tabella riportata a fianco. Da notare
che il documento programmatico sulla sicurezza sembrerebbe
previsto per tutte le tipologie di trattamento e non
più solo per il trattamento di dati “sensibili”.
Per tale adempimento c’è comunque tempo
fino al 31 marzo 2005, mentre per le altre misure
minime di sicurezza occorrerà adeguarsi entri
il 30 giugno 1994.
Telecomunicazioni mail, sms, mms
In merito all’utilizzo dei sistemi di telecomunicazioni,
il Testo Unico ribadisce ciò che è già
presente nella nostra disciplina, pur con qualche
novità. In primo luogo viene ribadito il divieto
di invio di materiale pubblicitario, o di vendita
diretta, o per il compimento di ricerche di mercato,
o di comunicazione commerciale, mediante posta elettronica,
fax, mms (multimedia messaging service) o sms (short
message service), senza il preventivo consenso dell’interessato.
In altre parole, viene ancora una volta ribadito il
divieto di spamming. L’unica eccezione a questo
principio si riscontra solo qualora il mittente utilizzi,
ai fini di vendita diretta di propri prodotti e servizi,
le coordinate di posta elettronica fornite dall’interessato
nel contesto della vendita. In questo caso non è
richiesto il consenso espresso dell’interessato,
sempre che si tratti di prodotti o servizi analoghi
a quelli venduti e l’interessato, adeguatamente
informato, non rifiuti tale uso, inizialmente o in
occasione di successive comunicazioni.
La novità riguarda il tempo di conservazione
dei dati relativi al traffico da parte dei gestori
dei servizi di telecomunicazioni. Detti dati potranno
essere conservati per un massimo di 6 mesi ai fini
di fatturazione e per documentazione in caso di contestazione
della fattura; i mesi diventano 30 (altre versioni
del Testo Unico presenti su internet parlano di 18
mesi) qualora la conservazione sia effettuata esclusivamente
per finalità di prevenzione, accertamento e
repressione di reati.
MISURE
MINIME DI SICUREZZA(IN VIGORE DAL 30.6.2004)
- utilizzazione di un sistema di autenticazione informaticanomina
incaricati con istruzioni per iscrittocodici identificativipassword
di almeno 8 caratteri – modificata ogni 6 mesi
(tre mesi per i dati sensibili)- gestione delle credenziali
di autenticazione- utilizzazione di un sistema di
autorizzazione- individuazione dell’ambito del
trattamento consentito a incaricati ed addetti alla
gestione o manutenzione degli strumenti informatici
(aggiornamento periodico)- protezione di strumenti
e dati rispetto ad accessi non autorizzati e trattamenti
illeciti- adozione di procedure di recovery e storageantivirus
firewalll back-up settimanale- redazione di documento
programmatico sulla sicurezza- cifratura o adozione
di codici identificativi per trattamenti di dati sensibili
effettuati da organismi sanitari
|
|