| Documenti > Osservatorio > Archivio |
|
|
|||||||
|
|||||||
| Anno 2004/1 |  |
||
|
IR
DOCUMENTI: documenti
pubblicati sull'argomento |
Altri siti in argomento nel Catalogo Siti Leggi le News |
||
 |
|
|
26
giugno 2004 - COMUNICATO GARANTE |
 |
| FONTE: Garante per la protezione dei dati personali, www.garanteprivacy.it | |
|
Il Garante (Stefano Rodotà, Giuseppe Santaniello, Gaetano Rasi, Mauro Paissan) interviene sul delicato rapporto tra privacy e giornalismo con un documento complessivo, la cui stesura finale è stata curata per il Garante da Mauro Paissan, in cui fornisce chiarimenti e puntualizzazioni su alcune problematiche emerse dagli incontri del gruppo di lavoro, costituito tra l’Autorità e l’Ordine nazionale dei giornalisti, che ha svolto una riflessione sull’applicazione del codice deontologico dei giornalisti a sei anni dalla sua entrata in vigore. L'obiettivo è quello di sempre: trovare un punto di equilibrio tra il diritto di cronaca e il diritto di ogni persona ad essere rispettata, nella sua dignità, nella sua identità, nella sua intimità. I chiarimenti, desumibili in gran parte dalla giurisprudenza del Garante e dalle più recenti novità normative intervenute a livello nazionale ed europeo, riguardano trattamenti di dati personali effettuati mediante i tradizionali mezzi di informazione (televisione, radio e carta stampata). Successive riflessioni potranno prendere in considerazione le problematiche attinenti all’uso di Internet. Il documento, una sorta di guida pratica (consultabile sul sito www.garanteprivacy.it), cerca di fornire indirizzi e risposte ad alcuni problemi spinosi che le redazioni si trovano spesso ad affrontare e basta scorrere le varie sezioni per avere un quadro della complessità dei temi: autonomia e responsabilità del giornalista; interesse pubblico ed essenzialità dell’informazione; accesso alle informazioni detenute dalle pubbliche amministrazioni; diffusione di fotografie; nomi delle persone nelle cronache giudiziarie; dati sulla salute e sulla vita sessuale. La molteplicità e la varietà delle vicende di cronaca - si legge nel documento - non consentono di stabilire a priori e in maniera categorica quali dati possono essere raccolti e diffusi nel riferire su singoli fatti: un medesimo dato legittimamente pubblicato in un contesto può non esserlo in un altro. D’altra parte una codificazione minuziosa risulterebbe inopportuna. Ma se il bilanciamento tra diritto alla riservatezza e libertà di manifestazione del pensiero resta, dunque, affidato innanzitutto al giornalista e alla sua responsabile valutazione, la sua attività deve comunque svolgersi nel rispetto di principi e diritti posti a tutela della riservatezza e dignità della persona. Roma, 11 giugno 2004 |
|
 Torna
all'inizio della pagina |
|
|
|
|
25
giugno 2004 - DOCUMENTI ON-LINE |
 |
| FONTE: InterLex, www.interlex.com | |
|
Questo documento, messo a punto con la collaborazione di un non meglio identificato gruppo di esperti di sicurezza, fa seguito alla bozza del 23 maggio denominata Prime riflessioni sui criteri di redazione del DPS e mira, come dice lo stesso Garante in prefazione, "a facilitare l'adempimento dell'obbligo di redazione del DPS nelle organizzazioni di piccole e medie dimensioni o, comunque, non dotate al proprio interno di competenze specifiche". L'intento è lodevole ma il risultato ci sembra sostanzialmente deludente, e comunque le modalità ed i tempi di attuazione dell'iniziativa del Garante non appaiono purtroppo esenti da critiche di varia natura." [...]
|
|
|
Torna
all'inizio della pagina |
|
|
|
|
19
giugno 2004 - COMUNICATO GARANTE |
|
| FONTE: Garante per la protezione dei dati personali, www.garanteprivacy.it | |
|
La guida è stata semplificata sulla base dei commenti pervenuti all'esito della consultazione pubblica ed è utilizzabile facoltativamente. Roma, 11 giugno 2004 |
|
|
Torna
all'inizio della pagina |
|
|
|
|
28
maggio 2004 - DOCUMENTI ON-LINE |
|
| FONTE: Diritto&Diritti, www.diritto.it | |
|
Ci si riferisce all'ormai famigerato Documento Programmatico sulla Sicurezza, meglio conosciuto, agli addetti ai lavori, come 'DPS'. Si tratta di una delle misure minime di sicurezza previste dal Codice privacy (art. 34 del Codice e Regola 19 del Disciplinare tecnico sulle misure minime di sicurezza, Allegato B del Codice privacy) la cui mancata adozione è sanzionata penalmente con l'arresto sino a due anni e l'ammenda da 10.000 Euro a 50.000 Euro (art. 169). In questo succinto elaborato non si intende dilungarci sugli aspetti sanzionatori della norma bensì riportare delle brevi osservazioni sul Documento del 13 maggio scorso del Garante privacy denominato 'Prime riflessioni sui criteri di redazione del Documento programmatico sulla sicurezza' cui seguirà il provvedimento definitivo che verrà pubblicato entro il prossimo primo giugno." [...]
|
|
|
Torna
all'inizio della pagina |
|
|
|
|
15
maggio 2004 - COMUNICATO GARANTE |
|
| FONTE: Garante per la protezione dei dati personali, www.garanteprivacy.it | |
|
Tra queste misure rientra anche l’obbligo di redigere o aggiornare il documento programmatico sulla sicurezza (Dps). Con un parere del 22 marzo scorso, l’Autorità ha già fornito alcuni chiarimenti. Al fine di fornire un contributo utile alla redazione del Dps, il Garante ha chiesto ad alcuni esperti in tema di sicurezza informatica di valutare, in autonomia e in un gruppo di lavoro, talune modalità operative per agevolare i soggetti tenuti a tale adempimento, specie quelli che non dispongono di competenze specifiche. Il gruppo ha terminato la prima fase dei lavori. L’Autorità ritiene opportuno pubblicare il contributo che ne è scaturito, per stimolare osservazioni, richieste di chiarimento e proposte che esaminerà al fine di pubblicare su www.garanteprivacy.it, entro il 1° giugno prossimo, un documento rivisto che potrà essere liberamente utilizzato come guida operativa per redigere il Dps. Sia questo contributo, sia la guida operativa non si propongono come riferimento obbligato per gli operatori. Considerata l’estrema varietà delle realtà interessate, l’analisi dei rischi richiede una valutazione di carattere tecnico che può variare sensibilmente a seconda del contesto pubblico o privato in cui opera il titolare del trattamento. L’elencazione degli eventi prevedibili inserita nella tabella all’interno del documento non deve essere quindi considerata né obbligatoria, né esaustiva, e va considerata come promemoria da cui ciascuno può trarre richiami utili. Le e-mail di commento potranno essere inviate entro il 23 maggio prossimo, alla casella: sitoweb@garanteprivacy.it Roma, 13 maggio 2004 |
|
|
Torna
all'inizio della pagina |
|
|
|
|
30
aprile 2004 - DOCUMENTI ON-LINE |
|
| FONTE: Diritto&Diritti, www.diritto.it | |
|
Ma il Parere del Garante, pur portando chiarezza su alcune questioni, ripropone vecchi dubbi e solleva nuovi interrogativi. 1. Sul termine ultimo per l'adozione del DPS Con la pronuncia del 22 marzo, il Garante comunica alle aziende private ed alle pubbliche amministrazioni che avranno tempo fino al 30 giugno 2004 per adottare le "nuove misure" minime di sicurezza di cui all'art. 180, comma 1, del nuovo Testo Unico in materia di trattamento di dati personali (D.lg.n. 196/2003). Il Garante precisa, nello stesso provvedimento, che potranno usufruire del termine ultimo (dilatorio) del 30 giugno sia coloro che devono predisporre il DPS per la prima volta che coloro che hanno gia provveduto a redarlo, o ad aggiornarlo, nel 2003. Dunque, qualche respiro in piu per chi, direttamente interessato, vedeva nel 31 marzo 2004 il termine ultimo per la redazione del Documento Programmatico sulla Sicurezza (DPS) e delle altre misure minime per la tutela dei dati personali. Ma tale chiarimento era del tutto necessario? E' corretto parlare, in questo caso, di "proroga" dei termini per l'adozione del DPS? Un'attenta analisi dei dati normativi di riferimento porta a concludere che soltanto per la redazione del DPS da parte di "chi, gia dotato di un DPS redatto o aggiornato nel 2003... debba curare la stesura di un testo significativo e piu impegnativo nella ricognizione dei rischi e degli interventi previsti", il Garante, con il Parere in discussione, ha disposto una "proroga" del termine dilatorio, concedendo un trimestre in piu rispetto al termine del 31 marzo gia fissato dal D.lg. n. 196/2003 e ribadito all'art. 19 dell'Allegato B) al nuovo Testo Unico sul trattamento dei dati personali." [...]
|
|
|
Torna
all'inizio della pagina |
|
|
|
|
17
aprile 2004 - DOCUMENTI ON-LINE |
|
|
APPROFONDIMENTO: Il Codice della privacy (testo provv.) |
|
|
L. Neirotti, Perplessità sulle scadenze delle misure minime di sicurezza, su www.interlex.it |
|
 Torna
all'inizio della pagina |
|
|
|
|
3
aprile 2004 - DOSSIER GARANTE |
|
| FONTE: Garante per la protezione dei dati personali, www.garanteprivacy.it | |
|
Per rilasciare ad un cliente un finanziamento per l’acquisto di un’autovettura o di un elettrodomestico, un prestito personale o un mutuo per la casa, le banche e le società finanziarie consultano alcuni archivi o banche di dati (le cosiddette "centrali rischi") gestiti da altre società o enti privati che forniscono informazioni sui rapporti di finanziamento, precedenti ed in corso, relativi allo stesso cliente. Esistono varie centrali rischi di natura privata nelle quali possono essere registrate o informazioni riguardanti soltanto ritardati o mancati pagamenti da parte della clientela di diverse finanziarie oppure tutte le informazioni, sia positive che negative, relative allo svolgimento del rapporto di finanziamento. Per
consultare tali archivi gli istituti di credito e finanziari sono a
loro volta tenuti a comunicare i dati della clientela che ha chiesto
ed ottenuto un finanziamento, segnalando anche eventuali ritardi nei
pagamento (le cosiddette "morosità") o situazioni più gravi di mancato
rimborso del credito. In base alle indicazioni fornite dal Garante in questo provvedimento, i dati relativi alle richieste di finanziamento possono essere conservati in una centrale rischi al massimo per 6 mesi (considerato come un periodo sufficiente per completare la loro istruttoria). Ma se la richiesta non viene accolta o è oggetto di rinuncia da parte del cliente interessato, i dati devono essere cancellati dalla centrale rischi entro 1 mese. Quando nel corso del rapporto di finanziamento si verificano ritardi nel pagamento delle rate di rimborso, la morosità di un cliente deve essere segnalata o registrata in una centrale rischi soltanto dopo alcuni mesi o nel caso di mancato pagamento di più rate, soprattutto quando si tratta di morosità di modeste entità (alcuni operatori, ad esempio, seguono già la prassi di segnalare ritardi di almeno 4 mesi o di 4 rate mensili). La principale finalità è quella di evitare che in una centrale rischi privata risultino immediatamente dei mancati pagamenti causati da anomalie o disguidi bancari o postali non sempre imputabili agli interessati. A tale scopo, le banche e le società finanziarie, prima di effettuare la segnalazione della morosità in una o più centrali rischi, sono tenute a dare un preavviso agli interessati (anche in occasione del sollecito di pagamento). I dati relativi a morosità completamente sanate, poi, devono essere comunque cancellati entro 1 anno dalla data della loro regolarizzazione o comunque dalla data d’estinzione, anche anticipata, del rapporto di finanziamento (chiaramente senza debiti residui). Soltanto i dati relativi a ritardi nei pagamenti eventualmente non regolarizzati o a più gravi situazioni di mancato rimborso del finanziamento possono essere conservati per un periodo di tempo più ampio e, comunque, per tutta la durata del rapporto e al massimo per tre anni dalla data in cui è risultato effettivamente necessario aggiornare la posizione del finanziamento (in relazione a vicende successive riguardanti, ad esempio, il recupero del credito o la chiusura di un'eventuale contenzioso tra la finanziaria ed il cliente). In caso di errori nella registrazione dei dati in una centrale rischi, di segnalazioni ingiustificate o di conservazione dei dati relativi a richieste o rapporti di finanziamento per periodi eccedenti, il Codice in materia di protezione di dati personali (d.lgs. n.196/2003) riconosce all’interessato il diritto di rivolgersi direttamente al titolare o al responsabile del trattamento dei dati presso la centrale rischi, per ottenere conferma dell’esistenza o meno dei dati che lo riguardano, nonché, a seconda dei casi, la correzione, l’integrazione o la cancellazione dei dati di cui non è necessaria la conservazione. (Qualora non si conoscano gli estremi identificativi e i recapiti delle centrali rischi, è possibile chiederli alla banca o alla società finanziaria di riferimento). Nel caso in cui non venga data risposta, ovvero vengano rifiutati l’accesso o l’esercizio di uno degli altri diritti indicati dal Codice (art.7), lo stesso interessato potrà ricorrere all’autorità giudiziaria ordinaria o al Garante per le forme di tutela previste. Il testo
integrale del dossier sulle centrali rischi può essere |
|
|
Torna
al sommario della notizia |
|
|
||||||||||||||||
|
26
marzo 2004 - PARERE GARANTE |
|
|||||||||||||||
| FONTE: Garante per la protezione dei dati personali, www.garanteprivacy.it | ||||||||||||||||
|
Il dps deve contenere, in particolare, l’analisi dei rischi che incombono sui dati personali e le tutele da adottare per prevenire la loro distruzione, l’accesso abusivo e la dispersione ed è obbligatorio per chi raccoglie, utilizza e conserva dati sensibili o giudiziari. Potranno usufruire del termine del 30 giugno sia coloro che devono predisporre tale documento per la prima volta sia coloro che ne abbiano già redatto o aggiornato uno nel 2003. Un modello base semplificato sarà disponibile a breve sul sito del Garante (www.garanteprivacy.it). Dal prossimo anno, decorso il periodo transitorio connesso all’entrata in vigore del Codice della privacy, il termine per l’aggiornamento del dps rimarrà fissato al 31 marzo. Queste in sintesi le indicazioni che l’Ufficio del Garante ha fornito ad amministrazioni pubbliche e società private per una corretta applicazione delle novità normative introdotte dal Codice della privacy in materia di “misure minime” di sicurezza e dei sistemi informatici e telematici. Le "misure minime", già previste dalla legge n. 675/1996, sono l’insieme degli accorgimenti tecnici e organizzativi che l’azienda deve adottare per assicurare almeno il livello minimo di sicurezza per la protezione dei dati personali. Il Codice, entrato in vigore il 1 gennaio 2004, ha confermato la disciplina in materia di sicurezza dei dati personali introdotta nel 1996. In particolare, è stato ribadito il principio secondo cui le "misure minime" sono solo una parte degli accorgimenti obbligatori in materia di sicurezza. Vi è infatti il dovere più generale di custodire i dati personali per contenere il più possibile il rischio che essi siano distrutti, dispersi, conoscibili fuori dei casi consentiti o trattati in modo illecito, nonché di introdurre ogni utile dispositivo di protezione legato alle nuove conoscenze tecniche. Oltre ad attenersi, quindi, a queste disposizioni generali, i soggetti pubblici e privati hanno il dovere di adottare in ogni caso le "misure minime", la cui mancata adozione costituisce reato. Il Codice ha però aggiornato l’elenco delle "misure minime" di sicurezza e ha indicato modalità di applicazione (allegato B del Codice). Analogamente a quanto avveniva in passato, le "misure minime" sono diverse a seconda che il trattamento sia effettuato o meno con strumenti elettronici o riguardi dati sensibili o giudiziari. Anche il documento programmatico sulla sicurezza, che in base al nuovo Codice deve essere adottato da chiunque effettua un trattamento di dati sensibili o giudiziari con strumenti elettronici, rientra tra le misure minime. Si tratta di una misura non nuova anche se è parzialmente cambiato il contenuto del documento, è più ampia la categoria dei dati giudiziari ed è aumentato il numero dei soggetti destinatari dell’obbligo. Proprio in considerazione delle novità introdotte e del numero dei nuovi soggetti interessati, il Garante ha ritenuto che, in sede di prima applicazione del nuovo quadro normativo, il dps possa essere predisposto, al più tardi entro il 30 giugno 2004. Va ricordato, infine, che il termine concesso oggi agli operatori riguarda solo ed esclusivamente l’adozione delle nuove misure introdotte dal Codice. Le "vecchie" misure minime, che erano già obbligatorie in passato, devono essere infatti adottate senza attendere il termine del 30 giugno. (Fonte: Comunicato Garante del 23 marzo 2004) |
||||||||||||||||
|
Si riporta il testo del parere. Oggetto: prima applicazione del Codice in materia di protezione dei dati personali in materia di "misure minime" di sicurezza (artt. 31-36 e Allegato B) al d.lg. n. 196/2003). Il Codice entrato in vigore il 1° gennaio 2004 ha confermato e aggiornato la disciplina in materia di sicurezza dei dati personali e dei sistemi informatici e telematici introdotta nel 1996. Diversi principi affermati dal nuovo Codice non sono nuovi per gli operatori. In particolare è stato confermato il principio (evidenziato con maggiore chiarezza dalle nuove disposizioni) secondo cui le "misure minime", di importanza tale da indurre il legislatore a prevedere anche una sanzione penale, sono solo una parte degli accorgimenti obbligatori in materia di sicurezza (art. 33 del Codice). In materia, come già previsto dalla legge n. 675/1996, si distinguono due distinti obblighi: a) l’obbligo più generale di ridurre al minimo determinati rischi. Occorre custodire e controllare i dati personali oggetto di trattamento per contenere nella misura più ampia possibile il rischio che i dati siano distrutti, dispersi anche accidentalmente, conoscibili fuori dei casi consentiti o altrimenti trattati in modo illecito. Resta in vigore, oltre alle cosiddette "misure minime", l’obbligo di adottare ogni altra misura di sicurezza idonea a fronteggiare le predette evenienze, avuto riguardo alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle caratteristiche del trattamento, di cui si devono valutare comunque i rischi (art. 31). Come in passato, l’inosservanza di questo obbligo rende il trattamento illecito anche se non si determina un danno per gli interessati; viola inoltre i loro diritti, compreso il diritto fondamentale alla protezione dei dati personali che può essere esercitato nei confronti del titolare del trattamento (artt. 1 e 7, comma 3, del Codice), ed espone a responsabilità civile per danno anche non patrimoniale qualora, davanti al giudice ordinario, non si dimostri di aver adottato tutte le misure idonee ad evitarlo (artt. 15 e 152 del Codice); b) nell’ambito del predetto obbligo più generale, il dovere di adottare in ogni caso le "misure minime". Nel quadro degli accorgimenti più ampi da adottare per effetto dell’obbligo ora richiamato, occorre assicurare comunque un livello minimo di protezione dei dati personali. Pertanto, in aggiunta alle conseguenze appena ricordate, il Codice conferma l’impianto secondo il quale l’omessa adozione di alcune misure indispensabili ("minime"), le cui modalità sono specificate tassativamente nell’Allegato B) del Codice, costituisce anche reato (art. 169 del Codice, che prevede l’arresto sino a due anni o l’ammenda da 10 mila euro a 50 mila euro, e l’eventuale "ravvedimento operoso" di chi adempie puntualmente alle prescrizioni impartite dal Garante una volta accertato il reato ed effettua un pagamento in sede amministrativa, ottenendo così l’estinzione del reato). 1. LE NUOVE "MISURE MINIME": TERMINI PER L’ADOZIONE 1.1. Il Codice, come previsto dalla legge n. 675/1996 e come dovrà avvenire periodicamente in base all’evoluzione tecnologica (art. 36 del Codice), ha aggiornato l’elenco delle "misure minime" le cui modalità di applicazione, sulla base di alcune prescrizioni di ordine generale (artt. 33-35 del Codice), sono indicate analiticamente nelle 29 regole incluse nell’Allegato B) del medesimo Codice. Analogamente a quanto avveniva in passato, le misure minime sono diverse a seconda che il trattamento sia effettuato o meno con strumenti elettronici, oppure riguardi dati sensibili o giudiziari. Per alcune di esse sono previste scadenze periodiche, ma le “misure minime” che erano già obbligatorie in passato devono essere adottate ancora oggi senza attendere il decorso di termini transitori. 1.2. Il termine transitorio che permette di adottare le misure entro il 30 giugno 2004 riguarda solo le nuove misure (art. 180, comma 1, d.lg. n. 196/2003; per la precedente disciplina, v. gli artt. 15, comma 2 e 41 l. n. 675/1996, il d.P.R. n. 318/1999 e la l. n. 325/2000). É previsto un periodo più ampio per l’adeguamento (fino al 1° gennaio 2005) solo se, in un caso del tutto particolare, ricorrano obiettive ragioni di natura tecnica. Si tratta dell’ipotesi specifica (che riguarda solo i trattamenti effettuati con strumenti elettronici) in cui il titolare del trattamento, alla data del 1° gennaio scorso, disponeva di strumenti elettronici che, per le predette obiettive ragioni esclusivamente tecniche, documentate in un atto a data certa da redigere al più tardi entro il 30 giugno 2004, non consentono di applicare immediatamente, in tutto o in parte, le nuove misure minime. Sempre in questo circoscritto caso, nel quale si è obbligati a prevenire comunque un incremento dei rischi (art. 180, comma 3, del Codice), occorre conservare il documento a data certa il quale non va trasmesso al Garante, che può però richiederne l’esibizione in sede di accertamento anche ispettivo (artt. 157 ss. del Codice). Per quanto riguarda le modalità per far risultare una "data certa" si dovrà applicare la disciplina civilistica in materia di prova documentale (v. in particolare, gli artt. 2702-2704 del codice civile) e si potranno tenere presenti i suggerimenti formulati dal Garante in un parere del 2000 qui allegato, e redatto a proposito di un analogo documento previsto in tema di sicurezza (art. 1 l. n. 325/2000). In materia di "misure minime", anche quando si rediga il documento a data certa, non va pertanto effettuata alcuna comunicazione al Garante; dalla circostanza che l’Autorità abbia ricevuto eventuali note in proposito, spesso peraltro succinte, il titolare del trattamento non potrà inoltre desumere, anche in caso di mancato riscontro, alcun assenso o autorizzazione del Garante a proseguire il trattamento dei dati con le modalità dichiarate. 2. IL DOCUMENTO PROGRAMMATICO SULLA SICUREZZA 2.1 Anche la redazione del DPS è una "misura minima", prevista dall’Allegato B). Si tratta di una misura non nuova, sebbene sia aumentato il numero dei soggetti che deve redigere il DPS e sia parzialmente diverso il suo necessario contenuto. Infatti, la precedente disciplina prevedeva già l’obbligo di predisporre e aggiornare il DPS, almeno annualmente, in caso di trattamento di dati sensibili o relativi a determinati provvedimenti giudiziari effettuato mediante elaboratori accessibili mediante una rete di telecomunicazioni disponibili al pubblico (artt. 22 e 24 l. n. 675/1996; art. 6 d. P.R. n. 318/1999). I soggetti tenuti a predisporre il DPS hanno potuto redigerlo per la prima volta entro il 29 marzo 2000 o, al più tardi, entro il 31 dicembre 2000 (artt. 15, comma 2 e 41, comma 3 l. n. 675/1996; l. n. 325/2000); dovendo rispettare l’obbligo di revisione almeno annuale, hanno dovuto aggiornare il DPS negli anni successivi, anche nel 2003. 2.2. In base al nuovo Codice, la misura minima del DPS deve essere ora adottata dal titolare di un trattamento di dati sensibili o giudiziari effettuato con strumenti elettronici, attraverso l’organo, ufficio o persona fisica a ciò legittimata in base all’ordinamento aziendale o della pubblica amministrazione interessata (art. 34, comma 1, lett. g), del Codice; regola 19 dell’Allegato B)). Come accennato, il DPS deve essere redatto da alcuni soggetti che non vi erano precedentemente tenuti (ad esempio, da chi trattava dati sensibili o giudiziari, ma con elaboratori non accessibili mediante una rete di telecomunicazioni disponibili al pubblico). Inoltre, a differenza del passato, la categoria dei dati giudiziari è oggi rappresentata anche da altri dati personali, riferiti ad esempio a provvedimenti giudiziari non definitivi o alla semplice qualità di imputato o indagato (v. art. 4 del Codice). Infine, il contenuto stesso del DPS è arricchito da nuovi elementi che si aggiungono a quelli necessari in base alla precedente disciplina o ne specificano alcuni aspetti. Ad esempio, nel DPS occorre descrivere ora i criteri e le modalità per ripristinare la disponibilità dei dati in caso di distruzione o danneggiamento delle informazioni o degli strumenti elettronici; occorre individuare poi i criteri da adottare per cifrare o per separare i dati idonei a rivelare lo stato di salute e la vita sessuale trattati da organismi sanitari ed esercenti le professioni sanitarie (regole 19.8 e 24 dell’Allegato B)). 2.3. Benché non si tratti a rigore di una misura "nuova", è quindi legittimamente sostenibile che il DPS da redigere quest'anno per la prima volta, o da aggiornare, possa essere predisposto al più tardi entro il 30 giugno 2004, anziché necessariamente entro il 31 marzo, data che è invece prevista a regime per i prossimi anni, a partire dal 2005 (cfr. regola 19). Si perviene a questa conclusione per tutti i destinatari dell'obbligo:
Il termine più ampio del 30 giugno 2004 permetterà di utilizzare facoltativamente il modello-base e semplificato di DPS che il Garante è in procinto di porre a disposizione dei titolari del trattamento interessati, soprattutto per le realtà medio-piccole che non si attiveranno entro il 31 marzo. Non sussistono infine margini per sostenere che il DPS possa essere redatto per la prima volta o aggiornato solo nel 2005. Il DPS è peraltro una misura da adottare con un documento, anziché un accorgimento da applicare direttamente a strumenti elettronici, per cui non è possibile invocare un differimento al 2005 neppure in applicazione dello speciale meccanismo già descritto a proposito delle obiettive ragioni tecniche relative a strumenti elettronici. 3. RELAZIONE ACCOMPAGNATORIA AL BILANCIO D’ESERCIZIO 3.1 Le scelte di fondo sulle modalità di trattamento sotto il profilo della sicurezza competono alle persone e agli organi legittimati ad adottare decisioni ed esprimere a vari livelli, in base al proprio ordinamento interno, la volontà della società, ente o altro organismo titolare del trattamento (art. 4, comma 1, lett. f), del Codice). In questo quadro, il Codice ha introdotto una nuova regola per rendere meglio edotti gli organi di vertice del titolare del trattamento e responsabilizzarli in materia di sicurezza, attraverso l’obbligo di riferire nella relazione di accompagnamento a ciascun bilancio di esercizio circa l’avvenuta redazione o aggiornamento del DPS che sia obbligatorio come misura "minima" o che sia stato comunque adottato (regola 26 Allegato B)). Anche
questa menzione rappresenta una misura "minima" nuova, indicata tra
quelle di "tutela e garanzia" (regole 25 e 26). 3.2 I soggetti pubblici e privati tenuti in passato a predisporre o aggiornare il DPS, e che per il 2004 possono come detto aggiornarlo entro il 30 giugno del presente anno, dovranno riferire secondo la regola 26 già a partire dalla relazione sul bilancio di esercizio per il 2003, con riferimento al DPS già eventualmente aggiornato per il 2004, oppure menzionando l’adozione o aggiornamento avvenuto nel 2003 e indicando sinteticamente che si aggiornerà il DPS entro il 30 giugno 2004. I soggetti pubblici e privati tenuti invece per la prima volta a redigere il DPS nel 2004 (come si è detto entro il 30 giugno), non devono indicare nella relazione alcunché se il DPS 2003 o il DPS 2004 non sono stati adottati. I medesimi soggetti, qualora alla data in cui predispongono la predetta relazione abbiano redatto già il DPS 2004, indicheranno invece tale circostanza; potranno infine indicare facoltativamente quanto eventualmente già fatto nel 2003 e, sempre facoltativamente, l’aggiornamento 2004 in itinere. Diamo in conclusione risposta alla Vostra richiesta nei predetti termini, tenendo presenti altri quesiti pervenuti su questioni collegate e allegando una tabella esemplificativa delle principali scadenze. Il
Segretario generale Disposizioni transitorie
Documento
programmatico sulla sicurezza
(1)
titolari di un trattamento di dati sensibili o relativi a provvedimenti
giudiziari di cui agli artt. 22 e 24 della legge n. 675/1996, effettuato
mediante elaboratori accessibili mediante una rete di telecomunicazione
disponibili al pubblico |
||||||||||||||||
|
|
|
12
marzo 2004 - DOCUMENTI ON-LINE |
|
| FONTE: Punto Informatico, http://punto-informatico.it/index.asp |
APPROFONDIMENTO: Il Codice della privacy (testo provv.) |
|
È questo in estrema sintesi il contenuto di un intervento che ci induce a qualche (più pacata) riflessione sul tema della notificazione al Garante, adempimento previsto dagli articoli 37 e 38 del decreto legislativo n. 196/2003… ci sia consentito di dire che a volte si esagera un po' con il "sensazionalismo", provocando un certo (forse inconsapevole) "terrorismo psicologico" in tema di privacy (anche se si sa bene che i titoloni sui giornali non vengono inseriti dagli autori degli articoli e non sempre coincidono con il reale contenuto degli stessi)." [...]
|
|
|
Torna
all'inizio della pagina |
|
|
|
|
23
gennaio 2004 - NEWSLETTER GARANTE |
|
| FONTE: Newsletter n. 194, 1-7 dicembre 2003, www.garanteprivacy.it | |
|
L’ “esperto risponde” on line potrà fornire le sue consulenze, ma solo assicurando precise tutele alla privacy dei richiedenti. L’Autorità Garante (Stefano Rodotà, Giuseppe Santaniello, Gaetano Rasi, Mauro Paissan) ha autorizzato, definendo limiti e garanzie, una importante casa editrice a trattare dati sensibili relativi anche a opinioni politiche, sindacali, religiose, appartenenza etnica delle persone che richiedono servizi di consulenza on line, offerti a pagamento dalla stessa società attraverso siti e pagine web di testate giornalistiche. Secondo quanto riportato nella newsletter dell'Autorità, medici, avvocati, psicologi, cuochi, architetti, pediatri, dietologi, consulenti del lavoro, consulenti matrimoniali, esperti di moda, personal trainer etc. potranno rispondere a richieste formulate anche per e-mail, ma nel rispetto delle regole indicate dal Garante. I soggetti privati possono trattare i dati sensibili solo previa autorizzazione del Garante e con il consenso degli interessati. La specifica richiesta di autorizzazione avanzata dalla società, riguarda l’eventualità che un utente, nel formulare un quesito, rilasci spontaneamente dati a carattere sensibile e che l’esperto ne venga quindi a conoscenza ai fini della risposta. I quesiti verrebbero inviati agli esperti comunque privi dei dati anagrafici e indirizzi e-mail e le risposte arriverebbero automaticamente ai richiedenti attraverso dei codici identificativi, tramite il sistema informativo. L’Autorità, nel richiamare la casa editrice al rispetto delle disposizioni già contenute nell’autorizzazione generale 2/2002 riguardante i dati sulla salute, ha autorizzato il trattamento di ulteriori dati sensibili soltanto se pertinenti in rapporto all’argomento trattato o al quesito posto, oltre che indispensabili per fornire il servizio di consulenza on line. Alla società è stato, quindi, prescritto di inserire in modo visibile nell’informativa fornita agli utenti, l’invito a non indicare nei quesiti dati di carattere sensibile non strettamente necessari per la risposta. Nel caso poi che la domanda e la risposta dovessero essere inserite, previo consenso dell’utente, negli spazi consultabili liberamente dal pubblico (ad esempio in una rubrica delle domande più frequenti, faq), la società dovrà altresì verificare prima della loro pubblicazione che, oltre al nome e all’indirizzo e-mail dell’interessato, non vi siano altri dati, anche diversi da quelli sensibili, che possano rendere identificabile l’interessato. La società dovrà, inoltre, impartire agli esperti (che vengono designati responsabili del trattamento) precise istruzioni per la verifica della pertinenza ed effettiva necessità dei dati sensibili riportati nei quesiti, ma anche per la loro eliminazione nel caso non fossero necessari. Gli esperti on line dovranno anche controllare che nelle risposte pubblicate non vi sia nessun elemento che permetta di risalire all’identità della persona che ha richiesto la consulenza. Le condizioni dettate dal Garante, sia nelle autorizzazioni generali sia in quelle specifiche, devono essere rispettate a pena di sanzione penale. |
|
|
Torna
al sommario della notizia |
|
| [Home Page] [Ricerche] [Links] | ||||
| [Contatti] [E-mail] | ||||
| [Inizio pagina] |
