D.LGD. 30 GIUGNO 2003 N. 196 (LEGGE SULLA PRIVACY)

Adempimenti Legislativi con scadenza 30 giugno 2004

Milano, 16 giugno 2004

Sull'interessamento dell’Ordine di Varese, che ha approfondito alcuni importanti passaggi del recente testo di legge sulla privacy con specifiche osservazioni per gli studi professionali, si divulgano agli iscritti degli Ordini lombardi le relative osservazioni (1 per la bozza della circolare + 3 allegati).

Oggetto : D.Lgs. 30 giugno 2003 n. 196 (Privacy)

In relazione al decreto in oggetto, elenchiamo gli aspetti normativi ed applicativi riguardanti in particolare il settore degli studi professionali (non medici o sanitari).
Si ricorda che, pur nell'imminenza della scadenza del 30 giugno 2004, l'Autorità del Garante ha preannunciato la pubblicazione di alcune ulteriori note informative relativamente alla pratica applicazione delle norme stesse (ad es. le disposizioni semplificate per la redazione del DPS o "documento programmatico di sicurezza" per le piccole organizzazioni).

1) Dal primo gennaio 2004 sono in vigore le nuove disposizioni sulla "privacy" che regolamentano, in modo completo e unitario, l’intera materia.
Le precedenti disposizioni, in vigore sino al 31 dicembre 2003, sono state sostanzialmente confermate, almeno per quanto riguarda l'attività professionale.

2) Esamineremo ora, brevemente, le singole norme di immediata applicazione per l'attività professionale (non medica o sanitaria) ed in particolare :
- i rapporti con l'Autorità del Garante
- quali siano i soggetti interessati alla tutela dei dati
- i rapporti con i soggetti di cui si detengono i dati
- come deve essere effettuata la sicurezza dei dati nello studio
- le sanzioni previste in caso di non adempimento.

2.a) RAPPORTI CON L’AUTORITA’ GARANTE

Poiché normalmente i dati trattati dal Professionista che non svolga attività medica o sanitaria, non rientrano tra quelli previsti dall'art. 37 del D.Lgs. e definiti dall’Autorità Garante con provv. n. 1/2004 pubblicato in G.U. n. 81 del 6/4/2004 e nella nota prot. 9654/33365 (si veda in proposito l'allegato 1 alla presente circolare), in linea di massima non si deve procedere ad alcuna “notifica” all'Autorità Garante.
Il Professionista quindi, dopo aver attentamente verificato di non trovarsi nei casi previsti dal citato art. 37, non dovrà inviare alcuna comunicazione o notifica all'Autorità del Garante (anche se lo abbia già fatto nel passato ai sensi della precedente normativa).

2.b) INDIVIDUAZIONE DEI SOGGETTI INTERESSATI

Al Professionista, in generale, possono essere conferiti, nell'ambito del mandato professionale, dati ed informazioni (anche personali e/o sensibili), del cui trattamento è pienamente responsabile e, in tal senso egli assume, in prima persona, la qualifica di "titolare del trattamento”.
Come “titolare”, può delegare, per iscritto e con delega, l’attività di trattamento dei dati, ad altri soggetti, definiti dal decreto come “responsabili”.
Inoltre, come "titolare", individua gli “addetti”, cioè coloro che materialmente eseguiranno le operazioni sui dati in possesso dello studio.
Responsabili e addetti svolgeranno il proprio ruolo subordinatamente alle modalità operative indicate dal titolare.
In linea generale, pertanto, è il cliente (ditta, società, ente pubblico o privato, cliente privato) che conferisce dati ed informazioni proprie al professionista al fine di consentirgli di eseguire l’oggetto del mandato professionale.
Il professionista, quindi, in piena autonomia e in qualità di “titolare” effettuerà il trattamento dei dati, ritenuto necessario per l'esecuzione del mandato (allegato 2).
Per quanto riguarda le associazioni fra professionisti si raccomanda la nomina, all'interno dello studio, della figura del "responsabile" dei dati; si individua così il diretto interessato titolare delle disposizioni operative all'interno dello studio, ma soprattutto si evita, in caso di sanzioni, la duplicazione delle stesse in capo ad ogni associato.

2.c) RAPPORTI COI SOGGETTI DI CUI SI DETENGONO I DATI

Si debbono distinguere i seguenti casi:
- dati relativi ai fornitori di beni e servizi;
- dati relativi ai dipendenti e dei collaboratori dello studio;
- dati dei clienti (privati, ditte individuali, società, enti, ecc.).

2.c.i) DATI RELATIVI AI FORNITORI DI BENI E SERVIZI

Normalmente i dati trattati sono relativi ai soggetti (fornitori) interessati alla vendita di beni o alla somministrazione di servizi allo studio; non sembra necessario attivare, in tal caso, alcuna azione informativa o di richiesta di consenso al trattamento dei dati, essendo esso implicito, in quanto, i soggetti interessati, sono essi stessi parte del contratto.

2.c.ii) DATI RELATIVI AI DIPENDENTI E COLLABORATORI DELLO STUDIO

I dati personali dei dipendenti e collaboratori dello studio, possono avere natura di “dati sensibili” (essere cioè relativi all’appartenenza a sindacati, partiti politici, allo stato di salute, ecc.).
E' necessario in tal caso, che il Professionista, in qualità di datore di lavoro o di committente (nel caso dei collaboratori), ottenga il preventivo consenso (vd. allegato 3).

2.c.iii) DATI RELATIVI AI CLIENTI

Il Professionista deve dare opportuna informativa al cliente e, ove i dati raccolti siano sensibili, ottenere anche il consenso scritto (meglio se già al momento del conferimento dell'incarico) (vd. allegato 2)
Nel caso in cui, invece, il cliente, per l'esecuzione del mandato professionale, conferisca al professionista dati non propri, è il cliente stesso che rimane titolare del trattamento dei dati conferiti.
Sarà il cliente, in questo caso, a dover informare ed ottenere il preventivo consenso del terzo, al trasferimento dei dati comunicati al professionista.
Il Professionista da parte sua, riceverà i dati e li tratterà, in piena autonomia e responsabilità, nell'ambito delle norme previste per la tutela dei dati dello studio.

3) SICUREZZA DEI DATI

Particolare attenzione è stata riservata dal legislatore alla salvaguardia dell’integrità dei dati, per i quali sono elencati nel decreto interventi specifici.
Il titolare del trattamento deve porre in atto ogni possibile attività al fine di conservare i dati indenni da perdite, distruzione, alterazione, uso improprio o non autorizzato.
Il decreto distingue fra dati non elettronici e dati elettronici.
I dati non elettronici (es. documenti cartacei, attestazioni, mappe, ecc.) devono essere conservati in contenitori dotati di serrature e l’accesso ai locali, dove sono conservati gli archivi, dovrà essere "controllato".
Per i dati elettronici il legislatore ha predisposto un allegato tecnico in cui vengono definite ulteriori modalità minime di sicurezza che prevedono:
- l'utilizzazione di un sistema di autorizzazioni con chiavi di accesso personalizzate periodicamente modificate (almeno ogni tre mesi),
- la protezione fisica dei dati da distruzione, furto, ecc.,
- la protezione elettronica dei dati stessi mediante salvataggi periodici, installazione di programmi antivirus, programmi o strumenti contro le intrusioni di terzi o per evitare la trasmissione non autorizzata dei dati stessi, ecc.

4) DOCUMENTO PROGRAMMATICO DELLA SICUREZZA (DPS)

Il titolare del trattamento ha l'obbligo di compilare (la prima volta entro il 30 giugno 2004 e successivamente entro il 31 marzo di ogni anno) e mantenere aggiornato il “documento programmatico di sicurezza-DPS” nel quale far confluire l’insieme dell’attività d’individuazione dei rischi e le misure adottate per eliminarli ovvero per attenuarne gli effetti.
Il decreto prevede l'obbligo formativo di coloro che sono incaricati alle attività di trattamento.
Come già ricordato, tale documento deve essere redatto per la prima volta (con data certa) entro il 30 giugno 2004, e successivamente aggiornato entro il 31 marzo di ogni anno.
L’Autorità Garante ha preannunciato l’emissione di una nota indirizzata alle piccole organizzazioni recanti disposizioni semplificate per la redazione del documento programmatico di sicurezza.

5) SANZIONI

Le sanzioni previste dalla nuova normativa sono particolarmente pesanti.
Si ricorda ancora che, evitare che una singola sanzione sia ripetuta in capo ad ogni amministratore, è opportuno che le società o gli studi associati con più amministratori, nominino uno di essi quale responsabile ai fini della normativa sulla privacy.
Riportiamo alcune delle sanzioni previste :

DESCRIZIONE SANZIONE

- Omessa o inidonea informativa Da 3.000 a 18.000 euro;
- Omessa o inidonea informativa relativamente a dati sensibili o giudiziari. Da 5.000 a 30.000 euro;
- Cessione illecita dei dati Da 5.000 a 30.000 euro;
- Trattamento illecito dei dati Reclusione da 6 mesi a 3 anni;
- Mancata adozione delle misure minime di sicurezza, Arresto fino a 2 anni ovvero sanzione amministrativa da 10.000 a 50.000 euro;
- Inosservanza dei provvedimenti adottati dal Garante, Reclusione da 3 mesi a 2 anni.

Distinti saluti.

Il Presidente
(Arch. Stefano Castiglioni)
 
File allegati:
 allegato1 art.37
 allegato2 art.37
 allegato3 art.37 
 TUP 196-03 Testo Unico Privacy