| Chi deve
adeguarsi alla normativa?
Tutte le società, imprese individuali, cooperative, professionisti, possessori di partita
IVA, ONLUS e tutti i soggetti giuridici.
Chi deve redigere il D.P.S.S.?
L'obbligo generale di redazione del DPS per tutti coloro che trattano dati personali con
strumenti elettronici si ricava dalla norma generale contenuta nell'art. 34 lettera g) del
D. Lgs. 196/2003.
Coloro che trattano dati personali sensibili e giudiziari non elettronicamente restano
comunque obbligati a redigere un mansionario scritto per tutti gli incaricati ed a seguire
un insieme di procedure di custodia e sicurezza previste dall'art. 35 e dall'allegato B)
punti 27 e segg. E’ sempre consigliabile, ad ogni modo, interpretare le regole nel
modo più rigoroso per evitare di incorrere in sanzioni
Chi controlla che le misure minime e gli altri adempimenti previsti
dalla legge siano messi in pratica?
La Polizia Postale (con le sue 76 Sezioni sul territorio) e la Guardia di Finanza in forza
di un protocollo di intesa con il Garante.
Come si regolamenta l'esistenza di dati contenuti nelle rubriche
presenti nei client di posta dei nostri dipendenti? Vanno citati nel DPS?
Le rubriche suddette sono a tutti gli effetti banche dati e contengono dati personali: il
trattamento deve seguire le regole del Codice, e quindi l'adozione di misure minime di
sicurezza che vanno citate nel DPS.
In un gruppo formato da più società distinte, con più sedi
diverse, e tutti i dati in rete, chi deve redigere il DPS: tutte le società o è
sufficiente che lo faccia la capogruppo?
Supponendo che tutte le società e le rispettive sedi si trovino nel territorio italiano,
va premesso che il documento programmatico per la sicurezza deve essere redatto dal
titolare del trattamento.
Nel caso di specie le possibilità sono due: un unico DPS, redatto dalla capogruppo, per
tutte le società o più documenti, uno per società.
Nel DPS bisogna inserire anche l’analisi dei rischi?
Si, lo richiede esplicitamente il comma 19.3 dell'Allegato B del D.Lgs. 196/03 per tutte
le organizzazioni che trattano dati sensibili con l'ausilio di elaboratori elettronici.
Una società immobiliare deve fare la notifica al garante?
Si potrebbe prospettare l’ipotesi dell’applicabilità dell’art. 37 lettera
f) del decreto che prevede la notifica nel caso in cui il trattamento riguardi “dati
registrati in apposite banche di dati gestite con strumenti elettronici e relative al
rischio sulla solvibilità economica, alla situazione patrimoniale, al corretto
adempimento di obbligazioni, a comportamenti illeciti o fraudolenti.”.
Tuttavia, in questo caso specifico si può ritenere non operativa tale norma poiché essa
stessa richiede la gestione di “apposite” banche dati sul rischio di insolvenza,
escludendo conseguentemente quei casi in cui sia solo occasionale il trattamento di dati
inerenti alla solvibilità, e più in generale alle capacità economiche, del debitore.
Un’azienda operante in possesso di dati di clienti quali
anagrafica dell'azienda, anagrafica bancaria per i pagamenti, e-mail, è obbligata a
redigere il DPS?
In base a quanto raccontato, possiamo ritenere che l’azienda in questione svolga un
trattamento di dati personali (raccolta, registrazione, conservazione, consultazione e
modificazione) che deve sottostare alla disciplina di cui al d. lgs. 196/2003 relativa a
consenso, informativa e misure di sicurezza.
Per quanto attiene le misure minime di sicurezza, riteniamo che la società in questione,
disponendo sicuramente di banche-dati elettroniche contenenti dati personali comuni, debba
adeguarsi a quanto stabilito dal decreto e, quindi, redigere un DPS.
In sede di un eventuale controllo, gli ispettori che cosa
verificano: il contenuto del DPS in conformità a quanto richiesto dalla Legge oppure ne
verificano anche l'applicazione?
Premettendo che il DPS deve essere veritiero e deve rispecchiare effettivamente quello che
succede in azienda, il Garante, ai sensi degli artt. 157 e ss., nell’ambito dei suoi
poteri di carattere ispettivo, può verificare presso la società non soltanto la formale
redazione del documento, ma anche la sua applicazione pratica e controllare, quindi,
presso i locali del titolare il “rispetto della disciplina in materia di trattamento
dati personali”.
Con le nuove disposizione in materia di privacy, non riceverò più
messaggi tramite e-mail e posta?
In effetti, è così per quanto riguarda la pubblicità via e-mail.
Infatti, l’art. 130 - “Comunicazioni indesiderate” - della nuova legge,
stabilisce che l'uso di sistemi automatizzati di chiamata senza l'intervento di un
operatore per l'invio di materiale pubblicitario, o di vendita diretta, o per il
compimento di ricerche di mercato di comunicazione commerciale è consentito con il
consenso dell’interessato. Per quanto riguarda la posta ordinaria e gli altri mezzi,
si applica il principio generale del consenso al trattamento del dato personale, ai sensi
degli artt.23 e 24.
Posso continuare a seguire le disposizioni della vecchia normativa
relative a informativa e consenso?
Occorre adeguarsi a quanto previsto dall'art. 13 (informativa) e dall'art. 23 (consenso)
del nuovo Codice della Privacy, nonché da altre specifiche norme ivi previste per
particolari trattamenti o categorie di dati.
Bisogna ricordare, però, che fino al 30 giugno 2004 è ancora in vigore il sistema delle
autorizzazioni generali del Garante: in particolare, l'Autorizzazione Generale n° 4/2002,
consente ai liberi professionisti iscritti in albi o elenchi professionali di trattare i
dati sensibili, senza obbligo di Notifica al Garante.
Il documento è solo un adempimento legale?
Il documento rappresenta non solo un adempimento legale ma un vero e proprio strumento di
riferimento per l'azienda in materia di trattamento dei dati personali, e in generale di
definizione delle strategie di sicurezza, e delle conseguenti policy che tutti i
dipendenti, collaboratori, partner e fornitori devono adottare.
A quale target si rivolge?
A tutti i soggetti pubblici o privati nel territorio italiano che effettuano trattamenti
di dati personali (e quindi possiedono un archivio elettronico o cartaceo di qualsiasi
tipo).
A ogni operatore dotato di un sistema informativo di qualsiasi dimensione che effettua
operazioni su dati non di sua proprietà (per esempio, un archivio clienti, fornitori o
dipendenti).
Se una societa' e' insolvente o e' in fallimento, questo e' un dato
giudiziario?
L'insolvenza e' un dato personale, invece il fallimento e' un dato giudiziario.
|
