Privacy

Note esplicative al decreto legislativo 30/06/2003 N.196

a cura dell'Ordine Avvocati di Sulmona

 

 

 

 

 

 

 

> In data 1/1/2004 è entrato in vigore il D.Lgs. 30/6/2003 n.196 "Codice in materia di

    protezione dei dati personali", che disciplina il trattamento dei dati personali relativi a

    persone fisiche, giuridiche, enti o associazioni.

 

> Per dato personale si intende qualunque informazione relativa ad una persona fisica,

   giuridica, ente o associazione, identificata o identificabile, anche indirettamente, mediante

   riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione

   personale (art.4 n.1 lettera b).

 

> I dati personali si distinguono in dati comuni, dati sensibili e dati giudiziari. 

 

> Sono considerati dati comuni i dati personali che permettono l'identificazione

   dell'interessato, come, ad esempio nome, cognome, telefono, fax, codice fiscale,

   partita I. V .A. ( art.4 n.1 lettera c). 

 

> Sono considerati dati sensibili i dati personali idonei a rivelare l' origine razziale ed

    etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione

    a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico

    o sindacale, nonchè i dati personali idonei a rivelare lo stato di salute o la vita sessuale

    (art.4 n.1 lettera d). 

 

> Sono considerati dati giudiziari i dati personali relativi al casellario giudiziario, ai carichi

   pendenti, alla qualità di imputato o indagato (art.4 n.1 lettera e). 

 

> Il trattamento dei dati personali è ammesso solo con il consenso espresso

   dell'interessato. Il consenso può riguardare l'intero trattamento ovvero una o più operazioni

   relativi ad esso. Il consenso deve essere espresso liberamente dall'interessato e

   riguardare un trattamento chiaramente individuato. All'interessato devono essere rese le

   informazioni previste dall'art.13 (finalità e modalità del trattamento - natura obbligatoria o

   facoltativa del conferimento dei dati - conseguenze di un eventuale rifiuto di rispondere

   -soggetti o categorie di soggetti ai quali i dati personali possono essere comunicati o che

   possono venirne a conoscenza in qualità di responsabili o incaricati - ambito di diffusione

   dei dati medesimi -diritto di accesso ai dati personali da parte dell'interessato così come

   previsto dall'art.7 - estremi identificativi del titolare e, se designato, del suo 

   rappresentante ). 

   Il consenso è manifestato in forma scritta quando il trattamento riguarda dati sensibili 

   ( art.23 ).

 

> Ai fini dell'acquisizione del consenso da parte degli interessati, il Consiglio Nazionale

   Forense ha predisposto apposita informativa ai sensi dell'art.13 del D.Lgs. 196/2003,

   allegata alla circolare del 3/3/2004, da far sottoscrivere al più presto ai clienti.

 

> I soggetti che trattano particolari categorie di dati personali, indicate nell'art.37 (dati

   genetici - dati biometrici - dati che indicano la posizione geografica di persone od oggetti

   mediante una rete di comunicazione elettronica - dati idonei a rivelare lo stato di salute e

   la vita sessuale trattati ai fini di procreazione assistita, prestazione di servizi sanitari per

   via telematica. indagini epidemiologiche, rilevazione di malattie mentali, infettive e

   diffusive, sieropositività, trapianto di organi e tessuti e monitoraggio della spesa sanitaria -

   dati idonei a rivelare la vita sessuale o la sfera psichica trattati da associazioni, enti od

   organismi senza scopo di lucro - dati volti a definire il profilo o la personalità

   dell'interessato o ad analizzare abitudini o scelte di consumo, ovvero a monitorare l'utilizzo

   di servizi di comunicazione elettronica - dati sensibili registrati in banche dati ai fini di

   selezione del personale per conto terzi o utilizzati per sondaggi di opinione, ricerche di

   mercato ed altre ricerche campionarie - dati registrati in apposite banche dati relativi alla

   solvibilità economica, alla situazione patrimoniale, al corretto adempimento di obbligazioni,

   a comportamenti illeciti o fraudolenti) devono provvedere alla notifica del trattamento dei

   medesimi al Garante esclusivamente per via tele- matica, compilando i campi del modello

   disponibile sul sito ufficiale www.garanteprivacy.it entro il 30/04/2004 (art.37).

 

> Nella richiamata circolare del 3/3/2OO4,il C.N.F. ha sottolineato che, relativamente ai

   dati genetici o biometrici, gli studi legali che trattano questi dati dovranno provvedere

   alla detta notifica al Garante entro il 30/4/2004. Successivamente il Garante della Privacy,

   con delibera del 1/4/2004 ha espressamente escluso l’obbligo della notifica del

   trattamento dei dati genetici o biometrici effettuato nell'esercizio della professione di

   avvocato, in relazione alle operazioni e ai dati necessari per svolgere le investigazioni

   difensive di cui alla Legge n.397/2000, o comunque per far valere o difendere un diritto

   anche da parte di un terzo in sede giudiziaria. Ciò sempre che il diritto sia di rango almeno

   pari a quello dell'interessato e i dati siano trattati esclusivamente per tali finalità e per il

   periodo strettamente necessario al loro perseguimento ( art.1 lettera b ).

 

> I dati sensibili, così come i dati giudiziari, possono essere trattati, esclusivamente ai

   fini dello svolgimento delle investigazioni difensive di cui alla Legge 7/12/2000 n.39, o,

   comunque, per far valere un diritto in sede giudiziaria, solo con il consenso scritto

   dell'interessato - ed in virtù delle autorizzazioni standard n.4/2002 e n.7/2002 (art.26).

 

> I dati personali comuni di terzi soggetti possono essere utilizzati, a prescindere da

   adempimento alcuno, esclusivamente per far valere o difendere un diritto in sede

   giudiziaria. I dati sensibili e giudiziari relativi a terzi soggetti possono essere trattati,

   sempre in virtù delle au- torizzazioni n.412002 e n.712002, esclusivamente ai fini

   dell'esercizio di un diritto in sede giudiziaria.

 

> I dati personali devono essere conservati per un periodo di tempo non superiore a quello

   necessario agli scopi per i quali sono stati raccolti e trattati ( art.11).

 

> Ai fini del trattamento dei dati personali, all'interno di ogni studio legale si dovrà provvedere

   all'individuazione di tre soggetti: il titolare del trattamento, che nel caso di libero

   professionista che esercita la professione in forma non associata è la persona fisica in

   quanto tale, mentre nel caso di associazioni professionali o società di avvocati è l'entità

   nel suo complesso (art.28); 

   il responsabile del trattamento, figura facoltativa designata

   dal titolo, lare e predisposta a verificare i corretti adempimenti di legge (art.29) gli 

   incaricati del trattamento, ovvero le persone fisiche autorizzate a compiere operazioni di

   trattamento, quali avvocati, praticanti, segretarie (art.30). 

 

> Entro il 30/6/2004 devono essere adottate le misure minime di sicurezza previste

   nell'allegato B) volte ad assicurare un livello minimo di protezione dei dati personali. 

   In caso di obiettive difficoltà tecniche che non consentano l'immediata applicazione delle

   misure suddette e previa motivazione scritta da parte del titolare del trattamento, il termine

   è prorogato all'1/1/2005 (art.33). Le misure di sicurezza differiscono a seconda che il

   trattamento dei dati personali avvenga con o senza l' ausilio di strumenti elettronici.

 

> Le misure di sicurezza per il trattamento dei dati personali effettuato con strumenti

   elettronici consistono (art.34):

   - nell' autenticazione informatica;

   - nell'adozione di procedure di gestione delle credenziali di autenticazione;

   - nell'utilizzazione di un sistema di autorizzazione;

   - nell'aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai

     singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici;

 

   - nella protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti, ad

     accessi non consentiti e a determinati programmi informatici;

  

   - nell'adozione di procedure per la custodia di copie di sicurezza e per il ripristino della

     disponibilità dei dati e dei sistemi; 

   - nella tenuta di un aggiornato documento programmatico sulla sicurezza;

   - nell'adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di

      dati idonei a rivelare lo stato di salute o la vita sessuale.

 

> In sostanza il trattamento dei dati personali per tramite di strumenti elettronici è

   consentito agli incaricati che siano dotati di credenziali di autenticazione ( user-id e

   password). La parola chiave deve essere di almeno otto caratteri, o comunque di un

   numero pari al massimo consentito, e deve essere modificata ogni sei mesi. 

   Devono essere fornite annualmente istruzioni scritte agli incaricati affinchè l’accesso ai

   dati sia limitato in funzione dell'attività: concretamente svolta. Devono essere fornite

   istruzioni per la custodia di copie di sicurezza tramite salvataggio dei dati con frequenza

   almeno settimanale. È previsto l'utilizzo di strumenti elettronici di protezione (antivirus e

   firewall) da aggiornare con scadenza almeno semestrale. È disposta, infine la tenuta di un

   documento programmatico sulla sicurezza da redigere entro il 31 Marzo di ogni anno

   contenente le indicazioni di cui al richiamato Allegato B ( elenco dei trattamenti di dati

   personali - distribuzione dei compiti e delle responsabilità in relazione al trattamento dei

   dati - analisi dei rischi - misure da adottare per garantire l'integrità e la disponibilità dei dati

   e per la protezione dei locali destinati alla custodia - descrizione dei criteri e delle modalità

   per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento -

   previsione di interventi formativi a favore degli incaricati del trattamento -descrizione dei

    criteri da adottare per garantire l'adozione delle misure minime di sicurezza in caso di

    trattamento di dati personali affidati, in conformità del codice all'esterno della struttura del

    titolare -individuazione dei criteri da adottare per la cifratura o per la separazione dei dati

    relativi alla salute ed alla vita sessuale, dagli altri dati personali dell'interessato ). 

    La prima scadenza per la redazione del richiamato documento programmatico sulla

    sicurezza è prevista per il 31/3/2005.

 

> Le misure di sicurezza per il trattamento dei dati personali effettuato senza l'ausilio

   di strumenti elettronici consistono (art.35):

 

  - nell'aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai

     singoli incaricati o alle unità organizzative; 

  - nella previsione di procedure per una idonea custodia di atti e documenti affidati agli

      incaricati per lo svolgimento dei relativi compiti; 

  - nella previsione di misure per la conservazione di determinati atti in archivi ad accesso

     selezionato e disciplina delle modalità di accesso finalizzata all'identificazione degli

     incaricati.

 

> In sostanza, nel caso in cui il trattamento dei dati personali avvenga senza l'ausilio di

   mezzi informatici, vanno impartite agli incaricati istruzioni scritte circa il controllo e la

   custodia di atti e documenti.

   Va redatto un elenco degli incaricati individuandone i profili di autorizzazione. 

   L'accesso agli archivi deve essere controllato e le persone ammesse dopo l’orario

   identificate e registrate.

 

> In caso di omessa o inidonea informativa all'interessato (art.13) è prevista una

   sanzione amministrativa da 3.000 a 18.000 Euro; somma che può essere aumentata fino

   al triplo qualora risulti inefficace in ragione delle condizioni economiche del contravventore.

  

> In caso di omessa o incompleta notificazione al Garante (art.37) è prevista una

   sanzione amministrativa da 10.000 a 60.000 Euro e la sanzione accessoria della

   pubblicazione dell'ordinanza -ingiunzione, per intero o per estratto, in uno o più giornali

   indicati nel provvedimento che la applica. 

 

> In caso di omessa adozione delle misure minime di sicurezza (art.33) è prevista la

   pena dell'arresto sino a due anni o l'ammenda da 10.000 a 50.000 Euro.

Inizio pagina

Ordine Avvocati Sulmona 2003 - POWERED BY agenzia web De Pamphilis©