|
>
In data 1/1/2004 è entrato in vigore il
D.Lgs. 30/6/2003 n.196 "Codice in materia
di
protezione
dei dati personali", che disciplina il
trattamento dei dati personali relativi a
persone
fisiche, giuridiche, enti o associazioni.
>
Per
dato personale si intende qualunque
informazione relativa ad una persona fisica,
giuridica,
ente o associazione, identificata o
identificabile, anche indirettamente, mediante
riferimento
a qualsiasi altra informazione, ivi compreso un
numero di identificazione
personale
(art.4 n.1 lettera b).
>
I
dati personali si distinguono in dati comuni,
dati sensibili e dati giudiziari.
>
Sono
considerati dati comuni i dati personali
che permettono l'identificazione
dell'interessato,
come, ad esempio nome, cognome, telefono, fax,
codice fiscale,
partita
I. V .A. ( art.4 n.1 lettera c).
>
Sono
considerati dati sensibili i dati
personali idonei a rivelare l' origine razziale
ed
etnica, le
convinzioni religiose, filosofiche o di altro
genere, le opinioni politiche, l'adesione
a
partiti, sindacati,
associazioni od organizzazioni a carattere
religioso, filosofico, politico
o
sindacale, nonchè i dati personali idonei a
rivelare lo stato di salute o la vita sessuale
(art.4
n.1 lettera d).
>
Sono
considerati dati giudiziari i dati
personali relativi al casellario giudiziario, ai
carichi
pendenti,
alla qualità di imputato o indagato (art.4 n.1
lettera e).
>
Il
trattamento dei dati personali è ammesso
solo con il consenso espresso
dell'interessato.
Il consenso può riguardare l'intero trattamento
ovvero una o più operazioni
relativi ad esso. Il consenso deve essere
espresso liberamente dall'interessato e
riguardare
un trattamento chiaramente individuato.
All'interessato devono essere rese le
informazioni previste dall'art.13 (finalità e
modalità del trattamento - natura obbligatoria
o
facoltativa
del conferimento dei dati - conseguenze di un
eventuale rifiuto di rispondere
-soggetti
o categorie di soggetti ai quali i dati
personali possono essere comunicati o che
possono venirne a conoscenza in qualità di
responsabili o incaricati - ambito di diffusione
dei
dati medesimi -diritto di accesso ai dati
personali da parte dell'interessato così come
previsto dall'art.7 - estremi identificativi del
titolare e, se designato, del suo
rappresentante
).
Il
consenso è manifestato in forma scritta quando
il trattamento riguarda dati sensibili
(
art.23 ).
>
Ai
fini dell'acquisizione del consenso da parte
degli interessati, il Consiglio Nazionale
Forense ha predisposto apposita informativa
ai sensi dell'art.13 del D.Lgs. 196/2003,
allegata alla circolare del 3/3/2004, da far
sottoscrivere al più presto ai clienti.
>
I
soggetti che trattano particolari categorie
di dati personali, indicate nell'art.37
(dati
genetici - dati biometrici - dati che indicano
la posizione geografica di persone od oggetti
mediante una rete di comunicazione elettronica -
dati idonei a rivelare lo stato di salute e
la vita sessuale trattati ai fini di
procreazione assistita, prestazione di servizi
sanitari per
via
telematica. indagini epidemiologiche,
rilevazione di
malattie mentali, infettive e
diffusive, sieropositività, trapianto di organi
e tessuti e monitoraggio della spesa sanitaria -
dati idonei a rivelare la vita sessuale o la
sfera psichica trattati da associazioni, enti od
organismi senza scopo di lucro - dati volti a
definire il profilo o la personalità
dell'interessato o ad analizzare abitudini o
scelte di consumo, ovvero a monitorare
l'utilizzo
di servizi di comunicazione elettronica - dati
sensibili registrati in banche dati ai fini di
selezione del personale per conto terzi o
utilizzati per sondaggi di opinione, ricerche di
mercato ed altre ricerche campionarie - dati
registrati in apposite banche dati relativi alla
solvibilità economica, alla situazione
patrimoniale, al corretto adempimento di
obbligazioni,
a comportamenti illeciti o fraudolenti) devono
provvedere alla notifica del trattamento dei
medesimi al Garante esclusivamente per via tele-
matica, compilando i campi del modello
disponibile sul sito ufficiale www.garanteprivacy.it
entro il 30/04/2004 (art.37).
>
Nella
richiamata circolare del 3/3/2OO4,il
C.N.F. ha sottolineato che, relativamente ai
dati genetici
o biometrici, gli studi legali che trattano
questi dati dovranno provvedere
alla detta notifica
al Garante entro il 30/4/2004. Successivamente
il Garante della Privacy,
con delibera
del 1/4/2004 ha espressamente escluso
l’obbligo della notifica del
trattamento dei dati
genetici o biometrici effettuato nell'esercizio
della professione di
avvocato, in relazione alle
operazioni e ai dati necessari per svolgere le
investigazioni
difensive di cui alla Legge n.397/2000,
o comunque per far valere o difendere un diritto
anche da parte di un terzo in
sede
giudiziaria. Ciò sempre che il diritto sia di rango almeno
pari a quello dell'interessato e i dati siano
trattati esclusivamente per tali finalità e per
il
periodo strettamente necessario al loro
perseguimento ( art.1 lettera b ).
>
I
dati sensibili, così come i dati
giudiziari, possono essere trattati,
esclusivamente ai
fini dello svolgimento delle investigazioni
difensive di cui alla Legge 7/12/2000 n.39, o,
comunque, per far valere un diritto in sede
giudiziaria, solo con il consenso scritto
dell'interessato - ed in virtù delle
autorizzazioni standard n.4/2002 e n.7/2002
(art.26).
>
I
dati personali comuni di terzi soggetti
possono essere utilizzati, a prescindere da
adempimento alcuno, esclusivamente per far
valere o difendere un diritto in sede
giudiziaria. I
dati
sensibili e giudiziari relativi a terzi soggetti
possono essere trattati,
sempre in virtù delle au- torizzazioni n.412002
e n.712002, esclusivamente ai fini
dell'esercizio di un diritto in sede
giudiziaria.
> I
dati personali devono essere conservati per un
periodo di tempo non superiore a quello
necessario agli scopi per i quali sono stati
raccolti e trattati ( art.11).
>
Ai
fini del trattamento dei dati personali,
all'interno di ogni studio legale si dovrà
provvedere
all'individuazione di tre soggetti: il titolare
del trattamento, che nel caso di libero
professionista che esercita la professione in
forma non associata è la persona fisica in
quanto tale, mentre nel caso di associazioni
professionali o società di avvocati è l'entità
nel suo complesso (art.28);
il
responsabile del trattamento, figura
facoltativa designata
dal titolo, lare e predisposta a verificare i
corretti adempimenti di legge (art.29) gli
incaricati
del
trattamento, ovvero le persone fisiche
autorizzate a compiere operazioni di
trattamento, quali
avvocati, praticanti, segretarie (art.30).
>
Entro il 30/6/2004 devono essere adottate le misure
minime di sicurezza previste
nell'allegato
B) volte ad assicurare un livello minimo di
protezione dei dati personali.
In
caso di obiettive difficoltà tecniche che non
consentano l'immediata applicazione delle
misure suddette e previa motivazione scritta da
parte del titolare del trattamento, il termine
è prorogato all'1/1/2005 (art.33). Le misure di
sicurezza differiscono a seconda che il
trattamento dei dati personali avvenga con o
senza l' ausilio di strumenti elettronici.
>
Le
misure di sicurezza per il trattamento dei
dati personali effettuato con strumenti
elettronici
consistono (art.34):
-
nell' autenticazione informatica;
-
nell'adozione di procedure di gestione delle
credenziali di autenticazione;
-
nell'utilizzazione di un sistema di
autorizzazione;
-
nell'aggiornamento periodico dell'individuazione
dell'ambito del trattamento consentito ai
singoli incaricati e addetti alla gestione o
alla manutenzione degli strumenti elettronici;
-
nella protezione degli strumenti elettronici e
dei dati rispetto a trattamenti illeciti, ad
accessi non consentiti e a determinati programmi
informatici;
-
nell'adozione di procedure per la custodia di
copie di sicurezza e per il ripristino della
disponibilità dei dati e dei sistemi;
-
nella tenuta di un
aggiornato documento programmatico sulla
sicurezza;
-
nell'adozione di tecniche di cifratura o di
codici identificativi per determinati
trattamenti di
dati idonei a rivelare lo stato di salute o la
vita sessuale.
>
In sostanza il trattamento dei dati personali
per tramite di strumenti elettronici è
consentito agli incaricati che siano dotati di
credenziali di autenticazione ( user-id e
password). La parola chiave deve essere di
almeno otto caratteri, o comunque di un
numero pari al massimo consentito, e deve essere
modificata ogni sei mesi.
Devono
essere fornite annualmente istruzioni scritte
agli incaricati affinchè l’accesso ai
dati sia limitato in funzione dell'attività:
concretamente svolta. Devono essere fornite
istruzioni per la custodia di copie di sicurezza
tramite salvataggio dei dati con frequenza
almeno settimanale. È previsto l'utilizzo di
strumenti elettronici di protezione (antivirus e
firewall) da aggiornare con scadenza almeno
semestrale. È disposta, infine la tenuta di un
documento programmatico sulla sicurezza da
redigere entro il 31 Marzo di ogni anno
contenente le indicazioni di cui al richiamato
Allegato B ( elenco dei trattamenti di dati
personali - distribuzione dei compiti e delle
responsabilità in relazione al trattamento dei
dati - analisi dei rischi - misure da adottare
per garantire l'integrità e la disponibilità
dei dati
e per la protezione dei locali destinati alla
custodia - descrizione dei criteri e delle
modalità
per il ripristino della disponibilità dei dati
in seguito a distruzione o danneggiamento -
previsione di interventi formativi a favore
degli incaricati del trattamento
-descrizione dei
criteri da adottare per garantire l'adozione
delle misure minime di sicurezza in caso di
trattamento di dati personali affidati, in
conformità del codice all'esterno della
struttura del
titolare -individuazione dei criteri da adottare
per la cifratura o per la separazione dei dati
relativi alla salute ed alla vita sessuale,
dagli altri dati personali dell'interessato
).
La
prima scadenza per la redazione del richiamato
documento programmatico sulla
sicurezza è prevista per il 31/3/2005.
>
Le
misure di sicurezza per il trattamento dei
dati personali effettuato senza l'ausilio
di strumenti
elettronici consistono (art.35):
-
nell'aggiornamento
periodico dell'individuazione dell'ambito del
trattamento consentito ai
singoli incaricati o alle unità
organizzative;
- nella
previsione di procedure per una idonea custodia
di atti e documenti affidati agli
incaricati per lo svolgimento dei relativi
compiti;
-
nella
previsione di misure per la conservazione di
determinati atti in archivi ad accesso
selezionato e disciplina delle modalità di
accesso finalizzata all'identificazione degli
incaricati.
>
In sostanza, nel
caso in cui il trattamento dei dati personali
avvenga senza l'ausilio di
mezzi informatici, vanno impartite agli
incaricati istruzioni scritte circa il controllo
e la
custodia di atti e documenti.
Va redatto un elenco degli incaricati
individuandone i profili di
autorizzazione.
L'accesso
agli archivi deve essere controllato e le
persone ammesse dopo l’orario
identificate
e registrate.
>
In
caso di omessa o inidonea informativa
all'interessato (art.13) è prevista una
sanzione amministrativa
da 3.000 a 18.000 Euro; somma che può essere
aumentata fino
al triplo qualora
risulti inefficace in ragione delle condizioni
economiche del contravventore.
>
In
caso di omessa o incompleta notificazione al
Garante (art.37) è prevista una
sanzione amministrativa
da 10.000 a 60.000 Euro e la sanzione accessoria
della
pubblicazione dell'ordinanza
-ingiunzione, per intero o per estratto, in uno
o più giornali
indicati nel provvedimento
che la applica.
>
In
caso di omessa adozione delle misure minime
di sicurezza (art.33) è prevista la
pena dell'arresto
sino a due anni o l'ammenda da 10.000 a 50.000
Euro.
|
