ADEGUAMENTO DI LEGGE SULLA PRIVACY
Il 25 maggio 2018 è stato il termine ultimo concesso per rendere conforme al Nuovo Regolamento Europeo 2016/679 il Trattamento Dati Personali, sono tuttavia stati riconosciuti otto mesi di tolleranza da tale data, per quei Titolari del trattamento che siano in grado di dimostrare di aver intrapreso un percorso di adeguamento.
Il nuovo D. Lgs 101/2018 ha adeguato il Codice Privacy al G.D.P.R. confermando che chiunque tratti dati personali debba rispettare alcuni principi generali:
- garantire che il trattamento dei dati personali si svolga nel rispetto dei diritti e delle libertà fondamentali, nonché della dignità dell’interessato, con particolare riferimento alla riservatezza, all’identità personale e al diritto alla protezione dei dati personali;
- dare sempre l’informativa del trattamento agli interessati e, in caso di presenza di dati sensibili e/o particolari, richiedere il consenso;
- effettuare i trattamenti secondo la normativa vigente, in sicurezza e in modo coerente con le finalità della raccolta evitando eccessi e ridondanze;
- adeguare la gestione degli archivi cartacei e le apparecchiature elettroniche in essere con misure idonee a proteggere i dati personali e ad impedire accessi abusivi;
- consentire l’accesso ai dati trattati ed il successivo trattamento (n.b. la consultazione è un trattamento) solo al personale debitamente incaricato e formato;
- formare opportunamente gli incaricati al fine di renderli edotti in merito ai rischi civili e penali che incombono sul trattamento dei dati, delle misure di sicurezza disponibili, dei profili della disciplina di legge, delle responsabilità.
Tutti coloro che trattano dati personali comuni, sensibili, giudiziari sono dunque obbligati a:
- applicare le misure idonee di sicurezza;
- verificare che le misure di sicurezza siano applicate sia all’interno dell’azienda, che da parte di soggetti esterni investiti della carica di incaricati esterni, responsabili esterni, autonomi titolari (commercialista, consulente del lavoro, studi legali, consulenti, tecnici) del trattamento dei dati personali (CATENA DI RESPONSABILITA’);
- nominare gli eventuali responsabili e gli incaricati dei trattamenti e provvedere alla loro formazione in tema di protezione dei dati personali.
Tali misure minime di sicurezza devono essere adottate al fine di prevenire i seguenti rischi:
- distruzione dei dati personali (anche accidentale);
- perdita dei dati personali (anche accidentale);
- accesso non autorizzato ai dati personali;
- trattamento non consentito.
Le misure di sicurezza richieste per il trattamento dei dati personali con strumenti elettronici, sono le seguenti:
- utilizzare un sistema di autenticazione informatica (es.: nome utente e password);
- utilizzare parole chiave composte da almeno 8 caratteri;
- utilizzare parole chiave che non contengano riferimenti riconducibili all’incaricato;
- modificare la parola chiave, a cura dell’incaricato, al primo utilizzo;
- modificare la parola chiave ogni 3 mesi;
- utilizzare un sistema di autorizzazione diversificata (es.: suddivisione in base alle mansioni svolte);
- aggiornare i profili di trattamenti consentiti agli incaricati e agli addetti alla gestione e alla manutenzione degli strumenti elettronici;
- proteggere gli strumenti elettronici e i dati rispetto a trattamenti illeciti (es.: azioni di virus, o di altri software intrusivi e dannosi; attacchi da parte di pirati informatici);
- adottare procedure per la custodia delle copie di sicurezza e per il ripristino della disponibilità dei dati e dei sistemi;
- la Legge n. 35/2012 “Semplificazioni” abroga l’art. 19 dell’allegato B del d.lgs 196/2003 che imponeva l’aggiornamento del documento programmatico sulla sicurezza entro il 31 marzo di ogni anno, ma non ha parimenti eliminato per il Titolare e Responsabile del trattamento l’obbligo di dimostrare in positivo di aver adottato le misure minime/idonee a garantire la disponibilità, l’integrità e la tutela dei dati trattati, come previsto dagli artt. 2050 e 2059 del Codice Civile. Si evince quindi la necessità di redigere un Documento Tecnico, con data certa, che descrive le procedure e le misure in essere a garanzia della sicurezza del trattamento in essere. Si precisa che i dati sensibili sono costantemente oggetto di trattamento senza che se ne abbia la percezione (la detrazione di quote sindacali in buste paga, la destinazione del 5×1000 e/o 8×1000 tramite CUD di dipendenti e modelli fiscali, eventuali richieste di riduzione di orario facenti riferimento alla legge 104);
- adottare tecniche di cifratura o codici identificativi per determinati trattamenti idonei a rivelare lo stato di salute o la vita sessuale degli interessati.
Per il trattamento dei dati personali senza l’ausilio di strumenti elettronici le misure da adottare sono:
- aggiornare periodicamente l’ambito del trattamento consentito ai singoli incaricati;
- adottare procedure atte ad un’idonea custodia di atti e documenti affidati agli incaricati per lo svolgimento dei relativi compiti;
- adottare procedure per la conservazione di atti e documenti in archivi ad accesso selezionato e disciplinare le modalità di accesso a detti archivi, con identificazione di coloro che vi accedono.