LA LEGGE SULLA PRIVACY

Ultimo aggiornamento 01/02/2008

COMUNICAZIONE AL GARANTE ENTRO IL 31/12/2004 -    PROROGATO PRIMA  AL 30/06/2005  AL 31/12/2005 e infine al 31/03/2006

 

 

In base alla nuova legge sulla privacy tutte le imprese e professionisti che trattano dati personali sono obbligati a trasmettere entro il 31/12/2005 il Documento programmatico sulla sicurezza, la cui omissione comporta pesanti sanzioni civili e penali.

E' stato pubblicato sulla Gazzetta Ufficiale il decreto legge che stabilisce, tra gli altri la proroga dei termini per l'adeguamento delle misure di sicurezza e per la redazione del Dps al 31/03/2006 (D.L. 30/12/2005, n. 273, G.U. 30/12/2005, n. 303) piu' precisamente la proroga ha interessato i seguenti punti:

• la proroga al 31 marzo 2006 del termine del 31 dicembre 2005 per la redazione del Documento programmatico sulla sicurezza DPS;
• la proroga al 30 giugno 2006 del termine del 31 marzo 2006 per l'adozione delle misure minime di sicurezza stabilite per chi tratta i dati elettronicamente e che non sia in grado di farlo per obiettive ragioni tecniche;
• la proroga al 28 febbraio 2006 del termine del 31 dicembre 2005 per la redazione da parte degli enti pubblici del regolamento per il trattamento dei dati sensibili.  

INTRODUZIONE

La legge 675/96 sulla privacy ha introdotto nel nostro ordinamento una complessa disciplina a tutela del trattamento dei dati personali. Per "banca di dati", si intende qualsiasi complesso di dati personali, ripartito in una o più unità dislocate in uno o più siti, organizzato secondo una pluralità di criteri determinati tali da facilitarne il trattamento.Per "trattamento", si intende qualunque operazione o complesso di operazioni, svolti con o senza l'ausilio di mezzi elettronici o comunque automatizzati, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati. Il "dato personale" è qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale.La "comunicazione" è il dare conoscenza dei dati personali a uno o più soggetti determinati diversi dall'interessato, in qualunque forma, anche mediante la loro messa a disposizione o consultazione; mentre la "diffusione" è il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione. 

In base all'art.9 della legge, i dati personali oggetto di trattamento devono essere: - trattati in modo lecito e secondo correttezza; - raccolti e registrati per scopi determinati e legittimi; - esatti e, se necessario, aggiornati; - pertinenti, completi e non eccedenti le finalità di trattamento; - conservati per un tempo non superiore a quello necessario per gli scopi preposti. L'art.11 della legge impone come regola generale, in tutti i casi in cui il trattamento è effettuato da parte di privati o di enti pubblici economici, la necessità di ottenere il consenso espresso dell'interessato, che si considera valido solo se liberamente espresso in forma specifica e documentata per iscritto. 

QUANDO NON E' NECESSARIO IL CONSENSO

In deroga a tale principio il consenso non è richiesto quando il trattamento/comunicazione/diffusione: - riguarda dati raccolti e detenuti in base ad un obbligo previsto dalla legge (come avviene nel caso delle potestà di accertamento e controllo stabilite dalle norme fiscali) o da un regolamento o dalla normativa comunitaria; - è necessario per l'esecuzione degli obblighi derivanti da un contratto di cui l'interessato è parte o per l'acquisizione di informative precontrattuali attivate su richiesta sempre dell'interessato o per l'adempimento di un obbligo legale; - tratta di dati provenienti da pubblici registri, elenchi, atti o documenti conoscibili a chiunque; - è finalizzato unicamente a scopi di ricerca scientifica o di statistica e si tratta di dati anonimi; - è effettuata nell'esercizio della professione di giornalista e per l'esclusivo perseguimento delle relative finalità, nel rispetto del codice deontologico della categoria; - riguarda dati relativi allo svolgimento della normale attività economica tra le aziende, nel rispetto della normativa in materia di segreto aziendale e industriale; - è necessaria per la salvaguardia dell'incolumità fisica dell'interessato o di un terzo o nel caso in cui l'interessato non possa esprimere il consenso per incapacità fisiche o di intendere o volere; - è necessaria per lo svolgimento di indagini ai fini esclusivi di difesa processuale penale o comunque per far valere un diritto in sede giudiziaria; - è effettuata nell'ambito dei gruppi bancari; - sia richiesta da servizi di sicurezza, dal Procuratore nazionale antimafia, dagli uffici giudiziari, dal Consiglio Superiore della Magistratura, dal Ministero della giustizia nonché da altri soggetti pubblici per finalità di difesa o di sicurezza dello Stato o di prevenzione, accertamento e repressione di reati.

LE MISURE MINIME DI SICUREZZA

La legge prevede l'individuazione di misure minime di sicurezza la cui mancata adozione comporta l'irrogazione di una sanzione penale. La responsabilità sussiste qualora non siano rispettati, anche in parte, gli standard "minimi" di sicurezza previsti dal regolamento. Il regolamento N.318/99, come accennato, individua quei "requisiti minimi" il cui mancato rispetto comporta una maggiore esposizione a rischio del bene giuridico che la norma vuole tutelare e nell'ambito del quale rientrano anche i dati fiscali. Il regolamento intende, quindi, enucleare un minimo denominatore comune delle misure di sicurezza disponibili. In particolare, le misure di sicurezza che si possono adottare per difendere l'integrità e la riservatezza dei dati vengono tradizionalmente suddivise in: - misure di sicurezza fisica applicate agli ambienti che ospitano i sistemi computerizzati. È fondamentale notare come molto spesso venga trascurato l'aspetto sicurezza in fase di progettazione; - misure minime di sicurezza logica. La sicurezza logica è specifica del campo informatico, si realizza con hardware, ed ha come scopo il controllo della rete. In pratica il sistema è in grado di bloccare l'accesso a chi non è autorizzato (sia persona e programma), identificare i dati anomali in arrivo dalla rete (in poche parole i virus) e registrare le operazioni compiute dagli utenti autorizzati; - misure di sicurezza procedurale. Si definisce misura di sicurezza ogni norma indirizzata a regolare i comportamenti delle persone all'interno della sede in cui vengono trattati i dati sensibili al fine di:  · garantire la sicurezza del personale;  · ottimizzare lo stato di sicurezza delle sedi in cui vengono trattati i dati fiscali;  · prevenire atti vandalici da parte di interni ed esterni;  · dettare norme di comportamento in caso di emergenze. L'insieme delle procedure deve essere raccolto e custodito in apposito "manuale delle procedure di sicurezza". La maggior parte dei Paesi europei applica le misure minime sulle informazioni elettroniche mentre l'Italia estende il tutto alle informazioni cartacee con la conseguenza di dare grande importanza alle "procedure" aziendali in quanto si è ancora lontani da un sistema totalmente informatizzato specialmente nella Pubblica Amministrazione.

 

ILLECITI CIVILI           Art. 161 Assenza informativa privacy   Assenza informativa privacy per dati sensibili o giudiziari o in caso di trattamenti che presentano rischi specifici o di maggiore rilevanza del pregiudizio    Art. 163 Omessa o incompleta notificazione al Garante   Art. 164 Omissione di fornire informazioni o esibire documenti richiesti dal Garante Privacy   ILLECITI PENALI   Art. 167 Trattamento illecito di dati personali     Art. 168 Falsità nelle dichiarazioni e notificazioni al Garante     Art. 169 Omessa adozione di misure necessarie alla sicurezza dei dati     Art. 170 Inosservanza dei provvedimenti del Garante     Risarcimento del danno    Art. 169 del Testo Unico "36 della legge 675/96, per "omessa adozione di misure necessarie alla sicurezza dei dati "   Art. 2050 c.c. responsabilità oggettiva per esercizio di attività pericolosa

SANZIONE   Sanzione da 3.000  a 18.000 euro.    Sanzione da  5.000 a 30.000 euro. (moltiplicabile per 3 a seconda delle condizioni economiche del contravventore.     Sanzione da 10.000 a  60.000 euro.    Sanzione da 4.000 a  24.000 euro.        Reclusione da 6 mesi a 3 anni.  Possibilità di estinguere il reato  ex art. 169, pagando una somma di denaro se ci si regolarizza entro il termine prescritto (non + di 6 mesi)   Sanzione penale, reclusione da 6 mesi a 3 anni      Arresto fino a 2 anni o sanzione amministrativa, pagamento di una somma da 10.000 a 50.000 euro.   Arresto da 3 mesi a 2 anni.       Legge n. 547/1993 "Crimini informatici commessi da dipendenti ed addebitabili all’azienda "     Art. 2049 c.c. responsabilità prevista in capo a padroni e committenti

Adempimento tardivo o ravvedimento operoso

I titolari del trattamento che omettono l’adozione delle misure minime di sicurezza possono sanare la loro posizione, evitando le conseguenze penali, adempiendo alla normativa (entro un termine prescritto ma non superiore ai 6 mesi) e pagando un'ammenda.

Nei sessanta giorni successivi allo scadere del termine concesso, se risulta l’adempimento alla prescrizione, l'autore del reato è ammesso dal Garante a pagare una somma pari al quarto del massimo dell'ammenda stabilita. 

L'adempimento e il pagamento estinguono il reato. 

RESPONSABILITA' CIVILE E PENALE

Aspetti di  responsabilità penale

Così recita l’art. 169 del TESTO UNICO PRIVACY:

Omessa adozione di misure necessarie alla sicurezza dei dati

1. Chiunque, essendovi tenuto, omette di adottare le misure minime previste dall'articolo 33 è punito con l'arresto sino a due anni o con l'ammenda da diecimila euro a cinquantamila euro.

2. All'autore del reato, all'atto dell'accertamento o, nei casi complessi, anche con successivo atto del Garante, è impartita una prescrizione fissando un termine per la regolarizzazione non eccedente il periodo di tempo tecnicamente necessario, prorogabile in caso di particolare complessità o per l'oggettiva difficoltà dell'adempimento e comunque non superiore a sei mesi.

Nei sessanta giorni successivi allo scadere del termine, se risulta l'adempimento alla prescrizione, l'autore del reato è ammesso dal Garante a pagare una somma pari al quarto del massimo dell'ammenda stabilita per la contravvenzione. L'adempimento e il pagamento estinguono il reato.

L'organo che impartisce la prescrizione e il pubblico ministero provvedono nei modi di cui agli articoli 21, 22, 23 e 24 del decreto legislativo 19 dicembre 1994, n. 758, e successive modificazioni, in quanto applicabili.

Aspetti di  responsabilità civile  

 Art. 2050 c.c.

Il TESTO UNICO PRIVACY qualifica il trattamento dei dati come attività pericolosa, art. 2050 c.c.

E ' prevista pertanto una inversione dell'onere della prova nell'azione risarcitoria ex articolo 2043 c.c.: l'operatore è tenuto a fornire la prova di avere applicato le misure tecniche di sicurezza più idonee a garantire la sicurezza dei dati detenuti.

A livello pratico questo significa che l’azienda, il professionista, la PA ecc., per evitare ogni responsabilità deve dimostrare di aver adottato "tutte le misure idonee ad evitare il danno", e quindi di aver messo in essere tutte le misure di sicurezza al meglio possibile (la miglior tecnologia disponibile). Il che non è affatto facile da dimostrare...  

Art. 2049 c.c.

In generale poi a carico dell'azienda risulta comunque la responsabilità ex art art. 2049 c.c., ovvero la responsabilità prevista in capo a padroni e committenti.

L’art. 2049 difatti recita: "padroni e committenti sono responsabili per i danni arrecati dal fatto illecito dei loro domestici e commessi nell'esercizio delle incombenze cui sono adibiti".  

Legge n. 547/1993

Crimini informatici commessi da dipendenti ed addebitabili all’azienda

La legge 547/93 ha introdotto nel nostro ordinamento vari "crimini informatici", ovvero l’attentato a impianti informatici di pubblica utilità, falsificazione di documenti informatici, accesso abusivo ad un sistema informatico o telematico, detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici, diffusione di programmi diretti a danneggiare o interrompere un sistema informatico, violazione di corrispondenza telematica, intercettazione di e-mail, danneggiamento di sistemi informatici o telematici (...).

Il datore di lavoro rischia di essere ritenuto in concorso con il dipendente a lui subordinato che ha commesso il crimine informatico, per non aver posto in essere tutte le misure di prevenzione e controllo idonee a garantire la sicurezza del trattamento dei dati.

La mancata adozione di tutte le misure idonee a ridurre al minimo i rischi viene considerata difatti un agevolazione alla commissione del crimine. 

 

 

 

Garante della privacy