Nella Gazzetta ufficiale n. 142 del 21 giugno 2007 è stata pubblicata la Guida pratica emanata dal Garante per la protezione dei dati personali per facilitare le piccole e medie imprese nell’assolvimento degli obblighi che la normativa sulla privacy impone a chi raccoglie, utilizza, conserva dati personali.

La privacy e le piccole medie imprese: linee guida del Garante

  Nuove Tecnologie  

La guida costituisce uno strumento utile per osservare gli adempimenti derivanti dalla normativa vigente, cui gli imprenditori devono far fronte quotidianamente, fornendo indicazioni sintetiche e soluzioni semplificate per un corretto trattamento dei dati personali.

La guida, che potr subire aggiornamenti nel tempo, integrata da una check list.

Di seguito ne illustriamo i passi principali, indicando anche gli articoli del Decreto legislativo n. 196/2003 cui fare riferimento.

I soggetti che effettuano il trattamento

Il titolare del trattamento il soggetto (persona fisica o giuridica) che decide in maniera autonoma le modalit e le finalit del trattamento, compreso il profilo sulla sicurezza (Art. 28).

Il titolare pu designare uno o pi responsabili del trattamento tramite atto scritto ed tenuto a vigilare sulla puntuale osservanza delle istruzioni impartite agli stessi (Art. 29).

Il titolare del trattamento inoltre tenuto a designare gli incaricati del trattamento.

Tali soggetti (solo persone fisiche) effettuano materialmente le operazioni di trattamento dei dati personali e operano sotto la diretta autorit del titolare/responsabile attenendosi a istruzioni scritte (Art. 30).

Notifica del trattamento

La notifica del trattamento, cio la dichiarazione con la quale il titolare del trattamento prima di iniziarlo rende nota al Garante la raccolta e lutilizzazione dei dati personali utilizzando linterfaccia disponibile sul sito web dellAutorit e seguendo le istruzioni ivi indicate (Art. 38), non va, di norma, effettuata per i trattamenti ordinari svolti nelle piccole realt produttive.

La notifica, infatti, deve essere effettuata in ipotesi particolari (Art. 37).

Con riguardo allattivit dimpresa i trattamenti soggetti a notifica sono quelli relativi a:

   dati registrati in apposite banche dati gestite con strumenti elettronici e relative al rischio sulla solvibilit economica, alla situazione patrimoniale, al corretto adempimento di obbligazioni, a comportamenti illeciti o fraudolenti;

   dati genetici, biometrici o dati che indicano la posizione geografica di persone od oggetti mediante una rete di comunicazione elettronica;

   dati trattati con lausilio di strumenti elettronici volti a definire il profilo o la personalit dellinteressato, o ad analizzare abitudini o scelte di consumo, a monitorare lutilizzo di servizi di comunicazione elettronica con esclusione dei trattamenti tecnicamente indispensabili per fornire i servizi medesimi agli utenti;

   dati sensibili registrati in banche dati ai fini di selezione del personale per conto terzi, nonch dati sensibili utilizzati per sondaggi di opinione, ricerche di mercato e altre ricerche campionarie.

Occorre fare una nuova notifica solo in caso di cessazione del trattamento o di mutamento di alcuni elementi delloriginaria notificazione.

Linformativa

In caso di dati raccolti presso linteressato o presso terzi, linformativa deve essere resa, prima dellinizio del trattamento, con chiarezza, anche oralmente e in modo sintetico e colloquiale (Art. 13, commi 12 e 13) e deve contenere i seguenti elementi:

   finalit e modalit del trattamento;

   natura obbligatoria o facoltativa del conferimento dei dati e conseguenze di un eventuale rifiuto di rispondere;

   soggetti o categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza;

   diritti riconosciuti allinteressato dallarticolo 7 del Codice della privacy;

   estremi identificativi del titolare e, se designato, del responsabile del trattamento.

Se linteressato gi a conoscenza di alcuni di questi dati non necessario indicarli nuovamente.In relazione ai dati raccolti presso terzi linformativa pu essere omessa se i dati sono trattati:

   in base ad un obbligo previsto dalla legge, da un regolamento o dalla normativa comunitaria;

   ai fini dello svolgimento delle investigazioni difensive o per far valere o difendere un diritto in sede giudiziaria.

E prevista anche la possibilit di esonero totale o parziale dallobbligo di rendere linformativa nei casi in cui renderla, a giudizio del Garante, risulti impossibile o manifestamente sproporzionato rispetto al diritto fatto valere.

Il consenso dellinteressato

E necessario distinguere il trattamento dei dati personali non sensibili dal trattamento dei dati sensibili. Nel primo caso non necessario il consenso nelle seguenti ipotesi (Art. 27):

   il trattamento viene posto in essere per dare esecuzione ad un obbligo legale (Art. 24, comma 1, lettera a);

   i dati vengono trattati nellesecuzione di un contratto o in fase pre-contrattuale (Art. 24, comma 1, lettera b);

   i dati provengono da registri ed elenchi pubblici (Art. 24, comma 1, lettera c);

   i dati sono relativi allo svolgimento di attivit economiche da parte dellinteressato (Art. 24, comma 1, lettera d).

Nel secondo caso necessario il consenso scritto, oltre allautorizzazione del Garante.

Il Garante ha rilasciato sette autorizzazioni generali che comprendono tutti i comportamenti abitualmente effettuati nellordinaria attivit dimpresa per i quali non necessaria alcuna richiesta al Garante, salvo che per casi del tutto eccezionali.

Non richiesto il consenso dellinteressato se:

   il trattamento necessario per svolgere le investigazioni difensive o per far valere o difendere in sede giudiziaria un diritto (Art. 26, comma 4, lettera c);

   il trattamento necessario per adempiere a specifici obblighi o compiti previsti dalla legge o da un regolamento o dalla normativa comunitaria per la gestione del rapporto di lavoro (Art. 26, comma 4, lettera d).

La sicurezza dei sistemi

Il Codice pone lobbligo generale di adottare idonee misure di sicurezza, anche attraverso la nomina di un responsabile (Art. 29, comma 2, e art. 31).

Nei casi di trattamento di dati sensibili e giudiziari attraverso sistemi informatici, va redatto entro il 31 marzo di ciascun anno il documento programmatico della sicurezza.

Tale documento va conservato dal titolare presso la propria struttura per essere esibito in occasioni di accertamenti ispettivi (Art. 34, comma 1, lettera g e regola 19 dellallegato B del Codice).

Il trasferimento di dati personali in Paesi terzi fuori dallUnione europea

Il trasferimento dei dati fuori dallUnione europea consentito nelle seguenti ipotesi:

   linteressato ha manifestato il proprio consenso espresso e, se si tratta di dati sensibili, in forma scritta;

   il trasferimento necessario per eseguire obblighi derivanti da un contratto del quale parte linteressato o per adempiere, prima della conclusione del contratto, a specifiche richieste dellinteressato, ovvero per la conclusione o per lesecuzione di un contratto stipulato a favore dellinteressato;

   il trasferimento necessario per la salvaguardia di un interesse pubblico rilevante individuato con legge o con regolamento;

   il trasferimento necessario ai fini dello svolgimento delle investigazioni difensive, o, comunque, per far valere o difendere un diritto in sede giudiziaria;

   il trattamento concerne dati riguardanti persone giuridiche, enti o associazioni.

Il trasferimento consentito anche quando autorizzato dal Garante in presenza di adeguate garanzie per i diritti dellinteressato (Art. 25, paragrafo 6 e art. 26, paragrafo 4, Direttiva 95/46/CE).

I doveri del titolare del trattamento in caso di esercizio dei diritti degli interessati ai sensi dellarticolo 7 del Codice

Il titolare/responsabile del trattamento, quando linteressato esercita il proprio diritto daccesso ai dati, deve fornire riscontro entro quindici giorni dal ricevimento dellistanza (Art. 146).

Nei casi di omesso o incompleto riscontro i predetti diritti possono essere fatti valere dinanzi allautorit giudiziaria o con ricorso al Garante (Art. 145).

 Versione stampabile




Torna