|
Il decreto Lgs.196 del 30.06.2003 è il testo unico in materia di protezione dei dati personali, che ha abrogato tutte le norme precedenti ed ha sancito per Aziende, Enti pubblici, Studi Professionali, Associazioni, persone fisiche che gestiscono dati di terzi l’obbligo di adottare una serie di misure operative ed informatiche (controllo accessi, protezione degli archivi, password, protezione degli elaboratori contro il rischio di intrusione, sistemi di backup) e di misure amministrative (invio informativa, richiesta consenso, predisposizione di lettere di incarico, documento programmatico per la sicurezza).
Con il solo intento di fornire un quadro generale di riferimento e senza alcuna pretesa di esaustività sulla gestione delle problematiche, per la realizzazione delle quali è opportuno che ogni interessato si rivolga al proprio consulente, riassumiamo le linee generali del provvedimento:
Sono interessati tutti i soggetti operativi che gestiscono dati personali (comuni, sensibili, giudiziari), quali ad es. nome, cognome e indirizzi di persone fisiche; ragioni sociali, denominazioni, sede di società e ditte individuali; dati economici; fatture e contabilità; buste paga dipendenti; certificati di malattia; dati giudiziari; dati indicanti appartenenza a partiti o sindacati o a credo religiosi ecc.
I soggetti dei quali si posseggono i dati hanno il diritto di sapere che i dati personali sono in possesso di terze parti e devono autorizzarne l’uso, quando necessario in base alla legge. L’interessato ha diritto di essere informato anche sulla finalità del trattamento di dati (scopi fiscali o contabili, scopi commerciali ecc.) ed ha diritto di chiedere la modifica dei dati ed in taluni casi anche la cancellazione.
Sono responsabili del trattamento dei dati in azienda i titolari dell’Ente, o particolari soggetti eventualmente nominati quali responsabili. Gli incaricati sono, invece, tutti coloro che trattano in concreto i dati (ad es. perché si occupano dell’amministrazione).
Gli incombenti derivanti da questo decreto prevedono due tipologie di attività fondamentali, alcune delle quali hanno anche una ripercussione sulle attività informatiche di molti nostri associati operatori del settore:
Attività richieste per il trattamento dei dati:
Informativa (si comunica ai titolari del dato che si possiedono i loro dati; se i dati siano trattati in formato elettronico e/o cartaceo ed a quale scopo); Consenso (si chiede per iscritto l’autorizzazione all’utilizzo dei dati, dopo avere fornito l’informativa)
Notifica (si comunica al garante i dati che si possiedono: la notifica è obbligatoria solo in casi limitatissimi)
Autorizzazione (è necessaria solo se si trattano dati sensibili, con l’esclusione dei dati sensibili all’interno del rapporto di lavoro);
Nomina di incaricati ed eventualmente dei responsabili
Attività dirette ad assicurare adeguate misure di sicurezza dei dati e dei sistemi utilizzati
Struttura hardware adeguata (devono permettere l’utilizzo di sistemi operativi con password; devono contenere sistemi di backup)
Struttura software adeguata (ad es. non sarebbe a norma windows 98)
Procedure riguardanti la sicurezza dei dati.
Come è già accaduto ripetutamente, Comufficio ha realizzato molti seminari di informazione e divulgazione ed altri è disponibile a realizzarne in presenza di richieste che ci consentano di creare eventi formativi mettendoVi a disposizione professionisti che Vi guidino nei necessari approfondimenti.
Per tutti coloro che avessero necessità di personalizzare documenti o per attività di supporto ai propri clienti, Vi segnaliamo di aver definito un accordo di collaborazione con lo Studio Interprofessionale (www.interprofessionale.net), nella persona dell’Avv. Roberto Spreafico (r.spreafico@studiospreafico.eu) il quale è pertanto a disposizione per definire modalità e preventivi per consulenza personalizzata.
| 
