Prime scadenze del 2006
Allo stato attuale delle cose tutti i soggetti che trattano
dati sensibili o giudiziari con strumenti elettronici devono
approntare il DPSS entro il 31 marzo ’06
e al contempo adeguarsi alle misure minime di sicurezza.
Tale scadenza va riferita alle aziende che non avevano dovuto
fare il DPSS secondo il vecchio DPR 318/99, le aziende che
invece avevano già redatto il documento devono aggiornarlo
annualmente entro il 31 marzo di ogni anno.
Viene chiarita dal Garante l’interpretazione del comma
2, art. 180 secondo la quale per usufruire di 3 mesi in
più rispetto al 31 marzo, per l’adeguamento
alle misure minime, il documento in data certa contenente
le ragioni per tale proroga, deve essere prodotto entro
il 31 marzo stesso.
Il Garante, poi, viene in aiuto mettendo a disposizione
un DPSS semplificato in forma di fac-simile che potrà
essere usato da tutti nella fase di transitorio.
Appare evidente che, nella nuova situazione chiarita dal
Garante, assolvere agli obblighi di cui al punto 26 dell’allegato
B (dichiarazione dell’avvenuta redazione o revisione
del DPSS in relazione accompagnatoria di bilancio), significa
farlo già dal bilancio 2003 se si è fatto
il DPSS secondo la previgente normativa, e dal bilancio
2006, nel caso in cui sia la prima volta.
Aggiornamenti sulla legge
sulla privacy 193/2003
Riservato ai professionisti e alle aziende
Con la presente intendiamo informarvi su alcune novità
riguardanti la legge sulla privacy 193/2003.
Il giorno 09/11/2004 il consiglio dei ministri ha emanato
il decreto legge n°266 che prevede lo spostamento della
scadenza, relativa alle misure minime di sicurezza, al 30
Giugno 2005, decreto che dovrà essere convertito
in legge entro 60 giorni.
Ammesso, come peraltro è auspicabile, che questo
avvenga, resta da chiarire un elemento importante:
La scadenza delle misure minime
NON E’
la scadenza della legge sulla Privacy
Molti adempimenti, infatti, non sono relativi alle misure
minime (presenti nell’Allegato B della legge), bensì
agli articoli di legge la cui scadenza è stata il
1° Gennaio 2004.
Facciamo alcuni esempi per chiarire la questione:
• L’informativa, documento descritto nell’Art.13,
è obbligatoria a partire dal 1 Gennaio 2004, e la
sua violazione comporta una sanzione da 3.000 a 18.000 €
• Il consenso, documento descritto nell’Art.23,
è obbligatorio a partire dal 1 Gennaio 2004, e la
sua violazione comporta un illecito penale con reclusione
da 6 a 24 mesi.
• La notificazione, documento descritto nell’Art.37,
è obbligatoria per determinati dati sensibili, a
partire dal 15 Maggio 2004, e la sua violazione comporta
una sanzione da 10.000 a 60.000 €
• La nomina dei responsabili e incaricati con relative
istruzioni, documenti descritti nell’Art. 30 è
obbligatoria dal 01 gennaio 2004
Questo significa che il rinvio delle misure minime non
è un posticipo della legge sulla Privacy bensì
uno slittamento dei soli adempimenti riguardanti la sicurezza
delle banche dati, informatiche e cartacee e della redazione
del documento programmatico sulla sicurezza.
Quanto detto sopra assume ancor più
importanza considerate le recenti ispezioni di controllo
sulla Privacy effettuate dal Garante (vedi caso Vitaminic).
La soluzione è il
Kit Pandora
Casi di recenti violazioni Privacy
Caso Vitaminic
Trattamento illecito dei dati personali, frode informatica
e accesso abusivo a un sistema informatico, questi i reati
contestati dai finanzieri del nucleo Regionale di Polizia
Tributaria della Lombardia a Buongiorno Vitaminic, una società
quotata al Nuovo Mercato e al Nasdaq americano.
Leader nel settore della pubblicità e della musica
sul web, Buongiorno Vitaminic è stata denunciata
proprio per la violazione della Privacy in campo informativo.
http://www.ilsole24ore.com/fc?cmd=art&artId=580963&chId=30
Caso dipendente comunale
A seguito di accertamenti sanitari per il riconoscimento
di infermità a causa di servizio,
si è visto consegnare i referti dal messo comunale,
spillati ad una nota di accompagnamento anziché custoditi
in busta chiusa, il Garante ha ribadito che quando le amministrazioni
trattano informazioni personali, soprattutto relative allo
stato di salute, hanno l’obbligo di adottare ogni
misura per salvaguardare i diritti, le libertà e
la dignità degli interessati. Il che equivale a far
circolare i dati sanitari unicamente in busta chiusa. Entro
la fine di novembre l’amministrazione dovrà
comunicare all’Autority le misure di sicurezza adottate,
le istruzioni fornite agli incaricati e le procedure messe
in atto per la protezione dei dati.
Caso azienda privata
Occupando temporaneamente la scrivania di un collega, alzando
una cartellina, la dipendente aveva trovato la fotocopia
di una lettera da lei stessa inviata al direttore dell’ufficio,
nella quale erano riportate anche delicate informazioni
sulla condizione di salute della figlia minore disabile.
Per due volte si era rivolta all’amministrazione contestando
l’indebita divulgazione della lettera e chiedendo
che tale condotta illegittima non venisse a ripetersi. L’interessata
chiedeva anche di conoscere in base a quale norma di legge
la lettera fosse stata conosciuta da terzi, addirittura
in fotocopia, nonché di avere conferma dell’esistenza
di dati personali in possesso della società e la
loro comunicazione in modo chiaro e dettagliato. Non avendo
ricevuto una adeguata risposta per iscritto si è
rivolta al Garante che ha imposto alla società di
astenersi dall’ulteriore trattamento illecito dei
dati personali dell’interessata. ALLA SOCIETÀ
È STATO ANCHE IMPOSTO DI ADOTTARE TUTTE LE MISURE
DI SICUREZZA IDONEE A PREVENIRE IL RIPETERSI DI EVENTI DEL
GENERE.
Per Informazioni :
Maurizio Giovanelli
info@europlanetshop.com
.gif){kind=logo}
