Segnaliamo alla vostra attenzione un commento apparso sulla rivista telematica dell'Agenzia delel entrate www.fiscooggi.it a cura di Silvia Mezzetti e Alessandro Margiotta in merito alla notificazione che le aziende devono effettuare al garante e all'adozione del Documento programmatico di sicurezza. Il presupposto esclusivo, per il quale sorge l'obbligo della notificazione (obbligo notevolmente "alleggerito" e semplificato rispetto a quello precedente), è costituito dal trattamento di una serie di dati sensibili, ovvero riguardanti diritti e libertà fondamentali, ai quali è prestata particolare tutela e dettagliatamente indicati nel corpo dell'articolo 37 del codice. Esso sono: - dati genetici, biometrici o dati che indicano la posizione geografica di persone od oggetti mediante una rete di comunicazione elettronica (cfr. articolo 37, comma 1, lettera a) - dati idonei a rivelare lo stato di salute e la vita sessuale, trattati a fini di procreazione assistita, prestazione di servizi sanitari per via telematica relativi a banche di dati o alla fornitura di beni, indagini epidemiologiche, rilevazione di malattie mentali, infettive e diffusive, sieropositività, trapianto di organi e tessuti e monitoraggio della spesa sanitaria (cfr. articolo 37, comma 1, lettera b) - dati idonei a rivelare la vita sessuale o la sfera psichica trattati da associazioni, enti od organismi senza scopo di lucro, anche non riconosciuti, a carattere politico, filosofico, religioso o sindacale (cfr. articolo 37, comma 1, lettera c) - dati trattati con l'ausilio di strumenti elettronici volti a definire il profilo o la personalità dell'interessato, o ad analizzare abitudini o scelte di consumo, ovvero a monitorare l'utilizzo di servizi di comunicazione elettronica con esclusione dei trattamenti tecnicamente indispensabili per fornire i servizi medesimi agli utenti (cfr. articolo 37, comma 1, lettera d) - dati sensibili registrati in banche di dati a fini di selezione del personale per conto terzi, nonché dati sensibili utilizzati per sondaggi di opinione, ricerche di mercato e altre ricerche campionarie (cfr. articolo 37, comma 1, lettera e) - dati registrati in apposite banche di dati gestite con strumenti elettronici e relative al rischio sulla solvibilità economica, alla situazione patrimoniale, al corretto adempimento di obbligazioni, a comportamenti illeciti o fraudolenti [cfr. articolo 37, comma 1, lettera f). In aggiunta ai dati prima menzionati, la notificazione è anche dovuta in caso di altri trattamenti suscettibili di arrecare pregiudizio ai diritti e alle libertà dell'interessato, eventualmente individuati dal Garante (cfr. articolo 37, comma 2). La notificazione deve essere effettuata prima dell'inizio del trattamento (cfr. articolo 38, comma 1) o, per coloro che già anteriormente al 1° gennaio 2004 avevano iniziato un trattamento di dati personali, entro il 30 aprile 2004 (cfr. articolo 181, comma 1). In questo ultimo caso, la notificazione è dovuta indipendentemente dal fatto di aver già in passato effettuato la notifica, ai sensi della legge n. 675/96, e nell'adempiere all'obbligo secondo la nuova procedura, occorre comunque dichiarare che si effettua una "nuova notificazione". Il soggetto tenuto a effettuare la notificazione è il titolare del trattamento, il quale vi deve procedere con un unico atto anche quando il trattamento comporta il trasferimento all'estero dei dati (cfr. articolo 37, comma 3). La notificazione effettuata verrà inserita dal Garante in un registro reso "pubblico" in ragione della sua gratuita accessibilità attraverso la rete telematica (cfr. articolo 37, comma 4). Le modalità fissate dal codice per la notificazione esplicitano l'intento di semplificazione del legislatore. Esse stabiliscono che: - la notificazione deve essere presentata al Garante prima dell'inizio del trattamento e una sola volta, prescindendo dal numero di operazioni e dalla durata del trattamento da effettuare, che può tra l'altro riguardare uno o più trattamenti con finalità correlate (cfr. articolo 38, comma 1) - la trasmissione deve avvenire per via telematica attraverso la compilazione in rete di un apposito modello, che, a onore del vero, appare complesso nella forma (ma di cui occorre compilare solo le parti che interessano) da sottoscrivere con firma digitale (cfr. articolo 38, comma 2). Solo il rispetto delle modalità di trasmissione, del modello utilizzabile, della sottoscrizione con firma digitale e della ricezione del messaggio di conferma del ricevimento della notificazione rendono questa validamente effettuata. In caso contrario, dovrà procedersi a rinnovare la procedura di notificazione - la notificazione può avvenire anche per il tramite di associazioni di categoria e ordini professionali, partecipanti alla stipula di apposite convenzioni (cfr. articolo 38, comma 3) - una nuova notificazione è dovuta esclusivamente alla cessazione del trattamento, ovvero qualora dovesse mutare taluno degli elementi da indicare nella notificazione (cfr. articolo 38, comma 4). L'adempimento della notificazione al Garante consiste nella compilazione per via telematica dell'apposito modello, reperibile nel sito www.garanteprivacy.it, nell'apposizione sullo stesso della firma digitale (deve essere utilizzato un dispositivo di firma digitale disponibile presso uno dei certificatori accreditati ai sensi dell'articolo 2, comma 1, lettera c), decreto legge n. 10/2002, il cui elenco è rinvenibile sul sito www.cnipa.gov.it.) e nel suo invio presso uno degli enti convenzionati (attualmente le Poste italiane Spa e l'Unappa). Occorre anche provvedere al pagamento dei diritti di segreteria dovuti al Garante, il cui importo è fissato in euro 150 e che può essere effettuato con le modalità reperibili sul sito Internet sopra indicato. Per coloro che non sono tenuti a effettuare la notificazione al Garante è previsto, comunque, quasi a temperare il disposto "alleggerimento" dell'obbligo, che le stesse notizie, potenzialmente incluse nel modello di notificazione, devono essere fornite a chi ne faccia eventualmente richiesta, salvo che il trattamento riguardi pubblici registri, elenchi, atti o documenti conoscibili da chiunque (cfr. articolo 38, comma 6). In caso di inosservanza delle disposizioni relative alla notificazione il codice prevede l'applicazione di sanzioni: - amministrative principali, quali quella del pagamento di una somma da 10mila euro a 60mila euro - amministrative accessorie, quali quella della pubblicazione dell'ordinanza-ingiunzione, per intero o per estratto, in uno o più giornali indicati nel provvedimento che la applica, per coloro i quali non provvedono tempestivamente alla notificazione, ai sensi degli articoli 37 e 38, ovvero indicano in essa notizie incomplete - penali, quali quella della reclusione da sei mesi a tre anni, salvo che il fatto costituisca più grave reato, per coloro i quali dichiarano o attestano falsamente notizie o circostanze o producono atti o documenti falsi. Misure di sicurezza Certamente una delle innovazioni maggiori del testo unico è data dalla dettagliata indicazione delle misure di sicurezza da adottare per la protezione dei dati personali, di cui si effettua il trattamento, che sono racchiuse in un disciplinare tecnico all'allegato B dello stesso codice. Il presupposto sorge in ragione della regola generale, fissata dalla norma, dell'obbligo, per i titolari del trattamento, di custodire i dati in modo da ridurre al minimo i rischi di distruzione o perdita degli stessi (cfr. articolo 31). Da tale regola generale discendono obblighi per particolari titolari, tutti tesi, comunque, alla massima tutela dei dati rispetto ad ogni forma di utilizzazione o cognizione non consentita (cfr. articolo 32, comma 1). Allo scopo di correttamente interpretare le disposizioni inserite nel disciplinare tecnico occorre tenere presente che, secondo quanto stabilito dal codice: - per "misure minime", deve intendersi il complesso delle misure tecniche, informatiche, organizzative, logistiche e procedurali di sicurezza che configurano il livello minimo di protezione richiesto in relazione ai rischi previsti nell'articolo 31 - per "strumenti elettronici", devono intendersi gli elaboratori, i programmi per elaboratori e qualunque dispositivo elettronico o comunque automatizzato, con cui si effettua il trattamento - per "autenticazione informatica" deve intendersi l'insieme degli strumenti elettronici e delle procedure per la verifica anche indiretta dell'identità - per "credenziali di autenticazione" devono intendersi i dati e i dispositivi, in possesso di una persona, da questa conosciuti o a essa univocamente correlati, utilizzati per l'autenticazione informatica - per "parola chiave" deve intendersi la componente di una credenziale di autenticazione associata a una persona e a questa nota, costituita da una sequenza di caratteri o altri dati in forma elettronica - per "profilo di autorizzazione" deve intendersi l'insieme delle informazioni, univocamente associate a una persona, che consente di individuare a quali dati essa può accedere, nonché i trattamenti a essa consentiti - per "sistema di autorizzazione" deve intendersi l'insieme degli strumenti e delle procedure che abilitano l'accesso ai dati e alle modalità di trattamento degli stessi, in funzione del profilo di autorizzazione del richiedente. Nel quadro delle norme generali sulla sicurezza, il legislatore ha fissato il principio che in ogni caso il titolare del trattamento è tenuto ad adottare le misure minime individuate nel codice, volte ad assicurare un livello minimo di protezione dei dati personali (cfr. articolo 33). Sotto tale profilo, è stato fissato che il trattamento dei dati personali, effettuato con strumenti elettronici, è consentito solo se sono adottate, nei modi previsti nel disciplinare tecnico (allegato B al codice), una serie dettagliata di misure minime, comprendenti procedure di autenticazione, autorizzazione, identificazione, controllo e protezione dei dati (cfr. articolo 34). Nel disciplinare tecnico, anche per il trattamento dei dati senza l'ausilio di strumenti elettronici sono state fissate misure minime volte a preservare i dati personali trattati, attraverso misure di sicurezza particolarmente incisive, tra le quali la previsione di procedure per la conservazione di determinati atti in archivi ad accesso selezionato e la disciplina delle modalità di accesso finalizzate all'identificazione degli incaricati (cfr. articolo 35). Il disciplinare tecnico, per il quale è previsto un aggiornamento periodico (cfr. articolo 36), prevede l'adozione di un sistema di autenticazione informatica e di autorizzazione, la redazione di un documento programmatico sulla sicurezza, particolari misure in caso di trattamento di dati sensibili o giudiziari e altre modalità per il trattamento dei dati senza l'ausilio di strumenti elettronici. Il sistema di autenticazione informatica prevede che chi effettua il trattamento di dati personali con strumenti elettronici venga identificato e autorizzato (cfr. allegato B, punto 1) e che l'accesso ai relativi terminali venga consentito esclusivamente all'incaricato in possesso di determinate credenziali, consistenti in un codice di identificazione, normalmente alfanumerico, e una parola chiave solo da questi conosciuta (cfr. allegato B, punto 2). Il sistema di autorizzazione prevede che i profili di autorizzazione, per ciascun incaricato o per classi omogenee di incaricati, siano individuati e configurati anteriormente all'inizio del trattamento, in modo da limitare l'accesso ai soli dati necessari per effettuare le operazioni di trattamento (cfr. allegato B, punto 13); e che venga periodicamente, e comunque almeno annualmente, verificata la sussistenza delle condizioni per la conservazione dei profili di autorizzazione (cfr. allegato B, punto 14). Altre misure di sicurezza sono costituite: - dal fatto che i dati personali devono essere protetti contro il rischio di intrusione e dell'azione di programmi di cui all'articolo 615-quinquies del codice penale (programmi diretti a danneggiare o interrompere un sistema informatico), mediante l'attivazione di idonei strumenti elettronici da aggiornare con cadenza almeno semestrale (cfr. allegato B, punto 16) - dalla previsione che gli aggiornamenti periodici dei programmi per elaboratore, volti a prevenire la vulnerabilità di strumenti elettronici e a correggerne difetti, siano effettuati almeno annualmente. In caso di trattamento di dati sensibili o giudiziari, l'aggiornamento è almeno semestrale (cfr. allegato B, punto 17) - dal fatto che devono essere impartite istruzioni organizzative e tecniche che prevedono il salvataggio dei dati con frequenza almeno settimanale (cfr. allegato B, punto 18). Il disciplinare tecnico ripropone poi la redazione del documento programmatico sulla sicurezza, già previsto dalla legge n. 675/96, da predisporre ora entro il 31 marzo di ogni anno. Tale documento deve contenere idonee le informazioni previste nell'allegato B, punto 19. Coerentemente con tutto l'impianto normativo, che sancisce particolare tutela ai dati sensibili e giudiziari, il disciplinare tecnico prevede anche l'adozione di ulteriori misure in caso di trattamento di tali dati. Queste sono reperibili all'allegato B, punti 20, 21, 22, 23, 24. Di un certo interesse è l'introduzione di altre misure di tutela e garanzia: - il titolare che adotta misure minime di sicurezza avvalendosi di soggetti esterni alla propria struttura, deve ricevere dall'installatore una descrizione scritta dell'intervento effettuato che ne attesti la conformità alle disposizioni del presente disciplinare tecnico (cfr. allegato B, punto 25) - il titolare deve riferire, nella relazione accompagnatoria del bilancio d'esercizio, se dovuta, dell'avvenuta redazione o aggiornamento del documento programmatico sulla sicurezza (cfr. allegato B, punto 26). In ultimo, il disciplinare tecnico individua le modalità tecniche da adottare a cura del titolare, del responsabile, ove designato, e dell'incaricato, in caso di trattamento con strumenti diversi da quelli elettronici. In particolare: - agli incaricati devono essere impartite istruzioni scritte finalizzate al controllo e alla custodia, per l'intero ciclo necessario allo svolgimento delle operazioni di trattamento, degli atti e dei documenti contenenti dati personali. (cfr. allegato B, punto 27) - quando gli atti e i documenti contenenti dati personali sensibili o giudiziari sono affidati agli incaricati del trattamento per lo svolgimento dei relativi compiti, i medesimi atti e documenti devono essere controllati e custoditi dagli incaricati fino alla restituzione in maniera che a essi non accedano persone prive di autorizzazione, e devono essere restituiti al termine delle operazioni affidate (cfr. allegato B, punto 28) - l'accesso agli archivi contenenti dati sensibili o giudiziari deve essere controllato (si deve trattare di locali chiusi, ovvero di armadi, schedari, eccetera, muniti di chiusura a chiave). Le persone ammesse, a qualunque titolo, dopo l'orario di chiusura, devono essere identificate e registrate. Quando gli archivi non sono dotati di strumenti elettronici per il controllo degli accessi o di incaricati della vigilanza, le persone che vi accedono devono essere preventivamente autorizzate (cfr. allegato B, punto 29). In caso di inosservanza delle disposizioni relative alle misure di sicurezza, il codice prevede l'applicazione di sanzioni: - penali principali, quali quella dell'arresto sino a due anni o dell'ammenda da 10mila euro a 50mila euro, per coloro che essendovi tenuti, omettono di adottare le misure minime previste dall'articolo 33. All'autore del reato, all'atto dell'accertamento o, nei casi complessi, anche con successivo atto del Garante, è impartita la prescrizione ad adempiere, con la fissazione di un termine per la regolarizzazione non eccedente il periodo di tempo tecnicamente necessario, prorogabile in caso di particolare complessità o per l'oggettiva difficoltà dell'adempimento e comunque non superiore a sei mesi. Nei sessanta giorni successivi allo scadere del termine, se risulta l'adempimento alla prescrizione, l'autore del reato è ammesso dal Garante a pagare una somma pari al quarto del massimo dell'ammenda stabilita per la contravvenzione. L'adempimento e il pagamento estinguono il reato
