Il Garante per la Protezione dei dati ha pubblicato le “Linee guida in materia di attuazione della disciplina sulla comunicazione delle violazioni di dati personali” – Consultazione pubblica – 26 luglio 2012 (Pubblicato sulla Gazzetta Ufficiale n. 183 del 7 agosto 2012).
La direttiva 2002/58/Ce (c.d. direttiva e-Privacy) afferma che i fornitori di servizi di comunicazione elettronica devono adottare “appropriate misure tecniche e organizzative” per assicurare “un livello di sicurezza adeguato al rischio esistente” (art. 4, comma 1). Nella direttiva 2009/136/Ce (che ha modificato la direttiva 2002/58/Ce) si è tenuto conto, in particolare, del fatto che un evento che coinvolga i dati personali, se non trattato in modo adeguato e tempestivo, può provocare un grave danno economico e sociale al contraente (o alle altre persone interessate), tra cui l’usurpazione d’identità (cfr. considerando 61).

Con il recepimento delle suindicate previsioni tramite il decreto legislativo 28 maggio 2012, n. 69, con il quale il Governo ha dato attuazione alla delega prevista nell’art. 9 della legge comunitaria del 2010 (legge 15 dicembre 2011, n. 217, pubblicata in G.U. 2 gennaio 2012, n. 1), i fornitori di servizi di comunicazione elettronica sono oggi tenuti a comunicare senza indebiti ritardi al Garante e, in alcuni casi, al contraente o ad altre persone interessate, l’occorrenza dei predetti eventi, qualificati come “violazioni di dati personali”.
In attuazione della direttiva europea in materia di sicurezza e privacy nel settore delle comunicazioni elettroniche, di recente recepita dall’Italia, il Garante per la privacy ha fissato un primo quadro di regole in base alle quali le società di tlc e i fornitori di servizi di accesso a Internet saranno tenuti a comunicare, oltre che alla stessa Autorità, anche agli utenti le “violazioni di dati personali” (“data breaches”) che i loro data base dovessero subire a seguito di attacchi informatici, o di eventi avversi, quali incendi o altre calamità.
La comunicazione agli utenti deve avvenire al massimo entro 3 giorni dalla violazione e non è dovuta se si dimostra di aver utilizzato misure di sicurezza e sistemi di cifratura e di anonimizzazione che rendono inintelligibili i dati.
Chi deve comunicare le violazioni?
L’obbligo di comunicare le violazione di dati personali spetta esclusivamente ai fornitori di servizi telefonici e di accesso a Internet. L’adempimento non riguarda quindi le reti aziendali, gli Internet point (che si limitano a mettere a disposizione dei clienti i terminali per la navigazione), i motori di ricerca, i siti Internet che diffondono contenuti.

Il “registro delle violazioni”

Per consentire l’attività di accertamento del Garante, i provider dovranno tenere un inventario costantemente aggiornato delle violazioni subite che dia conto delle circostanze in cui queste si sono verificate, le conseguenze che hanno avuto e i provvedimenti adottati a seguito del loro verificarsi.

Le sanzioni

Non comunicare al Garante la violazione dei dati personali o provvedere in ritardo espone a una sanzione amministrativa che va da 25mila a 150mila euro. Stesso discorso per la omessa o mancata comunicazione agli interessati, siano essi soggetti pubblici, privati o persone fisiche: qui la sanzione prevista va da 150 euro a 1000 euro per ogni società o persona interessata. La mancata tenuta dell’inventario aggiornato è punita con la sanzione da 20mila a 120mila euro.

Qualora si verificasse una violazione, come la comunichiamo al Garante per la Privacy?

Tramite l’apposito modulo “Modello di comunicazione al Garante“.

Per ulteriori approfondimenti potete consultare le linee guida complete previste dal provvedimento

Come annunciato il tanto atteso Decreto Semplificazioni ha prodotto i suoi frutti.

Il decreto semplificazioni (Decreto legge n. 5 del 9/2/2012) è ormai legge, dopo la pubblicazione in Gazzetta Ufficiale (n. 33 il 9/2/2012 suppl. ordinario n. 27) e la conseguente entrata in vigore in data 10/2/2012.

Il cosiddetto decreto “Salva Italia” del 6 dicembre 2011 n.201 approvato con legge di conversione 22 dicembre 2011 n.214 e pubblicata sulla G.U. il 27 dicembre scorso aveva già apportato delle modifiche al testo del decreto relativo alla Protezione dei Dati Personali, in particolare all’art. 4 comma 1- lett. b) ex D.lgs. 196/03. In quest’occasione parlando di dato personale e di interessato al trattamento si era fatto ben intendere che la persona giuridica non era compresa in questo ambito. Nella pratica, alla persona giuridica, ente o associazione, non si applicano più i diritti dell’interessato dell’art. 7 e per “non” addolcire la pillola, non valgono più le misure di tutela per il trasferimento dei dati all’estero. Un’azienda non potrà più far ricorso al Garante in caso di trattamento illecito o non conforme alla legge sui dati a lei riferiti come persona giuridica e poiché i provvedimenti sui dati personali riferiti a persone giuridiche non saranno più applicabili non saranno più necessarie:

• l’informativa al trattamento dei dati personali verso persone giuridiche (clienti, fornitori, partner, etc..);
• le richieste di consenso, anche per finalità commerciali o di marketing, sempre nei confronti delle persone giuridiche.

L’architettura legislativa che era un modello europeo di tutela ed estensione dei diritti anche per le persone giuridiche, perde di valore in poche nuove righe.

Come previsto l’ Art. 45  del D.L. 5/2012 legifera nuove disposizioni in materia di misure minime di sicurezza ex “Codice in materia di protezione dei dati personali”.

Tale D.L. modifica anche il decreto (n.138 del 2011) che aveva introdotto la possibilità di autocertificazione in sostituzione del DPS “per i soggetti che trattano soltanto  dati  personali  non sensibili e che trattano  come  unici  dati  sensibili  e  giudiziari quelli relativi  ai  propri  dipendenti  e  collaboratori,  anche  se extracomunitari, compresi quelli relativi al coniuge e ai parenti”. Lo stesso Garante della Privacy, Francesco Pizzetti aveva già commentato queste novità dichiarando che “sono certo maggiori i potenziali costi, relativa ai rischi che comporta, che gli attesi vantaggi in ordine alla riduzione degli oneri” (Il Sole 24ore – 10 dicembre 2011).

Al decreto legislativo 30 giugno 2003, n. 196, sono quindi apportate le seguenti modificazioni:

a) all’articolo 21 dopo il comma 1 è inserito il seguente: «1-bis. Il trattamento dei dati giudiziari è  altresì  consentito quando è effettuato in attuazione  di  protocolli  d’intesa  per  la  prevenzione e il contrasto dei fenomeni di  criminalità  organizzata  stipulati  con  il  Ministero  dell’interno  o  con  i  suoi   uffici  periferici di cui all’articolo 15, comma 2, del  decreto  legislativo 30 luglio 1999,  n.  300,  che  specificano  la  tipologia  dei  dati  trattati e delle operazioni eseguibili.»;
b) all’articolo 27, comma 1, è aggiunto, in  fine,  il  seguente periodo: “Si applica quanto previsto dall’articolo 21, comma 1-bis.”;
c) all’articolo 34 è soppressa la lettera g) del comma 1  ed  è  abrogato il comma 1-bis; (abrogazione obbligo D.P.S. e autocertificazione)
d) nel disciplinare  tecnico  in  materia  di  misure  minime  di sicurezza di cui all’allegato B sono soppressi i paragrafi  da  19  a 19.8 e 26.

COSA DEVONO FARE LE AZIENDE IN MATERIA DI PRIVACY?

Innanzitutto l’adeguamento alla Privacy in Italia NON È la redazione del DPS, già in vigore con l’ex D.lgs. 675/96, così come sarebbe sciocco pensare che la sicurezza sul lavoro sia solo la redazione del Documento di valutazione dei rischi (ex D.lgs. 81/08 smi), senza pensare minimamente alla reale sicurezza dei lavoratori, o, come nel nostro caso, dei dati delle persone e dei loro diritti di riservatezza. Come ho avuto spesso occasione di dire ai nostri clienti, il Garante ha sempre inteso l’adeguamento come una misura “cautelativa”, ricordando che il 90% delle sanzioni nasce da segnalazioni di privati e non da controlli degli organi competenti.

Il DPS non è che una delle misure minime di sicurezza obbligatorie, finalizzate alla riduzione dei rischi di distruzione, perdita, accesso non autorizzato e trattamento non consentito di dati personali.

Lo stesso articolo 34 infatti specifica come il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell’allegato B), le misure minime ancora obbligatorie riportate in basso.

Chi in questi anni ha provveduto onestamente all’adeguamento alla norma sa che la Privacy è un’orchestra costituita, anche dopo il Decreto semplificazioni obbligatoriamente,  da:

1. designazioni e nomine (responsabili e incaricati interni e esterni, amministratori di sistema, responsabili della videosorveglianza);
2. obblighi di informativa ed eventuale consenso al trattamento (art. 13)
3. particolari provvedimenti generali dell’autorità Garante (videosorveglianza, amministratori di sistema, custodia delle password, utilizzo di Internet e mail nei luoghi di lavoro, ecc.)
4. previsioni specifiche previste nelle autorizzazioni generali o in provvedimenti simili (autorizzazione al trattamento di dati genetici, dati relativi al traffico ecc.).

RICORDATE che Rimangono in vigore sanzioni e potenziali controlli da parte dell’Autorità Garante, anche tramite il nucleo operativo privacy della GDF (su 230 controlli nel 1semestre 2011, 181 sono stati sanzionatori).

Eliminare il D.P.S. non vuol dire abrogare la Privacy e fregarsene della sicurezza dei dati.
Il titolare coscienzioso, elaborerà comunque un documento di sintesi sugli adempimenti minimi di sicurezza previsti anche per risparmiarsi un sacco di fatica in caso di controllo.
Il titolare più ingenuo riterrà che la Privacy sia solo una perdita di tempo e soldi e che questa è l’occasione giusta per avere una scusa!
La lungimiranza e il successo appartengono a pochi.
Chi vuole avere successo sa che occorre assumersi le proprie responsabilità, perciò se il decreto avrà nella prassi l’effetto di spingere i titolari a sostituire il D.P.S. eccessivamente formale dell’All. B con un nuovo documento più flessibile, il legislatore avrà raggiunto un risultato di pregio.

Articolo a cura del Dott. Daniele Scopece, consulente e docente in materia di Privacy

[RIPRODUZIONE VIETATA]

Il presente accordo è stato pubblicato sulla Gazzetta Ufficiale N. 8 del 11 Gennaio 2012:

CONFERENZA PERMANENTE PER I RAPPORTI TRA LO STATO LE REGIONI E LE PROVINCE AUTONOME DI TRENTO E BOLZANO

ed è entrato in vigore il dopo il decimoquinto (15°) giorno come previsto dalla legge, quindi è in essere dal 26 Gennaio 2012. Sono previsti 18 mesi per eventuali adeguamenti dalla data di pubblicazione.

L’Accordo prevede percorsi formativi differenziati e specifici per i lavoratori, i dirigenti ed i preposti la cui durata minima è stabilita in base alla classificazione dei settori ATECO (2002-2007).

La Formazione potrà essere erogata solo da:

a) le Regioni e le Province autonome di Trento e di Bolzano, anche mediante le proprie strutture tecniche operanti nel settore della prevenzione (Aziende Sanitarie Locali, etc.) e della formazione professionale; le Regioni e le Province autonome di Trento e di Bolzano possono, altresì, autorizzare, o ricorrere a ulteriori soggetti operanti nel settore della formazione professionale accreditati in conformità al modello di accreditamento definito in ogni Regione e Provincia Autonoma ai sensi dell’ intesa sancita in data 20 marzo 2008 e pubblicata su GURI del 23 gennaio 2009.In tal caso detti soggetti devono, comunque, dimostrare di possedere esperienza biennale professionale maturata in ambito prevenzione e sicurezza nei luoghi di lavoro o maturata nella formazione alla salute e sicurezza nei luoghi di lavoro;

b) l’Università e le scuole di dottorato aventi ad oggetto le tematiche del lavoro e della formazione;

c) l’INAIL;

d) il Corpo nazionale dei vigili del fuoco o i corpi provinciali dei vigili del fuoco per le Province Autonome di Trento e Bolzano;

e) la Scuola superiore della pubblica amministrazione;

f) altre Scuole superiori delle singole amministrazioni;

g) le associazioni sindacali dei datori di lavoro o dei lavoratori;

h) gli enti bilaterali, quali definiti all’articolo 2, comma 1, lettera h), del D.Lgs. 10 settembre 2003, n. 276, e successive modifiche e integrazioni, e gli organismi paritetici quali definiti all’articolo 2 comma 1 lettera ee) del D.Lgs. n. 81/08 e per lo svolgimento delle funzioni di cui all’articolo 51 del D.Lgs. n. 81/08;

i) i fondi interprofessionali di settore;

j) gli ordini e i collegi professionali del settore di specifico riferimento.

Qualora i soggetti sopra indicati ai punti dalla lettera b) alla lettera j) intendano avvalersi di soggetti formatori esterni alla propria struttura,  questi ultimi devono essere in possesso dei requisiti previsti nei modelli di accreditamento definiti in ogni Regione e Provincia Autonoma ai sensi dell’ intesa sancita in data 20 marzo 2008 e pubblicata su GURI del 23 gennaio 2009.

Le associazioni sindacali dei datori di lavoro e dei lavoratori, gli enti bilaterali e gli organismi paritetici possono effettuare le attività formative e di aggiornamento o direttamente o avvalendosi unicamente di strutture formative di loro diretta emanazione.

I docenti devono avere una esperienza almeno triennale in materia di  tutela della salute e sicurezza sul lavoro maturata nei settori pubblici o privati.

FormaSer si avvale di professionisti qualificati che posseggono tutti i requisiti e specializzazioni per l’erogazione dei corsi e collabora già da tempo nel campo della formazione della sicurezza sul lavoro ex D.lgs.81/08 con Enti Bilaterali riconosciuti sul territorio nazionale.

Di seguito sono schematizzati i requisiti minimi richiesti per la formazione dei Datori di Lavoro che svolgono la funzione di RSPP, dei lavoratori, dei dirigenti, dei preposti. Presentiamo anche schema della classificazione del rischio delle aziende in base al modulo Ateco di appartenenza individuato.