Privacy
IL DECRETO LEGGE 196/2003
Il decreto legge 196/2003 del 30 giugno 2003, testo unico sul trattamento dei dati
personali, sensibili e giudiziari, per la prima volta non si limita alla sola enunciazione
dei dati da proteggere, ma prescrive regole precise e modalità di comportamento
a cui tutti gli enti (aziende private e pubbliche, associazioni, organismi sanitari,…)
devono sottostare qualora trattino dei dati.
Cosa si intende per dati personali?
La legge per “dato personale” intende qualunque informazione relativa
a:
- Persona fisica
- Persona giuridica
- Ente
- Associazione
Identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi
altra informazione, ivi compreso un numero di identificazione personale.
In questi termini anche la presenza di una scheda cliente, o un’agenda realizzata
mediante un foglio di calcolo, o una semplice lettera con indirizzo, fa ricadere
tutto il sistema informativo nell’ambito di applicazione della Legge.
Gli adempimenti previsti dalla Legge
Innanzitutto ove il trattamento dei dati avviene tramite l’utilizzo di personal
computer (siano essi stand alone o collegati tramite una rete locale) è necessario
proteggere l’accesso ai personal computer tramite nome utente e password.
Tale password dovrà essere cambiata almeno una volta ogni 6 mesi.
I personal computer utilizzati devono essere dotati di un software antivirus da
aggiornare almeno una volta ogni 6 mesi.
Se i personal computer hanno la possibilità di collegarsi alla rete internet,
dovranno essere provvisti di software anti-intrusione (firewall).
Dovrà essere inoltre previsto un piano di backup dei dati trattati, con cadenza
almeno settimanale.
All’interno dell’azienda dovrà essere nominato un responsabile
della privacy che dovrà rispondere delle tematiche relative all’applicazione
della nuova legge.
Inoltre dovranno essere nominati gli incaricati al trattamento dei dati.
Infine, dovrà essere redatto il DOCUMENTO PROGRAMMATICO PER LA SICUREZZA.
Tale documento, in sintesi, deve contenere almeno:
- L’elenco dei trattamenti dei dati personali
- L’attribuzione dei compiti e delle responsabilità
- L’analisi dei rischi che incombono sui dati
- Le misure per garantire l’integrità, la disponibilità e la riservatezza
dei dati
- Le misure che garantiscono le aree e i locali
- Criteri e modalità per garantire la disponibilità dei dati in seguito
a distruzione o danneggiamento
- La formazione del personale incaricato dei trattamenti di dati personali affidati,
in conformità al codice all’esterno della società
- Misure tecniche di cifratura e separazione dei dati cosiddetti sensibili.
I tempi previsti dalla legge
L’entrata in vigore del decreto legge 196/2003 era stabilita nel primo gennaio
2004.
Dopo diverse proroghe, l’ultima ha stabilito che il documento programmatico
di sicurezza dovrà essere redatto entro il 31 dicembre 2005 e aggiornato
annualmente.
Le altre misure di sicurezza che abbiamo citato (art. 33, 34 e 35 e allegato tecnico
B) dovranno invece essere adottate entro il 30 giugno 2006.
Le sanzioni
|
ILLECITI CIVILI
|
SANZIONI
|
|
Art. 161 Assenza informativa privacy
|
Sanzione da 3.000 a 18.000 euro.
|
|
Assenza informativa privacy per dati sensibili o giudiziari o in caso di trattamenti
che presentano rischi specifici o di maggiore rilevanza del pregiudizio
|
Sanzione da 5.000 a 30.000 euro. (moltiplicabile per 3 a seconda delle condizioni
economiche del contravventore.
|
|
Art. 163 Omessa o incompleta notificazione al Garante
|
Sanzione da 10.000 a 60.000 euro.
|
|
Art. 164 Omissione di fornire informazioni o esibire documenti richiesti dal
Garante Privacy
|
Sanzione da 4.000 a 24.000 euro.
|
|
ILLECITI PENALI
|
SANZIONI
|
|
Art. 167 Trattamento illecito di dati personali
|
Reclusione da 6 mesi a 3 anni. Possibile estinguere il reato ex art. 169,
pagando una somma di denaro se ci si regolarizza entro il termine prescritto (non
+ di 6 mesi)
|
|
Art. 168 Falsità nelle dichiarazioni e notificazioni al Garante
|
Sanzione penale, reclusione da 6 mesi a 3 anni
|
|
Art. 169 Omessa adozione di misure necessarie alla sicurezza dei dati
|
Arresto fino a 2 anni o sanzione amministrativa, pagamento di una somma da 10.000
a 50.000 euro.
|
|
Art. 170 Inosservanza dei provvedimenti del Garante
|
Arresto da 3 mesi a 2 anni.
|
Come interviene Ecogenesi
Ecogenesi si propone come consulente a 360° sulle problematiche relative alla
privacy.
Essa offre la sua esperienza per adeguamenti del sistema informativo a tutti i necessari
requisiti di sicurezza e protezione previsti dalla legge.
Inoltre ci proponiamo per la redazione del documento programmatico per la sicurezza,
analizzando gli eventuali rischi e organizzando l’azienda alla luce dei requisiti
richiesti dalla normativa.
La nostra offerta
|
Aziende che non utilizzano il computer: per il primo anno
|
€ 150,00 |
|
Aziende che non utilizzano il computer: per gli anni successivi al primo |
€ 100,00
|
|
Aziende che utilizzano il computer fino a un max di 5 pc: per il primo anno
|
€ 250,00 |
|
Aziende che utilizzano il computer per gli anni successivi al primo |
€ 150,00 |
|
Per aziende che utilizzano il computer e che posseggono più di 5 pc effettuiamo
una trattativa privata
|
I prezzi sono da intendersi iva esclusa (20%).