Questo sito utilizza i cookie, anche di terze parti, per il monitoraggio degli accessi.
Per saperne di più, conoscere i cookie utilizzati ed eventualmente disabilitarli, accedi alla pagina Privacy.
Se prosegui nella navigazione di questo sito acconsenti all’utilizzo dei cookie.

Sicurezza dei dati e dei sistemi (t.u. in materia di privacy)



Il capo I del titolo V della prima parte del D.Lgs. 196/03 (t.u. in materia di privacy) tratta delle misure di sicurezza relative al trattamento dei dati personali.

Ai sensi dell'art.31 t.u. i dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.

L'art.32 t.u. considera la speciale attività di alcuni titolari del trattamento. Il fornitore di un servizio di comunicazione elettronica accessibile al pubblico adotta ai sensi dell'art. 31 t.u. idonee misure tecniche e organizzative adeguate al rischio esistente, per salvaguardare la sicurezza dei suoi servizi, l'integrità dei dati relativi al traffico, dei dati relativi all'ubicazione e delle comunicazioni elettroniche rispetto ad ogni forma di utilizzazione o cognizione non consentita nota1.

Il capo II del titolo V assume notevole rilevanza, trattando delle c.d. "misure minime" di sicurezza, la cui mancata adozione si palesa notevolmente rilevante, dal momento che è causa dell'irrogazione al titolare del trattamento di sanzioni di carattere penale (cfr. l'art.169 t.u.).

L'art. 33 t.u., intitolato per l'appunto "misure minime" dispone che "nel quadro dei più generali obblighi di sicurezza di cui all'art. 31 t.u., o previsti da speciali disposizioni, i titolari del trattamento sono comunque tenuti ad adottare le misure minime individuate nel presente capo o ai sensi dell'art. 58, comma 3, t.u. volte ad assicurare un livello minimo di protezione dei dati personali".

Gli artt. 34 e 35 del t.u. si occupano del trattamento dei dati eseguito con o senza l'ausilio di strumenti elettronici. Come è evidente il caso di gran lunga più frequente è il primo, anche se non si può escludere la ricorrenza del secondo.

Ai sensi dell'art.34 t.u. il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell'allegato B del t.u., le seguenti misure minime:
a) autenticazione informatica;
b) adozione di procedure di gestione delle credenziali di autenticazione;
c) utilizzazione di un sistema di autorizzazione;
d) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici;
e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici;
f) adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi;
g) Non è invece più necessaria la tenuta di un aggiornato documento programmatico sulla sicurezza: tale requisito è stato eliminato per effetto dell'entrata in vigore del d.l. 5/2012, conv. dalla l. 35/2012 8che ha introdotto un regime semplificato basato sull'autocertificazione: cfr. comma 1 bis della disposizione in parola);
h) adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari.

Ai sensi dell'art.35 t.u. il trattamento di dati personali effettuato senza l'ausilio di strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell'allegato B, le seguenti misure minime:
a) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati o alle unità organizzative;
b) previsione di procedure per un'idonea custodia di atti e documenti affidati agli incaricati per lo svolgimento dei relativi compiti;
c) previsione di procedure per la conservazione di determinati atti in archivi ad accesso selezionato e disciplina delle modalità di accesso finalizzata all'identificazione degli incaricati

Il disciplinare tecnico di cui all'allegato B al t.u., relativo alle misure minime di cui al presente capo, viene, ex art.36 t.u., aggiornato periodicamente con decreto del Ministro della giustizia di concerto con il Ministro per le innovazioni e le tecnologie, in relazione all'evoluzione tecnica e all'esperienza maturata nel settore.

Il titolo VI, I parte del t.u. descrive gli adempimenti che devono essere compiuti dai soggetti coinvolti nel trattamento dei dati personali.

Ai sensi dell'art. 37 t.u. il titolare notifica al Garante il trattamento di dati personali cui intende procedere, solo se il trattamento riguarda i seguenti aspetti :
a) dati genetici, biometrici o dati che indicano la posizione geografica di persone od oggetti mediante una rete di comunicazione elettronica;
b) dati idonei a rivelare lo stato di salute e la vita sessuale, trattati a fini di procreazione assistita, prestazione di servizi sanitari per via telematica relativi a banche di dati o alla fornitura di beni, indagini epidemiologiche, rilevazione di malattie mentali, infettive e diffusive, sieropositività, trapianto di organi e tessuti e monitoraggio della spesa sanitaria;
c) dati idonei a rivelare la vita sessuale o la sfera psichica trattati da associazioni, enti od organismi senza scopo di lucro, anche non riconosciuti, a carattere politico, filosofico, religioso o sindacale;
d) dati trattati con l'ausilio di strumenti elettronici volti a definire il profilo o la personalità dell'interessato, o ad analizzare abitudini o scelte di consumo, ovvero a monitorare l'utilizzo di servizi di comunicazione elettronica con esclusione dei trattamenti tecnicamente indispensabili per fornire i servizi medesimi agli utenti;
e) dati sensibili registrati in banche di dati a fini di selezione del personale per conto terzi, nonchè dati sensibili utilizzati per sondaggi di opinione, ricerche di mercato e altre ricerche campionarie;
f) dati registrati in apposite banche di dati gestite con strumenti elettronici e relative al rischio sulla solvibilità economica, alla situazione patrimoniale, al corretto adempimento di obbligazioni, a comportamenti illeciti o fraudolenti.

Il comma1 bis dell'art. 37, introdotto dal D.L. 81/2004 conv. nella legge 138/2004 stabilisce che la notificazione relativa al trattamento dei dati di cui al comma 1 non è dovuta se relativa all'attività dei medici di famiglia e dei pediatri di libera scelta, in quanto tale funzione è tipica del loro rapporto professionale con il Servizio sanitario nazionale.

Si osservi che le ipotesi prese in considerazione dal legislatore nell'elenco di cui al I comma non costituiscono un numerus clausus.

A i sensi del II comma della norma in esame infatti il Garante può individuare altri trattamenti suscettibili di recare pregiudizio ai diritti e alle libertà dell'interessato, in ragione delle relative modalità o della natura dei dati personali, con proprio provvedimento adottato anche ai sensi dell'art. 17 t.u.. Con analogo provvedimento pubblicato sulla Gazzetta ufficiale della Repubblica italiana il Garante può anche individuare, nell'ambito dei trattamenti di cui al comma I, eventuali trattamenti non suscettibili di recare detto pregiudizio e pertanto sottratti all'obbligo di notificazione.
La notificazione è effettuata con unico atto anche quando il trattamento comporta il trasferimento all'estero dei dati.
Il Garante inserisce le notificazioni ricevute in un registro dei trattamenti accessibile a chiunque e determina le modalità per la sua consultazione gratuita per via telematica, anche mediante convenzioni con soggetti pubblici o presso il proprio Ufficio. Le notizie accessibili tramite la consultazione del registro possono essere trattate per esclusive finalità di applicazione della disciplina in materia di protezione dei dati personali.

La notificazione del trattamento viene presentata ex art. 38 t.u. al Garante prima dell'inizio del trattamento ed una sola volta, a prescindere dal numero delle operazioni e della durata del trattamento da effettuare, e può anche riguardare uno o più trattamenti con finalità correlate nota2.

Il titolare del trattamento è poi tenuto in ottemperanza a quanto disposto dall'art. 39 t.u., a comunicare previamente al Garante le seguenti circostanze:
a) comunicazione di dati personali da parte di un soggetto pubblico ad altro soggetto pubblico non prevista da una norma di legge o di regolamento, effettuata in qualunque forma anche mediante convenzione;
b) trattamento di dati idonei a rivelare lo stato di salute previsto dal programma di ricerca biomedica o sanitaria di cui al I comma, primo periodo dell'art. 110 t.u. .
I trattamenti oggetto di comunicazione ai sensi del comma I possono essere iniziati decorsi quarantacinque giorni dal ricevimento della comunicazione salvo diversa determinazione anche successiva del Garante.
La comunicazione di cui al comma I dell'art.39 t.u. è inviata utilizzando il modello predisposto e reso disponibile dal Garante, e trasmessa a quest'ultimo per via telematica osservando le modalità di sottoscrizione con firma digitale e conferma del ricevimento di cui al II comma dell'art. 38 t.u., oppure mediante telefax o lettera raccomandata.

E' anche previsto il rilascio di autorizzazioni generali relative a determinate categorie di titolari o di trattamenti (art. 40 t.u.), in attuazione delle quali il Garante ha emanato i Provvedimenti nn.1-7 del 30 giugno 2004. In tal caso, ai sensi dell'art.41 t.u., il titolare del trattamento non è tenuto a presentare al Garante una richiesta di autorizzazione se il trattamento che intende effettuare è conforme alle relative prescrizioni nota3.

Note

nota1

L'art.32 t.u. in esame prevede inoltre l'interazione, nel problema del trattamento dei dati, delle tecnologie di connettività, soprattutto in relazione al fatto che le stesse possano essere gestite, come è normale che sia, da un soggetto diverso rispetto al titolare del trattamento.
Quando la sicurezza del servizio o dei dati personali richiede anche l'adozione di misure che riguardano la rete, il fornitore del servizio di comunicazione elettronica accessibile al pubblico adotta tali misure congiuntamente con il fornitore della rete pubblica di comunicazioni. In caso di mancato accordo, su richiesta di uno dei fornitori, la controversia è definita dall'Autorità per le garanzie nelle comunicazioni secondo le modalità previste dalla normativa vigente.
Il fornitore di un servizio di comunicazione elettronica accessibile al pubblico informa gli abbonati e, ove possibile, gli utenti, se sussiste un particolare rischio di violazione della sicurezza della rete, indicando, quando il rischio è al di fuori dell'ambito di applicazione delle misure che il fornitore stesso è tenuto ad adottare ai sensi dei commi I e II dell'art.32 t.u. tutti i possibili rimedi e i relativi costi presumibili. Analoga informativa è resa al Garante e all'Autorità per le garanzie nelle comunicazioni.
top1

nota2

Ulteriori modalità sono previste sempre dall'art.38 t.u., i cui commi successivi prevedono che la notificazione sia validamente effettuata solo se è trasmessa per via telematica utilizzando il modello predisposto dal Garante e osservando le prescrizioni da questi impartite, anche per quanto riguarda le modalità di sottoscrizione con firma digitale e di conferma del ricevimento della notificazione.
Il Garante favorisce la disponibilità del modello per via telematica e la notificazione anche attraverso convenzioni stipulate con soggetti autorizzati in base alla normativa vigente, anche presso associazioni di categoria e ordini professionali.
Una nuova notificazione è richiesta solo anteriormente alla cessazione del trattamento o al mutamento di taluno degli elementi da indicare nella notificazione medesima.
Il Garante può individuare altro idoneo sistema per la notificazione in riferimento a nuove soluzioni tecnologiche previste dalla normativa vigente.
Il titolare del trattamento che non è tenuto alla notificazione al Garante ai sensi dell'art. 37 t.u. fornisce le notizie contenute nel modello di cui al comma II dell'art.38 t.u. a chi ne fa richiesta, salvo che il trattamento riguardi pubblici registri, elenchi, atti o documenti conoscibili da chiunque.
top2

nota3

Tuttavia, ai sensi del II comma dell'art.41 t.u., se una richiesta di autorizzazione riguarda un trattamento autorizzato ai sensi dell'art. 40 t.u., il Garante può provvedere comunque sulla richiesta se le specifiche modalità del trattamento lo giustificano.
L'eventuale richiesta di autorizzazione è formulata utilizzando esclusivamente il modello predisposto e reso disponibile dal Garante e trasmessa a quest'ultimo per via telematica, osservando le modalità di sottoscrizione e conferma del ricevimento di cui all'art. 38, comma II, del t.u.. La medesima richiesta e l'autorizzazione possono essere trasmesse anche mediante telefax o lettera raccomandata.
Se il richiedente è invitato dal Garante a fornire informazioni o ad esibire documenti, il termine di quarantacinque giorni di cui all'art. 26, comma II, t.u., decorre dalla data di scadenza del termine fissato per l'adempimento richiesto.
In presenza di particolari circostanze, il Garante può rilasciare un'autorizzazione provvisoria a tempo determinato.
top3

News collegate

Vedi anche

Chiedi consulenza ai nostri esperti su:

Sicurezza dei dati e dei sistemi (t.u. in materia di privacy)
richiedi un preventivo gratuito

Trovi ulteriori informazioni sulle Consulenze di Wikijus qui

Percorsi argomentali

Aggiungi un commento


Se vuoi aggiornamenti su "Sicurezza dei dati e dei sistemi (t.u. in materia di privacy)"

inserisci la tua e-mail nel box qui sotto