Siete qui: Oggi sulla stampa
Oggi sulla stampa

Privacy: gli studi giocano d’anticipo contro le sanzioni

di Salvatore Tedesco

Professionisti in guardia sugli adempimenti privacy nei confronti della clientela. I controlli annunciati dall'amministrazione finanziaria (si veda l'articolo a lato) e le sanzioni che possono arrivare fino alla revoca dell'abilitazione al canale Entratel (oltre a quelle amministrative e penali previste dal Codice sulla privacy) rilanciano la necessità di un'organizzazione dello studio per il corretto assolvimento degli obblighi previsti in materia. Alla luce del quadro normativo esistente, si pone quindi l'esigenza di assolvere correttamente agli obblighi di acquisizione e trattamento dei dati, facendo anche attenzione alle modalità (cartacee o informatiche) con cui le informazioni vengono gestite.
Gli interventi
Nel corso degli ultimi anni – con l'idea che l'assenza di «complicazione procedurale» sia la prima tutela – garante e legislatore hanno introdotto una serie di semplificazioni per professionisti e imprese, riducendo in misura significativa gli obblighi previsti dal Codice privacy (Dlgs 196/2003).
Il Garante per la protezione dei dati personali è intervenuto con l'autorizzazione n. 4/2008 (valida per 18 mesi e più volte rinnovata) autorizzando i liberi professionisti iscritti in albi o elenchi professionali (in forma individuale o associata) e i propri sostituti, ausiliari, collaboratori, tirocinanti, praticanti, ai trattamenti su dati sensibili di clienti o di terzi nell'espletamento di incarichi a questi consentiti dal proprio ordinamento professionale (per esempio in tema di lavoro, previdenza e assistenza sociale/fiscale) o per valere o difendere un diritto in sede giudiziaria.
La cornice normativa
A livello normativo, la semplificazione ha invece interessato le misure minime di sicurezza. Il Dl 112/2008 ha abrogato l'obbligo di redazione del documento programmatico sulla sicurezza (Dps) per coloro che utilizzano strumenti informatici per la raccolta e il trattamento dei dati, e «trattano soltanto dati personali non sensibili e l'unico dato sensibile è costituito dallo stato di salute o malattia dei propri dipendenti senza indicazione della relativa diagnosi»: in sostituzione, può risultare sufficiente un'autocertificazione.
Possono redigere invece un Dps semplificato i soggetti pubblici o privati che trattano dati personali unicamente per correnti finalità amministrative e contabili, in particolare presso i liberi professionisti, gli artigiani e le piccole e medie imprese.
Il decreto Sviluppo del maggio scorso (Dl 70/2011, convertito dalla legge 106/2011) ha apportato un ulteriore snellimento procedurale, limitando l'ambito di applicazione del Codice ed escludendo in modo specifico i trattamenti dei dati, effettuati in rapporti intercorrenti, esclusivamente per finalità amministrativo-contabili, tra persone giuridiche, imprese, enti o associazioni.
Gli adempimenti
Gli adempimenti privacy che permangono a carico dei professionisti possono essere così riassunti:
– obblighi formali nei confronti del cliente: informativa (articolo 13 del Dlgs 196/2003), richiesta di consenso scritto per il trattamento dei dati, a eccezione di dati necessari per adempiere a un obbligo normativo (articoli 23 e 24), nomina del titolare (professionista), del l'eventuale responsabile e degli incaricati del trattamento (articoli 28, 29, 30);
– obblighi di carattere strutturale e di organizzazione: obblighi attinenti alle misure minime di sicurezza (articoli 33, 34, 35), previste dal Codice stesso e dal disciplinare tecnico (allegato B).
Nel caso di trattamento manuale e cartaceo dei dati – articolo 35 e punti 27-29 dell'allegato B – gli obblighi sono ridotti ai seguenti adempimenti:
eaggiornamento periodico del l'individuazione dell'ambito del trattamento consentito ai singoli incaricati;
rprevisione di procedure per l'idonea custodia di atti e documenti affidati agli incaricati per lo svolgimento dei relativi compiti;
tprevisione di procedure per la conservazione in archivi ad accesso selezionato e disciplina delle modalità di accesso.
Gli strumenti informatici
Nel caso di trattamento effettuato con l'ausilio di strumenti informatici – articolo 34 e punti 1-24 dell'allegato B – ogni tipo di trattamento può essere effettuato solo in seguito alla dotazione di una procedura univoca di autenticazione.
Gli obblighi connessi sono così sintetizzabili:
– adozione di procedure di gestione delle credenziali d'autenticazione;
– utilizzazione di un sistema di autorizzazione;
– aggiornamento periodico del l'individuazionedell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici;
– protezione degli strumenti elettronici e dei dati dai trattamenti illeciti, da accessi non consentiti e dall'azione di virus informatici;
– adozione di procedure per la custodia di copie di sicurezza e ripristino della disponibilità dei dati e dei sistemi.
Tutte le istruzioni devono essere scritte, in modo da poter verificare l'organizzazione interna della struttura, ed è necessario l'aggiornamento, almeno annuale, delle procedure, degli accessi e dei programmi (ma, in caso di dati sensibili, l'aggiornamento deve avere cadenza almeno semestrale).
L'aggiornamento
C'è un altro aspetto da tenere in dovuta cosiderazione. Non basta, infatti, aver soltanto predispostoun'organizzazione adeguata al trattamento e alla corretta gestione dei dati. Lo standard delle misure di sicurezza va costantemente aggiornato nel tempo. Altrimenti, anche in questo caso, gli studi professionali possono incappare in sanzioni. Non aggiornare antivirus e patch dei programmi potrebbe configurare infatti il reato di omissione di controllo delle misure di sicurezza dei sistemi informativi (articolo 169 del Codice privacy). Oltre al danno economico, la perdita di dati o l'accesso non autorizzato sono sanzionabili dagli articoli 15 e 31 per mancata custodia. Infatti chi tratta dati personali altrui e non adotta tutti gli accorgimenti previsti dal progresso tecnico per evitare tali rischi risponderà «come previsto dal l'articolo 2050 del Codice civile se ne deriva danno ai soggetti cui tali dati sono riferiti».

Print Friendly

Condividi su

Potrebbe interessarti anche
Oggi sulla stampa

Quota 100 non è solo la misura pensionistica del governo Conte 1. È anche il numero di miliardi ch...

Oggi sulla stampa

Oggi sulla stampa

Dieci giorni per tener fede agli accordi del 14 luglio. Se entro il 10 ottobre non si chiuderà la p...

Oggi sulla stampa

Oggi sulla stampa

La Bce potrebbe far cadere il suo tabù più grande: consentire all’inflazione di salire temporane...

Oggi sulla stampa