Testo unico delle disposizioni in materia di protezione dei dati personali, D. L.vo 30/06/2003 n. 196

Il Codice entrerà gradualmente in vigore a far data dall’1/01/2004, nel frattempo resterà operante la precedente normativa in materia. Gli interventi che più da vicino interessano le Aziende riguardano aspetti ed adempimenti per lo più già presenti nella precedente normativa che sono stati, però, oggetto di semplificazione e chiarificazione. Per riepilogare gli aspetti più salienti e di più immediato impatto pratico per le Aziende sono quelli riguardanti:
· la ridefinizione delle figure responsabili;
· l’ambito territoriale di applicazione;
· i diritti dell’interessato e gli obblighi di informativa nei suoi confronti;
· l’obbligo del consenso al trattamento con specifici casi di esclusione;
· le particolari garanzie per la utilizzazione di dati sensibili;
· l’adozione delle misure di sicurezza per la protezione dei dati.
A quest’ultimo proposito va evidenziato che sono state ridefinite le cd. “misure di sicurezza”, intese quali obblighi di custodia e controllo dei dati in modo da ridurre i rischi di distruzione e perdita, accesso non autorizzato o trattamento non consentito o non conforme alle finalità della raccolta. Nell’ambito di questi obblighi generali sono state individuate le “misure minime di sicurezza” volte ad assicurare un livello minimo di protezione dei dati personali, penalmente sanzionato, distinto a seconda delle modalità di trattamento (con o senza strumenti elettronici) e dettagliatamente descritto nel disciplinare tecnico allegato al Codice.
L’adozione delle misure minime di sicurezza diverse da quelle disciplinate nella procedente normativa (D.P.R. n.318/99) andrà effettuata entro il 30/06/2004. Qualora ciò non sia possibile per la idoneità degli strumenti elettronici posseduti dal titolare, il termine da adeguamento potrà essere prorogato, previa redazione di un apposito documento giustificativo, all’1/01/2005.
In caso di trattamento di “dati sensibili” – dati personali idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche di altro genere, le opinioni politiche, l’adozione a partiti, sindacati, associazioni ed organizzazioni a carattere religioso, filosofico, politico sindacale, nonché i dati personali idonei a rilevare lo stato di salute e la vita sessuale – presumibilmente presenti in ogni Azienda (si pensi ai dipendenti ed alle relative risultanze attinenti lo stato di salute, l’adesione ad associazioni, sindacati etc…) sarà necessario redigere ed aggiornare entro il 31 marzo di ogni anno il cd. “documento programmatico sulla sicurezza” contenente le informazioni in ordine alle procedure di sicurezza adottate dall’Azienda; ai fini della effettività dell’adempimento e della sua rilevanza è stato, altresì, previsto che l’avvenuta redazione del documento debba essere confermata dai vertici aziendali in sede di relazione accompagnatoria al bilancio, se dovuta.
L’adozione di tali misure minime di sicurezza è di particolare importanza per l’Azienda poiché l’inosservanza, oltre alla responsabilità per gli eventuali danni - che peraltro non è automaticamente esclusa con la sola adozione delle misure minime -, è sanzionata penalmente (arresto sino a due anni o ammenda da diecimila a cinquantamila euro).
Inoltre e più in generale il rispetto delle prescrizioni del Codice, che richiede una preliminare verifica delle procedure adottate dall’Azienda ed il loro tempestivo aggiornamento sotto i vari profili logici, tecnici e fisici, comporta una ottimizzazione dei suoi processi e delle sue risorse costituendo, nel contempo, un patrimonio ulteriore di serietà, fiducia e garanzia nei rapporti con i terzi.