Il Codice entrerà gradualmente in vigore a far data dall1/01/2004, nel frattempo resterà operante la precedente normativa in materia. Gli interventi che più da vicino interessano le Aziende riguardano aspetti ed adempimenti per lo più già presenti nella precedente normativa che sono stati, però, oggetto di semplificazione e chiarificazione.
Per riepilogare gli aspetti più salienti e di più immediato impatto pratico per le Aziende sono quelli riguardanti:
· la ridefinizione delle figure responsabili;
· lambito territoriale di applicazione;
· i diritti dellinteressato e gli obblighi di informativa nei suoi confronti;
· lobbligo del consenso al trattamento con specifici casi di esclusione;
· le particolari garanzie per la utilizzazione di dati sensibili;
· ladozione delle misure di sicurezza per la protezione dei dati.
A questultimo proposito va evidenziato che sono state ridefinite le cd. misure di sicurezza, intese quali obblighi di custodia e controllo dei dati in modo da ridurre i rischi di distruzione e perdita, accesso non autorizzato o trattamento non consentito o non conforme alle finalità della raccolta.
Nellambito di questi obblighi generali sono state individuate le misure minime di sicurezza volte ad assicurare un livello minimo di protezione dei dati personali, penalmente sanzionato, distinto a seconda delle modalità di trattamento (con o senza strumenti elettronici) e dettagliatamente descritto nel disciplinare tecnico allegato al Codice.
Ladozione delle misure minime di sicurezza diverse da quelle disciplinate nella procedente normativa (D.P.R. n.318/99) andrà effettuata entro il 30/06/2004.
Qualora ciò non sia possibile per la idoneità degli strumenti elettronici posseduti dal titolare, il termine da adeguamento potrà essere prorogato, previa redazione di un apposito documento giustificativo, all1/01/2005.
In caso di trattamento di dati sensibili dati personali idonei a rivelare lorigine razziale ed etnica, le convinzioni religiose, filosofiche di altro genere, le opinioni politiche, ladozione a partiti, sindacati, associazioni ed organizzazioni a carattere religioso, filosofico, politico sindacale, nonché i dati personali idonei a rilevare lo stato di salute e la vita sessuale presumibilmente presenti in ogni Azienda (si pensi ai dipendenti ed alle relative risultanze attinenti lo stato di salute, ladesione ad associazioni, sindacati etc
) sarà necessario redigere ed aggiornare entro il 31 marzo di ogni anno il cd. documento programmatico sulla sicurezza contenente le informazioni in ordine alle procedure di sicurezza adottate dallAzienda; ai fini della effettività delladempimento e della sua rilevanza è stato, altresì, previsto che lavvenuta redazione del documento debba essere confermata dai vertici aziendali in sede di relazione accompagnatoria al bilancio, se dovuta.
Ladozione di tali misure minime di sicurezza è di particolare importanza per lAzienda poiché linosservanza, oltre alla responsabilità per gli eventuali danni - che peraltro non è automaticamente esclusa con la sola adozione delle misure minime -, è sanzionata penalmente (arresto sino a due anni o ammenda da diecimila a cinquantamila euro).
Inoltre e più in generale il rispetto delle prescrizioni del Codice, che richiede una preliminare verifica delle procedure adottate dallAzienda ed il loro tempestivo aggiornamento sotto i vari profili logici, tecnici e fisici, comporta una ottimizzazione dei suoi processi e delle sue risorse costituendo, nel contempo, un patrimonio ulteriore di serietà, fiducia e garanzia nei rapporti con i terzi.