Privacy

(fonte: Garante per la protezione dei dati personali , 2 settembre 2008)
L’Autorità - con alcuni provvedimenti di cui è stato relatore Mauro Paissan - ha vietato ad alcune società specializzate nella creazione e nella vendita di banche dati (Ammiro Partners, Consodata e Telextra), l’ulteriore trattamento di dati personali di milioni di utenti. I dati, nello specifico numeri telefonici, erano stati raccolti e utilizzati illecitamente, senza cioè aver informato gli interessati e senza che questi avessero fornito uno specifico consenso alla cessione delle loro informazioni personali ad altre società.
Il divieto è scattato anche per altre aziende, come Wind, Fastweb, Tiscali e Sky, che hanno acquistato da queste società i data base allo scopo di poter contattare gli utenti e promuovere i loro prodotti e servizi tramite call center.

Il 16 luglio 2008 l'Autorità Garante per la protezione dei dati personali (composta da Francesco Pizzetti, Giuseppe Chiaravalloti, Mauro Paissan, Giuseppe Fortunato) ha presentato la "Relazione sull'attività svolta nel 2007”. Sul sito del Garante sono disponibili:

• il Discorso del Presidente Francesco Pizzetti - Relazione 2007 - 16 luglio 2008 (pdf, 100 K, 25 pp)
• l’intera "Relazione 2007 - Garanzie e sicurezza nel trattamento dei dati: l'attività dell'Autorità - 16 luglio 2008"  (pdf, 2.6 MK, 469 pp)

I temi indicati come prioritari da Pizzetti nel suo discorso sono stati: la semplificazione delle procedure e la riduzione dei costi; la trasparenza dell'azione amministrativa e la conoscibilità dei fenomeni che interessano l'opinione pubblica; la sicurezza delle comunità; la garanzia di un uso attento e di una tutela efficiente dei dati personali raccolti e utilizzati a fini di giustizia; la difesa dei diritti e del nostro modo di vivere di fronte ai mutamenti indotti dalle tecnologie.
Di seguito una sintesi tratta dal discorso di Pizzetti.

Il Garante per la protezione dei dati personali, attraverso la newsletter n. 310 del 12 luglio 2008, ribadisce il divieto di invio di fax ed email promozionali senza consenso. La newsletter affronta tre argomenti

1. Trasfusioni più sicure con le impronte digitali
2. Sistemi di localizzazione e sicurezza dei passeggeri: sì, ma con precise garanzie
3. No a mail e fax indesiderati

Per quanto riguarda le email ed i fax di seguito il testo della newsletter. Per le altre due notizie si rimanda alla newsletter del Garante.

Questa è la seconda di una serie di "guide", scritte in linguaggio semplice e chiaro e con finalità pratiche, relative agli adempimenti "privacy" in azienda. La prima guida ha riguardato la "videosorveglianza e registrazione d’immagini". Questa seconda guida è dedicata al diritto d’accesso.

Diritti

Il "Codice in materia di protezione dei dati personali" prevede all'art. 7 che chiunque possa conoscere se i propri dati personali sono trattati da una qualsiasi azienda, PA, ente, associazione, o altro (cioè da un qualsiasi titolare di trattamento). Se il titolare effettivamente tratta i suoi dati personali, l’interessato, cioè la persona cui tali dati si riferiscono, ha il diritto di:

• sapere come i propri dati sono stati ottenuti dal titolare, chi all’interno dell’organizzazione del titolare tratta in pratica tali dati, quali sono le finalità dei trattamenti effettuati;
• ottenere la rettifica dei propri dati personali se questi non sono aggiornati o completi;
• opporsi al trattamento dei propri dati personali (se ciò non è in contrasto con eventuali altri obblighi contrattuali o di legge); l’opposizione è sempre valida se le finalità del trattamento sono l’invio di materiale pubblicitario o di vendita diretta o ricerche di mercato o comunicazione commerciale.
  

Recentemente ENISA, l'agenzia europea per la sicurezza delle reti, ha annunciato un gruppo di lavoro sulle micro imprese.  Ne parliamo con  Claudio Telmon, consulente nel campo della sicurezza ICT, membro del Comitato Direttivo di CLUSIT (Associazione Italiana per la Sicurezza Informatica), socio fondatore e membro del Comitato Direttivo di AIPSI (Associazione Italiana Professionisti della Sicurezza Informatica),  che partecipa per l'Italia al gruppo di lavoro ENISA.

Panfilo Marcelli (PM): Grazie Claudio per la collaborazione. Cos'è il gruppo di lavoro di ENISA sulle micro-imprese?

Claudio Telmon (CT): Il gruppo di lavoro è stato istituito da ENISA allo scopo di analizzare le esigenze delle micro imprese riguardo alla sicurezza delle informazioni. Secondo la definizione fornita dalla Commissione Europea, le micro imprese sono le imprese che impiegano non più di 10 persone e/o hanno un fatturato non superiore ai due milioni di euro. Si tratta quindi di una categoria di imprese spesso trascurata sia dalle analisi che dal mercato, se non in termini di alcuni prodotti da scaffale.
Il gruppo è costituito da esperti provenienti da diversi paesi e da diverse tipologie di organizzazioni. In particolare, il gruppo di lavoro ha lo scopo di analizzare le iniziative attivate nei paesi dell'Unione Europea per individuare best practice a sostegno dello sviluppo della sicurezza delle informazioni. Deve poi analizzare le esigenze e le aspettative delle diverse parti interessate.
Infine il gruppo di lavoro fornirà ad ENISA delle raccomandazioni su come contribuire a superare i problemi individuati nell'area della sicurezza delle informazioni per le micro imprese.

Come già annunciato  dal Garante per la Protezione dei dati personali, il governo mediante il Decreto Legge 25 giugno 2008 n.112 "Disposizioni urgenti per lo sviluppo economico, la semplificazione, la competitività, la stabilizzazione della finanza pubblica e la perequazione tributaria" (in Gazzetta Ufficiale n.147 del 25 giugno 2008) ha abrogato l’obbligo della redazione del Documento Programmatico sulla sicurezza (DPS) per tutte le aziende che non trattano dati sensibili o che trattano solo dati sensibili inerenti salute e malattia dei propri dipendenti, senza indicazione della diagnosi. Semplificazione anche per la notificazione dei trattamenti. Di seguito il testo dell’articolo 29  del decreto legge che riguarda la privacy.

Il 19 giugno 2008 il Garante per la protezione dei dati personali ha deciso una serie di significative semplificazioni  degli adempimenti per l'intero settore pubblico e privato ed in particolare nei riguardi di piccole e medie imprese, liberi professionisti e artigiani. In sintesi le semplificazioni riguardano:

• informativa
• consenso
• designazione degli incaricati
• comunicazioni pubblicitarie
• notificazione dei trattamenti.

Il Garante inoltre dà avviso di aver segnalato al governo l'opportunità di apportare una modifica al Codice per la protezione dei dati personali con riferimento alla disciplina delle misure minime di sicurezza e al documento programmatico per meglio rispondere "alle attività che, specie presso piccole e medie imprese, liberi professionisti e artigiani, vengono svolte in relazione ad attività di corrente gestione amministrativa e contabile."

Questa è la prima di una serie di "guide", scritte in linguaggio semplice e chiaro e con finalità pratiche, relative agli adempimenti "privacy" in azienda. Cominciamo con la videosorveglianza: Quali sono le regole da seguire per essere conformi alle norme di legge e non incorrere nelle sanzioni del Garante per la protezione dei dati personali?

Premessa

Le norme sulla privacy non vietano l’installazione di sistemi di videosorveglianza e di registrazioni di immagini ma richiedono che tali sistemi siano conformi al "Codice in materia di protezione dei dati personali"  e rispettino, in generale, la privacy dei cittadini. Ciò significa che occorre sempre rispettare questi tre principi:

1. L’installazione di telecamere è lecita solo quando altre misure di sicurezza siano ritenute insufficienti o inattuabili.
2. L’eventuale registrazione e conservazione delle immagini deve essere limitata nel tempo.
3. I cittadini devono sapere sempre e comunque se un’area è sottoposta a videosorveglianza.

Dopo i recenti articoli dedicati agli adempimenti Privacy e al DPS - Documento Programmatico sulla Sicurezza nella piccola e media impresa (vedi: "La privacy nella piccola e media impresa: parte prima: il quadro di riferimento, parte seconda: analisi dei rischi e misure di sicurezza, parte terza: la formazione") ho pensato di redigere un vero e proprio DPS che possa servire da modello. Si tratta, ovviamente, di un DPS fittizio relativo ad un’azienda di fantasia, la Arcobaleni196 srl (i cui dirigenti ed impiegati hanno tutti cognomi "colorati"…) ma verosimile che nasce dalle esperienze professionali da me condotte presso le PMI. In allegato al DPS sono inoltre forniti esempi di modulistica (informativa, consenso, istruzioni, lettere di nomime).

Questo è il terzo (ed ultimo!) di una serie di articoli dedicati agli adempimenti richiesti dalle norme italiane in ambito privacy per le piccole e medie imprese (PMI). L'intera serie si compone di :

1. quadro di riferimento 
2. analisi dei rischi e misure di sicurezza
3. la formazione (questo articolo).

Buona lettura!