La privacy nella piccola e media impresa – parte prima: il quadro di riferimento

Questo è il primo di una serie di articoli dedicati agli adempimenti richiesti dalle norme italiane in ambito privacy per le piccole e medie imprese (PMI). L'intera serie si compone di tre parti:

  1. quadro di riferimento (questo articolo)
  2. analisi dei rischi e misure di sicurezza
  3. la formazione.

Si parte!

Privacy - Guida pratica e misure di semplificazione per le piccole e medie imprese

Va subito detto che le norme italiane in ambito privacy (Codice e successivi provvedimenti del Garante) non prevedono un quadro normativo diverso per le PMI rispetto alla grande impresa o alla PA. Nel giugno 2007, tuttavia, in reazione al tentativo di alcune forze politiche di esimere le PMI dall'adozione delle misure minime di sicurezza, il Garante per la protezione dei dati personali ha pubblicato una "Guida pratica e misure di semplificazione per le piccole e medie imprese", disponibile in versione html e in versione pdf (649 K, 20 pp). Tale guida sarà la fonte principale del presente articolo insieme alla "Guida operativa per redigere il Documento programmatico sulla sicurezza" pdf (232 K, 17 pp), pubblicata nel marzo 2004 sempre dal Garante.

Il Garante ammette che nelle realtà produttive di piccole dimensioni, alcuni adempimenti contenuti nella disciplina di protezione dei dati personali vengono reputati talvolta onerosi. Tuttavia adottare il corretto livello di protezione dei dati personali e della riservatezza può in verità rappresentare una risorsa per l’impresa, rendendone più efficiente l’attività in modo da incrementare la fiducia di consumatori e utenti. La guida intende fornire a chi opera nella realtà delle medie e piccole imprese uno strumento utile per curare gli adempimenti derivanti dalla normativa vigente, indicando le soluzioni semplificate a disposizione e comprende anche una check list per una verifica finale sugli adempimenti effettuati. I contenuti della guida sono:

  • I soggetti che effettuano il trattamento
  • La notificazione del trattamento
  • L’informativa
  • Il consenso dell’interessato
  • La sicurezza dei dati
  • Il trasferimento dei dati in paesi terzi
  • I doveri del titolare del trattamento in caso di esercizio dei diritti degli interessati ai sensi dell’art. 7 del Codice
  • Check list

Vediamo in particolare i contenuti più importanti.

I soggetti che effettuano il trattamento

Gli obblighi in materia di Privacy sono a carico del "titolare del trattamento" cioè di norma la persona fisica (si pensi all’imprenditore individuale) o giuridica (ad esempio, la società) che tratta i dati personali (con la raccolta, la registrazione, la comunicazione o la diffusione).

Il "responsabile del trattamento" (ma possono essere più d’uno) è una figura che può essere designata a propria discrezione dal titolare del trattamento con un atto scritto nel quale vanno indicati i compiti affidati. Occorre scegliere persone fisiche od organismi che per esperienza, capacità ed affidabilità, forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza (art. 29 del Codice). La nomina del responsabile è utile o in presenza di imprese con organizzazione articolata (ad es., possono essere designati responsabili del trattamento i dirigenti di funzioni aziendali, quali quelle del personale o del settore marketing) o rispetto a soggetti esterni all’impresa, per svariate forme di outsourcing che comportino un trattamento di dati personali (ad es., per i centri di elaborazione dati contabili, per i servizi di postalizzazione, per le società di recupero crediti, etc.)

Gli "incaricati del trattamento" sono soggetti (solo persone fisiche) che effettuano materialmente le operazioni di trattamento dei dati personali e operano sotto la diretta autorità del titolare (o del responsabile) attenendosi a istruzioni scritte (art. 30 del Codice); in pratica sono i dipendenti o collaboratori dell'azienda. Il "titolare del trattamento" è tenuto a designarli cioè a nominarli per iscritto incaricati specificando quali dati può trattare. In pratica è sufficiente "assegnare un dipendente ad una unità organizzativa, a condizione che risultino per iscritto le categorie di dati cui può avere accesso e gli ambiti del trattamento. Così, in un’azienda nella quale ad una unità organizzativa sono stati assegnati un determinato numero di dipendenti, si potrà ovviare ad una formale designazione (ad esempio, mediante consegna di apposita comunicazione scritta), qualora si individuino gli ambiti di competenza (in ordine ai trattamenti di dati consentiti) di quella unità mediante una previsione scritta (ad es. nell’organigramma, nel contratto, nei mansionari, ecc.) e risulti inoltre che tali dipendenti sono stati assegnati stabilmente a tale unità".

La notificazione del trattamento

Questo è un adempimento che al 99% non riguarda le PMI. Come è noto la notificazione è una dichiarazione fatta via Internet con la quale il titolare comunica al Garante di effettuare trattamenti di dati  facenti parte di una delle sette categorie considerate "a rischio":

  • dati relativi al rischio sulla solvibilità economica, alla situazione patrimoniale, al corretto adempimento di obbligazioni, a comportamenti illeciti o fraudolenti; come esclusi i dati relativi agli
    inadempimenti dei propri clienti tenuti da ciascuna impresa
  • dati genetici o biometrici
  • dati volti a definire il profilo o la personalità dell'interessato, o ad analizzare abitudini o scelte di consumo (c.d. profilazione)
  • dati sensibili registrati in banche di dati a fini di selezione del personale per conto terzi (non, quindi, quelli trattati direttamente dall’imprenditore)
  • dati sensibili utilizzati per sondaggi di opinione, ricerche di mercato e altre ricerche campionarie.

L’informativa

Il titolare deve informare coloro di cui tratta i dati di quanto segue:

  • finalità e modalità del trattamento;
  • natura obbligatoria o facoltativa del conferimento dei dati e conseguenze di un eventuale rifiuto di rispondere;
  • soggetti o categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza;
  • diritti riconosciuti all’interessato dall'articolo 7 del Codice;
  • estremi identificativi del titolare e, se designato, del responsabile del trattamento.

Se taluno di questi elementi è già noto all’interessato, non è necessario farlo presente nuovamente. In caso di dati raccolti presso l’interessato, l’informativa deve essere resa, anche in forma orale, prima delle operazioni del trattamento. Nel rapporto con fornitori, clienti, dipendenti e collaboratori non è necessario ripeterla in occasione di ogni contatto: è sufficiente fornirla con una formula generale una tantum, all’inizio delle operazioni di trattamento (che potranno anche protrarsi nel tempo). È possibile fornire l’informativa anche oralmente, in modo sintetico e colloquiale, senza includere elementi già noti all’interessato (art. 13 comma 2, del Codice). Si può utilizzare anche uno spazio all’interno dell’ordinario materiale cartaceo e della corrispondenza

Il consenso dell’interessato

Nella maggior parte dei trattamenti effettuati nelle PMI per clientela e fornitori non è necessario avere il consenso della persona o ente a cui si riferiscono i dati (ma attenzione l'informativa va invece sempre data almeno una volta). Infatti il consenso non è richiesto nei seguenti casi

  • i dati vengono trattati nell’esecuzione di un contratto o in fase pre-contrattuale (art. 24, comma 1, lett. b), del Codice);
  • il trattamento viene posto in essere per dare esecuzione a un obbligo legale (art. 24, comma 1, lett. a) del Codice);
  • i dati provengono da registri ed elenchi pubblici (art. 24, comma 1, lett. c), del Codice);
  • i dati sono relativi allo svolgimento di attività economiche da parte dell’interessato (art. 24, comma 1, lett. d), del Codice).

Viceversa nel trattamento di dati "sensibili" di collaboratori e dipendenti (ad esempio per gli adempimenti amministrativi, busta paga, gestione malattie, ecc.) serve il consenso dell'interessato. Il conssenso, quando è necessario, deve essere dato per iscritto.

La sicurezza dei dati

Il titolare deve adottare le misure di sicurezza idonee per i trattamenti di dati che effettua. Tra queste misure alcune sono considerate "minime".

 Misure minime

Trattamenti effettuati con strumenti elettronici:

Esse comprendono un

  • sistema di autenticazione informatica con credenziali di autenticazione (cioè, un codice per l'identificazione dell'incaricato associato a una parola chiave)
  • programmi per elaboratore volti a prevenirne la vulnerabilità (ad esempio, antivirus)
  • procedure per realizzare il salvataggio periodico dei dati (c.d. Procedure di back up)
  • la redazione di un Documento Programmatico sulla Sicurezza (DPS) in caso di trattamento di dati sensibili.

Trattamenti effettuati senza l'ausilio di strumenti elettronici:

  • istruzioni scritte finalizzate al controllo ed alla custodia dei dati impartite agli incaricati
  • l’uso di contenitori o locali con idonea serratura per custodire i dati personali.

Documento Programmatico sulla Sicurezza (DPS)

Per la redazione del DPS in una PMI si può utilizzare il facsimile predisposto dal Garante nella "Guida operativa per redigere il Documento programmatico sulla sicurezza" pdf (232 K, 17 pp), pubblicata nel marzo 2004. Il DPS deve contenere, al minimo (regola 19 dell’allegato B, "Disciplinare tecnico in materia di misure minime di sicurezza", del D. Lgs. n.196):  

  • l'elenco dei trattamenti di dati personali;
  • la distribuzione dei compiti e delle responsabilità nell'ambito delle strutture preposte al trattamento dei dati;
  • l'analisi dei rischi che incombono sui dati;
  • le misure da adottare per garantire l'integrità e la disponibilità dei dati, nonché la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità;
  • la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento (...);
  • la previsione di interventi formativi degli incaricati del trattamento (...);
  • la descrizione dei criteri da adottare per garantire l'adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformità al codice, all'esterno della struttura del titolare.

Sulle problematiche relative alla redazione del DPS può essere utile la lettura di questi altri miei articoli:

  • Privacy: 10 errori da evitare nella redazione o aggiornamento del DPS (prima e seconda parte)
  • Privacy e Compliance: di cosa occorre tenere conto nell'aggiornamento del DPS,
  • Privacy: le novità normative di cui tener conto nel DPS
  • Il trasferimento dei dati in paesi terzi

    Nello svolgimento dell’attività di impresa può risultare necessario trasferire dati personali fuori dall'Italia.
    Per il trasferimento di dati personali in paesi situati all’interno dell’Ue non sussistono ulteriori obblighi in quanto, in ossequio alla direttiva 95/46/Ce, tutte le nazioni dell'Unione hanno specifiche normative in materia di protezione dei dati personali che sono tra loro simili. In pratica la conformità alla norma italiana assicura la conformità a livello UE (art. 42 del Codice).

    Per il trasferimento di dati personali in paesi situati fuori dall'Unione europea il Codice prevede specifiche regole, tra cui il consenso dell'interessato espresso, se si tratta di dati sensibili, in forma scritta; il trasferimento è però possibile se:

    è necessario per eseguire obblighi derivanti da un contratto del quale è parte l'interessato o per adempiere, prima della conclusione del contratto, a specifiche richieste dell'interessato, ovvero per la conclusione o per l'esecuzione di un contratto stipulato a favore dell'interessato;
    è necessario per la salvaguardia di un interesse pubblico rilevante individuato con legge o con regolamento;
    è necessario ai fini dello svolgimento delle investigazioni difensive (legge 7 dicembre 2000, n. 397), o, comunque, per far valere o difendere un diritto in sede giudiziaria;
    il trattamento concerne dati riguardanti persone giuridiche, enti o associazioni.

    I doveri del titolare del trattamento in caso di esercizio dei diritti degli interessati ai sensi dell’art. 7 del Codice

    La disciplina di protezione dei dati personali attribuisce a ciascun interessato il diritto di accedere ai dati personali a sé riferiti e di esercitare gli altri diritti previsti dall’art. 7 del Codice 14 ed il titolare
    del trattamento (o il responsabile) deve fornire riscontro (di regola) entro quindici giorni dal ricevimento dell’istanza (art. 146 del Codice). In caso di omesso o incompleto riscontro, i predetti diritti possono essere fatti valere dinanzi all'autorità giudiziaria o con ricorso al
    Garante (art. 145 del Codice).

    Check list

    Quesito

    No

    1. I soggetti che effettuano il trattamento

     

     

    È stata effettuata una valutazione circa le operazioni di trattamento di dati personali, anche sensibili, effettuate dall'impresa?

     

     

    I dati trattati sono pertinenti e non eccedenti rispetto alle legittime finalità del trattamento, oltre che esatti e aggiornati?

     

     

    Le persone fisiche che all'interno dell'impresa trattano dati personali sono state designate tutte quali "incaricate del trattamento"?

     

     

    Sono state fornite a tutti gli "incaricati del trattamento" istruzioni scritte circa i propri compiti?

     

     

    Se all'interno dell'impresa sono stati individuati soggetti che hanno ambiti di autonomia nel trattamento dei dati personali, sono stati designati per iscritto "responsabili del trattamento"?

     

     

    Se fuori dell'impresa enti o persone fisiche trattano dati personali nel suo interesse, obbligati a seguirne le istruzioni (come accade per i casi di outsourcing), sono stati designati per iscritto quali "responsabili del trattamento"?

     

     

    2. La notificazione del trattamento

     

     

    Si è verificato, prima di intraprendere operazioni di trattamento, se l'impresa effettua i trattamenti da notificare al Garante?

     

     

    Se sono intervenute modificazioni relativamente ai trattamenti già eventualmente notificati, è stato curato il loro aggiornamento in una nuova notificazione?

     

     

    Se cessano i trattamenti, ciò ha formato oggetto di specifica notificazione?

     

     

    3. L'informativa

     

     

    È stata fornita l'informativa agli interessati in caso di dati raccolti presso di essi?

     

     

    È stata fornita l'informativa agli interessati in caso di dati raccolti presso soggetti diversi dagli interessati stessi?

     

     

    4. Il consenso dell'interessato

     

     

    Il trattamento dei dati personali viene effettuato in presenza di uno dei presupposti di liceità indicati all'art. 24 del Codice?

     

     

    Se non ricorre uno dei presupposti di liceità indicati all'art. 24 del Codice, è stato raccolto il consenso dell'interessato?

     

     

    Se sono trattati dati sensibili è stato raccolto il consenso scritto degli interessati?

     

     

    Se sono trattati dati sensibili, è stato verificato se il trattamento rientra tra quelli già autorizzati dal Garante con le autorizzazioni generali?

     

     

    Se il trattamento di dati sensibili non rientra tra quelli previsti dalle autorizzazioni generali, è stata richiesta al Garante un'autorizzazione ad hoc?

     

     

    5. La sicurezza dei dati

     

     

    Sono state adottate idonee misure di sicurezza per proteggere i dati personali?

     

     

    Sono state adottate le misure minime di sicurezza previste per proteggere i dati personali?

     

     

    Se sono trattati dati sensibili e giudiziari, è stato redatto, quando è necessario, il documento programmatico per la sicurezza e ne vengono osservate le previsioni?

     

     

    Periodicamente, e comunque entro il 31 marzo di ciascun anno, formano oggetto di rinnovata valutazione le misure di sicurezza individuate con il documento programmatico per la sicurezza?

     

     

    6. Il trasferimento dei dati in paesi terzi

     

     

    Se i dati personali trattati dall'impresa sono soggetti a trasferimento verso Paesi terzi (esterni all'Unione europea e all'area economica europea), il trasferimento avviene:

     

     

    • in presenza di una delle condizioni previste dall'art. 43 del Codice? oppure

     

     

    • verso uno dei paesi che assicurano un livello adeguato di protezione (Svizzera, Argentina, Isola di Man, Baliato di Guernsey)? oppure

     

     

    • verso un'impresa statunitense che aderisce al Safe Harbor? oppure

     

     

    • in presenza di clausole contrattuali standard tra esportatore e importatore? oppure

     

     

    • in presenza di un'autorizzazione ad hoc da parte del Garante?

     

     

    7. I doveri del titolare del trattamento in caso di esercizio dei diritti degli interessati ai sensi dell'art. 7 del Codice

     

     

    In presenza dell'esercizio del diritto d'accesso, viene dato riscontro all'interessato secondo le modalità previste dalla legge?

     

     

    Leggi la seconda parte: analisi dei rischi e misure di sicurezza  

    Link

    Chi è Panfilo Marcelli?

    Panfilo Marcelli si occupa di compliance, privacy e sicurezza da oltre vent'anni. Ha lavorato pre primarie aziende nazionali con ruoli direttivi. Email: p.marcelli@mclink.it

    Altri articoli di Panfilo Marcelli

    ComplianceNet: