Verso l’esterno, verso l’interno e verso il Garante
Tutti i soggetti (imprese, associazioni, professionisti, studi associati, onlus) che, in qualità di Titolari del trattamento, direttamente o attraverso collaborazioni esterne, effettuano trattamento di dati personali di terzi, sono tenuti al rispetto di alcuni adempimenti privacy, tali adempimenti sono sintetizzabili in tre macro categorie: obblighi nei confronti di terzi; obblighi interni; obblighi nei confronti del Garante Privacy.
Alla prima area appartengono gli obblighi di: informazione nei confronti di tutti i soggetti terzi dei quali il Titolare tratta dati personali; raccolta del relativo consenso, ove necessario; garantire all’interessato l’effettivo esercizio dei diritti espressamente riconosciutigli dal Codice.
Il primo punto si traduce concretamente nella necessità che i soggetti dei quali si raccolgono dati personali ricevano preventivamente (in forma orale o per iscritto) una serie di informazioni definite in dettaglio dall’art. 13 del Codice. Tali informazioni attengono a: le finalità del trattamento (ad es. i dati sono trattati per esigenze di contabilità a seguito della fornitura di beni o servizi), le modalità (con supporto cartaceo o con modalità elettroniche/telematiche), la natura obbligatoria o facoltativa del conferimento dei dati, le conseguenze di un eventuale rifiuto di fornire i dati, i soggetti o le categorie di soggetti (debitamente nominati ai fini privacy) ai quali i dati possono essere comunicati o che possono venirne a conoscenza, i diritti riconosciutigli dal Codice, gli estremi identificativi del Titolare e, se nominato/i, del/i Responsabile/i.
Per quanto concerne il consenso, il Codice richiede in linea di principio (salvo prevedere alcune eccezioni) che il trattamento di dati personali sia ammesso solo con il consenso espresso dell’interessato, manifestato liberamente e specificamente in riferimento ad un trattamento chiaramente individuato, documentato per iscritto e, solo per i dati sensibili, manifestato per iscritto.
Le deroghe all’obbligatorietà del consenso sono tassativamente previste dal Codice, tra quelle più significative e fruibili per i nostri lettori, segnaliamo che il consenso non è richiesto quando il trattamento: è necessario per adempiere ad un obbligo di legge, regolamento o normativa comunitaria; è necessario per eseguire obblighi derivanti da un contratto del quale è parte l’interessato o per adempiere, prima della conclusione del contratto, a specifiche richieste dell’interessato; riguarda dati provenienti da documenti (ad es. elenchi, pubblici registri) conoscibili da chiunque; è necessario per la salvaguardia della vita o dell’incolumità fisica di un terzo; è necessario per lo svolgimento di investigazioni difensive o per far valere o difendere un diritto in sede giudiziaria; è necessario per esclusivi scopi scientifici, statistici o storici.
Infine il Titolare è tenuto a garantire all’interessato l’effettivo esercizio dei diritti previsti dall’art. 7 del Codice (ad es. il diritto di ottenere l’indicazione dell’origine dei dati personali, l’aggiornamento, la rettificazione, la cancellazione o il blocco dei dati trattati in violazione di legge) agevolando l’accesso ai dati, semplificando le modalità di esercizio e riducendo i tempi per il riscontro al richiedente. A tal proposito si segnala che il Garante Privacy ha reso disponibile sul proprio sito un modello per l’esercizio dei diritti di cui all’art. 7 del Codice.
Gli obblighi interni per tutti i Titolari di trattamento sono sintetizzabili come segue: formazione per tutti i soggetti nominati incaricati del trattamento dei dati personali; adozione delle misure (idonee e minime) di sicurezza rispetto delle regole generali per il trattamento dei dati.
In merito al primo punto occorre premettere che le operazioni di trattamento possono essere effettuate solo da soggetti specificamente incaricati (per iscritto) che operano in conformità alle istruzioni ricevute dal Titolare o dal Responsabile, se nominato. La designazione degli incaricati individua puntualmente l’ambito del trattamento consentito. ciò si aggiunge la necessità che gli incaricati ricevano (al momento dell’ingresso in servizio o in occasione di un cambio di mansione o dell’introduzione di strumenti rilevanti rispetto al trattamento di dati personali) una specifica formazione.
L’obiettivo è quello di rendere consapevoli gli incaricati degli aspetti più rilevanti della disciplina sulla protezione dei dati personali e delle responsabilità che ne derivano, dei rischi che incombono sui dati e delle misure disponibili per prevenire eventi dannosi.
A tali adempimenti, per i Titolari che trattano dati sensibili e giudiziari con l’ausilio di strumenti elettronici, si aggiunge la redazione del Documento Programmatico sulla Sicurezza (Dps, art. 34 del Codice e Allegato B – disciplinare tecnico in materia di misure minime di sicurezza), la cui scadenza è stata recentemente prorogata al 31 marzo 2006.
Tale slittamento è stato accolto con favore in particolare dalle piccole imprese in quanto il Dps rappresenta un documento di complessa ed articolata redazione proprio per le realtà professionali e produttive più piccole.
All’obbligo della redazione del Dps, per i Titolari che ne presentano i requisiti, si aggiunge quello di dar conto degli adempimenti sulla sicurezza nella relazione accompagnatoria del bilancio di esercizio. L’obiettivo è quello di rendere meglio edotti e responsabilizzare gli organi di vertice del Titolare in materia di sicurezza.
L’obbligo per definizione nei confronti del Garante è rappresentato dalla notificazione. Da un principio di generale ed indiscriminato obbligo di notificazione al Garante legato alla precedente disciplina (L. 675/1996), a carico di tutti i Titolari che effettuavano trattamento di dati personali, con l’entrata in vigore del nuovo Codice (1° gennaio 2004) l’obbligatorietà della notifica scatta solo se il trattamento riguarda particolari tipologie di dati, specificamente dettagliate dal Codice (art. 37). La notificazione è preventiva e va effettuata una sola volta per via telematica.
