Provvedimenti a favore delle piccole e medie imprese: un vademecum
su misura per affrontare gli adempimenti previsti dal D. Lgs. n.
196/2003.
Sulla Gazzetta Ufficiale dello scorso 21 giugno, infatti, è stata
pubblicata la deliberazione 24 maggio 2007 del Garante per la
protezione dei dati personali che ha adottato il documento dello
scorso 24 maggio “Guida pratica e misure di semplificazione per le
piccole e medie imprese”.
In sette capitoli il Garante ha messo a punto un vademecum per
aiutare gli imprenditori nell’applicazione della mormativa sulla
riservatezza, unitamente ad un’apposita check-list per verificare
lo stato in essere rispetto alla norma.
Il fine di questa guida, ovviamente, è quello di mettere nelle
condizioni le aziende di acquistare fiducia nei confronti di un
adempimento che, ancora oggi, viene visto esclusivamente come un
“costo a perdere”.
“Abc” della privacy, dunque, a favore di chi riesce a fatica a
comprendere una norma così complessa.
Nell’attesa che il disegno di legge sulle liberalizzazioni per i
consumatori già approvato alla Camera passi al Senato, però, tutte
le aziende (comprese quelle con un numero di dipendenti inferiore a
15) dovranno fare i conti con misure minime di sicurezza e
documento programmatico sulla sicurezza.
1. Soggetti che effettuano il trattamento. Il titolare del
trattamento può essere sia una persona fisica che, nel caso di
società, una persona giuridica.Il responsabile del trattamento,
invece, deve essere appositamente designato dal titolare del
trattamento e può essere interno o esterno all’azienda stessa.
Tutti i dipendenti, poi, vengono designati come incaricati del
trattamento e, attraverso un organigramma delle mansioni, viene
affidato ad ognuno compiti e responsabilità.
2. Notificazione del trattamento. Secondo quanto indicato
nella guida, i trattamenti ordinari svolti nelle piccole realtà
produttive (ad esempio dati relativi ai dipendenti, ai fornitori o
alla clientela) non vanno notificati. Si fa espresso riferimento,
poi, all’articolo 37 del D.Lgs. n. 196/2003 per quanto concerne i
trattamenti che vanno appositamente notificati.
3. Informativa. L’informativa, secondo quanto stabilito
dall’articolo 13 del D.Lgs. n. 196/2003, non va ripetuta ad ogni
contatto: è sufficiente fornirla una tantum, all’inizio del
rapporto. E’ opportuno, poi, utilizzare apposite diciture
all’interno del materiale ad uso ordinario. Attenzione, comunque,
alla verifica delle categorie di trattamento per le quali, invece,
potrebbe esserci una formula differente.
4. Consenso dell’interessato. In molte situazioni ordinarie
non è necessario il consenso dell’interessato. Si pensi, ad
esempio, ai dati prelevati da pubblici elenchi.
5. Misure di sicurezza. Secondo quanto indicato nella guida,
il DPS (documento programmatico sulla sicurezza) va effettuato
soltanto nel caso di trattamento di dati sensibili e giudiziari
attraverso sistemi informatici. E’ opportuno, però, che
l’estensione si faccia anche ad altra tipologie di dati, per essere
certi di non incorrere in problemi successivi per richieste di
risarcimento per trattamento illecito. Attenzione, però, che non
esiste effettivamente obbligo, bensì opportunità di determinazione
di tale documento. Il DPS va redatto entro il 31 marzo e deve
essere aggiornato annualmente con la stessa scadenza. Sul sito del
Garante della privacy è riportata un’apposita guida alla redazione
di tale documento. In commercio, numerose software house hanno
predisposto appositi programmi.
6. Trasferimento dei dati personali in Paesi terzi. In
qualsiasi evenienza di trattamento dei dati, l’export degli stessi
può avvenire previo consenso dell’interessato.
7. Doveri del titolare del trattamento nei confronti degli
interessati. Ciascun interessato ha il diritto, in qualsiasi
momento, di accedere ai dati personali, prevedendo la modifica e/o
la cancellazione degli stessi. Il titolare del trattamento ha il
dovere di di fare esercitare tale diritto e deve provvedere alla
modifica e/o cancellazione entro il termine perentorio di 15 giorni
dalla richiesta.
© Riproduzione riservata