INFORMATIVA SULLA PRIVACY DEL SITO WEB EMAS

EMAS SI IMPEGNA A TUTELARE LA PRIVACY DEI SUOI UTENTI. L’INFORMATIVA SULLA PRIVACY DEL NOSTRO SITO WEB FORNISCE CHIARIMENTI SUI TIPI DI INFORMAZIONI RACCOLTE E RELATIVE MODALITÀ, NONCHÉ SULL’UTILIZZO E LA TUTELA DI TALI INFORMAZIONI.

La Legge n. 675/1996 ha istituito per la prima volta in Italia una normativa relativa alla gestione dei dati, cosiddetti, sensibili alla loro catalogazione, conservazione ed utilizzazione. Successivamente con il D.P.R. n. 318/1999 la normativa precedente fu integrata e resa più funzionale. Nell‘anno 2003 con il D.Lgs. n. 196 tutta la normativa preesistente è stata abrogata così da avere un solo riferimento relativo al trattamento dei dati. La normativa sulla ”PRIVACY”, così come viene definita, ha adesso una normativa unica grazie al Decreto Legislativo n. 196 del 30/06/2003, un vero e proprio Testo Unico a tutela della privacy. Il D.Lgs. 196 incorpora tre direttive ed altri 16 testi normativi (leggi, decreti legislativi, dpr) e si suddivide in tre parti:

Disposizioni generali: articoli dall‘1 al 45;
Disposizioni relative ad alcuni settori specifici: articoli dal 46 al 140;
Tutela dell‘interessato e sanzioni: articoli dal 141 al 172.
Infine il D.Lgs. 196/2003 si completa nella sua quarta parte, la quale contempla le ”Disposizioni” modificative, abrogative, transitorie e finali. A corredo della normativa sono previsti importanti allegati.

MISURE MINIME
Per chi tratta i dati utilizzando dei computer deve tenere conto delle misure cosiddette ”minime” di sicurezza (allegato B alla normativa). Il Titolare o il Responsabile del trattamento (se nominato) nominano gli incaricati al trattamento dei dati (tali figure possono non essere presenti in realtà piccole dove tutte le attribuzioni possono essere eseguite da una unica persona o da poche persone):

Il trattamento dei dati personali può essere consentito solamente agli ”incaricati”. Agli incaricati si deve dare una ”credenziale di autenticazione”, cioè dare un nome utente o un user-id, che consenta di identificare la persona, inoltre per essere sicuri che sia la persona effettivamente designata ad accedere al trattamento dei dati bisogna che ci sia un meccanismo di validazione basato su una ”password”.

Le credenziali di autenticazione per identificare l‘incaricato devono essere conosciute solo dallo stesso, per semplicità vengono indicati tre modi diversi su cui fare affidamento e cioè:
1. l‘utilizzo di un codice per identificare l‘incaricato associato ad una parola chiave conosciuta solo dal medesimo (password);
l‘utilizzo di un dispositivo di autenticazione in uso esclusivo dell‘incaricato;
l‘utilizzo di una caratteristica biometria dell‘incaricato.
Il titolare o il responsabile del trattamento deve impartire le necessarie istruzioni agli incaricati per assicurare la segretezza delle credenziali o la custodia dei dispositivi di autenticazione affinché non possano essere utilizzati da terzi estranei. Se il sistema di autenticazione prevede una parola chiave, questa sarà composta da almeno otto caratteri e dovrà essere modificata dall‘incaricato ogni sei mesi. La modifica della parola chiave dovrà avvenire ogni tre mesi in caso di trattamento di dati sensibili o giudiziari. Nel caso si utilizzi una password è utile che non contenga riferimenti all‘incaricato stesso (nome proprio o del figlio, date e riferimenti personali). Il sistema di autenticazione è strettamente personale e non può essere assegnato ad altri incaricati neanche in tempi diversi. I codici di autenticazione non utilizzati da almeno sei mesi sono disattivati. I codici sono disattivati anche quando l‘incaricato perde tale qualità, in quanto non opera più all‘interno della struttura o viene trasferito ad altre mansioni Il titolare o il responsabile del trattamento deve impartire precise istruzioni all‘incaricato affinché non lasci incustodito il computer mentre si trattano dati personali.

Se l‘accesso ai dati è consentito soltanto con l‘uso di una componente riservata del codice di autenticazione, vengono date all‘incaricato preventive indicazioni scritte affinché vengano, con chiarezza, individuate le modalità di accesso ai dati, così da potere intervenire, in caso di urgenza, anche in mancanza dell‘incaricato stesso. L‘incaricato potrà trascrivere ad esempio la propria password su di un foglio che verrà richiuso in una busta da consegnare al titolare del trattamento. Così in caso di urgenza e contestuale assenza dell‘incaricato il titolare può, aprendo la busta, conoscere la password ed effettuare il trattamento. Almeno una volta l‘anno si devono verificare i profili degli incaricati, aggiornando o confermando i trattamenti che ciascun incaricato può effettuare. Bisogna compilare una lista in cui vengono elencati gli incaricati e per ognuno i trattamenti che possono effettuare, specificando pure i nomi degli addetti alla gestione ed alla manutenzione dei computer. I dati personali trattati devono essere protetti con idonee misure e strumenti elettronici che devono essere aggiornato almeno ogni sei mesi. Si devono, quindi, installare sistemi software, come anti virus, per evitare rischi di intrusione nel sistema e di perdita di dati. Si deve prevedere il ”salvataggio” dei dati almeno settimanalmente e quindi impartire direttive in merito affinché venga garantita la disponibilità e la integrità dei dati in qualsiasi momento anche in caso di perdita totale o parziale dei dati stessi sul computer su cui vengono trattati.

SISTEMI DI AUTORIZZAZIONE L‘articolo 4 del D.Lgs. n. 196/2003 nel definire il ”profilo di autorizzazione” recita come segue ”l‘insieme delle informazioni, univocamente associate a una persona, che consente di individuare a quali dati essa può accedere, nonché i trattamenti a essa consentiti”. Quanto detto dall‘articolo 4 si riferisce a quando più incaricati trattano gli stessi dati personali e quindi occorre disporre di un sistema di autorizzazione affinché ogni incaricato possa accedere ai dati a seconda delle proprie autorizzazioni (inserimento dati oppure solo consultazione, ecc.). Tali ”profili” devono individuarsi prima dell‘inizio del trattamento, in modo che si possono definire le aree di trattamento dei dati in modo che per ogni incaricato si limita l‘area di accesso cui il singolo può accedere.

GLI ADEMPIMENTI Notificazione del trattamento. La notificazione è la dichiarazione al garante, da parte di un soggetto, dell‘esistenza di una attività di raccolta e utilizzo di dati personali. La notificazione è, quindi, il primo adempimento cui si è chiamati ancor prima dell‘inizio del trattamento dei dati stessi. L‘adempimento spetta al titolare del trattamento. Il titolare del trattamento. Il titolare è la persona fisica o giuridica che decide in relazione alle finalità ed alle modalità del trattamento, ed anche sugli strumenti da adottare. Il responsabile del trattamento. Il titolare può nominare, per iscritto, uno o più responsabili del trattamento. La figura del responsabile è necessaria quando titolare è una persona giuridica o si è davanti ad organizzazioni complesse. Il responsabile deve attenersi alle istruzioni ricevute dal titolare, che in ogni caso vigila sull‘attività del responsabile, in quanto in ogni caso, le eventuali conseguenze derivanti da omissioni del responsabile ricadono sul titolare. Al responsabile spetta la nomina degli incaricati. Gli incaricati. L‘incaricato è la persona a cui spettano le operazioni di trattamento dei dati. La nomina avviene per iscritto. L‘informativa. L‘interessato al trattamento deve essere, preventivamente, informato per iscritto (consigliato) ma anche oralmente, come recita l‘articolo 13 del D.Lgs. 196/2003, per:

le finalità e le modalità del trattamento cui sono destinati i dati;
la natura obbligatoria o facoltativa del conferimento dei dati;
le conseguenze di un eventuale rifiuto di rispondere;
i soggetti e le categorie di soggetti ai quali i dati possono essere comunicati …..;
i diritti di cui all‘articolo 7;
gli esterni identificativi del titolare e, ….. e del responsabile.
L‘omissione della informativa comporta l‘illegittimità del trattamento dei dati dell‘interessato.
Il consenso. Il consenso dell‘interessato è indispensabile per procedere al trattamento dei dati che lo interessano. Il consenso è libero e specifico e reso per iscritto, dopo che all‘interessato è stata fornita l‘informativa. Per quanto riguarda il trattamento dei dati personali l‘articolo 24 del D.Lgs. 196/2003 elenca i casi in cui il trattamento può avvenire senza il consenso dell‘interessato, a differenza del trattamento dei dati sensibili e giudiziari che necessitano del consenso.
Il consenso è richiesto per iscritto per il trattamento dei dati sensibili con la preventiva autorizzazione del garante. Sono esclusi dal consenso i dati elencati all‘articolo 26, comma 3:
– i dati relativi agli aderenti alle confessioni religiose e ai soggetti che con riferimento a finalità di natura esclusivamente religiosa hanno contatti regolari con le medesime confessioni, ….., sempre che i dati non siano diffusi o comunicati fuori delle medesime confessioni. …..;
– i dati riguardanti l‘adesione di associazioni od organizzazioni a carattere sindacale o di categoria ad altre associazioni, organizzazioni o confederazioni a carattere sindacale o di categoria. Infine, dietro apposita autorizzazione del garante, i dati possono essere trattati senza il consenso dell‘interessato:

a. quando il trattamento è effettuato da associazioni, enti od organismi senza scopo di lucro, anche non riconosciuti, a carattere politico, filosofico, religioso o sindacale, ….., per il perseguimento di scopi determinati e legittimi individuati nell‘atto costitutivo, nello statuto o nel contratto collettivo, ….., sempre che i dati non siano diffusi all‘esterno e l‘associazione, ente od organizzazione applichi idonee garanzie sui trattamenti effettuati, prevedendo le modalità di utilizzo, rendendola nota agli interessati nell‘informativa ai sensi dell‘articolo 13 del D. Lgs. 196/2003;
b. quando il trattamento è necessario per la salvaguardia della vita o dell‘incolumità fisica di un terzo. Se l‘interessato è nell‘impossibilità fisica di dare il proprio consenso, questo è manifestato da chi ha la podestà o da un congiunto;
c. quando il trattamento è necessario ai fini dello svolgimento delle investigazioni difensive ….., o, comunque, per far valere o difendere in sede giudiziaria un diritto, …..
d. quando è necessario per adempiere a specifici obblighi o compiti previsti dalla legge …..
In riferimento al punto d. si ricordano le ”autorizzazioni generali al trattamento dei dati sensibili” concesse dal garante già nel 2002.

Quindi, il consenso non è necessario quando:
è necessario per adempiere a un obbligo previsto dalla legge, …..;
è necessario per eseguire obblighi derivanti da un contratto del quale è parte l‘interessato
…..; riguarda dati provenienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque, …..;
riguarda dati relativi allo svolgimento di attività economiche, trattati nel rispetto della vigente normativa in materia di segreto aziendale e industriale;
è necessario per la salvaguardia della vita o dell‘incolumità fisica di un terzo. …..;
con esclusione della diffusione, è necessario ai fini dello svolgimento delle investigazioni difensive di cui alla legge n. 397/2000, o, comunque per far valere o difendere un diritto in sede giudiziaria, …..;
con esclusione della diffusione, è necessario, nei casi individuati dal garante sulla base dei principi sanciti dalla legge, per perseguire un legittimo interesse del titolare o di un terzo destinatario dei dati, …..;
con esclusione della comunicazione all‘esterno e della diffusione, è effettuato da associazioni, enti od organismi senza scopo di lucro, anche non riconosciuti, in riferimento a soggetti che hanno con essi contatti regolari o ad aderenti, per il perseguimento degli scopi determinati e legittimi individuati nell‘atto costitutivo, dallo statuto o dal contratto collettivo, e con modalità di utilizzo previste espressamente con determinazione resa nota agli interessati all‘atto dell‘informativa ai sensi dell‘articolo 13; è necessario, in conformità ai rispettivi codici di deontologia di cui all‘allegato A), per esclusivi scopi scientifici o statistici, ….. .


Adozione delle misure di sicurezza. Un importante obbligo è quello relativo all‘adozione delle misure di sicurezza, distinguendo se il trattamento dei dati avviene con archivi cartacei o con attrezzature informatiche. Chiunque tratta dei dati personali è tenuto ad adottare delle misure minime di sicurezza (artt. n. 33 e seguenti del D.Lgs. n. 196/2003).
Nel caso che il trattamento avvenga con archivi cartacei bisogna adottare le seguenti misure:

– periodicamente aggiornare l‘individuazione dell‘ambito del trattamento consentito ai singoli incaricati;
– stabilire le procedure per la custodia dei documenti affidati agli incaricati nello svolgimento dei propri compiti;
– stabilire le procedure per l‘archiviazione di determinati atti, disciplinandone l‘accesso e la identificazione dell‘incaricato.

Nel caso di trattamento mediante attrezzature informatizzate è necessario approntare le seguenti misure minime:
– autenticazione informatica;
– procedure di gestione delle credenziali di autenticazione;
– adozione di un sistema di autorizzazione;
– individuazione periodica i trattamenti consentiti ai singoli incaricati, addetti alla gestione e manutenzione delle attrezzature elettroniche;
– protezione delle attrezzature elettroniche e dei dati da accessi non consentiti;
– procedure per la custodia di copie di sicurezza;
– aggiornamento del documento programmatico sulla sicurezza;
– adozione di tecniche di cifratura e codici per trattamenti relativi alla salute o vita sessuale.
Il Documento Programmatico sulla Sicurezza.

Il Documento Programmatico sulla Sicurezza (DPS) si deve predisporre annualmente, entro il 31 marzo, nel caso in cui vengano trattati dati sensibili o giudiziari, e deve contenere:
– l‘elenco dei trattamenti effettuati dal titolare;
– la distribuzione dei compiti e delle responsabilità;
– l‘analisi dei rischi;
– le misure per garantire l‘integrità e la disponibilità dei dati e la protezione dei locali dove si custodiscono i dati stessi;
– criteri per il ripristino dei dati in caso di distruzione o danneggiamento;
– previsione di corsi di formazione per gli incaricati al trattamento;
– garanzie delle misure minime nel caso in cui il trattamento sia affidato all‘esterno della struttura del titolare;
– criteri per la cifratura o separazione dei dati che si riferiscono alla salute o alla vita sessuale dell‘interessato.
Cessazione del trattamento. I dati trattati, in caso di cessazione del trattamento, devono essere distrutti oppure possono essere ceduti ad altro titolare in quanto destinati a scopi per i quali i dati erano stati raccolti, o conservati o ceduti per scopi storici, statistici o scientifici.