IdWeb - Notizie
 
    PRIVACY, prorogata al 31 Dicembre 2004
 

L'obbligo di adottare le misure minime di sicurezza che scadeva il 30 giugno 2004 (art. 180) è stato prorogato al 31 Dicembre 2004.

 Allegato B (misure minime di sicurezza)

Il Consiglio dei Ministri, in data 22 Giugno 2004, ha varato il provvedimento di PROROGA DEI TERMINI previsti per l'adozione delle misure minime di sicurezza di cui all'allegato B del D.Lgs 196/2003 (Codice in materia di protezione dei dati personali) dal 30 Giugno 2004 al 31 Dicembre 2004. 

Il Codice (Legge delega 127/2001) assume il ruolo di testo unico sul tema della tutela dei dati personali, sostituendo tutta la normativa precedente e divenendo quindi l'unico riferimento giuridico al riguardo. Per approfondimenti sui temi della privacy, sui documenti dell'Ufficio del Garante o per scaricare il testo del Codice in PDF ci si può connettere con il sito www.garanteprivacy.it

Di seguito riportiamo alcune informazioni, che riteniamo fondamentali per l'attività concreta di Direct Marketing e di CRM.

Principi di base

Si intende per "dato personale" qualsiasi informazione si riferisca a una persona (fisica o giuridica) identificata o identificabile (art. 4).
Il titolare del trattamento è tenuto a dare riscontro senza ritardo a qualsiasi richiesta dell'interessato, anche se effettuata senza formalità, ad esempio verbalmente (art. 8).


Informativa (art. 13)

Al momento della raccolta dei dati, l'interessato deve ricevere informazione verbale o scritta circa: le finalità della raccolta, l'obbligatorietà o non del conferimento dei dati e le conseguenze dell'eventuale rifiuto, a chi verranno comunicati i dati, i suoi diritti (l'aggiornamento, la modifica, la cancellazione),gli estremi identificativi del titolare e del responsabile del trattamento.
Se i dati personali non sono raccolti presso l'interessato, questi deve ricevere l'informativa all'atto della registrazione dei dati oppure al momento della prima comunicazione.


Consenso (art. 23)

Il trattamento dei dati è consentito soltanto con il consenso dell'interessato.
Il consenso deve essere libero, consapevole, documentato per iscritto.
Per i dati sensibili il consenso deve essere dato per iscritto.

Dati sensibili (art. 26)

I dati sensibili (salute, vita sessuale, convinzioni politiche o religiose) possono essere trattati solo con il consenso scritto dell'interessato e l'autorizzazione del Garante.
Il Garante dà autorizzazione entro 45 giorni dalla richiesta; trascorso tale periodo, la richiesta si deve intendere respinta.
L'autorizzazione del Garante non è dovuta per associazione ed enti senza fini di lucro, riconosciuti e non, a carattere politico, filosofico, religioso o sindacale, per le attività indicate in Statuto.
I dati idonei a rivelare lo stato di salute non possono essere diffusi.

Obblighi di sicurezza (art. 31)

I dati personali sono custoditi e controllati in modo da ridurre al minimo i rischi di distruzione, di accesso non autorizzato e di trattamento non consentito.

Sicurezza dei trattamenti elettronici (art. 34)

Il trattamento dei dati tramite strumenti elettronici è disciplinato dall'Allegato B.

Notificazione al Garante (art. 37)

Il titolare deve notificare al Garante (tramite modulo telematico predisposto dal Garante) il trattamento dei dati solo se questo riguarda:
dati che indicano la posizione geografica di persone od oggetti mediante una rete di comunicazione elettronica
dati volti a definire il profilo o la personalità dell'interessato, ad analizzarne abitudini o scelte di consumo, a monitorare l'utilizzo di servizi di comunicazione elettronica (salvo ciò che è necessario all'erogazione del servizio stesso).

Trasferimento dei dati all'estero (art. 42 e 43)

Il trasferimento dei dati è libero all'interno della UE e invece sottoposto a tutta una serie di vincoli nel caso di trasferimento fuori dalla UE.
Disposizioni specifiche per le telecomunicazioni

Va rilevato che è vietato accedere a informazioni archiviate nell'apparecchio terminale di un utente anche per monitorarne le operazioni (art. 122).
Le chiamate in automatico senza operatore per qualsiasi comunicazione commerciale o di ricerca di mercato è consentito solo con il consenso dell'interessato. Tale disposizione si applica anche alle comunicazioni di posta elettronica, ai fax agli SMS e agli MMS (art. 130).
È possibile inviare messaggi di posta elettronica per la vendita di prodotti e servizi senza chiedere il consenso, se le coordinate di posta elettronica sono state fornite dall'interessato nel contesto di una vendita di prodotti o servizi, soltanto per servizi analoghi a quelli iniziali e se l'interessato non ha rifiutato tale possibilità (ibidem).
È comunque vietato inviare messaggi celando l'identità del mittente o senza dare il recapito per l'esercizio dei diritti ex art. 7 (ibidem).

Violazioni e pene amministrative

Per omessa o inidonea informativa all'interessato è prevista la sanzione amministrativa da 3.000 a 18.000 euro e, nel caso di dati sensibili o di particolare rilevanza del danno, da 5.000 a 30.000 euro (art. 161).
Per cessione dei dati in violazione delle norme è prevista la sanzione amministrativa da 5.000 a 30.000 euro (art. 162).
Per omessa notifica è prevista la sanzione amministrativa da 10.000 a 60.000 euro con pubblicazione dell'ordinanza (art. 163).
Violazioni penali

Per il trattamento illecito dei dati (mancato consenso, invio di messaggi e-mail senza consenso ecc.) è prevista la reclusione da 6 a 18 mesi se ne deriva un danno e da 6 a 24 mesi per la comunicazione o diffusione dei dati (art. 167).
Per le false comunicazioni al Garante è prevista la reclusione da 6 mesi a 3 anni (art. 168).
Per l'omissione delle misure minime di sicurezza è prevista l'arresto sino a 2 anni o l'ammenda da 10.000 a 50.000 euro. All'autore del reato viene impartita una prescrizione con un termine per la regolarizzazione; se nei sessanta giorni successivi alla scadenza del termine risulta l'adempimento della prescrizione, l'autore del reato è ammesso dal Garante a pagare una somma pari a un quarto dell'ammenda massima (art. 169).
Tutti i delitti previsti dal codice comportano la pubblicazione della sentenza (art. 172).

Autenticazione informatica

1.       Il trattamento dei dati è consentito soltanto agli incaricati (identificati come tali per iscritto dal titolare) dotati di credenziali di autenticazione e con il superamento di una procedura di autenticazione per un trattamento specifico o per un insieme di trattamenti.

2.       Le credenziali di autenticazione consistono in un codice identificativo dell'incaricato (username) associato a una parola chiave (password) conosciuta solamente dal medesimo, oppure in un dispositivo di autenticazione in possesso e uso esclusivo dell'incaricato.

3.       A ogni incaricato sono associate individualmente una o più credenziali per l'autenticazione.

4.       Deve essere garantita la segretezza della componente riservata della credenziale.

5.       La parola chiave deve essere composta da almeno 8 caratteri ed è modificata dall'incaricato al primo utilizzo e successivamente almeno ogni 6 mesi (ogni 3 mesi nel caso di dati sensibili).

6.       Non può essere utilizzato per più persone, nemmeno in tempi diversi, lo stesso codice identificativo.

7.       Gli incaricati non possono lasciare incustodito il computer durante una sessione di trattamento.

8.       Le credenziale devono essere disattivate se inutilizzate per oltre 6 mesi o se l'incaricato perde tale qualifica.

9.       Devono essere previste disposizioni scritte volte a individuare le modalità di accesso ai dati nel caso di assenza o impedimento dell'incaricato e devono essere identificate preventivamente per iscritto le persone incaricate della custodia delle credenziali di autenticazione.

10.   Le disposizioni relative al sistema di autenticazione non si applicano per i dati destinati alla diffusione.

Sistema di autorizzazione

1.       Se per gli incaricati sono previsti profili di autorizzazione diversi è utilizzato un sistema di autorizzazione.

2.       I profili sono stabiliti anteriormente al trattamento.

3.       Almeno annualmente deve essere verificata la sussistenza dei requisiti necessari all'autorizzazione.

Altre misure di sicurezza

1.       Almeno annualmente deve essere aggiornato l'elenco degli incaricati e l'ambito dell'autorizzazione ad operare di ciascuno.

2.       I dati personali devono essere protetti da sistemi anti-intrusione, da aggiornare almeno semestralmente.

3.       L'aggiornamento dei programmi per elaboratore volti a prevenire la vulnerabilità degli strumenti elettronici o eventuali difetti deve essere almeno annuale (semestrale nel caso di dati sensibili).

4.       Il salvataggio dei dati (back up) deve essere almeno settimanale.

Documento programmatico sulla sicurezza

Entro il 31 marzo di ogni anno il titolare di trattamento di dati sensibili redige un documento programmatico contenete tutte le informazioni riguardanti:

  • elenco dei trattamenti
  • distribuzione dei compiti
  • analisi dei rischi
  • misure di protezione da adottare
  • modalità di ripristino in caso di distruzione dei dati
  • interventi formativi sugli incaricati
  • criterio di sicurezza per il trattamento esterno dei dati
  • criteri di cifratura e separazione dei dati relativi a stato di salute e vita sessuale.
  • Tutela e garanzia

Il titolare che si avvale di soggetti esterni per le misure di sicurezza minime, riceve dall'installatore una descrizione scritta dell'intervento effettuato, che ne attesta la conformità alle disposizioni del Codice.
 

IdWeb
Security Division