Note introduttive
Il nuovo "Codice in materia di protezione dei dati personali" (D.Lgs. n. 196/2003) è entrato in vigore il 1 gennaio 2004.
Gli adempimenti prescritti da detto decreto sono i seguenti:
Notificazione al Garante
Consiste nella preventiva comunicazione al Garante dei trattamenti che il titolare intende effettuare.
È obbligatoria solo ed esclusivamente in rari casi previsti tassativamente dalla legge: raccolta dei dati biomedici, prestazione di servizi sanitari per via telematica, profilazione con strumenti elettronici, gestione dei dati sensibili da parte di agenzie di ricerca di personale per conto terzi, gestione di banche dati per rischi creditizi o antifrode.
Informativa all'interessato
Prima dell'inizio del trattamento, il titolare è tenuto a dare alla persona i cui dati trattati si riferiscono (all'interessato), oralmente o per iscritto, un' informativa contenente la finalità e le modalità del trattamento, la natura obbligatoria o facoltativa del conferimento dei dati, l'ambito di diffusione dei dati, i diritti dell'interessato, il titolare e il trattamento.
Consenso
Per poter trattare i dati personali è necessario avere preventivamente ottenuto il consenso dell'interessato.
Se non riguarda dati sensibili, il consenso può essere anche verbale ma deve comunque essere documentato per iscritto.
È richiesta la forma scritta del consenso solo quando il trattamento riguarda dati sensibili.
Autorizzazione
Per il trattamento dei dati sensibili occorre altresì la preventiva autorizzazione del Garante emanata in seguito a specifica del titolare.
Sono dati sensibili i dati personali idonei a rilevare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale.
Misure di sicurezza
Al fine di controllare e custodire i dati personali contro i rischi di distruzione e/o di perdita, il Codice richiede, in generale, l'adozione di misure idonee di sicurezza, prevedendo inoltre alcune misure minime di sicurezza, ritenute indispensabili e che, pertanto, devono essere adottate entro il 31 dicembre 2004.
Se il trattamento avviene con strumenti elettronici sono richieste le seguenti misure:
- adozione per gli incaricati del trattamento di credenziali di autenticazione (codice e parola chiave);
- adozione di un sistema di autorizzazione in modo da limitare l'accesso agli incaricati ai soli dati necessari per effettuare le operazioni di trattamento.
|
