Tempo di lettura di questo GP: 2 minuti

Il Codice in materia di protezione dei dati personali (D.Lgs. 30 giugno 2003, n. 196) richiede alle aziende di adempiere al provvedimento Privacy rispettando alcune scadenze. La vostra azienda è in regola?

Oltre ai principi generali in materia di protezione dei dati personali (la cui mancata adozione implica un illecito penale e comporta le sanzioni di cui all’art. 169 del Codice stesso), il D.Lgs. 196/2003 impone una serie di verifiche e controlli da effettuare con cadenza periodica, o per espressa previsione normativa, o perché è necessario procedere ad alcune modifiche ogniqualvolta muti uno degli elementi essenziali dell’organizzazione aziendale.

 1° gennaio di ogni anno (si tratta degli adempimenti per i quali il Codice prevede una cadenza almeno annuale):

1 Aggiornare l’individuazione dell’ambito di trattamento consentito ai singoli incaricati, ove variato, anche parzialmente;
2 Verificare la sussistenza delle condizioni per la conservazione delle autorizzazioni per l’accesso ai dati particolari per gli incaricati;
3 Fornire istruzioni organizzative e tecniche affinché il salvataggio dei dati sia effettuato settimanalmente;
4 Programmare interventi di formazione per gli incaricati del trattamento.
5 Provvedere all’aggiornamento delle “patch” dei programmi per computer, nel caso di trattamento di dati comuni (art. 17, Allegato B);

1°gennaio-1°luglio di ogni anno (adempimenti a cadenza semestrale):

1 Aggiornare i software antivirus, per tutti i tipi di dati (art. 16, Allegato B);
2 Provvedere all’aggiornamento delle “patch” dei programmi per computer, nel caso di trattamento di dati sensibili (art. 17, Allegato B);

31 marzo di ogni anno:

1 Aggiornare il Documento programmatico sulla sicurezza (il documento doveva essere effettuato, in sede di prima applicazione del Codice, entro il 31 marzo 2006) ;
2 All’interno del documento programmatico per la sicurezza, deve essere previsto un Piano di Formazione per gli incaricati, che dovrà pertanto essere rivisto annualmente.

ALTRI ADEMPIMENTI

Notificazione (art.37):
1 Le notificazioni devono essere effettuate prima dell’inizio del trattamento (qualunque esso sia, manuale o automatizzato), se si rientra in una delle ipotesi previste dall’art. 37 del Codice.
2 Per i trattamenti iniziati prima dell’1 gennaio 2004, le notificazioni devono essere state effettuate, in sede di prima applicazione del Codice, entro il 15 maggio 2004.

Informative:
E’ necessario distribuire nuove informative, o comunicare i mutamenti intervenuti, tutte le volte in cui cambi uno degli elementi descritti dall’art. 13 del Codice:
a. le finalità e le modalità del trattamento cui sono destinati i dati;
b. la natura obbligatoria o facoltativa del conferimento dei dati;
c. le conseguenze di un eventuale rifiuto di rispondere;
d. i soggetti o le categorie di soggetti ai quali i dati possono essere comunicati e l’ambito di diffusione dei dati medesimi;
e. il nome, la denominazione o la ragione sociale e il domicilio, la residenza o la sede del Titolare.

Qualità dei dati ex art. 11:
Il Titolare deve curare che il trattamento dei dati avvenga sempre nel rispetto dei principi dettati dall’art.11 del Codice; dunque, occorre verificare costantemente che i dati siano:
trattati in modo lecito e secondo correttezza;
raccolti e registrati per scopi determinati, espliciti e legittimi, ed utilizzati in altre operazioni del trattamento in termini non incompatibili con tali scopi;
esatti e, se necessario, aggiornati;
pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono raccolti o successivamente trattati;
conservati in una forma che consenta l’identificazione dell’interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati.

Consenso:
E’ necessario, in generale, procedere alla verifica dell’esistenza del consenso ogniqualvolta il trattamento sia effettuato per scopi diversi da quelli per cui il consenso era stato inizialmente prestato, nonché tutte le volte in cui i dati debbano essere comunicati a soggetti terzi, o diffusi ad un numero di persone indeterminato.
Le comunicazioni all’interessato riguardanti lo stato di salute devono essere effettuate tramite il medico di medicina generale designato dall’interessato o dal Titolare; verificare dunque che tale regola sia sempre rispettata.

Gesta Srl è a disposizione per ogni chiarimento in merito.

X