REDAZIONALE - Il Decreto Legislativo 196 del 30/06/03 fa il suo debutto
PRIVACY E GESTIONE: VALIDI STRUMENTI PER L'AZIENDA
Cresce l'esigenza di usufruire di strumenti sempre più confacenti alle realtà Aziendali
Con l'entrata in vigore del Decreto Legislativo n. 196 del 30 giugno 2003, Codice in Materia di Protezione dei Dati Personali, le Aziende si sono sentite di fronte ad un enigma di inestricabile difficoltà.
Il presente Decreto è entrato in vigore a tutti gli effetti dal 1° gennaio 2004, con cui il Garante ha provveduto ad unificare tutta la normativa passata del settore, dando un forte contributo alle Aziende in riferimento all'utilizzo sempre più marcato degli strumenti elettronici, da parte delle stesse, per l'effettuazione dei propri servizi.
A chi si rivolge il Codice
L'art. 1 permette di inquadrare subito l'ambito di applicazione e di conseguenza i soggetti che devono prendere in carico le disposizioni: “Chiunque ha diritto alla protezione dei dati personali che lo riguardano”. Un dato personale è qualunque informazione relativa a persona fisica o giuridica, ente o associazione, identificati o identificabili, in riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione. Alla luce di ciò tutte le Aziende sono chiamate ad adempiere alle disposizioni in materia, trattando una gran mole di dati personali per l'espletamento del proprio servizio.
La sicurezza come fattore primario dell'intera attività aziendale
Un aspetto basilare consiste nell'assicurare che i dati che trattano le Aziende siano tutelati da ogni punto di vista (perdita o utilizzo improprio). Tale aspetto è caratterizzato dall'adozione di quelle che il Garante chiama Misure Minime atte a garantire una corretta gestione dei dati utilizzati usufruendo del continuo progresso tecnologico. Un esempio di Misura Minima è costituito dal Documento Programmatico sulla Sicurezza (chiamato nel seguito DPSS): esso è il cardine cui ruota l'applicazione del Codice. Infatti descrive in maniera chiara tutta la filiera dei trattamenti che l'Azienda effettua, indicando la tipologia di mezzi di cui si avvale sia per le operazioni di trattamento dei dati che di salvaguardia dei medesimi. Naturalmente esse costituiscono il primo passo ma non ultimo dell'applicazione dei principi di sicurezza applicabili. Anche in questo caso il Garante ha dato un suo prezioso contributo nel preventivare dei tempi per l'attuazione sia delle Misure Minime che Idonee (misure più restrittive, ma più pregnanti nella salvaguardia dell'operato dell'Azienda), per agevolare l'applicazione del Codice con il minor dispendio di energie da parte delle Aziende stesse.
Adempimenti e scadenze
Come già accennato il Decreto Legislativo fissa alcuni paletti temporali per l'applicazione degli aspetti primari dello stesso, così riassunti: redazione o aggiornamento del DPSS, Notifica al Garante, adozione delle misure minime di sicurezza.
La data entro cui redigere e/o aggiornare il DPSS è fissata, per Decreto, al 31 marzo di ogni anno. Tuttavia, durante il primo anno di applicazione si può usufruire delle disposizioni transitorie atte ad agevolare l'adeguamento delle Aziende, per cui si può redigere o aggiornare, per chi avesse già redatto in passato il DPSS secondo il DPR 318/99, entro il 31 dicembre 2004.
La Notifica al Garante è un passo saliente, che testimonia la presa di coscienza da parte dell'Azienda della tipologia di dati trattati. Tale punto è obbligatorio solo per un numero ristretto di casi, di cui il Garante ha evidenziato i tratti nell'art. 37.
Per l'adozione delle misure minime di sicurezza, il termine ultimo fissato è il 31 dicembre 2004. Ma, se l'Azienda valuta che le risorse di cui dispone non permettono di rispondere appieno a quanto richiesto e se ci sono tutti i presupposti del caso, può essere richiesto uno slittamento dell'adozione delle stesse entro il 31 marzo 2005.
Sanzioni
Consistono in ammende che variano da 3.000,00 a 60.000,00 euro e/o in detenzioni che variano da 3 mesi a 3 anni.
Conclusioni
Il Codice della Privacy e la sua applicazione, frutto di tanti anni di studio e di esperienze maturate nel settore, non devono esser visti come una mera imposizione, ma come un forte strumento che l'Azienda può e deve utilizzare per la propria salvaguardia.
In un Sistema Sociale in forte evoluzione come il nostro, le Entità Giuridiche e Politiche (gli Stati) tendono a delegare le responsabilità della gestione, applicazione e monitoraggio delle attività lavorative aziendali e dei loro effetti collaterali alle stesse aziende.
Il tutto allo scopo di ridurre i costi sociali destinati ai controlli ed aumentare il senso di partecipazione sociale dei soggetti imprenditoriali.
Da questa linea di pensiero sono nate una serie di direttive, trasformate poi in leggi dallo Stato Italiano [vedasi D.Lgs. 626/94 per la Sicurezza, D.Lgs. 155/97 (HACCP) nel settore agroalimentare, etc], ed una serie di norme di gestione [ISO 9001:2000 per la Qualità, ISO 14001 / EMAS per l'Ambiente, SA 8000:2001 per la certificazione etica; OHSAS 18001 per la Sicurezza, etc] sempre più richieste dai mercati di riferimento. In concreto quanto sopra scritto porta un soggetto imprenditoriale a dovere dimostrare in maniera oggettiva la sua idoneità comportamentale all'interno della società civile in cui esercita a beneficio oltre che della sua professionalità documentalmente dimostrata anche dalla società civile cui esso appartiene. A sostegno i Soggetti Pubblici hanno elargito nel tempo diversi finanziamenti per l'applicazione di quanto sopra di cui un esempio attuale è il Finanziamento concesso dall'INAIL per l'applicazione della sicurezza (OHSAS 18001) per le PMI i cui termini di presentazione vanno dal 29/06/04 al 29/07/04.