Chi deve adeguarsi alla normativa sulla Privacy?
Sono obbligati all'adeguamento alla nuova normativa tutti coloro che per l'espletamento della loro attività trattano dati personali: enti pubblici, liberi professionisti, aziende, comuni, scuole, ospedali, cooperative e associazioni. Sono in pratica escluse dall'adeguamento alla nuova legge solo le persone fisiche che intendano effettuare il trattamento di dati personali per soli fini personali e, in nessun caso, prevedano la cessione o la comunicazione dei dati in loro possesso a terzi.

Entro quale data occorre adeguarsi?
Dall’entrata in vigore del decreto (01/01/04) sono state date due proroghe: una al 30/06/04 e l’altra al 31/12/04. A Novembre 2004 e successivamente all’inizio dell’anno in corso, vista la scarsa applicazione, il Garante di concerto con il Governo ha ulteriormente fatto slittare i termini prima al 30/06/05 poi al 31/12/05. Quello che molti non sanno però è che questo slittamento di termini si riferisce solo all’adeguamento alle misure minime di sicurezza previste nel Disciplinare Tecnico. In pratica, alcuni interventi da effettuare come le nomine (responsabili, incaricati,etc.) o le informative (clienti, fornitori, dipendenti, etc.) dovevano comunque già essere state fatte al 31/12/04. Ne consegue che la stragrande maggioranza dei soggetti interessati si trova fuori legge!

Quali sono le sanzioni previste per gli inadempienti?
L’aspetto più scottante rispetto alle precedenti leggi in materia è che, nel caso di richiesta di risarcimento danni, non è più il danneggiato a dover dimostrare di aver ricevuto il danno, ma è il titolare del trattamento che deve dimostrare di aver fatto quanto in suo potere e seguendo le ultime novità tecnologiche per evitare di danneggiare l’interessato. Ci sono poi le sanzioni nelle quali si rischia di incorrere in caso di mancato adeguamento a seguito di accertamento da parte delle autorità competenti e sono di tipo amministrativo e penale. Per quanto riguarda le sanzioni amministrative possono arrivare fino a 30.000 euro. Per quanto riguarda le sanzioni penali si rischia la reclusione fino a 3 anni. Le sanzioni amministrative però possono essere persino triplicate, qualora il garante ritenesse il massimo della multa previsto dalla legge inefficace in ragione delle condizioni economiche del contravvenente. Sono altresì previste riduzioni della pena qualora il soggetto si impegni ad adeguarsi alla normativa in tempi ragionevolmente brevi e coerenti con la quantità di lavori da compiere per l'adeguamento. Altro elemento estremamente rischioso per le aziende che dovessero risultare non in regola con la nuova normativa è la sospensione dell'attività. In caso infatti di infrazione alla normativa, il Garante per la Privacy può ordinare all'azienda la sospensione di ogni attività di trattamento dei dati personali fino alla risoluzione dei problemi emersi. Inoltre un'eventuale condanna causerebbe l'esclusione da gare ed appalti per le P.A. e per le grandi aziende, e la pubblicazione della condanna su due quotidiani a tiratura nazionale.

Cosa bisogna fare per adeguarsi alla norma sulla Privacy?
Il mio consiglio, come per altre attività, è quello di rivolgersi comunque a degli esperti. Questo per evitare di generare una documentazione spropositata con procedure che bloccano di fatto la flessibilità dell’azienda (l’arma migliore di una PMI !!) oppure di generarla non sufficiente a coprire la norma. La quantità dei documenti dipende dalla grandezza della struttura Privacy dell’azienda, sono comunque indispensabili i seguenti documenti:
* Nomine dei soggetti coinvolti (responsabili interni ed esterni, incaricati, etc.);
* Informative (clienti, fornitori, dipendenti, etc.);
* Documento Programmatico sulla Sicurezza dei Dati (DPSS), che descrive in modo sintetico la struttura, le modalità di trattamento, i rischi connessi e gli adeguamenti previsti.
Oltre ai documenti è previsto dalla norma l’adozione di alcune misure minime per il trattamento dei dati in modalità automatizzata, quali: adozione di password di almeno otto caratteri per la protezione degli accessi al sistema ed ai programmi, back-up dei dati, firewall e antivirus aggiornati con adeguata frequenza, etc. Dal lato tecnico queste misure minime di sicurezza, pur complicando in parte le normali operazioni quotidiane dei piccoli uffici, garantiscono di fatto una maggior sicurezza informatica dell'intera struttura e, al di là degli obblighi di legge, proteggono l'ufficio da possibili furti elettronici di dati. Questa rappresenta una prassi sempre più diffusa nel mondo degli hacker e spesso, viste le scarse misure di sicurezza dei normali PC, questi furti avvengono senza che l'interessato ne venga a conoscenza. L'obbligatorietà dei back- up settimanali di tutti i dati più importanti dell'azienda/ufficio rappresenta poi un'ulteriore garanzia contro perdite di dati dovute a guasti dei PC o altri malfunzionamenti che possono spesso portare a serie perdite economiche e di produttività. Il Codice prevede infine l'obbligatorietà della formazione al personale incaricato del trattamento dei dati e la sua pianificazione fin dal momento dell'assunzione di nuovi elementi nello staff.