Gli ultimi mesi sono stati caratterizzati da una serie di
interventi normativi che hanno profondamente mutato il panorama
normativo in materia di trattamento dati personali. Il
legislatore ha infatti ritenuto, in un’ottica di
semplificazione, di apportare alcune radicali modifiche al d.lgs
196/03, Codice in materia di protezione dei dati personali mentre
il Garante per la protezione dei dati personali, in alcuni
settori specifici, è intervenuto introducendo nuovi
provvedimenti di grande impatto e rilevanza.
I recenti interventi normativi in materia di sicurezza
informatica che devono essere analizzati per comprendere
l’attuale panorama normativo sono i seguenti:
convertito con legge n° 106/2011;
(Decreto Salva Italia) convertito con la legge del 22 dicembre
2011, n. 214;
convertito con la legge n° 30/2012.
Le novità sostanziali introdotte dalle normative di cui sopra
impattanti sul tema della protezione dei dati personali sono le
seguenti:
- Ambito di applicazione del Codice per la protezione
dei dati personali (Codice): non sono più
considerati “dati personali” i dati inerenti le
persone giuridiche, enti e associazioni (se non in relazione
alla nozione di “abbonato”). Di fatto, pertanto,
attualmente il Codice si applica esclusivamente alle persone
fisiche e, quindi, anche tutta l’impalcatura normativa
inerente le misure di sicurezza e in particolare quelle
minime di cui all’Allegato B al Codice oltre ai vari
provvedimenti fra cui quello sugli amministratori di sistema
non è più applicabile alle informazioni che non siano
riferite a persone fisiche. Naturalmente, questo comporta la
necessità di proteggere le informazioni inerenti le persone
giuridiche, enti e associazioni su base di autonomia privata
e in particolare nell’ambito dei rapporti contrattuali
cliente/fornitore; Documento programmatico sulla sicurezza:
con il decreto semplificazioni l’obbligo di redigere
il documento programmatico sulla sicurezza è stato
completamente abolito.Concetto di trattamento per finalità
amministrative e contabili: l’articolo 34
comma 1ter del .dlgs 196/03 oggi stabilisce quali siano i
trattamenti che hanno finalità amministrative e contabili
e per le quali è possibile sfruttare alcune
semplificazioni (es. non è applicabile il provvedimento
del Garante sugli amministratori di sistema). In
particolare, tali sono i trattamenti effettuati per
finalità amministrativo-contabili sono quelli connessi
allo svolgimento delle attività di natura organizzativa,
amministrativa, finanziaria e contabile, a prescindere
dalla natura dei dati trattati. In particolare, perseguono
finalità amministrative e contabili le attività
organizzative interne, quelle funzionali
all'adempimento di obblighi contrattuali e
precontrattuali, alla gestione del rapporto di lavoro in
tutte le sue fasi, alla tenuta della contabilità e
all'applicazione delle norme in materia fiscale,
sindacale, previdenziale-assistenziale, di salute, igiene e
sicurezza sul lavoro
E’ importante sottolineare che la Commissione Europea ha
recentemente presentato una proposta per la tutela uniforme in
materia di protezione dei dati personali in ambito europeo
attraverso un Regolamento che, quando approvato, sostituirà la
direttiva 95/46/CE e che, qualora approvato, determinerebbe un
nuovo impatto sul Codice anche se si potrebbe finalmente
arrivare ad avere regole comuni in tutti gli Stati membri.
supporto ai decisori, nasce il Servizio di Advisory Compliance
ICT del Mip che permette di:
maggiori tematiche e novità in tema Compliance in ambito ICT
(novità legislative, regolamentari, giurisprudenziali) e
relativo commento;
• ricevere informative ad hoc in caso di emanazione di
provvedimenti normativi di impatto rilevante sui Sistemi
Informativi;
• accedere a sessioni di aggiornamento normativo per
illustrare e discutere le principali novità normative (sessioni
di formazione).
Compliance@osservatori.net
