.: Il decreto 196/2003
.: Premessa

.: Bilanci

.: Ambito applicativo
.: La notifica al garante
.: Misure minime di sicurezza
.: Il DPSS
.: Le sanzioni
 
.: FAQ domande frequenti
 
: Richiedi Check gratuito
 

FAQ - Domande frequenti sulla Normativa DL.196/2003.

Eventuali quesiti possono essere sottoposti gratuitamente all'indirizzo di posta :

info@privacycampania.it

Domande : Risposte :
E' necessario inviare l'informativa per il consenso dei trattamenti ai nostri clienti o fornitori,dato che stiamo ricevendone alcune dagli stessi? Non è necessario chiedere il consenso con una informativa se i dati vengono trattati per finalità connesse ad un obbligo di legge o per un regolamento comunitario. Quindi i dati dei clienti e dei fornitori se vengono trattati per quello scopo non necessitano di nessuna informativa. Serve l'informativa se voglio utilizzare gli stessi dati per scopi diversi, ad esempio per inviare materiale pubblicitario, depliant, ecc…
Essendo certificati Iso 9001 dobbiamo inviare via fax o via e-mail un questionario sulla soddisfazione del cliente nei confronti della nostra Azienda. Dobbiamo seguire qualche regola particolare...? Se il questionario è anonimo, non c'è bisogno di fare nulla. Se il questionario consente di risalire a chi ha dato la risposta è necessario predisporre di una informativa ai sensi dell'art. 13 del Dlg. 196/2003 in cui sia specificata la finalità del trattamento, se i dati verranno comunicati e a chi, ecc…
I dati riguardanti i dipendenti vengono inviati al nostro consulente del lavoro per l'elaborazione delle retribuzioni mensili e questo viene indicato nella lettera d'assunzione che firmano. Il titolare deve comunque darne comunicazione scritta agli interessati? Si deve controllare che nella lettera di assunzione ci siano ben specificati gli elementi necessari perché l'informativa che viene data ai dipendenti sia valida (art. 13 del del Dlg. 196/2003). Se per titolare si intende il "vostro" titolare questi "ha già dato l'informativa" e non deve dare ai dipendenti nessun'altra comunicazione scritta.
Il consulente al quale abbiamo affidato l'incarico di farci le paghe deve inviarci qualche dichiarazione? Il consulente nel contratto che regola il rapporto con la vostra azienda deve dichiarare: 1) di essere consapevole che i dati che tratterà nell’espletamento dell’incarico ricevuto, sono dati personali e, come tali sono soggetti all’applicazione del codice per la protezione dei dati personali; 2) di ottemperare agli obblighi previsti dal Codice per la protezione dei dati personali 3) di adottare le istruzioni specifiche eventualmente ricevute per il trattamento dei dati personali o di integrarle nelle procedure già in essere. 4) di impegnarsi a relazionare annualmente sulle misure di sicurezza adottate e di allertare immediatamente il proprio committente in caso di situazioni anomale o di emergenze 5) di riconoscere il diritto del committente a verificare periodicamente l’applicazione delle norme di sicurezza adottate.
Abbiamo redatto il Documento Programmatico sulla Sicurezza e un allegato con le regole scritte da distribuire agli incaricati. Va bene? Oppure anche il Documento Programmatico sulla Sicurezza deve essere dato in copia a tutti? E' opportuno consegnare una copia del Documento Programmatico sulla Sicurezza ad ogni incaricato
Il mio Studio si occupa di tenuta contabilità per terzi, dichiarazione dei redditi ed anche di procedure concorsuali. Premesso che il segretario generale dell'ufficio del Garante Dott. Buttarelli (quotidiano Italia Oggi del 13.05.04) ha chiarito che l'opzione dell' 8 per mille esercitata dal contribuente nella dichiarazione dei redditi UNICO è da considerarsi dato sensibile, che le dichiarazioni vengono dallo Studio elaborate e conservate su PC e trasmesse telematicamente alla Amministrazione Finanziaria ed inoltre che tratto dati giudiziari relativi ai fallimenti sempre su PC, ritengo di dovere redigere il Documento Programmatico sulla Sicurezza ma di non dovere chiedere l'autorizzazione preventiva al trattamento dei dati sensibili. E' corretto? Si è corretto
Dai clienti a cui tengo la contabilità ricevo tutta la documentazione per adempiere all'incarico tra cui fatture acquisto/vendita, documentazione rapporti bancari, tutti dati che ritengo personali. Tutta questa documentazione viene da me conservata, per mia organizzazione interna, per almeno due anni (sia il cartaceo che i dati su PC). Chiedo se devo considerare titolare del trattamento il mio cliente mentre il mio studio dovrebbe essere l'unità esterna che è incaricato del trattamento dei dati. Se affermativo chi devo/posso considerare responsabile del trattamento dei dati? No. L'incaricato può essere solamente persona fisica, e quindi non può essere lo "incaricato" lo studio. In questo caso invece si tratta di affidamento di trattamento in out-sourcing, e lo studio diviene "titolare di autonomo trattamento".
Un albergo emette documento fiscale (fattura/ricevuta) con indicato il nome del cliente. Può desumersi indicazione di origine etnica / razziale il nome indicato nel documento fiscale posto che potrebbero essere nominativi di persone estere (origine slava, russa, araba, ebrea, anglosassone) e quindi dato sensibile? Se sì deve chiedere l'autorizzazione al trattamento al garante oppure c'è una autorizzazione generalizzata? Non si deve richiedere nessuna autorizzazione per questo tipo di trattamento. Ovviamente l'albergo in quanto "titolare di trattamento" deve adeguarsi al Dlg. N.196/2003, e applicare le "misure minime di sicurezza", e redigere il Documento Programmatico sulla Sicurezza., in quanto tratta dati sensibili.
Se si considera il caso del personale dipendente occupato nell'azienda: i cedolini busta paga, eventuale trattenute sindacali, certificati di malattia e/o infortuni devono essere considerati dati sensibili ? Se sì, come presumo, danno luogo all'obbligo di predisposizione del Documento Programmatico sulla Sicurezza anche se conservati su cartaceo o solo se mediante l'utilizzo di supporti informatici ? I dati dei dipendenti sono "dati sensibili". Il Documento Programmatico sulla Sicurezza deve essere redatto solo nel caso vengano trattati con strumenti elettronici.
Medico che conserva le varie diagnosi nella scheda paziente su supporto cartaceo deve redigere Documento Programmatico sulla Sicurezza? Mi sembra inoltre che i medici siano stati esonerati dalla richiesta di preventiva autorizzazione al Garante al trattamento dei dati sensibili. Se venissero conservate su PC cambierebbe qualcosa in ordine agli obblighi del medico? Ovviamente il medico tratta dati sensibili e in quanto "titolare di trattamento" deve adeguarsi al Dlg. N.196/2003, e applicare le "misure minime di sicurezza", e se utilizza strumenti elettronici deve redigere il Documento Programmatico sulla Sicurezza.
Chi controlla che le misure minime e gli altri adempimenti previsti dalla legge sono messi in pratica? I controlli vengono effettuati dalla Polizia Postale e dalla Guardia di Finanza sulla base di un protocollo di intesa con il Garante.
Per chi tratta i dati sensibili è sufficiente redigere il Documento Programmatico sulla Sicurezza? No. Non si deve confondere il Documento Programmatico sulla Sicurezza con le Misure minime di sicurezza specificate nell'Allegato B al Dlg. N.196/2003.
Se esiste una autorizzazione generale al trattamento dei dati, è possibile trattare i dati senza il consenso dell'interessato? No, è solo possibile omettere la notifica al Garante Ci sono molti casi in cui si può fare a meno di richiedere il consenso all'interessato. In particolare se ci sono disposizioni di legge o regolamenti comunitari, oppure se c'è un contratto, ecc…
I medici, che sono per legge tenuti al segreto professionale, possono registrare i dati dei loro assistiti senza chiedere il consenso? No, devono comunque chiedere il consenso al paziente e fornirgli l'informativa sul trattamento
Quali sono le regole da seguire per chi non tratta dati sensibili o giudiziari? E' difficile che una organizzazione (azienda, ente, studio professionale) non abbia archivi con dati sensibili: pensiamo per esempio ai certificati di malattia dei dipendenti!
E' vero che è obbligatorio per tutte le organizzazioni avere un Documento Programmatico della Sicurezza? In base a quanto stabilito dall'art. 34 del Dlg. N.196/2003 Il Documento Programmatico sulla Sicurezza è obbligatorio per tutti coloro che trattano che trattano dati personali con l'impiego di elaboratori elettronici.
E' obbligatorio specificare nel Documento Programmatico sulla Sicurezza anche una analisi dei rischi? Si, è esplicitamente richiesto al punto 19.6 dell'Allegato B del D.Lgs. 196/03 per tutte le organizzazioni che trattano dati sensibili con l'ausilio di elaboratori elettronici.
Una struttura alberghiera, che raccoglie i dati anche per un preciso obbligo di legge, dovendo fornire l'elenco degli ospiti alle Forze dell'Ordine, è esentata dal raccogliere il consenso al trattamento? No, il consenso va comunque raccolto secondo le modalità previste dalla legge, anche perchè il trattamento dei dati in una struttura alberghiera non si limita alla registrazione dei nominativi negli elenchi degli ospiti per le Forze di Polizia, ma ci sono sicuramente trattamenti ulteriori per la contabilità, la gestione dei clienti, etc. etc
Abbiamo un sito Web dove registriamo i nominativi dei nostri potenziali clienti. Come ci dobbiamo comportare? In questo caso dovete considerare questo tipo di trattamento in "out-sourcing" e prevedere che nel contratto che regola il rapporto con la vostra azienda il Provider dichiari: 1) di essere consapevole che i dati che tratterà nell’espletamento dell’incarico ricevuto, sono dati personali e, come tali sono soggetti all’applicazione del codice per la protezione dei dati personali; 2) di ottemperare agli obblighi previsti dal Codice per la protezione dei dati personali 3) di adottare le istruzioni specifiche eventualmente ricevute per il trattamento dei dati personali o di integrarle nelle procedure già in essere. 4) di impegnarsi a relazionare annualmente sulle misure di sicurezza adottate e di allertare immediatamente il proprio committente in caso di situazioni anomale o di emergenze 5) di riconoscere il diritto del committente a verificare periodicamente l’applicazione delle norme di sicurezza adottate.

 

 
 

Eventi


10/04/2005
Nell'ambito della BMT 2005, si è svolto il convegno sulla Privacy nel settore turistico

Dicono di noi:
Il Mattino
Il Denaro
GuidaViaggi

 

| homepage | Informativa sulla privacy | chi siamo | Offerta Privacy | Contatti | Job opportunity | Credits | e-mail |
© 2004 privacycampania.it è un marchio di Xenianet srl - P.IVA: 07873020635