Bisogna fare chiarezza in merito agli adempimenti in materia di Privacy, che rimangono in capo ai Professionisti; a decorrere dal periodo di imposta 2012 è stato soppresso l’obbligo di tenuta del Documento Programmatico sulla Sicurezza ma è importante ribadire che sono rimasti obbligatori i così detti adempimenti sulle misure minime di sicurezza. Tale semplificazione ha quindi impattato sull’obbligo di tenuta di un documento che riepiloghi annualmente l’adozione delle misure minime di sicurezza, ma non sul rispetto delle stesse misure, tutt’oggi previsto dall’art.34, co.1 del D.Lgs. n.196/03. La norma obbliga a diversi adempimenti, tra cui:
- la nomina del titolare del trattamento dei dati, che generalmente coincide con la Società, nella persona del suo Legale rappresentante;
- la nomina dei responsabili del trattamento dei dati;
- la nomina degli incaricati al trattamento dei dati;
- la nomina dell’amministratore di sistema;
- il rilascio di apposita informativa;
- la preventiva richiesta del consenso al trattamento dei dati;
- la notificazione al Garante della Privacy, quando ricorra l’obbligo;
- l’adozione di idonee misure di sicurezza, per garantire che i dati personali vengano custoditi e controllati in modo da ridurre ad un ragionevole margine il rischio di sottrazione, alterazione, perdita degli stessi; il rischio di accesso non autorizzato da parte di terzi e il rischio di trattamento di dati non consentito e non conforme a quanto normativamente previsto.
Rilevante importanza riveste il ruolo della formazione interna allo studio, necessaria al fine di “educare” collaboratori e incaricati al trattamento, rispetto a come comportarsi nella tutela dei dati gestiti. E’ importante ricordare che per la violazione delle disposizioni in materia di trattamento dei dati personali (agli artt. 161 – 172 del Codice) sono previste sanzioni piuttosto severe; basta fare riferimento ad alcune, inerenti le violazioni più comuni.
Per violazione delle norme sull’informativa all’interessato sono previste sanzioni amministrative pecuniarie da 3.000,00 a 18.000,00 euro (da 5.000,00 a 30.000,00 euro nel caso di dati sensibili o giudiziari). La sanzione può essere triplicata qualora risulti inefficace in ragione delle condizioni economiche del contravventore. Per omessa adozione delle misure minime di sicurezza è previsto l’arresto fino a due anni o il pagamento di un’ammenda da 10.000,00 a 50.000,00 euro. Per trattamento illecito di dati personali, invece, (violazione delle norme sul consenso dell’interessato, sullo spamming, sui dati sensibili o giudiziari, sulla comunicazione e diffusione, sul trasferimento all’estero, ecc.) sono previste sanzioni penali con reclusione fino a tre anni. Per inosservanza dei provvedimenti del Garante, infine, sono previste sanzioni penali con reclusione fino a due anni.
Possiamo dunque affermare che a livello legislativo è stato tolto l’obbligo di redazione del Documento, ma essendo rimasti in atto gli obblighi di adozione delle misure minime di sicurezza, le stesse devono essere definite, diffuse e tracciabili all’interno di ogni studio.
