Dal Codice privacy al Regolamento UE 2016/679: gli installatori e la sicurezza dei dati

di Avv. Roberta Rapicavoli - Avvocato esperto di privacy e diritto informatico. Docente di Ethos Academy 

Le regole in materia di protezione dei dati personali sono contenute nel D. Lgs. 196/2003 (Codice privacy), nonché nei Provvedimenti del Garante privacy (tra cui, ad esempio, quello del 2010 in materia di videosorveglianza). 

Dal 25 maggio 2018 però la disciplina in materia di privacy subirà delle modifiche, in quanto, a decorrere da tale data, troverà applicazione il Regolamento UE 2016/679.

Quali sono i principali aspetti che gli installatori devono conoscere, soprattutto per il ruolo che rivestono in merito al tema della sicurezza dei dati trattati attraverso le telecamere e i dispositivi installati?

Le regole in materia di privacy devono essere rispettate da qualsiasi soggetto (società, libero professionista …) che, nello svolgimento della sua attività, tratta dati personali – dovendosi con ciò intendere ogni operazione che comporta la conoscenza e la gestione di informazioni che consentono di identificare una persona fisica, come, ad esempio, l’archiviazione dell’anagrafica di un cliente per finalità contabili amministrative o l’utilizzo di un sistema di videosorveglianza per ragioni di sicurezza.

Tra gli obblighi prescritti dalla normativa in capo al titolare (ossia al soggetto che decide in ordine al trattamento dei dati) rivestono sicuramente rilievo quelli relativi alla sicurezza delle informazioni.

Tutti i titolari del trattamento sono infatti tenuti ad adottare specifiche misure tese a garantire la sicurezza dei dati.

Il Codice privacy distingue le misure di sicurezza minime – la cui adozione è obbligatoria – dalle misure idonee – il cui impiego è rimesso alla valutazione del titolare, in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento.

Tra le misure minime di sicurezza da adottare nel caso di trattamento di dati effettuato con strumenti elettronici rientra ad esempio, in base all’art. 34 del Codice privacy, l’autenticazione informatica, che può essere effettuata con varie modalità, tra cui, la più comune, è la gestione di username e password, da modificare al primo accesso e poi periodicamente, secondo le indicazioni contenute nel Disciplinare tecnico (allegato B al Codice privacy).

L’obbligo di adottare specifiche misure di sicurezza incombe sul titolare del trattamento, che però talvolta si avvale di soggetti terzi.

Il punto 25 dell’allegato B prevede tale ipotesi, indicando che il titolare che adotta misure minime di sicurezza avvalendosi di soggetti esterni, per provvedere alla esecuzione, riceve dall’installatore una descrizione scritta dell’intervento effettuato che ne attesta la conformità alle disposizioni del disciplinare tecnico.

Anche il Regolamento UE 2016/679 continua ad attribuire rilievo al tema della sicurezza, tanto da indicare l’obbligo di trattare i dati in maniera da garantire una loro adeguata sicurezza tra i principi generali (art. 5), la cui violazione è soggetta a sanzioni che possono arrivare fino al 4 % del fatturato annuo dell’impresa.