Decreto Legislativo 30 giugno 2003, n. 196
“CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI”
Scadenza ultima per l’adeguamento: 31/03/2006
La professione di architetto prevede l’impiego di dati personali soggetti alla normativa di tutela della privacy. La normativa prevede una sostanziale differenza tra dati personali comuni (quelli impiegati per lo svolgimento della professione di architetto) e dati personali sensibili o giudiziari, che si concretizza in una riduzione degli adempimenti obbligatori. Nel caso di uno studio professionale di architettura gli adempimenti sono sinteticamente:
| ADEMPIMENTO | Dati personali comuni |
| Informativa | SI |
| Notifica al Garante | NO |
| Consenso dell’interessato | NO |
| Misure di sicurezza | SI |
INFORMATIVA ALL’INTERESSATO
Prima dell’inizio del trattamento, il titolare è tenuto a dare alla persona i cui dati trattati si riferiscono (all’interessato), oralmente o per iscritto, 
InformativaStudioSingolo.doc un’ informativa contenente la finalità e le modalità del trattamento, la natura obbligatoria o facoltativa del conferimento dei dati, l’ambito di diffusione dei dati, i diritti dell’interessato, il titolare e il trattamento.
CONSENSO
Per poter trattare i dati personali è necessario avere preventivamente ottenuto il consenso dell’interessato. Se non riguarda dati sensibili, il consenso può essere anche verbale ma deve comunque essere documentato per iscritto.
MISURE DI SICUREZZA
Al fine di controllare e custodire i dati personali contro i rischi di distruzione e/o di perdita, il Codice richiede, in generale, l’adozione di misure idonee di sicurezza, prevedendo inoltre alcune misure minime di sicurezza, ritenute indispensabili.
TRATTAMENTO CARTACEO Dati comuni
● istruzioni scritte (vedi modello Allegato A)
TRATTAMENTO INFORMATIZZATO Dati comuni
● credenziali di autenticazione (ID e password)
● istruzioni per la sorveglianza delle macchine
● antivirus con aggiornamento almeno semestrale
● salvataggio dei dati con frequenza almeno settimanale
Il titolare
Nell’ambito delle professioni liberali, e segnatamente all’interno di uno studio professionale, per l’identificazione della figura del titolare ricorrono due ipotesi:
a) studio individuale: il titolare del trattamento è il titolare dello studio
b) studio associato:
● trattamento di dati relativi a clienti propri, senza intervento dei colleghi: ogni professionista è titolare del trattamento dei dati relativi ai propri clienti
● trattazione congiunta dell’attività di studio: individuazione di un unico titolare, che potrà nominare gli altri professionisti associati quali responsabili del trattamento
● tutti i professionisti possono essere considerati contitolari del trattamento
Tutti gli altri soggetti che operano nello studio saranno nominati “incaricati”.
TRATTAMENTO DI DATI SENZA L’AUSILIO DI STRUMENTI ELETTRONICI
● Agli incaricati sono impartite istruzioni scritte per il controllo e la custodia, per il periodo necessario alle operazioni, degli atti e dei documenti contenenti i dati.
TRATTAMENTO DI DATI CON STRUMENTI ELETTRONICI
● Il trattamento è consentito solo ad incaricati dotati di credenziali di autenticazione relative ad uno specifico trattamento o ad un insieme di trattamenti.
● Le credenziali per l’autenticazione consistono in un codice per l’identificazione (ID) dell’incaricato associato a una parola chiave riservata (password) conosciuta solamente dal medesimo. Ad ogni incaricato è assegnata una credenziale, e vengono impartite istruzioni per adottare le necessarie cautele per assicurare la segretezza della password.
● La password è composta da almeno otto caratteri (oppure il numero massimo dei caratteri consentiti dal sistema, se inferiori ad otto), e non deve contenere riferimenti che possano facilmente ricondurla all’incaricato; quest’ultimo la deve modificare in occasione del primo utilizzo e, successivamente, con cadenza semestrale.
● Il codice identificativo (ID) non può essere assegnato ad altri incaricati, neppure in tempi diversi.
● Qualora la persona cui è consentito l’accesso ai dati perda la qualifica di incaricato (es. dimissioni), le relative credenziali devono essere disattivate.
● Agli incaricati sono impartite istruzioni affinché il computer non sia lasciato incustodito ed accessibile durante le operazioni di trattamento dei dati.
● Quando l’accesso ai dati e agli strumenti elettronici è consentito esclusivamente mediante uso della componente riservata della credenziale per l’autenticazione, sono impartite idonee e preventive disposizioni scritte volte a individuare chiaramente le modalità con le quali il titolare può assicurare la disponibilità di dati o strumenti elettronici in caso di prolungata assenza o impedimento dell’incaricato che renda indispensabile e indifferibile intervenire per esclusive necessità di operatività e di sicurezza del sistema. In tal caso la custodia delle copie delle credenziali è organizzata garantendo la relativa segretezza e individuando preventivamente per iscritto i soggetti incaricati della loro custodia.
● I dati devono essere protetti contro il rischio di intrusione/azione di Modello A.docprogrammi con idonei strumenti (antivirus), da aggiornare almeno ogni sei mesi.
● Devono essere impartite istruzioni organizzative e tecniche per il salvataggio dei dati, con frequenza almeno settimanale.