La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

Struttura del codice sulla privacy : I parte (Disposizioni generali) riguardanti le regole sostanziali della disciplina del trattamento dei dati personali,

Presentazioni simili


Presentazione sul tema: "Struttura del codice sulla privacy : I parte (Disposizioni generali) riguardanti le regole sostanziali della disciplina del trattamento dei dati personali,"— Transcript della presentazione:

1 Struttura del codice sulla privacy : I parte (Disposizioni generali) riguardanti le regole sostanziali della disciplina del trattamento dei dati personali, applicabili a tutti i trattamenti, nonché le regole specifiche che si devono osservare per i trattamenti effettuati da soggetti pubblici e quelle che trovano applicazione per i trattamenti effettuati da soggetti privati e da enti pubblici economici (artt. da 1 a 45). II parte (Disposizioni per specifici settori) si applicano a particolari trattamenti, ad integrazione o eccezione delle disposizioni generali contenute nella I^ parte (artt. da 46 a 140). III parte (Tutele e sanzioni) contenente disposizioni relative alle azioni di tutela dellinteressato ed al sistema sanzionatorio (artt. da 141 a 172), nonché le norme di modifica, finali e di carattere transitorio (artt. da 173 a 186).

2 Finalità del codice : - Il codice garantisce a chiunque il diritto alla protezione dei propri dati personali e assicura che il trattamento degli stessi si svolga nel rispetto dei diritti e delle libertà fondamentali, nonché della dignità dell'interessato, in particolare del diritto alla riservatezza. La tutela è riconosciuta non solo alle persone fisiche ma anche a quelle giuridiche; la sfera dei diritti fondamentali, eventualmente riconosciuti in altra sede dallordinamento alle persone fisiche, viene in tal modo ampliata anche a soggetti diversi dalle persone fisiche (art. 1). - Viene introdotto il principio di semplificazione nellelevata tutela secondo il quale lelevato grado di tutela dei diritti è assicurato nel rispetto dei principi di semplificazione, armonizzazione ed efficacia delle modalità con le quali sono esercitati i medesimi diritti o devono essere adempiuti gli obblighi previsti a carico dei titolari del trattamento (art. 2).

3 Ambito di applicazione: Si applica - al trattamento di dati personali, anche detenuti allestero, effettuato da chiunque è stabilito nel territorio dello Stato o in un luogo comunque soggetto alla sovranità dello Stato; - al trattamento di dati personali effettuato da qualunque soggetto stabilito in un Paese non appartenente allU.E. che impieghi strumenti situati nel territorio dello Stato anche diversi da quelli elettronici. Non si applica - al trattamento di dati personali effettuato da persone fisiche per fini esclusivamente personali (salvo che i dati siano destinati ad una comunicazione sistematica o alla diffusione). In ogni caso trovano applicazione le norme generali in tema di responsabilità e di sicurezza dei dati

4 Definizioni: Trattamento qualunque operazione (o complesso di operazioni), effettuata anche senza l'ausilio di strumenti elettronici, concernente la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati [art. 4, lett. a)] Dato personale qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale [art. 4, lett. b)] Dati identificativi i dati personali che consentono di identificare direttamente linteressato, (al contrario del dato anonimo, ovverosia quel dato che, in origine o a seguito di trattamento, non può essere associato ad un soggetto identificato o identificabile) [art. 4, lett. c) ed n)]

5 Dati giudiziari i dati idonei a rivelare l esistenza di provvedimenti giudiziari penali di condanna definitivi, la qualità di imputato o di indagato, etc. [art. 4, lett. e)] Titolare la persona fisica o la persona giuridica, la P.A. e qualsiasi altro ente, associazione od organismo nel suo complesso, cui compete (anche unitamente ad altro titolare) un potere decisionale del tutto autonomo sulle finalità e sulle modalità del trattamento di dati personali e degli strumenti utilizzati, compreso il profilo della sicurezza [art. 4, lett. f) ed art. 28] Responsabile la persona fisica, la persona giuridica, la P.A. e qualsiasi altro ente, associazione od organismo, facoltativamente preposto dal titolare al trattamento di dati personali, individuato tra soggetti che per esperienza, capacità ed affidabilità forniscano idonea garanzia del pieno rispetto della disciplina in materia di trattamento [art. 4, lett. g) ed art. 29] Definizioni:

6 Incaricati le persone fisiche, autorizzate (per iscritto e con una puntuale individuazione dellambito del trattamento consentito) a compiere operazioni di trattamento dal titolare o dal responsabile, che operano sotto la diretta autorità di costoro [art. 4, lett. h) ed art. 30] Interessato la persona fisica, la persona giuridica, lente o lassociazione cui si riferiscono i dati personali [art. 4, lett. i)] Dati sensibili i dati personali idonei a rivelare l' origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l' adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale [art. 4, lett. d)] Definizioni:

7 I diritti dellinteressato: Diritto di ottenere - la conferma dellesistenza di dati personali, anche se non ancora registrati, e la loro comunicazione in forma intelligibile - lindicazione delle finalità e delle modalità del loro trattamento - la logica applicata in caso di trattamento con strumenti elettronici - gli estremi identificativi del titolare, del responsabile (e del rappresentante designato ai sensi dellart. 5, comma 2) - i soggetti o le categorie di soggetti a cui possono essere comunicati i dati o che possono venirne a conoscenza in qualità di responsabile, di incaricato (o di rappresentante designato nel territorio dello Stato) - laggiornamento, la rettifica e lintegrazione dei dati, la loro cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge - lattestazione che tali operazioni sono state portate a conoscenza degli eventuali soggetti cui i dati erano stati comunicati Diritto di opporsi - al trattamento dei dati personali che lo riguardano per motivi legittimi - al trattamento di dati personali che lo riguardano a fini di invio di materiale pubblicitario, di direct marketing o per il compimento di indagini di mercato

8 Adempimenti: informativa il titolare ha l obbligo di informare previamente, per iscritto od anche oralmente, l'interessato o la persona presso cui sono raccolti i dati personali circa le modalità ed i fini del loro utilizzo (art. 13) consenso il trattamento dei dati personali non può essere effettuato senza il consenso espresso dellinteressato (art. 23 e ss.) nomina del responsabile il titolare ha la facoltà di designare un responsabile che vigili sulla puntuale osservanza della disciplina sulla privacy (art. 29) nomina incaricati il trattamento dei dati può essere effettuato dai dipendenti solo se incaricati per iscritto e con puntuale individuazione del trattamento consentito (art. 30) notificazione in determinate ipotesi residuali il titolare ha lobbligo di segnalare allautorità i trattamenti di dati che intende effettuare (art. 37 e ss.)

9 a) le finalità e le modalità del trattamento cui sono destinati i dati; b) la natura obbligatoria o facoltativa del conferimento dei dati; c) le conseguenze di un eventuale rifiuto di rispondere; d) i soggetti (o le categorie di soggetti) a cui possono essere comunicati i dati personali o che possono venirne a conoscenza in qualità di membri della filiera del trattamento del titolare (responsabili e incaricati), nonché lambito di diffusione dei dati medesimi; e) i diritti di cui all'articolo 7; f) gli estremi identificativi del titolare e, se designato, del responsabile (e del rappresentante nel territorio dello Stato); - ulteriori elementi indicati dal codice in caso di determinati trattamenti. 1. Linformativa 1.1. Requisiti:

10 a) i dati sono trattati in base ad un obbligo previsto dalla legge, da un regolamento o dalla normativa comunitaria; b) i dati sono trattati ai fini dello svolgimento di investigazioni difensive, o, comunque, per far valere o difendere un diritto in sede giudiziaria, sempre che i dati siano trattati esclusivamente per tali finalità e per il periodo strettamente necessario al loro perseguimento; c) linformativa allinteressato comporta un impiego di mezzi che il Garante dichiari manifestamente sproporzionati rispetto al diritto tutelato, ovvero si riveli, a giudizio del Garante, impossibile Casi di esclusione: Nel caso in cui i dati personali non siano raccolti presso linteressato, lobbligo dellinformativa è escluso se: 1. Linformativa … diversamente linformativa dovrà essere fornita allinteressato allatto della registrazione dei dati o, quando è prevista la loro comunicazione, non oltre la prima comunicazione.

11 a) deve essere necessariamente espresso dallinteressato affinché il titolare possa procedere al trattamento di dati personali; b) può riguardare lintero trattamento ovvero una o più operazioni dello stesso ; c) è validamente prestato solo se: - è espresso liberamente e specificamente in riferimento ad un trattamento chiaramente individuato; - è documentato per iscritto (quando il trattamento riguarda dati sensibili deve essere manifestato per iscritto); - è stata resa all'interessato linformativa di cui all'articolo Il consenso 2.1. Requisiti:

12 a) è necessario per adempiere ad un obbligo previsto dalla legge, da un regolamento o dalla normativa comunitaria; b) è necessario per eseguire obblighi derivanti da un contratto del quale è parte l'interessato o per adempiere, prima della conclusione del contratto, a specifiche richieste dellinteressato; c) riguarda dati provenienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque, fermi restando i limiti e le modalità che le leggi, i regolamenti o la normativa comunitaria stabiliscono per la conoscibilità e pubblicità dei dati; d) riguarda dati relativi allo svolgimento di attività economiche, trattati nel rispetto della vigente normativa in materia di segreto aziendale e industriale; 2.2. Casi di esclusione: Oltre che nei casi previsti nella Parte II il consenso non è richiesto quando il trattamento: 2. Il consenso

13 e) è necessario per la salvaguardia della vita o dellincolumità fisica di un terzo; f) è necessario ai fini dello svolgimento di investigazioni difensive, o, comunque, per far valere o difendere un diritto in sede giudiziaria; g) è necessario, nei casi individuati dal Garante, per perseguire un legittimo interesse del titolare o di un terzo destinatario dei dati, anche in riferimento allattività di gruppi bancari e di società controllate o collegate; h) è effettuato da associazioni, enti od organismi senza scopo di lucro, anche non riconosciuti, in riferimento a soggetti che hanno con essi contatti regolari o ad aderenti, per il perseguimento di scopi determinati e legittimi individuati dallatto costitutivo, dallo statuto o dal contratto collettivo; i) è necessario, in conformità ai rispettivi codici di deontologia, per esclusivi scopi scientifici o statistici, ovvero per esclusivi scopi storici. 2. Il consenso 2.2. Casi di esclusione:

14 1) facoltatività della nomina (che deve essere effettuata per iscritto ed accettata dal soggetto cui è conferita la funzione, e può ricadere su una persona fisica o giuridica, anche non facente parte dellorganizzazione del titolare); 2) sua individuazione tra soggetti che per esperienza, capacità ed affidabilità forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza; 3) possibilità di designare responsabili più soggetti, anche mediante suddivisione di compiti, per esigenze organizzative; 4) specificazione analitica dei compiti affidati al responsabile, che deve avvenire per iscritto; 5) svolgimento della funzione di responsabile in conformità alle istruzioni impartite dal titolare il quale vigila, anche tramite verifiche periodiche, sulla puntuale osservanza delle disposizioni in materia di trattamento dei dati e delle proprie istruzioni. 3. La nomina del responsabile

15 1) le operazioni di trattamento possono essere effettuate (oltre che dal titolare e dal responsabile) anche da incaricati che operano sotto la diretta autorità del titolare o del responsabile, attenendosi alle istruzioni impartite; 2) la designazione dellincaricato deve essere effettuata: - per iscritto, con individuazione puntuale dellambito del trattamento consentito; - oppure tramite documentata preposizione della persona fisica ad ununità per la quale è individuato, per iscritto, lambito del trattamento consentito agli addetti allunità medesima; 3) pur non essendo previsto dal codice, è opportuno che latto di nomina o quello di preposizione di una persona ad una determinata unità sia sottoscritto, per accettazione, dallincaricato. 4. La nomina degli incaricati

16 Misure di sicurezza: Il Titolare del trattamento deve adottare idonee e preventive misure di sicurezza per ridurre al minimo i rischi di: a) distruzione/ perdita dei dati; b) accesso non autorizzato; c) trattamento non consentito o non conforme alla finalità della raccolta. 1. La regola generale Sono disciplinate sia nel testo del codice (artt ) che dal Disciplinare Tecnico contenuto nellallegato B.

17 Misure di sicurezza: Di adozione obbligatoria, sono necessarie ma non sufficienti, nel senso che il titolare è comunque tenuto a garantire la sicurezza dei dati con strumenti idonei in relazione al caso concreto e ne risponde sia penalmente che civilmente. Le misure di sicurezza si distinguono a seconda che il trattamento sia effettuato o meno con lausilio di mezzi elettronici. Qualora siano trattati dati sensibili sono previste misure ulteriori. 2. Le misure minime di sicurezza

18 a) autenticazione informatica; b) adozione di procedure di gestione delle credenziali di autenticazione; c) utilizzazione di un sistema di autorizzazione; d) aggiornamento periodico dellindividuazione dellambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici; e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti, accessi non consentiti e a determinati programmi informatici; f) adozione di procedure per la custodia di copie di sicurezza, ripristino della disponibilità di dati e sistemi; g) tenuta di un aggiornato documento programmatico sulla sicurezza Trattamento con strumenti elettronici Misure minime di sicurezza per tutti i trattamenti

19 Autenticazione è lidentificazione di chi effettua il trattamento. Credenziali per lautenticazione sono i mezzi attraverso i quali è effettuata lidentificazione, che solitamente sono: a) la parola chiave, esclusiva, può essere conosciuta solo dallincaricato e deve essere cambiata ogni sei mesi, tre mesi se sono trattati dati sensibili. Le modalità per accedere al computer in assenza dellincaricato devono essere prestabilite dal titolare per iscritto e devono osservare determinate regole stabilite dallAllegato B al codice ; b) il codice identificativo personale, esclusivo. Profilo di autorizzazione è lindividuazione dei trattamenti consentiti a ciascun incaricato e dei dati che ne costituiscono loggetto, che deve essere fatta preventivamente al trattamento per iscritto, essere limitata ai dati il cui trattamento è necessario, e riverificata con cadenza almeno annuale Trattamento con strumenti elettronici Misure minime di sicurezza per tutti i trattamenti

20 La protezione contro il rischio di intrusione di programmi pirata è da assicurarsi con programmi da aggiornarsi con cadenza almeno semestrale. I programmi volti a prevenire le vulnerabilità degli strumenti e a correggerne i difetti devono essere aggiornati con cadenza almeno annuale, semestrale se sono trattati dati sensibili. Deve essere assicurato il salvataggio dei dati con frequenza almeno settimanale. La tenuta di un aggiornato documento programmatico sulla sicurezza è ora prevista a carico di tutti i titolari di trattamenti di dati personali. Il Titolare deve riferire nella Relazione accompagnatoria del bilancio desercizio, se dovuta, lintervenuta redazione o laggiornamento del documento programmatico sulla sicurezza Trattamento con strumenti elettronici Misure minime di sicurezza per tutti i trattamenti

21 Oltre a tutte le misure elencate sopra, sono inoltre necessarie: a) tecniche di cifratura o codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari; b) redazione del documento programmatico sulla sicurezza entro il 31 marzo di ogni anno, contenente le informazioni elencate nellallegato B al Codice (art. 19); c) idonei strumenti elettronici di protezione contro accessi abusivi; d) regole per la custodia e luso dei supporti rimovibili su cui sono memorizzati i dati; e) distruzione dei supporti non utilizzati o cancellazione in modo tecnicamente non ricostruibile dei dati ivi memorizzati; f) misure per assicurare il ripristino dellaccesso ai dati da parte degli interessati in caso di danneggiamento dei dati o degli strumenti in tempi compatibili con i diritti degli interessati e comunque non oltre sette giorni; g) ottemperanza a regole particolari dettate dallallegato B art. 24 per i trattamenti effettuati da organismi sanitari ed esercenti professioni sanitarie Trattamento con strumenti elettronici Misure ulteriori per il trattamento di dati sensibili

22 a) aggiornamento periodico - almeno annuale - dellindividuazione dellambito del trattamento consentito ai singoli incaricati o alle unità organizzative. Agli incaricati devono essere impartite istruzioni scritte; b) previsione di procedure per unidonea custodia di atti e documenti affidati agli incaricati per lo svolgimento dei relativi compiti; c) previsione di procedure per la conservazione di determinati atti, in particolare quelli contenenti dati sensibili, in archivi ad accesso selezionato e disciplina delle modalità daccesso finalizzata allidentificazione degli incaricati che lo effettuano Trattamento senza strumenti elettronici Misure minime di sicurezza Nota bene: se per limplementazione delle misure di sicurezza il titolare si avvale di un soggetto esterno, linstallatore dovrà descrivere per iscritto lintervento e attestarne la conformità al disciplinare tecnico allegato al codice.


Scaricare ppt "Struttura del codice sulla privacy : I parte (Disposizioni generali) riguardanti le regole sostanziali della disciplina del trattamento dei dati personali,"

Presentazioni simili


Annunci Google