La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

D. Lgs 196/2003 - overview Pagina 1 CONI Servizi S.p.A. D. Lgs 196/2003 - Codice in materia di protezione dei dati personali.

Presentazioni simili


Presentazione sul tema: "D. Lgs 196/2003 - overview Pagina 1 CONI Servizi S.p.A. D. Lgs 196/2003 - Codice in materia di protezione dei dati personali."— Transcript della presentazione:

1 D. Lgs 196/ overview Pagina 1 CONI Servizi S.p.A. D. Lgs 196/ Codice in materia di protezione dei dati personali

2 D. Lgs 196/ overview Pagina 2 Indice ► Concetti generali ► Principi generali per il trattamento dei dati ► Adempimenti per la legittimità del trattamento ► Adempimenti formali ► Adempimenti strutturali ► Responsabilita’ e sanzioni ► allegati

3 D. Lgs 196/ overview Pagina 3 Concetti generali A decorrere dal 1° gennaio 2004 è entrato in vigore il decreto legislativo 30 giugno 2003, n. 196, definito "Codice in materia di protezione dei dati personali ". Il nuovo Testo unico ha inteso accorpare ed armonizzare tutte le disposizioni che, a partire dalla "normativa madre", data dalla legge 31 dicembre 1996, n. 675, avevano dapprima introdotto, poi modificato e integrato, il principio del diritto alla tutela dei dati personali. Il codice racchiude in sé, infatti, ciò che in precedenza era contenuto in circa una decina tra leggi e decreti e un numero considerevole di direttive comunitarie.

4 D. Lgs 196/ overview Pagina 4 4 Il codice è diviso in tre parti La prima parte è dedicata alle disposizioni generali, ordinate in modo da trattare tutti gli adempimenti e le regole del trattamento con riferimento ai settori pubblico e privato La seconda parte è dedicata a settori specifici. Essa, oltre a disciplinare aspetti specifici, introduce la disciplina per il settore sanitario e quella dei controlli sui lavoratori La terza parte affronta la materia della tutela amministrativa e giurisdizionale con il consolidamento delle sanzioni amministrative e penali e con le disposizioni sull’ufficio del garante Concetti generali

5 D. Lgs 196/ overview Pagina 5 5 Il codice disciplina il trattamento dei dati personali effettuato da chiunque è stabilito nel territorio dello Stato. Il trattamento di dati personali effettuato da persone fisiche per fini esclusivamente personali è soggetto all’applicazione del codice solo se i dati sono destinati a comunicazione sistematica o a diffusione. Si applicano in ogni caso le disposizioni in tema di responsabilità e sicurezza dei dati di cui agli art. 15 e 31 Concetti generali

6 D. Lgs 196/ overview Pagina 6 6 “dato personale” è qualunque informazione relativa a persona fisica, (prima del d.l.201/2011 art 40 c.2 : persona giuridica, ente od associazione), identificata o identificabile, anche in modo indiretto, mediante riferimento a qualsiasi altra informazione, compreso il numero di identificazione personale (Art. 2 Direttiva 95/46/CE “qualsiasi informazione concernente una persona fisica identificata o identificabile; si considera identificabile la persona che può essere identificata, direttamente o indirettamente, in particolare mediante riferimento ad un numero di identificazione o ad uno o più elementi specifici caratteristici della sua identità fisica, fisiologica, psichica, economica, culturale o sociale”) Concetti generali

7 D. Lgs 196/ overview Pagina 7 7 “dato personale” (Art. 2 Direttiva 95/46/CE “ qualsiasi informazione concernente una persona fisica identificata o identificabile; si considera identificabile la persona che può essere identificata, direttamente o indirettamente, in particolare mediante riferimento ad un numero di identificazione o ad uno o più elementi specifici caratteristici della sua identità fisica, fisiologica, psichica, economica, culturale o sociale”) Informazioni di natura oggettiva o soggettiva (valutazioni), Non necessariamente un dato testuale (può trattarsi di un immagine, di registrazione della voce). Nei servizi di phone banking la voce del cliente che impartisce istruzioni alla banca è un dato personale. I disegni di un bambino riferiti ai genitori possono essere dati personali. Concetti generali

8 D. Lgs 196/ overview Pagina 8 8 “dato personale” (Art. 2 Direttiva 95/46/CE “qualsiasi informazione concernente una persona fisica identificata o identificabile; si considera identificabile la persona che può essere identificata, direttamente o indirettamente, in particolare mediante riferimento ad un numero di identificazione o ad uno o più elementi specifici caratteristici della sua identità fisica, fisiologica, psichica, economica, culturale o sociale”) a. Per contenuto: il dato riguarda direttamente una persona (dati contenuti in un referto medico). b. Per finalità: il dato è usato per valutare o condizionare i comportamenti (registro con chiamate effettuate e ricevute). c. Per risultato: l’uso del dato impatta sui diritti della persona (rilevazione delle posizione di una persona). Concetti generali

9 D. Lgs 196/ overview Pagina 9 9 “dato personale” (Art. 2 Direttiva 95/46/CE “qualsiasi informazione concernente una persona fisica identificata o identificabile; si considera identificabile la persona che può essere identificata, direttamente o indirettamente, in particolare mediante riferimento ad un numero di identificazione o ad uno o più elementi specifici caratteristici della sua identità fisica, fisiologica, psichica, economica, culturale o sociale”) Il parere 4/2007 del Gruppo art.29 evidenzia che la direttiva si riferisce alle persone fisiche ma che gli stati membri possono estendere la protezione alle persone giuridiche come è accaduto in Italia fino al d.l.201/2011 Il dato personale non fa riferimento alla riservatezza (diritto di escludere altri dalla conoscenza di vicende personali e familiari). I diritti sono distinti. Il dato personale non è necessariamente riservato (numero di telefono, indirizzo di posta elettronica) Qualsiasi informazione, riferibile anche indirettamente a qualsiasi soggetto? Oggetto della legge non è la riservatezza ma il trattamento delle informazioni Concetti generali

10 D. Lgs 196/ overview Pagina “dato identificativo e dato anonimo” Dato identificativo: informazione che permette una identificazione diretta del soggetto a cui i dati si riferiscono (nome e cognome, ma non il codice fiscale). Dato anonimo:dato che in origine o a seguito di trattamento non può essere riferito ad un soggetto identificato o identificabile. Un dato è anonimo se riguarda una persona fisica che non può essere identificata dal responsabile del trattamento o da altri prendendo in considerazione i mezzi e gli strumenti che possono essere ragionevolmente usati (parere 4/2007) Tale dato è fuori dall’ambito di protezione, tuttavia il parere 2/2010 del Gruppo di lavoro art.29 sulla pubblicità comportamentale on line ovvero sul monitoraggio del comportamento degli utenti al fine di realizzare un profilo che prescinde dall’identificazione dell’utente (tracciamento della navigazione web). Il Gruppo esprime necessità di tutelare anche il dato anonimo di tracciamento attraverso informativa e consenso. Si tutela il trattamento delle informazioni non solo dei dati personali. Concetti generali

11 D. Lgs 196/ overview Pagina “dati sensibili” sono i dati personali idonei a rilevare:  l’origine razziale ed etnica,  le convinzioni religiose, filosofiche o di altro genere,  le opinioni politiche, l’adesione a partiti, sindacati,  l’appartenenza a associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale,  lo stato di salute e la vita sessuale L’elencazione è tassativa, ma elastica (dati idonei a…). Collegamento potenziale non diretto e attuale: dati che possono consentire di rivelare, ma che non necessariamente individuano…(es scelte alimentari in mensa per allergie o religione) Concetti generali

12 D. Lgs 196/ overview Pagina “dati sensibili” I dati atti a rilevare la personalità etico sociale e le caratteristiche psico-sanitarie sono oggetto di regole particolare nel Codice. Il concetto è la riferibilità, non la diretta connessione: dati idonei a rilevare… Per esempio, Per i privati: la forma scritta per il consenso è richiesto non solo per la sua prova ma anche per la sua validità e ci si deve attenere alle autorizzazioni generali del Garante (art.26 c1) Per i soggetti pubblici: non si richiede il consenso, ma il trattamento deve essere previsto e autorizzato dalla legge (art.20 c1) Le sanzioni sono più dure: trattamento di dati illeciti se dati sensibili reclusione da 1 a 3 anni, dati personali da 6 mesi a 2 anni (art167) Concetti generali

13 D. Lgs 196/ overview Pagina “dati sensibilissimi” I dati atti a rilevare lo stato di salute e la vita sessuale (parte II, titolo V) Dati sanitari:quelli che rivelano la malattia o quelli che non rivelano la malattia ma che rivelano che esiste un problema di salute? MATERIA RICCA DI ATTI DEL GARANTE “Linee guida in materia di trattamento di dati personali dei lavoratori per finalità di gestione del rapporto di lavoro ”Autorizzazione 1/2011 al trattamento dei dati sensibili nei rapporti di lavoro” “Autorizzazione al trattamento di dati sanitari” Es. provv 18/06/09. ricorso del dipendente che lamentava che la busta paga recava in forma esplicita la dicitura “appartenente a categorie svantaggiate”. Accolto. provv 25/06/09 sul sito web della Prov. di Foggia due determinazioni delle Risorse Umane su richiesta di riconoscimento di infermità da causa di servizio di dipendente. Diffusione di dati sensibili è vietata (art 26c.5). Prescrizione 29/04/09. lo scontrino di acquisto di medicinali emesso a fini fiscali deve riportare in luogo della denominazione del farmaco il numero di autorizzazione di messa in commercio Concetti generali

14 D. Lgs 196/ overview Pagina “dati giudiziari” I provvedimenti giudiziari penali di condanna, i provvedimenti giudiziari concernenti le pene e la riabilitazione, la qualità di imputato e la qualità di indagato. Equiparati ai dati sensibili. Il trattamento è consentito solo se autorizzato da legge o provvedimento del garante che specifici le finalità di rilevante interesse pubblico, i tipi di dati trattati e le operazioni eseguibili Concetti generali

15 D. Lgs 196/ overview Pagina 15 Concetti generali Certificati medici con diagnosi Regime alimentare mensa

16 D. Lgs 196/ overview Pagina “trattamento” qualunque operazione o insieme di operazioni, compiute anche senza il supporto di strumenti elettronici, concernenti la raccolta, la registrazione, l’organizzazione, la conservazione, la consultazione, l’elaborazione, la modificazione, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non sono registrati in una banca dati Concetti generali ► Registrazione fatture; ► Catalogazione dati (anagrafici, fiscali, ecc.); ► Consultazione e archiviazione fascicoli cartacei; ► Elaborazione buste paga; ► Aggiornamento denunce infortuni; ► Comunicazione dati all’INPS, all’INAIL, a banche, ecc.; ► Esame e conservazione certificati medici (idoneità al lavoro, malattia); ► Raccolta dati ai fini della partecipazione a concorsi a premi; ► Raccolta dati inerenti informazioni commerciali.

17 D. Lgs 196/ overview Pagina 17 Per “trattamento” si intende una delle seguenti operazioni, automatizzate o manuali: Concetti generali

18 D. Lgs 196/ overview Pagina 18 I trattamenti di comunicazione e diffusione A differenza degli altri trattamenti, hanno ricevuto apposite disposizioni normative, per i maggiori rischi in cui incorrere l’interessato. Art 19 un soggetto pubblico può comunicare dati ad altro soggetto pubblico solo se previsto da norma di legge o regolamento o se comunicato al Garante il trattamento (45 gg per la risposta) in caso di finalità istituzionali. un soggetto pubblico può comunicare dati a soggetto privato o fare diffusione solo se previsto da norma di legge o regolamento La comunicazione da parte di un titolare privato deve avvenire sempre attraverso la raccolta del consenso informato dell’interessato a meno delle circostanze art.24 (obblighi derivanti da un contratto, obbligo di legge, …) Art 26 I dati idonei a rilevare lo stato di salute non possono essere diffusi Art.84 I dati idonei a rivelare lo stato di salute possono essere resi noti all’interessato solo dal medico designato Linee guida in materia di pubblicazione sul web di atti e documenti amministrativi es L’università può comunicare i nominativi dei neolaureati alle imprese solo se previsto da regolamento Concetti generali

19 D. Lgs 196/ overview Pagina 19 La conservazione Art.11 i dati sono conservati in modo da consentire l’identificazione dell’interessato per un periodo di tempo non superiore al periodo necessario agli scopi per cui i dati sono raccolti. Successivamente possono essere conservati con le adeguate garanzie per scopi storici, statistici o scientifici. Es: “codice di deontologia per trattamenti per scopi statistici o scientifici” allegato a4, i dati identificativi se possibile devono essere conservati separatamente dagli altri. A volte normativa detta limiti specifici: Provvedimento sulla videosorveglianza, da poche ore a max una settimana, se attività rischiosa. Circolare n.61 Ministero Sanità 1986, le cartelle cliniche vanno conservate nella struttura sanitaria per 40 anni, poi ancora conservate in archivio ……….. Concetti generali

20 D. Lgs 196/ overview Pagina 20 “Banca Dati “ Qualsiasi insieme organizzato e finalizzato di dati personali, ripartito in una o più unità fisiche o logiche, in uno o più siti logistici, finalizzato ad uno o più trattamenti. Ad es: archivio cartaceo risorse umane, database delle anagrafiche dei dipendenti, registro visitatori, archivio fatture ufficio amministrazione, ecc. Archivio cartaceoArchivio elettronico Concetti generali

21 D. Lgs 196/ overview Pagina “titolare” è la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni relative alle finalità, alle modalità del trattamento dei dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza Concetti generali L’art. 28 specifica che per titolare deve intendersi l’entità nel suo complesso o l’unità od organismo periferico che esercita un potere decisionale del tutto autonomo sulle finalità e modalità del trattamento. CONI Servizi S.p.A. è Titolare del trattamento dei dati dei propri dipendenti, fornitori, clienti, ecc.

22 D. Lgs 196/ overview Pagina “responsabile” è la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali Concetti generali La nomina del responsabile non è obbligatoria, ma se effettuata, essa deve concernere soggetti che forniscano idonea garanzia del rispetto delle disposizioni in materia di trattamento dei dati personali. Il responsabile opera attenendosi alle istruzioni impartite dal titolare il quale, anche mediante verifiche, vigila sulla puntuale osservanza delle disposizioni; E’ individuato tra i soggetti che per esperienza, capacità e affidabilità garantiscono la capacità di sovrintendere alle operazioni di trattamento dei dati. Tale figura non è prevista dalla direttiva europea 95/46/CE

23 D. Lgs 196/ overview Pagina “incaricati” sono le persone fisiche autorizzate ad effettuare operazioni di trattamento dal titolare dei dati o dal responsabile Concetti generali

24 D. Lgs 196/ overview Pagina 24 Incaricato La persona fisica autorizzata a compiere operazioni di trattamento dal titolare o dal responsabile. L’incaricato, designato per iscritto, deve attenersi alle istruzioni ricevute dal titolare o dal responsabile, i quali hanno un obbligo di vigilanza sul loro operato; L’ambito di operatività dell’Incaricato è predeterminato per iscritto, risulta dalla nomina, ovvero dall’assegnazione dell’Incaricato alla funzione; L’Incaricato opera sotto la diretta autorità del Titolare (CONI Servizi S.p.A.) o del Responsabile. Tutti i dipendenti di CONI Servizi S.p.A. che trattano dati personali di terzi (con strumenti elettronici o cartacei), sono incaricati; Gli incaricati sono i soggetti che, nella pratica: Raccolgo no i dati Elaborano i dati con procedure informatiche o manuali Li archiviano Li diffondono Li comunicano Concetti generali

25 D. Lgs 196/ overview Pagina “interessato” è la persona fisica (prima del d.l.201/2011 art 40 c.2: la persona giuridica, l’ente o l’associazione) cui si riferiscono i dati personali Concetti generali

26 D. Lgs 196/ overview Pagina “comunicazione” portare a conoscenza dei dati personali,in qualsiasi forma, anche attraverso la loro messa a disposizione o consultazione, uno o più soggetti determinati anche nella specie diversi da:  l’interessato,  il titolare,  il responsabile,  gli incaricati. Concetti generali Esempi: ► Costituisce comunicazione l’invio di dati personali all’I.N.P.S. per gli adempimenti previdenziali; ► Costituisce comunicazione l’invio alla banca delle coordinate bancarie del dipendente per l’accredito dello stipendio. non costituisce comunicazione la trasmissione di dati personali ai colleghi del proprio o di altri settori per operazioni attinenti a finalità strettamente lavorative.

27 D. Lgs 196/ overview Pagina “diffusione” consiste nel portare a conoscenza dei dati personali soggetti indeterminati nel numero e nella specie, in qualunque forma, anche attraverso la loro messa a disposizione o consultazione Concetti generali

28 D. Lgs 196/ overview Pagina Tali principi sono descritti dall’art 11 del codice: Liceità Correttezza Necessità Esattezza Pertinenza e non eccedenza Aggiornamento e completezza In caso di violazione dei principi il trattamento si qualifica illecito e: I dati non possono essere utilizzati (art.11 c2) Il danno non patrimoniale è risarcibile anche in caso di violazione dell’art 11 (art.15 c2) Giurisprudenza non univoca: a volte danno in re ipsa ovvero danno nel momento in cui si realizza la violazione del principio a prescindere dalla prova del danno. Ciò soprattutto nei casi di danni da informazioni inesatte come quelle che generano segnalazioni alla centrale rischi della banca d’Italia. O Se si lede un diritto (es dignità) dell’interessato a prescindere dalla concreta conoscenza di terzi. Diffusione incontrollata di cartelle cliniche o loro mancata custodia Principi per il trattamento dei dati

29 D. Lgs 196/ overview Pagina Liceità Il trattamento è lecito quando è conforme alla legge ovvero al codice Correttezza Richiamo al principio di buona fede. Si preclude la possibilità di acquisire e gestire dati mediante violenza o frode e richiedendo un dovere di trasparenza Finalità Assicurare la rispondenza del trattamento dei dati a finalità individuate specifiche legittime e rese note all’interessato La finalità deve essere resa nota nell’informativa Per i soggetti pubblici, diversamente dai privati, presupposto di legittimità non è il consenso bensi la finalità istituzionale del trattamento. Il trattamento per scopi storici, statistici o scientifici è considerato compatibile con le finalità per cui tali dati erano stati precedentemente raccolti e può essere effettuato anche oltre il periodo di tempo necessario alle finalità originarie (ci sono codici deontologici al riguardo, allegato A2, A3, A4 al Codice) Lo stesso dato può essere usato per finalità differenti. Se raccolgo indirizzi di posta elettronica immessi on line da utenti per finalità relative ad hobby, discussioni su temi specifici e li uso per mandare comunicazioni politiche sto violando il principio di finalità. Se un utente pubblica un indirizzo non significa che sia utilizzabile per scopi diversi da quelli per cui è stato pubblicato Principi per il trattamento dei dati

30 D. Lgs 196/ overview Pagina Necessità Il trattamento informatizzato ovvero i programmi informatici devono essere configurati in modo tale da preferire dati anonimi e ridurre al minimo l’utilizzo di dati personali e dati identificativi. Identificazione solo se necessaria. Raggiunti gli scopi del trattamento i dati devono essere cancellati o resi anonimi I dati devono essere raccolti solo se necessari per le finalità del trattamento e conservati per il periodo di tempo indispensabile Esattezza Il titolare deve verificare che i dati trattati siano esatti, corretti e completi (qualità dell’informazione). Il trattamento di dati inesatti può comportare una rappresentazione falsa e pregiudizievole dell’interessato. L’interessato ha il diritto di richiedere aggiornamento, rettifica e integrazione (art.7) Principi per il trattamento dei dati

31 D. Lgs 196/ overview Pagina Pertinenza e non eccedenza I dati raccolti e trattati devono essere sufficienti per le finalità dichiarate e non eccedenti. Es. esposizione in bacheca condominiale accessibile anche ad esterni al condominio della situazione debitoria dei condomini (diffusione) Es. Test attitudinali nominativi per i dipendenti di un comune ove veniva richiesto giudizio su azione politica dell’ente e sull’operato dei dirigenti.(più art.8 statuto lavoratori divieto al datore di lavoro di svolgere indagini sulle opinioni politico sindacali del lavoratore) Es. i contrassegni comunali per la sosta rilasciate a persone invalide devono contenere i dati indispensabili ad individuare l’autorizzazione rilasciata e non altre informazioni Es. diffusione delle delibere su internet. Operare selezione informazioni (2011“Linee guida per il trattamento dei dati personali contenuti in atti e documenti amministrativi pubblicati sul web”) art 22 (stato di salute mai diffuso) ES. Conservazione dei dati. Solo per il periodo di tempo necessario alla finalità. Ma, “Codice di deontologia per scopi scientifici, statistici…”(allegato A4) Ma, normative specifiche (circolare Ministero sanità 19 dicembre 1986: cartelle cliniche conservate a tempo indeterminato, dati traffico abbonati e utenti max 6 mesi da fornitore rete pubblica di comunicazioni) Principi per il trattamento dei dati

32 D. Lgs 196/ overview Pagina 32 Art.11 I dati personali oggetto di trattamento devono essere: ► trattati in modo lecito e secondo correttezza; ► raccolti e registrati per scopi determinati, espliciti e legittimi, ed utilizzati in altre operazioni del trattamento in termini non incompatibili con tali scopi; ► esatti e, se necessario, aggiornati; ► pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono stati raccolti o successivamente trattati; ► conservati in una forma che consenta l’identificazione dell’interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati. Principi per il trattamento dei dati

33 D. Lgs 196/ overview Pagina 33 Adempimenti per la legittimità del trattamento

34 D. Lgs 196/ overview Pagina Art.13 “Informativa” L’interessato o la persona presso la quale sono raccolti i dati personali sono sempre previamente informati oralmente o per iscritto circa: 1.Le finalità e le modalità del trattamento 2.La natura obbligatoria o facoltativa del conferimento dei dati 3.Le conseguenze di un eventuale rifiuto a rispondere 4.I soggetti o le categorie di soggetti ai quali i dati possono essere comunicati o che possono venirne a conoscenza come responsabili o incaricati 5.L’ambito e i modi di diffusione 6.I diritti di cui all’art.7 7.Gli estremi identificativi del titolare e almeno un responsabile, se individuato d.l. 70/2011 Chi riceve cv inviato da chi cerca lavoro non deve più inviare informativa. L’obbligo di fornire informativa anche oralmente ed in via semplificata (1, 4, 7) scatta in caso di contatto per colloquio Adempimenti formali per la legittimità del trattamento

35 D. Lgs 196/ overview Pagina 35 L’interessato ha diritto di ottenere: la conferma dell'esistenza o meno di dati personali che lo riguardano; l'indicazione dell’origine dei dati delle finalità e delle modalità di trattamento, della logica applicata al trattamento, degli estremi identificativi di responsabili e titolare, dei soggetti a cui i dati possono essere comunicati; l'aggiornamento, la rettificazione e l'integrazione dei dati; la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge; l'attestazione che queste operazioni sono state portate a conoscenza, anche per quanto riguarda il loro contenuto. L’interessato ha diritto di opporsi, in tutto o in parte: per motivi legittimi al trattamento dei dati personali che lo riguardano, anche se pertinenti allo scopo della raccolta; al trattamento di dati personali che lo riguardano a fini di invio di materiale pubblicitario, di vendita diretta, per il compimento di ricerche di mercato, di comunicazione commerciale. Adempimenti formali per la legittimità del trattamento

36 D. Lgs 196/ overview Pagina 36 Come si risponde all’interessato? Previa verifica della sua identità Previa verifica dei poteri di rappresentanza della persona delegata Riscontrando la richiesta senza ritardo e comunque riducendo i tempi di risposta per quanto possibile Semplificando le modalità di riscontro e agevolando le modalità di accesso ai dati per quanto possibile Comunicando i dati in forma comprensibile Evitando la comunicazione di dati di altri Interessati Rispettando il segreto aziendale Adempimenti formali per la legittimità del trattamento Diritti dell’interessato

37 D. Lgs 196/ overview Pagina CONSENSO PER I DATI PERSONALI Art.23 Il trattamento di dati personali …è ammesso solo con il consenso dell’interessato …… Il consenso è validamente prestato solo se: 1. è espresso liberamente e specificatamente 2. in riferimento ad un trattamento individuato 3. è documentato per iscritto 4. sono state rese le informazioni di cui all’art.13 Per i dati sensibili deve essere manifestato in forma scritta TUTTAVIA Adempimenti formali per la legittimità del trattamento

38 D. Lgs 196/ overview Pagina CONSENSO PER I DATI PERSONALI Art.24 “casi in cui può essere effettuato trattamento senza consenso” Il consenso non è richiesto quando il trattamento: a.è necessario per adempiere ad un obbligo previsto dalla legge, da un regolamento o dalla normativa comunitaria; b.è necessario per eseguire obblighi derivanti da un contratto del quale è parte l’interessato… c.Riguarda dati provenienti da pubblici registri, elenchi…conoscibili da chiunque… d.…… e.è necessario per la salvaguardia della vita o dell’incolumità fisica dell’interessato f.…è necessario per far valere un diritto in sede giudiziaria… g.….. h.è effettuato (ma non comunicazione ne diffusione) da associazioni, enti o organismi senza scopo di lucro …in riferimento a…aderenti, per il perseguimento di scopi determinati e legittimi individuati dall’atto costitutivo, lo statuto….con modalità rese note all’atto dell’informativa di cui all’art.13 INOLTRE Adempimenti formali per la legittimità del trattamento

39 D. Lgs 196/ overview Pagina CONSENSO PER I DATI SENSIBILI Art.26 “garanzie per i dati sensibili” I dati sensibili possono essere oggetto di trattamento solo: a. con il consenso scritto dell’interessato; b. previa autorizzazione del Garante. …….. I dati sensibili possono essere oggetto di trattamento senza consenso ma previa autorizzazione del Garante se il trattamento: a. è effettuato da associazioni, enti…a carattere politico, religioso, filosofico,sindacale… b. è necessario per la salvaguardia della vita … c. è necessario per far valere un diritto in sede giudiziaria…(se i dati sono sanitari o sessuali deve essere un diritto di pari rango) d. è necessario per adempiere ad obblighi o compiti previsti dalla legge … per la gestione del rapporto di lavoro, in materia di igiene e sicurezza sul lavoro..previdenza e assistenza… I dati idonei a rilevare lo stato di salute non possono essere diffusi. INOLTRE Adempimenti formali per la legittimità del trattamento

40 D. Lgs 196/ overview Pagina CONSENSO PER I DATI SENSIBILI Le autorizzazioni generali del Garante 1/2012 autorizzazione al trattamento dei dati sensibili nei rapporti di lavoro 2/2012 autorizzazione al trattamento dei dati sullo stato di salute e vita sessuale da parte di soggetti esercenti le professioni sanitarie ….. 7/2012 autorizzazione al trattamento dei dati giudiziari Adempimenti formali per la legittimità del trattamento

41 D. Lgs 196/ overview Pagina CONSENSO PER GLI ENTI PUBBLICI Art.18“trattamenti effettuati da soggetti pubblici” Salvo che la Sanità, gli enti pubblici non devono richiedere il consenso, ma il trattamento è consentito solo per le finalità e le funzioni istituzionali Se il trattamento riguarda dati sensibili deve essere previsto dalla legge (art.20) Adempimenti formali per la legittimità del trattamento

42 D. Lgs 196/ overview Pagina CONSENSO PER DATI GIUDIZIARI Art.27 “garanzie per i dati giudiziari” Il trattamento dei dati giudiziari…è consentito solo se autorizzato da espressa disposizione di legge o provvedimento del garante che specifica le rilevanti finalità di interesse pubblico, i tipi di dati trattati e le operazioni eseguibili Adempimenti formali per la legittimità del trattamento

43 D. Lgs 196/ overview Pagina 43 Trasferimenti all’interno dell’UE La circolazione dei dati dentro UE è libera ed è sempre possibile con esclusione dei casi volti ad eludere le disposizioni in materia di trattamento dei dati personali. Abuso di diritto ovvero un soggetto esercita un proprio diritto per uno scopo in contrasto con quello per cui il diritto è riconosciuto. Trasferimenti in Paesi terzi Solo se garantiscono adeguato livello di sicurezza (direttiva 95/46/CE e art.45 codice). L’adeguatezza è valutata in riferimento alla natura dei dati, tecniche utilizzate, misure di sicurezza adottate, finalità del trattamento. Il giudizio di adeguatezza è emesso dal Garante del paese da cui i dati provengono (art.44): A.sulla base di decisioni della Commissione Europea che constatano che: I. il paese terzo garantisce un livello di protezione adeguato per effetto della sua legislazione o di accordi e impegni internazionali; II. alcune clausole contrattuali tipo offrano garanzie sufficienti in caso di inserimento in un contratto (la Commissione si è espressa sull’adeguatezza dei trasferimenti verso Svizzera, Ungheria, Canada, Argentina, Israele,…I trasferimenti verso USA solo se imprese si conformano al ”Safe Harbour”, un insieme di principi a garanzia del trasferimento. B.Sulla base di adeguate garanzie individuate con un contratto o mediante regola di condotta nell’ambito di società appartenenti a medesimo gruppo. Binding Corporate Rules: il garante inglese e francese hanno approvato le BCR per alcune multinazionali (Accenture, Spencer Stuart, Michelin,..) CONSENSO PER TRASFERIMENTO DEI DATI Adempimenti formali per la legittimità del trattamento

44 D. Lgs 196/ overview Pagina 44 Trasferimenti in Paesi terzi E’ possibile inoltre nei seguenti casi (art.43) : ► espresso consenso dell’interessato; ► esecuzione di obblighi derivanti da un contratto; ► salvaguardia di un interesse pubblico rilevante a norma di legge o regolamento; ► salvaguardia dell’incolumità fisica o della vita di un terzo; ► difesa di un diritto in sede giudiziaria; ► accesso a documenti amministrativi o dati riconducibili a pubblico registro; ► espressa previsione nei codici di deontologia; ► dati riguardanti persone giuridiche, enti o associazioni; ► espressa autorizzazione del Garante. Il trasferimento dei dati verso paesi extra UE è quindi possibile in molteplicità di principi alternativi tra loro. CONSENSO PER TRASFERIMENTO DEI DATI Adempimenti formali per la legittimità del trattamento

45 D. Lgs 196/ overview Pagina 45 In caso di cessazione, per qualsiasi causa, di un trattamento i dati sono: ► Distrutti; ► Ceduti ad altro titolare, purché destinati ad un trattamento in termini compatibili agli scopi per i quali i dati sono raccolti; ► Conservati per fini esclusivamente personali e non destinati ad una comunicazione sistematica o alla diffusione; ► Conservati o ceduti ad altro titolare, per scopi storici, statistici o scientifici, in conformità alla legge, ai regolamenti, alla normativa comunitaria e ai codici di deontologia e di buona condotta sottoscritti ai sensi dell'articolo 12. Adempimenti formali per la legittimità del trattamento

46 D. Lgs 196/ overview Pagina 46 Adempimenti strutturali Misure di sicurezza I dati personali possono assumere formati differenti: Ne consegue che prerequisito fondamentale per l’adozione delle misure di sicurezza, in ottemperanza a quanto indicato nell’Allegato B del codice in materia di protezione dei dati personali, è l’identificazione degli archivi cartacei e delle banche dati elettroniche contenenti dati personali. Infatti, le misure di sicurezza variano in funzione della tipologia di dato (personale o sensibile) e del supporto fisico su cui è custodito (cartaceo o elettronico).

47 D. Lgs 196/ overview Pagina 47 Adempimenti strutturali Obblighi di sicurezza La sicurezza dei dati personali deve essere affrontata con un approccio integrato: Giuridico Organizzativo e procedurale Tecnico-informatico Gli obblighi di sicurezza riguardano il titolare, i responsabili e gli incaricati.

48 D. Lgs 196/ overview Pagina 48 Adempimenti strutturali Obblighi di sicurezza I rischi individuati dal Codice (art 31) sono i seguenti: Distruzione o perdita Accesso non autorizzato Trattamento non conforme alle finalità di raccolta Trattamento non consentito I rischi sono relativi sia ai trattamenti cartacei che informatici Es: accesso non autorizzato degli hackers al sistema informatico ovvero accesso non autorizzato del personale di pulizia ai fascicoli lasciati sulla scrivania dal dipendente, ma anche accesso del dipendente al sistema informativo per raccogliere dati per finalità non collegate o dati estranei alle ragioni di servizio.

49 D. Lgs 196/ overview Pagina 49 Adempimenti strutturali Obblighi di sicurezza Le definizioni circa la sicurezza si trovano all’art 4 c3 “misure minime” complesso delle misure tecniche, informatiche, organizzative logistiche e procedurali che configurano il livello minimo di protezione richiesto in relazione ai rischi individuati dall’art.31 “autenticazione informatica” strumenti informatici o hardware finalizzati a verificare l’identità del soggetto “credenziali di autenticazione” dati e dispositivi in possesso di una persona da questi conosciuti e ad essa univocamente correlati utilizzati per l’autenticazione informatica

50 D. Lgs 196/ overview Pagina 50 Adempimenti strutturali Obblighi di sicurezza Le misure minime sono descritte dall’art.33,34 e 36 e dall’allegato B. Il rispetto delle misure minime è sufficiente per adempiere agli obblighi di sicurezza? Art. 31 I dati personali sono custoditi e controllati anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati, alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l’adozione di idonee e preventive misure di sicurezza, i rischi di distruzione e perdita, di accesso non autorizzato di trattamento non consentito o non conforme Aggiornamento costante + valutazione rispetto al rischio Cosa manca? Costo- opportunità ovvero valutazione degli oneri economici in relazione al rischio. Tale valutazione era presente nell’art.17 direttiva 95/46/CE ma non è stata ripresa dal codice

51 D. Lgs 196/ overview Pagina 51 Adempimenti strutturali Obblighi di sicurezza Due livelli di sicurezza: Misure minime (art.33), la cui mancata adozione comporta profili penali (art 169) Misure idonee (art.31), la cui mancata adozione comporta profili civili ai sensi dell’art 15 e 2050 cc

52 D. Lgs 196/ overview Pagina 52 Adempimenti strutturali Obblighi di sicurezza Quali sono le misure minime? Art.34 strumenti elettronici Art.35 strumenti non elettronici Art.34 Autenticazione informatica (attraverso codici, impronte digitali). Procedure di gestione delle credenziali di autenticazione (password, smart card, token,…) All.b 11 un codice non può essere assegnato ad altri incaricati neppure in tempi diversi. Le credenziali di autenticazione non utilizzate da almeno 6 mesi vanno disattivate. Lunghezza password non inferiore a 8 caratteri Non contiene riferimenti riconducibili facilmente all’incaricato E’ modificata al primo utilizzo e poi ogni 3/6 mesi (sensibili/personali) Non è ammessa la parola chiave di gruppo. La password è segreta. In caso di prolungata assenza dell’incaricato devono essere presenti procedure per assicurare la disponibilità dei dati in caso di necessità di operatività e sicurezza del sistema. La custodia delle copie delle credenziali è organizzata garantendo la segretezza e individuando i soggetti incaricati della custodia. Sistema di autorizzazione All.b 12 Insieme delle informazioni univocamente associate ad una persona che individua i dati a cui essa può accedere e i trattamenti ad essa consentiti. Quando per gli incaricati sono individuati profili di autorizzazione di ambito differente è presente un sistema di autorizzazione. È l’insieme delle procedure e degli strumenti che abilitano l’accesso ai dati in relazione al profilo dell’incaricato. Almeno annualmente è verificata la necessità di conservazione dei profili Aggiornamento periodico dell’ambito del trattamento consentito agli incaricati Protezione degli strumenti e dei dati rispetto a trattamenti illeciti, accessi non consentiti e a determinati programmi informatici Aggiornamento semestrale dei software di protezione e degli strumenti elettronici Custodia copie di sicurezza e ripristino disponibilità Salvataggio almeno settimanale di dati e conservazione copia in luogo differente Dps (abrogato d.l. 5/2012)

53 D. Lgs 196/ overview Pagina 53 La Corte di Cassazione ha affermato la legittimità del licenziamento del dipendente che aveva ceduto a soggetto estraneo la propria password consentendo accesso alla rete aziendale Paziente ricoverato ha denunciato con successo struttura sanitaria che aveva lasciato il termosifone presso la sala infermieri la cartella clinica che conteneva informazioni molto delicate su proprio stato di salute. Corte di appello aveva respinto perché sala chiusa al pubblico. Cassazione ha ribadito accesso non selettivo. Una coppia ha avuto risarcimento del danno ( euro) perché recatasi in banca per un mutuo aveva notato che i fascicoli dei clienti erano stati lasciati sul davanzale di una finestra accessibile al pubblico Condomino ha citato l’amministratore perché in bacheca accessibile anche ad esterni erano stati esposti dati sulla propria situazione debitoria Sms promozionali sul cellulare senza consenso: condannato l’operatore a euro per ciascuno dei 9 sms (danno non patrimoniale, art.11). Adempimenti strutturali Obblighi di sicurezza

54 D. Lgs 196/ overview Pagina 54 Documento programmatico sulla sicurezza La redazione del DPS era una misura minima prevista dall’Allegato B. Era un documento che viene redatto dal titolare solo nel caso di trattamenti di dati sensibili e giudiziari effettuato con strumenti elettronici, entro il 31 marzo di ogni anno e contiene informazioni riguardo:

55 D. Lgs 196/ overview Pagina 55 Adempimenti strutturali Obblighi di sicurezza Dati sensibili? Protezione da accesso abusivo con idonei strumenti elettronici (20) Istruzioni organizzative e tecniche per la custodia e l’uso di supporti rimovibili Ripristino dell’accesso ai dati in caso di danneggiamento in tempi compatibili con i diritti degli interessati e non superiore a 7 giorni Organismi sanitari devono trattare i dati sensibili in modo disgiunto dagli altri personali. Accesso limitato agli stessi operatori per quanto necessario Gli interessati non devono essere identificabili da parte degli operatori che svolgono un trattamento sui dati tale che non è necessario conoscere l’identità del soggetto, che è conoscibile solo dal ristretto novero di soggetti per cui è necessario e a cui si è dato un profilo di autorizzazione in tal senso. Tracciabilità degli accessi e dei logs Art 22 c 6 e 7 Art 34 c1 lett. H Allegato B Autorizzazione generale del Garante n.2

56 D. Lgs 196/ overview Pagina 56 Adempimenti strutturali Obblighi di sicurezza Art. 35 strumenti non elettronici Aggiornamento periodico dell’ambito consentito agli incaricati Procedure di custodia di atti e documenti Procedura di accesso autorizzato, selettivo e tracciabile agli archivi (soprattutto dati sensibili) Carattere procedurale delle misure minime

57 D. Lgs 196/ overview Pagina 57 Art. 35 strumenti non elettronici Aggiornamento periodico dell’ambito consentito agli incaricati Procedure di custodia di atti e documenti Procedura di accesso autorizzato, selettivo e tracciabile agli archivi (soprattutto dati sensibili) Carattere procedurale delle misure minime Adempimenti strutturali Obblighi di sicurezza

58 D. Lgs 196/ overview Pagina 58 Per far valere i suoi diritti l’interessato può rivolgersi al Garante: con un reclamo per rappresentare una violazione della disciplina in materia di trattamento dei dati; mediante segnalazione per sollecitare un controllo da parte del Garante; mediante ricorso. Il reclamo: ► contiene indicazioni dettagliate dei fatti su cui si fonda e le generalità identificative del titolare, del responsabile e dell’istante; ► è sottoscritto dall’interessato; ► è presentato al Garante senza formalità e reca in allegato la documentazione utile per la sua valutazione; ► il garante può predisporre un modello per il reclamo da pubblicare nel Bollettino. Reclamo dell’interessato

59 D. Lgs 196/ overview Pagina 59 Responsabilita’ e Sanzioni IL GARANTE Il Garante è un’autorità indipendente prevista nella direttiva 95/46/CE. E’ un organo collegiale costituito da 4 membri (due eletti dalla Camera e due dal Senato), che eleggono nel loro ambito il Presidente. Durano in carica 7 anni e non sono rinnovabili. Ha un potere generale di controllo e si può avvalere della collaborazione di altri organi dello Stato (GdF) Esamina i reclami e le segnalazioni e decide sui ricorsi, può prescrivere anche d’ufficio misure necessarie o opportune per rendere il trattamento conforme e lo può vietare in tutto o in parte se illecito o non corretto, esprime pareri. E’ l’organo competente ad irrogare le sanzioni amministrative

60 D. Lgs 196/ overview Pagina 60 Responsabilita’ e Sanzioni ILLECITI AMMINISTRATIVI REATI PENALI RESPONSABILITA’ CIVILE

61 D. Lgs 196/ overview Pagina 61 Responsabilita’ e Sanzioni Gli illeciti amministrativi Omessa o inidonea informativa (art.161)sanzione: da a euro Es: informativa mancante; informativa presente ma poi dati riutilizzati per finalità non prevista; informativa mancante degli elementi essenziali come il titolare o i soggetti cui possono essere comunicati i dati; informativa poco comprensibile Cessione dei dati in violazione art.16 c1 lett.b o di altre disposizioni (art.162)sanzione: da a euro Ai sensi art.16 la cessione è lecita se i dati sono destinati ad un trattamento che abbia finalità compatibili agli scopi per cui sono stati raccolti. Violazione dell’art.84 (art.162c2 )sanzione: da a euro Caso in cui non sia un medico a comunicare all’interessato informazioni sanitarie Trattamento effettuato senza l’adozione delle misure minime di sicurezza dell’art.33 (art 162 c2 bis)sanzione: da a euro Sanzione può integrare reato penale di cui all’art. 169, ma pare riferirsi alla violazione di misure adottate o alla loro adozione non conforme

62 D. Lgs 196/ overview Pagina 62 Responsabilita’ e Sanzioni Gli illeciti amministrativi Violazione art.167sanzione: da a euro Sanzione può integrare reato penale di cui all’art Trattamento illecito dei dati: Art.167 Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sè o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli articoli 18, Principi applicabili a tutti i trattamenti effettuati da soggetti pubblici (Qualunque trattamento di dati personali da parte di soggetti pubblici è consentito soltanto per lo svolgimento delle funzioni istituzionali….) 19, Principi applicabili al trattamento di dati diversi da quelli sensibili e giudiziari soggetti pubblici 23. Consenso (Il trattamento di dati personali da parte di privati o di enti pubblici economici è ammesso solo con il consenso espresso dell'interessato) 123 Dati relativi al traffico (fornitori servizi) 126 Dati relativi all’ubicazione (fornitori di servizi) 130. Comunicazioni indesiderate (l'uso di sistemi automatizzati di chiamata o di comunicazione di chiamata senza l'intervento di un operatore per l'invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale è consentito con il consenso del contraente o utente) 129. Elenchi di contraenti …….. segue

63 D. Lgs 196/ overview Pagina 63 Responsabilita’ e Sanzioni Gli illeciti amministrativi Violazione art.167sanzione: da a euro Sanzione può integrare reato penale di cui all’art Trattamento illecito dei dati: Art.167 Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sè o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli articoli 17. Trattamento che presenta rischi specifici. Il trattamento dei dati diversi da quelli sensibili e giudiziari che presenta rischi specifici per i diritti e le libertà fondamentali, nonché per la dignità dell'interessato, …è ammesso nel rispetto di misure ed accorgimenti a garanzia dell'interessato, ove prescritti. 2. Le misure e gli accorgimenti di cui al comma 1 sono prescritti dal Garante … nell'ambito di una verifica preliminare all'inizio del trattamento, effettuata …anche a seguito di un interpello del titolare. 20. Principi applicabili al trattamento di dati sensibili l trattamento dei dati sensibili da parte di soggetti pubblici è consentito solo se autorizzato da espressa disposizione di legge 21, Principi applicabili al trattamento di dati giudiziari (soggetti pubblici) 22, soggetti pubblici, commi 8 (i dati idonei a rivelare lo stato di salute non possono essere diffusi) e Divieti di comunicazione e diffusione 1. La comunicazione e la diffusione sono vietate, oltre che in caso di divieto disposto dal Garante o dall'autorità giudiziaria: a) in riferimento a dati personali dei quali è stata ordinata la cancellazione, ovvero quando è decorso il periodo di tempo indicato nell'articolo 11, comma 1, lettera e); b) per finalità diverse da quelle indicate nella notificazione del trattamento, ove prescritta. 2. È fatta salva la comunicazione o diffusione di dati richieste, in conformità alla legge, da forze di polizia, dall'autorità giudiziaria, da organismi di informazione e sicurezza o da altri soggetti pubblici ai sensi dell'articolo 58, comma 2, per finalità di difesa o di sicurezza dello Stato o di prevenzione, accertamento o repressione di reati. 26, Garanzie dati sensibili (consenso + autorizzazione, no diffusione dati sensibili) 27 Garanzie dati giudiziari. Il trattamento di dati giudiziari da parte di privati o di enti pubblici economici è consentito soltanto se autorizzato da espressa disposizione di legge o provvedimento del Garante che specifichino le rilevanti finalità di interesse pubblico del trattamento, i tipi di dati trattati e di operazioni eseguibili. 45. Trasferimenti vietati 1. Fuori dei casi di cui agli articoli 43 e 44, il trasferimento anche temporaneo fuori del territorio dello Stato, con qualsiasi forma o mezzo, di dati personali oggetto di trattamento, diretto verso un Paese non appartenente all'Unione europea, è vietato quando l'ordinamento del Paese di destinazione o di transito dei dati non assicura un livello di tutela delle persone adeguato. Sono valutate anche le modalità del trasferimento e dei trattamenti previsti, le relative finalità, la natura dei dati e le misure di sicurezza. ….

64 D. Lgs 196/ overview Pagina 64 Responsabilita’ e Sanzioni Gli illeciti amministrativi Violazione art. 154 c1 lett c e d (art.162 ter)sanzione: da a euro Inosservanza prescrizione sulle misure necessarie o opportune al fine di rendere il trattamento conforme alle disposizioni vigenti, ai sensi dell'articolo 143 (reclami); Inosservazione prescrizione divieto di utilizzo o blocco Integra reato penale (art.170) Omessa informazione al Garante o mancata esibizione documenti richiesti(art.164)sanzione: da a euro ….. Se la violazione degli art da 161 a 164 è di minore gravità limiti sanzione diminuiti in misura pari a 2/5 Se più violazioni della stessa norma o di più norme …sanzione da a euro Le sanzioni possono essere aumentate fino al quadruplo se inefficaci in ragione delle condizioni economiche del contravventore Se violazione coinvolge numerosi interessati o grave pregiudizio le sanzioni sono pari al doppio

65 D. Lgs 196/ overview Pagina 65 Responsabilita’ e Sanzioni I reati penali Trattamento illecito dei dati (art.167) Dolo specifico di trarre profitto, deve essere cagionato nocumento, violazione articoli richiamati La giurisprudenza esclude le semplici violazioni formali che producono un vulnus minimo alla privacy del soggetto e non determinano un danno patrimoniale e non apprezzabile. Un associato ha preso i dati degli altri associati dal database dell’associazione per invio materiale pubblicitario senza consenso. La Cassazione ha ritenuto che non si realizzi il nocumento richiesto. Il direttore di banca ha rilevato all’acquirente di un immobile dati su situazione debitoria dei venditori..... Un soggetto ha diffuso via chat il numero di cellullare di un altro soggetto senza consenso. La condotta è stata posta in essere volontariamente per arrecare un danno e il danno è stato prodotto Un soggetto ha pubblicato senza consenso su internet le immagini intime di una donna su sito pornografico, creando danno all’immagine e alla tranquillità della donna Spamming per scopi commerciali.. Pena: reclusione da 6 a 18 mesi se mero trattamento illecito. Se comunicazione o diffusione da 6 a 24 mesi. D 1 a 3 anni per casi più gravi (dati sensibili, dati giudiziari, trasferimento vietato all’estero,..) Falsità nelle dichiarazioni o notificazioni al Garante (art.168) Chiunque attesta notizie false o produce documenti falsi in un procedimento o nel corso di accertamenti Pena: da 6 mesi a 3 anni Omessa adozione delle misure di sicurezza (art.169) Autori del reato possono essere il titolare (dovere di vigilanza e controllo), il responsabile e l’incaricato (es:custodia password) Ravvedimento operoso: Garante da termine per regolarizzare non superiore a 6 mesi. Se ok, si paga un quarto del massimo della sanzione amministrativa. Adempimento e pagamento estinguono il reato. Pena: arresto sino a 2 anni

66 D. Lgs 196/ overview Pagina 66 Responsabilita’ e Sanzioni I reati penali Inosservanza dei provvedimenti del Garante (art.170) (autorizzazione al trattamento dati sensibili, blocco al trattamento) Violazioni dell’art.4 e 8 dello Statuto dei Lavoratori (art.171) Capo II - Annunci di lavoro e dati riguardanti prestatori di lavoro Art Raccolta di dati e pertinenza 1. Resta fermo quanto disposto dall'articolo 8 della legge 20 maggio 1970, n Capo III - Divieto di controllo a distanza e telelavoro Art Controllo a distanza 1. Resta fermo quanto disposto dall'articolo 4 della legge 20 maggio 1970, n. 300.

67 D. Lgs 196/ overview Pagina 67 RESPONSABILITA E SANZIONI Divieto di controllo a distanza dell’attività dei lavoratori (art.4 Statuto lavoratori) E’ vietato l’uso di impianti audiovisivi e di altre apparecchiature per finalità di controllo a distanza dell’attività dei lavoratori (comma 1). Gli impianti e le apparecchiature di controllo che siano richieste da esigenze organizzative e produttive ovvero dalla sicurezza del lavoro, ma dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori, possono essere installati soltanto previo accordo con le RSA, oppure con la Commissione Interna. In difetto su istanza del datore di lavoro, provvede l’Ispettorato del lavoro, dettando, ove occorra, le modalità per l’uso di tali impianti (comma 2). Giurisprudenza: controllo a distanza in senso spaziale/temporale, anche mera possibilità di controllo e ove apparecchiature solo installate ma non ancora funzionanti, anche se discontinuo e lavoratori preavvertiti (Cass.9211/1997)

68 D. Lgs 196/ overview Pagina 68 RESPONSABILITA E SANZIONI DIVETO DI INDAGINI SULLE OPINIONI (art. 8 st. lav. – legge 20 maggio 1970, n.300) E’ fatto divieto al datore di lavoro, ai fini dell’assunzione, come nel corso dello svolgimento del rapporto di lavoro, di effettuare indagini, anche a mezzo terzi, sulle opinioni politiche, religiose, sindacali del lavoratore, nonché su fatti non rilevanti ai fini della valutazione dell’attitudine professionale del lavoratore.

69 D. Lgs 196/ overview Pagina 69 art. 615 ter C.P. accesso abusivo al sistema informatico Si ha accesso abusivo quando un soggetto si introduce abusivamente in un sistema informatico protetto da misure di sicurezza o quando un soggetto si mantiene all’interno del sistema contro la volontà espressa o tacita di chi ha il diritto di escluderlo. Reclusione fino a 3 anni Reato di mera condotta Riguarda sia soggetti estranei all’organizzazione che interni Ad un lavoratore è stato contestato di aver compiuto un illecito accesso ad una cartella contenente dati archiviati nel computer di un collega. Corte Cassazione sezione lavoro – il licenziamento del lavoratore è legittimo poiché configura responsabilità contrattuale ovvero violazione obbligo di fedeltà (art.2105cc) Corte Cassazione sezione penale – non si configura accesso abusivo quando si accede a sistema informatico non protetto Responsabilita’ e Sanzioni

70 D. Lgs 196/ overview Pagina 70 Responsabilita’ e Sanzioni La responsabilità civile Art. 15. Danni cagionati per effetto del trattamento 1. Chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell'articolo 2050 del codice civile. 2. Il danno non patrimoniale è risarcibile anche in caso di violazione dell'articolo 11. Art. 11. Modalità del trattamento e requisiti dei dati 1. I dati personali oggetto di trattamento sono: a) trattati in modo lecito e secondo correttezza; b) raccolti e registrati per scopi determinati, espliciti e legittimi, ed utilizzati in altre operazioni del trattamento in termini compatibili con tali scopi; c) esatti e, se necessario, aggiornati; d) pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono raccolti o successivamente trattati; e) conservati in una forma che consenta l'identificazione dell'interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati. 2. I dati personali trattati in violazione della disciplina rilevante in materia di trattamento dei dati personali non possono essere utilizzati Art Responsabilità per l'esercizio di attività pericolose Chiunque cagiona danno ad altri nello svolgimento di un'attività pericolosa, per sua natura o per la natura dei mezzi adoperati, è tenuto al risarcimento, se non prova di avere adottato tutte le misure idonee a evitare il danno. L’interessato dimostra l’evento, il danno e il nesso di causa Al titolare è richiesta prova di misure idonee non minime

71 D. Lgs 196/ overview Pagina 71 Allegato: TRATTAMENTI IN AMBITO SANITARIO A questi dati è dedicato il Titolo V del codice. La disciplina si applica al trattamento dei dati inerenti la salute trattati per finalità di cura, diagnosi e terapia. La disciplina si basa su tre principi: consenso, informativa e sicurezza CONSENSO (art.76): è obbligatorio, ancorchè in forma semplificata + autorizzazione del garante ma a) senza autorizzazione, con il consenso se trattamento indispensabile per finalità di tutela salute o incolumità interessato (ipotesi di scuola, c’è autorizzazione generale) b)senza consenso (ma con autorizzazione garante) e addirittura col rifiuto se la finalità di tutela della salute e incolumità riguarda un terzo o la collettività Es: un soggetto si oppone alla comunicazione al partner della notizia riguardante malattia sessualmente trasmissibile. Tra il bene guridico della tutela della salute e la riservatezza, il legislatore sceglie il primo. Caso della “prostituta di Ravenna”, aveva infettato molti clienti ignari. Il giudice aveva ordinato di rendere pubbliche foto e generalità. Il Garante ha obiettato che la finalità avrebbe potuto essere perseguita con modalità differenti e più selettive. Ma legge 135/90 in materia di AIDS, per la comunicazione è necessario consenso interessato CONTRADDIZIONE LEGISLATIVA può essere manifestato una volta sola per il complesso dei trattamenti Anche oralmente, ma con annotazione standard della struttura sanitaria di averlo ricevuto. Onere della prova di non averlo dato stà all’interessato LA DIRETTIVA EUROPEA NON PREVEDEVA CONSENSO OBBLIGATORIO PER DIAGNOSTICA E CURE

72 D. Lgs 196/ overview Pagina 72 Allegato: TRATTAMENTI IN AMBITO SANITARIO INFORMATIVA: semplificazioni, può essere data per il complesso dei trattamenti di prevenzione, diagnosi, cura, riabilitazione può riguardare anche dati raccolti presso terzi può essere data anche tramite affissione di un cartello può essere integrata verbalmente se necessario Si annota l’avvenuta informativa IL GARANTE HA PRODOTTO UNO SCHEMA DI INFORMATIVA LA SEMPLIFICAZIONE NON RIGUARDA I CONTENUTI DI CUI ALL’ART 13

73 D. Lgs 196/ overview Pagina 73 Allegato: TRATTAMENTI IN AMBITO SANITARIO SICUREZZA (art.83):(no medici generali, no studi medici) distanze di cortesia evitare indebita conoscenza da parte di terzi di informazioni su stato di salute durante colloqui evitare situazioni promiscuità per le prestazioni sanitarie compresa documentazione di anamnesi eliminazione chiamata nominativa Acceso selettivo ai dati sensibili + separazione tra dati amministrativi personali e dati sensibili COMUNICAZIONE ART.84 i dati sanitari possono essere comunicati solo da medico designato da interessato o titolare. Titolare può autorizzare per iscritto personale non medico a comunicare, che abbia nei propri compiti i rapporti con i pazienti. La ratio non è tutela privacy ma adeguata rappresentazione al fine di evitare contraccolpi emotivi REFERTI ON LINE: linee guida. Deve essere facoltativa e mantenuto accesso tradizionale cartaceo. informativa + consenso possibilità di revoca anche in relazione a singoli esami se comunicazione tramite posta elettronica deve essere convalidato ogni volta l’indirizzo SE DATI VALUTATI CRITICI O ELEMENTI DI PREOCCUPAZIONE A GIUDIZIO MEDICO VA PREFERITA COMUNICAZIOME PERSONALE E DIRETTA Vanno usati protocolli di comunicazione sicuri (https), disponibilità max on line 45 gg, sistemi di autenticazione dell’interessato, se posta elettronica, no body part del messaggio ma file protetto con password

74 D. Lgs 196/ overview Pagina 74 Allegato: TRATTAMENTI IN AMBITO SANITARIO Conservazione dati: Principio finalità Art.11, non oltre tempo necessario Circolare Ministero Sanità per cartelle cliniche (40 anni e oltre archivio) Art.99 “il trattamento dei dati per scopi storici, statistici, scientifici è considerato compatibile con le finalità per cui sono stati raccolti”, ma adeguate garanzie Codice Deontologia scopi statistici e scientifici, allegato a4: finalità deve essere indicata nell’informativa, fin dalla raccolta del dato Se necessario, va preso consenso Se possibile dati identificativi separati dagli altri L’interessato ha diritto a cancellazione, rettifica, integrazione Criterio soggettivo per applicazione Codice deontologia la finalità di ricerca deve risultare nello statuto dell’ente. Il codice non si applica ai trattamenti per scopi statistici e scientifici connessi con attività di tutela della salute svolte da esercenti professioni sanitarie od organismi sanitari, ovvero con attività comparabili in termini di significativa ricaduta personalizzata sull'interessato, che restano regolati dalle pertinenti disposizioni.

75 D. Lgs 196/ overview Pagina 75 Allegato: LAVORO ESTRATTO DAL PARERE 8/2001 DEL GRUPPO ART.29: Il controllo e la sorveglianza dei lavoratori rispetto all’uso della posta elettronica, all’accesso a Internet, alle riprese televisive o ai dati sulla localizzazione sono soggetti alle norme che tutelano i dati Ogni controllo deve essere una risposta proporzionata del datore di lavoro ai rischi che corre nel tener conto della riservatezza e di altri interessi legittimi dei lavoratori. Tutti i dati personali detenuti o utilizzati durante i controlli devono essere adeguati, pertinenti e non eccedenti rispetto alle finalità che giustificano il controllo. I controlli devono essere eseguiti nel modo meno intrusivo possibile

76 D. Lgs 196/ overview Pagina 76 Allegato: LAVORO Principi base per il controllo degli strumenti elettronici sul luogo di lavoro Principio di necessità (art b): i trattamenti devono essere effettuati per finalità determinate, esplicite e legittime Principio di pertinenza e non eccedenza (art.11.1.d): I dati trattati devono essere pertinenti e non eccedenti rispetto alle finalità per le quali sono stati raccolti Principio di necessità (art.3 del Codice): configurazione dei sistemi informativi e programmi informatici in modo da non utilizzare dati relativi a persone identificabili, quando le finalità del trattamento possono essere realizzate impiegando solo dati anonimi Principio di correttezza (art.11.1.a): Trasparenza dei potenziali trattamenti (automatici, invisibili o occulti), le cui caratteristiche essenziali devono essere rese note ai lavoratori


Scaricare ppt "D. Lgs 196/2003 - overview Pagina 1 CONI Servizi S.p.A. D. Lgs 196/2003 - Codice in materia di protezione dei dati personali."

Presentazioni simili


Annunci Google