La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

Indice Concetti generali Principi generali per il trattamento dei dati

Presentazioni simili


Presentazione sul tema: "Indice Concetti generali Principi generali per il trattamento dei dati"— Transcript della presentazione:

1 CONI Servizi S.p.A. D. Lgs 196/2003 - Codice in materia di protezione dei dati personali

2 Indice Concetti generali Principi generali per il trattamento dei dati
Adempimenti per la legittimità del trattamento Adempimenti formali Adempimenti strutturali Responsabilita’ e sanzioni allegati

3 Concetti generali A decorrere dal 1° gennaio 2004 è entrato in vigore il decreto legislativo 30 giugno 2003, n. 196, definito "Codice in materia di protezione dei dati personali ". Il nuovo Testo unico ha inteso accorpare ed armonizzare tutte le disposizioni che, a partire dalla "normativa madre", data dalla legge 31 dicembre 1996, n. 675, avevano dapprima introdotto, poi modificato e integrato, il principio del diritto alla tutela dei dati personali. Il codice racchiude in sé, infatti, ciò che in precedenza era contenuto in circa una decina tra leggi e decreti e un numero considerevole di direttive comunitarie.

4 Concetti generali Il codice è diviso in tre parti
La prima parte è dedicata alle disposizioni generali, ordinate in modo da trattare tutti gli adempimenti e le regole del trattamento con riferimento ai settori pubblico e privato La seconda parte è dedicata a settori specifici. Essa, oltre a disciplinare aspetti specifici, introduce la disciplina per il settore sanitario e quella dei controlli sui lavoratori La terza parte affronta la materia della tutela amministrativa e giurisdizionale con il consolidamento delle sanzioni amministrative e penali e con le disposizioni sull’ufficio del garante

5 Concetti generali Il codice disciplina il trattamento dei dati personali effettuato da chiunque è stabilito nel territorio dello Stato. Il trattamento di dati personali effettuato da persone fisiche per fini esclusivamente personali è soggetto all’applicazione del codice solo se i dati sono destinati a comunicazione sistematica o a diffusione. Si applicano in ogni caso le disposizioni in tema di responsabilità e sicurezza dei dati di cui agli art. 15 e 31

6 Concetti generali “dato personale”
è qualunque informazione relativa a persona fisica, (prima del d.l.201/2011 art 40 c.2 : persona giuridica, ente od associazione), identificata o identificabile, anche in modo indiretto, mediante riferimento a qualsiasi altra informazione, compreso il numero di identificazione personale (Art. 2 Direttiva 95/46/CE “qualsiasi informazione concernente una persona fisica identificata o identificabile; si considera identificabile la persona che può essere identificata, direttamente o indirettamente, in particolare mediante riferimento ad un numero di identificazione o ad uno o più elementi specifici caratteristici della sua identità fisica, fisiologica, psichica, economica, culturale o sociale”)

7 Concetti generali “dato personale”
(Art. 2 Direttiva 95/46/CE “qualsiasi informazione concernente una persona fisica identificata o identificabile; si considera identificabile la persona che può essere identificata, direttamente o indirettamente, in particolare mediante riferimento ad un numero di identificazione o ad uno o più elementi specifici caratteristici della sua identità fisica, fisiologica, psichica, economica, culturale o sociale”) Informazioni di natura oggettiva o soggettiva (valutazioni), Non necessariamente un dato testuale (può trattarsi di un immagine , di registrazione della voce). Nei servizi di phone banking la voce del cliente che impartisce istruzioni alla banca è un dato personale. I disegni di un bambino riferiti ai genitori possono essere dati personali.

8 Concetti generali “dato personale”
(Art. 2 Direttiva 95/46/CE “qualsiasi informazione concernente una persona fisica identificata o identificabile; si considera identificabile la persona che può essere identificata, direttamente o indirettamente, in particolare mediante riferimento ad un numero di identificazione o ad uno o più elementi specifici caratteristici della sua identità fisica, fisiologica, psichica, economica, culturale o sociale”) a. Per contenuto: il dato riguarda direttamente una persona (dati contenuti in un referto medico). b. Per finalità: il dato è usato per valutare o condizionare i comportamenti (registro con chiamate effettuate e ricevute). c. Per risultato: l’uso del dato impatta sui diritti della persona (rilevazione delle posizione di una persona).

9 Concetti generali “dato personale”
(Art. 2 Direttiva 95/46/CE “qualsiasi informazione concernente una persona fisica identificata o identificabile; si considera identificabile la persona che può essere identificata, direttamente o indirettamente, in particolare mediante riferimento ad un numero di identificazione o ad uno o più elementi specifici caratteristici della sua identità fisica, fisiologica, psichica, economica, culturale o sociale”) Il parere 4/2007 del Gruppo art.29 evidenzia che la direttiva si riferisce alle persone fisiche ma che gli stati membri possono estendere la protezione alle persone giuridiche come è accaduto in Italia fino al d.l.201/2011 Il dato personale non fa riferimento alla riservatezza (diritto di escludere altri dalla conoscenza di vicende personali e familiari). I diritti sono distinti. Il dato personale non è necessariamente riservato (numero di telefono, indirizzo di posta elettronica) Qualsiasi informazione, riferibile anche indirettamente a qualsiasi soggetto? Oggetto della legge non è la riservatezza ma il trattamento delle informazioni

10 “dato identificativo e dato anonimo”
Concetti generali “dato identificativo e dato anonimo” Dato identificativo: informazione che permette una identificazione diretta del soggetto a cui i dati si riferiscono (nome e cognome, ma non il codice fiscale). Dato anonimo:dato che in origine o a seguito di trattamento non può essere riferito ad un soggetto identificato o identificabile. Un dato è anonimo se riguarda una persona fisica che non può essere identificata dal responsabile del trattamento o da altri prendendo in considerazione i mezzi e gli strumenti che possono essere ragionevolmente usati (parere 4/2007) Tale dato è fuori dall’ambito di protezione, tuttavia il parere 2/2010 del Gruppo di lavoro art.29 sulla pubblicità comportamentale on line ovvero sul monitoraggio del comportamento degli utenti al fine di realizzare un profilo che prescinde dall’identificazione dell’utente (tracciamento della navigazione web). Il Gruppo esprime necessità di tutelare anche il dato anonimo di tracciamento attraverso informativa e consenso. Si tutela il trattamento delle informazioni non solo dei dati personali.

11 Concetti generali “dati sensibili”
sono i dati personali idonei a rilevare: l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, l’appartenenza a associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, lo stato di salute e la vita sessuale L’elencazione è tassativa, ma elastica (dati idonei a…). Collegamento potenziale non diretto e attuale: dati che possono consentire di rivelare, ma che non necessariamente individuano…(es scelte alimentari in mensa per allergie o religione)

12 Concetti generali “dati sensibili”
I dati atti a rilevare la personalità etico sociale e le caratteristiche psico-sanitarie sono oggetto di regole particolare nel Codice. Il concetto è la riferibilità, non la diretta connessione: dati idonei a rilevare… Per esempio, Per i privati: la forma scritta per il consenso è richiesto non solo per la sua prova ma anche per la sua validità e ci si deve attenere alle autorizzazioni generali del Garante (art.26 c1) Per i soggetti pubblici: non si richiede il consenso, ma il trattamento deve essere previsto e autorizzato dalla legge (art.20 c1) Le sanzioni sono più dure: trattamento di dati illeciti se dati sensibili reclusione da 1 a 3 anni, dati personali da 6 mesi a 2 anni (art167)

13 “dati sensibilissimi”
Concetti generali “dati sensibilissimi” I dati atti a rilevare lo stato di salute e la vita sessuale (parte II, titolo V) Dati sanitari:quelli che rivelano la malattia o quelli che non rivelano la malattia ma che rivelano che esiste un problema di salute? MATERIA RICCA DI ATTI DEL GARANTE “Linee guida in materia di trattamento di dati personali dei lavoratori per finalità di gestione del rapporto di lavoro ”Autorizzazione 1/2011 al trattamento dei dati sensibili nei rapporti di lavoro” “Autorizzazione al trattamento di dati sanitari” Es. provv 18/06/09. ricorso del dipendente che lamentava che la busta paga recava in forma esplicita la dicitura “appartenente a categorie svantaggiate”. Accolto. provv 25/06/09 sul sito web della Prov. di Foggia due determinazioni delle Risorse Umane su richiesta di riconoscimento di infermità da causa di servizio di dipendente. Diffusione di dati sensibili è vietata (art 26c.5). Prescrizione 29/04/09. lo scontrino di acquisto di medicinali emesso a fini fiscali deve riportare in luogo della denominazione del farmaco il numero di autorizzazione di messa in commercio

14 Concetti generali “dati giudiziari”
I provvedimenti giudiziari penali di condanna, i provvedimenti giudiziari concernenti le pene e la riabilitazione, la qualità di imputato e la qualità di indagato. Equiparati ai dati sensibili. Il trattamento è consentito solo se autorizzato da legge o provvedimento del garante che specifici le finalità di rilevante interesse pubblico , i tipi di dati trattati e le operazioni eseguibili

15 Regime alimentare mensa Certificati medici con diagnosi
Concetti generali Regime alimentare mensa Certificati medici con diagnosi

16 Concetti generali “trattamento”
qualunque operazione o insieme di operazioni, compiute anche senza il supporto di strumenti elettronici, concernenti la raccolta, la registrazione, l’organizzazione, la conservazione, la consultazione, l’elaborazione, la modificazione, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non sono registrati in una banca dati Registrazione fatture; Catalogazione dati (anagrafici, fiscali, ecc.); Consultazione e archiviazione fascicoli cartacei; Elaborazione buste paga; Aggiornamento denunce infortuni; Comunicazione dati all’INPS, all’INAIL, a banche, ecc.; Esame e conservazione certificati medici (idoneità al lavoro, malattia); Raccolta dati ai fini della partecipazione a concorsi a premi; Raccolta dati inerenti informazioni commerciali.

17 Concetti generali Per “trattamento” si intende una delle seguenti operazioni, automatizzate o manuali:

18 I trattamenti di comunicazione e diffusione
Concetti generali I trattamenti di comunicazione e diffusione A differenza degli altri trattamenti, hanno ricevuto apposite disposizioni normative, per i maggiori rischi in cui incorrere l’interessato. Art 19 un soggetto pubblico può comunicare dati ad altro soggetto pubblico solo se previsto da norma di legge o regolamento o se comunicato al Garante il trattamento (45 gg per la risposta) in caso di finalità istituzionali. un soggetto pubblico può comunicare dati a soggetto privato o fare diffusione solo se previsto da norma di legge o regolamento La comunicazione da parte di un titolare privato deve avvenire sempre attraverso la raccolta del consenso informato dell’interessato a meno delle circostanze art.24 (obblighi derivanti da un contratto, obbligo di legge, …) Art 26 I dati idonei a rilevare lo stato di salute non possono essere diffusi Art.84 I dati idonei a rivelare lo stato di salute possono essere resi noti all’interessato solo dal medico designato Linee guida in materia di pubblicazione sul web di atti e documenti amministrativi es L’università può comunicare i nominativi dei neolaureati alle imprese solo se previsto da regolamento

19 Concetti generali La conservazione
Art.11 i dati sono conservati in modo da consentire l’identificazione dell’interessato per un periodo di tempo non superiore al periodo necessario agli scopi per cui i dati sono raccolti. Successivamente possono essere conservati con le adeguate garanzie per scopi storici, statistici o scientifici. Es: “codice di deontologia per trattamenti per scopi statistici o scientifici” allegato a4, i dati identificativi se possibile devono essere conservati separatamente dagli altri. A volte normativa detta limiti specifici: Provvedimento sulla videosorveglianza, da poche ore a max una settimana , se attività rischiosa. Circolare n.61 Ministero Sanità 1986, le cartelle cliniche vanno conservate nella struttura sanitaria per 40 anni, poi ancora conservate in archivio ………..

20 Concetti generali “Banca Dati “
Qualsiasi insieme organizzato e finalizzato di dati personali, ripartito in una o più unità fisiche o logiche, in uno o più siti logistici, finalizzato ad uno o più trattamenti. Ad es: archivio cartaceo risorse umane, database delle anagrafiche dei dipendenti, registro visitatori, archivio fatture ufficio amministrazione, ecc. Archivio cartaceo Archivio elettronico

21 Concetti generali “titolare”
è la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni relative alle finalità, alle modalità del trattamento dei dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza L’art. 28 specifica che per titolare deve intendersi l’entità nel suo complesso o l’unità od organismo periferico che esercita un potere decisionale del tutto autonomo sulle finalità e modalità del trattamento. CONI Servizi S.p.A. è Titolare del trattamento dei dati dei propri dipendenti, fornitori, clienti, ecc.

22 Concetti generali “responsabile”
è la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali La nomina del responsabile non è obbligatoria, ma se effettuata, essa deve concernere soggetti che forniscano idonea garanzia del rispetto delle disposizioni in materia di trattamento dei dati personali. Il responsabile opera attenendosi alle istruzioni impartite dal titolare il quale, anche mediante verifiche, vigila sulla puntuale osservanza delle disposizioni; E’ individuato tra i soggetti che per esperienza, capacità e affidabilità garantiscono la capacità di sovrintendere alle operazioni di trattamento dei dati. Tale figura non è prevista dalla direttiva europea 95/46/CE

23 Concetti generali “incaricati”
sono le persone fisiche autorizzate ad effettuare operazioni di trattamento dal titolare dei dati o dal responsabile

24 Elaborano i dati con procedure informatiche o manuali
Concetti generali Incaricato La persona fisica autorizzata a compiere operazioni di trattamento dal titolare o dal responsabile. L’incaricato, designato per iscritto, deve attenersi alle istruzioni ricevute dal titolare o dal responsabile, i quali hanno un obbligo di vigilanza sul loro operato; L’ambito di operatività dell’Incaricato è predeterminato per iscritto, risulta dalla nomina, ovvero dall’assegnazione dell’Incaricato alla funzione; L’Incaricato opera sotto la diretta autorità del Titolare (CONI Servizi S.p.A.) o del Responsabile. Tutti i dipendenti di CONI Servizi S.p.A. che trattano dati personali di terzi (con strumenti elettronici o cartacei), sono incaricati; Gli incaricati sono i soggetti che, nella pratica: Raccolgono i dati Elaborano i dati con procedure informatiche o manuali Li comunicano Li diffondono Li archiviano

25 Concetti generali “interessato”
è la persona fisica (prima del d.l.201/2011 art 40 c.2: la persona giuridica, l’ente o l’associazione) cui si riferiscono i dati personali

26 Concetti generali “comunicazione”
portare a conoscenza dei dati personali ,in qualsiasi forma, anche attraverso la loro messa a disposizione o consultazione, uno o più soggetti determinati anche nella specie diversi da: l’interessato, il titolare, il responsabile, gli incaricati. Esempi: Costituisce comunicazione l’invio di dati personali all’I.N.P.S. per gli adempimenti previdenziali; Costituisce comunicazione l’invio alla banca delle coordinate bancarie del dipendente per l’accredito dello stipendio. non costituisce comunicazione la trasmissione di dati personali ai colleghi del proprio o di altri settori per operazioni attinenti a finalità strettamente lavorative.

27 Concetti generali “diffusione”
consiste nel portare a conoscenza dei dati personali soggetti indeterminati nel numero e nella specie, in qualunque forma, anche attraverso la loro messa a disposizione o consultazione

28 Tali principi sono descritti dall’art 11 del codice:
Principi per il trattamento dei dati Tali principi sono descritti dall’art 11 del codice: Liceità Correttezza Necessità Esattezza Pertinenza e non eccedenza Aggiornamento e completezza In caso di violazione dei principi il trattamento si qualifica illecito e: I dati non possono essere utilizzati (art.11 c2) Il danno non patrimoniale è risarcibile anche in caso di violazione dell’art 11 (art.15 c2) Giurisprudenza non univoca: a volte danno in re ipsa ovvero danno nel momento in cui si realizza la violazione del principio a prescindere dalla prova del danno. Ciò soprattutto nei casi di danni da informazioni inesatte come quelle che generano segnalazioni alla centrale rischi della banca d’Italia. O Se si lede un diritto (es dignità) dell’interessato a prescindere dalla concreta conoscenza di terzi. Diffusione incontrollata di cartelle cliniche o loro mancata custodia

29 Principi per il trattamento dei dati
Liceità Il trattamento è lecito quando è conforme alla legge ovvero al codice Correttezza Richiamo al principio di buona fede. Si preclude la possibilità di acquisire e gestire dati mediante violenza o frode e richiedendo un dovere di trasparenza Finalità Assicurare la rispondenza del trattamento dei dati a finalità individuate specifiche legittime e rese note all’interessato La finalità deve essere resa nota nell’informativa Per i soggetti pubblici, diversamente dai privati, presupposto di legittimità non è il consenso bensi la finalità istituzionale del trattamento. Il trattamento per scopi storici, statistici o scientifici è considerato compatibile con le finalità per cui tali dati erano stati precedentemente raccolti e può essere effettuato anche oltre il periodo di tempo necessario alle finalità originarie (ci sono codici deontologici al riguardo, allegato A2, A3, A4 al Codice) Lo stesso dato può essere usato per finalità differenti. Se raccolgo indirizzi di posta elettronica immessi on line da utenti per finalità relative ad hobby, discussioni su temi specifici e li uso per mandare comunicazioni politiche sto violando il principio di finalità. Se un utente pubblica un indirizzo non significa che sia utilizzabile per scopi diversi da quelli per cui è stato pubblicato

30 Principi per il trattamento dei dati
Necessità Il trattamento informatizzato ovvero i programmi informatici devono essere configurati in modo tale da preferire dati anonimi e ridurre al minimo l’utilizzo di dati personali e dati identificativi. Identificazione solo se necessaria. Raggiunti gli scopi del trattamento i dati devono essere cancellati o resi anonimi I dati devono essere raccolti solo se necessari per le finalità del trattamento e conservati per il periodo di tempo indispensabile Esattezza Il titolare deve verificare che i dati trattati siano esatti, corretti e completi (qualità dell’informazione). Il trattamento di dati inesatti può comportare una rappresentazione falsa e pregiudizievole dell’interessato. L’interessato ha il diritto di richiedere aggiornamento, rettifica e integrazione (art.7)

31 Pertinenza e non eccedenza
Principi per il trattamento dei dati Pertinenza e non eccedenza I dati raccolti e trattati devono essere sufficienti per le finalità dichiarate e non eccedenti. Es. esposizione in bacheca condominiale accessibile anche ad esterni al condominio della situazione debitoria dei condomini (diffusione) Es. Test attitudinali nominativi per i dipendenti di un comune ove veniva richiesto giudizio su azione politica dell’ente e sull’operato dei dirigenti.(più art.8 statuto lavoratori divieto al datore di lavoro di svolgere indagini sulle opinioni politico sindacali del lavoratore) Es. i contrassegni comunali per la sosta rilasciate a persone invalide devono contenere i dati indispensabili ad individuare l’autorizzazione rilasciata e non altre informazioni Es. diffusione delle delibere su internet. Operare selezione informazioni (2011“Linee guida per il trattamento dei dati personali contenuti in atti e documenti amministrativi pubblicati sul web”) art 22 (stato di salute mai diffuso) ES. Conservazione dei dati. Solo per il periodo di tempo necessario alla finalità. Ma, “Codice di deontologia per scopi scientifici, statistici…”(allegato A4) Ma, normative specifiche (circolare Ministero sanità 19 dicembre 1986: cartelle cliniche conservate a tempo indeterminato, dati traffico abbonati e utenti max 6 mesi da fornitore rete pubblica di comunicazioni)

32 Principi per il trattamento dei dati
Art.11 I dati personali oggetto di trattamento devono essere: trattati in modo lecito e secondo correttezza; raccolti e registrati per scopi determinati, espliciti e legittimi, ed utilizzati in altre operazioni del trattamento in termini non incompatibili con tali scopi; esatti e, se necessario, aggiornati; pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono stati raccolti o successivamente trattati; conservati in una forma che consenta l’identificazione dell’interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati.

33 Adempimenti per la legittimità del trattamento

34 Adempimenti formali per la legittimità del trattamento
Art.13 “Informativa” L’interessato o la persona presso la quale sono raccolti i dati personali sono sempre previamente informati oralmente o per iscritto circa: Le finalità e le modalità del trattamento La natura obbligatoria o facoltativa del conferimento dei dati Le conseguenze di un eventuale rifiuto a rispondere I soggetti o le categorie di soggetti ai quali i dati possono essere comunicati o che possono venirne a conoscenza come responsabili o incaricati L’ambito e i modi di diffusione I diritti di cui all’art.7 Gli estremi identificativi del titolare e almeno un responsabile, se individuato d.l. 70/2011 Chi riceve cv inviato da chi cerca lavoro non deve più inviare informativa. L’obbligo di fornire informativa anche oralmente ed in via semplificata (1, 4, 7) scatta in caso di contatto per colloquio

35 Adempimenti formali per la legittimità del trattamento
L’interessato ha diritto di ottenere: la conferma dell'esistenza o meno di dati personali che lo riguardano; l'indicazione dell’origine dei dati delle finalità e delle modalità di trattamento, della logica applicata al trattamento, degli estremi identificativi di responsabili e titolare, dei soggetti a cui i dati possono essere comunicati; l'aggiornamento, la rettificazione e l'integrazione dei dati; la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge; l'attestazione che queste operazioni sono state portate a conoscenza, anche per quanto riguarda il loro contenuto. L’interessato ha diritto di opporsi, in tutto o in parte: per motivi legittimi al trattamento dei dati personali che lo riguardano, anche se pertinenti allo scopo della raccolta; al trattamento di dati personali che lo riguardano a fini di invio di materiale pubblicitario, di vendita diretta, per il compimento di ricerche di mercato, di comunicazione commerciale.

36 Adempimenti formali per la legittimità del trattamento
Diritti dell’interessato Come si risponde all’interessato? Previa verifica della sua identità Previa verifica dei poteri di rappresentanza della persona delegata Riscontrando la richiesta senza ritardo e comunque riducendo i tempi di risposta per quanto possibile Semplificando le modalità di riscontro e agevolando le modalità di accesso ai dati per quanto possibile Comunicando i dati in forma comprensibile Evitando la comunicazione di dati di altri Interessati Rispettando il segreto aziendale

37 CONSENSO PER I DATI PERSONALI
Adempimenti formali per la legittimità del trattamento CONSENSO PER I DATI PERSONALI Art.23 Il trattamento di dati personali …è ammesso solo con il consenso dell’interessato …… Il consenso è validamente prestato solo se: è espresso liberamente e specificatamente in riferimento ad un trattamento individuato è documentato per iscritto sono state rese le informazioni di cui all’art.13 Per i dati sensibili deve essere manifestato in forma scritta TUTTAVIA

38 CONSENSO PER I DATI PERSONALI
Adempimenti formali per la legittimità del trattamento CONSENSO PER I DATI PERSONALI Art.24 “casi in cui può essere effettuato trattamento senza consenso” Il consenso non è richiesto quando il trattamento: è necessario per adempiere ad un obbligo previsto dalla legge, da un regolamento o dalla normativa comunitaria; è necessario per eseguire obblighi derivanti da un contratto del quale è parte l’interessato… Riguarda dati provenienti da pubblici registri, elenchi…conoscibili da chiunque… …… è necessario per la salvaguardia della vita o dell’incolumità fisica dell’interessato …è necessario per far valere un diritto in sede giudiziaria… ….. è effettuato (ma non comunicazione ne diffusione) da associazioni, enti o organismi senza scopo di lucro …in riferimento a…aderenti, per il perseguimento di scopi determinati e legittimi individuati dall’atto costitutivo, lo statuto….con modalità rese note all’atto dell’informativa di cui all’art.13 INOLTRE

39 CONSENSO PER I DATI SENSIBILI
Adempimenti formali per la legittimità del trattamento CONSENSO PER I DATI SENSIBILI Art.26 “garanzie per i dati sensibili” I dati sensibili possono essere oggetto di trattamento solo: a. con il consenso scritto dell’interessato; b. previa autorizzazione del Garante. …….. I dati sensibili possono essere oggetto di trattamento senza consenso ma previa autorizzazione del Garante se il trattamento: a. è effettuato da associazioni, enti…a carattere politico, religioso, filosofico,sindacale… b. è necessario per la salvaguardia della vita … c. è necessario per far valere un diritto in sede giudiziaria…(se i dati sono sanitari o sessuali deve essere un diritto di pari rango) d. è necessario per adempiere ad obblighi o compiti previsti dalla legge … per la gestione del rapporto di lavoro, in materia di igiene e sicurezza sul lavoro..previdenza e assistenza… I dati idonei a rilevare lo stato di salute non possono essere diffusi. INOLTRE

40 CONSENSO PER I DATI SENSIBILI
Adempimenti formali per la legittimità del trattamento CONSENSO PER I DATI SENSIBILI Le autorizzazioni generali del Garante 1/2012 autorizzazione al trattamento dei dati sensibili nei rapporti di lavoro 2/2012 autorizzazione al trattamento dei dati sullo stato di salute e vita sessuale da parte di soggetti esercenti le professioni sanitarie ….. 7/2012 autorizzazione al trattamento dei dati giudiziari

41 CONSENSO PER GLI ENTI PUBBLICI
Adempimenti formali per la legittimità del trattamento CONSENSO PER GLI ENTI PUBBLICI Art.18“trattamenti effettuati da soggetti pubblici” Salvo che la Sanità, gli enti pubblici non devono richiedere il consenso, ma il trattamento è consentito solo per le finalità e le funzioni istituzionali Se il trattamento riguarda dati sensibili deve essere previsto dalla legge (art.20)

42 CONSENSO PER DATI GIUDIZIARI
Adempimenti formali per la legittimità del trattamento CONSENSO PER DATI GIUDIZIARI Art.27 “garanzie per i dati giudiziari” Il trattamento dei dati giudiziari…è consentito solo se autorizzato da espressa disposizione di legge o provvedimento del garante che specifica le rilevanti finalità di interesse pubblico, i tipi di dati trattati e le operazioni eseguibili

43 CONSENSO PER TRASFERIMENTO DEI DATI
Adempimenti formali per la legittimità del trattamento CONSENSO PER TRASFERIMENTO DEI DATI Trasferimenti all’interno dell’UE La circolazione dei dati dentro UE è libera ed è sempre possibile con esclusione dei casi volti ad eludere le disposizioni in materia di trattamento dei dati personali. Abuso di diritto ovvero un soggetto esercita un proprio diritto per uno scopo in contrasto con quello per cui il diritto è riconosciuto. Trasferimenti in Paesi terzi Solo se garantiscono adeguato livello di sicurezza (direttiva 95/46/CE e art.45 codice). L’adeguatezza è valutata in riferimento alla natura dei dati, tecniche utilizzate, misure di sicurezza adottate, finalità del trattamento. Il giudizio di adeguatezza è emesso dal Garante del paese da cui i dati provengono (art.44): sulla base di decisioni della Commissione Europea che constatano che: il paese terzo garantisce un livello di protezione adeguato per effetto della sua legislazione o di accordi e impegni internazionali; alcune clausole contrattuali tipo offrano garanzie sufficienti in caso di inserimento in un contratto (la Commissione si è espressa sull’adeguatezza dei trasferimenti verso Svizzera, Ungheria, Canada, Argentina, Israele,…I trasferimenti verso USA solo se imprese si conformano al ”Safe Harbour”, un insieme di principi a garanzia del trasferimento. Sulla base di adeguate garanzie individuate con un contratto o mediante regola di condotta nell’ambito di società appartenenti a medesimo gruppo. Binding Corporate Rules: il garante inglese e francese hanno approvato le BCR per alcune multinazionali (Accenture, Spencer Stuart, Michelin,..)

44 CONSENSO PER TRASFERIMENTO DEI DATI
Adempimenti formali per la legittimità del trattamento CONSENSO PER TRASFERIMENTO DEI DATI Trasferimenti in Paesi terzi E’ possibile inoltre nei seguenti casi (art.43) : espresso consenso dell’interessato; esecuzione di obblighi derivanti da un contratto; salvaguardia di un interesse pubblico rilevante a norma di legge o regolamento; salvaguardia dell’incolumità fisica o della vita di un terzo; difesa di un diritto in sede giudiziaria; accesso a documenti amministrativi o dati riconducibili a pubblico registro; espressa previsione nei codici di deontologia; dati riguardanti persone giuridiche, enti o associazioni; espressa autorizzazione del Garante. Il trasferimento dei dati verso paesi extra UE è quindi possibile in molteplicità di principi alternativi tra loro.

45 Adempimenti formali per la legittimità del trattamento
In caso di cessazione, per qualsiasi causa, di un trattamento i dati sono: Distrutti; Ceduti ad altro titolare, purché destinati ad un trattamento in termini compatibili agli scopi per i quali i dati sono raccolti; Conservati per fini esclusivamente personali e non destinati ad una comunicazione sistematica o alla diffusione; Conservati o ceduti ad altro titolare, per scopi storici, statistici o scientifici, in conformità alla legge, ai regolamenti, alla normativa comunitaria e ai codici di deontologia e di buona condotta sottoscritti ai sensi dell'articolo 12.

46 Adempimenti strutturali Misure di sicurezza
I dati personali possono assumere formati differenti: Ne consegue che prerequisito fondamentale per l’adozione delle misure di sicurezza, in ottemperanza a quanto indicato nell’Allegato B del codice in materia di protezione dei dati personali, è l’identificazione degli archivi cartacei e delle banche dati elettroniche contenenti dati personali. Infatti, le misure di sicurezza variano in funzione della tipologia di dato (personale o sensibile) e del supporto fisico su cui è custodito (cartaceo o elettronico).

47 Adempimenti strutturali Obblighi di sicurezza
La sicurezza dei dati personali deve essere affrontata con un approccio integrato: Giuridico Organizzativo e procedurale Tecnico-informatico Gli obblighi di sicurezza riguardano il titolare, i responsabili e gli incaricati.

48 Adempimenti strutturali Obblighi di sicurezza
I rischi individuati dal Codice (art 31) sono i seguenti: Distruzione o perdita Accesso non autorizzato Trattamento non conforme alle finalità di raccolta Trattamento non consentito I rischi sono relativi sia ai trattamenti cartacei che informatici Es: accesso non autorizzato degli hackers al sistema informatico ovvero accesso non autorizzato del personale di pulizia ai fascicoli lasciati sulla scrivania dal dipendente, ma anche accesso del dipendente al sistema informativo per raccogliere dati per finalità non collegate o dati estranei alle ragioni di servizio.

49 Adempimenti strutturali Obblighi di sicurezza
Le definizioni circa la sicurezza si trovano all’art 4 c3 “misure minime” complesso delle misure tecniche, informatiche, organizzative logistiche e procedurali che configurano il livello minimo di protezione richiesto in relazione ai rischi individuati dall’art.31 “autenticazione informatica” strumenti informatici o hardware finalizzati a verificare l’identità del soggetto “credenziali di autenticazione” dati e dispositivi in possesso di una persona da questi conosciuti e ad essa univocamente correlati utilizzati per l’autenticazione informatica

50 Adempimenti strutturali Obblighi di sicurezza
Le misure minime sono descritte dall’art.33,34 e 36 e dall’allegato B. Il rispetto delle misure minime è sufficiente per adempiere agli obblighi di sicurezza? Art. 31 I dati personali sono custoditi e controllati anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati, alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l’adozione di idonee e preventive misure di sicurezza, i rischi di distruzione e perdita, di accesso non autorizzato di trattamento non consentito o non conforme Aggiornamento costante + valutazione rispetto al rischio Cosa manca? Costo- opportunità ovvero valutazione degli oneri economici in relazione al rischio. Tale valutazione era presente nell’art.17 direttiva 95/46/CE ma non è stata ripresa dal codice

51 Adempimenti strutturali Obblighi di sicurezza
Due livelli di sicurezza: Misure minime (art.33), la cui mancata adozione comporta profili penali (art 169) Misure idonee (art.31), la cui mancata adozione comporta profili civili ai sensi dell’art 15 e 2050 cc

52 Adempimenti strutturali Obblighi di sicurezza
Quali sono le misure minime? Art.34 strumenti elettronici Art.35 strumenti non elettronici Art.34 Autenticazione informatica (attraverso codici, impronte digitali). Procedure di gestione delle credenziali di autenticazione (password, smart card, token,…) All.b 11 un codice non può essere assegnato ad altri incaricati neppure in tempi diversi. Le credenziali di autenticazione non utilizzate da almeno 6 mesi vanno disattivate. Lunghezza password non inferiore a 8 caratteri Non contiene riferimenti riconducibili facilmente all’incaricato E’ modificata al primo utilizzo e poi ogni 3/6 mesi (sensibili/personali) Non è ammessa la parola chiave di gruppo. La password è segreta. In caso di prolungata assenza dell’incaricato devono essere presenti procedure per assicurare la disponibilità dei dati in caso di necessità di operatività e sicurezza del sistema. La custodia delle copie delle credenziali è organizzata garantendo la segretezza e individuando i soggetti incaricati della custodia. Sistema di autorizzazione All.b 12 Insieme delle informazioni univocamente associate ad una persona che individua i dati a cui essa può accedere e i trattamenti ad essa consentiti. Quando per gli incaricati sono individuati profili di autorizzazione di ambito differente è presente un sistema di autorizzazione. È l’insieme delle procedure e degli strumenti che abilitano l’accesso ai dati in relazione al profilo dell’incaricato. Almeno annualmente è verificata la necessità di conservazione dei profili Aggiornamento periodico dell’ambito del trattamento consentito agli incaricati Protezione degli strumenti e dei dati rispetto a trattamenti illeciti, accessi non consentiti e a determinati programmi informatici Aggiornamento semestrale dei software di protezione e degli strumenti elettronici Custodia copie di sicurezza e ripristino disponibilità Salvataggio almeno settimanale di dati e conservazione copia in luogo differente Dps (abrogato d.l. 5/2012)

53 Adempimenti strutturali Obblighi di sicurezza
La Corte di Cassazione ha affermato la legittimità del licenziamento del dipendente che aveva ceduto a soggetto estraneo la propria password consentendo accesso alla rete aziendale Paziente ricoverato ha denunciato con successo struttura sanitaria che aveva lasciato il termosifone presso la sala infermieri la cartella clinica che conteneva informazioni molto delicate su proprio stato di salute. Corte di appello aveva respinto perché sala chiusa al pubblico. Cassazione ha ribadito accesso non selettivo. Una coppia ha avuto risarcimento del danno ( euro) perché recatasi in banca per un mutuo aveva notato che i fascicoli dei clienti erano stati lasciati sul davanzale di una finestra accessibile al pubblico Condomino ha citato l’amministratore perché in bacheca accessibile anche ad esterni erano stati esposti dati sulla propria situazione debitoria Sms promozionali sul cellulare senza consenso: condannato l’operatore a euro per ciascuno dei 9 sms (danno non patrimoniale, art.11).

54 Documento programmatico sulla sicurezza
La redazione del DPS era una misura minima prevista dall’Allegato B. Era un documento che viene redatto dal titolare solo nel caso di trattamenti di dati sensibili e giudiziari effettuato con strumenti elettronici, entro il 31 marzo di ogni anno e contiene informazioni riguardo:

55 Adempimenti strutturali Obblighi di sicurezza
Dati sensibili? Protezione da accesso abusivo con idonei strumenti elettronici (20) Istruzioni organizzative e tecniche per la custodia e l’uso di supporti rimovibili Ripristino dell’accesso ai dati in caso di danneggiamento in tempi compatibili con i diritti degli interessati e non superiore a 7 giorni Organismi sanitari devono trattare i dati sensibili in modo disgiunto dagli altri personali. Accesso limitato agli stessi operatori per quanto necessario Gli interessati non devono essere identificabili da parte degli operatori che svolgono un trattamento sui dati tale che non è necessario conoscere l’identità del soggetto, che è conoscibile solo dal ristretto novero di soggetti per cui è necessario e a cui si è dato un profilo di autorizzazione in tal senso. Tracciabilità degli accessi e dei logs Art 22 c 6 e 7 Art 34 c1 lett. H Allegato B Autorizzazione generale del Garante n.2

56 Adempimenti strutturali Obblighi di sicurezza
Art. 35 strumenti non elettronici Aggiornamento periodico dell’ambito consentito agli incaricati Procedure di custodia di atti e documenti Procedura di accesso autorizzato, selettivo e tracciabile agli archivi (soprattutto dati sensibili) Carattere procedurale delle misure minime

57 Adempimenti strutturali Obblighi di sicurezza
Art. 35 strumenti non elettronici Aggiornamento periodico dell’ambito consentito agli incaricati Procedure di custodia di atti e documenti Procedura di accesso autorizzato, selettivo e tracciabile agli archivi (soprattutto dati sensibili) Carattere procedurale delle misure minime

58 Reclamo dell’interessato
Per far valere i suoi diritti l’interessato può rivolgersi al Garante: con un reclamo per rappresentare una violazione della disciplina in materia di trattamento dei dati; mediante segnalazione per sollecitare un controllo da parte del Garante; mediante ricorso. Il reclamo: contiene indicazioni dettagliate dei fatti su cui si fonda e le generalità identificative del titolare, del responsabile e dell’istante; è sottoscritto dall’interessato; è presentato al Garante senza formalità e reca in allegato la documentazione utile per la sua valutazione; il garante può predisporre un modello per il reclamo da pubblicare nel Bollettino.

59 Responsabilita’ e Sanzioni
IL GARANTE Il Garante è un’autorità indipendente prevista nella direttiva 95/46/CE. E’ un organo collegiale costituito da 4 membri (due eletti dalla Camera e due dal Senato), che eleggono nel loro ambito il Presidente. Durano in carica 7 anni e non sono rinnovabili. Ha un potere generale di controllo e si può avvalere della collaborazione di altri organi dello Stato (GdF) Esamina i reclami e le segnalazioni e decide sui ricorsi, può prescrivere anche d’ufficio misure necessarie o opportune per rendere il trattamento conforme e lo può vietare in tutto o in parte se illecito o non corretto, esprime pareri. E’ l’organo competente ad irrogare le sanzioni amministrative

60 Responsabilita’ e Sanzioni
ILLECITI AMMINISTRATIVI REATI PENALI RESPONSABILITA’ CIVILE

61 Responsabilita’ e Sanzioni
Gli illeciti amministrativi Omessa o inidonea informativa (art.161) sanzione: da a euro Es: informativa mancante; informativa presente ma poi dati riutilizzati per finalità non prevista; informativa mancante degli elementi essenziali come il titolare o i soggetti cui possono essere comunicati i dati; informativa poco comprensibile Cessione dei dati in violazione art.16 c1 lett.b o di altre disposizioni (art.162) sanzione: da a euro Ai sensi art.16 la cessione è lecita se i dati sono destinati ad un trattamento che abbia finalità compatibili agli scopi per cui sono stati raccolti. Violazione dell’art.84 (art.162c2 ) sanzione: da a euro Caso in cui non sia un medico a comunicare all’interessato informazioni sanitarie Trattamento effettuato senza l’adozione delle misure minime di sicurezza dell’art.33 (art 162 c2 bis) sanzione: da a euro Sanzione può integrare reato penale di cui all’art. 169, ma pare riferirsi alla violazione di misure adottate o alla loro adozione non conforme

62 Responsabilita’ e Sanzioni
Gli illeciti amministrativi Violazione art sanzione: da a euro Sanzione può integrare reato penale di cui all’art Trattamento illecito dei dati: Art.167 Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sè o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli articoli 18, Principi applicabili a tutti i trattamenti effettuati da soggetti pubblici (Qualunque trattamento di dati personali da parte di soggetti pubblici è consentito soltanto per lo svolgimento delle funzioni istituzionali….) 19, Principi applicabili al trattamento di dati diversi da quelli sensibili e giudiziari soggetti pubblici 23. Consenso (Il trattamento di dati personali da parte di privati o di enti pubblici economici è ammesso solo con il consenso espresso dell'interessato) 123 Dati relativi al traffico (fornitori servizi) 126 Dati relativi all’ubicazione (fornitori di servizi) 130. Comunicazioni indesiderate (l'uso di sistemi automatizzati di chiamata o di comunicazione di chiamata senza l'intervento di un operatore per l'invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale è consentito con il consenso del contraente o utente) 129. Elenchi di contraenti …….. segue

63 Responsabilita’ e Sanzioni
Gli illeciti amministrativi Violazione art sanzione: da a euro Sanzione può integrare reato penale di cui all’art Trattamento illecito dei dati: Art.167 Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sè o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli articoli 17. Trattamento che presenta rischi specifici. Il trattamento dei dati diversi da quelli sensibili e giudiziari che presenta rischi specifici per i diritti e le libertà fondamentali, nonché per la dignità dell'interessato, …è ammesso nel rispetto di misure ed accorgimenti a garanzia dell'interessato, ove prescritti. 2. Le misure e gli accorgimenti di cui al comma 1 sono prescritti dal Garante … nell'ambito di una verifica preliminare all'inizio del trattamento, effettuata …anche a seguito di un interpello del titolare. 20. Principi applicabili al trattamento di dati sensibili l trattamento dei dati sensibili da parte di soggetti pubblici è consentito solo se autorizzato da espressa disposizione di legge 21, Principi applicabili al trattamento di dati giudiziari (soggetti pubblici) 22, soggetti pubblici, commi 8 (i dati idonei a rivelare lo stato di salute non possono essere diffusi) e 11 25. Divieti di comunicazione e diffusione 1. La comunicazione e la diffusione sono vietate, oltre che in caso di divieto disposto dal Garante o dall'autorità giudiziaria: a) in riferimento a dati personali dei quali è stata ordinata la cancellazione, ovvero quando è decorso il periodo di tempo indicato nell'articolo 11, comma 1, lettera e); b) per finalità diverse da quelle indicate nella notificazione del trattamento, ove prescritta. 2. È fatta salva la comunicazione o diffusione di dati richieste, in conformità alla legge, da forze di polizia, dall'autorità giudiziaria, da organismi di informazione e sicurezza o da altri soggetti pubblici ai sensi dell'articolo 58, comma 2, per finalità di difesa o di sicurezza dello Stato o di prevenzione, accertamento o repressione di reati. 26, Garanzie dati sensibili (consenso + autorizzazione, no diffusione dati sensibili) 27 Garanzie dati giudiziari . Il trattamento di dati giudiziari da parte di privati o di enti pubblici economici è consentito soltanto se autorizzato da espressa disposizione di legge o provvedimento del Garante che specifichino le rilevanti finalità di interesse pubblico del trattamento, i tipi di dati trattati e di operazioni eseguibili. 45. Trasferimenti vietati 1. Fuori dei casi di cui agli articoli 43 e 44, il trasferimento anche temporaneo fuori del territorio dello Stato, con qualsiasi forma o mezzo, di dati personali oggetto di trattamento, diretto verso un Paese non appartenente all'Unione europea, è vietato quando l'ordinamento del Paese di destinazione o di transito dei dati non assicura un livello di tutela delle persone adeguato. Sono valutate anche le modalità del trasferimento e dei trattamenti previsti, le relative finalità, la natura dei dati e le misure di sicurezza. ….

64 Responsabilita’ e Sanzioni
Gli illeciti amministrativi Violazione art. 154 c1 lett c e d (art.162 ter) sanzione: da a euro Inosservanza prescrizione sulle misure necessarie o opportune al fine di rendere il trattamento conforme alle disposizioni vigenti, ai sensi dell'articolo 143 (reclami); Inosservazione prescrizione divieto di utilizzo o blocco Integra reato penale (art.170) Omessa informazione al Garante o mancata esibizione documenti richiesti(art.164) sanzione: da a euro ….. Se la violazione degli art da 161 a 164 è di minore gravità limiti sanzione diminuiti in misura pari a 2/5 Se più violazioni della stessa norma o di più norme …sanzione da a euro Le sanzioni possono essere aumentate fino al quadruplo se inefficaci in ragione delle condizioni economiche del contravventore Se violazione coinvolge numerosi interessati o grave pregiudizio le sanzioni sono pari al doppio

65 Responsabilita’ e Sanzioni
I reati penali Trattamento illecito dei dati (art.167) Dolo specifico di trarre profitto, deve essere cagionato nocumento, violazione articoli richiamati La giurisprudenza esclude le semplici violazioni formali che producono un vulnus minimo alla privacy del soggetto e non determinano un danno patrimoniale e non apprezzabile. Un associato ha preso i dati degli altri associati dal database dell’associazione per invio materiale pubblicitario senza consenso. La Cassazione ha ritenuto che non si realizzi il nocumento richiesto. Il direttore di banca ha rilevato all’acquirente di un immobile dati su situazione debitoria dei venditori..... Un soggetto ha diffuso via chat il numero di cellullare di un altro soggetto senza consenso. La condotta è stata posta in essere volontariamente per arrecare un danno e il danno è stato prodotto Un soggetto ha pubblicato senza consenso su internet le immagini intime di una donna su sito pornografico, creando danno all’immagine e alla tranquillità della donna Spamming per scopi commerciali.. Pena: reclusione da 6 a 18 mesi se mero trattamento illecito. Se comunicazione o diffusione da 6 a 24 mesi. D 1 a 3 anni per casi più gravi (dati sensibili, dati giudiziari, trasferimento vietato all’estero,..) Falsità nelle dichiarazioni o notificazioni al Garante (art.168) Chiunque attesta notizie false o produce documenti falsi in un procedimento o nel corso di accertamenti Pena: da 6 mesi a 3 anni Omessa adozione delle misure di sicurezza (art.169) Autori del reato possono essere il titolare (dovere di vigilanza e controllo), il responsabile e l’incaricato (es:custodia password) Ravvedimento operoso: Garante da termine per regolarizzare non superiore a 6 mesi. Se ok, si paga un quarto del massimo della sanzione amministrativa. Adempimento e pagamento estinguono il reato. Pena: arresto sino a 2 anni

66 Responsabilita’ e Sanzioni
I reati penali Inosservanza dei provvedimenti del Garante (art.170) (autorizzazione al trattamento dati sensibili, blocco al trattamento) Violazioni dell’art.4 e 8 dello Statuto dei Lavoratori (art.171) Capo II - Annunci di lavoro e dati riguardanti prestatori di lavoro Art Raccolta di dati e pertinenza 1. Resta fermo quanto disposto dall'articolo 8 della legge 20 maggio 1970, n. 300. Capo III - Divieto di controllo a distanza e telelavoro Art Controllo a distanza 1. Resta fermo quanto disposto dall'articolo 4 della legge 20 maggio 1970, n. 300.

67 RESPONSABILITA E SANZIONI Divieto di controllo a distanza dell’attività dei lavoratori (art.4 Statuto lavoratori) E’ vietato l’uso di impianti audiovisivi e di altre apparecchiature per finalità di controllo a distanza dell’attività dei lavoratori (comma 1). Gli impianti e le apparecchiature di controllo che siano richieste da esigenze organizzative e produttive ovvero dalla sicurezza del lavoro, ma dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori, possono essere installati soltanto previo accordo con le RSA, oppure con la Commissione Interna. In difetto su istanza del datore di lavoro, provvede l’Ispettorato del lavoro, dettando, ove occorra, le modalità per l’uso di tali impianti (comma 2). Giurisprudenza: controllo a distanza in senso spaziale/temporale, anche mera possibilità di controllo e ove apparecchiature solo installate ma non ancora funzionanti, anche se discontinuo e lavoratori preavvertiti (Cass.9211/1997)

68 RESPONSABILITA E SANZIONI DIVETO DI INDAGINI SULLE OPINIONI (art. 8 st
RESPONSABILITA E SANZIONI DIVETO DI INDAGINI SULLE OPINIONI (art. 8 st. lav. – legge 20 maggio 1970, n.300) E’ fatto divieto al datore di lavoro, ai fini dell’assunzione, come nel corso dello svolgimento del rapporto di lavoro, di effettuare indagini, anche a mezzo terzi, sulle opinioni politiche, religiose, sindacali del lavoratore, nonché su fatti non rilevanti ai fini della valutazione dell’attitudine professionale del lavoratore.

69 art. 615 ter C.P. accesso abusivo al sistema informatico
Responsabilita’ e Sanzioni art. 615 ter C.P. accesso abusivo al sistema informatico Si ha accesso abusivo quando un soggetto si introduce abusivamente in un sistema informatico protetto da misure di sicurezza o quando un soggetto si mantiene all’interno del sistema contro la volontà espressa o tacita di chi ha il diritto di escluderlo. Reclusione fino a 3 anni Reato di mera condotta Riguarda sia soggetti estranei all’organizzazione che interni Ad un lavoratore è stato contestato di aver compiuto un illecito accesso ad una cartella contenente dati archiviati nel computer di un collega. Corte Cassazione sezione lavoro – il licenziamento del lavoratore è legittimo poiché configura responsabilità contrattuale ovvero violazione obbligo di fedeltà (art.2105cc) Corte Cassazione sezione penale – non si configura accesso abusivo quando si accede a sistema informatico non protetto

70 Responsabilita’ e Sanzioni
La responsabilità civile Art. 15. Danni cagionati per effetto del trattamento 1. Chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell'articolo 2050 del codice civile. 2. Il danno non patrimoniale è risarcibile anche in caso di violazione dell'articolo 11. Art. 11. Modalità del trattamento e requisiti dei dati 1. I dati personali oggetto di trattamento sono: a) trattati in modo lecito e secondo correttezza; b) raccolti e registrati per scopi determinati, espliciti e legittimi, ed utilizzati in altre operazioni del trattamento in termini compatibili con tali scopi; c) esatti e, se necessario, aggiornati; d) pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono raccolti o successivamente trattati; e) conservati in una forma che consenta l'identificazione dell'interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati. 2. I dati personali trattati in violazione della disciplina rilevante in materia di trattamento dei dati personali non possono essere utilizzati Art Responsabilità per l'esercizio di attività pericolose Chiunque cagiona danno ad altri nello svolgimento di un'attività pericolosa, per sua natura o per la natura dei mezzi adoperati, è tenuto al risarcimento, se non prova di avere adottato tutte le misure idonee a evitare il danno. L’interessato dimostra l’evento, il danno e il nesso di causa Al titolare è richiesta prova di misure idonee non minime

71 Allegato: TRATTAMENTI IN AMBITO SANITARIO
A questi dati è dedicato il Titolo V del codice. La disciplina si applica al trattamento dei dati inerenti la salute trattati per finalità di cura, diagnosi e terapia. La disciplina si basa su tre principi: consenso, informativa e sicurezza CONSENSO (art.76): è obbligatorio, ancorchè in forma semplificata + autorizzazione del garante ma a) senza autorizzazione, con il consenso se trattamento indispensabile per finalità di tutela salute o incolumità interessato (ipotesi di scuola, c’è autorizzazione generale) b)senza consenso (ma con autorizzazione garante) e addirittura col rifiuto se la finalità di tutela della salute e incolumità riguarda un terzo o la collettività Es: un soggetto si oppone alla comunicazione al partner della notizia riguardante malattia sessualmente trasmissibile. Tra il bene guridico della tutela della salute e la riservatezza, il legislatore sceglie il primo. Caso della “prostituta di Ravenna”, aveva infettato molti clienti ignari. Il giudice aveva ordinato di rendere pubbliche foto e generalità. Il Garante ha obiettato che la finalità avrebbe potuto essere perseguita con modalità differenti e più selettive. Ma legge 135/90 in materia di AIDS, per la comunicazione è necessario consenso interessato CONTRADDIZIONE LEGISLATIVA può essere manifestato una volta sola per il complesso dei trattamenti Anche oralmente, ma con annotazione standard della struttura sanitaria di averlo ricevuto. Onere della prova di non averlo dato stà all’interessato LA DIRETTIVA EUROPEA NON PREVEDEVA CONSENSO OBBLIGATORIO PER DIAGNOSTICA E CURE

72 Allegato: TRATTAMENTI IN AMBITO SANITARIO
INFORMATIVA: semplificazioni, può essere data per il complesso dei trattamenti di prevenzione, diagnosi, cura, riabilitazione può riguardare anche dati raccolti presso terzi può essere data anche tramite affissione di un cartello può essere integrata verbalmente se necessario Si annota l’avvenuta informativa IL GARANTE HA PRODOTTO UNO SCHEMA DI INFORMATIVA LA SEMPLIFICAZIONE NON RIGUARDA I CONTENUTI DI CUI ALL’ART 13

73 Allegato: TRATTAMENTI IN AMBITO SANITARIO
SICUREZZA (art.83): (no medici generali, no studi medici) distanze di cortesia evitare indebita conoscenza da parte di terzi di informazioni su stato di salute durante colloqui evitare situazioni promiscuità per le prestazioni sanitarie compresa documentazione di anamnesi eliminazione chiamata nominativa Acceso selettivo ai dati sensibili + separazione tra dati amministrativi personali e dati sensibili COMUNICAZIONE ART.84 i dati sanitari possono essere comunicati solo da medico designato da interessato o titolare. Titolare può autorizzare per iscritto personale non medico a comunicare, che abbia nei propri compiti i rapporti con i pazienti. La ratio non è tutela privacy ma adeguata rappresentazione al fine di evitare contraccolpi emotivi REFERTI ON LINE: linee guida. Deve essere facoltativa e mantenuto accesso tradizionale cartaceo. informativa + consenso possibilità di revoca anche in relazione a singoli esami se comunicazione tramite posta elettronica deve essere convalidato ogni volta l’indirizzo SE DATI VALUTATI CRITICI O ELEMENTI DI PREOCCUPAZIONE A GIUDIZIO MEDICO VA PREFERITA COMUNICAZIOME PERSONALE E DIRETTA Vanno usati protocolli di comunicazione sicuri (https) , disponibilità max on line 45 gg, sistemi di autenticazione dell’interessato, se posta elettronica, no body part del messaggio ma file protetto con password

74 Allegato: TRATTAMENTI IN AMBITO SANITARIO
Conservazione dati: Principio finalità Art.11, non oltre tempo necessario Circolare Ministero Sanità per cartelle cliniche (40 anni e oltre archivio) Art.99 “il trattamento dei dati per scopi storici, statistici, scientifici è considerato compatibile con le finalità per cui sono stati raccolti”, ma adeguate garanzie Codice Deontologia scopi statistici e scientifici, allegato a4: finalità deve essere indicata nell’informativa, fin dalla raccolta del dato Se necessario, va preso consenso Se possibile dati identificativi separati dagli altri L’interessato ha diritto a cancellazione, rettifica, integrazione Criterio soggettivo per applicazione Codice deontologia la finalità di ricerca deve risultare nello statuto dell’ente. Il codice non si applica ai trattamenti per scopi statistici e scientifici connessi con attività di tutela della salute svolte da esercenti professioni sanitarie od organismi sanitari, ovvero con attività comparabili in termini di significativa ricaduta personalizzata sull'interessato, che restano regolati dalle pertinenti disposizioni.

75 Allegato: LAVORO ESTRATTO DAL PARERE 8/2001 DEL GRUPPO ART.29:
Il controllo e la sorveglianza dei lavoratori rispetto all’uso della posta elettronica, all’accesso a Internet, alle riprese televisive o ai dati sulla localizzazione sono soggetti alle norme che tutelano i dati Ogni controllo deve essere una risposta proporzionata del datore di lavoro ai rischi che corre nel tener conto della riservatezza e di altri interessi legittimi dei lavoratori. Tutti i dati personali detenuti o utilizzati durante i controlli devono essere adeguati, pertinenti e non eccedenti rispetto alle finalità che giustificano il controllo. I controlli devono essere eseguiti nel modo meno intrusivo possibile

76 Allegato: LAVORO Principi base per il controllo degli strumenti elettronici sul luogo di lavoro
Principio di necessità (art b): i trattamenti devono essere effettuati per finalità determinate, esplicite e legittime Principio di pertinenza e non eccedenza (art.11.1.d): I dati trattati devono essere pertinenti e non eccedenti rispetto alle finalità per le quali sono stati raccolti Principio di necessità (art.3 del Codice): configurazione dei sistemi informativi e programmi informatici in modo da non utilizzare dati relativi a persone identificabili, quando le finalità del trattamento possono essere realizzate impiegando solo dati anonimi Principio di correttezza (art.11.1.a): Trasparenza dei potenziali trattamenti (automatici, invisibili o occulti), le cui caratteristiche essenziali devono essere rese note ai lavoratori


Scaricare ppt "Indice Concetti generali Principi generali per il trattamento dei dati"

Presentazioni simili


Annunci Google