La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

IL TESTO UNICO IN MATERIA DI PRIVACY 05.03.2008. Privacy, la storia… wLegge n. 675 del 31 dicembre 1996 - Tutela delle persone e di altri soggetti rispetto.

Presentazioni simili


Presentazione sul tema: "IL TESTO UNICO IN MATERIA DI PRIVACY 05.03.2008. Privacy, la storia… wLegge n. 675 del 31 dicembre 1996 - Tutela delle persone e di altri soggetti rispetto."— Transcript della presentazione:

1 IL TESTO UNICO IN MATERIA DI PRIVACY

2 Privacy, la storia… wLegge n. 675 del 31 dicembre Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali wDPR 28 luglio 1999 n Regolamento contenente norme per l'individuazione delle misure minime di sicurezza per il trattamento dei dati personali wLegge 3 novembre 2000 n Disposizioni inerenti l'adozione delle misure minime di sicurezza nel trattamento dei dati personali

3 Legge 675/96 questa legge sulla tutela dei dati personali (nota come legge sulla privacy), ed i successivi decreti attuativi, hanno imposto alle aziende una serie di incombenze mirate a tutelare la privacy dei propri dipendenti, dei clienti, dei fornitori ed in generale di tutti i soggetti di cui l'azienda detiene dati personali o dati sensibili / dati giudiziari

4 Codice in materia di protezione dei dati personali Decreto Legislativo 30 giugno 2003, n. 196 G.U. 29 luglio 2003, n. 174 SUPP.ORD.

5 Testo unico sulla tutela dei dati personali il testo unico in materia di protezione dei dati personali, approvato dal Consiglio dei ministri il 27 giugno 2003 è ispirato all' introduzione di nuove garanzie per i cittadini ed alla razionalizzazione delle norme esistenti e alla semplificazione.

6 La privacy oggi privacy non significa solamente il diritto ad essere lasciati in pace, ma anche il diritto di controllare l'uso e la circolazione dei propri dati personali che costituiscono il bene primario della società dell'informazione.

7 Il diritto alla privacy il diritto alla privacy ed alla protezione dei dati personali costituisce un diritto fondamentale delle persone, direttamente collegato alla tutela della dignità umana, come sancito dalla Carta dei diritti fondamentali dell'Unione Europea.

8 Il Garante il Garante per la protezione dei dati personali è un'autorità amministrativa indipendente istituita dalla legge sulla privacy (legge n. 675 del 1996).

9 Che compiti ha il Garante per la protezione dei dati personali? il Garante ha il compito di vigilare sull'applicazione della legge e sulla protezione dei dati personali.

10 Definizione di dati personali “Qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale”

11 Definizione di dati sensibili “I dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale”

12 La legge si applica soltanto agli archivi o alle banche dati? No, la legge trova applicazione ad ogni operazione di trattamento di informazioni relative alle persone anche a prescindere dall'esistenza di archivi o banche dati.

13 La legge si applica anche se non si utilizza un computer? Sì, la legge viene applicata a tutti i trattamenti indipendentemente dal fatto che siano effettuati "con l'ausilio di mezzi elettronici o comunque automatizzati".

14 Marketing E' consentito solo con il consenso dell'interessato, l'utilizzo di sistemi automatizzati di chiamata senza l'intervento di un operatore per l'invio di materiale pubblicitario o di vendita diretta o per effettuare ricerche di mercato o comunicazioni commerciali (articolo 130).

15 Tutela per le informazioni indesiderate È stata rafforzata la tutela contro le comunicazioni indesiderate (spamming), ribadendo il principio espresso nell'art.130 del codice, il consenso degli interessati, per cui è consentito l'invio di comunicazioni mediante sistemi automatizzati (posta elettronica, fax, dispositivi automatici di chiamata) solo con il preventivo consenso dell'utente interessato: tale tutela è stata estesa anche all'invio di messaggi pubblicitari attraverso Sms e Mms.

16 Obblighi di sicurezza

17 Articoli sulle misure di sicurezza CodiceDisciplinare tecnico Art. 4 - DefinizioniTrattamenti Strumenti Elettronici Punti da 1 a 26 Artt. 31, 32 - Misure di sicurezza Trattamenti senza l’ausilio di strumenti elettronici Punti da 27 a 29 Artt. 33, 34, 35 - Misure minime Art Adeguamento Art Disposizioni transitorie Art Sanzioni Art. 15 – Danni

18 Misure minime di sicurezza Articolo 4, comma 3 Il complesso delle misure tecniche – informatiche, organizzative, logistiche - procedurali di sicurezza che configurano il livello minimo di protezione richiesto in relazione ai rischi previsti nell’articolo 31

19 Misure tecnico informatiche wIdentificazione dell’incaricato e/o utente wAutenticazione dell’incaricato e/o utente wControlli aggiornati antivirus wControllo sull’operato degli addetti manutenzione wControllo dei supporti di memorizzazione wCifratura dei dati trasmessi

20 Misure organizzative wrealizzazione del Documento programmatico wanalisi dei rischi wassegnazione degli incarichi wformazione del personale wverifiche periodiche su dati o trattamenti non consentiti o non corretti wpiano di disaster recovery

21 Misure logistico-procedurali wingresso controllato nei locali ove ha luogo il trattamento wregistrazione degli accessi wcustodia in classificatori o armadi non accessibili wdispositivi antincendio wcontinuità dell’alimentazione elettrica

22 Misure minime di sicurezza Tutti i titolari, al fine di assicurare un livello minimo di protezione dei dati, indipendentemente dai tipi di strumenti utilizzati ( elettronici/non elettronici), sono tenuti ad adottare le misure minime di sicurezza individuate nel Codice, rispettando le modalità tecniche previste nel Disciplinare tecnico (Allegato B)

23 Documento programmatico sulla sicurezza una delle più importanti novità introdotte consiste nell'obbligo di riportare nella relazione accompagnatoria del bilancio d'esercizio, se dovuta, dell'avvenuta redazione o aggiornamento del documento programmatico sulla sicurezza.

24 Documento programmatico della sicurezza (DPS) Entro il 31 marzo di ogni anno (quest’anno è stata concessa una proroga sino al 30 giugno), il Titolare che effettui trattamenti di dati utilizzando strumenti elettronici, deve redigere il DPS. wL’elenco dei trattamenti di dati personali wLa distribuzione dei compiti e responsabilità nella struttura wL’analisi dei rischi relativi ai dati trattati wLe misure da adottare per garantire l’integrità e la disponibilità dei dati e la protezione delle aree e dei locali wLa descrizione dei criteri e delle modalità da adottare per garantire l’integrità dei dati (in seguito a distruzione o danneggiamento)

25 Mettersi in regola ?

26 Perché è obbligatorio wè obbligatorio essere in regola. wla legge è operativa dal 1 Gennaio 2004 è rappresenta l'ultima occasione concessa per adeguarsi alla normativa. wsi rischiano sanzioni molte dure: multe e reclusione, risarcimento del danno patrimoniale e morale ex art

27 Buoni motivi per attivarsi subito il dispositivo di legge e' vigente al pari di ogni altra legge dello Stato Italiano.

28 Buoni motivi per attivarsi subito in caso di violazione accertata, sono previste sanzioni di tipo amministrativo (fino a Euro) e la reclusione (fino a 3 anni), esclusione dalle gare di appalto, risarcimenti danni. L'Autorità Garante effettua ispezioni e sanziona gli inadempimenti, di recente insieme alla Guardia di Finanza.

29 Buoni motivi per attivarsi subito win ambito pubblico l'avanzare del governo elettronico pone molteplici problematiche da risolvere in materia di dati. wla tutela della privacy rientra negli allegati dell'avviso dell'e-government, nei progetti qualità e negli accreditamenti istituzionali.

30 Chi deve adeguarsi wdevono adeguarsi tutti coloro che trattano dati personali wAziende wProfessionisti wCooperative wAssociazioni wP.A. wScuole wComuni wOspedali wenti pubblici ecc. (ovvero chiunque tratti dati personali di clienti, cittadini, dipendenti, fornitori, utenti, pazienti, colleghi, soci, associati ecc.). wgli adempimenti sono diversi a seconda delle dimensioni della struttura e del tipo di trattamento di dati.

31 Controlli: accordo tra il Garante e la Guardia di Finanza wa Roma è stato siglato un protocollo d’intesa tra la Guardia di finanza ed il Garante della Privacy. wl’accordo ha l'obiettivo di regolare le reciproche forme di intesa finalizzate a porre in essere una sempre più intensa ed efficace attività di controllo sulla raccolta dati. wla Guardia di Finanza collaborerà alle attività ispettive attraverso –la partecipazione di proprio personale agli accessi alle banche dati, ispezioni, verifiche e alle altre rilevazioni nei luoghi ove si svolge il trattamento –lo sviluppo di attività delegate o sub-delegate per l’accertamento delle violazioni di natura penale ed amministrativa –l’assistenza nei rapporti con l’Autorità Giudiziaria –il reperimento di dati e informazioni sui soggetti da controllare –inoltre, il Corpo collabora nell’esecuzione di indagini conoscitive sullo stato di attuazione della legge in determinati settori. wL’Autorità, in merito alle questioni in cui ritenga necessario avvalersi della collaborazione, attiverà il Nucleo Speciale Servizi Extratributari della Guardia di Finanza il quale assicura, con proiezioni su tutto il territorio nazionale, gli adempimenti connessi all’attività collaborativa avvalendosi, se del caso, dei Nuclei di Polizia Tributaria territorialmente competenti.

32 Cosa si rischia? wsanzioni a seguito di controllo ispettivo (recentemente una parte della Guardia di Finanza é stata dedicata a tale scopo): si rischiano la reclusione e sanzioni pecuniarie fino a Euro. La casistica della violazioni che danno diritto a risarcimento del danno è molto varia. wl'art c.c. qualifica il trattamento dei dati come attività pericolosa. wa livello pratico significa che chi tratta i dati, per evitare ogni responsabilità, deve dimostrare di aver adottato "tutte le misure idonee ad evitare il danno". Significa dunque che il titolare dei dati deve dare prova documentata (si veda Documento Programmatico Sulla Sicurezza) di aver adottato tutte le misure di sicurezza nella miglior versione possibile.

33 L’onere della prova Non è l'interessato a dover provare il danno ma colui che l'ha provocato a dover provare di aver fatto tutto il possibile per evitarlo.

34 Crimini informatici commessi da dipendenti la legge 547/93 introduce nel nostro ordinamento vari "crimini informatici", ovvero l’attentato a impianti informatici di pubblica utilità, falsificazione di documenti informatici, accesso abusivo ad un sistema informatico o telematico, detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici, diffusione di programmi diretti a danneggiare o interrompere un sistema informatico, violazione di corrispondenza telematica, intercettazione di , danneggiamento di sistemi informatici o telematici (...).

35 Crimini informatici commessi da dipendenti il datore di lavoro rischia di essere ritenuto in concorso con il dipendente che ha commesso il crimine informatico, per non aver posto in essere tutte le misure di prevenzione e controllo idonee a garantire la sicurezza del trattamento dei dati

36 Crimini informatici commessi da dipendenti inoltre la mancata adozione di tutte le misure idonee a ridurre al minimo i rischi viene considerata difatti un agevolazione alla commissione del crimine.

37 Chi deve risarcire il danno i soggetti tenuti al risarcimento dei danni causati dal trattamento dei dati personali, sono il "titolare" (ossia colui "cui competono le decisioni in ordine alle finalità del trattamento" e "della sicurezza") ed il "responsabile" (ossia colui che è preposto dal titolare al trattamento dei dati, avendo "esperienza, capacità ed affidabilità" tale da fornire "idonea garanzia del pieno rispetto delle disposizioni di legge in materia di trattamento, ivi compreso il profilo relativo alla sicurezza").

38 Le sanzioni Amministrative Omessa, inidonea informativaDati comuni: Dati sensibili: Aumento fino al triplo Cessione dati Comunicazione dati sanitari in violazione del Codice Omessa o incompleta notificazione Omessa informazione o esibizione di documenti al Garante

39 Le sanzioni (2) Penali Trattamento illecito dei datiDati comuni: Recl mesi Dati sensibili: Recl mesi Falsità in dichiarazioni e notificazioni al Garante Recl mesi Omissione misure minime di sicurezzaArresto fino a 2 anni o ammenda da a (ravvedimento operoso) Inosservanza provvedimenti del Garante Recl mesi

40 Responsabilità civile Chiunque cagiona ad altri danni per effetto del trattamento di dati personali è tenuto al risarcimento se non prova di aver adottato tutte le misure idonee atte ad evitare il danno (art c.c.)

41 Scadenze Entrata in vigore codice DPS Notificazione Misure minime Adeguamento tecnologico

42 GRAZIE PER LA CORTESE ATTENZIONE

43 Definizione di dati sensibili “I dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale”

44 Sono abilitati a trattare dati sensibili gli esercenti le professioni sanitarie a trattare i dati idonei a rivelare lo stato di salute, qualora i dati e le operazioni siano indispensabili per tutelare l'incolumità fisica o la salute di un terzo o della collettività, e il consenso non sia prestato o non possa essere prestato per effettiva irreperibilità; b) gli organismi e le case di cura private, nonché ogni altro soggetto privato, a trattare con il consenso i dati idonei a rivelare lo stato di salute e la vita sessuale;

45 Sono abilitati a trattare dati sensibili c) gli organismi sanitari pubblici, istituiti anche presso università, ivi compresi i soggetti pubblici allorché agiscano nella qualità di autorità sanitarie, a trattare i dati idonei a rivelare lo stato di salute, qualora ricorrano contemporaneamente le seguenti condizioni: 1) il trattamento sia finalizzato alla tutela dell'incolumità fisica e della salute di un terzo o della collettività; 2) manchi il consenso (articolo 76, comma 1, lett. b), del Codice), in quanto non sia prestato o non possa essere prestato per effettiva irreperibilità; 3) non si tratti di attività amministrative correlate a quelle di prevenzione, diagnosi, cura e riabilitazione ai sensi dell'art. 85, commi 1 e 2, del Codice;

46 Definizione di dati sensibili “I dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale”

47 Sono abilitati a trattare dati sensibili d) anche soggetti diversi da quelli di cui alle lettere a), b) e c) a trattare i dati idonei a rivelare lo stato di salute e la vita sessuale, qualora il trattamento sia necessario per la salvaguardia della vita o dell'incolumità fisica di un terzo. Se la medesima finalità riguarda l'interessato e quest'ultimo non può prestare il proprio consenso per impossibilità fisica, per incapacità di agire o per incapacità d'intendere o di volere, il consenso è manifestato da chi esercita legalmente la potestà, ovvero da un prossimo congiunto, da un familiare, da un convivente o, in loro assenza, dal responsabile della struttura presso cui dimora l'interessato. Per l'informativa e, ove previsto, il consenso si osservano anche le disposizioni di cui agli articoli 13, 23, 26 e da 75 a 82 del Codice.

48 Ambito di applicazione e finalità del trattamento 1.1. L'autorizzazione è rilasciata: a) ai medici-chirurghi, ai farmacisti, agli odontoiatri, agli psicologi e agli altri esercenti le professioni sanitarie iscritti in albi o in elenchi; b) al personale sanitario infermieristico, tecnico e della riabilitazione che esercita l'attività in regime di libera professione; c) alle istituzioni e agli organismi sanitari privati, anche quando non operino in rapporto con il servizio sanitario nazionale.

49 Ambito di applicazione e finalità del trattamento In tali casi, l'autorizzazione è rilasciata anche per consentire ai destinatari di adempiere o di esigere l'adempimento di specifici obblighi o di eseguire specifici compiti previsti da leggi, dalla normativa comunitaria o da regolamenti, in particolare in materia di igiene e di sanità pubblica, di prevenzione delle malattie professionali e degli infortuni, di diagnosi e cura, ivi compresi i trapianti di organi e tessuti, di riabilitazione degli stati di invalidità e di inabilità fisica e psichica, di profilassi delle malattie infettive e diffusive, di tutela della salute mentale, di assistenza farmaceutica e di assistenza sanitaria alle attività sportive o di accertamento, in conformità alla legge, degli illeciti previsti dall'ordinamento sportivo.

50 Ambito di applicazione e finalità del trattamento Il trattamento può riguardare anche la compilazione di cartelle cliniche, di certificati e di altri documenti di tipo sanitario, ovvero di altri documenti relativi alla gestione amministrativa la cui utilizzazione sia necessaria per i fini appena indicati. Qualora il perseguimento di tali fini richieda l'espletamento di compiti di organizzazione o di gestione amministrativa, i destinatari della presente autorizzazione devono esigere che i responsabili e gli incaricati del trattamento preposti a tali compiti osservino le stesse regole di segretezza alle quali sono sottoposti i medesimi destinatari della presente autorizzazione, nel rispetto di quanto previsto anche dall'art. 83, comma 1, del Codice.

51 3) Modalità di trattamento La comunicazione di dati all'interessato deve avvenire di regola direttamente a quest'ultimo o a un suo delegato (fermo restando quanto previsto dall'art. 84, comma 1, del Codice), in plico chiuso o con altro mezzo idoneo a prevenire la conoscenza da parte di soggetti non autorizzati, anche attraverso la previsione di distanze di cortesia.

52 4) Conservazione dei dati Nel quadro del rispetto dell'obbligo previsto dall'art. 11, comma 1, lett. e) del Codice, i dati possono essere conservati per un periodo non superiore a quello necessario per adempiere agli obblighi o ai compiti sopra indicati, ovvero per perseguire le finalità ivi menzionate. A tal fine, anche mediante controlli periodici, deve essere verificata costantemente la stretta pertinenza, non eccedenza e indispensabilità dei dati rispetto al rapporto, alla prestazione o all'incarico in corso, da instaurare o cessati, anche con riferimento ai dati che l'interessato fornisce di propria iniziativa.

53 Conservazione dei dati i soggetti tenuti al risarcimento dei danni causati dal trattamento dei dati personali, sono il "titolare" (ossia colui "cui competono le decisioni in ordine alle finalità del trattamento" e "della sicurezza") ed il "responsabile" (ossia colui che è preposto dal titolare al trattamento dei dati, avendo "esperienza, capacità ed affidabilità" tale da fornire "idonea garanzia del pieno rispetto delle disposizioni di legge in materia di trattamento, ivi compreso il profilo relativo alla sicurezza").

54 Comunicazione e diffusione dei dati I dati idonei a rivelare lo stato di salute, esclusi i dati genetici, possono essere comunicati, nei limiti strettamente pertinenti agli obblighi, ai compiti e alle finalità di cui al punto 1), a soggetti pubblici e privati, ivi compresi i fondi e le casse di assistenza sanitaria integrativa, le aziende che svolgono attività strettamente correlate all'esercizio di professioni sanitarie o alla fornitura all'interessato di beni, di prestazioni o di servizi, gli istituti di credito e le imprese assicurative, le associazioni od organizzazioni di volontariato e i familiari dell'interessato.

55 Comunicazione e diffusione dei dati Ai sensi degli artt. 22, comma 8, e 26, comma 5, del Codice, i dati idonei a rivelare lo stato di salute non possono essere diffusi. I dati idonei a rivelare la vita sessuale non possono essere diffusi, salvo il caso in cui la diffusione riguardi dati resi manifestamente pubblici dall'interessato e per i quali l'interessato stesso non abbia manifestato successivamente la sua opposizione per motivi legittimi.

56 Chi deve risarcire il danno i soggetti tenuti al risarcimento dei danni causati dal trattamento dei dati personali, sono il "titolare" (ossia colui "cui competono le decisioni in ordine alle finalità del trattamento" e "della sicurezza") ed il "responsabile" (ossia colui che è preposto dal titolare al trattamento dei dati, avendo "esperienza, capacità ed affidabilità" tale da fornire "idonea garanzia del pieno rispetto delle disposizioni di legge in materia di trattamento, ivi compreso il profilo relativo alla sicurezza").

57 7) Norme finali Restano fermi gli obblighi previsti da norme di legge o di regolamento o dalla normativa comunitaria che stabiliscono divieti o limiti più restrittivi in materia di trattamento di dati personali e, in particolare: a) dall'art. 5, comma 2, della legge 5 giugno 1990, n. 135, come modificato dall'art. 178 del Codice, secondo cui la rilevazione statistica della infezione da HIV deve essere effettuata con modalità che non consentano l'identificazione della persona;

58 7) Norme finali Restano altresì fermi gli obblighi di legge che vietano la rivelazione senza giusta causa e l'impiego a proprio o altrui profitto delle notizie coperte dal segreto professionale, nonché gli obblighi deontologici previsti, in particolare, dal Codice di deontologia medica adottato dalla Federazione nazionale degli ordini dei medici chirurghi e degli odontoiatri. Resta ferma, infine, la possibilità di diffondere dati anonimi anche aggregati e di includerli, in particolare, nelle pubblicazioni a contenuto scientifico o finalizzate all'educazione, alla prevenzione o all'informazione di carattere sanitario.

59 GRAZIE PER LA CORTESE ATTENZIONE


Scaricare ppt "IL TESTO UNICO IN MATERIA DI PRIVACY 05.03.2008. Privacy, la storia… wLegge n. 675 del 31 dicembre 1996 - Tutela delle persone e di altri soggetti rispetto."

Presentazioni simili


Annunci Google