La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

Piazza Rondanini, 48 - 00186 Roma Tel. +39 06 68 44 11 Fax +39 06 68 44 13 99 www.crui.it PRIVACY E SICUREZZA Normativa e adempimenti Roma, 25 maggio 2004.

Presentazioni simili


Presentazione sul tema: "Piazza Rondanini, 48 - 00186 Roma Tel. +39 06 68 44 11 Fax +39 06 68 44 13 99 www.crui.it PRIVACY E SICUREZZA Normativa e adempimenti Roma, 25 maggio 2004."— Transcript della presentazione:

1 Piazza Rondanini, Roma Tel Fax PRIVACY E SICUREZZA Normativa e adempimenti Roma, 25 maggio 2004

2 Privacy e Sicurezza Normative e adempimenti Struttura dellintervento Riferimenti normativi Il Codice in materia di protezione dei dati personali Struttura e definizioni Adempimenti/scadenze Il codice di deontologia e buona condotta per i trattamenti di dati personali per scopi statistici e scientifici

3 Privacy e Sicurezza Normative e adempimenti RIFERIMENTI NORMATIVI

4 Privacy e Sicurezza Normative e adempimenti NormativaOggetto Direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995 A Tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati Legge 31 dicembre 1996, n. 675 B Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali DPR 28 luglio 1999, n. 318 C Regolamento recante norme per lindividuazione delle misure minime di sicurezza per il trattamento dei dati personali, a norma dellart. 15, comma 2, della L. 675/96 Normative di riferimento antecedenti al codice (1/2)

5 Privacy e Sicurezza Normative e adempimenti NormativaOggetto D E F Direttiva 97/66/CE del Parlamento europeo e del Consiglio, del 15 dicembre 1997 Trattamento dei dati personali e tutela della vita privata nel settore delle telecomunicazioni Disposizioni in materia di tutela della vita privata nel settore delle telecomunicazioni, in attuazione della Direttiva 97/66/CE del Parlamento europeo e del Consiglio, ed in tema di attività giornalistica D.Lgs. 13 maggio 1998, n. 171 Direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002 Trattamento dei dati personali e tutela della vita privata nel settore delle comunicazioni elettroniche Normative di riferimento antecedenti al codice (2/2)

6 Privacy e Sicurezza Normative e adempimenti Testo Unico D.Lgs 30 giugno 2003, n. 196 Codice in materia di protezione dei dati personali Allegato A – CODICE DI DEONTOLOGIA a.1 Codice di deontologia relativo al trattamento dei dati personali nellesercizio dellattività giornalistica a.2 Trattamento dei dati personali per scopi storici a.3 Trattamento dei dati personali a scopi statistici in ambito sistan Trattamento dei dati personali a scopi scientifici e statistici (in corso di pubblicazione) 1 Allegato B – DISCIPLINARE TECNICO in materia di misure minime di sicurezza 2 TAVOLA DI CORRISPONDENZA riferimenti previgenti al Codice in materia di protezione dei dati personali 3

7 Privacy e Sicurezza Normative e adempimenti ll Garante per la protezione della privacy Il Garante per la protezione dei dati personali è unautorità indipendente istituita dalla legge sulla privacy (legge 31 dicembre 1996 n. 675) per assicurare la tutela dei diritti e delle libertà fondamentali ed il rispetto della dignità nel trattamento dei dati personali. Da quando è stata istituita,lautorità ha emanato diverse deliberazioni tra le quali si segnala:legge 31 dicembre 1996 n. 675 DELIBERAZIONE DEL 31 MARZO 2004, n.1 Chiarimenti sugli obblighi di notificazione Opportunità di interlocuzione con il Garante Sito:

8 Privacy e Sicurezza Normative e adempimenti Principi fondamentali 1/2 Il Codice in materia di protezione dei dati personali ha un impianto nel quale assume specifica rilevanza la trama dei principi, da adattare poi alla molteplicità delle situazioni concrete. Irrobustisce il sistema della protezione dei dati personali, ormai solidamente collocata nel quadro dei diritti fondamentali. Fa così crescere le garanzie per la libertà delle persone. Rappresenta il primo esempio, su scala internazionale, di riordino generale di una materia complessa e mutevole. 1 Linnovazione sul piano dei principi si coglie fin dal primo articolo del Codice, che riproduce il primo comma dellart. 8 della Carta dei diritti fondamentali dellUnione Europea (ora presente anche nellarticolo 50 del Progetto di Trattato che istituisce una Costituzione per lEuropa): Chiunque ha diritto alla protezione dei dati personali che lo riguardano 2 Il trasferimento di questa norma nel sistema italiano rende non più proponibili interpretazioni riduttive della protezione dei dati personali, e stabilisce un legame solido tra ordinamento italiano e ordinamento europeo. E il Legislatore ha voluto ulteriormente ribadire la sua volontà di considerare la protezione dei dati come un diritto fondamentale, nominandola esplicitamente nellart. 2 del Codice 3

9 Privacy e Sicurezza Normative e adempimenti Testo Unico - principi fondamentali 2/2 Occorre dimensionarsi per assicurare un elevato livello di tutela (art Testo Unico) 1 Le modalità adottate devono perseguire la semplificazione e lefficacia (art Testo Unico) -per lesercizio dei diritti dellinteressato -per gli obblighi del titolare 2 Adottare sistemi informativi che minimizzino luso di dati personali e identifichino linteressato solo quando necessario (art Testo Unico) 3 Principi fondamentali

10 Privacy e Sicurezza Normative e adempimenti Testo Unico – definizioni: notificazione 1/2 La notificazione: è una dichiarazione ufficiale mediante la quale, un soggetto pubblico o privato rende note al Garante per la protezione della privacy le caratteristiche principali dellutilizzo dei dati personali da parte del titolare del trattamento dei dp, ovvero del soggetto cui competono le decisioni in ordine alle finalità e modalità del trattamento dp, inclusa la sicurezza La notificazione va trasmessa al Garante, tramite il sito internet del medesimo e utilizzando la procedura indicata nelle istruzioni. Per perfezionare la notificazione è necessario sottoscriverla con firma digitale (art. 10, comma 3, d.P.R. n. 445/2000). A tal fine, il titolare del trattamento deve utilizzare un dispositivo di firma digitale disponibile presso uno dei certificatori accreditati ai sensi dellart. 2, comma 1, lett. c), d. lg. n. 10/2002. Lelenco dei certificatori è rinvenibile sul sito Per le attività di trattamento dei dati che non esistevano prima del 1° gennaio 2004, la notificazione va effettuata prima che inizi il trattamento medesimo. Per le attività che erano già in essere prima del 1° gennaio 2004, la notificazione si poteva effettuare entro il 30 aprile La notificazione va effettuata una sola volta, indipendentemente dalla durata, dal tipo e dal numero delle operazioni di trattamento, sia che si effettui un solo trattamento, sia che si curino più attività di trattamento con finalità correlate tra loro.

11 Privacy e Sicurezza Normative e adempimenti Testo Unico. Definizioni principali: notificazione 2/2 A partire dal 1°gennaio 2004 sono tenuti a notificare solo alcuni soggetti, ossia solo i titolari che effettuano una o più attività di trattamento tra quelle specificamente indicate dal Codice (la precedente normativa, invece, prevedeva per tutti i titolari lobbligo di effettuare la notificazione, a meno che potessero avvalersi dei casi di esonero o di possibile utilizzazione di una notificazione semplificata). I casi espressamente previsti dal codice (art.37) riguardano: Dati genetici e biometrici, Posizione geografica di persone od oggetti, Dati sulla salute o sulla vita sessuale utilizzati per prestare servizi sanitari per via telematica, Dati sulla vita sessuale o sulla sfera psichica trattati da organismi no-profit, Strumenti elettronici per profilare interessati o utenti di servizi di comunicazione elettronica Rilevazione del rischio sulla solvibilità economica o di comportamenti illeciti o fraudolenti. Il Garante potrà individuare, con un proprio provvedimento, nellambito dei trattamenti che devono essere notificati, alcuni trattamenti che presentano minori rischi per i diritti degli interessati e che possono pertanto essere esonerati dalla notificazione; potrà, al contrario, anche indicare altri trattamenti al momento non indicati espressamente dalla legge, che dovranno essere notificati. Le notificazioni sono inserite in un registro pubblico che sarà consultabile gratuitamente da tutti on-line. Il titolare che non è tenuto alla notificazione deve comunque fornire le notizie contenute nel modello di notificazione a chi ne fa richiesta (nellesercizio del diritto di accesso e degli altri diritti riconosciuti allinteressato), a meno che il trattamento riguardi pubblici registri, elenchi, atti o documenti conoscibili da chiunque.

12 Privacy e Sicurezza Normative e adempimenti Testo Unico – definizioni principali: dati sensibili I dati sensibili (art. 22 l. 675/96):I dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale… I dati giudiziari, i dati personali idonei a rivelare provvedimenti di cui all'articolo 3, comma 1, lettere da a) a o) e da r) a u), del d.P.R. 14 novembre 2002, n. 313, in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualità di imputato o di indagato ai sensi degli articoli 60 e 61 del codice di procedura penale;

13 Privacy e Sicurezza Normative e adempimenti Testo Unico – definizioni principali: il Titolare dei dp Il titolare dei dati personali può essere la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza; Compiti: - ha il potere decisionale sulle maggiori scelte relative allutilizzo dei dati personali e sulla loro protezione - determina le competenze dei responsabili

14 Privacy e Sicurezza Normative e adempimenti Testo Unico – definizioni principali: il responsabile dei dp Il responsabile è la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali; I compiti del responsabile devono essere analiticamente precisati per iscritto. Latto di nomina può essere qualificato, in termini giuridici, come un contratto di mandato, in virtù del quale il mandante (titolare) incarica il mandatario (responsabile) dello svolgimento di determinate attività rilevanti in materia di protezione e sicurezza dei dati

15 Privacy e Sicurezza Normative e adempimenti Testo Unico. Definizioni: Il Documento Programmatico sulla Sicurezza 1/2 D.P.S. Il Documento Programmatico della Sicurezza è un documento aziendale con valore ufficiale che deve obbligatoriamente essere redatto entro il 31 marzo di ogni anno dai Titolar dei dp che trattano con strumenti elettronici dati sensibili o giudiziari. Deve contenere:Piano dinterventi per: l elenco dei trattamenti la distribuzione di compiti e responsabilità lanalisi dei rischi la descrizione delle misure per lintegrità e la disponibilità dei dati misure per la protezione di aree e locali dove si effettuano i trattamenti la descrizione di criteri e modalità per il ripristino di disponibilità dei dati in caso di smarrimento o danneggiamento assunzione cambiamenti di mansione introduzione di strumenti significativi per il trattamento di dati personali la descrizione di criteri atti a garantire ladozione delle misure minime in caso di trattamenti affidati allesterno i criteri per la cifratura o la separazione dei dati sulla salute o sulla vita sessuale, utilizzati da organismi o professionisti sanitari.

16 Privacy e Sicurezza Normative e adempimenti Testo Unico. Definizioni: Il Documento Programmatico della sicurezza 2/2 In base al nuovo Codice, la misura minima del DPS deve essere ora adottata dal titolare di un trattamento di dati sensibili o giudiziari effettuato con strumenti elettronici, attraverso lorgano, ufficio o persona fisica a ciò legittimata in base allordinamento aziendale o della pubblica amministrazione interessata (art. 34, comma 1, lett. g), del Codice; regola 19 dellAllegato B)).

17 Privacy e Sicurezza Normative e adempimenti Testo Unico. Definizioni: Misure minime Artt. 33, 34, 35, 36 T.U. e Disciplinare (allegato B) a) autenticazione informatica; b) adozione di procedure di gestione delle credenziali di autenticazione; c) utilizzazione di un sistema di autorizzazione; d) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici; e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici; f) adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi; g) tenuta di un aggiornato documento programmatico sulla sicurezza; h) adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari. Trattamento con strumenti elettronici Trattamento senza strumenti elettronici a) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati o alle unità organizzative; b) previsione di procedure per un'idonea custodia di atti e documenti affidati agli incaricati per lo svolgimento dei relativi compiti; c) previsione di procedure per la conservazione di determinati atti in archivi ad accesso selezionato e disciplina delle modalità di accesso finalizzata all'identificazione degli incaricati. La violazione di tali misure comporta sanzioni penali (art. 169, T.U.)

18 Privacy e Sicurezza Normative e adempimenti Testo Unico. Definizioni: Misure adeguate MISURE ADEGUATE Hanno come parametro non più la legge, ma la miglior tecnologia del momento storico ART. 31 T.U. I dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta. La violazione di tali misure comporta responsabilità civile (art. 31, T.U.)

19 Privacy e Sicurezza Normative e adempimenti Le scadenze 1/2 In base a quanto previsto dal codice, entro il 31 marzo di ogni anno e, in sede di prima applicazione, entro il 30 giugno 2004, Pubbliche Amministrazioni ed aziende private dovranno provvedere alladozione di nuove misure minime di sicurezza e, fra queste, alla redazione del Documento Programmatico per la Sicurezza (DPS) La mancata applicazione espone il Titolare del trattamento dei dati personali a sanzione penale (art.169) – mitigata dal principio della prescrizione ART. 169 – Testo Unico 1.Chiunque, essendovi tenuto, omette di adottare le misure minime previste dall'articolo 33 è punito con l'arresto sino a due anni o con l'ammenda da diecimila euro a cinquantamila euro. 2. All'autore del reato, all'atto dell'accertamento o, nei casi complessi, anche con successivo atto del Garante, è impartita una prescrizione fissando un termine per la regolarizzazione non eccedente il periodo di tempo tecnicamente necessario, prorogabile in caso di particolare complessità o per l'oggettiva difficoltà dell'adempimento e comunque non superiore a sei mesi. Nei sessanta giorni successivi allo scadere del termine, se risulta l'adempimento alla prescrizione, l'autore del reato è ammesso dal Garante a pagare una somma pari al quarto del massimo dell'ammenda stabilita per la contravvenzione. L'adempimento e il pagamento estinguono il reato. L'organo che impartisce la prescrizione e il pubblico ministero provvedono nei modi di cui agli articoli 21, 22, 23 e 24 del decreto legislativo 19 dicembre 1994, n. 758, e successive modificazioni, in quanto applicabili.

20 Privacy e Sicurezza Normative e adempimenti Le scadenze 2/2 Data certa per descrivere le obiettive ragioni tecniche che non consentono di applicare immediatamente alcune nuove misure minime (documento utilizzabile unicamente nel caso del tutto particolare previsto dallart. 180, comma 2, del Codice per i soli strumenti elettronici). 1° gennaio 2005 Adozione nuove misure minime su strumenti elettronici non previste in base alla precedente disciplina (solo per i soggetti legittimati a predisporre il predetto documento a data certa). 30 giugno 2004

21 Privacy e Sicurezza Normative e adempimenti Vantaggi assicurati dalla normativa La distribuzione delle responsabilità, anche penali, legate alle operazioni di trattamento 1 Una più corretta osservanza della Legge 2 Vantaggi Larticolazione dei ruoli DP (dati personali) con la nomina a Responsabile e lindividuazione degli Incaricati al trattamento (art. 29 e art. 30 T.U.) assicura:

22 Privacy e Sicurezza Normative e adempimenti La sicurezza 1/2 La sicurezza Adozione di un livello minimo di sicurezza, in ogni caso (art. 33, T.U.) 2 Minimizzazione dei rischi di sicurezza in relazione a: -Distruzione e perdita di dati -Accesso non autorizzato -Trattamento non consentito o non conforme a finalità (art.31, T.U.) 1

23 Privacy e Sicurezza Normative e adempimenti La sicurezza 2/2 Sicurezza minima e adeguata SICUREZZA MINIMASICUREZZA ADEGUATA LIVELLO DI PROTEZIONE Elenco tassativo basato su natura dei dati (comuni e/o sensibili) e sui seguenti scenari: Trattamento con strumenti elettronici Trattamento senza strumenti elettronici Valutazione basata su: Progresso tecnico Natura dei dati Caratteristiche del trattamento

24 Privacy e Sicurezza Normative e adempimenti Gestione dei curricula I curricula devono essere conservati in archivi controllati periodicamente, se valutati interessanti. In caso contrario devono essere distrutti Arrivo Curriculum 1 Valutazione 2 Distruzione o Conservazione 3 Adempimenti 4 Controllo Archivi 5 Gestione curricula:

25 Privacy e Sicurezza Normative e adempimenti Accesso alla valutazioni 1 Il fascicolo personale del dipendente, contenente le anagrafiche ma anche giudizi e note di merito, costituisce Dato Personale 2 Il lavoratore può esercitare i diritti di cui allart. 7 T.U. 3 Lazienda deve rispondere entro 15 giorni 4 La procedura di valutazione deve essere terminata

26 Privacy e Sicurezza Normative e adempimenti Il PC aziendale Il controllo del PC del dipendente può integrare una violazione degli artt. 4 e 8 della Legge 300/70 (Statuto dei Lavoratori) Occorre bilanciare i vantaggi ed i rischi connessi alluso degli strumenti elettronici PC aziendale in aiuto Trasparenza Proporzionalità Non eccedenza Principi data protection Informativa Nomina a Incaricato o Responsabile Adempimenti

27 Privacy e Sicurezza Normative e adempimenti aziendale Secondo il Garante La posta elettronica è equiparata alla posta cartacea - Principio di segretezza - Divieto di intercettazione Secondo unisolata giurisprudenza La posta elettronica aziendale è un bene aziendale e sono leciti i controlli sulla stessa

28 Privacy e Sicurezza Normative e adempimenti Policy Privacy Sono le norme di comportamento interne per limitare luso privato di e- mail o internet in azienda Linee Guida – Policy Privacy I lavoratori non hanno facoltà di utilizzare gli strumenti telematici di lavoro per fini meramente personali, se non espressamente autorizzati Il collegamento telematico non può essere usato per scaricare software gratuiti presenti su siti internet La casella di posta elettronica assegnata deve essere utilizzata unicamente per le attività inerenti la propria mansione Il datore di lavoro si impegna a rispettare la riservatezza del dipendente, nella piena osservanza dei principi dello Statuto dei Lavoratori e della normativa privacy

29 Privacy e Sicurezza Normative e adempimenti Misure di sicurezza sui dati personali

30 Privacy e Sicurezza Normative e adempimenti D. P. S. (Documento Programmatico sulla Sicurezza) MISURE SPECIFICHE FREQUENZA MISURE MINIMERIFERIMENTI NORMATIVI DPR. 318ALL.BT.U. Redazione del documento34.1, g) Elenco dei trattamenti34.1, g)19.1 Distribuzione di compiti e responsabilità34.1, g) Analisi dei rischi34.1, g) Misure per lintegrità e la disponibilità dei dati 34.1, g) ° parte 6.1, b) Misure per la protezione di aree e locali dove si effettuano i trattamenti 34.1, g) ° parte 6.1, a) Descrizione di criteri per il ripristino di disponibilità dei dati in caso di distruzione o danneggiamento 34.1, g) 19.5 Piano interventi formativi in occasione di: a) assunzione b) cambiamenti di mansione; c) introduzione di strumenti significativi per il trattamento dei dati 34.1, g) , d) Descrizione di criteri atti a garantire ladozione delle misure minime in caso di trattamenti affidati allesterno 34.1, g)19,7 Criteri per la cifratura o separazione di dati sulla vita sessuale o la salute, utilizzati da organismi o prof. sanitari 34.1, g)19,8 In prima applicazione entro il Entro il di ogni anno Attestazione dellavvenuta redazione o aggiornamento del DPS nella relazione al bilancio di esercizio 34.1, g)26.(6.1) In fase di approv. del bilancio

31 Privacy e Sicurezza Normative e adempimenti Sistema di autorizzazione MISURE SPECIFICHEFREQUENZA MISURE MINIMERIFERIMENTI NORMATIVI DPR. 318ALL.BT.U. Adozione di un sistema di autorizzazione in presenza di più profili diversi 34.1, c)12.5.1, 1° per Individuazione e configurazione dei profili di autorizzazione, prima del trattamento e secondo le necessità duso dei dati 34.1, c) Verifica esistenza dei requisiti per la conservazione dei profili 34.1, c)14. Almeno ogni anno 5.3, ul per

32 Privacy e Sicurezza Normative e adempimenti Sistema di autenticazione 1/2 MISURE SPECIFICHEFREQUENZA MISURE MINIMERIFERIMENTI NORMATIVI DPR. 318ALL.BT.U. Incaricati con credenziali di autenticazione che abilitino ad effettuare trattamenti individuati 34.1, a)1.4.1, a) Codice identificativo e parola chiave esclusivi oppure dispositivo di autenticazione esclusivo 34.1, a)2. 2.1, a) 4.1,a) Assegnazione di una o più credenziali di autenticazione per ciascun incaricato 34.1, a)3. 4.1, a) pr. parte Istruzioni in merito alla segretezza della parola chiave o equivalente, e corretta custodia dei dispositivi 34.1, a)4. 2.1, b) Parola chiave di almeno 8 caratteri o del massimo di quelli consentiti dalla applicazione e non facilmente ricostruibile 34.1, a)5. Aggiornamento della parola chiave34.1, a)5. Almeno ogni 6 mesi Parola chiave da modificare dopo il primo uso34.1, f)5.2.1, a) Codice identificativo non riassegnabile, nemmeno in tempi diversi 34.1, a)6. 4.1, a), sec. parte

33 Privacy e Sicurezza Normative e adempimenti Sistema di autenticazione 2/2 MISURE SPECIFICHEFREQUENZA MISURE MINIMERIFERIMENTI NORMATIVI DPR. 318ALL.BT.U. Disattivazione delle credenziali di autenticazione per disuso, salvo che per scopi di gestione tecnica 34.1, b)7.4.1, b) Ogni 6 mesi in caso di disuso Disattivazione delle credenziali di autenticazione per perdita delle qualità del profilo di accesso 34.1, b)8.4.1, b)Immediata Istruzioni in merito al presidio ed alla non accessibilità dello strumento elettronico da parte di terzi, durante le sessioni di lavoro 34.1, b)9. Disposizioni scritte in merito alla custodia di copia delle credenziali, per assicurare la disponibilità dei dati o di strumenti, in caso di prolungata assenza o impedimento dell'interessato 34.1, b)10. Esenzione dall'obbligo del sistema di autenticazione per dati destinati alla diffusione 34.1, b) e 5.7 Aggiornamento della parola chiave34.1, b) 5. ult. per. Almeno ogni 3 mesi

34 Privacy e Sicurezza Normative e adempimenti Altre Misure – Trattamento con strumenti elettronici (1/2) MISURE SPECIFICHEFREQUENZA MISURE MINIMERIFERIMENTI NORMATIVI DPR. 318ALL.BT.U. Aggiornamento della determinazione dellambito di autorizzazione, per incaricato o per classi omogenee 34.1, d)15. Almeno ogni anno Attivazione di strumenti contro il rischio di intrusione o di programmi pericolosi (art. 615-quinquies c.p.) 34.1, e) 16. 1° parte 4.1, c) Aggiornamento degli strumenti anti-intrusione e anti- programmi pericolosi 34.1, e) 16. 2° parte Almeno ogni 6 mesi 4.1, c) Aggiornamento del software per la prevenzione contro la vulnerabilità dei sistemi e per la correzione dei difetti 34.1, e)17. Almeno ogni anno Rilascio di attestazione scritta di quanto fatto e attestazione di conformità all'Allegato B del Codice, in caso di esecuzione di misure minime ad opera di terzi per conto del titolare 25. Istruzioni per il salvataggio dei dati34.1, f)18.(6.1, b) Ogni 7 giorni Aggiornamento del software per la prevenzione contro la vulnerabilità dei sistemi e per la correzione dei difetti 34.1, e)17. Ult per Almeno ogni 6 mesi Protezione contro l'accesso abusivo mediante idonei strumenti elettronici (art.615-ter c.p.) 34.1, e)20 (6.1 c) 2° parte

35 Privacy e Sicurezza Normative e adempimenti Altre Misure – Trattamento con strumenti elettronici (2/2) MISURE SPECIFICHEFREQUENZA MISURE MINIMERIFERIMENTI NORMATIVI DPR. 318ALL.BT.U. Istruzioni per custodia ed uso dei supporti contenenti dati per evitare accessi non autorizzati o trattamenti non consentiti 34.1, e) Distruzione o inutilizzabilità per i supporti non più utilizzati o provocarne tecnicamente la non ricostruibilità delle informazioni in essi memorizzate 34.1, e)22. (7.1) Adozione di idonee misure per il ripristino dei dati34.1, f)23. Entro 7 giorni Per dati sanitari e sulla vita sessuale da parte di organismi ed operatori sanitari, cifratura e codici identificativi 34.1, h)24. Per dati genetici, trattamento in locali protetti accessibili ai soli incaricati autorizzati. Trasporto fisico dei dati all'esterno in contenitori con serratura o dispositivi analoghi. Trasmissione elettronica cifrata. 34.1, h)24. u. p. 9.2, a) 9.2, b) 6.1, c)

36 Privacy e Sicurezza Normative e adempimenti Altre Misure – Trattamento senza strumenti elettronici MISURE SPECIFICHEFREQUENZA MISURE MINIMERIFERIMENTI NORMATIVI DPR. 318ALL.BT.U. Controllo e custodia, da parte degli incaricati, di atti e documenti adoperati per lo svolgimento del lavoro 35.1, b) , b) Accesso agli archivi controllato35.1, c)29.9.2, b) Identificazione e registrazione del personale ammesso agli archivi dopo l'orario di lavoro 35.1, c)29. 2° per 9.2, b) Preventiva autorizzazione di chi accede agli archivi, in assenza o di strumenti elettronici per il controllo degli accessi, o di incaricati alla vigilanza 35.1, c) 29. Ult per 9.1, a) e b) Istruzioni scritte agli incaricati per controllo e custodia di atti e documenti 35.1, a)27.9.1, a) Aggiornamento della determinazione dell'ambito di autorizzazione, per incaricato o per classi omogenee 35.1, c) 27. Ult per Almeno ogni anno

37 Privacy e Sicurezza Normative e adempimenti CODICE DI DEONTOLOGIA E DI BUONA CONDOTTA PER I TRATTAMENTI DI DATI PERSONALI PER SCOPI STATISTICI E SCIENTIFICI

38 Privacy e Sicurezza Normative e adempimenti CODICE DI DEONTOLOGIA E DI BUONA CONDOTTA PER I TRATTAMENTI DI DATI PERSONALI PER SCOPI STATISTICI E SCIENTIFICI il Codice di deontologia e buona condotta per il trattamento dei dati personali utilizzati per scopi statistici e scientifici è stato sottoscritto in via preliminare, presso il Garante della privacy, dai rappresentanti della Conferenza dei Rettori delle Università Italiane (CRUI) e di dieci società scientifiche:Associazione italiana di epidemiologia, Associazione italiana di sociologia, Consiglio italiano per le scienze sociali, Società italiana degli economisti, Società italiana di biometria, Società italiana di demografia storica, Società italiana di igiene medicina preventiva e sanità pubblica, Società italiana di statistica, Società italiana di statistica medica ed epidemiologia clinica, Assirm (lAssociazione tra istituti di ricerche di mercato, sondaggi di opinione, ricerca sociale).

39 Privacy e Sicurezza Normative e adempimenti CODICE DI DEONTOLOGIA E DI BUONA CONDOTTA PER I TRATTAMENTI DI DATI PERSONALI PER SCOPI STATISTICI E SCIENTIFICI Il codice si collega alle garanzie già previste dalla disciplina sui trattamenti effettuati nellambito del Sistema statistico nazionale, individuando le cautele da adottare per il trattamento di dati sensibili e giudiziari anche per attività di ricerca medica, biomedica ed epidemiologica e per le ricerche di mercato che non siano connesse alle attività commerciali e di informazione commerciale. Le ricerche dovranno essere effettuate conformemente agli standard metodologici del pertinente settore disciplinare sulla base di un progetto che potrà essere consultato per verificare la corretta applicazione della normativa sulla privacy. Sono previste, inoltre, specifiche regole di condotta e misure di sicurezza soprattutto in relazione alla conservazione dei dati identificativi. Il codice deontologico per la statistica privata verrà pubblicato sulla Gazzetta Ufficiale ed entrerà in vigore il 1 ottobre Prima di verificare la conformità del codice alle leggi ed ai regolamenti e curarne la pubblicazione in Gazzetta Ufficiale, lAutorità ha comunque deciso di renderlo pubblico sul proprio sito, allo scopo di sollecitare i soggetti interessati a formulare osservazioni (ai sensi dellart. 12 del Codice in materia di protezione dei dati personali). Tali osservazioni dovranno pervenire entro il 31 maggio: lavviso è pubblicato sulla Gazzetta Ufficiale.

40 Privacy e Sicurezza Normative e adempimenti CODICE DI DEONTOLOGIA E DI BUONA CONDOTTA PER I TRATTAMENTI DI DATI PERSONALI PER SCOPI STATISTICI E SCIENTIFICI Principi di riferimento Adeguate basi di dati individuali – se necessario personali (riferiti cioè a persone identificate o identificabili) – costituiscono lindispensabile supporto informativo per rispondere a importanti interrogativi conoscitivi e per valutare, e indirettamente per elaborare teorie scentifiche. La ricerca scientifica ha sì bisogno di trattare dati individuali, ma mira a risultati generali, che non hanno ricadute dirette sui singoli e non ne mettono a rischio la privacy. La funzione del codice è individuata nel contemperamento di "valori" e "diritti" diversi. A fronte del diritto alla privacy, sono messe in luce le necessità della ricerca scientifica e le ragioni che ne sono alla base: il principio della libertà della ricerca, costituzionalmente garantito, e le esigenze di sviluppo della ricerca per migliorare le condizioni della società.

41 Privacy e Sicurezza Normative e adempimenti CODICE DI DEONTOLOGIA E DI BUONA CONDOTTA PER I TRATTAMENTI DI DATI PERSONALI PER SCOPI STATISTICI E SCIENTIFICI Debbono valere due presupposti: In ragione del soggetto: deve trattarsi di ununiversità o altro ente di ricerca o società scientifica, oppure di un singolo ricercatore che operi in ununiversità o ente di ricerca o sia socio di una società scientifica. In ragione della materia, si richiede al ricercatore responsabile di predisporre un progetto di ricerca, redatto secondo gli standard dei protocolli di ricerca del pertinente settore disciplinare. Lambito di applicazione

42 Privacy e Sicurezza Normative e adempimenti CODICE DI DEONTOLOGIA E DI BUONA CONDOTTA PER I TRATTAMENTI DI DATI PERSONALI PER SCOPI STATISTICI E SCIENTIFICI il codice deontologico traccia una chiara distinzione fra dati personali e dati anonimi. La nozione di dato personale è circoscritta: sono considerati tali solo i dati che consentono lidentificazione di una persona con lutilizzo di "mezzi ragionevoli". Buona parte delle basi di dati utilizzate nella ricerca scientifica sono dunque da considerarsi anonime; quindi, non interessate dalla normativa sulla privacy, che si applica solo ai dati personali. Inoltre, si stabilisce, ad integrazione di quanto disposto dal TU, quando siano sufficienti per gli scopi di una ricerca, saranno utilizzati dati anonimi. Altrimenti, si utilizzeranno in maniera oculata dati personali: senza eccessive bardature burocratiche e, insieme, assicurando unadeguata protezione della privacy.


Scaricare ppt "Piazza Rondanini, 48 - 00186 Roma Tel. +39 06 68 44 11 Fax +39 06 68 44 13 99 www.crui.it PRIVACY E SICUREZZA Normativa e adempimenti Roma, 25 maggio 2004."

Presentazioni simili


Annunci Google