La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

UNIVERSITA DEGLI STUDI DI TRIESTE Ripartizione Sistema documentale e procedurale LA DISCIPLINA IN MATERIA DI PROTEZIONE DEI DATI PERSONALI dott.ssa Serena.

Presentazioni simili


Presentazione sul tema: "UNIVERSITA DEGLI STUDI DI TRIESTE Ripartizione Sistema documentale e procedurale LA DISCIPLINA IN MATERIA DI PROTEZIONE DEI DATI PERSONALI dott.ssa Serena."— Transcript della presentazione:

1 UNIVERSITA DEGLI STUDI DI TRIESTE Ripartizione Sistema documentale e procedurale LA DISCIPLINA IN MATERIA DI PROTEZIONE DEI DATI PERSONALI dott.ssa Serena Bussani

2 Origine del diritto alla privacy e quadro normativo di riferimento

3 Un po di storia…. Le origini al diritto alla privacy risalgono a due giuristi statunitensi, S. Warren e Louis Brandeis, che nel 1890 diedero alle stampe il saggio The right of privacy. Secondo questi autori privacy diritto ad essere lasciati soli (the right to be let alone), diritto alla riservatezza della propria sfera privata, a non subire intrusioni indesiderate nella propria vita intima.

4 . Pretesa dellindividuo di essere il solo a determinare in che misura egli desidera condividere parte di sé con altri diritto di controllare la diffusione dellinformazione circa se stessi

5 Panorama normativo Il primo esplicito riconoscimento normativo del diritto alla privacy si rinviene nella Convenzione Europea dei diritti dellUomo (1950), la quale, allart. 8, riconosce fra i diritti fondamentali delluomo quello al rispetto della propria vita privata e familiare, del proprio domicilio e della propria corrispondenza.

6 . Attorno al 1970, sono comparse le prime leggi nazionali in materia (Svezia, Rep. Federale tedesca, Danimarca, Norvegia, Francia e Austria). Normative però, molto disomogenee, il che ha spinto il legislatore Europeo ad intervenire.

7 . Convenzione Europea sulla protezione dei dati (1981) enuclea dei principi fondamentali che ciascun paese contraente si impegna a garantire. Strumento però astratto e privo di efficacia vincolante

8 . Direttiva 95/46/CEE Tutela delle persone fisiche con riguardo al trattamento dei dati personali nonché alla libera circolazione di tali dati dd. 24/10/1995. Sotto la spinta del legislatore comunitario, nonché al fine di permettere lingresso nel sistema Schengen, finalmente anche lItalia approva una circa il trattamento dei dati personali.

9 . Legge 31 dicembre 1996 n. 675 Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali garantisce che il trattamento dei dati personali si svolga nel rispetto dei diritti, delle libertà fondamentali nonché della dignità delle persone fisiche, con particolare riferimento alla riservatezza ed allidentità personale. (art. 1)

10 La Privacy in Italia Prima della l. 675/96 nessuna normativa generale ma accenni alle riservatezza in normative particolari Statuto dei lavoratori (1970) E fatto divieto al datore di lavoro effettuare indagini sulle opinioni politiche, religiose e sindacali dei lavoratori.

11 La l. 675/1996 Dalla segretezza al controllo: ciò che viene tutelato,nella l. 675/96, non è più il diritto a essere lasciato in pace (privacy statica) bensì il diritto al controllo sulla circolazione (ormai inevitabile) dei propri dati personali (privacy dinamica).

12 . Pertantonon più protezione di un indifferenziato e approssimativo interesse allisolamento, bensì potere di controllo sulla circolazione delle informazioni che ci riguardano.

13 . Scopo della normativa è la protezione dei dati personali, intesi quali informazioni relative ad una persona (fisica o giuridica). La protezione del dato personale (cioè dellinformazione relativa ad una persona) è riconosciuta quale diritto della personalità.

14 . In questo senso la legge 675/96 individua un complesso di diritti riguardanti specificamente il trattamento dei dati personali, ossia: a) il diritto di informazione b) il diritto ad intervenire sul trattamento c) il diritto di opposizione al trattamento stesso

15 Successivamente alla l. 675/96….. In Europa Carta dei diritti fondamentali dellUnione Europea dd. 7/12/2000 Rispetto della vita privata e familiare e diritto alla protezione dei dati di caratteri personale Direttiva n. 2002/58/CE - trattamento dei dati personali e tutela della vita privata nel settore delle comunicazioni elettroniche

16 Successivamente alla l. 675/96….. In Italia D.Lgs. 135/99 (per lutilizzo dei dati sensibili da parte della PA) D. Lgs 281/99 (finalità storiche, statistiche e ricerca) DPR 318/99 (misure minime di sicurezza) L. 127/2001 (delega al Governo di fare un TU) D. Lgs 467/2001 (semplificazione adempimenti, notifica, ecc.)

17 Il Codice sulla protezione dei dati personali (D.lg. 196/2003): applicazioni ed adempimenti per la P.A.

18 Il nuovo codice….. Il 29 luglio 2003 è stato pubblicato sulla Gazzetta Ufficiale Serie generale n. 174, Supplemento ordinario n. 123/L il nuovo Codice in materia di protezione dei dati personali

19 E un testo unico Il testo unico in materia di protezione dei dati personali denominato "Codice" della privacy è ispirato all' introduzione di nuove garanzie per i cittadini, alla razionalizzazione delle norme esistenti e alla semplificazione

20 Raccoglie sei anni di esperienza Il provvedimento, sulla base dell'esperienza di 6 anni, riunisce in unico contesto la legge 675/96 e gli altri decreti legislativi, regolamenti e codici deontologici che si sono succeduti in questi anni, e contiene anche importanti innovazioni tenendo conto della "giurisprudenza" del Garante e della direttiva Ue 2000/58 sulla riservatezza nelle comunicazioni elettroniche

21 Unifica le normative Il Codice, che rappresenta il primo tentativo in Europa di conformare le innumerevoli disposizioni relative anche in via indiretta alla privacy, è entrato in vigore quasi integralmente il 1 gennaio 2004

22 Gli adempimenti e le scadenze per la P.A. 30 aprile 2004: Notificazione al Garante del trattamento dei dati di cui allart. 37 (dati genetici, biometrici, dati trattati ai fini di procreazione assistita, ecc.) 31 dicembre 2005: Adozione delle nuove misure minime di sicurezza (artt. da 33 a 35 TU e ALL. B non previste dal DPR 318/99 allegato B) Redazione del Documento Programmatico sulla sicurezza Adozione dei Regolamenti sul trattamento dei dati sensibili di sicurezza dall1 gennaio 2004

23 Le norme in soffitta…. DALL1 GENNAIO 2004 SONO ABROGATE CON LENTRATA IN VIGORE DEL NUOVO CODICE VARIE NORME DI LEGGE FRA CUI: L. 675/96 D.L.VO 135/99 D.L.VO 281/99 eccetto artt. 8 comma 1, 11 e 12 D.L.VO 282/99 DPR 318/99 di sicurezza dall1 gennaio 2004

24 Il futuro del codice... Primo esperimento di un Testo Unico sulla Privacy. Compito non facile, considerato che il tema della riservatezza attraversa tutti gli ambiti del vivere (privacy nei luoghi di lavoro, negli ambulatori, nelle conversazioni telefoniche) Non tutto può essere messo dentro un codice (rischio di gigantismo legislativo) Integrabile con strumenti più snelli come le spiegazioni del garante o i codici deontologici di sicurezza dall1 gennaio 2004

25 Il Garante per la protezione dei dati personali E unautorità amministrativa indipendente istituita dalla l. 675/96 e riconfermata dal TU (artt )

26 In Italia come in Europa….. L'istituzione di analoghe autorità è prevista in tutti gli altri Paesi membri dell'Unione Europea (direttiva comunitaria 95/46/CE).

27 Composizione E organo collegiale costituito da quattro componenti eletti dal Parlamento, scelti fra persone, esperte di diritto ed informatica, che assicurino indipendenza. (art. 153 TU) Alle sue dipendenze è posto lUfficio del Garante, diretto da un Segretario generale scelto tra magistrati ordinari o amministrativi.

28 Compiti Controlla che i trattamenti dei dati personali siano effettuati nel rispetto della disciplina applicabile ed in conformità alla notificazione; Esamina reclami e segnalazioni e provvede sui ricorsi presentati dagli interessati; segnala al Parlamento e al Governo lopportunità di interventi normativi nel settore

29 . Compie ispezioni e può comminare sanzioni amministrative pecuniarie in caso di violazione delle disposizioni in materia di tutela dei dati personali; Denuncia i fatti configurabili come reati perseguibili dufficio dei quali viene a conoscenza nellesercizio o a causa delle sue funzioni;

30 . Promuove la sottoscrizione dei codici di deontologia e buona condotta Cura la diffusione della conoscenza della normativa in materia di protezione dei dati personali.

31 Le regole generali per il trattamento dei dati personali e le misure minime di sicurezza

32 DIRITTO ALLA PROTEZIONE DEI DATI PERSONALI ART. 1 TU CHIUNQUE ha diritto alla protezione dei dati personali che lo riguardano

33 Principio di necessità ART. 3 TU I sistemi informativi e i programmi informatici sono configurati riducendo al minimo lutilizzazione di dati personali e di dati identificativi, in modo da escludere il trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante, rispettivamente, dati anonimi o opportune modalità che permettano di identificare linteressato solo in caso di necessità

34 . I diritti dellinteressato

35 . Diritti di informazionetesi a procurare allinteressato la conoscenza di determinate situazioni. Sono riassumibili nel figura più ampia del diritto di accesso ai propri dati, il cui contenuto va dal - diritto di ottenere la conferma dellesistenza o meno di dati che lo riguardano al - diritto di avere la loro comunicazione in forma intelligibile

36 . La conformità del trattamento alla volontà dellinteressato diritti tesi ad ottenere: - laggiornamento, la rettifica ovvero, quando vi sia interesse, lintegrazione dei dati - la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge Lopposizione diritto ad opporsi: - per motivi leciti e documentati al trattamento, anche qualora effettuato in modo legittimo - al trattamento qualora effettuato al fine di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato. In tale caso non occorre motivazione.

37 Come si esercitano i diritti? Richiesta rivolta senza formalità al titolare o al responsabile, anche tramite un incaricato Alla richiesta deve essere fornito idoneo riscontro senza ritardo I dati richiesti sono comunicati: - oralmente - offrendoli in visione mediante strumenti elettronici - trasponendoli su supporto cartaceo o informatico o trasmettendoli per via telematica, semprechè simili modalità siano state espressamente richieste - quando lestrazione dei dati risulti difficoltosa, mediante esibizione o consegna in copia degli atti o documenti che li contengono.

38 . Alcune definizioni ……..

39 Dato personale Qualsiasi informazione, di ogni tipo (non solo dati anagrafici o economici ma anche immagini, suoni, codici identificativi), relativa ad un soggetto, che possa consentire lidentificazione diretta o indiretta del soggetto cui il dato si riferisce. E dato personale, in buona sostanza, ciò che permette di differenziare un soggetto da tutti gli altri.

40 Trattamento dei dati personali QUALUNQUE operazione o complesso di operazioni effettuati anche senza lausilio di strumenti elettronici concernente: raccolta, registrazione, organizzazione, conservazione, consultazione, eleborazione, modificazione, selezione, estrazione, raffronto, utilizzo, interconnessione, blocco, comunicazione, diffusione, cancellazione, distruzione di dati anche se non registrati in una banca dati

41 Banca dati Insieme di dati (e quindi di informazioni personali), raccolti in una o più unità di supporto (cartacee o informatiche), ed organizzati secondo un criterio determinato tale da facilitarne il trattamento.

42 Tipologie di dati Dati identificativi: dati personali che permettono lidentificazione diretta dellinteressato (nome e cognome, data di nascita, codice fiscale, ecc.) Dati anonimi: dati che in origine o a seguito di trattamento non possono essere associati ad un interessato identificato od identificabile.

43 . Dati sensibili: dati personali, attinenti alla sfera più intima di ciascun soggetto, per i quali lordinamento appresta una tutela rafforzata. E considerato dato sensibile ogni dato personale idoneo a rivelare: - lorigine razziale ed etnica - le convinzioni religiose, filosofiche o di altro genere - le opinioni politiche - ladesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale. - lo stato di salute e la vita sessuale.

44 . Dati giudiziari: dati personali idonei a rivelare procedimenti in materia di casellario giudiziale, anagrafe delle sanzioni amministrative da reato, carichi pendenti, qualità di imputato o di indagato.

45 Soggetti del trattamento TITOLARE PERSONA FISICA, GIURIDICA, PA, ENTE, ASSOCIAZIONE, CUI COMPETONO LE DECISIONI IN ORDINE ALLE FINALITA, ALLE MODALITA DI TRATTAMENTO DI DATI PERSONALI ED AGLI STRUMENTI UTILIZZATI COMPRESO IL PROFILO INERENTE LA SICUREZZA. RESPONSABILE PERSONA FISICA, GIURIDICA, PA, ENTE, ASSOCIAZIONE PREPOSTO DAL TITOLARE AL TRATTAMENTO DI DATI PERSONALI INCARICATO PERSONA FISICA AUTORIZZATA A COMPIERE OPERAZIONI DI TRATTAMENTO DAL TITOLARE O DAL RESPONSABILE INTERESSATO PERSONA FISICA, GIURIDICA, ENTE O ASSOCIAZIONE CUI SI RIFERISCONO I DATI PERSONALI

46 Più specificamente... Il titolare del trattamento, nel caso degli enti pubblici, è quindi lamministrazione nel suo complesso, non chi la rappresenta. Il responsabile del trattamento viene designato facoltativamente. Può essere più duno (soggetti di diverso livello gerarchico, per aree materie di interesse, per competenza tecnica) I suoi compiti devono essere analiticamente specificati per iscritto

47 . Gli incaricati del trattamento sono solo e soltanto persone fisiche, autorizzate a compiere operazioni di trattamento operanti sotto la diretta autorità del titolare o del responsabile. Devono essere designati per iscritto con individuazione dellambito di trattamento consentito. La designazione può essere anche fatta in maniera riassuntiva, mediante individuazione dellambito di trattamento consentito agli addetti ad una unità organizzativa e la documentata preposizione della persona fisica alla stessa.

48 . Le regole per tutti i trattamenti

49 . I dati personali oggetto di trattamento devono essere: trattati in modo lecito e secondo correttezza raccolti e registrati per scopi determinati, espliciti e legittimi esatti e, se necessario, aggiornati pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono raccolti e trattati conservati in una forma che consenta lidentificazione dellinteressato per un periodo di tempo non superiore a quello necessario agli scopi per i quali sono stati raccolti

50 . Sanzione per il mancato rispetto di queste normeinutilizzabilità dei dati.

51 Linformativa allinteressato Deve essere effettuata, oralmente o per iscritto, allinteressato, e deve comunicare: –le finalità e le modalità di trattamento –la natura obbligatoria o facoltativa del conferimento dei dati –le conseguenze del rifiuto di rispondere –i soggetti ai quali i dati personali possono essere comunicati e lambito di diffusione dei dati stessi –gli estremi identificativi del titolare, o se designato, del responsabile

52 Non deve essere fornita se.. i dati sono trattati in base ad un obbligo previsto dalla legge, da un regolamento, o dalla normativa comunitaria i dati sono trattati ai fini dello svolgimento delle investigazioni difensive o per far valere o difendere un diritto in sede giudiziaria comporta un dispiego di mezzi che il Garante dichiari manifestamente sproporzionati rispetto al diritto tutelato, ovvero si riveli, a giudizio del Garante, impossibile

53 Il consenso al trattamento dei dati personali Deve essere richiesto (e manifestato in forma scritta se il trattamento riguarda dati sensibili) qualora il titolare sia un privato o un ente pubblico economico I soggetti pubblici non devono richiedere il consenso allinteressato (art. 18 TU), salvo quanto previsto per gli esercenti le professioni sanitarie e gli organismi sanitari pubblici (consenso per il trattamento dei dati idonei a rivelare lo stato di salute)

54 Le regole per i trattamenti in ambito pubblico Il TU disciplina espressamente le attività di trattamento da parte della Pubblica Amministrazione, dettando delle regole particolari ed ulteriori rispetto a quelle previste per la generalità dei soggetti.

55 I principi per il trattamento dei dati nella PA Qualunque trattamento di dati personali da parte di soggetti pubblici è consentito soltanto per lo svolgimento di funzioni istituzionali I soggetti pubblici non devono richiedere il consenso degli interessati Possono comunicare o diffondere i dati solamente

56 . - ad altri soggetti pubblici, se ciò e previsto da norme di legge o regolamento ovvero, nello svolgimento di funzioni istituzionali, se è decorso il termine di 45 giorni dalla comunicazione di cui allart. 39 TU al Garante, senza che lo stesso abbia assunto una specifica determinazione -a privati o Enti pubblici economici solo se prevista da norme di legge o di regolamento

57 Il trattamento dei dati nelle università (titolo VII TU trattamento per scopi storici, statistici o scientifici) Al fine di promuovere e sostenere la ricerca e la collaborazione in campo scientifico e tecnologico i soggetti pubblici, ivi comprese le università e gli enti di ricerca, possono con autonome determinazioni comunicare e diffondere, anche a privati e per via telematica, dati relativi ad attività di studio e di ricerca, a laureati, dottori di ricerca, tecnici e tecnologi, ricercatori, docenti, esperti e studiosi, con esclusione di quelli sensibili o giudiziari.

58 . Resta fermo il diritto dellinteressato di opporsi per motivi legittimi. I dati di cui al presente articolo possono essere successivamente trattati per i soli scopi in base ai quali sono comunicati o diffusi. Nessuna novità rispetto a quanto già previsto dal D.lgs.297/1994 Testo Unico delle disposizioni legislative in materia di istruzione

59 .. Le misure di sicurezza nel trattamento dei dati personali

60 Sicurezza. Perché? Per garantire che: i dati non vadano distrutti o persi anche in modo accidentale che solo le persone autorizzate possano avere accesso ai dati che non siano effettuati trattamenti contrari alle norme di legge o diversi da quelli per cui i dati erano stati raccolti.

61 Le prescrizioni del TU Titolo V parte I e Disciplinare tecnico Previsti due tipi di misure di sicurezza: Misure minime: Sono previste in via generale dagli artt. 33 e ss TU ed individuate dal disciplinare tecnico di cui al cd. Allegato B (che sostituisce labrogato DPR 318/99) Assicurano un livello minimo di protezione dei dati personali, il cui mancato rispetto costituisce reato. Non esonerano però da responsabilità civile (risarcimento del danno), qualora levoluzione tecnologica renda disponibili accorgimenti ulteriori.

62 . Misure idonee: Sono previste dall art. 31 TU, idonee al fine di ridurre al minimo i rischi di distruzione e perdita, anche accidentale, dei dati, di accesso non autorizzato o di trattamento non consentito. Esonerano anche da responsabilità civile.

63 Le misure minime di sicurezza Trattamento effettuato mediante strumenti elettronici : Sono suddivisibili in tre grandi aree: Autenticazione informatica Il sistema di autorizzazione La protezione di dati e sistemi

64 a) Autenticazione informatica I l sistema deve essere dotato di mezzi deputati alla verifica ed alla convalidazione dellidentità di un soggetto (login) Garantisce il controllo di chi accede agli elaboratori. Si realizza tramite le c.d. credenziali di autenticazione:dati e dispositivi, in possesso di una persona, da questa conosciuti e ad essa univocamente correlati, utilizzati per lautenticazione informatica. (codici daccesso e parole chiave o dispositivi non mnemonici es codici biometrici)

65 Le credenziali sono costituite da qualcosa che il soggetto : - conosce (es. parola chiave) - possiede (es. smart card) - è (caratteristica biometrica, es. impronta di un dito, del volto, della retina). Ad ogni incaricato devono essere assegnate o associate una o più credenziali per lautenticazione. Istruzioni agli incaricati per assicurare la segretezza delle credenziali

66 B)Sistema di autorizzazione: successivamente allautorizzazione permette al soggetto di trattare effettivamente i dati. E distinto per profili di autorizzazione, i quali definiscano in dettaglio le azioni consentite ad ogni classe di incaricati. La verifica della definizione dei profili deve essere fatta almeno una volta allanno.

67 C)Protezione di dati e sistemi: i dati e i sistemi elettronici devono essere protetti da accessi non consentiti e finalizzati alla compromissione della loro sicurezza. Il TU in proposito impone: - Adozione di software che contrastino i virus informatici e le altre tipologie di malware (antivirus), aggiornati almeno semestralmente - Adozione di misure che prevedano il salvataggio dei dati con cadenza settimanale (back up) Qualora il trattamento riguardi dati sensibili e/o giudiziari anche - Adozione di strumenti che blocchino i tentativi di intrusione (firewall) - Messa a punto di strategie di disaster recovery, ossia di un processo che consenta di ripristinare il funzionamento dei dati in seguito ad uninaspettata interruzione del trattamento - Tecniche di cifratura e separazione dei dati, qualora vengano trattati dati idonei a rivelare lo stato d salute e la vita sessuale da parte di organismi sanitari o esercenti le professioni sanitarie.

68 Il Documento Programmatico sulla sicurezza: deve essere redatto da ogni titolare che effettui il trattamento di dati sensibili e/o giudiziari con strumenti automatizzati. Evidenzia i rischi che incombono sui dati e le contromisure procedurali, organizzative, logistiche e tecniche che si intende adottare per minimizzare questi rischi. Delinea la strategia di sicurezza dellEnte. Deve contenere,tra laltro: - lelenco dei trattamenti dei dati personali - la distribuzione dei compiti e delle responsabilità nellambito delle strutture preposte al trattamento - lanalisi dei rischi - le misure da adottare per garantire lintegrità e la disponibilità dei dati - la pianificazione di interventi formativi per gli incaricati

69 Trattamento effettuato senza luso di strumenti elettronici : Misure di natura procedurale, organizzativa e logistica. Istruzioni scritte agli incaricati finalizzate al controllo e alla custodia degli atti e dei documenti Redazione ed aggiornamento annuale della lista degli incaricati, con individuazione dellambito di trattamento consentito agli stessi Controllo degli accessi agli archivi contenenti dati sensibili e/o giudiziari.

70 Manuale per la Sicurezza ed il corretto trattamento dei dati nellUniversità di Trieste

71 Strumento riassuntivo che individua e precisa il complesso delle misure organizzative, logistiche, tecniche ed informatiche adottate nel nostro Ateneo al fine di assicurare il rispetto delle misure di sicurezza. Composto da una parte più specificamente organizzativa ed una tecnico/pratica ad uso degli incaricati

72 Le misure organizzative Sono responsabili del trattamento dei dati nellUniversità di Trieste i responsabili pro tempore delle strutture didattiche, scientifiche e di servizio in cui si articola lUniversità (Divisioni, Sezioni, Facoltà, Dipartimenti, Centri Servizi autonomi), con riferimento ai dati trattati nellambito delle unità organizzative alla cui direzione sono preposti.

73 Le misure organizzative Compiti assicurarsi che nellUnità Organizzativa vengano rispettate le misure minime di sicurezza previste dalla normativa vigente, nonché le altre misure di sicurezza previste dallAteneo e riassunte nel Manuale procedere allaggiornamento dellanagrafe elettronica dei trattamenti dei dati personali ogniqualvolta si verifichi lesistenza di un nuovo trattamento, la cessazione di uno precedente, la modifica delle caratteristiche di un trattamento, ovvero il nuovo ingresso, la cessazione o il cambiamento di mansioni di uno degli incaricati.

74 Le misure organizzative comunicare alla Rip. Sistema documentale e procedurale leventuale esternalizzazione (affidamento allesterno) di trattamenti di dati personali al fine della predisposizione della nomina a responsabili di tali soggetti. comunicare alla Rip. Sistema documentale e procedurale ogni comunicazione di dati personali ad altri soggetti pubblici, effettuata in qualsiasi modo anche tramite convenzione, non prevista da norme di legge o di regolamento ai fini delle necessarie comunicazioni in merito al Garante

75 Le misure organizzative procedere alla richiesta di rilascio e revoca delle autorizzazioni allaccesso a banche dati elettroniche automatizzate. impartire istruzioni agli incaricati circa il corretto trattamento dei dati personali, dando idonea divulgazione presso gli stessi del presente Manuale per la sicurezza, con particolare riferimento allappendice relativa alle istruzioni operative per gli incaricati.

76 Le misure organizzative dare idonea diffusione presso i soggetti impegnati in attività di ricerca del Codice di deontologia e buona condotta per i trattamenti di dati personali per scopi statistici e scientifici, affinchè le attività medesime siano svolte nel rispetto dei principi e con losservanza dei criteri ivi indicati. fornire, al momento dellacquisizione dei dati, per il tramite degli incaricati, ovvero mediante affissione nei locali aperti al pubblico o ancora mediante linserimento in moduli o formulari, linformativa di cui allart. 13 del Codice agli interessati

77 Le istruzioni operative Trattamenti senza lausilio di strumenti elettronici Utilizzate le chiavi Non comunicate dati personali a soggetti non legittimati Fate attenzione a come distruggete i documenti Raddoppiate le attenzioni se i documenti contengono dati sensibili o giudiziari

78 Le istruzioni operative Trattamenti con strumenti elettronici Conservate i dischetti o i compact disk in un luogo sicuro Utilizzate le password Attenzione alle stampe di documenti riservati Non fatevi sbirciare quando digitate le password Custodite le password in un luogo sicuro Non utilizzate apparecchi non autorizzati Non installate programmi non autorizzati Applicate con cura le linee guida per la prevenzione da infezioni di virus

79 –Linee guida per la prevenzione dei virus –Usate soltanto programmi provenienti da fonti fidate –Assicuratevi di non far partire accidentalmente il Vostro computer da dischetto –Assicuratevi che il vostro software antivirus sia aggiornato –Non diffondete messaggi di provenienza dubbia –Non partecipate a catene di S. Antonio e simili

80 –Scelta delle password –Cosa NON fare –NON dite a nessuno la Vostra password. Ricordate che lo scopo principale per cui usate una password è assicurare che nessun altro possa utilizzare le Vostre risorse o possa farlo a Vostro nome. –NON scrivete la password da nessuna parte che possa essere letta facilmente, soprattutto vicino al computer. –Quando immettete la password NON fate sbirciare a nessuno quello che state battendo sulla tastiera.. –NON usate il Vostro nome utente. È la password più semplice da indovinare –NON usate password che possano in qualche modo essere legate a Voi come, ad esempio, il Vostro nome, quello di Vostra moglie/marito, dei figli, del cane, date di nascita, numeri di telefono etc

81 –Scelta delle password –Cosa fare –Cambiare la password a intervalli regolari –Usare password lunghe almeno sei caratteri con un misto di lettere, numeri e segni di interpunzione –Le migliori password sono quelle facili da ricordare ma, allo stesso tempo, difficili da indovinare, come quelle che si possono ottenere comprimendo frasi lunghe. La frase Cera una volta una gatta che aveva una macchia nera sul muso può ad esempio fornire, tra le tante possibilità, Cr1Vlt1Gtt

82 IL TRATTAMENTO DI DATI PARTICOLARI : I DATI SENSIBILI E GIUDIZIARI

83 Tre sono le ipotesi in cui i soggetti pubblici possono trattare legittimamente dati sensibili e giudiziari a) se il trattamento risulta autorizzato da una espressa disposizione di legge nella quale siano specificati i tipi di dati che possono essere trattati i tipi di operazioni eseguibili su tali dati le finalità di rilevante interesse pubblico perseguite da questi trattamenti. Leggi così specifiche sono molto rare

84 b) se il trattamento risulta autorizzato da una espressa disposizione di legge che specifica le rilevanti finalità di interesse pubblico perseguite dal trattamento ma non specifica quali tipi di dati possono essere trattati e quali operazioni possono essere eseguite lEnte pubblico deve provvedere a individuare e rendere pubblici i tipi di dati e di operazioni oggetto del trattamento tramite un apposito regolamento.

85 c) se il trattamento non risulta contemplato da alcuna norma primaria lEnte pubblico può chiedere al Garante di individuare, fra le attività svolte, quelle che, ad avviso dellAutorità, perseguono finalità di rilevante interesse pubblico. Anche in questo caso lEnte dovrà provvedere a individuare e rendere pubblici i tipi di dati e di operazioni oggetto del trattamento tramite regolamento.

86 Il regolamento per il trattamento dei dati sensibili e giudiziari deve essere adottato entro il 31 dicembre Gruppo di lavoro CRUI/Università ha elaborato uno schema tipo, approvato dal Garante.

87 I I principi cui deve ispirarsi il trattamento di dati sensibili e giudiziari nella PA I trattamenti devono essere effettuati con modalità volte a prevenire violazioni dei diritti, delle libertà fondamentali e della dignità dellinteressato possono essere trattati solo i dati sensibili o giudiziari indispensabili per svolgere attività istituzionali che non possono essere adempiute mediante il trattamento di dati comuni nellinformativa è necessario fare esplicito riferimento alla normativa che autorizza il trattamento

88 I deve essere verificata periodicamente lesattezza, laggiornamento, la pertinenza e lindispensabilità dei dati è necessario adottare tecniche di cifratura per i dati sensibili o giudiziari contenuti in elenchi o banche dati gestiti con strumenti elettronici i dati sensibili o giudiziari non possono essere trattati nellambito di test psicoattitudinali volti a definire il profilo o la personalità dellinteressato.

89 I I dati sensibilissimi Sono i dati idonei a rivelare lo stato di salute la vita sessuale. Essi devono: essere conservati separatamente dagli altri dati personali essere trattati con tecniche di cifratura non possono essere diffusi

90 I I rapporti fra il diritto alla riservatezza ed il diritto di accesso nella PA

91 I L. 241/90Principi di economicità, efficacia, imparzialità e trasparenza a fondamento del corretto agire della PA. Art. 22: E riconosciuto a chiunque vi abbia interesse, per la tutela di situazioni giuridicamente rilevante il diritto di accesso ai documenti amministrativi Ma linteresse del soggetto a conoscere determinate informazioni confligge con linteresse del soggetto cui le informazioni si riferiscono a tenerle riservate. Comparazione fra due valori in competizione (trasparenza e riservatezza) entrambi garantiti dalla Carta Costituzionale

92 I La necessità di un equilibrio Alcuni punti fermi: La legge sulla privacy non può essere invocata aprioristicamente per negare o limitare in via assoluta il diritto di accesso Piuttosto la legge sulla privacy si pone come fattore delimitativo dellesercizio dellaccesso sotto il profilo delle modalità tecniche di esercizio E necessario effettuare una ponderazione fra i valori in gioco La PA è chiamata a verificare se linteresse giuridico di chi chiede laccesso sia personale e concreto, e lostensione del documento sia veramente necessaria per la cura di interessi giuridici del richiedente. E possibile, per tutelare la riservatezza di terzi, concedere la visione del documento ma non lestrazione di copia.

93 I Il principio del pari rango Art. 60 TU: qualora la richiesta di accesso riguardi documenti contenenti dati idonei a rilevare lo stato di salute o la vita sessuale laccesso deve essere consentito solo quando la situazione giuridica che si intende tutelare con la richiesta è di rango almeno pari ai diritti dellinteressato ovvero consiste in un diritto della personalità ovvero in un altro diritto o libertà fondamentale e inviolabile.

94 I Art. 24 l. 241/90 ( così come modificata dalla l. 15/2005) Nel caso di documenti contenenti dati sensibili e giudiziari laccesso è consentito nei casi in cui sia strettamente indispensabile e nei casi previsti dallart. 60 del d.lvo 196/2003, in caso di dati idonei a rivelare lo stato di salute o la vita sessuale.


Scaricare ppt "UNIVERSITA DEGLI STUDI DI TRIESTE Ripartizione Sistema documentale e procedurale LA DISCIPLINA IN MATERIA DI PROTEZIONE DEI DATI PERSONALI dott.ssa Serena."

Presentazioni simili


Annunci Google