La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

Il Garante per la Protezione dei dati personali Prof. Oreste M. CALLIANO.

Presentazioni simili


Presentazione sul tema: "Il Garante per la Protezione dei dati personali Prof. Oreste M. CALLIANO."— Transcript della presentazione:

1 Il Garante per la Protezione dei dati personali Prof. Oreste M. CALLIANO

2 Il GARANTE per la PROTEZIONE dei DATI PERSONALI Autorità indipendente istituita dalla l. 31 dicembre 1996 n. 675 art. 30 Composta da 4 membri, IL PRIMO presidente è stato il prof. Rodotà,attualmente il prof.Pizzetti Nasce dallesigenza di configurare una forma rafforzata di tutela e vigilanza del diritto alla privacy dellindividuo affidata ad un organismo indipendente FUNZIONI:-controllo -regolamentare e consultiva -giurisdizionale

3 FUNZIONE di CONTROLLO Si esplica nel controllo della conformità dei trattamenti di dati personali alle leggi e ai regolamenti. Riceve le notifiche da parte dei titolari che intendono procedere al trattamento di dati personali, qualora questi riguardino (art.37 c.1): a) dati genetici, biometrici o che permettano lidentificazione della posizione di persone o oggetti mediante una rete di com.elettr. b) idonei a rivelare lo stato di salute (fisica e psichica) e la vita sessuale c) dati trattati con lausilio di strumenti elettronici volti a definire il profilo o la personalità dellinteressato, o ad analizzare abitudini o scelte di consumo d) dati sensibili registrati in banche dati a fini di selezione del personale per c/terzi, utilizzati per sondaggi di opinione, ricerche di mercato e altre e) dati registrati in apposite banche gestite con strumenti elettronici e relative al rischio sulla solvibilità economica, situazione patrimoniale, al corretto adempimento di obbligazioni, a omportamenti illeciti o fraudolenti

4 Lelenco non è tassativo, il Garante può individuare altri trattamenti suscettibili di recare pregiudizio ai diritti dellinteressato ed emanare un provvedimento di verifica ad hoc, o al contrario può esonerarne altri dallobbligo di notifica Prescrive ai titolari o responsabili le modificazioni opportu- ne al fine di rendere il trattamento conforme alle norme Svolge funzioni di controllo o assistenza in materia di tratta- mento dei dati personali prevista da leggi di ratifica di accor- di o convenzioni internazionali o da regolamenti comunitari

5 FUNZIONE REGOLAMENTARE e CONSULTIVA Il Garante adotta i provvedimenti, in particolare le autorizzazioni per il trattamento di dati sensibili: nei rapporti di lavoro in materia di salute e vita sessuale da parte di organismi di tipo associativo e di fondazioni da parte di liberi professionisti e di investigatori privati attività bancarie,assicurative,gestione fondi settore turistico e trasporti Promuove la sottoscrizione dei codici di deontologia e di buona condotta Pone il divieto o il blocco (totale o parziale) del trattamento dei dati qualora, per loro natura o per la modalità o gli effettidi tale trattamento, vi sia il rischio di un rilevante pregiudizioper linteressato Segnala al Governo lopportunità di provvedimenti Esprime pareri richiesti dal PdC o dai Ministri Predispone una relazione annuale sullattività svolta e sullo stato di attuazione della legge, trasmessa al Governo e al Parlamento

6 FUNZIONE GIURISDIZIONALE Il Garante esamina i reclami e le segnalazioni e provvede sui ricorsi presentati dagli interessati o dalle associazioni che li rappresentano. La legge (in applicazione della direttiva comunitaria) attribuisce al Garante un potere decisorio delle controversie alternativo al giudice ord. Vantaggi:- controversie affidate a un organo specializzato - tempi brevissimi (30 giorni) - rito promosso direttamente dalla parte senza bisogno dellassistenza di un avvocato - giustizia non formalistica vicina al cittadino Se vengono rilevate delle violazioni alle disposizioni del Codice il Garante irroga delle sanzioni pecuniarie e nel casoin cui si configuri un illecito penale anche delle pene detentive fino a 3 anni. Caso Codacons vs. BNL 28 maggio 1997 Unulteriore compito del Garante è quello di diffondere la conoscenza della disciplina in materia di privacy tra il pubblico, attività svolta utilizzando Comunicati Stampa, disponibili anche sul sito Internet dellautorità :www.garanteprivacy.it ;

7 ATTIVITA INTERNAZIONALE del GARANTE Membro del Gruppo delle autorità garanti dei Paesi europei istituito in base allart. 29 Dir. 95/46/CE, ha funzione consultiva dellUE, membro di Comitati che collaborano presso il Consiglio dEuropa E parte dellAutorità comune di controllo Schengen istituite in base alle Conv. di Schengen, Europol, Eurodac, Sistema informativo doganale Allinterno dellOCSE partecipa al Comitato per la politica dellinformazione (ICCP) e al Gruppo di la voro sulla sicurezza dellinformazione e sulla privacy (WPISP)

8 TRASFERIMENTO dei DATI allESTERO Norme restrittive alla circolazione non possono essere applicate in modo da limitare o la libera circolazione dei dati personali fra gli SM dellUE. Art.42 Codice privacy Il trasferimento verso paesi extra UE è consentito: se linteressato ha manifestato il proprio consenso se sono connessi allinteresse vitale deltitolare o ad un suo contratto se legati a interessi generali (trasf. autorizzati,necessari per lesercizio di un diritto in via giudiziaria, richiesta di accesso a doc.amministrativi) Negli altri casi deve essere autorizzato, ed è consentito se il Paese terzo fornisce adeguate garanzie per i diritti dellinteressato, ovvero: se le garanzie risultano da un contratto se esiste una decisione della Commissione europea nella quale si constata che il Paese garantisce un livello di protezione adeguato o che clausole contrattuali offrono garanziesufficienti. Art.44 CP

9 TRASFERIMENTI DI DATI ALLESTERO I trasferimenti sono vietati quando lordinamento del paese di destinazione o di transito dei dati non assicura un livello di tutela delle persone adeguato; tenuto conto anche delle modalità del trasferimento, dei trattamenti, delle finalità, dellanatura dei dati e delle misure di sicurezza. (art. 45 CP) Il Garante ha autorizzato il trasferimento di dati verso Svizzera,Ungheria, Canada, sulla base delle decisioni prese dalla Commissione europea. Gli Stati Uniti sono stati oggetto di una trattativa separata, in questo caso i trasferimenti sono autorizzati solo se loperatore statunitense abbia aderito al The Safe Harbor Privacy Principles. Per le multinazionali i Garanti UE hanno previsto la possibilità di utilizzare delle norme vincolanti dimpresa, questi codici devono offrire garanzie sufficienti,ovvero presupporre almeno che: a)le norme siano effettivamente vincolanti; b) siano norme elaborate da un gruppo multinazionale e valide per tutte le società facenti parte del gruppo; c) previsione di sanzioni disciplinari in caso di violazioni

10 RESPONSABILITA del GESTORE per la SICUREZZA Il CP prevede che i dati personali debbano essere custoditi e controllati, in modo da ridurre al minimo, mediante ladozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta (art. 31) E previsto un Disciplinare tecnico per le misure minime di sicurezza per il trattamento dei dati con e senza lausilio di strumenti elettronici (All B) adozione di procedure per la gestione delle credenziali di autenticazione, procedure per il backup dei dati, la loro conservazione, il ripristino in seguito ad incidente, sistemi di protezione degli strumenti di elaborazione. Il gestore risponde del danno cagionato per effetto del trattamento di dati personali ex art c.c. (art. 15), che prevede, la prova di aver preso tutte le precauzioni necessarie a evitare il danno (resp. oggettiva). Lart. 169 del Codice punisce con larresto fino a due anni o unammenda fino a euro la mancata adozione delle misure minime di sicurezza.

11 Menzione delle misure di sicurezza da adottare si trova anche nella Dir. 2002/58 CE (art. 4), ipotesi di trattamento dei dati esterne alla volontà del responsabile e riservatezza dei trattamenti rispetto ad ipotesi potenzialmente lesive poste in essere anche dal responsabile. Regole per le misure di sicurezza relative al trattamento dei dati, la salvaguardia dellaccesso o dei servizi, prote- zione della segretezza della corrispondenza,si trovano anche nei codici di autoregolamentazione emanati da: - AIDIM (Associazione Italiana per il Direct Marketing) - ANFOV (Associazione Nazionale Fornitori di Audio Informazione) - AIIP (Associazione Italiana Internet Providers)

12 Codice deontologico e trattamento dati per marketing Il Codice prevede la promozione di un codice di deontologia e di buona condotta per il trattamento dei dati personali effettuato per il compimento di ricerche di mercato o di comunicazione commerciale (art. 140). AIDIM ha adottato il Codice europeo di condotta e di autodisciplina per luso dei dati personali nelle attività di direct marketing nel 2003, approvato dal Gruppo di lavoro per la tutela dei dati personali art. 29. Il Codice AIDIM prevede per la raccolta dei dati personali: informazioni sullidentità del Responsabile e scopo del trattamento informaz.su diritto di accesso,correzione dei dati e opposizione al trat. informazioni in caso di divulgazione a terzi destinatari e scopo se le informazioni non sono raccolte direttamente dallinteressato il Responsabile deve garantire che questi disponga di tutte le informazioni sui suoi diritti. per la raccolta di dati sensibili è necessario il consenso in forma esplicita da parte dellinteressato, se vengono trattati a scopo di statistiche devono essere resi anonimi, salvo ulteriore consenso dellInteressato

13 Il Responsabile è soggetto a obblighi, per il trattamento dei dati, improntati allequità, la liceità e corrispondenza degli scopi a quanto dichiarato allAutorità garante, adeguatezza e pertinenza allattività. I dati non possono essere trattati in maniera non compatibile agli scopi dichiarati, salvo consenso dellinteressato. In caso di divulgazione delle liste ad altre organizzazioni, oltre ad informare linteressato il Responsabile deve informarsi sullo scopo per cui i dati verranno utilizzati e richiedere limpegno del terzo ad operare in conformità alle regole deontologiche. Il Responsabile deve adottare i principi dei Preference Service nazionali, e pulire= eliminare periodicamente i nominativi degli utenti optin-out dai propri file.

14 IL CONTATTO fra UTENTE e SITO La normativa non prevede alcun tipo di formalità o con- senso al momento del contatto fra un utente ed un sito. Problema posto dalla dottrina in merito ai cookies. Questo contenitore viene inviato dal sito web che si visita alla memoria interna del computer dellutente al fine di personalizzare determinati aspetti della navigazione in fun- zione dei consumi e degli interessi manifestati dallutente. Necessità di applicare il Codice sulla protezione dei dati laddove i cookies procedano ad una raccolta di dati che, debitamente trattati consentano sia lidentificazione che la profilazione del consumatore virtuale?

15 Sentenza USA, United States District Court Southern district Of New York – Double Click Inc., 28 marzo 2001: lutilizzo dei cookies per la raccolta di dati dei navigatori a fini pubbli- citari non costituisce violazione della privacy. Provvedimento Garante per la protezione dei dati personali, Italia, 31 marzo 2003: sanzione per un sito web che non ha informato gli utenti sulluso dei dati raccolti on line, lAutori- tà ha precisato, che anche la sola raccolta dei dati, a prescin- dere dal loro eventuale utilizzo comporta un trattamento di dati e che, prima di procedere è necessario informare lutente. Necessario il consenso anche per il trasferimento on line di aggiornamenti software nel computer degli utenti, che molte aziende eseguivano automaticamente (Risoluzione della Conf. Intern. Autorità di Protezione Dati, settembre 2003)


Scaricare ppt "Il Garante per la Protezione dei dati personali Prof. Oreste M. CALLIANO."

Presentazioni simili


Annunci Google