IL CODICE DELLA PRIVACY

IL CODICE DELLA PRIVACY CONTESTO NORMATIVO

CONTESTO NORMATIVO NAZIONALE l. 675/96 RENDE OBBLIGATORIE LE MISURE POSTE A PROTEZIONE DEI DATI PERSONALI � DPR 318/99 CONTIENE UN REGOLAMENTO PER L’INDIVIDUAZIONE DELLE MISURE MINIME DI SICUREZZA D.L. 135/99 INTEGRA LA 675 SUL TRATTAMENTO DEI DATI SENSIBILI DA PARTE DI SOGGETTI PUBBLICI D.L. 282/99 DISPOSIZIONI PER GARANTIRE LA RISERVATEZZA DEI DATI IN AMBITO SANITARIO.

CONTESTO NORMATIVO COMUNITARIO DIR. 95/46 TRATTAMENTO E LIBERA CIRCOLAZIONE DEI DATI PERSONALI DIR. 96/09 TUTELA GIURIDICA DELLE BANCHE DATI DIR. 2002/58 TRATTAMENTI DATI PERSONALI E TUTELA DELLA VITA PRIVATA NEL SETTORE DELLE COMUNICAZIONI

IL CODICE DELLA PRIVACY I PRINCIPI

I PRINCIPI Cosa è la “Privacy ”? È un termine di origine inglese traducibile come “ diritto alla riservatezza”

I PRINCIPI “Chiunque ha diritto alla protezione dei dati personali che lo riguardano” (art.1)

I PRINCIPI “Il presente testo unico, di seguito denominato "codice", garantisce che il trattamento dei dati personali si svolga nel rispetto dei diritti e delle libertà fondamentali, nonché della dignità dell'interessato, con particolare riferimento alla riservatezza, all'identità personale e al diritto alla protezione dei dati personali” (art.2)

I PRINCIPI “ Il trattamento dei dati personali e' effettuato assicurando un elevato livello di tutela dei diritti e delle libertà […] nel rispetto dei principi di SEMPLIFICAZIONE, ARMONIZZAZIONE ed EFFICACIA delle modalità previste per il loro esercizio da parte degli interessati, nonché per l'adempimento degli obblighi da parte dei titolari del trattamento ”

PRINCIPIO DI NECESSITA’ I PRINCIPI PRINCIPIO DI NECESSITA’ I sistemi informativi ed i programmi debbono essere configurati in modo da utilizzare il minimo di dati identificativi personali. Il trattamento dei dati è da escludere ove sia possibile utilizzare dati anonimi oppure particolari modalità che permettano di risalire all’interessato solo in caso di necessità

IL CODICE DELLA PRIVACY I SOGGETTI

I SOGGETTI Garante Interessato Titolare del trattamento Responsabile del trattamento Incaricato del trattamento

DESTINATARIO della TUTELA INTERESSATO la persona fisica, la persona giuridica, l'ente o l'associazione cui si riferiscono i dati personali DESTINATARIO della TUTELA

IL GARANTE Il Garante opera in piena autonomia e con indipendenza di giudizio e di valutazione. Il Garante è organo collegiale costituito da quattro componenti. I componenti sono scelti tra persone che assicurano indipendenza e che sono esperti di riconosciuta competenza delle materie del diritto o dell'informatica. Il presidente e i componenti durano in carica quattro anni

TITOLARE La persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza

RESPONSABILE la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali

INCARICATI le persone fisiche autorizzate a compiere operazioni di trattamento dal titolare o dal responsabile

I DATI Dati Personali Dati Sensibili Dati Giudiziari

DATI PERSONALI “ ogni informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale ”

DATI SENSIBILI dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale

DATI GIUDIZIARI “ dati personali idonei a rivelare provvedimenti di cui all'articolo 3, comma 1, lettere da a) a o) e da r) a u), del D.P.R. 14 novembre 2002, n. 313, in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualità di imputato o di indagato ai sensi degli articoli 60 e 61 del codice di procedura penale ”

Le Procedure Regole Generali Pubblica Amministrazione Privati od Enti Pubblici Economici Particolari Categorie di Dati

TRATTAMENTO REGISTRAZIONE SELEZIONE ORGANIZZAZIONE ESTRAZIONE CONSERVAZIONE CONSULTAZIONE ELABORAZIONE MODIFICA DIFFUSIONE CANCELLAZIONE DISTRUZIONE SELEZIONE ESTRAZIONE RAFFRONTO UTILIZZO INTERCONNESSIONE BLOCCO COMUNICAZIONE

TRATTAMENTO ART. 11 I dati personali oggetto di trattamento sono: a) trattati in modo lecito e secondo correttezza; b) raccolti e registrati per scopi determinati, espliciti e legittimi, ed utilizzati in altre operazioni del trattamento in termini compatibili con tali scopi;

INFORMATIVA ART.13 le finalità e le modalità del trattamento cui sono destinati i dati; La natura obbligatoria o facoltativa del conferimento dei dati; conseguenze di un eventuale rifiuto di rispondere;

INFORMATIVA ART.13 i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati, e l'ambito di diffusione dei dati medesimi; i diritti di cui all'articolo 7; gli estremi identificativi del titolare e, se designati, del rappresentante nel territorio dello Stato ai sensi dell'articolo 5 e del responsabile.

INFORMATIVA ART.13 Se i dati personali non sono raccolti presso l'interessato, l'informativa di cui al comma 1, comprensiva delle categorie di dati trattati, è data al medesimo interessato all'atto della registrazione dei dati o, quando è prevista la loro comunicazione, non oltre la prima comunicazione.

CESSAZIONE DEL TRATTAMENTO art.16 In caso di cessazione, per qualsiasi causa, di un trattamento i dati sono: distrutti; ceduti ad altro titolare, purché destinati ad un trattamento in termini compatibili agli scopi per i quali i dati sono raccolti; conservati per fini esclusivamente personali e non destinati ad una comunicazione sistematica o alla diffusione; conservati o ceduti ad altro titolare, per scopi storici, statistici o scientifici, in conformità alla legge, ai regolamenti, alla normativa comunitaria …..

SOGGETTI PUBBLICI art. 18 Qualunque trattamento di dati personali da parte di soggetti pubblici è consentito soltanto per lo svolgimento delle funzioni istituzionali. Nel trattare i dati il soggetto pubblico osserva i presupposti e i limiti stabiliti dal codice, anche in relazione alla diversa natura dei dati, nonché dalla legge e dai regolamenti. Salvo quanto previsto nella Parte II per gli esercenti le professioni sanitarie e gli organismi sanitari pubblici, i soggetti pubblici non devono richiedere il consenso dell'interessato. Si osservano le disposizioni di cui all'articolo 25 in tema di comunicazione e diffusione.

COMUNICAZIONE Dare conoscenza dei dati personali ad uno o più soggetti determinati diversi da: INTERESSATO RESPONSABILE INCARICATI Sotto qualunque forma, anche tramite la consultazione o messa a disposizione

DIFFUSIONE Dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la messa a disposizione o consultazione

COMUNICAZIONE E DIFFUSIONE La comunicazione e la diffusione SONO VIETATE, oltre che in caso di divieto disposto dal Garante o dall'autorità giudiziaria: in riferimento a dati personali dei quali è stata ordinata la cancellazione, ovvero quando è decorso il periodo di tempo indicato nell'articolo 11, comma 1, lettera e); per finalità diverse da quelle indicate nella notificazione del trattamento, ove prescritta.

COMUNICAZIONE E DIFFUSIONE È fatta salva la comunicazione o diffusione di dati richieste, in conformità alla legge, da forze di polizia, dall'autorità giudiziaria, da organismi di informazione e sicurezza o da altri soggetti pubblici ai sensi dell'articolo 58, comma 2, per finalità di difesa o di sicurezza dello Stato o di prevenzione, accertamento o repressione di reati.

DISCIPLINARE TECNICO E MISURE MINIME DI SICUREZZA Le misure di sicurezza attengono alla protezione dei dati TRATTATI CON STRUMENTI TRADIZIONALI TRATTATI CON STRUMENTI ELETTRONICI

TRATTAMENTI SENZA STRUMENTI ELETTRONICI aggiornamento della definizione periodica dell'ambito del trattamento consentito ai singoli incaricati e addetti alla unità organizzative procedure per un’idonea custodia di atti e documenti affidati agli incaricati per lo svolgimento dei relativi compiti

TRATTAMENTI SENZA STRUMENTI ELETTRONICI previsione di procedure per la conservazione di determinati atti in archivi ad accesso selezionato disciplina delle modalità di accesso finalizzata all'identificazione degli incaricati.

TRATTAMENTI CON STRUMENTI ELETTRONICI autenticazione informatica adozione di procedure di gestione delle credenziali di autenticazione

TRATTAMENTI CON STRUMENTI ELETTRONICI aggiornamento della definizione periodica dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti e/o ad accessi non consentiti ed a determinati programmi informatici

TRATTAMENTI CON STRUMENTI ELETTRONICI adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi tenuta di un aggiornato documento programmatico sulla sicurezza

SISTEMA DI AUTENTICAZIONE INFORMATICA Le credenziali di autenticazione consistono in un codice per l'identificazione dell'incaricato associato a una parola chiave riservata conosciuta solamente dal medesimo La password può essere sostituita da un dispositivo di autenticazione in possesso e uso esclusivo dell'incaricato, oppure in una caratteristica biometria (dell'incaricato), eventualmente associata a un codice identificativo o a una parola chiave.

SISTEMA DI AUTENTICAZIONE INFORMATICA Ogni incaricato può disporre di una o più credenziali per l'autenticazione. La conservazione della password è a carico dell’incaricato All’incaricato vanno impartite precise istruzioni affinché adotti le necessarie cautele per proteggere la segretezza della sua password e gli eventuali dispositivi di autenticazione.

SISTEMA DI AUTENTICAZIONE INFORMATICA La parola chiave è composta da almeno otto caratteri nel caso in cui lo strumento elettronico non lo permetta, da un numero di caratteri pari al massimo consentito

SISTEMA DI AUTENTICAZIONE INFORMATICA La password non deve contenere riferimenti agevolmente riconducibili all'incaricato (es. data di nascita oppure uguale al nome utente) la password deve essere modificata al primo utilizzo la password deve essere modificata almeno ogni sei mesi. la password deve essere modificata ogni tre mesi almeno se si trattano dati sensibili e/o dati giudiziari Il codice non può essere assegnato ad altri incaricati, neppure in tempi diversi.

I SISTEMI DI AUTORIZZAZIONE Se vi sono incaricati con incarichi e profili di autorizzazione diversi tra loro allora è necessario dotarsi di un apposito sistema di autorizzazione. I profili di autorizzazione devono essere configurati prima dell’inizio del trattamento Si deve limitare l’accesso ai soli dati necessari per effettuare le operazioni di trattamento E’ necessario verificare la sussistenza delle condizioni di validità e la conservazione dei profili di autorizzazione la verifica deve essere eseguita periodicamente, e comunque almeno una volta l’anno.

TRATTAMENTI SENZA MEZZI ELETTRONICI Agli incaricati devono essere impartite istruzioni scritte finalizzate al controllo ed alla custodia degli atti e dei documenti contenenti dati personali durante tutte le fasi del trattamento L’ambito del trattamento consentito ai singoli incaricati è soggetto a verifica periodica (almeno annuale)

TRATTAMENTI SENZA MEZZI ELETTRONICI Atti e i documenti contenenti dati personali sensibili o giudiziari utilizzati per il trattamento sono posti sotto custodia degli incaricati Gli incaricati vigilano affinché non vi accedano persone prive di autorizzazione Gli incaricati sono responsabili degli atti e documenti fino alla loro restituzione L'accesso agli archivi contenenti dati sensibili o giudiziari è posto sotto controllo.

TRATTAMENTI SENZA MEZZI ELETTRONICI Qualsiasi persona ammessa, dopo l'orario di chiusura, deve essere identificata e registrata Se gli archivi non sono dotati di strumenti elettronici per il controllo degli accessi o di incaricati della vigilanza le persone che vi accedono devono essere preventivamente autorizzate