CODICE DELLA PRIVACY D.L. 196 del 30 Giugno 2003 (ex L. 675 del 1996) 1
Il codice in materia di protezione dei dati personali (noto anche come codice della privacy) è una norma della Repubblica Italiana, emanata con il decreto legislativo 30 giugno 2003, n. 196, che razionalizza, semplifica e coordina in un "Testo Unico" tutte le precedenti disposizioni relative alla protezione dei dati personali. CHE COSA E’ IL CODICE 2
Dati Sensibili Titolare Titolare del trattamento dei dati Responsabile Responsabile del trattamento dei dati Incaricato Incaricato del trattamento dei dati Sanzioni Misure minime di sicurezza Differenza tra misure minime e misure idonee Conseguenze sanzionatorie Soggetti obbligati PRINCIPALI ARGOMENTI TRATTATI 3
dati sensibilisono dati personali la cui raccolta e trattamento I dati sensibili, nel diritto italiano, sono dati personali la cui raccolta e trattamento sono soggetti sia al consenso dell'interessato sia all'autorizzazione preventiva del Garante per la protezione dei dati personali. Sono considerati dati sensibili i dati personali idonei a rivelare (art. 4): l'origine razziale ed etnica l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, lo stato di salute e la vita sessuale. lo stato di salute e la vita sessuale. DATI SENSIBILI 4
titolare la persona fisica, giuridica associazione ivi compreso il profilo della sicurezza Il titolare del trattamento dei dati personali è, a norma dell'art. 4, «la persona fisica, giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento dei dati personali ed agli strumenti utilizzati, ivi compreso il profilo della sicurezza». la persona giuridica Nel caso in cui lo status di titolare non appartenga ad una persona fisica, come precisa l'art. 28, è da considerare titolare del trattamento la persona giuridica nel suo complesso, o l'organo della pubblica amministrazione competente o ancora «l'unità od organismo periferico che esercita un potere decisionale del tutto autonomo sulle finalità e sulle modalità del trattamento». TITOLARE DEL TRATTAMENTO DEI DATI 5
Responsabile la persona fisica, giuridica associazione preposti dal titolare al trattamento dei dati personali caratterizza per il carattere facoltativo Nell'ordinamento italiano per Responsabile del trattamento dei dati si intende, ai sensi dell'art. 4, comma 1, lett. g), "la persona fisica, giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento dei dati personali". Si tratta di una figura che si caratterizza per il carattere facoltativo (art. 29, comma 1) RESPONSABILE DEL TRATTAMENTO DEI DATI 6
L'Incaricato la persona fisica autorizzata a compiere le operazioni di trattamento dal titolare o dal responsabile L'Incaricato del trattamento dei dati è, ai sensi dell'art. 4, comma 1, lett. h) "la persona fisica autorizzata a compiere le operazioni di trattamento dal titolare o dal responsabile". L'art. 30 del Codice precisa che le operazioni di trattamento possono essere compiute solo da soggetti nominati incaricati. Tale specificazione rende doverosa la designazione all'interno della struttura del titolare. la designazione per iscritto L'art. 30, inoltre, equipara la designazione per iscritto, in cui è puntualmente individuato l'ambito del trattamento, alla semplice e documentata preposizione alle operazioni consentite di una persona fisica, nell'ambito della struttura del titolare. Si tratta di un'applicazione del principio di semplificazione di cui all'art. 2, comma 2, del Codice. INCARICATO DEL TRATTAMENTO DEI DATI 7
Possono essere: CIVILI CIVILI (ai sensi dell'Art 15): Chiunque fa danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell'articolo 2050 del codice civile. Vale anche per i danni non patrimoniali PENALI PENALI: che si differenziano in Misure minime (Art.169) e Trattamento Illecito (Art. 167). nel primo caso con l'arresto fino a 2 anni nel primo caso chi omette di adottare le misure minime previsto dall' Art. 33 è punito con l'arresto fino a 2 anni; nel secondo caso la reclusione da 6 a 18 mesi la reclusione da 6 a 24 mesi nel secondo caso chi, avendo il fine di trarre per sè profitto, procede al trattamento di dati personali in violazione di alcuni articoli è punito con la reclusione da 6 a 18 mesi oppure, se il fatto è avvenuto nell'ambito della comunicazione o diffusione, con la reclusione da 6 a 24 mesi. AMMINISTRATIVEsenza aver dato informativada a euro AMMINISTRATIVE (Art.161): il trattamento dei dati personali senza aver dato informativa costituisce illecito amministrativo da a euro SANZIONI 8
misure minime Il concetto di misure minime di sicurezza, nel diritto italiano, è definito dal codice sulla protezione dei dati personali. la stesura annuale del DPS è stata abrogata Un'importante misura minima di sicurezza prevista era l'obbligo di adozione annuale da parte dei titolari di un documento programmatico sulla sicurezza: la stesura annuale del DPS è stata abrogata dall'art. 45 del decreto semplificazioni (convertito in legge il 4 aprile 2012). organizzativetecnicheinformatichelogistiche procedurali Le misure di sicurezza sono costituite dal complesso delle misure organizzative, tecniche, informatiche, logistiche e procedurali volte a ridurre al minimo i rischi di: distruzione o perdita, anche accidentale, dei dati, distruzione o perdita, anche accidentale, dei dati, accesso non autorizzato, accesso non autorizzato, trattamento non consentito o non conforme alle finalità della raccolta, trattamento non consentito o non conforme alle finalità della raccolta, modifica dei dati in conseguenza di interventi non autorizzati o non conformi alla regole. modifica dei dati in conseguenza di interventi non autorizzati o non conformi alla regole. MISURE MINIME DI SICUREZZA 9
minime idonee per i diversi livelli di responsabilità Le misure di sicurezza minime si differenziano dalle idonee per i diversi livelli di responsabilità, ma non solo. i parametri di sicurezza minimi individuati nel Codice (articoli 33, 34, 35 e 36)Disciplinare Tecnico (Allegato B del Codice Privacy) Il titolare deve individuare preventivamente misure di sicurezza che devono almeno rispettare i parametri di sicurezza minimi individuati nel Codice (articoli 33, 34, 35 e 36) e nel Disciplinare Tecnico (Allegato B del Codice Privacy); non rispettano si concretizza la fattispecie penale se le misure di sicurezza adottate non rispettano i parametri minimi contenuti nel regolamento, si concretizza la fattispecie penale di omissione delle misure minime e la conseguente responsabilità. non è sufficiente a liberare da ogni responsabilità L'individuazione di misure che rispettano i parametri previsti come minimi non è sufficiente a liberare da ogni responsabilità il soggetto che effettua il trattamento. MISURE MINIME E MISURE IDONEE 10
può essere coinvolto comunque sotto un profilo di responsabilità civile Se le misure adottate non sono idonee ad evitare il danno, il Titolare può essere coinvolto comunque sotto un profilo di responsabilità civile, anche se non ci sono gli estremi per la responsabilità penale prevista dalla legge. tipizzate dal legislatore no, devono essere scelte dal buon Titolare natura dei daticaratteristiche del trattamentostato dell'artetecnica Le misure minime di sicurezza sono tipizzate dal legislatore. Le misure idonee no, devono essere scelte dal buon Titolare sulla base della natura dei dati, delle caratteristiche del trattamento e dallo stato dell'arte e della tecnica. MISURE MINIME E MISURE IDONEE 11
Le conseguenze della mancata adozione di misure di sicurezza sono quindi le seguenti: arresto sino a due anni la sanzione penale per omessa adozione delle misure minime è quella prevista dall'articolo 169 del Codice (arresto sino a due anni); nel caso le misure adottate non siano idonee ad evitare il danno il risarcimento del danno - nel caso le misure adottate non siano idonee ad evitare il danno - è previsto dall'art. 15 legge del Codice che rimanda all'art del Codice Civile (relativa allo svolgimento di attività pericolose); presunzione speciale di colpa a carico del responsabile del dannoin questo caso chi effettua il trattamento in questo tipo di responsabilità è prevista una presunzione speciale di colpa a carico del responsabile del danno (in questo caso chi effettua il trattamento): il responsabile ha l'onere della prova di aver adottato tutto quanto era possibile per evitare il danno, facendo riferimento ad adeguate prassi tecniche conosciute di sicurezza informatica, mentre il danneggiato deve solo dimostrare l'esistenza del danno. CONSEGUENZE SANZIONATORIE 12
è sanzionato penalmente misure minime chiamato a rispondere civilmente misure non sono idonee Per questi motivi il soggetto che non adotta misure di sicurezza adeguate è sanzionato penalmente (se le misure non rispettano i parametri previsti dal regolamento sulle misure minime secondo le modalità previste dal Disciplinare Tecnico) e può essere chiamato a rispondere civilmente per il risarcimento del danno (se le misure non sono idonee ). devono essere Ai sensi dell'art 31 del Codice, le misure di sicurezza adottate per il trattamento dei dati personali devono essere: adeguate ridurre al minimo i rischi di distruzione dei dati o accesso non autorizzato adeguate in relazione alle conoscenze acquisite in base al progresso tecnico e tali da ridurre al minimo i rischi di distruzione dei dati o accesso non autorizzato; adottate in via preventiva e differenziate adottate in via preventiva e differenziate in base alla natura dei dati e alle specifiche caratteristiche del trattamento. SOGGETTI OBBLIGATI 13
ha responsabilità Il Presidente dell’Associazione ha responsabilità di tipo: Civile Civile (in solido con l’Incaricato del trattamento) Penale Penale Amministrativa Amministrativa Sanzioni Le Sanzioni per il mancato rispetto sono: Civile Civile – Risarcimento del danno arrecato (Incaricato del trattamento); Penale62 Penale – Reclusione da 6 mesi a 2 anni; Amministrativa Amministrativa - Multa da a Euro Responsabilità e Sanzioni 14
Oggetto: Nomina individuale ad “Incaricato” del trattamento dei dati personali ex art. 30 del D.lgs n. 196/2003. Il sottoscritto _____________ in qualità di “Responsabile” del trattamento dei dati della A.V.I.S. ___________, quale Titolare del trattamento di dati personali presso la sopra indicata A.V.I.S. nomina Il Sig. __________________ in qualità di _________________ pro-tempore della Struttura A.V.I.S. ___________________________, quale “Incaricato”, autorizzandolo al trattamento delle seguenti tipologie di dati personali: Gestione ____________________________________________________________ ; contenuti in atti e documenti riguardanti archivi di tipo cartaceo o effettuati con strumenti automatizzati e/o contenuti nelle eventuali banche dati elettroniche automatizzate. Il Nominato svolgerà il predetto incarico attenendosi ai criteri previsti dalla normativa vigente sulla tutela dei dati personali e sulle misure di sicurezza relative, anche con riferimento ai regolamenti ed alle modalità tecniche adottate da questa Associazione. Al riguardo, il Nominato si impegna ad effettuare il trattamento dei dati di competenza osservando le istruzioni allegate, da intendersi quali parti integranti della presente, (all. 1) ed ogni altra indicazione che potrà essere fornita dal Responsabile del trattamento. Per una migliore e più ampia conoscenza dei principi normativi in materia di privacy. si acclude alla presente un breve compendio delle principali disposizioni previste dal D.lgs 196/2003 (all. 2). Luogo e DataIl Responsabile del trattamento Luogo e Datal’Incaricato Nomina Incaricato 15
Oggetto: Nomina ad “Amministratore di Sistema”. Il sottoscritto ……………………………………………………………………………………….. in qualità di “Responsabile” del trattamento dei dati dell’A.V.I.S. Comunale di …………………, nominato dal Titolare quale responsabile del trattamento di dati personali presso la sopra indicata Struttura associativa con riferimento ai Sistemi Informatici operanti presso (indicare l’ubicazione), Nomina il Sig. ………………………………………………………………………………………………… in servizio presso la Struttura (solo se trattasi di dipendente), in relazione alle mansioni dal medesimo svolte ed in considerazione delle specifiche competenze ed esperienze acquisite quale “Amministratore di Sistema”. Tale nomina è a tempo indeterminato e decade per revoca, per Sue dimissioni o con il venir meno delle mansioni da Lei svolte che giustificano tale nomina. In relazione alla Sua qualifica di “Amministratore di sistema”, Lei sovrintenderà alle risorse dei sistemi operativi o dei sistemi di base dati, di tutti gli elaboratori in uso presso la sede menzionata e ne consentirà l’utilizzazione. Lei sarà tenuto, come gli incaricati. a compilare il fax simile allegato (all. a), relativo all’indicazione delle parole chiavi prescelte consegnandolo al “Preposto” alla custodia delle medesime. In particolare, sarà Suo specifico compito: 1. Attribuire a ciascun incaricato del trattamento, un codice identificativo personale per l’utilizzazione dell’elaboratore; uno stesso codice non potrà neppure in tempi diversi, essere assegnato a persone diverse; 2. Assegnare e gestire i codici identificativi personali prevedendone la disattivazione nel caso di perdita della qualità che ne consente l’accesso all’elaboratore ovvero nel caso di loro mancato utilizzo per un periodo superiore a sei mesi; 3. Dispone ogni opportuna misura e ogni adeguata verifica, per evitare che soggetti non autorizzati possano avere accesso agli archivi delle parole chiave se leggibili; 4. Provvedere affinché gli elaboratori del sistema informativo siano protetti contro il rischio di intrusione ad opera di programmi di cui all’art. 615 quinquies cod.pen.. mediante idonei programmi la cui efficacia ed aggiornamento siano verificati con cadenza almeno semestrale; Luogo e DataIl Responsabile del trattamento Luogo e Data L’Amministratore di Sistema Nomina Amministratore di Sistema 16
Poiché la vostra struttura tratta dati personali giudiziari e/o sensibili, che vi sono stati comunicati nell’ambito di un rapporto di titolarità autonoma, vi chiediamo di volerci confermare esplicitamente e per iscritto, ai sensi del punto 19.7 del disciplinare in materia di misure minime di sicurezza, allegato al d. lgs n. 196/2003, che tutte le misure minime di sicurezza, in tale allegato contemplate, vengano puntualmente rispettate. In tale contesto, per consentirci di dare piena attuazione al dettato di legge, vi comunichiamo che i criteri che la nostra associazione ha deciso di adottare sono di due tipi: Esame approfondito del vostro manuale della sicurezza nel trattamento di dati personali, Esame approfondito delle modalità con cui la vostra struttura svolge l’attività di vigilanza, prevista dall’articolo 29 comma 5 del d. lgs n. 196/2003 Vi preghiamo pertanto di inviarci copia del vostro manuale della sicurezza nel trattamento dei dati personali, in modo da permetterci di effettuare una valutazione approfondita e critica delle modalità, con cui la vostra struttura ha dato pieno adempimento ai dettati di legge Vi preghiamo di volerci comunicare, la lista di controllo o le modalità con cui la vostra struttura da pieno adempimento a quanto previsto dall’articolo 29 comma 5. in materia di vigilanza da parte della struttura esterna, operante come titolare, nei confronti dei responsabili del trattamento e degli incaricati, da essa struttura designati. Se tale attività di vigilanza è già stata effettuata in passato, vi preghiamo di darci copia degli esiti della vigilanza stessa o del rapporto della struttura, che ha svolto l’ attività di vigilanza. Resta inteso che tali documenti verranno da noi custoditi e controllati con criteri di estrema riservatezza, e che l’unica ragione per cui essi verranno esaminati è legata appunto alla necessità di mettere la nostra associazione in condizioni di verificare il puntuale rispetto dei dettati di legge. Tali documenti non verranno da noi comunicati o diffusi ad alcuno. Nella ipotesi che non vi sia possibile accedere a queste due specifiche richieste, vi preghiamo di volerci comunicare a stretto giro di posta quali soluzioni alternative ci proponete, che ci permettano di mantenere in essere l’attuale rapporto contrattuale, nel pieno rispetto delle specifiche disposizioni di legge, di cui al punto 19.7 del disciplinare in materia di misure minime di sicurezza. In attesa di vostro riscontro e …………….. Lettera incarico esterno 17
privacy europea Il 2016 sarà l’anno della privacy europea. Essendo, però, discese dalla direttiva 95/46, ogni Paese membro le ha poi declinate come meglio credeva. L’Italia le ha recepite nel 1996 con la legge 675, poi riversate nel codice della riservatezza, il Dlgs 196/2003. Regole che sono prossime alla pensione, perché la riforma della privacy in arrivo si compone di due provvedimenti: una direttiva e che avrà bisogno di essere recepita una direttiva, che interessa l’uso dei dati personali nell’ambito della sicurezza e delle attività di polizia e di giustizia e che avrà bisogno di essere recepita per diventare operativa nei vari Stati; un regolamentoe che sarà immediatamente applicabile un “interregno” di due anni un regolamento, che interesserà tutti i soggetti privati e parte di quelli pubblici e che sarà immediatamente applicabile. Non avrà, cioè, bisogno di alcun atto di recepimento, tranne un “interregno” di due anni concesso a ciascun Paese per adeguarsi alle nuove norme. Dal Sole 24 ore del 25 gennaio
DICE IL SAGGIO: Sapere da che parte arriva la pioggia, ti permette di aprire l’ombrello 19
20