1 11-nov-2004 sommaruga andrea redatto con OpenOffice IT Dlg 196/2003: Commenti IL NUOVO CODICE.

Slides:



Advertisements
Presentazioni simili
Codice della Privacy Il d. lgs. n°196 del 30 giugno 2003.
Advertisements

Disposizioni Sanzionatorie Antiriciclaggio disposizioni 3 direttiva.
Associazione Industriale Bresciana 24 giugno 2004 PRIVACY ADEMPIMENTI IN MATERIA DI SICUREZZA E DPS Criteri per la redazione Associazione Industriale Bresciana.
Mag La Firma Digitale Sommaruga Andrea Guido Collegio dei Geometri e Geometri Laureati della Provincia di Lodi.
Fondazione Ordine degli Ingegneri della Provincia di Milano - 15-feb-2006 sommaruga andrea guido La Consulenza Tecnica di Parte Ing. Andrea Guido Sommaruga.
1 14 marzo 2006 sommaruga andrea Fondazione Ordine Ingegneri di Milano VPN: Reti Private Virtuali VPN: RETI PRIVATE VIRTUALI LE POSSIBILITA' DI ACCESSO.
Fondazione dell' Ordine degli Ingegneri della Provincia di Milano Fernando Fernandez - 14 Marzo 2006 VPN: Reti Private Virtuali VPN RETI PRIVATE VIRTUALI:
1 23 novembre 2005 sommaruga andrea Fondazione Ordine Ingegneri di Milano Archivi in Digitale: Il Costo GLI ARCHIVI INFORMATICI: PROBLEMATICHE DI INTEGRITA'
Al servizio di gente unica LA RESPONSABILITÀ SOCIALE D’IMPRESA: Direzione centrale lavoro, formazione, commercio e pari opportunità UNO STRUMENTO DI INNOVAZIONE.
Informativa sull’adempimento degli obblighi di e-cohesion di cui all’art. 122, comma 3 del reg. (UE) 1303/2013 Programma Competitività regionale 2007/13.
ATTESTATO DI ADESIONE A FONDO DI GARANZIA PRIVATO ATTESTATO DI ADESIONE A FONDO DI GARANZIA PRIVATO DECRETO LEGISLATIVO 23 MAGGIO 2011, N. 79, ART. 50.
1 20 settembre 2005 sommaruga andrea Fondazione Ordine Ingegneri di Milano Dlg 196/2003: Commenti IL NUOVO CODICE SULLA PRIVACY DECRETO LEGISLATIVO N.
BarchettaBlu – Dorsoduro 614 – Venezia tel Assessorato alle Politiche Educative Comune di Venezia.
Riforma Professioni Società
LE ATTIVITA’ DI CONTROLLO ALL’INTERNO DELL’ENTE LOCALE
AVV. GIOVANNI DI CORRADO CONSULENTE DEL LAVORO PRIMA PARTE
Archivi in Digitale: Firma Digitale
Il contratto di lavoro intermittente
COMUNICAZIONE PREVENTIVA ALLA CLIENTELA (ART. 3)
Piccoli chef centri invernali con BarchettaBlu
LA CERTIFICAZIONE MEDICA: norme nuove vecchi problemi
Security & Privacy Integrità Riservatezza Disponibilità La Normativa
ISCRIZIONE ASSOCIAZIONE
Riconoscimento delle qualifiche professionali PROFESSIONE DOCENTE
SIRU-FSE 2014/20 ACCESSI WEB AdA AdC ALTRI SS. II. REGOLAMENTI UE
PIANIFICAZIONE, PROGRAMMAZIONE E PROGETTAZIONE
CORSO DI FORMAZIONE PER PREPOSTI [ex D.Lgs ]
Tutela della privacy: la trasmissione dei Dati personali nella gestione dei sistemi complessi in medicina Convegno ITC- Privacy e Tutela dei dati in sanità.
Tutela della privacy e atti scolastici
Le strutture sanitarie devono fornire ai propri pazienti, prima della raccolta dei loro dati personali, un’informativa in cui siano indicate in modo analitico.
Incontro: Il Codice in materia di protezione dei Dati Personali
Normativa sulla privacy
E CESSAZIONE DEL RAPPORTO DI LAVORO
Aggiornato al D. Lgs. n. 185 del 2016
Il nuovo Regolamento Generale UE 2016/679
Principio di non discriminazione
A cura del Dr. Roberto FALCO Ha collaborato Giorgio PAOLUCCI
Il test di lingua italiana: il procedimento e i soggetti coinvolti
LE COLLABORAZIONI COORDINATE E CONTINUATIVE
Posta Elettronica Certificata Andrea Coloni – Dottore Commercialista
BRIVIDI E MISTERI io sottoscritto ……………………………….………………………………………………………
Primo Dirigente Medico della Polizia di Stato Dott. Angelo COLETTI
GDPR – IL COME R.EU 2016/679 Andrea Chiozzi, Warrant Group
 PROTOCOLLO DI INTESA tra Il Ministro per la pubblica amministrazione e l’innovazione e il Ministro della Giustizia per l’ innovazione digitale.
Il test di lingua italiana: il procedimento e i soggetti coinvolti
Adempimenti per le holding
colore 2018 carnevale di barchettablu
CREDITO DI IMPOSTA PER LE SPESE DI FORMAZIONE industria 4.0.
IL DIRITTO ALLA PRIVACY
I NUOVI SERVIZI-PRIVACY DI CONFINDUSTRIA VERONA
ISCRIZIONE ABC … Leggere insieme n.3 per una buona lettura
Il test di lingua italiana: il procedimento e i soggetti coinvolti
Organigramma ANSF Direttore OIV (in corso di nomina)*
Bullismo e cyberbullismo Obblighi ed iniziative previsti dalla legge per la prevenzione ed il contrasto del fenomeno da parte delle Scuole.
REGOLAMENTO PER L’ACCESSO E L’UTILIZZO DEL SERVIZIO DI POSTA ELETTRONICA DI ATENEO DELL’UNIVERSITA’ DI BARI Centro Servizi Informatici Università degli.
BROCHURE COMPLIANCE.
IL DIRITTO ALLA PRIVACY
DELIBERAZIONE DELLA GIUNTA REGIONALE 26 febbraio 2007, n. 178
Progetti Quadro Legge 236/93 – Anno 2008 Bando 277
La Scheda Sanitaria in Medicina Generale
Aspetti normativi del D.Lvo n. 196 del 2003
La semplificazione nella gestione delle misure di sicurezza
Organigramma ANSF Direttore OIV (in corso di nomina)*
Portale Acquisti Alperia
(capitolo III, Annunziata 2017, IX)
Il protocollo informatico e il Manuale di Gestione
LA GESTIONE DELLE ASSOCIAZIONI E SOCIETA’ SPORTIVE DILETTANTISTICHE
UNIVERSITA’ DELLA TERZA ETA’ DI QUARTU SANT’ELENA
“Aiuti di Stato e Leader”
IL NUOVO REGOLAMENTO EUROPEO SULLA PRIVACY (GDPR):
Transcript della presentazione:

1 11-nov-2004 sommaruga andrea redatto con OpenOffice IT Dlg 196/2003: Commenti IL NUOVO CODICE SULLA PRIVACY DECRETO LEGISLATIVO N. 196/2003 Mercoledì 1° Dicembre 2004 – ore Sala Ovale – Palazzo Serbelloni Corso Venezia, 16 - Milano Relatore Ing. Sommaruga Andrea Guido Introduzione al Decreto Legislativo 196/2003 Il trattamento dati L’adeguamento tecnico dei sistemi informativi e le misure minime di sicurezza Il documento Programmatico sulla Sicurezza

2 11-nov-2004 sommaruga andrea redatto con OpenOffice IT Dlg 196/2003: Codice della Privacy D.L.G. 196/2003 il D.L.G. 196/2003 nasce come evoluzione del precedente D.P.R. 318/1999 allo scopo di definire dei requisiti minimi di sicurezza per il trattamento dei dati.

3 11-nov-2004 sommaruga andrea redatto con OpenOffice IT Dlg 196/2003: Tipo di dati I dati sono classificabili in tre categorie Comuni Sensibili Giudiziari Il trattamento dei dati è classificabile in due categorie Manuale Automatizzato

4 11-nov-2004 sommaruga andrea redatto con OpenOffice IT Dlg 196/2003: Figure previste La normativa prevede tre tipi di figure Titolare del trattamento dati Responsabile/i del trattamento dati Incaricato/i del trattamento dati Più eventualmente una quarta figura nel caso di utilizzo di calcolatori Amministratore/i del sistema informativo

5 11-nov-2004 sommaruga andrea redatto con OpenOffice IT Dlg 196/2003: Titolare Trattamento Il titolare del trattamento ha l'incarico di redigere il DPS o di farlo redigere da un responsabile incaricato. Nei confronti della Legge il Titolare e' l'unico responsabile del trattamento. Anche se ha la facoltà di nominare un responsabile è sempre il Titolare che deve rispondere di eventuali violazioni.

6 11-nov-2004 sommaruga andrea redatto con OpenOffice IT Dlg 196/2003: Responsabile Il Responsabile è nominato dal Titolare con Lettera di Incarico scritta. L'incarico ha durata illimitata. Il Responsabile deve garantire la corretta applicazione del DPS e procedere alle nomine degli incaricati al trattamento.

7 11-nov-2004 sommaruga andrea redatto con OpenOffice IT Dlg 196/2003: Incaricati Gli incaricati al trattamento sono le persone che, per lo svolgimento del loro lavoro, devono trattare i dati raccolti. Sono nominati con lettera dal Responsabile. Devono attenersi alle istruzioni ricevute.

8 11-nov-2004 sommaruga andrea redatto con OpenOffice IT Dlg 196/2003: Garante Art. 37. Notificazione del trattamento 1. Il titolare notifica al Garante il trattamento di dati personali cui intende procedere, solo se il trattamento riguarda: a) dati genetici, biometrici o dati che indicano la posizione geografica di persone od oggetti mediante una rete di comunicazione elettronica; b) dati idonei a rivelare lo stato di salute e la vita sessuale, trattati a fini di procreazione assistita, prestazione di servizi sanitari per via telematica relativi a banche di dati o alla fornitura di beni, indagini epidemiologiche, rilevazione di malattie mentali, infettive e diffusive, sieropositività, trapianto di organi e tessuti e monitoraggio della spesa sanitaria; c) dati idonei a rivelare la vita sessuale o la sfera psichica trattati da associazioni, enti od organismi senza scopo di lucro, anche non riconosciuti, a carattere politico, filosofico, religioso o sindacale; d) dati trattati con l’ausilio di strumenti elettronici volti a definire il profilo o la personalità dell’interessato, o ad analizzare abitudini o scelte di consumo, ovvero a monitorare l’utilizzo di servizi di comunicazione elettronica con esclusione dei trattamenti tecnicamente indispensabili per fornire i servizi medesimi agli utenti; e) dati sensibili registrati in banche di dati a fini di selezione del personale per conto terzi, nonché dati sensibili utilizzati per sondaggi di opinione, ricerche di mercato e altre ricerche campionarie; f ) dati registrati in apposite banche di dati gestite con strumenti elettronici e relative al rischio sulla solvibilità economica, alla situazione patrimoniale, al corretto adempimento di obbligazioni, a comportamenti illeciti o fraudolenti.

9 11-nov-2004 sommaruga andrea redatto con OpenOffice IT Dlg 196/2003: Garante Art. 40. Autorizzazioni generali Le disposizioni del presente codice che prevedono un’autorizzazione del Garante sono applicate anche mediante il rilascio di autorizzazioni relative a determinate categorie di titolari o di trattamenti, pubblicate nella Gazzetta Ufficiale della Repubblica italiana. Art. 41. Richieste di autorizzazione Il titolare del trattamento che rientra nell’ambito di applicazione di un’autorizzazione rilasciata ai sensi dell’articolo 40 non è tenuto a presentare al Garante una richiesta di autorizzazione se il trattamento che intende effettuare è conforme alle relative prescrizioni.

10 11-nov-2004 sommaruga andrea redatto con OpenOffice IT Dlg 196/2003: Liberi Professionisti I liberi professionisti, iscritti ad Albi professionali, non sono tenuti a dare comunicazione del trattamento dati al Garante salvo particolari casi di trattamento di dati Sensibili.

11 11-nov-2004 sommaruga andrea redatto con OpenOffice IT Dlg 196/2003: Liberi Professionisti Per i professionisti c'e' l'obbligo di comunicazione al Garante se trattano dati: Dati genetici o biometrici che indicano posizione geografica di persone mediante rete Dati idonei a rilevare stato di salute e vita sessuale, serivizi sanitari on-line Dati trattati con l'ausilio di strumenti elettronici volti a definire la personalità ed il profilo dell'interessato Dati sensibili raccolti in banche dati al fine della selezione personale conto terzi Dati registrati in banche dati elettroniche relativi a rischi solvibilità economica, situazione partimoniale e comportamenti illeciti o fraudolenti.

12 11-nov-2004 sommaruga andrea redatto con OpenOffice IT Dlg 196/2003: Comunicazione Garante La comunicazione al Garante è possibile solo via telematica con apposizione della firma digitale e con pagamenti telematici via carta di credito. Deve essere fatta una sola volta prima di iniziare il trattamento

13 11-nov-2004 sommaruga andrea redatto con OpenOffice IT Dlg 196/2003: Illeciti Penali La Legge prevede delle sanzioni anche molto pesanti per le violazioni al Codice della Privacy. La violazione più grave resta il trattamento illecito di dati personali per il quale sono previste pene con reclusione da 6 mesi a tre anni a seconda dei casi.

14 11-nov-2004 sommaruga andrea redatto con OpenOffice IT Dlg 196/2003: Utilizzo dati pubblici CAPO II - REGISTRI PUBBLICI ED ALBI PROFESSIONALI Art. 61. Utilizzazione di dati pubblici 1. Il Garante promuove, ai sensi dell’articolo 12, la sottoscrizione di un codice di deontologia e di buona condotta per il trattamento dei dati personali provenienti da archivi, registri, elenchi, atti o documenti tenuti da soggetti pubblici, anche individuando i casi in cui deve essere indicata la fonte di acquisizione dei dati e prevedendo garanzie appropriate per l’associazione di dati provenienti da più archivi, tenendo presente quanto previsto dalla Raccomandazione n. R (91)10 del Consiglio d’Europa in relazione all’articolo Agli effetti dell’applicazione del presente codice i dati personali diversi da quelli sensibili o giudiziari, che devono essere inseriti in un albo professionale in conformità alla legge o ad un regolamento, possono essere comunicati a soggetti pubblici e privati o diffusi, ai sensi dell’articolo 19, commi 2 e 3, anche mediante reti di comunicazione elettronica. Può essere altresì menzionata l’esistenza di provvedimenti che dispongono la sospensione o che incidono sull’esercizio della professione. 3. L’ordine o collegio professionale può, a richiesta della persona iscritta nell’albo che vi ha interesse, integrare i dati di cui al comma 2 con ulteriori dati pertinenti e non eccedenti in relazione all’attività professionale. 4. A richiesta dell’interessato l’ordine o collegio professionale può altresì fornire a terzi notizie o informazioni relative, in particolare, a speciali qualificazioni professionali non menzionate nell’albo, ovvero alla disponibilità ad assumere incarichi o a ricevere materiale informativo a carattere scientifico inerente anche a convegni o seminari.

15 11-nov-2004 sommaruga andrea redatto con OpenOffice IT Dlg 196/2003: Informativa L'informativa è una lettera inviata a tutti i soggetti di cui si raccolgono i dati per metterli al corrente delle modalita' e della finalità del trattamento dei loro dati e per ricordare che la Legge prevede il diritto di accesso / rettifica dei dati raccolti. Le lettere informative inviate precedentemente ai sensi del DPR 318/99 devono essere reinviate.

16 11-nov-2004 sommaruga andrea redatto con OpenOffice IT Dlg 196/2003: Consenso Il consenso è un dodumento che viene fatto preventivamente firmare dai soggetti dei quali si deve raccogliere i dati. La richiesta di consenso preventivo è obbligatoria qualora si raccolgano dati sensibili. Non c'e' obbligo di consenso per la raccolta di dati necessari all'adempimento di obblighi di Legge. Il consenso richiesto ai sensi del DPR 318/99 non ha più valore.

17 11-nov-2004 sommaruga andrea redatto con OpenOffice IT Dlg 196/2003: DPS Il DPS è un documento che descrive le procedure da adottare per rendere sicuro il trattamento dei dati effettuato sia manualmente che con l'ausilio di materiale elettronico o audiovisivo.

18 11-nov-2004 sommaruga andrea redatto con OpenOffice IT Dlg 196/2003: DPS Il DPS deve contenere a grandi linee: Elenco dei trattamenti Compiti e responsabilita' Analisi dei rischi Contromisure Piano di Disaster/Recovery Formazione continua

19 11-nov-2004 sommaruga andrea redatto con OpenOffice IT Dlg 196/2003: DPS Nell'Elenco trattamenti deve descrivere Tipi dati trattati Incaricati al trattamento Responsabile del trattamento Tipologia ed ubicazione banche dati

20 11-nov-2004 sommaruga andrea redatto con OpenOffice IT Dlg 196/2003: DPS Tra i compiti e le responsabilità si devono dettagliare le seguenti figure: Sicurezza Responsabile del trattamento Responsabile del ced Amministratore di sistema Controllo Persona delegata ad effettuare una verifica annuale alla correttezza delle norme

21 11-nov-2004 sommaruga andrea redatto con OpenOffice IT Dlg 196/2003: DPS Analisi dei Rischi Fattori di rischio ed entità del rischio Cadute di tensione, blackout Guasti Hardware Problemi software Errori umani Minacce esterne Intrusioni Furti di hardvare Furti di documenti o tabulati Furti di password

22 11-nov-2004 sommaruga andrea redatto con OpenOffice IT Dlg 196/2003: DPS Contromisure da adottare Protezione dei dati Misure fisiche (antifurto, chiavi ecc) Protezione sistemi informativi (firewall, antivirus...) Backup periodici (backup giornalieri, mensili, annuali) Password e Log e Controlli Utilizzo password cambiate ogni 60 gg Verifica periodica LOG dei firewall e degli antivirus Verifica funzionamento backup Procedure di verifica e Controllo Verifica rispetto DPS e regolamenti Verifica porogrammi installati sulle macchine

23 11-nov-2004 sommaruga andrea redatto con OpenOffice IT Dlg 196/2003: DPS Disaster Recovery Il Responsabile dei backup deve: Conservare con cura i nastri di backup in luogo idoneo e non accessibile. (non nella stessa sede del CED) Il Responsabile del trattamento deve: Identificare un eventuale sede alternativa per il recovery in caso di danni gravi ai locali CED Accordi con i fornitori per avere le macchine in caso di disastro in un tempo massimo stabilito. Mantenere una lista aggiornata delle licenze del software installato e dei manuali operativi per il ripristino dei sistemi.

24 11-nov-2004 sommaruga andrea redatto con OpenOffice IT Dlg 196/2003: DPS Formazione Permanente La sicurezza non è un fatto statico ma: Deve essere prevista una revisione periodica del DPS (al massimo annuale) Devono essere previsti degli eventi formativi per illustrare agli Incaricati le eventuali variazioni procedurali Deve essere adottato un regolamento interno per l'utilizzo delle attrezzature elettroniche Deve essere prevista la fase formativa per tutti gli eventuali neoassunti o collaboratori esterni

25 11-nov-2004 sommaruga andrea redatto con OpenOffice IT Dlg 196/2003: Ultima osservazione sul DLG 196/2003 la norma, nel caso di attrezzature informatiche, prevede tutti adempimenti a carico dell'utente finale dei programmi. In fase di acquisto di nuovo software, sia che si tratti di un sistema operativo o che si tratti di un programma di videoscrittura, conviene richiedere al fornitore la Certificazione del programma acquistato ai sensi del DLG 196/2003. Probabilmente il fornitore non vorrà rilasciare la certificazione ma è corretto ?

26 11-nov-2004 sommaruga andrea redatto con OpenOffice IT Open Source: La Licenza Come tutte le cose nel mondo dell'Open Source anche questa presentazione è coperta da licenza d'uso: Copyright (c) 2004 – Ing. Sommaruga Andrea Guido viale tunisia, Milano è garantito il permesso di copiare, distribuire e/o modificare questo documento seguendo i termini della Licenza per Documentazione Libera GNU, Versione 1.2, oppure ogni versione successiva pubblicata dalla Free Software Foundation; senza Sezioni Non Modificabili senza Testi Copertina senza Testi di Retro Copertina Mantenendo intatte le indicazioni di Copyright (c) la versione originale in inglese della licenza è disponibile su