Incontro: Il Codice in materia di protezione dei Dati Personali 27/06/2018

Codice in Materia di PROTEZIONE DEI DATI PERSONALI

La legge 675/1996 Tutela della Privacy. .. Nel 1996 il legislatore ha emanato la prima normativa in tema di tutela dei dati personali. La legge 675/1996 Tutela della Privacy. L’obiettivo dichiarato era quello di evitare un uso distorto ed indesiderato di tutta una serie di informazioni personali. La legge 675/96 ha istituito la figura del GARANTE DELLA PRIVACY. Nel corso degli anni sono state affinate le norme con la emanazione di “Autorizzazioni” e “Circolari”.

CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI ... Dopo varie sollecitazioni, per mettere ordine alla evoluzione normativa e tenendo conto della casistica riscontrata, il Legislatore nel 2001 ha approvato la legge delega n. 127 che impegnava il Governo ad adottare un nuovo Codice in materia di protezione dei dati personali... Decreto Legislativo n. 196 del 30 giugno 2003 pubblicato nella Gazzetta Ufficiale della Repubblica Italiana n. 174 del 29 luglio 2003 Supplemento n. 123 CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI

COSA C’E’ DI NUOVO?

VINCOLI OPPORTUNITA’

Analisi dei trattamenti effettuati della tipologia di dati trattati struttura di gestione dei dati

E’ necessario mettere in atto le azioni previste Se si trattano dati sensibili con elaboratori elettronici è necessario redarre il Documento Programmatico Se si trattano dati particolari è dovuta: la NOTIFICA ALL’UFFICIO DEL GARANTE E’ necessario mettere in atto le azioni previste

LE PAROLE DELLA PRIVACY Principio di necessità nel trattamento dei dati I sistemi informativi e i programmi informatici sono configurati riducendo al minimo l'utilizzazione di dati personali e di dati identificativi, in modo da escluderne il trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante, rispettivamente, dati anonimi od opportune modalità che permettano di identificare l'interessato solo in caso di necessità. Dati Sensibili Sono i dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale

LE PAROLE DELLA PRIVACY (2) Titolare La persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza; Responsabile La persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali; Incaricati Le persone fisiche autorizzate a compiere operazioni di trattamento dal titolare o dal responsabile;

LE PAROLE DELLA PRIVACY (3) Interessato La persona fisica, la persona giuridica, l'ente o l'associazione cui si riferiscono i dati personali; Banca di dati Qualsiasi complesso organizzato di dati personali, ripartito in una o più unità dislocate in uno o più siti.

Valutazione sui In concreto cosa deve fare una impresa? Se dovuta: trattamenti eseguiti e sulla tipologia di dati trattati Se dovuta: NOTIFICAZIONE Redazione Documento Programmatico Messa in atto delle Misure Minime di Sicurezza Redazione Informativa all’ Interessato Raccolta del Consenso dell’ Interessato AGGIORNAMENTO CONTINUO DEL DOCUMENTO PROGRAMMATICO IN BASE ANCHE ALLA EVOLUZIONE TECNOLOGICA

L’ INFORMATIVA L'interessato o la persona presso la quale sono raccolti i dati personali sono previamente informati oralmente o per iscritto circa: a) le finalità e le modalità del trattamento cui sono destinati i dati; b) la natura obbligatoria o facoltativa del conferimento dei dati; c) le conseguenze di un eventuale rifiuto di rispondere; d) i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati, e l'ambito di diffusione dei dati medesimi; e) i diritti di cui all'articolo 7; .

L’ INFORMATIVA f) gli estremi identificativi del titolare e, se designati, del rappresentante nel territorio dello Stato ai sensi dell'articolo 5 e del responsabile. Quando il titolare ha designato più responsabili è indicato almeno uno di essi, indicando il sito della rete di comunicazione o le modalità attraverso le quali è conoscibile agevolmente l'elenco aggiornato dei responsabili. Se i dati personali non sono raccolti presso l'interessato, l'informativa di cui al comma 1, comprensiva delle categorie di dati trattati, è data al medesimo interessato all'atto della registrazione dei dati o, quando è prevista la loro comunicazione, non oltre la prima comunicazione.

IL CONSENSO 1. Il trattamento di dati personali da parte di privati o di enti pubblici economici è ammesso solo con il consenso espresso dell'interessato. 2. Il consenso può riguardare l'intero trattamento ovvero una o più operazioni dello stesso. 3. Il consenso è validamente prestato solo se è espresso liberamente e specificamente in riferimento ad un trattamento chiaramente individuato, se è documentato per iscritto, e se sono state rese all'interessato le informazioni di cui all'articolo 13. 4. Il consenso è manifestato in forma scritta quando il trattamento riguarda dati sensibili.

IL CONSENSO 1. Il consenso non è richiesto, oltre che nei casi previsti nella Parte II, quando il trattamento: a) è necessario per adempiere ad un obbligo previsto dalla legge, da un regolamento o dalla normativa comunitaria; b) è necessario per eseguire obblighi derivanti da un contratto del quale è parte l'interessato o per adempiere, prima della conclusione del contratto, a specifiche richieste dell'interessato; c) …………….

Il Documento Programmatico entro il 31 marzo di ogni anno, il titolare di un trattamento di dati sensibili o di dati giudiziari redige anche attraverso il responsabile, se designato, un documento programmatico sulla sicurezza contenente idonee informazioni riguardo: - l'elenco dei trattamenti di dati personali; - la distribuzione dei compiti e delle responsabilità … - l'analisi dei rischi che incombono sui dati; - le misure da adottare per garantire l'integrità e la disponibilità dei dati, nonché la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità; - la descrizione dei criteri e delle modalità per il ripristino ...dei dati; - la previsione di interventi formativi - la descrizione dei criteri da adottare per garantire l'adozione delle misure minime di sicurezza in caso di trattamenti .. affidati.. all'esterno ..;

Vanno definite con il Documento programmatico modalità di accesso ai dati per i soli soggetti incaricati di farlo (muniti di parola chiave, codici identificativi, caratteristiche biometriche, etc.) mediante sistemi di autorizzazione che consentano l’accesso previa identificazione informatica: adozione di procedure per la generazione e la custodia di copie di sicurezza e per il ripristino della disponibilità dei dati e dei sistemi; documento programmatico (da aggiornare ogni anno entro il 31 marzo) esteso a tutti i trattamenti di dati sensibili/giudiziari effettuati con strumenti elettronici; adozione di tecniche di cifratura o di separazione dei dati relativi a salute e vita sessuale, da parte di esercenti professioni sanitarie.

Altre Prescrizioni Notevole è la prescrizione che nella relazione del bilancio d’esercizio (quando dovuta) il titolare debba riferire sulla redazione ed aggiornamento del documento programmatico. Non meno importante, specie per le piccole e medie imprese, che per mancanza di competenza specifica debbono necessariamente rivolgersi ad installatori esterni, è il diritto di pretendere dall’installatore una dichiarazione scritta che descriva l’intervento effettuato e lo attesti conforme alle norme del disciplinare.

Si fondano su due livelli:. LE MISURE DI SICUREZZA Si fondano su due livelli:. misure idonee contro i rischi di un’attività pericolosa (art. 2050 C.C.), affidate alla discrezionalità del titolare, che sarà sempre tenuto al risarcimento del danno ove non fornisca la difficile prova di aver fatto tutto il possibile tecnicamente per evitarlo; misure minime di sicurezza prescritte dal Codice con apposito disciplinare allegato, che comportano sanzioni penali se non adottate Nel disciplinare tecnico ci sono ben 29 prescrizioni dettagliate, che potranno essere periodicamente aggiornate con decreto ministeriale – senza toccare il Codice – in base all’esperienza maturata e all’evoluzione tecnologica

LE MISURE DI SICUREZZA Le finalità degli obblighi imposti – per i trattamenti “con” o “senza” l’ausilio di mezzi elettronici – consistono nella custodia e nel controllo dei dati (mediante l’adozione di preventive misure di sicurezza) così da ridurre al minimo i rischi: di loro distruzione o perdita anche accidentale; di accesso non autorizzato; di trattamento non consentito o difforme dalle finalità della raccolta.

LA NOTIFICAZIONE La NOTIFICAZIONE è obbligatoria solo per i titolati che effettuano i trattamenti espressamente indicati nella norma. (con la legge 675/96 la notifica era una azione obbligatoria e preventiva in caso di trattamento di dati) Sono obbligati alla notificazione preventiva, e comunque in prima applicazione entro il 30 aprile 2004, tutti i i Titolari che trattano i dati elencati all’ art. 37 del Codice. A Titolo esemplificativo: Dati Genetici e biometrici Dati idonei a rilevare lo stato di salute e vita sessuale ... Dati atti a rivelare la vita sessuale o sfera psichica ... Dati trattati con strumenti … atti a definire il profilo …. Dati Sensibili registrati in banche dati …. Dati registrati …con strumenti …relativi ..alla solvibilità...

LA NOTIFICAZIONE La NOTIFICAZIONE va presentata sempre in termini preventivi al Garante. Va fatta una sola volta e per tutti i trattamenti effettuati. Per tutti i trattamenti soggetti alla applicazione della Legge 675/96 la notifica va rifatta entro il termine del 30 aprile 2004 Nuovi titolari devono dare la notificazione prima di iniziare il trattamento stesso. Tutte le notificazioni vanno fatte in via telematica dal sito https://web.garanteprivacy.iy/rgt/ La notificazione va sottoscritta con Firma Digitale e accompagnata con un versamento di 150,00 euro di diritti di segreteria

DIRITTI DELL'INTERESSATO L'interessato ha diritto di ottenere la conferma dell'esistenza o meno di dati personali che lo riguardano, anche se non ancora registrati, e la loro comunicazione in forma intelligibile. L'interessato ha diritto di ottenere l'indicazione: a) dell'origine dei dati personali; b) delle finalità e modalità del trattamento; c) della logica applicata in caso di trattamento effettuato con l'ausilio di strumenti elettronici; d) degli estremi identificativi del titolare, dei responsabili e del rappresentante designato ai sensi dell'articolo 5, comma 2; e) dei soggetti o delle categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di rappresentante designato nel territorio dello Stato, di responsabili o incaricati.

Incontro: Il Codice in materia di protezione dei Dati Personali 27/06/2018 DIRITTI DELL'INTERESSATO L'interessato ha diritto di opporsi, in tutto o in parte: a) per motivi legittimi al trattamento dei dati personali che lo riguardano, ancorché pertinenti allo scopo della raccolta; b) al trattamento di dati personali che lo riguardano a fini di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale. L'interessato ha diritto di ottenere: a) l'aggiornamento, la rettificazione ovvero, quando vi ha interesse, l'integrazione dei dati; b) la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge, compresi quelli di cui non è necessaria la conservazione in relazione agli scopi per i quali i dati sono stati raccolti o successivamente trattati; c) l'attestazione che le operazioni di cui alle lettere a) e b) sono state portate a conoscenza, anche per quanto riguarda il loro contenuto, di coloro ai quali i dati sono stati comunicati o diffusi, eccettuato il caso in cui tale adempimento si rivela impossibile o comporta un impiego di mezzi manifestamente sproporzionato rispetto al diritto tutelato.

Incontro: Il Codice in materia di protezione dei Dati Personali 27/06/2018 Misure Minime di Sicurezza FIREWALL ANTIVIRUS PASSWORD PROTEZIONI CREDENZIALI FORMAZIONE USER NAME BACKUP RIPRISTINO BLOCCHI ACCESSO LETTERE INCARICO AUTORIZZAZIONI