LA PRIVACY IN 4 PASSI Nella diapositiva successiva troverete uno schema che riassume gli aspetti principali della “PRIVACY” L’obiettivo è quello di descrivervi la logica con cui va affrontata questa normativa e indicarvi se non altro le cose essenziali. Se qualche passaggio non è chiaro, passate col mouse sulle icone colorate, comparirà la manina, cliccate e troverete la spiegazione! Oppure contattate il Settore Privacy di Programma Radon al n. 02/29408650

Procedure – Informazione Interessato Informativa Consenso RACCOLTA DATI Classificazione Dati Misure di Sicurezza Organizzazione Dati/Archivi Analisi dei Rischi D.P.S. Comunicazione Diffusione Cancellazione Incaricati Procedure – Informazione Formazione Trattamenti Informatici Cartacei

INTERESSATO L’interessato è la persona fisica, la persona giuridica, l'ente o l'Associazione cui si riferiscono i dati personali. Ha diritto a: accesso gratuito al Registro generale dei trattamenti essere informato dal titolare in merito alle finalità e alle modalità del trattamento ottenere dal titolare subito: informazioni su dati che lo riguardano con lista, origine, logica e finalità del/i trattamento/i pretendere e ottenere cancellazione o trasformazione in forma anonima o blocco dei dati personali trattati in violazione della Legge pretendere e ottenere aggiornamenti, rettifiche, integrazioni ottenere attestazione scritta che le due precedenti operazioni siano state portate a conoscenza (chiara!) di coloro ai quali sono stati, sono e saranno comunicati / diffusi opporsi in tutto o in parte - per motivi legittimi - al trattamento dei dati personali, ancorché pertinenti allo scopo dichiarato della raccolta Inoltre è necessario chiedergli il consenso per la diffusione di informazioni commerciali o di materiale pubblicitario, vendita diretta, ricerche di mercato... INDIETRO

Raccolta dati E’ la fase in cui i dati vengono trasmessi da un soggetto (INTERESSATO) ad un altro soggetto (TITOLARE) al fine di gestire o portare a termine un determinato servizio, rapporto o contratto. Una volta acquisiti tali dati, il titolare li sottoporrà a determinati TRATTAMENTI che devono essere chiariti, descritti e concordati con l’interessato stesso. A tal proposito viene redatta l’ INFORMATIVA , un documento destinato all’interessato nel quale vengono descritti i trattamenti , modalità, soggetti terzi cui vengono comunicati (...) e, qualora sia necessario, viene richiesto il consenso. INDIETRO

Informativa Le informative all’interessato o a chi fornisce i Dati sono effettuate per iscritto e in esse devono essere riportate le seguenti informazioni essenziali: Finalità della raccolta e successivo trattamento Modalità del trattamento Natura obbligatoria/facoltativa del trattamento Conseguenze eventualmente associate all’eventuale rifiuto di fornire i Dati Soggetti/categorie di soggetti cui i Dati raccolti possono venir comunicati e il relativo ambito di diffusione Titolare della Banca Dati Responsabile del trattamento (se nominato) INDIETRO

Consenso Il Consenso è sempre strettamente legato ad un’informativa e riguarda esclusivamente i Trattamenti di dati sensibili o giudiziari i Trattamenti dei dati ordinari non coperti da ipotesi di deroga Le ipotesi di deroga (ossia quei trattamenti per i quali il consenso si dà per acquisito) previste dal Garante sono: Obblighi di legge Stipula di contratti Provengono da fonti consultabili da chiunque Finalizzati unicamente a scopi di ricerca scientifica o statistica, e si tratta di dati anonimi Attività di giornalista Svolgimento di attività economiche (Dati statistici, ricerche di mercato, ecc.) Salvaguardia della salute ed incolumità delle persone Svolgimento di investigazioni o comunque per la tutela dei diritti in sede giudiziaria INDIETRO

Analisi dei rischi Il Titolare della Banca Dati deve garantire che il dato sia "sicuro“, e quindi deve assicurarsi che : Sia lecitamente acquisito Sia lecitamente utilizzato, in funzione dell'informativa ed eventuale consenso rilasciato dall'interessato Sia specificato con quali modalità deve essere custodito Siano state considerate a quali condizioni e con quali modalità e per quali finalità può essere comunicato a terzi A quali condizioni e con quali modalità sia lecita la cessazione del trattamento Siano state considerate le implicazioni della natura del dato in caso di sua qualificazione come “sensibile” o “particolare” Siano state assunte le “Misure Minime di Sicurezza” ex All. B Siano stati tutti formalmente incaricati e formati tutti gli operatori coinvolti nei trattamenti I “delegati” esterni chiamati ad effettuare operazioni sui Dati abbiano tutti garantito la corretta applicazione delle norme e, se del caso, abbiano certificato gli interventi Il tutto viene riportato per iscritto nel Documento Programmatico per la Sicurezza dei Dati INDIETRO

Misure di sicurezza Quando si acquisiscono dati di altri soggetti è necessario verificare il complesso delle misure tecniche, informatiche, organizzative, logistiche e procedurali di sicurezza che configurano il livello minimo di protezione richiesto in relazione ai rischi previsti nell'art.31 del decreto 196/03. Infatti: Art. 33 Misure minime: Nel quadro dei più generali obblighi di sicurezza di cui all'art. 31, o previsti da speciali disposizioni, i titolari del trattamento sono comunque tenuti ad adottare le misure minime individuate nel presente capo (...), volte ad assicurare un livello minimo di protezione dei dati personali. In funzione degli strumenti utilizzati per trattare i dati le misure possono essere distinte in logiche, fisiche, organizzative. Le 29 regole minime da applicare sono riportate nell’All. B al decreto 196/03 INDIETRO

Classificazione dei dati I dati trattati sono distinguibili in : SENSIBILI: origine razziale ed etnica; convinzioni religiose, filosofiche o di altro genere; le opinioni politiche; l'adesione a partiti, sindacati,associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale; i dati personali idonei a rivelare lo stato di salute e la vita sessuale; sono i dati personali idonei a rivelare GIUDIZIARI: provvedimenti di iscrizione al casellario giudiziale (con l’esclusione dei fallimenti e delle interdizioni); anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti; la qualità di imputato o di indagato ai sensi degli art. 60 e 61 del codice di procedura penale ORDINARI: Codice fiscale ed altri numeri di identificazione personale; Nominativo, indirizzo o altri elementi di identificazione personale ; Dati relativi alla famiglia e a situazioni personali ; Lavoro; Attività economiche, commerciali, finanziarie e assicurative ; istruzione e cultura ; Beni, proprietà, possessi; Dati sul comportamento ; Abitudini di vita o di consumo ; Ogni altro dato comunque riferibile a un soggetto determinato (fotografie, tessere di iscrizione, targa dei mezzi di trasporto, ecc.) INDIETRO

Organizzazione dati Al fine di una corretta gestione dei dati è necessario considerare diversi aspetti, con ordine e razionalità: individuare le finalità dei trattamenti classificare i dati personali : sensibili e giudiziari e relativi supporti ordinari - situazioni di deroga Individuare le categorie di interessati Definire l’ambito di comunicazione e di diffusione dei dati Effettuare l’analisi dei rischi Definire le modalità del trattamento Fare una descrizione generale delle misure adottate per la sicurezza dei dati Il tutto poi trova una valenza documentale nel Documento Programmatico per la Sicurezza dei dati, nel quale viene descritta la situazione aziendale dal punto di vista Privacy INDIETRO

Incaricati Gli incaricati sono le persone fisiche autorizzate a compiere operazioni di trattamento dal titolare o dal responsabile. Ciò vuol dire che nel momento in cui un’azienda acquisisce dei dati e li mette a disposizione dei propri dipendenti o collaboratori affinchè svolgano il loro lavoro, automaticamente li incarica di effettuare determinati trattamenti. E’ quindi responsabilità dell’azienda verificare che costoro siano al corrente delle procedure aziendali per il trattamento dati, delle misure di sicurezza adottate, delle modalità che sono state concordate con l’interessato. E a tal proposito è necessario fornire loro adeguata formazione in materia di privacy e attribuirgli incarico formale per lo specifico trattamento che costoro sono chiamati a svolgere sui dati di cui l’azienda è titolare. INDIETRO

Trattamenti Per gestire correttamente i dati in nostro possesso è fondamentale innanzitutto sapere a quali trattamenti tali dati saranno soggetti. Innanzitutto i trattamenti sono una qualunque operazione o complesso di operazioni, effettuati anche senza l'ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca dati. In funzione poi degli strumenti utilizzati possono essere distinti in cartacei ed informatici. INDIETRO

Comunicazione diffusione cancellazione Nell’ambito privacy la più grande assunzione di responsabilità si assume nei cosidetti trattamenti in uscita: COMUNICAZIONE: il dare conoscenza dei dati personali a uno o più soggetti DETERMINATI diversi dall'interessato, dal rappresentante del titolare nel territorio dello Stato, dal responsabile e dagli incaricati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione DIFFUSIONE: il dare conoscenza dei dati personali a soggetti INDETERMINATI, in qualunque forma, anche mediante la loro messa a disposizione o consultazione CANCELLAZIONE O DISTRUZIONE Le modalità con cui tali operazioni vengono effettuate devono essere chiaramente descritte e concordate con l’interessato. INDIETRO