IL NUOVO TESTO UNICO IN MATERIA DI PRIVACY

Slides:



Advertisements
Presentazioni simili
Convegno di Studi su Internet e Diritto - Milano, 16 e 17 Ottobre 2003 Convegno di Studi su Internet e Diritto - Milano, 16 e 17 Ottobre 2003 Ing. Andrea.
Advertisements

Codice della Privacy Il d. lgs. n°196 del 30 giugno 2003.
LA PRIVACY IN 4 PASSI Nella diapositiva successiva troverete uno schema che riassume gli aspetti principali della “PRIVACY” L’obiettivo è quello di descrivervi.
Struttura del codice sulla privacy:
Firenze - 27 Aprile 2002 Salone de'Dugento Palazzo Vecchio E-privacy, riservatezza e diritti individuali in rete: difendersi dal Grande Fratello nel terzo.
Aspetti Tecnici e Requisiti IT
CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI D.Lgs. 30 giugno 2003 n. 196 Entrato in vigore il 1° gennaio 2004 sostituisce L. 675/96; Recepisce:
CORSO PRIVACY PARTE GENERALE
Decreto legislativo 196/2003 ed il MEDICO DEL LAVORO Adempimenti correlati al Decreto Legislativo 196/2003 nella nostra attività professionale quotidiana.
CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI
1 SANZIONI 1.Mancata informativa : Sanzione da a euro. Sanzione da a euro in caso di dati sensibili o giudiziari (oppure di trattamenti.
Eutekne – Tutti i diritti riservati Il Codice della Privacy (DLgs. 196/2003) e le Associazioni Sportive Avv. Stefano Comellini.
Diritto di accesso e privacy
LA NORMATIVA DI RIFERIMENTO
PRIVACY E SICUREZZA Normativa e adempimenti
1 La protezione dei dati D.lgs. 196/2003 Il Codice in materia di Protezione dei dati personali.
Chiocciola S.r.l. – Riproduzione vietata – Guarene, 24 maggio 2006 Dal 1996… un obbiettivo strategico: la sicurezza a 360° LUCIANO CORINO Chiocciola Consulting.
Università di Udine Facoltà di Scienze MM. FF. NN. COMPITI E MANSIONI DELL'AMMINISTRATORE DI SISTEMA NELLA NORMATIVA SULLA PRIVACY Paolo Fritz.
La tutela dei dati personali
Impresa e Privacy. Il trattamento dei dati deve essere eseguito nel rispetto dei diritti e delle libertà fondamentali, della dignità della persona, con.
Autore TECNOCHORA SPA - AREA INFORMATION TECHNOLOGY La Privacy Formazione del personale interno Materiale riservato. Proprietà di Tecnochora spa. Vietata.
Il nuovo Codice sulla Privacy nella scuola
Novità in materia di PRIVACY 23 febbraio 2012 Relatore: Gianni Festi.
PRIVACY SCUOLA a cura di DOTT. MANGANIELLO MARCO
ISTAT DCRS Novità organizzative e legislative per il PSN (Roma, 24 giugno 2009) Maria Rosaria Simeone (Dirigente Servizio DCRS/IST) Impatto della normativa.
SICUREZZA OBBLIGATORIA: COSA CAMBIA NELLA FORMAZIONE? Incontro con SPISAL sul nuovo Accordo Stato - Regioni 1 marzo 2012.
Riproduzione riservata
“Testo Unico sulla Privacy”
Dlgs. 196/ Da onere burocratico a opportunità aziendale Testo unico che integra, sotituisce e abroga i precedenti D. lgs.: 675 del 31/12/1996:
Convegno il fattore sicurezza slide n. 1 La messa a norma per il trattamento dei dati personali (privacy) Ing. Piero Giagnoni Milano, 4 dicembre 2001.
Ordine degli Ingegneri della Provincia di Napoli Commissione Informatica 1 Seminario sulla Sicurezza e sulla Protezione dei Dati Personali Napoli 11 novembre.
FORMAZIONE DEL PERSONALE DOCENTE E A.T.A. I.T.C. “C. DEGANUTTI” UDINE
Il nuovo Codice in materia di protezione dei dati personali.
“Misure minime di sicurezza: adempimenti tecnici e organizzativi”
La tutela dei dati personali
Seminario informativo sulle problematiche della trasmissione telematica delle dichiarazioni Privacy e sicurezza: Gli obblighi in tema di riservatezza -
DOCUMENTO PROGRAMMATICO SULLA SICUREZZA
Brochure Privacy Con la nuova legge privacy diventa obbligatorio adottare un vero e proprio Sistema di Sicurezza Aziendale che protegga tutti i dati, siano.
1 20 maggio 2005 MISURE DI SICUREZZA INFORMATICA DEL NUOVO CODICE DELLA PRIVACY (d.lgs. 30 giugno 2003, n. 196)
D. Lgs 196/2003 Codice in materia di protezione dei dati personali.
22 MARZO ORE 15,00 Sei in regola con gli obblighi in materia di sicurezza e privacy? Consigli pratici per adeguarsi… Piermaria Saglietto.
D.L.196 del 30 giugno 2003 codice in materia di protezione dei dati personali Scuola elementare statale IV Circolo di Lodi.
PRIVACY: Adempimenti e Opportunità
La sicurezza delle reti informatiche : la legge sulla Privacy
20 maggio 2005 CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI (d.lgs. 30 giugno 2003, n. 196)
20 maggio CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI (d.lgs. 30 giugno 2003, n. 196) Formatore:
IL CODICE DELLA PRIVACY
Iniziativa realizzata nellambito delle attività di promozione del CSV Irpinia Solidale1 Progetto: Consumatori Informati – cod. 310/ giugno 2009.
Sicur318 versione 2004 •Il software ha l’obbiettivo di supportare aziende e professionisti nell’attività di adeguamento alle misure minime di sicurezza.
INFORMATION SECURITY POLICY TNT GLOBAL EXPRESS Come nasce una politica di sicurezza dei dati e delle informazioni Dott. Raffaele D’Amato Resp. Ufficio.
Codice della Privacy e sanzioni
Pubblicità legale (Albo on-line)
Nozioni basilari in materia di Privacy
 Programma  Concetto di privacy  Fonti normative e loro evoluzione  Definizioni: figure sogg. e terminologie  Adempimenti  Misure di sicurezza 
Interessato: Informativa e diritti L’Art. 7 definisce i diritti dell’interessato: Ottenere Informativa Preventiva sulle finalità e le modalità del trattamento.
Azienda Ospedaliera San Giovanni Addolorata: Compiti dei responsabili e referenti privacy Avv. Giovanni Guerra.
Azienda Ospedaliera San Giovanni Addolorata Privacy: Misure Minime di Sicurezza Gianpiero Guerrieri Dirigente Analista I.C.T.
Obblighi rispetto alla tutela della Privacy Dlgs 196/2003.
CORSO DI AGGIORNAMENTO ADEMPIMENTI PER LA TUTELA DELLA PRIVACY ANNO 2008.
Principio di necessità nel trattamento dei dati (art.3 codice privacy)
R:\2.Scambio\Normativa_Privacy
Misure di Sicurezza per gli Strumenti Elettronici Gianpiero Guerrieri Dirigente Analista Responsabile I.C.T.
E. Bovo INFN1 Documento informatico e comunicazioni elettroniche. Tutela dei dati ed efficacia delle comunicazioni. Castiadas (CA) Eleonora.
© R. Larese Le Misure Minime di Sicurezza secondo il Testo Unico sulla Privacy Dr. Riccardo Larese Gortigo Consulente - Ass. Industriali di Vicenza.
Le associazioni possono costituirsi:
D.Lgs 196/03: Tutela della privacy
Associazione Industriale Bresciana 24 giugno 2004 TRATTAMENTI SENZA L’AUSILIO DI STRUMENTI ELETTRONICI (ART. 35 DEL CODICE) Aggiornamento periodico dell’individuazion.
Le policy aziendali relative al trattamento di dati sensibili ed informazioni riservate novembre2015.
Associazione Industriale Bresciana 23 giugno 2004 PRIVACY ORGANIZZAZIONE E PRINCIPALI ADEMPIMENTI Decreto legislativo 30 giugno 2003, n. 196 Associazione.
Decreto legislativo 30 giugno 2003, n. 196 “Codice in materia di protezione dei dati personali”
Transcript della presentazione:

IL NUOVO TESTO UNICO IN MATERIA DI PRIVACY Dott. Luca Leone

CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI D.lgs. 30 giugno 2003, n. 196 G.U. 29 luglio 2003, n. 174 S.O.

CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI Il Codice si compone di 3 parti + Allegati: Parte I – Disposizioni generali Parte II – Disposizioni relative a specifici settori Parte III – Tutela dell’interessato e sanzioni Allegati Codici deontologici Disciplinare tecnico in materia di misure minime di sicurezza Trattamenti non occasionali effettuati in ambito giudiziario o per fini di polizia

IL CODICE IN AZIENDA

L’ORGANIGRAMMA PRIVACY Titolare Responsabile Incaricati

TITOLARE DEL TRATTAMENTO (Art. 28) è l’azienda nel suo complesso il consiglio di amministrazione incarica una persona a rappresentare il titolare (es. l’Amministratore delegato)

RESPONSABILE (Art. 29) nomina facoltativa interni ed esterni nomina necessaria in aziende con organizzazioni complesse più nomine a seconda della complessità aziendale la nomina del responsabile è una garanzia di tutela per il titolare la nomina non è un esonero di responsabilità per il titolare: ne costituisce un’attenuazione (soprattutto in tema di responsabilità penale) il responsabile deve ricevere dal titolare precise istruzioni il responsabile deve essere controllato periodicamente dal titolare culpa in vigilando e culpa in eligendo per il titolare

INCARICATO (Art. 30) persona fisica autorizzata, dal titolare o dal responsabile, a compiere operazioni di trattamento dipendente o collaboratore deve attenersi alle istruzioni impartite designazione effettuata per iscritto, individuando puntualmente l’ambito del trattamento consentito facoltà per l’azienda di documentare la preposizione della persona fisica ad una unità per la quale è individuato, per iscritto, l’ambito del trattamento consentito agli addetti all’unità medesima (es: mansionari; job description)

GLI ADEMPIMENTI

NOTIFICA (Art. 37) Generale assenza dell’obbligo Alcuni trattamenti oggetto di notifica: dati genetici, biometrici o dati che indicano la posizione geografica di persone od oggetti mediante una rete di comunicazione elettronica; dati trattati con l’ausilio di strumenti elettronici volti a definire il profilo o la personalità dell’interessato, o ad analizzare abitudini o scelte di consumo; dati sensibili registrati in banche di dati a fine di selezione del personale per conto terzi, nonché dati sensibili per sondaggi di opinione, ricerche di mercato e altre ricerche campionarie. Invio telematico con firma digitale I titolari non tenuti alla notificazione forniscono le notizie contenute nel modello di notifica a chi ne fa richiesta

INFORMATIVA (Art. 13) La novità è costituita dal c.1 lett. d): l’informativa deve indicare “i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venire a conoscenza in qualità di responsabili o incaricati, e l’ambito di diffusione dei dati medesimi” Aggravio per le aziende Necessario un intervento chiarificatore del Garante Il Garante attraverso appositi provvedimenti potrà individuare modalità semplificate per l’informativa fornita da servizi telefonici di assistenza ed informazione al pubblico

CONSENSO (Art.23) Consenso espresso Consenso scritto (+ autorizzazione del Garante) per il trattamento dei dati sensibili Esclusione (art. 24): accorpa l’art. 12 e 20 della L. 675/96 (es: comunicazione tra gruppi societari, nei casi individuati dal Garante) E’ consentita la comunicazione o diffusione di dati richiesta, in conformità alla legge, da forze di polizia, dall’autorità giudiziaria, da organismi di informazione e sicurezza

DIRITTI DELL’INTERESSATO Diritto di accesso (art. 7): diviso in commi per facilitare sia la richiesta dell’interessato che eventuali ricorsi al Garante Esercizio dei diritti (art. 8 ): senza formalità anche per il tramite di un incaricato può avere luogo salvo che concerna la rettificazione o l’integrazione di dati personali di tipo valutativo, relativo a giudizi, opinioni od altri apprezzamenti di tipo soggettivo Modalità di esercizio (art. 9): lettera raccomandata, telefax o posta elettronica Riscontro all’interessato (art. 10): comunicazione anche oralmente comunicazione in forma intelligibile

ALTRE NOVITA’ Principio di necessità (art. 3): i sistemi informativi e i programmi informatici sono configurati riducendo al minimo l’utilizzo di dati personali e di dati identificativi Definizione di dati personali, dati identificativi, dati sensibili, dati giudiziari, dati anonimi Codici deontologici: Lavoro e previdenza sociale Internet e reti telematiche Videosorveglianza Libere professioni e investigazione privata Direct marketing Centrali rischi Annunci di lavoro (art. 113): viene confermata l’applicazione dell’art. 8 L. 300/70 (Statuto dei lavoratori) Controllo a distanza (art. 114): divieto ai sensi dell’art. 4 L. 300/70 (Statuto dei lavoratori)

FORMAZIONE E INFORMAZIONE Deve diffondersi, all’interno dell’azienda, una cultura della privacy Sensibilità da parte dei vertici Corsi di formazione ad hoc per i Responsabili Corsi di formazione ad hoc per gli Incaricati

SICUREZZA DEI DATI E DEI SISTEMI

MISURE DI SICUREZZA minime (artt. 33- 36) idonee (art. 31)

MISURE MINIME DI SICUREZZA Definizione (art. 4, c. 3, lett. a): il complesso delle misure tecniche, informatiche, organizzative, logistiche e procedurali di sicurezza che configurano il livello minimo di protezione richiesto in relazione ai rischi previsti dall’art. 31 Art. 31: rischi di distruzione o perdita anche accidentale dei dati, rischi di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta I titolari del trattamento sono tenuti ad adottare le misure minime, individuate dal Codice, secondo le modalità previste dal Disciplinare Tecnico (allegato B), per assicurare un livello minimo di protezione dei dati personali.

MISURE IDONEE DI SICUREZZA I dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l’adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.

IL CODICE SI DISTINGUE TRA: trattamenti con strumenti elettronici trattamenti senza l’ausilio di strumenti elettronici

TRATTAMENTO CON STRUMENTI ELETTRONICI Il trattamento è consentito solo se: sono adottate le misure minime di sicurezza individuate dal Codice le misure minime di sicurezza sono adottate con le modalità previste dal Disciplinare tecnico (allegato B)

MISURE MINIME INDIVIDUATE DAL CODICE (Art. 34) Autenticazione informatica Procedure di gestione delle credenziali di autenticazione Utilizzazione di un sistema di autorizzazione Aggiornamento periodico dell’individuazione dell’ambito di trattamento consentito agli incaricati e addetti alla gestione e manutenzione degli strumenti elettronici Protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti, accessi non consentiti Procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi Redazione e aggiornamento del Documento Programmatico sulla Sicurezza (DPS) Adozione di tecniche di cifratura o codici identificativi per determinati trattamenti di dati sensibili effettuati da organismi sanitari

Misure minime individuate dal Disciplinare Tecnico (Allegato B) Sistema di autenticazione informatica Il trattamento dei dati è consentito solo agli incaricati dotati di credenziali di autenticazione (codice identificativo + parola chiave riservata conosciuta solo dall’incaricato; dispositivo di autenticazione eventualmente associato a un codice identificativo o a una parola chiave; caratteristica biometrica dell’incaricato eventualmente associata a un codice identificativo o a una parola chiave) Gestione dei codici identificativi: Criteri di definizione e assegnazione individualità non riutilizzabilità validità temporale (disattivazione per mancato utilizzo – 6 mesi – o perdita qualità) criteri di disattivazione

Misure minime individuate dal Disciplinare Tecnico (Allegato B) Gestione delle parole chiave (password): criteri di creazione (almeno 8 caratteri o numero caratteri massimo consentito dal sistema, non banale, ecc.) criteri di gestione ( modifica ogni 6 mesi; 3 mesi in caso di trattamento di dati sensibili) e di custodia Ad ogni incaricato possono essere associate una o più credenziali Il titolare dovrà fornire agli incaricati precise istruzioni in merito: alla gestione e conservazione delle credenziali di autenticazione alla custodia dei dispositivi in possesso e uso esclusivo dell’incaricato alla gestione e custodia dello strumento elettronico durante le sessioni di trattamento individuazione puntuale delle modalità di accesso ai dati, in caso di assenza prolungata o impedimento dell’incaricato, per esigenze organizzative e di sicurezza aziendale Non ha più rilevanza la figura dell’Amministratore di Sistema Rimane la figura del preposto alla custodia della credenziale riservata

Sistema di autorizzazione Misure minime individuate dal Disciplinare Tecnico (Allegato B) Sistema di autorizzazione Profili di autorizzazione (per ciascun incaricato o per classi omogenee): criteri di individuazione preventiva verifiche periodiche (almeno ogni anno) criteri di revoca

Altre misure di sicurezza Misure minime individuate dal Disciplinare Tecnico (Allegato B) Altre misure di sicurezza Aggiornamento periodico e verifiche (almeno ogni anno) dell’ambito di trattamento consentito agli incaricati e redazione della lista degli incaricati installazione e aggiornamento software antivirus (almeno ogni 6 mesi) aggiornamenti periodici dei software volti a prevenire la vulnerabilità di strumenti elettronici e a correggere difetti (annualmente; ogni 6 mesi in caso di trattamento di dati sensibili) istruzioni tecniche e organizzative per il salvataggio dei dati (frequenza settimanale)

Documento Programmatico sulla Sicurezza (DPS) Redatto entro il 31 marzo di ogni anno Deve contenere: l’elenco dei trattamenti di dati personali la distribuzione dei compiti e delle responsabilità nell’ambito delle strutture preposte al trattamento l’analisi dei rischi che incombono sui dati le misure da adottare per garantire l’integrità e la disponibilità dei dati, nonché la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità; la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento

Documento Programmatico sulla Sicurezza (DPS) la previsione di interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare. La formazione è programmata già al momento dell’ingresso in servizio, nonché in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento dei dati la descrizione dei criteri da adottare per garantire l’adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformità al codice, all’esterno della struttura del titolare per i dati personali idonei a rivelare lo stato di salute e la vita sessuale l’individuazione dei criteri da adottare per la cifratura o per la separazione di tali dati dagli altri dati personali dell’interessato (organismi sanitari) Il titolare riferisce, nella relazione accompagnatoria del bilancio d’esercizio, dell’avvenuta redazione o aggiornamento del documento programmatico sulla sicurezza

Ulteriori misure in caso di trattamento di dati sensibili o giudiziari Istruzioni organizzative e tecniche per la custodia e l’uso di supporti rimovibili istruzioni per la distruzione controllata dei supporti e per la cancellazione delle informazioni contenute adozione di idonee misure per il ripristino dei dati in caso di danneggiamento dei dati e/o degli strumenti (7 giorni) Misure di tutela e garanzia Il titolare che adotta misure minime di sicurezza avvalendosi di soggetti esterni alla propria struttura, per provvedere alla esecuzione riceve dall’installatore una descrizione scritta dell’intervento effettuato che ne attesta la conformità alle disposizioni del disciplinare tecnico

TRATTAMENTO SENZA L’AUSILIO DI STRUMENTI ELETTRONICI Il trattamento è consentito solo se: sono adottate le misure minime di sicurezza individuate dal Codice le misure minime di sicurezza sono adottate con le modalità previste dal Disciplinare tecnico (allegato B)

Misure minime individuate dal Codice (Art. 35) aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati o alle unità organizzative previsione di procedure per un’idonea custodia di atti e documenti affidati agli incaricati per lo svolgimento dei relativi compiti previsione di procedure per la conservazione di determinati atti in archivi ad accesso selezionato e disciplina delle modalità di accesso finalizzata all’identificazione degli incaricati

Misure minime individuate dal Disciplinare Tecnico (Allegato B) Agli incaricati sono impartite istruzioni scritte finalizzate al controllo ed alla custodia, per l’intero ciclo necessario allo svolgimento delle operazioni di trattamento, degli atti e dei documenti contenenti dati personali. Nell’ambito dell’aggiornamento periodico con cadenza almeno annuale dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati, la lista degli incaricati può essere redatta anche per classi omogenee di incarico e dei relativi profili di autorizzazione. Quando gli atti e i documenti contenenti dati personali sensibili o giudiziari sono affidati agli incaricati del trattamento per lo svolgimento dei relativi compiti, i medesimi atti e documenti sono controllati e custoditi dagli incaricati fino alla restituzione in maniera che ad essi non accedano persone prive di autorizzazione, e sono restituiti al termine delle operazioni affidate. L’accesso agli archivi contenenti dati sensibili o giudiziari è controllato. Le persone ammesse, a qualunque titolo, dopo l’orario di chiusura, sono identificate e registrate. Quando gli archivi non sono dotati di strumenti elettronici per il controllo degli accessi o di incaricati della vigilanza, le persone che vi accedono sono preventivamente autorizzate.

LE SCADENZE Entrata in vigore Codice 01.01.2004 DPS 31.03.2004 Notificazione 30.04.2004 Misure Minime 30.06.2004 Adeguamento tecnologico 31.12.2004

www.unolegal.it

Feed-back: Privacy Policy Feed-back
Sul progetto: SlidePlayer Condizioni di utilizzo

© 2024 SlidePlayer.it Inc. All rights reserved.