Nozioni basilari in materia di Privacy Settore Comunicazione Organizzativa e Tutela della Privacy Maggio – novembre 2012 Nel file ci sono due pagine mastro: quella della copertina (schema titolo) e quella di tutte le pagine successive (schema diapositiva) Il file modello è predisposto con la prima diapositiva pronta per essere corretta, poi facendo “nuova diapositiva” apparirà la nuova slide (schema diapositiva), anch’essa già formattata. Le modifiche vanno sempre fatte sulla singola slide, mai sulle pagine mastro, se non per l’inserimento del marchio del cliente. Se non serve una diapositiva standard, ma ad esempio una dove inserire un grafico allora prima bisogna creare una nuova diapositiva e poi da “formato”/”layout diapositiva” cambiare la struttura della diapositiva con quella che occorre: rimarranno della diapositiva standard solo gli elementi necessari.
Le fonti normative di riferimento Contenuti: Le fonti normative di riferimento Ambito di applicazione della normativa privacy Principi generali per il trattamento dati personali Definizioni di: dato personale, sensibile, giudiziario, comune, anonimo e trattamento Soggetti che effettuano il trattamento Regole per il trattamento dati comuni Regole per il trattamento dati sensibili e giudiziari Adempimenti: informativa all'interessato
Le fonti normative di riferimento D.Lgs. 196 del 30.06.2003 “Codice in materia di protezione dei dati personali” (in particolare vd. Parte I - disposizioni generali artt. 1 - 45) D.G.R. 25 del 24.01.2012 “Direttiva per l'attuazione del D.Lgs. 196/2003” (contiene indirizzi e misure organizzative)
Ambito di applicazione della normativa privacy Art. 1 “Chiunque ha diritto alla protezione dei dati personali che lo riguardano”
Ambito di applicazione della normativa privacy Art. 5 Il Codice si applica ai trattamenti dei dati personali delle persone fisiche effettuati da: Qualunque soggetto (persona fisica o giuridica) stabilito nello stato italiano, anche se i dati sono detenuti all'estero Qualunque soggetto stabilito in paesi extraeuropei che impiega strumenti situati nel territorio italiano
Ambito di applicazione della normativa privacy Il Codice non si applica : Al trattamento di dati personali riferiti alle persone giuridiche Al trattamento di dati aggregati (dati quantitativi) e dati anonimi Al trattamento dati effettuato da persone fisiche per fini personali quando i dati non sono destinati a comunicazione sistematica o diffusione
Principi generali per il trattamento dati personali Principi generali ex art. 3 e 11: Principio di necessità Principio di liceità e correttezza: “i dati devono essere trattati in modo lecito e secondo correttezza” Principio di finalità: “raccolti e registrati per scopi determinati, espliciti e legittimi” Principio di qualità dei dati: “esatti e se necessario aggiornati” Principio di proporzionalità: “pertinenti, completi e non eccedenti rispetto alle finalità” I dati personali trattati in violazione dei principi enunciati non possono essere utilizzati.
Definizioni ex art. 4 Dato personale “qualunque informazione relativa a persona fisica identificata o identificabile anche indirettamente mediante riferimento a qualsiasi altra informazione ivi compreso un numero di identificazione personale”
Definizioni ex art. 4 Dato anonimo “il dato che in origine o a seguito di trattamento non può essere associato ad un interessato identificato o identificabile” NB: Quando invece il dato personale è stato oggetto del processo di anonimizzazione ma è ancora possibile risalire all'interessato è “dato anonimizzato” (tutelato dal codice privacy)
“i dati personali che permettono l'identificazione dell'interessato” Definizioni ex art. 4 Dato identificativo: “i dati personali che permettono l'identificazione dell'interessato”
“dato personale idoneo a rivelare: Origine razziale ed etnica Definizioni ex art. 4 Dato sensibile: “dato personale idoneo a rivelare: Origine razziale ed etnica Convinzioni religiose filosofiche ed altro Opinioni politiche Adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso Stato di salute e vita sessuale
“dato personale idoneo a rivelare: Definizioni ex art. 4 Dato giudiziario: “dato personale idoneo a rivelare: Provvedimenti iscritti nel casellario giudiziale (es. condanne penali, pene inflitte ad eccezione delle sentenze dichiarative di fallimento, decreto omologazione concordato fallimentare, sentenze di interdizione o inabilitazione) Sanzioni amministrative dipendenti da reato Carichi pendenti Qualità di imputato o indagato ex c.p.p.
Definizioni ex art. 4 Dato comune: “tutti quei dati non compresi nelle categorie di dati sensibili e giudiziari”
Definizioni ex art. 4 Trattamento: “qualsiasi operazione, o serie di operazioni, eseguita su dati personali anche senza l’ausilio di strumenti elettronici concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione dei dati.“
Operazioni particolarmente “rischiose”: Definizioni ex art. 4 Operazioni particolarmente “rischiose”: Comunicazione: dare conoscenza dei dati personali a uno o più soggetti determinati (salvo quella rivolta a interessato, responsabile, incaricato) Diffusione: dare conoscenza dei dati personali a soggetti indeterminati
Soggetti che effettuano il trattamento I soggetti che effettuano il trattamento dati sono: Il titolare Il responsabile L'incaricato
Soggetti che effettuano il trattamento Il titolare (art. 4 e art. 28) La persona fisica, persona giuridica, pubblica amministrazione che decide in merito alle finalità e modalità del trattamento ed alle misure di sicurezza. Quando il trattamento è effettuato da una pubblica amministrazione titolare è l'entità nel suo complesso es. in RT abbiamo due titolari “Giunta Regionale” e “Consiglio Regionale”
Soggetti che effettuano il trattamento Il responsabile (art. 4 e art. 29) Il titolare può nominare con atto scritto un responsabile, scelto fra persone fisiche o giuridiche che presentino requisiti di esperienza, capacità, affidabilità. Il responsabile deve svolgere i compiti analiticamente specificati e attenersi alle istruzioni ricevute per iscritto dal titolare. Il responsabile può anche essere esterno all'ente: quando RT si avvale della collaborazione di soggetti esterni per l'espletamento di attività di propria competenza che comporta trattamento dati personali
Soggetti che effettuano il trattamento L'incaricato (art. 4 e art. 30) I dati personali possono essere trattati solo da persone fisiche che operano sotto la diretta autorità del titolare o del responsabile e che vengono designate come incaricati del trattamento. La nomina deve essere effettuata per iscritto e contenere l'ambito del trattamento consentito e le specifiche istruzioni da osservare. La nomina degli incaricati non richiede l’accettazione, è obbligatoria ed assistita da sanzioni penali in quanto inserita nelle misure minime di sicurezza di cui all’art. 33.
Soggetti che effettuano il trattamento L'interessato (art. 4 e art. 7 -10) E' la persona fisica cui si riferiscono i dati personali (ai fini dell'applicazione della normativa viene assimilata l'impresa individuale perchè in questo caso i dati identificativi della ditta corrispondono ai dati della persona fisica titolare)
Regole per il trattamento dati comuni Trattamento “dati comuni” da parte dei soggetti pubblici (art. 18 e 19) Regole generali: Consentito solo per lo svolgimento delle funzioni istituzionali Non deve essere richiesto il consenso all'interessato Non è necessario che il trattamento di dati sia previsto espressamente dalla legge che prevede la funzione istituzionale
Regole per il trattamento dati comuni Regole specifiche per: a) Comunicazione di dati comuni a soggetti pubblici (art. 19 comma 2): Deve essere prevista da norma di legge o di regolamento, oppure Se necessaria per lo svolgimento delle funzioni istituzionali della PA destinataria deve essere effettuata la Comunicazione al Garante (ex art. 39)
Regole per il trattamento dati comuni b) Comunicazione di dati comuni a soggetti privati e diffusione (art. 19 comma 3): Deve necessariamente essere prevista da norma di legge o di regolamento (salvo hp. di pubblicazione sul sito istituzionale dell'amministrazione di informazioni personali su richiesta dell'interessato prevista dalle Linee guida diffusione web del Garante del 2.3.2011)
Regole per il trattamento dati sensibili e giudiziari Regole per il trattamento dei “dati sensibili” e giudiziari da parte dei soggetti pubblici (art. 20 e 21): Espressa disposizione di legge che specifica finalità di rilevante interesse pubblico, tipi di dati e operazioni eseguibili oppure Legge che specifica la finalità di rilevante interesse pubblico e Regolamento, adottato in conformità del parere obbligatorio del Garante, che specifica i tipi di dati e le operazioni eseguibili in relazione alle finalità indicate oppure in mancanza di espressa disposizione di legge, occorre “autorizzazione del Garante” nella quale sono individuate le attività che perseguono finalità di rilevante interesse pubblico e Regolamento adottato in conformità del parere del Garante, che specifica tipi di dati e operazioni eseguibili.
Adempimenti: l'informativa all'interessato Informativa all'interessato ex art. 13 Contenuto: a) le finalità e modalità del trattamento b) la natura obbligatoria o facoltativa del conferimento dei dati c) le conseguenze di un eventuale rifiuto di rispondere d) i soggetti/categorie di soggetti ai quali i dati personali possono essere comunicati e) l’ambito di diffusione f) i diritti di cui all’art. 7 g) gli estremi identificativi del titolare e del responsabile
Adempimenti: l'informativa all'interessato Tempistica deve essere resa prima di iniziare le operazioni di trattamento (es. nel modulo di raccolta dati) Forma RT in qualità di titolare ha disposto che le informative debbono essere rilasciate per iscritto redatte secondo i modelli consultabili sul sito intranet area privacy.
Adempimenti: l'informativa all'interessato Sanzioni E' adempimento che grava sui responsabili del trattamento ogniqualvolta debbono procedere alla raccolta dati personali, la mancata o inidonea informativa è sanzionata con pagamento di sanzione pecuniaria da 6.000 a 36.000 euro (art. 161).