Tutele e sicurezza dei dati personali CODICE PRIVACY (D.lvo 196/03) Codice della Privacy Tutele e sicurezza dei dati personali in materia di tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali Il codice in materia di protezione dei trattamenti dei dati personali entra in vigore il I Gennaio 2004. è entrato in vigore il 1° gennaio del 2004.
Ambito di APPLICAZIONE Il trattamento di dati personali, anche detenuti all'estero, effettuato da chiunque è stabilito nel territorio dello Stato o in un luogo comunque soggetto alla sovranità dello Stato Il trattamento di dati personali effettuato da persone fisiche per fini esclusivamente personali è soggetto all'applicazione del presente codice solo se i dati sono destinati ad una comunicazione sistematica o alla diffusione La tutela del trattamento dei dati personali riguarda tutti, senza distinzioni, persone fisiche e giuridiche, con la sola eccezione dei trattamenti effettuati dal singolo individuo, persona fisica, per fini strettamente ed esclusivamente personali.
Settori specifici Lavoro e previdenza sociale Bancario, Finanziario, Assicurativo Comunicazioni elettroniche Libere professioni/Investigazione privata Giornalismo/espressione letteraria ed artistica Marketing diretto
Art. 140. MARKETING 1. Il Garante promuove, ai sensi dell'articolo 12, la sottoscrizione di un codice di deontologia e di buona condotta per il trattamento dei dati personali effettuato a fini di invio di materiale pubblicitario o di vendita diretta, ovvero per il compimento di ricerche di mercato o di comunicazione commerciale, prevedendo anche, per i casi in cui il trattamento non presuppone il consenso dell'interessato, forme semplificate per manifestare e rendere meglio conoscibile l'eventuale dichiarazione di non voler ricevere determinate comunicazioni.
RACCOLTA DATI La garanzia per un TRATTAMENTO corretto risiede nella giusta partenza all’atto dell’acquisizione. In questa fase vengono definiti i diritti dell’INTERESSATO che riceve l’INFORMATIVA ed esprime l’eventuale CONSENSO Il momento iniziale del trattamento e' costituito dalla raccolta, e in questa fase l'interessato deve ricevere l'informativa con l'indicazione delle modalita' e finalita' del trattamento e l'identificazione del titolare della banca dati. In questa fase e su quella informativa gli sara' chiesto il consenso eventualmente necessario per i trattamenti facoltativi o per quelli riguardanti dati sensibili o giudiziari. INTERESSATO Dati identificativi Informativa Consenso (eventuale) Raccolta
DIRITTI dell’INTERESSATO- Art. 7 accesso gratuito al Registro generale dei trattamenti essere informato in merito dal titolare, o dal responsabile del trattamento dei dati personali (se nominato), alle finalità e alle modalità del trattamento ottenere dal titolare (o dal responsabile) subito: informazioni su dati che lo riguardano (registrati o meno), con lista, origine, logica e finalità del/i trattamento/i pretendere e ottenere cancellazione o trasformazione in forma anonima o blocco dei dati personali trattati in violazione della Legge pretendere e ottenere aggiornamenti, rettifiche, integrazioni ottenere attestazione scritta che le due precedenti operazioni siano state portate a conoscenza (chiara!) di coloro ai quali sono stati, sono e saranno comunicati / diffusi I diritti dell'Interessato consistono nelle azioni a garanzia del trattamento corretto e lecito dei suoi dati, cui il Titolare o il Responsabile, se nominato, devono dare puntuale riscontro.
DIRITTI dell’INTERESSATO- Art. 7 essere informato (dal titolare) non oltre il momento della comunicazione / diffusione dei dati di cui al punto precedente della possibilità di esercitare gratuitamente detto diritto opporsi in tutto o in parte - per motivi legittimi - al trattamento dei dati personali, ancorché pertinenti allo scopo dichiarato della raccolta opporsi in tutto o in parte al trattamento di dati personali per: fornire informazioni commerciali invio di materiale pubblicitario vendita diretta ricerche di mercato comunicazioni commerciali interattive I diritti dell'Interessato consistono nelle azioni a garanzia del trattamento corretto e lecito dei suoi dati, cui il Titolare o il Responsabile, se nominato, devono dare puntuale riscontro.
Il CONSENSO Il CONSENSO è sempre strettamente legato ad un’INFORMATIVA, e riguarda esclusivamente i TRATTAMENTI di DATI ORDINARI non coperti da ipotesi di DEROGA ovvero i TRATTAMENTI di DATI SENSIBILI o GIUDIZIARI Il Consenso deve essere informato. Questo significa che esiste solo a seguito di un' informativa, nella quale vengono indicate le ragioni della richiesta di consenso e per quali finalita' e modalita' del trattamento viene richiesto. I consensi generici si hanno per non rilasciati, non esistono.
MISURE MINIME di SICUREZZA Art. 33 (Misure minime) Nel quadro dei più generali obblighi di sicurezza di cui all'art. 31, o previsti da speciali disposizioni, i titolari del trattamento sono comunque tenuti ad adottare le misure minime individuate nel presente capo o ai sensi dell'art. 58, comma 3, volte ad assicurare un livello minimo di protezione dei dati personali. Non vi sono protezioni assolute contro i rischi sui trattamenti: le Misure Minime di Sicurezza imposte dalla LEGGE rispondono alla logica di documentare uno standard minimo, che non garantisce sempre la tutela dei trattamenti ma la cui applicazione puntuale e documentata garantisce l assolvimento degli obblighi di legge da parte del Titolare.
(Trattamenti con strumenti elettronici) Art. 34 (Trattamenti con strumenti elettronici) Il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell'Allegato B, le seguenti misure minime: a) autenticazione informatica; b) adozione di procedure di gestione delle credenziali di autenticazione; c) utilizzazione di un sistema di autorizzazione; d) aggiornamento periodico della definizione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici; La legge rinvia all'allegato B la descrizione delle misure minime tecniche da adottare: negli articoli 34 e 35 del Decreto legislativo sono riportate le categorie di misure minime indispensabili. L'articolo 34 descrive quelle elettroniche
Art. 34 (Trattamenti con strumenti elettronici) segue e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici; f) adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi; g) tenuta di un aggiornato documento programmatico sulla sicurezza; h) adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da Organismi sanitari. La legge rinvia all'allegato B la descrizione delle misure minime tecniche da adottare: negli articoli 34 e 35 del Decreto legislativo sono riportate le categorie di misure minime indispensabili. L'articolo 34 descrive quelle elettroniche
capire il CODICE DIAGRAMMA di FLUSSO dei TRATTAMENTI Le MMS riguardano sia i Trattamenti elettronici che cartacei e sono distinte in: Analisi dei Rischi Misure di Sicurezza – Ingresso a) Organizzative b) Fisiche c) Logiche Individuazione incaricati Abbiamo parlato delle Misure Minime di Sicurezza applicate alla sicurezza dei trattamenti. Si tratta di un argomento fondamentale nel sistema della Privacy, per cui in questo modulo proponiamo una rilettura del diagramma di flusso in funzione dell'applicazione delle Misure Minime. La sicurezza la fanno gli operatori, per cui bisogna porre la massima attenzione all'individuazione degli stessi, interni o esterni, ed all'addestramento impartito agli incaricati dipendenti dal titolare Informazione e formazione Presuppongono: l’Analisi dei Rischi l’individuazione degli Incaricati ai Trattamenti la loro informazione e formazione
CONDIZIONI e DIVIETI La comunicazione e la diffusione dei dati personali, sono ammesse, anche senza il consenso dell’interessato, solo in presenza di una delle ipotesi di deroga espressamente previste dalla legge . Nessun dato può essere comunicato / diffuso se ne sia stata ordinata la cancellazione. La cancellazione dei Dati o la distruzione dei supporti sono ammissibili solo quando è terminato il ciclo dei trattamenti collegati alle finalità per cui sono stati raccolti. Nessun dato può essere comunicato / diffuso se sia decorso il periodo di tempo associato al trattamento previsto e consolidato all’atto della raccolta e successivamente notificato Non si considera comunicazione la conoscenza di dati personali da parte delle persone incaricate per iscritto di compiere le operazioni di trattamento Parlando di condizioni e divieti bisogna precisare che la norma non vieta nulla che sia stato autorizzato espressamente dall'interessato, e pone vincoli solo alle modalita' queste si inderogabili dei trattamenti stessi.
Implementare la Sicurezza L’implementazione delle policy di sicurezza deve essere il frutto di ragionamenti fatti da tutti coloro che compongono il nucleo aziendale, ognuno per quanto riguarda la propria mansione. Una buona sicurezza è frutto dell’applicazione di precise regole: Regola del minimo privilegio Regola del cambiamento Regola dell’anello debole Regola della separazione Regola dell’azione preventiva Regola della risposta immediata ed adeguata Le regole di un sistema di sicurezza funzionale ed efficace sono elencate in questa diapositiva. Nelle prossime immagini le esamineremo in dettaglio.
RISARCIMENTO DEL DANNO Art. 15. Il danno cagionato per effetto del trattamento dei Dati personali è risarcibile ai sensi dell'art. 2050 cod. civ. (responsabilità per l'esercizio di attività pericolosa). Questo comporta l'inversione dell'onere della prova, ponendo a carico del Titolare una presunzione di colpa, dalla quale potrà liberarsi solo dimostrando di aver adottato tutte le misure di sicurezza previste dalla Legge per la fattispecie. E' espressamente previsto (comma 2) anche il risarcimento per il danno non patrimoniale (quindi in via equitativa).
RISCHI del COMMERCIO ELETTRONICO truffe sempre più insidiose: I principali casi sono (Wikipedia): Vendita di prodotti da siti civetta: al ricevimento del pagamento non viene inviata la merce, o viene solamente simulata la spedizione. Problema presente anche su ebay con inserzioni truffa. Realizzazione di siti clonati con la finalità di rubare informazioni quali il codice della carta di credito. Aziende fallimentari che accumulano ordini, e introiti, senza la possibilità di evaderli.
Codice del consumo D.Lgs. 70/2003: direttiva europea sul commercio elettronico D.Lvo 6 settembre 2005, n. 206 Commercio elettronico diretto e indiretto. Commercio diretto: tutte le fasi avvengono online; dall’ordine al pagamento, alla consegna, tutto avviene in maniera elettronica. Commercio indiretto: ordine e pagamento avvengono elettronicamente, ma il bene ceduto viene poi inviato fisicamente al domicilio dell’acquirente.
TUTELA del CONSUMATORE Il soggetto che vende beni o servizi online deve rendere facilmente accessibili le seguenti informazioni: nome, denominazione o ragione sociale del fornitore; domicilio o sede legale; Come contattare rapidamente il fornitore e comunicare direttamente ed efficacemente con lo stesso, compreso l’indirizzo di posta elettronica; numero di iscrizione al REA, o al registro delle imprese; gli elementi di individuazione, nonché gli estremi della competente autorità di vigilanza qualora un’attività sia soggetta a concessione, licenza od autorizzazione;
TUTELA del CONSUMATORE 2 numero della partita IVA o altro numero di identificazione la descrizione, chiara ed inequivocabile, del prodotto o del servizio fornito, con l’indicazione delle misure di sicurezza l’indicazione, in modo chiaro ed inequivocabile, dei prezzi e delle tariffe dei diversi servizi della società dell’informazione forniti, evidenziando se comprendono le imposte, i costi di consegna ed altri elementi aggiuntivi da specificare; l’indicazione delle attività consentite al consumatore e al destinatario del servizio e gli estremi del contratto qualora un’attività sia soggetta ad autorizzazione o l’oggetto della prestazione sia fornito sulla base di un contratto di licenza d’uso.
Fasi dell’Accordo Contrattuale le varie fasi tecniche da seguire per la conclusione del contratto; il modo in cui il contratto concluso sarà archiviato e le relative modalità di accesso; i mezzi tecnici messi a disposizione del destinatario per individuare e correggere gli errori di inserimento dei dati prima di inoltrare l’ordine al fornitore; gli eventuali codici di condotta cui aderisce e come accedervi per via telematica; le lingue a disposizione per concludere il contratto oltre all’italiano; l’indicazione degli strumenti di composizione delle controversie.
Esecuzione dell’ORDINE Al ricevimento dell’ordine, il fornitore deve: Mettere a disposizione del cliente le clausole e le condizioni generali del contratto Accusare ricevuta dell’ordine del destinatario contenente un riepilogo delle condizioni applicabili, le informazioni relative alle caratteristiche essenziali del bene o del servizio e l’indicazione dettagliata del prezzo, dei mezzi di pagamento, del recesso, dei costi di consegna e dei tributi applicabili. Il consumatore non è obbligato in caso di fornitura non richiesta e l’assenza di risposta non implica in alcun modo consenso del consumatore.
DIRITTO di RECESSO Le forniture non richieste costituiscono pratiche commerciali scorrette, vietate e punite dagli artt. 18-27quater del Codice del Consumo. Il consumatore ha diritto di recedere da qualunque contratto a distanza, senza alcuna penalità e senza specificarne il motivo, entro il termine di 10 giorni lavorativi 3 mesi nel caso in cui il fornitore ometta di soddisfare gli obblighi informativi GARANZIA garanzia legale di 2 anni
Carte di Credito Pharming: violazione dei database di chi vende Intercettazione del numero Cramming: acquisizione dei dati e numeri di carte di credito, attraverso raggiri o, comunque, comportamenti scorretti Carding matematico: produzione di numeri di carte verosimili
MOVIMENTO CONSUMATORI I SETTE DIRITTI FONDAMENTALI DEI CONSUMATORI E DEGLI UTENTI Diritto alla tutela della salute Diritto alla sicurezza ed alla qualità dei prodotti e dei servizi Diritto ad un’adeguata informazione e ad una corretta pubblicità Diritto all’educazione al consumo Diritto alla correttezza, trasparenza ed equità nei rapporti contrattuali concernenti beni e servizi Diritto alla promozione ed allo sviluppo dell’associazionismo libero, volontario e democratico tra i consumatori e gli utenti Diritto all’erogazione di servizi pubblici secondo standard di qualità ed efficienza CLASS ACTION
DIRITTO D’AUTORE D.Lgs. 231/01 (art. 25-novies) : Delitti in materia di violazione del diritto d’autore -L. 633/41 Mettere a disposizione del pubblico immettendola in un sistema telematico un’opera d’ingegno protetta o parte di essa. Duplicare abusivamente per trarne profitto, importare, distribuire, vendere, detenere, concedere in locazione programmi per elaboratore Duplicare, riprodurre, trasmettere o diffondere in pubblico abusivamente un’opera d’ingegno, letteraria, scientifica, didattica, musicale, multimediale Produrre, importare, installare, vendere, modificare, apparati atti alla decodificazione di trasmissioni audiovisive ad accesso condizionato
PROPRIETA’ INTELLETTUALE D.Lgs. 231/01 - art. 25-bis.1 : Delitti contro l'industria ed il commercio Turbata libertà dell'industria o del commercio. (art. 513 c.p.) Frodi contro le industrie nazionali. (art. 514 c.p.) Frode nell'esercizio del commercio. (art. 515 c.p.) Vendita di sostanze alimentari non genuine come genuine. (art. 516 c.p.) Vendita di prodotti industriali con segni mendaci (art. 517 c.p.) Fabbricazione e commercio di beni realizzati usurpando titoli di proprietà industriale. (art. 517-ter c.p.) Contraffazione di indicazioni geografiche o denominazioni di origine dei prodotti agroalimentari. (art. 517-quater c.p.)