IL NUOVO CODICE DELLA PRIVACY DECRETO LEGISLATIVO N. 196 DEL 2003.

Slides:



Advertisements
Presentazioni simili
Convegno di Studi su Internet e Diritto - Milano, 16 e 17 Ottobre 2003 Convegno di Studi su Internet e Diritto - Milano, 16 e 17 Ottobre 2003 Ing. Andrea.
Advertisements

Codice della Privacy Il d. lgs. n°196 del 30 giugno 2003.
LA PRIVACY IN 4 PASSI Nella diapositiva successiva troverete uno schema che riassume gli aspetti principali della “PRIVACY” L’obiettivo è quello di descrivervi.
Struttura del codice sulla privacy:
Corso per collaboratori di studio medico
CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI D.Lgs. 30 giugno 2003 n. 196 Entrato in vigore il 1° gennaio 2004 sostituisce L. 675/96; Recepisce:
CORSO PRIVACY PARTE GENERALE
Decreto legislativo 196/2003 ed il MEDICO DEL LAVORO Adempimenti correlati al Decreto Legislativo 196/2003 nella nostra attività professionale quotidiana.
CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI
Avv. Stefano Comellini. PROFESSIONISTI ART. 12 Collaboratori (obbligati) contro il riciclaggio e contro il finanziamento del terrorismo)
Eutekne – Tutti i diritti riservati Il Codice della Privacy (DLgs. 196/2003) e le Associazioni Sportive Avv. Stefano Comellini.
Diritto di accesso e privacy
LA NORMATIVA DI RIFERIMENTO
STUDIO DE ANDRE. I SOGGETTI II INFORMATIVA II UN INFORMATIVA SU UN COUPON DI ABBONAMENTO CLAUSOLA CONTRATTUALE La sottoscrizione dellofferta dà diritto.
1 La protezione dei dati D.lgs. 196/2003 Il Codice in materia di Protezione dei dati personali.
Confindustria Genova Workshop 31 gennaio 2008 Privacy e fisco Avv. Roberto Falcone.
Chiocciola S.r.l. – Riproduzione vietata – Guarene, 24 maggio 2006 Dal 1996… un obbiettivo strategico: la sicurezza a 360° LUCIANO CORINO Chiocciola Consulting.
Università di Udine Facoltà di Scienze MM. FF. NN. COMPITI E MANSIONI DELL'AMMINISTRATORE DI SISTEMA NELLA NORMATIVA SULLA PRIVACY Paolo Fritz.
La tutela dei dati personali
Impresa e Privacy. Il trattamento dei dati deve essere eseguito nel rispetto dei diritti e delle libertà fondamentali, della dignità della persona, con.
Autore TECNOCHORA SPA - AREA INFORMATION TECHNOLOGY La Privacy Formazione del personale interno Materiale riservato. Proprietà di Tecnochora spa. Vietata.
Novità in materia di PRIVACY 23 febbraio 2012 Relatore: Gianni Festi.
PRIVACY SCUOLA a cura di DOTT. MANGANIELLO MARCO
ISTAT DCRS Novità organizzative e legislative per il PSN (Roma, 24 giugno 2009) Maria Rosaria Simeone (Dirigente Servizio DCRS/IST) Impatto della normativa.
Riproduzione riservata
“Testo Unico sulla Privacy”
Dlgs. 196/ Da onere burocratico a opportunità aziendale Testo unico che integra, sotituisce e abroga i precedenti D. lgs.: 675 del 31/12/1996:
Convegno il fattore sicurezza slide n. 1 La messa a norma per il trattamento dei dati personali (privacy) Ing. Piero Giagnoni Milano, 4 dicembre 2001.
Ordine degli Ingegneri della Provincia di Napoli Commissione Informatica 1 Seminario sulla Sicurezza e sulla Protezione dei Dati Personali Napoli 11 novembre.
FORMAZIONE DEL PERSONALE DOCENTE E A.T.A. I.T.C. “C. DEGANUTTI” UDINE
Modulo 1 – la sicurezza dei dati e la privacy u.d. 7 (syllabus – 1.7.2)
“Misure minime di sicurezza: adempimenti tecnici e organizzativi”
La tutela dei dati personali
Seminario informativo sulle problematiche della trasmissione telematica delle dichiarazioni Privacy e sicurezza: Gli obblighi in tema di riservatezza -
DOCUMENTO PROGRAMMATICO SULLA SICUREZZA
1 20 maggio 2005 MISURE DI SICUREZZA INFORMATICA DEL NUOVO CODICE DELLA PRIVACY (d.lgs. 30 giugno 2003, n. 196)
L’INFORMATIVA E CONSENSO PRIVACY NELL’ORDINAMENTO SCOLASTICO
Per la gestione dei dati personali: Per la gestione dei dati personali:
D. Lgs 196/2003 Codice in materia di protezione dei dati personali.
22 MARZO ORE 15,00 Sei in regola con gli obblighi in materia di sicurezza e privacy? Consigli pratici per adeguarsi… Piermaria Saglietto.
D.L.196 del 30 giugno 2003 codice in materia di protezione dei dati personali Scuola elementare statale IV Circolo di Lodi.
PRIVACY: Adempimenti e Opportunità
La sicurezza delle reti informatiche : la legge sulla Privacy
20 maggio 2005 CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI (d.lgs. 30 giugno 2003, n. 196)
20 maggio CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI (d.lgs. 30 giugno 2003, n. 196) Formatore:
IL CODICE DELLA PRIVACY
Tipo notificazione o Prima notificazione o Modifica alla precedente notificazione o Cessazione del trattamento.
Iniziativa realizzata nellambito delle attività di promozione del CSV Irpinia Solidale1 Progetto: Consumatori Informati – cod. 310/ giugno 2009.
IL NUOVO TESTO UNICO IN MATERIA DI PRIVACY
Nozioni basilari in materia di Privacy
Interessato: Informativa e diritti L’Art. 7 definisce i diritti dell’interessato: Ottenere Informativa Preventiva sulle finalità e le modalità del trattamento.
Azienda Ospedaliera San Giovanni Addolorata: Compiti dei responsabili e referenti privacy Avv. Giovanni Guerra.
Azienda Ospedaliera San Giovanni Addolorata Privacy: Misure Minime di Sicurezza Gianpiero Guerrieri Dirigente Analista I.C.T.
Obblighi rispetto alla tutela della Privacy Dlgs 196/2003.
I dati Personali Sono Persona Fisica Privati I dati Personali
CORSO DI AGGIORNAMENTO ADEMPIMENTI PER LA TUTELA DELLA PRIVACY ANNO 2008.
Principio di necessità nel trattamento dei dati (art.3 codice privacy)
R:\2.Scambio\Normativa_Privacy
Misure di Sicurezza per gli Strumenti Elettronici Gianpiero Guerrieri Dirigente Analista Responsabile I.C.T.
Come applicare le disposizione del Garante per la Privacy utilizzando i prodotti Microsoft Fabrizio Grossi.
Le associazioni possono costituirsi:
D.Lgs 196/03: Tutela della privacy
Associazione Industriale Bresciana 24 giugno 2004 TRATTAMENTI SENZA L’AUSILIO DI STRUMENTI ELETTRONICI (ART. 35 DEL CODICE) Aggiornamento periodico dell’individuazion.
ECDL European Computer Driving Licence
1 Sicurezza Diritto d’autore Aspetti giuridici. 2 La sicurezza dei dati Copia di Backup ( salvataggio), Password di accesso.
PRIVACY ED AVIS Una relazione pericolosa ?. La gestione dei dati: un adempimento importante!! La nostra associazione deve prestare particolare attenzione.
Le policy aziendali relative al trattamento di dati sensibili ed informazioni riservate novembre2015.
Associazione Industriale Bresciana 23 giugno 2004 PRIVACY ORGANIZZAZIONE E PRINCIPALI ADEMPIMENTI Decreto legislativo 30 giugno 2003, n. 196 Associazione.
La tutela della Privacy ed il trattamento dei dati sensibili negli Uffici Giudiziari”. Corso di formazione in materia di “ La tutela della Privacy ed il.
Decreto legislativo 30 giugno 2003, n. 196 “Codice in materia di protezione dei dati personali”
Transcript della presentazione:

IL NUOVO CODICE DELLA PRIVACY DECRETO LEGISLATIVO N. 196 DEL 2003

D.Lgs. n. 196 – Codice in materia di protezione dei dati personali Convenzione di Strasburgo del (Consiglio dEuropa): Protezione delle persone rispetto al trattamento automatizzato di dati di carattere personale Direttive comunitarie: 1995/46/Ce e 2002/58/Ce

Categorie di dati Dati personali non sensibili: Esempio: dati anagrafici (nome, cognome, indirizzo, codice fiscale) Dati sensibili: Esempio: razza, stato di salute, opinioni Dati giudiziari: Esempio: condanne, procedimenti in corso, fallimenti, etc.

Dati personali Informazioni esatte e aggiornate riferite a persone fisiche o giuridiche identificate o identificabili che il titolare del trattamento deve utilizzare per finalità legittime limitate e pertinenti alluso dovuto. Esempio: anagrafiche clienti, fornitori, dipendenti

I soggetti coinvolti Titolare del trattamento: (impresa o organizzazione) Responsabile del trattamento: (persona fisica) Incaricati del trattamento: (persone fisiche) Interessati al trattamento Terzi destinatari o fornitori dei dati

Il titolare del trattamento acquisisce, utilizza e conserva i dati decide le finalità di utilizzo (e i dati necessari) decide le modalità di trattamento: Raccolta Registrazione Comunicazione Diffusione decide le misure di sicurezza vigila sulloperato del responsabile

Responsabile del trattamento E designato a discrezione dal titolare Può essere persona fisica o giuridica La nomina è facoltativa Va nominato per iscritto Vanno indicati i compiti affidati con lincarico Deve essere esperto, capace e affidabile Può essere anche esterno allorganizzazione del titolare (esempio: commercialista per i dati contabili)

Incaricati del trattamento Sono solo persone fisiche Sono nominati dal titolare del trattamento La nomina è obbligatoria Effettuano materialmente le operazioni Operano sotto lautorità del responsabile (o del titolare in mancanza del responsabile) Devono attenersi ad istruzioni scritte sui dati da trattare (quali, come, perché, etc.)

Notificazione di trattamento Denuncia preventiva al Garante, via web, sullesistenza di unattività di trattamento di dati personali Comporta linserimento nel Registro Pubblico dei trattamenti (internet) non tutti i trattamenti vanno notificati (quelli ordinari su clienti, fornitori e dipendenti non sono soggetti a notifica)

Trattamenti soggetti a notifica Banche dati elettroniche sui rischi di solvibilità economica, frodi, illeciti, situazione patrimoniale, inadempimento generale di obbligazioni dati genetici e biometrici dati GPS o altra localizzazione geografica Profilo dellinteressato (personalità) Dati sensibili per indagini per conto terzi

Informativa sul trattamento Va comunicata dal titolare del trattamento al soggetto trattato (interessato) Può essere anche informale, purchè chiara, completa ed essenziale Riguarda sia i dati raccolti direttamente presso linteressato che presso terzi

Contenuto dellinformativa (è sufficiente solo la prima volta) Estremi del titolare e dellev. responsabile Finalità del trattamento (perché) Modalità del trattamento (come) Eventuale obbligatorietà del trattamento e conseguenze del rifiuto Terzi (o categorie) destinatari dei dati Diritti dellinteressato

Quando sorge lobbligo? Una sola volta allinizio del rapporto (esempio: clienti, fornitori, dipendenti) Quando si modificano in modo sostanziale i dati trattati (categorie) e le modalità di trattamento Come redigere linformativa? Anche orale, sintetica e colloquiale Si può utilizzare uno spazio nellordinaria corrispondenza (lettere, fatture, etc.)

Quando comunicare linformativa? In caso di dati raccolti presso linteressato: prima dellinizio del trattamento, anche in forma orale In caso di dati raccolti presso terzi: prima della registrazione In caso di dati da destinare a terzi: entro la prima comunicazione

Quando non è necessaria? In caso di dati raccolti presso terzi in ottemperanza a obblighi di legge Per far valere un diritto in sede giudiziaria Quando lonere informativo è troppo elevato rispetto al diritto alla privacy in discussione (previa apposita istanza al Garante)

Il consenso dellinteressato Non è necessario quando i dati trattati non sono sensibili e, inoltre: sono connessi allesecuzione di un contratto (o alla trattativa precedente) sono conseguenti a obblighi di legge provengono da elenchi pubblici Sono relativi allo svolgimento di attività economiche rese pubbliche dallinteressato

Il consenso dellinteressato Quando è necessario chiederlo, il consenso deve essere Libero Specifico rispetto ai dati trattati Informato rispetto al trattamento Documentato per iscritto e sottoscritto

I dati sensibili Origine razziale o etnica Convinzioni religiose o filosofiche Opinioni politiche (comprese adesioni a partiti, sindacati, movimenti, etc.) Stato di salute Comportamento sessuale.

I dati sensibili Necessitano sempre, per essere trattati: Del consenso scritto dellinteressato Dellautorizzazione del Garante Vi sono tuttavia 7 autorizzazioni generali preventive, rilasciate dal Garante per i dati sensibili da trattare in alcuni casi tipici. Esempio: rapporto di lavoro (malattia) associazioni (opinioni politiche)

Il trasferimento dati fuori dallUE Allinterno dellUE vigono le stesse regole Fuori dallUE il trasferimento è consentito se: linteressato ha dato consenso espresso è necessario per lesecuzione di un contratto è necessario per un pubblico interesse o attività difensive in sede giudiziaria riguarda persone giuridiche, enti o assoc.

Il trasferimento dati fuori dallUE Quando non è consentito a priori, il trasferimento può essere autorizzato se: vi sono idonee garanzie per linteressato (autorizzazione caso per caso) vi sono autorizzazioni generali del Garante (esempio: Safe Harbor con gli USA) il trasferimento avviene con modalità standard già autorizzate preventiv. dallUE

Il diritto daccesso Linteressato ha diritto di accedere ai dati che lo riguardano, trattati presso terzi Il titolare del trattamento deve rispondere alla richiesta entro 15 giorni dal ricevimento In caso di mancata o incompleta risposta, linteressato può rivolgersi alla.g. o ricorrere al Garante

Il diritto daccesso Linteressato ha diritto di ottenere informazioni su: esistenza o meno di dati personali che lo riguardano origine dei dati finalità del trattamento modalità del trattamento metodi elettronici per il trattamento estremi del titolare, responsabili e incaricati terzi destinatari

Il diritto daccesso Linteressato ha diritto di ottenere: laggiornamento o rettifica dei dati lintegrazione dei dati la cancellazione dei dati trattati in violazione della legge o del consenso Lattestazione ai terzi destinatari dellavvenuto aggiornamento, rettifica, integrazione o cancellazione

La sicurezza dei sistemi I soggetti coinvolti Le misure di sicurezza (e le minime) Il DPS (documento programmatico per la s)

I soggetti coinvolti Titolare del trattamento Eventuale responsabile designato Incaricati Interessato al trattamento Terzi

Contenuto dellobbligo Il titolare deve adottare tutte le misure idonee, alla luce del progresso tecnico, per ridurre i rischi di: Distruzione Perdita Accesso non autorizzato o non consentito

Le misure minime Trattamenti effettuati con sistemi elettronici: Autenticazione informatica con credenziali (User-ID e password) Programmi anti-vulnerabilità (antivirus, firewall, anti-trojan, etc.) Procedure di salvataggio periodico (back- up)

Le misure minime Trattamenti effettuati con strumenti non elettronici: Istruzioni scritte agli incaricati (controllo e custodia) Uso di contenitori e locali sottoposti a credenziali (chiave, serratura, etc.) Sistemi di protezione e sicurezza (facoltativo): –Impianto antincendio (segnalazione e/o estinzione) –Misure di prevenzione e protezione incendi –Impianto anti-effrazione

Il DPS E obbligatorio in caso di trattamento di dati sensibili e/o giudiziari E comunque opportuno per evidenziare le misure minime Va redatto e aggiornato entro il 31 marzo di ogni anno Va conservato dal titolare presso la propria struttura (senza comunicarlo al Garante) Va esibito in caso di controlli ispettivi

Il DPS per le misure minime Indice: Dati del titolare del trattamento Elenco dei trattamenti di dati personali Distribuzione compiti e responsabilità Analisi dei rischi Misure di protezione preventiva Misure di ripristino Interventi formativi Criteri minimi per laffidamento dati a terzi Nomina responsabile, incaricati e custode credenziali

Dati del titolare Nome o denominazione Sede o residenza Codice fiscale e/o partita IVA Telefono, fax, Dati del legale rappresentante

Elenco dei trattamenti dati Categoria di trattamento: (esempio: gestione clienti, fornitori, dipendenti) Finalità: (esempio: contabilità generale e paghe) Tipo di dati: (esempio: personali non sensibili) Gestione: (esempio: interna o esterna) Eventuale responsabile Banche dati utilizzate (esempio: archivio cartaceo, cartelle elettroniche MS Access, etc.) Dispositivi utilizzati (esempio: PC Desktop Marca HP……….)

Distribuzione compiti Responsabile: …………….. Incaricato 1…..Compito:…….. Incaricato 2…..Compito:……. Esempio: sig. Rossi – Addetto paghe sig. Bianchi – Addetto contabilità …………..

Analisi dei rischi Alto / Medio / Basso per: Furto credenziali autenticazione Incuria Frode Errore materiale Virus informatici Spamming Malfunzionamento strumenti Accessi esterni ai locali non autorizzati Intercettazione informazioni informatiche Furto Eventi dolosi o accidentali, guasti, etc.

Misure di protezione preventiva Responsabile, trattamento interessato, rischio protetto, stato attuale (attivo o meno), controlli periodici (settimana, mese, etc.) per: Aggiornamenti software Antivirus Firewall hardware o software Cifratura (su floppy, smart card, etc.) Gruppo continuità Allarme e serrature di sicurezza Impianto antincendio

Misure minime strumenti elettronici Credenziali autenticazione (User-ID e password) di almeno 8 caratteri di cui almeno 2 numerici e almeno 2 alfabetici Modificazione obbligatoria al primo utilizzo Modificazione obbligatoria ogni 6 mesi (dati personali non sensibili) o 3 mesi (dati sensibili o giudiziari) Il codice è strettamente personale I codici aziendali sono affidati a un custode delle credenziali che le conserva in luogo sicuro e, in sua assenza, nomina un sostituto sotto propria responsabilità In caso di mancato utilizzo per 6 mesi, le credenziali sono automaticamente disattivate In caso di intervento tecnico, al termine va modificata nuovamente la password Le credenziali su supporti (floppy, smart card, etc.) vanno conservate sotto chiave dal custode delle credenziali

Misure di ripristino Procedure di back-up: Copie informatiche Copie cartacee (eventuali) Responsabile, frequenze salvataggio, frequenze verifica, luogo e modalità di conservazione archivi Procedura di ripristino

Interventi formativi Normativa Responsabilità Rischi Misure di sicurezza Aggiornamenti tecnici Aggiornamenti di procedura Quando e come si effettuano (esempio: neo assunti, periodici, etc.)

Criteri per laffidamento dati a terzi Chiarire le procedure in caso che alcuni dati formalmente trattati dal titolare siano affidati in trattamento a terzi Esempio: il commercialista che tratta i dati contabili dellimpresa (clienti, fornitori e dipendenti) Come si trasferiscono, con che periodicità, su che supporti, chi è responsabile, etc.