D.Lgs 196/03: Tutela della privacy E sue marginali applicazioni al mondo dello sport
Fonti normative art. 8 della convenzione dei europea per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali Direttiva Comunitaria 1995/46 Legge 31 dicembre 1996, n. 675 (di recepimento della direttiva UE) D. lgs 30 giugno 2003, n. 196 (che abroga la l.675/96)
D lgs 196/03 “codice in materia di trattamento dei dati personali” Art. 1 chiunque ha diritto alla protezione dei dati personali che lo riguardano Art.2 il trattamento dei dati personali si svolge nel rispetto dei diritti e delle libertà fondamentali, nonché della dignità dell’interessato… Art. 3 i sistemi informativi e i programmi informatici sono configurati riducendo al minimo l’utilizzazione di dati personali e di dati identificativi…
D lgs 196/03 Art. 4: Definizioni Trattamento Il termine si riferisce a qualunque operazione o complesso di operazioni, effettuati anche senza l'ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati; Dato personale qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale
D lgs 196/03 Art. 4: Definizioni Dati sensibili i dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonche' i dati personali idonei a rivelare lo stato di salute e la vita sessuale; Titolare la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalita', alle modalita' del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza;
D lgs 196/03 Art. 4: Definizioni Interessato la persona fisica, la persona giuridica, l'ente o l'associazione cui si riferiscono i dati personali; Responsabile la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali; Incaricati Le persone fisiche autorizzate a compiere operazioni di trattamento dal titolare o dal responsabile
D lgs 196/03 Art. 4: Definizioni Comunicazione il dare conoscenza dei dati personali a uno o piu' soggetti determinati diversi dall'interessato, dal rappresentante del titolare nel territorio dello Stato, dal responsabile e dagli incaricati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione; Diffusione il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione;
D lgs 196/03 Art. 7 Diritti dell’interessato 1. L'interessato ha diritto di ottenere la conferma dell'esistenza o meno di dati personali che lo riguardano, anche se non ancora registrati, e la loro comunicazione in forma intelligibile. 2. L'interessato ha diritto di ottenere l'indicazione: a) dell'origine dei dati personali; b) delle finalita' e modalita' del trattamento; c) della logica applicata in caso di trattamento effettuato con l'ausilio di strumenti elettronici; d) degli estremi identificativi del titolare, dei responsabili e del rappresentante designato ai sensi dell'articolo 5, comma 2; e) dei soggetti o delle categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualita' di rappresentante designato nel territorio dello Stato, di responsabili o incaricati.
D lgs 196/03 Art. 7 Diritti dell’interessato 3. L'interessato ha diritto di ottenere: a) l'aggiornamento, la rettificazione ovvero, quando vi ha interesse, l'integrazione dei dati; b) la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge, compresi quelli di cui non e' necessaria la conservazione in relazione agli scopi per i quali i dati sono stati raccolti o successivamente trattati; c) l'attestazione che le operazioni di cui alle lettere a) e b) sono state portate a conoscenza, anche per quanto riguarda il loro contenuto, di coloro ai quali i dati sono stati comunicati o diffusi, eccettuato il caso in cui tale adempimento si rivela impossibile o comporta un impiego di mezzi manifestamente sproporzionato rispetto al diritto tutelato. 4. L'interessato ha diritto di opporsi, in tutto o in parte: a) per motivi legittimi al trattamento dei dati personali che lo riguardano, ancorche' pertinenti allo scopo della raccolta; b) al trattamento di dati personali che lo riguardano a fini di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale.
D lgs 196/03 Obblighi e scadenze (…) Informativa scritta o orale (art. 13) L’interessato dovrà essere previamente informato circa: le finalità e le modalità di trattamento cui sono destinati i dati; la natura obbligatoria o facoltativa del conferimento dei dati; le conseguenze di un eventuale rifiuto di rispondere; i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati, e l’ambito di diffusione dei dati medesimi; i diritti di cui all’art. 7; gli estremi identificativi del titolare
D lgs 196/03 Obblighi e scadenze (…) Acquisizione del consenso (art. 23) Si impone l’acquisizione del consenso da parte dell’interessato al trattamento dei dati personali. Il successivo art. 24 precisa che il trattamento dei dati comuni da parte di enti od organismi senza scopo di lucro è consentito per i fini statutari senza acquisizione del consenso dell’interessato con la limitazione alla diffusione all’esterno di tali dati.
D lgs 196/03 Obblighi e scadenze (…) Generale obbligo di sicurezza (art. 31) Si impone un obbligo di sicurezza con conseguente custodia e controllo, anche in considerazione delle conoscenze e del progresso tecnologico, dei dati personali onde ridurre al minimo, mediante l’adozione di idonee preventive misure di sicurezza, i rischi di distruzione o perdita anche accidentale dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alla finalità della raccolta (entro il 30 giugno 2004)
D lgs 196/03 Obblighi e scadenze (…) obblighi di sicurezza Art. 34- a) Autenticazione informatica Adozione di una password ( ma anche di altri sistemi come smart card) che consenta di verificare in modo certo e univoco l’identità di chiunque acceda agli elaboratori e a tutta la strumentazione elettronica con la quale si effettua il trattamento dei dati
D lgs 196/03 Obblighi e scadenze (…) obblighi di sicurezza Art. 34 – b) adozione di procedure di gestione delle credenziali di autenticazione Impartire istruzioni agli incaricati per la conservazione della segretezza delle loro password o sistemi di accesso Password lunga almeno 8 caratteri e non riconducibile agevolmente all’incaricato Password modificata ogni 6 mesi nel caso di dati ordinari e ogni 3 nel caso di dati sensibili o giudiziari Impartire precise istruzioni al fine di non lasciare incustodito e accessibile lo strumento elettronico durante una sessione
D lgs 196/03 Obblighi e scadenze (…) obblighi di sicurezza Art. 34 – c) Utilizzazione di un sistema di autorizzazione Ovvero se il trattamento dei dati prevede la necessità di utilizzare diversi soggetti con compiti distinti (es. un soggetto inserisce i dati personali in fase di iscrizione ed un altro si occupa di trasmetterli ad un soggetto esterno) deve essere adottato un sistema di accesso ai dati diverso da incaricato a incaricato che permetta di svolgere separatamente ed esclusivamente la tipologia di operazione per la quale è stato delegato
D lgs 196/03 Obblighi e scadenze (…) obblighi di sicurezza Art. 34 - d) aggiornamento periodico dell’individuazione dell’ambito di trattamento consentito ai singoli incaricati e addetti alla gestione e o alla manutenzione degli strumenti elettronici
D lgs 196/03 Obblighi e scadenze (…) obblighi di sicurezza Art. 34 – e) Protezione degli strumenti elettronici e dei dati rispetto ai trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici Ovvero adozione di sistemi di allarme ma anche di programmi antivirus e firewall
D lgs 196/03 Obblighi e scadenze (…) obblighi di sicurezza Art. 34 – f) Adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e de sistemi
D lgs 196/03 Obblighi e scadenze (…) obblighi di sicurezza Qualora il titolare, quindi l’ente sportivo, disponga di strumenti elettronici che per obiettive ragioni tecniche non consentano in tutto o in parte l’immediata applicazione delle misure minime di sicurezza, potrà autocertificare descrivendo le medesime ragioni in un documento che dovrà conservare presso la propria sede, con l’obbligo di adeguare le attrezzature entro un anno dall’entrata in vigore (quindi termine gia’ scaduto: 1 gennaio 2005)
D lgs 196/03 Documento Programmatico per la Sicurezza Art. 34 – g) Tutti gli enti che effettuano il trattamento di dati sensibili o giudiziari attraverso strumenti elettronici devono redigere un Documento Programmatico di Sicurezza (DPS) D.P.S.