La tutela dei dati personali.

Slides:



Advertisements
Presentazioni simili
Titolo progetto Autore Inserisci qui il nome del progetto Inserisci qui il tuo indirizzo Inserisci qui il tuo nome e cognome.
Advertisements

Codice della Privacy Il d. lgs. n°196 del 30 giugno 2003.
Codice della Privacy o Codice della circolazione delle Informazioni ?
LA PRIVACY IN 4 PASSI Nella diapositiva successiva troverete uno schema che riassume gli aspetti principali della “PRIVACY” L’obiettivo è quello di descrivervi.
Struttura del codice sulla privacy:
Corso per collaboratori di studio medico
CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI D.Lgs. 30 giugno 2003 n. 196 Entrato in vigore il 1° gennaio 2004 sostituisce L. 675/96; Recepisce:
CORSO PRIVACY PARTE GENERALE
DIRITTO DI ACCESSO E PRIVACY
La tutela dei dati personali Le novità introdotte dal TU 196/03 Lezione n. 2.
2. lezione La tutela dei dati personali. Il rilievo costituzionale del diritto alla riservatezza La riservatezza non trova protezione in una specifica.
La tutela dei dati personali
Eutekne – Tutti i diritti riservati Il Codice della Privacy (DLgs. 196/2003) e le Associazioni Sportive Avv. Stefano Comellini.
Diritto di accesso e privacy
LA NORMATIVA DI RIFERIMENTO
STUDIO DE ANDRE. I SOGGETTI II INFORMATIVA II UN INFORMATIVA SU UN COUPON DI ABBONAMENTO CLAUSOLA CONTRATTUALE La sottoscrizione dellofferta dà diritto.
1 La protezione dei dati D.lgs. 196/2003 Il Codice in materia di Protezione dei dati personali.
Confindustria Genova Workshop 31 gennaio 2008 Privacy e fisco Avv. Roberto Falcone.
Chiocciola S.r.l. – Riproduzione vietata – Guarene, 24 maggio 2006 Dal 1996… un obbiettivo strategico: la sicurezza a 360° LUCIANO CORINO Chiocciola Consulting.
La tutela dei dati personali
Impresa e Privacy. Il trattamento dei dati deve essere eseguito nel rispetto dei diritti e delle libertà fondamentali, della dignità della persona, con.
CORSO DI WEB ANIMATOR PARROCCHIALI A s p e t t i g i u r i d i c i
Autore TECNOCHORA SPA - AREA INFORMATION TECHNOLOGY La Privacy Formazione del personale interno Materiale riservato. Proprietà di Tecnochora spa. Vietata.
Novità in materia di PRIVACY 23 febbraio 2012 Relatore: Gianni Festi.
PRIVACY SCUOLA a cura di DOTT. MANGANIELLO MARCO
ISTAT DCRS Novità organizzative e legislative per il PSN (Roma, 24 giugno 2009) Maria Rosaria Simeone (Dirigente Servizio DCRS/IST) Impatto della normativa.
VENDERE ALLESTERO Checklist dei principali aspetti da monitorare 13 dicembre 2012 Vercelli dalle 9.15 alle Borgosesia dalle alle Lo Sportello.
Riproduzione riservata
Convegno il fattore sicurezza slide n. 1 La messa a norma per il trattamento dei dati personali (privacy) Ing. Piero Giagnoni Milano, 4 dicembre 2001.
FORMAZIONE DEL PERSONALE DOCENTE E A.T.A. I.T.C. “C. DEGANUTTI” UDINE
Il nuovo Codice in materia di protezione dei dati personali.
La tutela dei dati personali
Direttiva 2005/36/CE Relativa al riconoscimento delle qualifiche professionali.
I nuovi problemi giuridici Lutilizzazione sempre più diffusa dellinformatica nel corso degli anni ha investito tutti gli ambiti della vita sociale. La.
L’INFORMATIVA E CONSENSO PRIVACY NELL’ORDINAMENTO SCOLASTICO
Per la gestione dei dati personali: Per la gestione dei dati personali:
D. Lgs 196/2003 Codice in materia di protezione dei dati personali.
D.L.196 del 30 giugno 2003 codice in materia di protezione dei dati personali Scuola elementare statale IV Circolo di Lodi.
PRIVACY: Adempimenti e Opportunità
Lezione 8 Posta elettronica e internet in azienda. La legittimità degli strumenti di controllo.
20 maggio 2005 CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI (d.lgs. 30 giugno 2003, n. 196)
20 maggio CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI (d.lgs. 30 giugno 2003, n. 196) Formatore:
Razionalizzazione delle
IL CODICE DELLA PRIVACY
PORTFOLIO & PRIVACY Considerazioni sulla garanzia alla riservatezza con lintroduzione del Portfolio.
Iniziativa realizzata nellambito delle attività di promozione del CSV Irpinia Solidale1 Progetto: Consumatori Informati – cod. 310/ giugno 2009.
CONSULTABILITA’ DOCUMENTI
Nozioni basilari in materia di Privacy
Interessato: Informativa e diritti L’Art. 7 definisce i diritti dell’interessato: Ottenere Informativa Preventiva sulle finalità e le modalità del trattamento.
Azienda Ospedaliera San Giovanni Addolorata: Compiti dei responsabili e referenti privacy Avv. Giovanni Guerra.
I dati Personali Sono Persona Fisica Privati I dati Personali
CORSO DI AGGIORNAMENTO ADEMPIMENTI PER LA TUTELA DELLA PRIVACY ANNO 2008.
Riservatezza del minore Convenzione O.N.U. sui diritti del bambino 1989 Carta di Treviso 25 novembre 1995 Ordine nazionale giornalisti/federazione nazionale.
Principio di necessità nel trattamento dei dati (art.3 codice privacy)
R:\2.Scambio\Normativa_Privacy
La tutela dei dati personali è disciplinata dal d. lgs. 196/2003, conosciuto come il CODICE della PRIVACY. Esso garantisce che il trattamento dei dati.
La ricetta dei biscotti “conformi”
Le associazioni possono costituirsi:
Guardie Giurate Art. 2 Statuto dei lavoratori.
CRUI 14 e 15 luglio 2014 Elisabetta Di Russo Dipartimento di Medicina Molecolare GLAD – Gruppo di Lavoro Ateneo Drupal Nuove linee guida in materia di.
D.Lgs 196/03: Tutela della privacy
La diffusione sul web di dati personali e la privacy negli enti locali Relatore Gianni Festi 1.
Le policy aziendali relative al trattamento di dati sensibili ed informazioni riservate novembre2015.
9 marzo Monitoraggio e controllo Il contesto normativo.
PPT- Postecert PEC – 05/2009 Postecert Posta Elettronica Certificata.
IL DIRIGENTE SCOLASTICO In qualità di Titolare del trattamento dei dati personali dell’Istituzione scolastica; Ai sensi degli art. 29 e 30 del Testo Unico.
Associazione Industriale Bresciana 23 giugno 2004 PRIVACY ORGANIZZAZIONE E PRINCIPALI ADEMPIMENTI Decreto legislativo 30 giugno 2003, n. 196 Associazione.
Diritto e Internet Matteo Sacchi Classe 1°B Anno scolastico 2014/2015.
Decreto legislativo 30 giugno 2003, n. 196 “Codice in materia di protezione dei dati personali”
La sicurezza informatica Davide Bacciardi 1B_A.S 2014/2015.
Transcript della presentazione:

La tutela dei dati personali. Analisi della normativa e della giurisprudenza

Fattispecie Un ex dipendente di una banca aveva intrapreso la professione di promotore finanziario e, prima di abbandonare la sede dell’istituto di credito, si era appropriato degli elenchi dei nominativi dei clienti della banca, costituendosi in questo modo un archivio utile per intraprendere la nuova attività

Evoluzione della tutela Tutela della riservatezza (diritto ad essere lasciato solo) Tutela dei dati personali (diritto al controllo sul flusso dei dati) Tutela dell’identità personale (diritto ad essere rappresentati come si è)

Il codice in materia di protezione dei dati personali Alcune definizioni dal TU 196/03 titolare la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono le decisioni in ordine alle finalità ed alle modalità del trattamento di dati personali, ivi compreso il profilo della sicurezza. interessato la persona fisica, la persona giuridica, l'ente o l'associazione cui si riferiscono i dati personali. dato personale qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale; dati sensibili dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale

La novità introdotta dalla legge 675/96 (oggi TU 196/03) Prima titolare dati Dopo titolare dati interessato

Sentenza Configura il reato di trattamento illecito di dati, l’organizzazione di dati in un archivio informatico ed il successivo uso per inviare lettere promozionali a clienti, senza il loro consenso. (Pretura di Palermo 18 aprile 1999)

Ambito di applicazione si applica al trattamento di dati personali da chiunque effettuato nel territorio dello Stato, anche quando esso sia effettuato da chi sia stabilito all’estero utilizzando mezzi situati nel territorio, a meno che ciò non avvenga solo ai fini di transito si applica al trattamento di dati di persone fisiche e persone giuridiche (salvo per quest’ultime alcune eccezioni negli adempimenti previsti dalla legge) si applica anche ai trattamenti effettuati senza l’ausilio di mezzi elettronici; non si applica (salve le disposizioni sulla sicurezza tecnica) al trattamento effettuato da persone fisiche per fini esclusivamente personali; si applica al settore pubblico e al settore privato; non si applica ai trattamenti nel settore della sicurezza pubblica, difesa dello Stato, amministrazione della giustizia.

Sentenza Cassazione Civile n. 8889 30 giugno 2001 Applicabilità della tutela anche per i dati personali non custoditi in una banca dati L'inesatto trattamento di dati personali legittima l'interessato ad invocare, presso la competente autorità di garanzia, la tutela di cui agli artt. 1 e seguenti della legge n. 675 del 1996, a prescindere dalla circostanza che il dato personale inesattamente riportato sia custodito in una banca dati, ovvero sia soltanto diffuso, come nella specie, nell'esercizio di attività giornalistica (e, pertanto, non sia destinato, in tal caso, ad alcuna "archiviazione"). La legge n. 675 del 1996, difatti, pur riservando particolare rilievo ai dati personali che presuppongano un'attività di archiviazione in banche dati, è purtuttavia funzionale, nelle sue linee generali, alla difesa della persona e dei suoi fondamentali diritti - che possono ben essere lesi dal trattamento anche solo giornalistico dei dati medesimi, in considerazione della loro sola diffusione, ed a prescindere dalla conseguente strutturazione in archivio

Il principio di necessità Articolo 3 I sistemi informativi e i programmi informatici sono configurati riducendo al minimo l’utilizzazione di dati personali e di dati identificativi, in modo da escluderne il trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante, rispettivamente, dati anonimi od opportune modalità che permettano di identificare l’interessato solo in caso di necessità

La qualità dei dati Articolo 11 I dati personali oggetto di trattamento devono essere: a) trattati in modo lecito e secondo correttezza; b) raccolti e registrati per scopi determinati, espliciti e legittimi, ed utilizzati in altre operazioni del trattamento in termini non incompatibili con tali scopi; c) esatti e, se necessario, aggiornati; d) pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono raccolti o successivamente trattati; e) conservati in una forma che consenta l’identificazione dell’interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati.

La fattispecie La società Cerved esprimeva in un “report” valutazione negativa circa il grado di affidabilità di Omnia service srl Tale valutazione derivava dalle indicazioni di una serie di protesti che riguarderebbero non l’interessato (legale rappresentate di Omnia service srl), ma due società in una delle quali (XY e C. s.a.s.) il ricorrente è stato unicamente socio accomandante, e quindi privo di ogni potere di amministrazione e rappresentanza, mentre nell’altra (XY s.p.a.) non avrebbe rivestito alcuna carica. Il ricorrente fa istanza a Cerved ai sensi dell’articolo 13 della legge 675/96 chiedendo la cancellazione delle informazioni in questione.

Sentenza Il ricorso ha per specifico oggetto la valutazione di pertinenza e non eccedenza delle informazioni trattate, la cui esattezza non forma oggetto di contestazione. Deve essere accolta la richiesta di cancellazione dei dati relativi ai protesti della XY spa perchè l’interessato non ha mai svolto alcun ruolo Non deve essere accolta la richiesta di cancellazione dei dati relativi ai protesti dalla XY e C. sas perchè l’interessato vi rivestiva il ruolo di socio accomandante. Le informazioni in questione risultano pertinenti e non eccedenti rispetto alla finalità, lecitamente perseguita dalla società resistente, di fornire un’ampia informazione commerciale sulla solvibilità e sull’affidabilità dei soggetti ai quali si riferisce l’informativa. Né può in termini generali attribuirsi rilievo decisivo alla circostanza del ruolo di accomandante assunto da un operatore, per svalutarne l’importanza -secondo le linee tracciate dalla difesa del ricorrente-, atteso che questi, pur nei limiti della quota conferita, può, ricorrendone i presupposti, essere chiamato a rispondere per le obbligazioni sociali ai sensi dell’art. 2313 c.c. (oltre che in base all’art. 2320 c.c.).

Regime privato e regime pubblico (quando il titolare è persona fisica, giuridica, ente o associazione) informativa all’interessato consenso al trattamento dei dati (salvo i casi di esclusione previsti dalla legge) autorizzazione del garante e consenso scritto per il trattamento di dati sensibili adempimenti connessi all’esercizio dei diritti dell’interessato Regime pubblico (quando il titolare è un soggetto pubblico) informativa all’interessato previsione normativa o regolamentare adempimenti connessi all’esercizio dei diritti dell’interessato

L’informativa all’interessato Contenuti Finalità e modalità del trattamento Natura obbligatoria o facoltativa del conferimento dei dati Conseguenze di un eventuale rifiuto di rispondere Soggetti o categorie di soggetti a cui i dati sono comunicati o l’ambito di diffusione degli stessi I diritti di cui all’articolo 7 Nome, denominazione sociale, residenza o sede del titolare e di almeno un responsabile le categorie di dati trattati, se questi sono raccolti presso terzi Ruolo Costituisce lo strumento principale a disposizione dell’interessato per esercitare il controllo sul flusso dei dati

I diritti dell’interessato (art. 7 TU) di avere conferma dell’esistenza di dati che lo riguardano di ottenere l’indicazione dell’origine dei dati personali delle finalità e modalità del trattaemnto della logica del trattamento del titolare e degli eventuali responsabili dei soggi a cui i dati sono comunicati di ottenere l’aggiornamento o la rettifica dei dati la cancellazione dei dati trattati in violazione della legge l’attestazione che le precedenti operazioni sono state portate a conoscenza degli interessati di opporsi per motivi legittimi al trattamento di dati al trattamento di dati personal per l’invio di materiale pubblicitario, ricerche di mercato, comunicazione commerciale etc.

Il consenso. Obbligo e casi di esonero (art. 23 e 24) Il trattamento di dati personali da parte di soggetti privati ed enti pubblici economici è ammesso solo con il consenso espresso dell’interessato Casi di esonero: trattamento necessario per adempiere ad un obbligo di legge trattamento necessario per obblighi derivanti da un contratto di cui è parte l’interessato dati derivanti da pubblici registri ricerca scientifica o statistica dati relativi allo svolgimento di attività economiche salvaguardia della vita dell’interessato indagini difensive casi individuati dal Garante da associazioni e organismi senza scopo di lucro su dati di soggetti che hanno con essi contatti regolari per scopi statistici, storici e scientifici secondo i codici deontologici

La sicurezza dei dati Articolo 15 (estratto) I dati personali oggetto di trattamento devono essere custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l’adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.

Le misure minime di sicurezza Misure fisiche Misure logiche password codici identificativi antivirus ...... Misure organizzative incarichi autorizzazioni Documento programmatico della sicurezza

La raccolta dei dati personali Informativa e consenso come strumenti di tutela dell’interessato e di lavoro del titolare chiarimento per i dati sensibili!!! raccolta diretta raccolta da terzi raccolta indiretta

La raccolta diretta L’ informativa Il consenso sono piuttosto rari i casi di esonero dall’obbligo Il consenso esonero nel caso di trattamento di dati necessario all’esecuzione del contratto riguarda dati relativi allo svolgimento di attività economica, anche per fini di informazione commerciale, di invio di materiale pubblicitario, di vendita diretta, per il compimento di ricerche di mercato o di comunicazione commerciale interattiva

La raccolta da terzi L’informativa Il consenso quando? deve essere data anche se vi ha già provveduto la fonte? quando? Il consenso esonero per i dati provenienti da pubblici registri, elenchi atti o documenti conoscibili da chiunque riguarda dati relativi allo svolgimento di attività economica, anche per fini di informazione commerciale, di invio di materiale pubblicitario, di vendita diretta, per il compimento di ricerche di mercato o di comunicazione commerciale interattiva

Raccolta indiretta Data log Cookies Sono dati personali? Quando?

Data log Direttiva 02/58/CE Articolo 5 E’ vietato l’ascolto, la captazione, la memorizzazione e altre forme di intercettazione o di sorveglianza delle comunicazioni e dei relativi dati sul traffico ad opera di persone diverse dagli utenti, senza consenso di questi ultimi, eccetto quando sia autorizzato legalmente. E’ consentita la memorizzazione tecnica necessaria alla trasmissione della comunicazione fatto salvo il principio della riservatezza. E’ consentita la registrazione di comunicazioni e di dati sul traffico se effettuato nel quadro di legittime prassi commerciali allo scopo di fornire la prova di una transazione o di una qualsiasi altra comunicazione commerciale

Condizioni di legittimità del controllo da parte del fornitore di servizi di telecomunicazione decr.leg. 196/03 art. 123 dpr 445/00 I dati personali relativi al traffico sono cancellati o resi anonimi se non sono più necessari alla trasmissione della comunicazione. E’ consentita la conservazione per la fatturazione Ai fini della commercializzazione di servizi di telecomunicazioni, propri o altrui, il fornitore di un servizio di telecomunicazioni accessibile al pubblico può trattare i dati solo se l’abbonato o l’utente ha dato il proprio consenso. Gli addetti alle operazioni di trasmissione per via telematica di atti, dati e documenti formati con strumenti informatici non possono prendere cognizione della corrispondenza telematica, duplicare con qualsiasi mezzo o cedere a terzi a qualsiasi titolo informazioni anche in forma sintetica o per estratto sull'esistenza o sul contenuto di corrispondenza, comunicazioni o messaggi trasmessi per via telematica, salvo che si tratti di informazioni per loro natura o per espressa indicazione del mittente destinate ad essere rese pubbliche.

Cookies Art. 122 TU Salvo quanto previsto dal secondo comma, è vietato l’uso di una rete di comunicazione elettronica per accedere ad informazioni archiviate nell’apparecchio terminale di un abbonato o di un utente, per archiviare informazioni o per monitorare le operazioni dell’utente. Il codice di deontologia di cui all’art. 133 individua i presupposti e i limiti entro i quali l’uso della rete nei modi di cui al comma 1, per determinati scopi legittimi relativi alla memorizzazione tecnica per il tempo strettamente necessario alla trasmissione della comunicazione o a fornire uno specifico servizio richiesto dall’abbonato o dall’utente, è consentito al fornitore del servizio di comunicazione elettronica nei riguardi dell’abbonato e dell’utente che abbiano espresso il consenso sulla base di una previa informativa ai sensi dell’articolo 13 che indichi analiticamente, in modo chiaro e preciso le finalità e la durata del trattamento.

Fattispecie (cookies) La Double Click, società americana di advertising on line, era stata citata in giudizio da diversi ricorrenti, con l’accusa di violazione del diritto alla privacy e ingiusto arricchimento personale. Richiamandosi all’Electronic Communications Privacy Act (Ecpa), la legge americana che proibisce l'intercettazione, l’accusa aveva contestato alla Double Click l’utilizzo dei cosiddetti cookies, attraverso i quali dal 1996 la società pubblicitaria aveva raccolto, secondo i ricorrenti, informazioni personali degli utenti.

Sentenza District Court New York 28.3.01 Utilizzare i cookies - i programmi che raccolgono informazioni sulle rotte seguite dagli utenti Internet – per registrare i dati dei navigatori ai fini pubblicitari è una pratica lecita.

L’utilizzo dei dati per invio di materiale pubblicitario, etc. (art L’utilizzo dei dati per invio di materiale pubblicitario, etc. (art. 130 TU) L’uso di un sistema automatizzato di chiamata senza intervento di un operatore per invio di materiale pubblicitario, di vendita diretta, ricerche di mercato etc. è consentito con il consenso dell’abbonato. Lo stesso per posta elettronica, fax, mms, sms etc. Le chiamate per tali finalità effettuate con mezzi diversi sono consentite ai sensi degli articoli 23 e 24 del TU ? Consenso per le chiamate telefoniche, ad eccezione di quelle che utilizzano dati di pubblici registri o relativi allo svolgimento di attività economica

L’utilizzo dei dati per attività di mailing. Giurisprudenza Mail grabbing (raccolta degli indirizzi in internet) Mail spamming (invio di mailing non sollecitato)

Fattispecie (spamming) Un organismo politico in periodo elettorale ha reperito indirizzi di posta elettronica a scopo di comunicazione politica utilizzando un software a disposizione di un terzo il quale archivierebbe indirizzi e-mail visualizzati su pagine web accessibili a chiunque in rete senza l’uso di password o di altri sistemi di protezione

Pronuncia (spamming) Garante per la protezione dei dati personali 11.01.01 Gli indirizzi di posta elettronica reperiti sulla rete Internet su pagine web non costituiscono dati contenuti in pubblici registri, elenchi, atti o documenti conoscibili da chiunque ai sensi dell’articol 12 e dunque trattabili senza il consenso dell’interessato. Pertanto l’invio di messaggi di comunicazione politica a tali indirizzi costituisce un trattamento non autorizzato illegittimo. La pubblicità dell’indirizzo di posta elettronica sulla rete Internet é limitata allo scopo per il quale l’indirizzo é stato reso noto e pertanto esso non é liberamente utilizzabile perl’invio generalizzato di email anche quando queste non abbiano contenuto commerciale o pubblicitario.

Fattispecie (spamming commerciale) Alcune società avevano attinto gli indirizzi e.mail attraverso ricerche massive su internet o attraverso software che consentono di raccogliere gli indirizzi sulla rete. Li avevano poi utilizzati per inviare materiale pubblicitario.

Pronuncia (spamming commerciale) Garante per la protezione dei dati personali 26/07/02 Le società hanno violato le norme sulla privacy che, per l'invio di comunicazioni di tipo commerciale o promozionale, richiedono il consenso informato degli interessati.

Bibliografia Vincenzo Caridi “La tutela dei dati personali in Internet: la questione dei logs e dei cookies alla luce delle dinamiche economiche dei dati personali” In Il Diritto dell’Informazione e dell’Informatica 2001 Giuffrè editore pag. 763 Il TU in materia di protezione dei dati personali è reperibile in www.garanteprivacy.it