PRIVACY E SICUREZZA Normativa e adempimenti

Slides:



Advertisements
Presentazioni simili
Convegno di Studi su Internet e Diritto - Milano, 16 e 17 Ottobre 2003 Convegno di Studi su Internet e Diritto - Milano, 16 e 17 Ottobre 2003 Ing. Andrea.
Advertisements

Codice della Privacy Il d. lgs. n°196 del 30 giugno 2003.
LA PRIVACY IN 4 PASSI Nella diapositiva successiva troverete uno schema che riassume gli aspetti principali della “PRIVACY” L’obiettivo è quello di descrivervi.
Struttura del codice sulla privacy:
Firenze - 27 Aprile 2002 Salone de'Dugento Palazzo Vecchio E-privacy, riservatezza e diritti individuali in rete: difendersi dal Grande Fratello nel terzo.
il Rappresentante dei Lavoratori per la Sicurezza
CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI D.Lgs. 30 giugno 2003 n. 196 Entrato in vigore il 1° gennaio 2004 sostituisce L. 675/96; Recepisce:
CORSO PRIVACY PARTE GENERALE
CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI
1 SANZIONI 1.Mancata informativa : Sanzione da a euro. Sanzione da a euro in caso di dati sensibili o giudiziari (oppure di trattamenti.
Diritto di accesso e privacy
LA NORMATIVA DI RIFERIMENTO
I PROTAGONISTI DELLA SICUREZZA E LE SANZIONI
1 La protezione dei dati D.lgs. 196/2003 Il Codice in materia di Protezione dei dati personali.
Confindustria Genova Workshop 31 gennaio 2008 Privacy e fisco Avv. Roberto Falcone.
Chiocciola S.r.l. – Riproduzione vietata – Guarene, 24 maggio 2006 Dal 1996… un obbiettivo strategico: la sicurezza a 360° LUCIANO CORINO Chiocciola Consulting.
Università di Udine Facoltà di Scienze MM. FF. NN. COMPITI E MANSIONI DELL'AMMINISTRATORE DI SISTEMA NELLA NORMATIVA SULLA PRIVACY Paolo Fritz.
La tutela dei dati personali
Documento informatico Ingegneria Informatica 31 marzo 2006 Prof. Pieremilio Sammarco.
Impresa e Privacy. Il trattamento dei dati deve essere eseguito nel rispetto dei diritti e delle libertà fondamentali, della dignità della persona, con.
Autore TECNOCHORA SPA - AREA INFORMATION TECHNOLOGY La Privacy Formazione del personale interno Materiale riservato. Proprietà di Tecnochora spa. Vietata.
Novità in materia di PRIVACY 23 febbraio 2012 Relatore: Gianni Festi.
PRIVACY SCUOLA a cura di DOTT. MANGANIELLO MARCO
PREVENZIONE E MANUTENZIONE
ISTAT DCRS Novità organizzative e legislative per il PSN (Roma, 24 giugno 2009) Maria Rosaria Simeone (Dirigente Servizio DCRS/IST) Impatto della normativa.
Riproduzione riservata
Dlgs. 196/ Da onere burocratico a opportunità aziendale Testo unico che integra, sotituisce e abroga i precedenti D. lgs.: 675 del 31/12/1996:
Ordine degli Ingegneri della Provincia di Napoli Commissione Informatica 1 Seminario sulla Sicurezza e sulla Protezione dei Dati Personali Napoli 11 novembre.
RIFERIMENTI NORMATIVI : Il 15° Censimento Generale della Popolazione e delle Abitazioni è disciplinato da fonti normative comunitarie e nazionali: - Normative.
FORMAZIONE DEL PERSONALE DOCENTE E A.T.A. I.T.C. “C. DEGANUTTI” UDINE
La tutela dei dati personali
Seminario informativo sulle problematiche della trasmissione telematica delle dichiarazioni Privacy e sicurezza: Gli obblighi in tema di riservatezza -
1 20 maggio 2005 MISURE DI SICUREZZA INFORMATICA DEL NUOVO CODICE DELLA PRIVACY (d.lgs. 30 giugno 2003, n. 196)
Dati delle Pubbliche Amministrazioni e Servizi in Rete Prefettura di Reggio Calabria novembre 2010.
IN TEMA DI FASCICOLO SANITARIO ELETTRONICO E DI DOSSIER SANITARIO
D. Lgs 196/2003 Codice in materia di protezione dei dati personali.
22 MARZO ORE 15,00 Sei in regola con gli obblighi in materia di sicurezza e privacy? Consigli pratici per adeguarsi… Piermaria Saglietto.
D.L.196 del 30 giugno 2003 codice in materia di protezione dei dati personali Scuola elementare statale IV Circolo di Lodi.
PRIVACY: Adempimenti e Opportunità
La sicurezza delle reti informatiche : la legge sulla Privacy
20 maggio 2005 CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI (d.lgs. 30 giugno 2003, n. 196)
20 maggio CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI (d.lgs. 30 giugno 2003, n. 196) Formatore:
Razionalizzazione delle
IL CODICE DELLA PRIVACY
PORTFOLIO & PRIVACY Considerazioni sulla garanzia alla riservatezza con lintroduzione del Portfolio.
Iniziativa realizzata nellambito delle attività di promozione del CSV Irpinia Solidale1 Progetto: Consumatori Informati – cod. 310/ giugno 2009.
CONSULTABILITA’ DOCUMENTI
Codice della Privacy e sanzioni
Nozioni basilari in materia di Privacy
Le funzioni di Polizia Giudiziaria per il personale degli U.R.T.A.T Le funzioni di Polizia Giudiziaria per il personale degli U.R.T.A.T marzo 2006.
Relatore: ing. Francesco Italia
1 FATTURAZIONE ELETTRONICA “PA” & CONSERVAZIONE DIGITALE A NORMA CONSERVAZIONE DIGITALE SOSTITUTIVA IL RESPONSABILE DELLA CONSERVAZIONE ​​ Definizione.
Azienda Ospedaliera San Giovanni Addolorata: Compiti dei responsabili e referenti privacy Avv. Giovanni Guerra.
Azienda Ospedaliera San Giovanni Addolorata Privacy: Misure Minime di Sicurezza Gianpiero Guerrieri Dirigente Analista I.C.T.
Obblighi rispetto alla tutela della Privacy Dlgs 196/2003.
CORSO DI AGGIORNAMENTO ADEMPIMENTI PER LA TUTELA DELLA PRIVACY ANNO 2008.
Principio di necessità nel trattamento dei dati (art.3 codice privacy)
R:\2.Scambio\Normativa_Privacy
Misure di Sicurezza per gli Strumenti Elettronici Gianpiero Guerrieri Dirigente Analista Responsabile I.C.T.
Forum PA – Roma 12 maggio PEC – Un nuovo servizio per tutti - C. Petrucci Posta Elettronica Certificata Un nuovo servizio per tutti ing. Claudio.
Le associazioni possono costituirsi:
La conservazione dei documenti informatici delle pubbliche amministrazioni Enrica Massella Ducci Teri Roma, 27 maggio 2015.
CRUI 14 e 15 luglio 2014 Elisabetta Di Russo Dipartimento di Medicina Molecolare GLAD – Gruppo di Lavoro Ateneo Drupal Nuove linee guida in materia di.
D.Lgs 196/03: Tutela della privacy
La diffusione sul web di dati personali e la privacy negli enti locali Relatore Gianni Festi 1.
Le policy aziendali relative al trattamento di dati sensibili ed informazioni riservate novembre2015.
Protezione dei dati personali: Soggetti, compiti e responsabilità 15° Censimento generale della popolazione e delle abitazioni Formazione UCC Prefettura.
L’utilizzo della firma digitale e della posta elettronica certificata ai procedimenti demografici A. FRANCIONI e G. PIZZO Esperti Anusca.
Associazione Industriale Bresciana 23 giugno 2004 PRIVACY ORGANIZZAZIONE E PRINCIPALI ADEMPIMENTI Decreto legislativo 30 giugno 2003, n. 196 Associazione.
Decreto legislativo 30 giugno 2003, n. 196 “Codice in materia di protezione dei dati personali”
Transcript della presentazione:

PRIVACY E SICUREZZA Normativa e adempimenti Roma, 25 maggio 2004 Piazza Rondanini, 48 - 00186 Roma Tel. +39 06 68 44 11 Fax +39 06 68 44 13 99 www.crui.it

Normative e adempimenti Privacy e Sicurezza Normative e adempimenti Struttura dell’intervento Riferimenti normativi Il Codice in materia di protezione dei dati personali Struttura e definizioni Adempimenti/scadenze Il codice di deontologia e buona condotta per i trattamenti di dati personali per scopi statistici e scientifici

RIFERIMENTI NORMATIVI Privacy e Sicurezza Normative e adempimenti RIFERIMENTI NORMATIVI

Normative di riferimento antecedenti al codice (1/2) Privacy e Sicurezza Normative e adempimenti Normative di riferimento antecedenti al codice (1/2) Normativa Oggetto Direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995 A Tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati Legge 31 dicembre 1996, n. 675 B Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali DPR 28 luglio 1999, n. 318 C Regolamento recante norme per l’individuazione delle misure minime di sicurezza per il trattamento dei dati personali, a norma dell’art. 15, comma 2, della L. 675/96

Normative di riferimento antecedenti al codice (2/2) Privacy e Sicurezza Normative e adempimenti Normative di riferimento antecedenti al codice (2/2) Normativa Oggetto D E F Direttiva 97/66/CE del Parlamento europeo e del Consiglio, del 15 dicembre 1997 Trattamento dei dati personali e tutela della vita privata nel settore delle telecomunicazioni Disposizioni in materia di tutela della vita privata nel settore delle telecomunicazioni, in attuazione della Direttiva 97/66/CE del Parlamento europeo e del Consiglio, ed in tema di attività giornalistica D.Lgs. 13 maggio 1998, n. 171 Direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002 Trattamento dei dati personali e tutela della vita privata nel settore delle comunicazioni elettroniche

Testo Unico Privacy e Sicurezza Normative e adempimenti D.Lgs 30 giugno 2003, n. 196 “Codice in materia di protezione dei dati personali” Allegato A – CODICE DI DEONTOLOGIA a.1 Codice di deontologia relativo al trattamento dei dati personali nell’esercizio dell’attività giornalistica a.2 Trattamento dei dati personali per scopi storici a.3 Trattamento dei dati personali a scopi statistici in ambito sistan Trattamento dei dati personali a scopi scientifici e statistici (in corso di pubblicazione) 1 Allegato B – DISCIPLINARE TECNICO in materia di misure minime di sicurezza 2 TAVOLA DI CORRISPONDENZA riferimenti previgenti al Codice in materia di protezione dei dati personali 3

DELIBERAZIONE DEL 31 MARZO 2004, n.1 Privacy e Sicurezza Normative e adempimenti ll Garante per la protezione della privacy Il Garante per la protezione dei dati personali è un’autorità indipendente istituita dalla legge sulla privacy (legge 31 dicembre 1996 n. 675) per assicurare la tutela dei diritti e delle libertà fondamentali ed il rispetto della dignità nel trattamento dei dati personali. Da quando è stata istituita,l’autorità ha emanato diverse deliberazioni tra le quali si segnala: DELIBERAZIONE DEL 31 MARZO 2004, n.1 Chiarimenti sugli obblighi di notificazione Opportunità di interlocuzione con il Garante Sito: www.garanteprivacy.it

Normative e adempimenti Privacy e Sicurezza Normative e adempimenti Principi fondamentali 1/2 Il Codice in materia di protezione dei dati personali ha un impianto nel quale assume specifica rilevanza la trama dei principi, da adattare poi alla molteplicità delle situazioni concrete. Irrobustisce il sistema della protezione dei dati personali, ormai solidamente collocata nel quadro dei diritti fondamentali. Fa così crescere le garanzie per la libertà delle persone. Rappresenta il primo esempio, su scala internazionale, di riordino generale di una materia complessa e mutevole. 1 L’innovazione sul piano dei principi si coglie fin dal primo articolo del Codice, che riproduce il primo comma dell’art. 8 della Carta dei diritti fondamentali dell’Unione Europea (ora presente anche nell’articolo 50 del Progetto di Trattato che istituisce una Costituzione per l’Europa): “Chiunque ha diritto alla protezione dei dati personali che lo riguardano” 2 Il trasferimento di questa norma nel sistema italiano rende non più proponibili interpretazioni riduttive della protezione dei dati personali, e stabilisce un legame solido tra ordinamento italiano e ordinamento europeo. E il Legislatore ha voluto ulteriormente ribadire la sua volontà di considerare la protezione dei dati come un diritto fondamentale, nominandola esplicitamente nell’art. 2 del Codice 3

Principi fondamentali Privacy e Sicurezza Normative e adempimenti Testo Unico - principi fondamentali 2/2 Occorre dimensionarsi per assicurare un “elevato livello di tutela” (art. 2.2 - Testo Unico) 1 Le modalità adottate devono perseguire la semplificazione e l’efficacia (art. 2.2 - Testo Unico) per l’esercizio dei diritti dell’interessato per gli obblighi del titolare 2 Adottare sistemi informativi che minimizzino l’uso di dati personali e identifichino l’interessato solo quando necessario (art. 3.1 - Testo Unico) 3 Principi fondamentali

Normative e adempimenti Privacy e Sicurezza Normative e adempimenti Testo Unico – definizioni: notificazione 1/2 La notificazione: è una dichiarazione ufficiale mediante la quale, un soggetto pubblico o privato rende note al Garante per la protezione della privacy le caratteristiche principali dell’utilizzo dei dati personali da parte del titolare del trattamento dei dp, ovvero del soggetto cui competono le decisioni in ordine alle finalità e modalità del trattamento dp, inclusa la sicurezza La notificazione va trasmessa al Garante, tramite il sito internet del medesimo e utilizzando la procedura indicata nelle istruzioni. Per perfezionare la notificazione è necessario sottoscriverla con firma digitale (art. 10, comma 3, d.P.R. n. 445/2000). A tal fine, il titolare del trattamento deve utilizzare un dispositivo di firma digitale disponibile presso uno dei certificatori accreditati ai sensi dell’art. 2, comma 1, lett. c), d. lg. n. 10/2002. L’elenco dei certificatori è rinvenibile sul sito http://www.cnipa.gov.it/. Per le attività di trattamento dei dati che non esistevano prima del 1° gennaio 2004, la notificazione va effettuata prima che inizi il trattamento medesimo. Per le attività che erano già in essere prima del 1° gennaio 2004, la notificazione si poteva effettuare entro il 30 aprile 2004. La notificazione va effettuata una sola volta, indipendentemente dalla durata, dal tipo e dal numero delle operazioni di trattamento, sia che si effettui un solo trattamento, sia che si curino più attività di trattamento con finalità correlate tra loro.

Normative e adempimenti Privacy e Sicurezza Normative e adempimenti Testo Unico. Definizioni principali: notificazione 2/2 A partire dal 1°gennaio 2004 sono tenuti a notificare solo alcuni soggetti, ossia solo i titolari che effettuano una o più attività di trattamento tra quelle specificamente indicate dal Codice (la precedente normativa, invece, prevedeva per tutti i titolari l’obbligo di effettuare la notificazione, a meno che potessero avvalersi dei casi di esonero o di possibile utilizzazione di una notificazione semplificata). I casi espressamente previsti dal codice (art.37) riguardano: Dati genetici e biometrici, Posizione geografica di persone od oggetti, Dati sulla salute o sulla vita sessuale utilizzati per prestare servizi sanitari per via telematica, Dati sulla vita sessuale o sulla sfera psichica trattati da organismi no-profit, Strumenti elettronici per profilare interessati o utenti di servizi di comunicazione elettronica Rilevazione del rischio sulla solvibilità economica o di comportamenti illeciti o fraudolenti. Il Garante potrà individuare, con un proprio provvedimento, nell’ambito dei trattamenti che devono essere notificati, alcuni trattamenti che presentano minori rischi per i diritti degli interessati e che possono pertanto essere esonerati dalla notificazione; potrà, al contrario, anche indicare altri trattamenti al momento non indicati espressamente dalla legge, che dovranno essere notificati. Le notificazioni sono inserite in un registro pubblico che sarà consultabile gratuitamente da tutti on-line. Il titolare che non è tenuto alla notificazione deve comunque fornire le notizie contenute nel modello di notificazione a chi ne fa richiesta (nell’esercizio del diritto di accesso e degli altri diritti riconosciuti all’interessato), a meno che il trattamento riguardi pubblici registri, elenchi, atti o documenti conoscibili da chiunque.

Normative e adempimenti Privacy e Sicurezza Normative e adempimenti Testo Unico – definizioni principali: dati sensibili I dati sensibili (art. 22 l. 675/96):”I dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale…” I dati giudiziari, “i dati personali idonei a rivelare provvedimenti di cui all'articolo 3, comma 1, lettere da a) a o) e da r) a u), del d.P.R. 14 novembre 2002, n. 313, in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualità di imputato o di indagato ai sensi degli articoli 60 e 61 del codice di procedura penale”;

Normative e adempimenti Privacy e Sicurezza Normative e adempimenti Testo Unico – definizioni principali: il Titolare dei dp Il titolare dei dati personali può essere la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza; Compiti: - ha il potere decisionale sulle maggiori scelte relative all’utilizzo dei dati personali e sulla loro protezione - determina le competenze dei responsabili

Normative e adempimenti Privacy e Sicurezza Normative e adempimenti Testo Unico – definizioni principali: il responsabile dei dp Il responsabile è “la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali; I compiti del responsabile devono essere analiticamente precisati per iscritto. L’atto di nomina può essere qualificato, in termini giuridici, come un contratto di mandato, in virtù del quale il mandante (titolare) incarica il mandatario (responsabile) dello svolgimento di determinate attività rilevanti in materia di protezione e sicurezza dei dati

Piano d’interventi per: Privacy e Sicurezza Normative e adempimenti Testo Unico. Definizioni: Il Documento Programmatico sulla Sicurezza 1/2 D.P.S. Il Documento Programmatico della Sicurezza è un documento aziendale con valore ufficiale che deve obbligatoriamente essere redatto entro il 31 marzo di ogni anno dai Titolar dei dp che trattano con strumenti elettronici dati sensibili o giudiziari. Deve contenere: Piano d’interventi per: l’ elenco dei trattamenti la distribuzione di compiti e responsabilità l’analisi dei rischi la descrizione delle misure per l’integrità e la disponibilità dei dati misure per la protezione di aree e locali dove si effettuano i trattamenti la descrizione di criteri e modalità per il ripristino di disponibilità dei dati in caso di smarrimento o danneggiamento assunzione cambiamenti di mansione introduzione di strumenti significativi per il trattamento di dati personali la descrizione di criteri atti a garantire l’adozione delle misure minime in caso di trattamenti affidati all’esterno i criteri per la cifratura o la separazione dei dati sulla salute o sulla vita sessuale, utilizzati da organismi o professionisti sanitari.

Normative e adempimenti Privacy e Sicurezza Normative e adempimenti Testo Unico. Definizioni: Il Documento Programmatico della sicurezza 2/2 In base al nuovo Codice, la misura minima del DPS deve essere ora adottata dal titolare di un trattamento di dati sensibili o giudiziari effettuato con strumenti elettronici, attraverso l’organo, ufficio o persona fisica a ciò legittimata in base all’ordinamento aziendale o della pubblica amministrazione interessata (art.  34, comma 1, lett. g), del Codice;  regola 19 dell’Allegato B)).

Trattamento con strumenti elettronici Privacy e Sicurezza Normative e adempimenti Testo Unico. Definizioni: Misure minime Artt. 33, 34, 35, 36 T.U. e Disciplinare (allegato B) a) autenticazione informatica; b) adozione di procedure di gestione delle credenziali di autenticazione; c) utilizzazione di un sistema di autorizzazione; d) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici; e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici; f) adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi; g) tenuta di un aggiornato documento programmatico sulla sicurezza; h) adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari. Trattamento con strumenti elettronici Trattamento senza strumenti elettronici a) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati o alle unità organizzative; b) previsione di procedure per un'idonea custodia di atti e documenti affidati agli incaricati per lo svolgimento dei relativi compiti; c) previsione di procedure per la conservazione di determinati atti in archivi ad accesso selezionato e disciplina delle modalità di accesso finalizzata all'identificazione degli incaricati. La violazione di tali misure comporta sanzioni penali (art. 169, T.U.)

Normative e adempimenti Privacy e Sicurezza Normative e adempimenti Testo Unico. Definizioni: Misure adeguate MISURE ADEGUATE Hanno come parametro non più la legge, ma la miglior tecnologia del momento storico ART. 31 T.U. I dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta. La violazione di tali misure comporta responsabilità civile (art. 31, T.U.)

Normative e adempimenti Privacy e Sicurezza Normative e adempimenti Le scadenze 1/2 In base a quanto previsto dal codice, entro il 31 marzo di ogni anno e, in sede di prima applicazione, entro il 30 giugno 2004, Pubbliche Amministrazioni ed aziende private dovranno provvedere all’adozione di nuove misure minime di sicurezza e, fra queste, alla redazione del Documento Programmatico per la Sicurezza (DPS) La mancata applicazione espone il Titolare del trattamento dei dati personali a sanzione penale (art.169) – mitigata dal principio della prescrizione ART. 169 – Testo Unico Chiunque, essendovi tenuto, omette di adottare le misure minime previste dall'articolo 33 è punito con l'arresto sino a due anni o con l'ammenda da diecimila euro a cinquantamila euro. 2. All'autore del reato, all'atto dell'accertamento o, nei casi complessi, anche con successivo atto del Garante, è impartita una prescrizione fissando un termine per la regolarizzazione non eccedente il periodo di tempo tecnicamente necessario, prorogabile in caso di particolare complessità o per l'oggettiva difficoltà dell'adempimento e comunque non superiore a sei mesi. Nei sessanta giorni successivi allo scadere del termine, se risulta l'adempimento alla prescrizione, l'autore del reato è ammesso dal Garante a pagare una somma pari al quarto del massimo dell'ammenda stabilita per la contravvenzione. L'adempimento e il pagamento estinguono il reato. L'organo che impartisce la prescrizione e il pubblico ministero provvedono nei modi di cui agli articoli 21, 22, 23 e 24 del decreto legislativo 19 dicembre 1994, n. 758, e successive modificazioni, in quanto applicabili.

30 giugno 2004 Privacy e Sicurezza Normative e adempimenti Le scadenze 2/2 30 giugno 2004 Data certa per descrivere le obiettive ragioni tecniche che non consentono di applicare immediatamente alcune nuove misure minime (documento utilizzabile unicamente nel caso del tutto particolare previsto dall’art. 180, comma 2, del Codice per i soli strumenti elettronici). 1° gennaio 2005 Adozione nuove misure minime su strumenti elettronici non previste in base alla precedente disciplina (solo per i soggetti legittimati a predisporre il predetto documento a data certa).

Vantaggi assicurati dalla normativa Privacy e Sicurezza Normative e adempimenti Vantaggi assicurati dalla normativa La distribuzione delle responsabilità, anche penali, legate alle operazioni di trattamento 1 Una più corretta osservanza della Legge 2 Vantaggi L’articolazione dei ruoli DP (dati personali) con la nomina a Responsabile e l’individuazione degli Incaricati al trattamento (art. 29 e art. 30 T.U.) assicura:

La sicurezza La sicurezza 1/2 Privacy e Sicurezza Normative e adempimenti La sicurezza 1/2 Adozione di un livello minimo di sicurezza, in ogni caso (art. 33, T.U.) 2 Minimizzazione dei rischi di sicurezza in relazione a: Distruzione e perdita di dati Accesso non autorizzato Trattamento non consentito o non conforme a finalità (art.31, T.U.) 1 La sicurezza

Sicurezza minima e adeguata Privacy e Sicurezza Normative e adempimenti La sicurezza 2/2 Sicurezza minima e adeguata SICUREZZA MINIMA SICUREZZA ADEGUATA LIVELLO DI PROTEZIONE Elenco tassativo basato su natura dei dati (comuni e/o sensibili) e sui seguenti scenari: Trattamento con strumenti elettronici Trattamento senza strumenti elettronici Valutazione basata su: Progresso tecnico Natura dei dati Caratteristiche del trattamento

Distruzione o Conservazione Privacy e Sicurezza Normative e adempimenti Gestione dei curricula Gestione curricula: Arrivo Curriculum 1 I curricula devono essere conservati in archivi controllati periodicamente, se valutati “interessanti”. In caso contrario devono essere distrutti Valutazione 2 Distruzione o Conservazione 3 Adempimenti 4 Controllo Archivi 5

Normative e adempimenti Privacy e Sicurezza Normative e adempimenti Accesso alla valutazioni 1 Il fascicolo personale del dipendente, contenente le anagrafiche ma anche giudizi e note di merito, costituisce “Dato Personale” 2 Il lavoratore può esercitare i diritti di cui all’art. 7 T.U. 3 L’azienda deve rispondere entro 15 giorni 4 La procedura di valutazione deve essere terminata

Principi data protection Privacy e Sicurezza Normative e adempimenti Il PC aziendale Trasparenza Proporzionalità Non eccedenza Principi data protection Informativa Nomina a Incaricato o Responsabile Adempimenti Il controllo del PC del dipendente può integrare una violazione degli artt. 4 e 8 della Legge 300/70 (Statuto dei Lavoratori) Occorre bilanciare i vantaggi ed i rischi connessi all’uso degli strumenti elettronici PC aziendale in aiuto

Secondo un’isolata giurisprudenza Privacy e Sicurezza Normative e adempimenti E-mail aziendale Secondo il Garante La posta elettronica è equiparata alla posta cartacea Principio di segretezza Divieto di intercettazione Secondo un’isolata giurisprudenza La posta elettronica aziendale è un bene aziendale e sono leciti i controlli sulla stessa

Linee Guida – Policy Privacy Privacy e Sicurezza Normative e adempimenti Policy Privacy Policy Privacy Sono le norme di comportamento interne per limitare l’uso privato di e-mail o internet in azienda Linee Guida – Policy Privacy I lavoratori non hanno facoltà di utilizzare gli strumenti telematici di lavoro per fini meramente personali, se non espressamente autorizzati Il collegamento telematico non può essere usato per scaricare software gratuiti presenti su siti internet La casella di posta elettronica assegnata deve essere utilizzata unicamente per le attività inerenti la propria mansione Il datore di lavoro si impegna a rispettare la riservatezza del dipendente, nella piena osservanza dei principi dello Statuto dei Lavoratori e della normativa privacy

Misure di sicurezza sui dati personali Privacy e Sicurezza Normative e adempimenti Misure di sicurezza sui dati personali

Normative e adempimenti Privacy e Sicurezza Normative e adempimenti D. P. S. (Documento Programmatico sulla Sicurezza) MISURE SPECIFICHE FREQUENZA MISURE MINIME RIFERIMENTI NORMATIVI DPR. 318 ALL.B T.U. Redazione del documento 34.1, g) 19. 6.1 Elenco dei trattamenti 19.1 Distribuzione di compiti e responsabilità 19.2 Analisi dei rischi 19.3 Misure per l’integrità e la disponibilità dei dati 19.4 1° parte 6.1, b) Misure per la protezione di aree e locali dove si effettuano i trattamenti 19.4 2° parte 6.1, a) Descrizione di criteri per il ripristino di disponibilità dei dati in caso di distruzione o danneggiamento 19.5 Piano interventi formativi in occasione di: a) assunzione b) cambiamenti di mansione; c) introduzione di strumenti significativi per il trattamento dei dati 19.6 6.1, d) Descrizione di criteri atti a garantire l’adozione delle misure minime in caso di trattamenti affidati all’esterno 19,7 Criteri per la cifratura o separazione di dati sulla vita sessuale o la salute, utilizzati da organismi o prof. sanitari 19,8 In prima applicazione entro il 30.06.04 Entro il 31.03 di ogni anno Attestazione dell’avvenuta redazione o aggiornamento del DPS nella relazione al bilancio di esercizio 26. (6.1) In fase di approv. del bilancio

RIFERIMENTI NORMATIVI Privacy e Sicurezza Normative e adempimenti Sistema di autorizzazione MISURE SPECIFICHE FREQUENZA MISURE MINIME RIFERIMENTI NORMATIVI DPR. 318 ALL.B T.U. Adozione di un sistema di autorizzazione in presenza di più profili diversi 34.1, c) 12. 5.1, 1° per Individuazione e configurazione dei profili di autorizzazione, prima del trattamento e secondo le necessità d’uso dei dati 14. 5.4 Verifica esistenza dei requisiti per la conservazione dei profili Almeno ogni anno 5.3, ul per

RIFERIMENTI NORMATIVI Privacy e Sicurezza Normative e adempimenti Sistema di autenticazione 1/2 MISURE SPECIFICHE FREQUENZA MISURE MINIME RIFERIMENTI NORMATIVI DPR. 318 ALL.B T.U. Incaricati con credenziali di autenticazione che abilitino ad effettuare trattamenti individuati 34.1, a) 1. 4.1, a) Codice identificativo e parola chiave esclusivi oppure dispositivo di autenticazione esclusivo 2. 2.1, a) 4.1,a) Assegnazione di una o più credenziali di autenticazione per ciascun incaricato 3. pr. parte Istruzioni in merito alla segretezza della parola chiave o equivalente, e corretta custodia dei dispositivi 4. 2.1, b) Parola chiave di almeno 8 caratteri o del massimo di quelli consentiti dalla applicazione e non facilmente ricostruibile 5. Aggiornamento della parola chiave Almeno ogni 6 mesi Parola chiave da modificare dopo il primo uso 34.1, f) Codice identificativo non riassegnabile, nemmeno in tempi diversi 6. 4.1, a), sec. parte

Normative e adempimenti Privacy e Sicurezza Normative e adempimenti Sistema di autenticazione 2/2 MISURE SPECIFICHE FREQUENZA MISURE MINIME RIFERIMENTI NORMATIVI DPR. 318 ALL.B T.U. Disattivazione delle credenziali di autenticazione per disuso, salvo che per scopi di gestione tecnica 34.1, b) 7. 4.1, b) Ogni 6 mesi in caso di disuso Disattivazione delle credenziali di autenticazione per perdita delle qualità del profilo di accesso 8. Immediata Istruzioni in merito al presidio ed alla non accessibilità dello strumento elettronico da parte di terzi, durante le sessioni di lavoro 9. Disposizioni scritte in merito alla custodia di copia delle credenziali, per assicurare la disponibilità dei dati o di strumenti, in caso di prolungata assenza o impedimento dell'interessato 10. Esenzione dall'obbligo del sistema di autenticazione per dati destinati alla diffusione 11. 4.1 e 5.7 Aggiornamento della parola chiave 5. ult. per. Almeno ogni 3 mesi

RIFERIMENTI NORMATIVI Privacy e Sicurezza Normative e adempimenti Altre Misure – Trattamento con strumenti elettronici (1/2) MISURE SPECIFICHE FREQUENZA MISURE MINIME RIFERIMENTI NORMATIVI DPR. 318 ALL.B T.U. Aggiornamento della determinazione dell’ambito di autorizzazione, per incaricato o per classi omogenee 34.1, d) 15. Almeno ogni anno Attivazione di strumenti contro il rischio di intrusione o di programmi pericolosi (art. 615-quinquies c.p.) 34.1, e) 16. 1° parte 4.1, c) Aggiornamento degli strumenti anti-intrusione e anti-programmi pericolosi 16. 2° parte Almeno ogni 6 mesi Aggiornamento del software per la prevenzione contro la vulnerabilità dei sistemi e per la correzione dei difetti 17. Rilascio di attestazione scritta di quanto fatto e attestazione di conformità all'Allegato B del Codice, in caso di esecuzione di misure minime ad opera di terzi per conto del titolare 25. Istruzioni per il salvataggio dei dati 34.1, f) 18. (6.1, b) Ogni 7 giorni 17. Ult per Protezione contro l'accesso abusivo mediante idonei strumenti elettronici (art.615-ter c.p.) 20 (6.1 c) 2° parte

RIFERIMENTI NORMATIVI Privacy e Sicurezza Normative e adempimenti Altre Misure – Trattamento con strumenti elettronici (2/2) MISURE SPECIFICHE FREQUENZA MISURE MINIME RIFERIMENTI NORMATIVI DPR. 318 ALL.B T.U. Istruzioni per custodia ed uso dei supporti contenenti dati per evitare accessi non autorizzati o trattamenti non consentiti 34.1, e) 21. 10 Distruzione o inutilizzabilità per i supporti non più utilizzati o provocarne tecnicamente la non ricostruibilità delle informazioni in essi memorizzate 22. (7.1) Adozione di idonee misure per il ripristino dei dati 34.1, f) 23. Entro 7 giorni Per dati sanitari e sulla vita sessuale da parte di organismi ed operatori sanitari, cifratura e codici identificativi 34.1, h) 24. Per dati genetici, trattamento in locali protetti accessibili ai soli incaricati autorizzati. Trasporto fisico dei dati all'esterno in contenitori con serratura o dispositivi analoghi. Trasmissione elettronica cifrata. 24. u. p. 9.2, a) 9.2, b) 6.1, c)

RIFERIMENTI NORMATIVI Privacy e Sicurezza Normative e adempimenti Altre Misure – Trattamento senza strumenti elettronici MISURE MINIME RIFERIMENTI NORMATIVI MISURE SPECIFICHE FREQUENZA T.U. ALL.B DPR. 318 Controllo e custodia, da parte degli incaricati, di atti e documenti adoperati per lo svolgimento del lavoro 35.1, b) 28. 9.2, b) Accesso agli archivi controllato 35.1, c) 29. 9.2, b) Identificazione e registrazione del personale ammesso agli archivi dopo l'orario di lavoro 35.1, c) 29. 2° per 9.2, b) Preventiva autorizzazione di chi accede agli archivi, in assenza o di strumenti elettronici per il controllo degli accessi, o di incaricati alla vigilanza 35.1, c) 29. Ult per 9.1, a) e b) Istruzioni scritte agli incaricati per controllo e custodia di atti e documenti 35.1, a) 27. 9.1, a) Aggiornamento della determinazione dell'ambito di autorizzazione, per incaricato o per classi omogenee Almeno ogni anno 27. Ult per 35.1, c)

Privacy e Sicurezza Normative e adempimenti CODICE DI DEONTOLOGIA E DI BUONA CONDOTTA PER I TRATTAMENTI DI DATI PERSONALI PER SCOPI STATISTICI E SCIENTIFICI

Normative e adempimenti Privacy e Sicurezza Normative e adempimenti CODICE DI DEONTOLOGIA E DI BUONA CONDOTTA PER I TRATTAMENTI DI DATI PERSONALI PER SCOPI STATISTICI E SCIENTIFICI il Codice di deontologia e buona condotta per il trattamento dei dati personali utilizzati per scopi statistici e scientifici è stato sottoscritto in via preliminare, presso il Garante della privacy, dai rappresentanti della Conferenza dei Rettori delle Università Italiane (CRUI) e di dieci società scientifiche:Associazione italiana di epidemiologia, Associazione italiana di sociologia, Consiglio italiano per le scienze sociali, Società italiana degli economisti, Società italiana di biometria, Società italiana di demografia storica, Società italiana di igiene medicina preventiva e sanità pubblica, Società italiana di statistica, Società italiana di statistica medica ed epidemiologia clinica, Assirm (l’Associazione tra istituti di ricerche di mercato, sondaggi di opinione, ricerca sociale).

Normative e adempimenti Privacy e Sicurezza Normative e adempimenti CODICE DI DEONTOLOGIA E DI BUONA CONDOTTA PER I TRATTAMENTI DI DATI PERSONALI PER SCOPI STATISTICI E SCIENTIFICI Il codice si collega alle garanzie già previste dalla disciplina sui trattamenti effettuati nell’ambito del Sistema statistico nazionale, individuando le cautele da adottare per il trattamento di dati sensibili e giudiziari anche per attività di ricerca medica, biomedica ed epidemiologica e per le ricerche di mercato che non siano connesse alle attività commerciali e di informazione commerciale. Le ricerche dovranno essere effettuate conformemente agli standard metodologici del pertinente settore disciplinare sulla base di un progetto che potrà essere consultato per verificare la corretta applicazione della normativa sulla privacy. Sono previste, inoltre, specifiche regole di condotta e misure di sicurezza soprattutto in relazione alla conservazione dei dati identificativi. Il codice deontologico per la statistica privata verrà pubblicato sulla Gazzetta Ufficiale ed entrerà in vigore il 1 ottobre 2004. Prima di verificare la conformità del codice alle leggi ed ai regolamenti e curarne la pubblicazione in Gazzetta Ufficiale, l’Autorità  ha comunque deciso di renderlo pubblico sul proprio sito, allo scopo di sollecitare i soggetti interessati a formulare osservazioni (ai sensi dell’art. 12 del Codice in materia di protezione dei dati personali). Tali osservazioni dovranno pervenire entro il 31 maggio: l’avviso è pubblicato sulla Gazzetta Ufficiale.

Principi di riferimento Privacy e Sicurezza Normative e adempimenti CODICE DI DEONTOLOGIA E DI BUONA CONDOTTA PER I TRATTAMENTI DI DATI PERSONALI PER SCOPI STATISTICI E SCIENTIFICI Principi di riferimento Adeguate basi di dati individuali – se necessario personali (riferiti cioè a persone identificate o identificabili) – costituiscono l’indispensabile supporto informativo per rispondere a importanti interrogativi conoscitivi e per valutare, e indirettamente per elaborare teorie scentifiche. La ricerca scientifica ha sì bisogno di trattare dati individuali, ma mira a risultati generali, che non hanno ricadute dirette sui singoli e non ne mettono a rischio la privacy . La funzione del codice è individuata nel contemperamento di "valori" e "diritti" diversi. A fronte del diritto alla privacy, sono messe in luce le necessità della ricerca scientifica e le ragioni che ne sono alla base: il principio della libertà della ricerca, costituzionalmente garantito, e le esigenze di sviluppo della ricerca per migliorare le condizioni della società.

L’ambito di applicazione Privacy e Sicurezza Normative e adempimenti CODICE DI DEONTOLOGIA E DI BUONA CONDOTTA PER I TRATTAMENTI DI DATI PERSONALI PER SCOPI STATISTICI E SCIENTIFICI L’ambito di applicazione Debbono valere due presupposti: ▪ In ragione del soggetto: deve trattarsi di un’università o altro ente di ricerca o società scientifica, oppure di un singolo ricercatore che operi in un’università o ente di ricerca o sia socio di una società scientifica. ▪ In ragione della materia, si richiede al ricercatore responsabile di predisporre un progetto di ricerca, redatto secondo gli standard dei protocolli di ricerca del pertinente settore disciplinare.

Normative e adempimenti Privacy e Sicurezza Normative e adempimenti CODICE DI DEONTOLOGIA E DI BUONA CONDOTTA PER I TRATTAMENTI DI DATI PERSONALI PER SCOPI STATISTICI E SCIENTIFICI il codice deontologico traccia una chiara distinzione fra dati personali e dati anonimi. La nozione di dato personale è circoscritta: sono considerati tali solo i dati che consentono l’identificazione di una persona con l’utilizzo di "mezzi ragionevoli". Buona parte delle basi di dati utilizzate nella ricerca scientifica sono dunque da considerarsi anonime; quindi, non interessate dalla normativa sulla privacy, che si applica solo ai dati personali. Inoltre, si stabilisce, ad integrazione di quanto disposto dal TU, quando siano sufficienti per gli scopi di una ricerca, saranno utilizzati dati anonimi. Altrimenti, si utilizzeranno in maniera oculata dati personali: senza eccessive bardature burocratiche e, insieme, assicurando un’adeguata protezione della privacy.