1 La protezione dei dati D.lgs. 196/2003 Il Codice in materia di Protezione dei dati personali
2 Informazioni generali Il Codice sulla Privacy, approvato con D.lgs. 196 del 2003, è entrato in vigore dal mese di gennaio 2004 con la conseguente abrogazione delle disposizioni normative e regolamentari in vigore Lobiettivo di riunire in un unico documento tutta le legislazione in materia di Privacy vuole accompagnarsi anche con la semplificazione della applicabilità della Legge
3 Similitudine con la L. 626/94 (Sicurezza sul Lavoro) Il D.lgs. 196/2003 introduce il concetto di una reale cultura della Privacy. Occorre creare una cultura sensibile che tuteli i singoli. Molte aziende si stanno dotando di Uffici di Sicurezza, con il compito di produrre manuali di sicurezza efficaci ma sempre nel rispetto della tutela e difesa dei diritti degli individui
4 La storia Nel 1970 il governo svedese decise di attribuire un codice di riconoscimento individuale a tutti i cittadini (simile al nostro codice fiscale) e iniziò a effettuare le operazioni di raccolta dei dati personali e sanitari dei cittadini strutturando delle banche dati accessibili anche da terminali collegati alla rete telefonica pubblica Nascono i primi problemi … e si comincia a parlare di tutela del cittadino.
5 In Italia … Soltanto nel 1980 si inizia a parlare di Privacy con il preciso e chiaro scopo di tutelare le informazioni di carattere Riservato relative a tutti gli individui ponendo le basi per la futura L. 675 del 1996, e per il successivo D.lgs. 196 del 2003 (attualmente in vigore)
6 Il Garante per la protezione dei dati Il Garante E lautorità di controllo e vigilanza istituita dalla legge 31 dicembre 1996 n° 675. Il compito del Garante è quello di assicurare la tutela dei diritti e delle libertà fondamentali nonchè il rispetto della dignità nel trattamento dei dati personali
7 Il principio di necessità Il Codice in materia di protezione dei dati personali ha introdotto: il principio di necessità gli strumenti informatici utilizzati devono essere configurati riducendo al minimo lutilizzazione di dati personali In tal modo si esclude il trattamento quando le finalità perseguite nei singoli casi sono realizzate mediante dati anonimi oppure con modalità che permettono di identificare linteressato solo in caso di necessità
8 Art.1: Diritto alla protezione dei dati personali Chiunque ha diritto alla protezione dei dati che lo riguardano Si pone quindi lattenzione sulla tutela del diritto alla riservatezza dei dati personali. Lo sviluppo di tecnologie, che consentono lidentificazione, la conservazione e la comunicazione di dati sollecita la necessità di proteggere la sfera privata dellindividuo e il suo diritto alla riservatezza.
9 Art. 2: Finalità … il codice garantisce che il trattamento dei dati personali si svolga nel rispetto dei diritti e delle libertà fondamentali, nonché della dignità dellinteressato... e del diritto alla protezione dei dati personali In questo articolo due concetti fondamentali: la raccolta dei dati personali avviene esclusivamente previo consenso dellinteressato il trattamento dei dati personali avviene esclusivamente per lassolvimento di obblighi previsti per legge a salvaguardia della dignità individuale.
10 Art. 4: Le definizioni Banca dati complesso di dati organizzatiTrattamento operazione relativa alla raccolta, conservazione, organizzazione e lavorazione Dato personale Es: il numero di matricola dellinteressato informativa relativa a persona fisica, giuridica ente o associazione, identificabile anche indirettamente con riferimento a qualsiasi altra informazione
11 Art. 4: Le definizioni Dato sensibile Es: lappartenenza a categorie protette o portatori di handicap i dati personali idonei a rivelare lorigine razziale ed etnica, le convinzioni religiose filosofiche o politiche, ladesione a partiti, sindacati, o associazione ad organizzazione, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale.
12 Art. 4: Le definizioni Titolare persona fisica o giuridica alla quale spetta assumere decisioni in merito alla finalità e modalità del trattamento. Può semplicemente essere indicata anche solo la ragione sociale di unAziendaResponsabile persona fisica o giuridica,Pubblica Amministrazione … preposta al trattamento dei dati
13 Art. 4: Le definizioni Incaricato Incaricato persona fisica o giuridica autorizzata a compiere operazioni di trattamento dei dati. Designato dal Titolare o dal Responsabile Interessato Interessato soggetto a cui si riferiscono i dati
14 Art. 13: LInformativa Prima di iniziare la raccolta dei dati, il Titolare deve dare puntuale informativa allinteressato della finalità e delle modalità con le quali gli stessi verranno raccolti e trattati La raccolta dei dati può avere natura facoltativa o obbligatoria Durante il trattamento devono essere rispettate le Misure Minime di sicurezza definite dal Garante
15 Art. 23: Il consenso E possibile trattare dei dati solo dopo aver fatto avere lInformativa allinteressato e aver ricevuto dallo stesso il consenso al trattamento. Qualora la natura del trattamento dei dati fosse obbligatoria in esecuzione di obblighi di legge, o in esecuzione di obblighi contrattuali, il consenso può non essere richiesto in quanto il Garante ha individuato e definito le autorizzazioni necessarie Il consenso in forma scritta è obbligatoriamente richiesto allinteressato quando si trattano dati sensibili
16 Art. 7: Diritti dellinteressato Linteressato ha diritto di sapere se i suoi dati saranno raccolti e organizzati, con quali finalità saranno trattati e con lausilio di quali strumenti elettronici, e se gli stessi saranno comunicati a terzi Allinteressato compete accertarsi che i dati a lui relativi siano aggiornati, esatti e trattati in modo lecito e con correttezza Ha altresì il diritto di chiederne la modificazione e/o la cancellazione ogniqualvolta lo ritenga opportuno
17 Le Misure Minime di Sicurezza E linsieme delle modalità tecniche che il Titolare (o il Responsabile) deve adottare al fine di salvaguardare i dati trattati da eventuali danneggiamenti (sono definite nellAllegato B del Codice) Una fra queste è la redazione del Documento Programmatico per la Sicurezza (DPS) La mancata osservazione delle misure minime di sicurezza comporta reato amministrativo o penale
18 Il DPS Deve contenere Elenco dei trattamenti dei dati personali Distribuzione dei compiti e delle responsabilità Analisi dei rischi che incombono e che i dati possono subire I criteri specifici per la gestione dei dati sensibili
19 Il DPS Misure da adottare per: garantire lintegrità e la disponibilità dei dati garantire la protezione dei locali di custodia ripristinare i dati in seguito a danneggiamento Lelenco degli interventi formativi previsti per gli incaricati e gli addetti del trattamento dati