La tutela dei dati personali

Slides:



Advertisements
Presentazioni simili
Il Codice della Privacy (D.Lgs. 196/2003) e le Associazioni Sportive
Advertisements

Convegno di Studi su Internet e Diritto - Milano, 16 e 17 Ottobre 2003 Convegno di Studi su Internet e Diritto - Milano, 16 e 17 Ottobre 2003 Ing. Andrea.
Codice della Privacy Il d. lgs. n°196 del 30 giugno 2003.
Codice della Privacy o Codice della circolazione delle Informazioni ?
LA PRIVACY IN 4 PASSI Nella diapositiva successiva troverete uno schema che riassume gli aspetti principali della “PRIVACY” L’obiettivo è quello di descrivervi.
Struttura del codice sulla privacy:
Corso per collaboratori di studio medico
IL NUOVO CODICE DELLA PRIVACY DECRETO LEGISLATIVO N. 196 DEL 2003.
Privacy e nuove tecnologie Facoltà di Scienze Matematiche, Fisiche e Naturali Corso di Laurea in Informatica Anno Accademico 2010/2011 Ignazio Zangara.
CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI D.Lgs. 30 giugno 2003 n. 196 Entrato in vigore il 1° gennaio 2004 sostituisce L. 675/96; Recepisce:
CORSO PRIVACY PARTE GENERALE
DIRITTO DI ACCESSO E PRIVACY
Decreto legislativo 196/2003 ed il MEDICO DEL LAVORO Adempimenti correlati al Decreto Legislativo 196/2003 nella nostra attività professionale quotidiana.
CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI
1 SANZIONI 1.Mancata informativa : Sanzione da a euro. Sanzione da a euro in caso di dati sensibili o giudiziari (oppure di trattamenti.
Eutekne – Tutti i diritti riservati Il Codice della Privacy (DLgs. 196/2003) e le Associazioni Sportive Avv. Stefano Comellini.
Diritto di accesso e privacy
LA NORMATIVA DI RIFERIMENTO
1 La protezione dei dati D.lgs. 196/2003 Il Codice in materia di Protezione dei dati personali.
Confindustria Genova Workshop 31 gennaio 2008 Privacy e fisco Avv. Roberto Falcone.
La tutela dei dati personali
Impresa e Privacy. Il trattamento dei dati deve essere eseguito nel rispetto dei diritti e delle libertà fondamentali, della dignità della persona, con.
Autore TECNOCHORA SPA - AREA INFORMATION TECHNOLOGY La Privacy Formazione del personale interno Materiale riservato. Proprietà di Tecnochora spa. Vietata.
Novità in materia di PRIVACY 23 febbraio 2012 Relatore: Gianni Festi.
PRIVACY SCUOLA a cura di DOTT. MANGANIELLO MARCO
ISTAT DCRS Novità organizzative e legislative per il PSN (Roma, 24 giugno 2009) Maria Rosaria Simeone (Dirigente Servizio DCRS/IST) Impatto della normativa.
Riproduzione riservata
UNIVERSITA’ STUDI DI ROMA “FORO ITALICO”
“Testo Unico sulla Privacy”
Ordine degli Ingegneri della Provincia di Napoli Commissione Informatica 1 Seminario sulla Sicurezza e sulla Protezione dei Dati Personali Napoli 11 novembre.
FORMAZIONE DEL PERSONALE DOCENTE E A.T.A. I.T.C. “C. DEGANUTTI” UDINE
Il nuovo Codice in materia di protezione dei dati personali.
Seminario informativo sulle problematiche della trasmissione telematica delle dichiarazioni Privacy e sicurezza: Gli obblighi in tema di riservatezza -
1 20 maggio 2005 MISURE DI SICUREZZA INFORMATICA DEL NUOVO CODICE DELLA PRIVACY (d.lgs. 30 giugno 2003, n. 196)
Dati delle Pubbliche Amministrazioni e Servizi in Rete Prefettura di Reggio Calabria novembre 2010.
A cura di Rag. Malfara Sacchini Mario - Vibo Valentia 5 Novembre 2006 Il Codice della Privacy Sintesi normativa e cenni applicativi a cura di Malfarà Sacchini.
I nuovi problemi giuridici Lutilizzazione sempre più diffusa dellinformatica nel corso degli anni ha investito tutti gli ambiti della vita sociale. La.
L’INFORMATIVA E CONSENSO PRIVACY NELL’ORDINAMENTO SCOLASTICO
Per la gestione dei dati personali: Per la gestione dei dati personali:
D. Lgs 196/2003 Codice in materia di protezione dei dati personali.
22 MARZO ORE 15,00 Sei in regola con gli obblighi in materia di sicurezza e privacy? Consigli pratici per adeguarsi… Piermaria Saglietto.
D.L.196 del 30 giugno 2003 codice in materia di protezione dei dati personali Scuola elementare statale IV Circolo di Lodi.
PRIVACY: Adempimenti e Opportunità
La sicurezza delle reti informatiche : la legge sulla Privacy
20 maggio 2005 CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI (d.lgs. 30 giugno 2003, n. 196)
20 maggio CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI (d.lgs. 30 giugno 2003, n. 196) Formatore:
Razionalizzazione delle
IL CODICE DELLA PRIVACY
Tipo notificazione o Prima notificazione o Modifica alla precedente notificazione o Cessazione del trattamento.
PORTFOLIO & PRIVACY Considerazioni sulla garanzia alla riservatezza con lintroduzione del Portfolio.
Iniziativa realizzata nellambito delle attività di promozione del CSV Irpinia Solidale1 Progetto: Consumatori Informati – cod. 310/ giugno 2009.
IL NUOVO TESTO UNICO IN MATERIA DI PRIVACY
Codice della Privacy e sanzioni
Nozioni basilari in materia di Privacy
Interessato: Informativa e diritti L’Art. 7 definisce i diritti dell’interessato: Ottenere Informativa Preventiva sulle finalità e le modalità del trattamento.
1 FATTURAZIONE ELETTRONICA “PA” & CONSERVAZIONE DIGITALE A NORMA CONSERVAZIONE DIGITALE SOSTITUTIVA IL RESPONSABILE DELLA CONSERVAZIONE ​​ Definizione.
Azienda Ospedaliera San Giovanni Addolorata: Compiti dei responsabili e referenti privacy Avv. Giovanni Guerra.
Azienda Ospedaliera San Giovanni Addolorata Privacy: Misure Minime di Sicurezza Gianpiero Guerrieri Dirigente Analista I.C.T.
Obblighi rispetto alla tutela della Privacy Dlgs 196/2003.
I dati Personali Sono Persona Fisica Privati I dati Personali
CORSO DI AGGIORNAMENTO ADEMPIMENTI PER LA TUTELA DELLA PRIVACY ANNO 2008.
Riservatezza del minore Convenzione O.N.U. sui diritti del bambino 1989 Carta di Treviso 25 novembre 1995 Ordine nazionale giornalisti/federazione nazionale.
Principio di necessità nel trattamento dei dati (art.3 codice privacy)
R:\2.Scambio\Normativa_Privacy
Le associazioni possono costituirsi:
D.Lgs 196/03: Tutela della privacy
Protezione dei dati personali: Soggetti, compiti e responsabilità 15° Censimento generale della popolazione e delle abitazioni Formazione UCC Prefettura.
IL DIRIGENTE SCOLASTICO In qualità di Titolare del trattamento dei dati personali dell’Istituzione scolastica; Ai sensi degli art. 29 e 30 del Testo Unico.
Associazione Industriale Bresciana 23 giugno 2004 PRIVACY ORGANIZZAZIONE E PRINCIPALI ADEMPIMENTI Decreto legislativo 30 giugno 2003, n. 196 Associazione.
Decreto legislativo 30 giugno 2003, n. 196 “Codice in materia di protezione dei dati personali”
Transcript della presentazione:

La tutela dei dati personali Principi e novità dopo l’emanazione del CODICE DELLA PRIVACY

Il D.Lgs 196/2003: La ratio della nuova legislazione In vigore dal 01.01.2004 Ha abrogato la L.675/96 e altre disposizioni in materia di dati personali

Principi generali Art.1 “Chiunque ha diritto alla protezione dei dati personali che lo riguardano” Protezione della riservatezza, dell’identità personale e dei dati personali

dati personali: informazioni relative a persone fisiche e giuridiche, enti e associazioni, identificati o identificabili, anche indirettamente, mediante riferimento a qualunque altra informazione, ivi compreso un numero di identificazione personale;

Per dato sensibile si intendono tutti quei dati personali idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché lo stato di salute, e la vita sessuale. .

Per dato giudiziario si intendono tutti quei dati personali idonei a rivelare provvedimenti in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualità di imputato o di indagato ai sensi degli Articoli 60 e 61 del codice di procedura penale.

Il titolare: la persona fisica o giuridica, la pubblica amministrazione o qualsiasi altro ente, associazione o organismo cui competono le decisioni in ordine alle finalità ed alle modalità di trattamento, ivi compresa la sicurezza degli stessi. Il responsabile: la persona fisica o giuridica, la pubblica amministrazione o qualsiasi altro ente, associazione o organismo preposti dal titolare al trattamento. L’incaricato: colui che elabora i dati personali ai quali ha accesso attenendosi alle istruzioni impartite dal titolare o dal responsabile. L’interessato: la persona fisica, la persona giuridica, l'ente o l'associazione cui si riferiscono i dati personali

Il trattamento dei dati personali è qualunque operazione o complesso di operazioni svolti con o senza l’ausilio di un elaboratore elettronico o di un procedimento comunque automatizzato, che concerne le seguenti operazioni: raccolta dei dati registrazione organizzazione conservazione elaborazione blocco modificazione selezione, estrazione, raffronto utilizzo interconnessione comunicazione diffusione cancellazione distruzione

comunicazione: dare conoscenza dei dati personali, in qualunque forma, a soggetti determinati; diffusione: dare conoscenza dei dati personali, in qualunque forma, a soggetti indeterminati;

L’informativa (art.13) L’ informativa è una dichiarazione che il titolare o il responsabile fa all’ interessato in forma scritta od orale circa l’utilizzo delle informazioni che lo riguardano. rappresenta una mappa attraverso la quale l’interessato rintraccia i propri dati in ogni momento e può esercitare i diritti riconosciuti dall’art.7 del T.U.

Quali informazioni deve contenere: a) le finalità e le modalità del trattamento cui sono destinati i dati; b) la natura obbligatoria o facoltativa del conferimento dei dati; c) le conseguenze di un eventuale rifiuto di rispondere; d) i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati, e l'ambito di diffusione dei dati medesimi; e) i diritti di cui all'articolo 7; f) gli estremi identificativi del titolare e, se designati, del rappresentante nel territorio dello Stato ai sensi dell'articolo 5 e del responsabile. Quando il titolare ha designato più responsabili è indicato almeno uno di essi, indicando il sito della rete di comunicazione o le modalità attraverso le quali è conoscibile in modo agevole l'elenco aggiornato dei responsabili. Quando è stato designato un responsabile per il riscontro all'interessato in caso di esercizio dei diritti di cui all'articolo 7, è indicato tale responsabile.

Eccezioni (art.13) L’informativa non si applica quando: a) I dati sono trattati in base ad un obbligo previsto dalla legge, da un regolamento o dalla normativa comunitaria; b) I dati sono trattati ai fini dello svolgimento di investigazioni difensive, o per far valere un diritto in sede giudiziaria, per il periodo strettamente necessario al loro perseguimento; c) L’informativa all’interessato comporta un impiego di mezzi che il Garante dichiari manifestamente sproporzionati rispetto al diritto tutelato, ovvero si riveli impossibile a giudizio del Garante.

Consenso (art.23) Il consenso è una libera ed esplicita manifestazione di volontà dell’interessato in relazione all’utilizzo dei propri dati personali da parte di terzi, che in qualità di “titolari” del trattamento dei dati ne decidono le finalità e le modalità.

Eccezioni (art.24) Il consenso non è richiesto quando il trattamento: a) è necessario per adempiere ad un obbligo previsto dalla legge, da un regolamento o dalla normativa comunitaria; b) è necessario per eseguire obblighi derivanti da un contratto del quale è parte l’interessato o per adempiere a specifiche richieste dell‘interessato; c) riguarda dati provenienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque fermo restando i limiti e le modalità che le leggi, i regolamenti o la normativa comunitaria stabiliscono per la conoscibilità e pubblicità dei dati;

d) riguarda dati relativi allo svolgimento di attività economiche; e) è necessario per la salvaguardia della vita o dell’incolumità fisica di un terzo. f) è necessario ai fini dello svolgimento delle investigazioni difensive; g) è effettuato da associazioni enti o organismi senza scopo di lucro, in riferimento a soggetti o ad aderenti che hanno con essi contatti regolari per il perseguimento di scopi determinati e individuati dall’atto costitutivo

LA NOTIFICAZIONE (art.37) La notificazione è una dichiarazione con la quale un soggetto pubblico o privato rende nota al Garante per la protezione dei dati personali l’esistenza di un’attività di raccolta e di utilizzazione dei dati personali. La notificazione va effettuata prima che inizi il trattamento medesimo.

Vanno notificati esclusivamente dati personali che riguardano (art a) dati genetici, biometrici o dati che indicano la posizione geografica di persone od oggetti mediante una rete di comunicazione elettronica; b) dati idonei a rivelare lo stato di salute e la vita sessuale, trattati a fini di procreazione assistita, prestazione di servizi sanitari per via telematica relativi a banche di dati o alla fornitura di beni, indagini epidemiologiche, rilevazione di malattie mentali, infettive e diffusive, sieropositività, trapianto di organi e tessuti e monitoraggio della spesa sanitaria; c) dati idonei a rivelare la vita sessuale o la sfera psichica trattati da associazioni, enti od organismi senza scopo di lucro, anche non riconosciuti, a carattere politico, filosofico, religioso o sindacale; d) dati trattati con l'ausilio di strumenti elettronici volti a definire il profilo o la personalità dell'interessato, o ad analizzare abitudini o scelte di consumo, ovvero a monitorare l'utilizzo di servizi di comunicazione elettronica con esclusione dei trattamenti tecnicamente indispensabili per fornire i servizi medesimi agli utenti; e) dati sensibili registrati in banche di dati a fini di selezione del personale per conto terzi, nonchè dati sensibili utilizzati per sondaggi di opinione, ricerche di mercato e altre ricerche campionarie; f) dati registrati in apposite banche di dati gestite con strumenti elettronici e relative al rischio sulla solvibilità economica, alla situazione patrimoniale, al corretto adempimento di obbligazioni, a comportamenti illeciti o fraudolenti.

L’AUTORIZZAZIONE L’autorizzazione costituisce una condizione di liceità del trattamento dei dati sensibili e giudiziari. Per quanto riguarda i primi, l’articolo 26 prevede che se un soggetto privato intende utilizzare dati sensibili deve soddisfare 2 condizioni di legittimità e cioè: a) Che l’interessato abbia acconsentito per iscritto. b) Che sia stata ottenuta l’autorizzazione del garante.

Le autorizzazioni possono distinguersi in: Autorizzazioni generali Con esse l’autorità acconsente a operazioni di trattamento di dati sensibili e giudiziari a determinate categorie di titolari o di trattamenti e sono pubblicate sulla Gazzetta Ufficiale della Repubblica italiana. Autorizzazioni specifiche Quando il trattamento che il titolare pone in essere non è regolamentato, e quindi non contemplato nelle autorizzazioni generali ma sarà lo stesso titolare a sottoporre una dettagliata richiesta di autorizzazione al Garante tramite la compilazione di un modulo specifico rilasciato dall’autorità (Art. 41).

Le autorizzazioni generali valide fini al 31.12.2005 i rapporti di lavoro (aut.n.1/2004); i dati sulla salute e le vita sessuale (aut. n.2/2004); le associazioni e fondazioni (aut. n.3/2004); i liberi professionisti (aut. n.4/2004); le attività creditizie, assicurative, i sondaggi, l'elaborazione dati e da altre attività private (aut. n.5/2004); gli investigatori privati (aut. n.6/2004); i dati di carattere giudiziario (aut. n. 7/2004).

Obblighi di sicurezza – Misure idonee Nel custodire e controllare i dati, devono essere adottate idonee e preventive misure di sicurezza per ridurre al minimo I rischi di distruzione e perdita (anche accidentale) dei dati, accesso non autorizzato, trattamento non consentito o non conforma agli scopi.

Obblighi di sicurezza – misure minime Nel quadro dei più generali obblighi di sicurezza di cui all'articolo 31, o previsti da speciali disposizioni, i titolari del trattamento sono comunque tenuti ad adottare le misure minime individuate dal Codice ai sensi dell'articolo 58, comma 3, volte ad assicurare un livello minimo di protezione dei dati personali.

A) Trattamento con strumenti elettronici (Art. 34) 1. Il sistema deve disporre di un sistema di autenticazione degli utenti (password, firma digitale e impronte digitali). 2. Il titolare deve adottare delle appropriate procedure di gestione delle credenziali di autenticazione. 3. Deve essere definito un sistema di autorizzazione per abilitare gli utenti all’accesso ai dati e/o trattamenti. 4. Adozione di appropriate procedure a cadenza periodica per aggiornare le utenze e i relativi profili.

5.  Gli strumenti elettronici devono essere protetti da accessi non autorizzati da parte di utenti, programmi informatiti e da trattamenti illeciti. 6. Il titolare deve adottare procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi. 7.  Il titolare deve adottare un Documento Programmatico sulla Sicurezza. 8. E’ obbligatorio adottare tecniche di cifratura per i trattamenti atti a rivelare lo stato di salute o la vita sessuale rilevati da organismi sanitari.

B)Trattamento senza l’ausilio di strumenti elettronici (Art.35) 1. Bisogna aggiornare periodicamente l'individuazione dell'ambito del trattamento consentito ai singoli incaricati o alle unità organizzative. 2. Devono essere previste delle procedure per un'idonea custodia di atti e documenti affidati agli incaricati per lo svolgimento dei relativi compiti. 3. Devono essere previste procedure per la conservazione di determinati atti in archivi ad accesso selezionato e disciplina delle modalità di accesso finalizzata all'identificazione degli incaricati.

Le informazioni contenute nel DPS: l'elenco dei trattamenti di dati personali; la distribuzione dei compiti e delle responsabilità nell'ambito delle strutture preposte al trattamento dei dati; l'analisi dei rischi che incombono sui dati; le misure da adottare per garantire l'integrità e la disponibilità dei dati, nonchè la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità;

Le informazioni contenute nel DPS: 5. la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento; 6. la previsione di interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati e delle misure disponibili per prevenire eventi dannosi;

Le informazioni contenute nel DPS: 7. la descrizione dei criteri da adottare per garantire l'adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformità al codice, all'esterno della struttura del titolare; 8. per i dati personali idonei a rivelare lo stato di salute e la vita sessuale, l'individuazione dei criteri da adottare per la cifratura o per la separazione di tali dati dagli altri dati personali dell'interessato.

Cessazione del trattamento Quando cessa un trattamento i dati devono essere: a) distrutti; b) ceduti ad altro titolare per un trattamento compatibile con gli scopi originari; c) conservati per scopi personali (non comunicati sistematicamente o diffusi); d) conservati o ceduti per scopi storici, statistici o di ricerca scientifica.

ILLECITI CIVILI Sanzioni Amministrative Art. 161 Omessa o inidonea informativa Sanzione da 3.000 € a 18.000 € Art. 161 Omessa informativa per dati sensibili o giudiziari Sanzione da 5.000 € a 30.000 € Art. 163 Omessa o incompleta notificazione al Garante Sanzione da 10.000 € a 60.000 €Art. 164 Omessa informazione o esibizione dei documenti Sanzione da 4.000 € a 24.000 € ILLECITI PENALI Sanzioni Penali Art. 167 Trattamento illecito di dati personali Reclusione da 6 mesi a 3 anni. Art. 168 Falsità nelle dichiarazioni e notificazioni al Garante Reclusione da 6 mesi a 3 anni Art. 169 Omessa adozione delle misure minime di sicurezza Arresto fino a 2 anni o sanzione amministrativa, pagamento di una somma da 10.000 € a 50.000 € Art. 170 Innosservanza dei provvedimenti del Garante Reclusione da tre mesi a due anni

" .... solo se non saremo implacabilmente seguiti dalla registrazione d'ogni traccia che lasciamo, .... potrà nascere la libertà di donne e uomini ...."         - Prof. Stefano Rodotà