Università degli Studi di Udine Il codice per la protezione dei dati personali Formazione di base Udine, Dicembre 2006 Roberto Mariconda
Privacy: il diritto di essere lasciato solo Concetto di Privacy Un concetto attuale ?
Dalla privacy alla tutela della riservatezza dei dati personali Uso universale di strumenti avanzati di raccolta dei dati informazioniCapacità di raccogliere, elaborare i dati al fine di generare informazioni intrusione nella sfera privataConseguenza: concreta e maggiore possibilità di intrusione nella sfera privata
Assediati da controllori elettronici, spiati da occhi nascosti, videosorvegliati da telecamere invisibili. Rischiano di somigliare a uomini di vetro i cittadini dellinformation society: una società che linformatica e la telematica stanno rendendo completamente trasparente Stefano Rodotà Privacy – evoluzione della percezione
Norme di interesse Costituzione, art. 15: la libertà e la segretezza della corrispondenza e di ogni altra forma di comunicazione sono inviolabili
Norme di interesse Art. 5 L. 547, art. 5: … per «corrispondenza» si intende quella epistolare, ……. telefonica, informatica o telematica …...
Norme di interesse Legge 300/1970 (Statuto dei Lavoratori) E vietato luso di impianti audiovisivi e di altre apparecchiature per finalità di controllo a distanza dei lavoratori
Internet ed in azienda Necessità di bilanciare opposti interessi: Del datore di lavoro di controllare la corretta esecuzione delle prestazione lavorativa Del lavoratore alla tutela, anche sul luogo di lavoro, dei propri diritti alla riservatezza e alla dignità e libertà personale
Cosa intende prevenire il datore di lavoro con i sistemi di controllo degli strumenti informatici? Le condotte del lavoratore aventi rilevanza penale es.: visita a siti e/o scaricamento di contenuti illegali Gli inadempimenti all'obbligazione contrattuale del lavoratore es.: scarso rendimento del lavoratore in conseguenza del tempo speso nella navigazione internet per scopi non professionali Luso improprio delle attrezzature
Nuova categoria di illeciti: I reati informatici Difficoltà ad applicare allinformatica e ad Internet i vecchi concetti giuridici Informatica e Internet
Legislazione in Italia D.lgs. 196 del 30 giugno 2003 (Codice della privacy) L. 547 del 23 Dicembre 1993 (Criminalit à informatica, adeguamento del Codice penale)
L. 537/93 – Integrazioni al Codice penale Art : accesso abusivo di un sistema informatico o telematicoArt : accesso abusivo di un sistema informatico o telematico Art : detenzione abusiva di codici daccesso a sistemi informatici e telematiciArt : detenzione abusiva di codici daccesso a sistemi informatici e telematici Art : diffusione di programmi diretti a danneggiare o interrompere un sistema informaticoArt : diffusione di programmi diretti a danneggiare o interrompere un sistema informatico Art. 635: danneggiamento di sistemi informatici o telematiciArt. 635: danneggiamento di sistemi informatici o telematici Segue…
Suddiviso in quattro parti: Parte I: Disposizioni Generali Regole che si applicano a tutti i trattamenti Parte II: Disposizioni relative a specifici settori Parte III: Tutela dellinteressato e sanzioni Parte IV: Allegati Il Codice della privacy
Codici deontologici (art.12) Il Garante: Promuove la sottoscrizione di codici di deontologia e di buona condotta per determinati settori Ne cura la pubblicazione nella Gazzetta Ufficiale Con decreto del Ministro della Giustizia i codici sono riportati nellallegato a del codice privacy.
Disciplina … Una attività, il trattamento avente per oggetto dati personali compiuta da alcuni soggetti Il Codice della privacy
Trattamento (art.4) Qualunque operazione effettuata anche senza strumenti elettronici concernente la raccolta, registrazione, organizzazione, conservazione, consultazione, elaborazione, modificazione, selezione, estrazione, raffronto, utilizzo, interconnessione, blocco, comunicazione, diffusione, cancellazione e distruzione di dati anche non registrati in una banca dati.
Lo scambio di informazioni - Comunicazione Il dare conoscenza dei dati personali a uno o più soggetti determinati diversi dall'interessato, dal titolare. dal responsabile e dagli incaricati, in qualunque forma -Diffusione Il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione
Responsabilità civile Art. 15 Cod. Privacy, art C.C. Chiunque cagiona ad altri un danno per effetto del trattamento di dati personali è tenuto al risarcimento se non prova di avere adottato tutte le misure idonee ad evitare il danno.
Principio di necessità (art. 3) L utilizzo dei dati personali deve essere limitato al minimo indispensabile, e ne deve essere escluso l utilizzo se lo scopo del trattamento è raggiungibile attraverso dati anonimi o modalit à di riconoscimento del soggetto solo in caso di necessità.
Enti pubblici - consenso al trattamento (art.18) Trattamenti consentiti solo per lo svolgimento di funzioni istituzionali Non è necessario acquisire il consenso dellinteressato
Dato personale (art.4) Qualunque informazione relativa a persona fisica, giuridica, ente o associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale.
Origine razziale ed etnica Convinzioni religiose, filosofiche o di altro genere Opinioni politiche Adesione a partiti, sindacati, associazioni, organizzazioni a carattere religioso, filosofico, politico o sindacale Stato di salute e la vita sessuale A metà strada I dati personali Dati Comuni Dati Particolari Dati Sensibili Dati Giudiziari
Dato personale qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione Dato anonimo il dato che in origine, o a seguito di trattamento, non può essere associato ad un interessato identificato o identificabile. Dati personali ed anonimi
sole immagini Costituiscono dato personale anche le sole immagini. La distinzione tra dato personale ed anonimo si basa spesso sul buon senso. Qualsiasi dato anonimo è - almeno astrattamente - identificabile. Garante: riferimento agli sforzi ragionevolmente prevedibili per identificare linteressato. Immagini: dato personale
Enti pubblici e dati personali (Principi applicabili al trattamento di dati non sensibili e giudiziari) Trattamento: consentito anche in mancanza di una legge che lo preveda Comunicazione ad altri soggetti pubblici: consentita se funzionale al procedimento o in presenza di una norma che la consenta
Dati particolari Dati diversi dai dati personali, sensibili e giudiziari, che presentano per la loro natura o a causa del trattamento rischi specifici per i diritti e le libertà dellinteressato: Patrimoniali e reddituali Sulla solvibilità Sulle abitudini di vita o sugli interessi Sul traffico telefonico
Enti pubblici e dati sensibili (Principi applicabili al trattamento di dati sensibili) Trattamento consentito solo se autorizzato da espressa disposizione di legge nella quale sono specificati i tipi di dati che possono essere trattati, le operazioni eseguibili e le finalità di rilevante interesse pubblico perseguite.
Dati Giudiziari Informazioni in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti; La qualità di imputato o di indagato.
Enti pubblici e dati giudiziari Trattamento consentito solo se autorizzato da espressa disposizione di legge o provvedimento del Garante che specifichino le finalità di rilevante interesse pubblico del trattamento, i tipi di dati trattati e di operazioni eseguibili.
Informativa (Art. 13) Informazione verbale o per iscritto circa: Finalità e modalità del trattamento Natura obbligatoria o facoltativa del conferimento dei dati; Conseguenze di un eventuale rifiuto Soggetti o categorie di soggetti ai quali i dati possono essere comunicati Estremi identificativi del titolare e del responsabile. I diritti di cui all'articolo 7
Informativa Se necessario comprovare di aver dato informativa e/o acquisito il consenso: Nelleventuale contratto inserire una clausola che attesti il ricevimento e la comprensione dellinformativa ed il conferimento del consenso al trattamento (se dovuto).
Diritti dellinteressato (art.7) Ottenere linformativa Aggiornare / integrare i propri dati Cancellazione ed altre operazioni sui propri dati, inclusa la trasformazione in forma anonima Opporsi alla raccolta dei propri dati Opporsi al trattamento per linvio di pubblicità, vendita, ricerche di mercato
Soggetti Artt Titolare del trattamento Responsabile Incaricato
Soggetti Titolare: decide, vigila, controlla Responsabile: segue le indicazioni del Titolare e decide nel limite dei suoi poteri Incaricato: segue le istruzioni del Responsabile
Soggetti - atti di nomina Titolare Responsabile interno Incaricati Atto di nomina per iscritto Responsabile esterno Clausole Contrattuali
Titolare del trattamento (art. 28) Persona fisica Se persona giuridica, ente associazione: entità nel suo complesso.
Nomina: Facoltativa E garanzia di tutela per il titolare, ma non costituisce esonero di responsabilità, solo una sua attenuazione (permane il dovere si controllo!) Presuppone dettagliate istruzioni del Titolare Responsabile ( art. 29)
Persona fisica Designazione per iscritto con istruzioni dettagliate Responsabilità limitata alla corretta esecuzione delle disposizioni ricevute Incaricato (Art. 30)
Designazione consentita anche documentando la preposizione della persona ad una unità per la quale è individuato, per iscritto, lambito del trattamento consentito agli addetti allunità medesima Incaricato - nomina (Art. 30)
A) trattamento di dati comuni del personale B) trattamento di dati sensibili e giudiziari del personale C) trattamento di dati comuni di clienti D) trattamento di dati sensibili di clienti E) trattamento di dati di potenziali clienti F) trattamento di dati sensibili utenti Esempio: ambito di trattamento e lista degli incaricati – tipologia dei trattamenti
Esempio: tipologie di trattamento e lista incaricati Incaricati A BCDEF Paolo Rossi Marketing e commerciale XXX Roberto Baggio Personale XX Valentino Rossi Venditore X Anna Oxa Rapporti con gli utenti X T i p o l o g i e d i t r a t t a m e n t o * * Vedi slide precedente
Le misure di sicurezza (Artt. 34, 35) Trattamenti con strumenti elettronici e non elettronici consentiti solo se vengono rispettate le misure minime di sicurezza dettagliate nellallegato B
Allegato B Riporta le modalità tecniche di adozione delle misure minime di sicurezza (disciplinare tecnico) Disciplinare tecnico: aggiornamento periodico
Le Misure di Sicurezza Idonee Custodia e controllo dei dati per minimizzare i rischi di distruzione o perdita dei dati, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta Minime Un apposito documento (Disciplinare Tecnico) stabilisce le misure minime che il Titolare deve adottare in relazione ai proprii trattamenti Sanzioni civili Sanzioni penali
Contenuto: Elenco dei trattamenti dei dati personali Distribuzione di compiti e responsabilità nella struttura del titolare Analisi dei rischi sui dati Piano investimenti e formazione Documento Programmatico sulla Sicurezza (DPS) Art. 34.g Revisione annuale – approvazione CDA entro il 31 Marzo
DPS - adempimenti Integrazione/revisione dei trattamenti Integrazione/revisione dispositivi di sicurezza e delle sedi Revisione degli ambiti di responsabilità (responsabili, incaricati) Piano della formazione Piano degli investimenti
Privacy - adempimenti Eventi - personale: Assunzione Trasferimento/termine del rapporto di lavoro Assenza temporanea responsabile e/o incaricato Cambiamento di mansioni
Privacy - adempimenti Eventi, attrezzature informatiche Trasferimento per riparazione Dismissione Cessione a terzi Assegnazione a struttura o soggetto diversi dal precedente
Eventi - altro Trasferimenti di uffici, nuove sedi; Nuove attrezzature e dispositivi di sicurezza dei locali; Installazione – variazione video sorveglianza; Trasferimento dati personali in archivi di deposito. Privacy - adempimenti
Riferimenti Tel. ufficio: 0432 – Cell privacy: Skype ID: robertomariconda Pagina Web sito Università: (Testi di legge, articoli, moduli, ecc…)