La Privacy nelle Comunicazioni SERVIZIO POLIZIA POSTALE E DELLE COMUNICAZIONI La Privacy nelle Comunicazioni Tommaso PALUMBO Stefano BALLERINI La Polizia Postale e delle Comunicazioni: presenza “reale” nel mondo virtuale Roma 14 Maggio 2002 MENU
SERVIZIO POLIZIA POSTALE E DELLE COMUNICAZIONI CARATTERISTICHE DI INTERNET Sistema orizzontale de-gerarchicizzato Sistema Interconnesso Sistema aperto Sistema interattivo Sistema transnazionale Molteplicità di attori
SERVIZIO POLIZIA POSTALE E DELLE COMUNICAZIONI ATTORI INTERNET Fornitori connessioni telefoniche Fornitori connessioni telematiche Fornitori servizi telematici Utenti
SERVIZIO POLIZIA POSTALE E DELLE COMUNICAZIONI ESEMPIO DEL PASSATO Banca dati C.E.D. Banca dati P.R.A Banca dati ISTITUTI BANCARI Banca dati ANAGRAFICA UTENTE Banca dati TELECOM Banca dati RAI
SERVIZIO POLIZIA POSTALE E DELLE COMUNICAZIONI ESEMPIO COMMERCIO IN PASSATO Acquirente EDICOLA OPPURE… Venditore Acquirente CASA EDITRICE UFF. ABBONAMENTI P.T. Venditore
SERVIZIO POLIZIA POSTALE E DELLE COMUNICAZIONI ESEMPIO E-COMMERCE PRODUTTORE DEL BENE ACQUIRENTE PRODOTTO CARTA DI CREDITO INTERMEDIAZIONE BANCARIA COMMERCIANTE SITO WEB TLC ISP ISP TLC
SERVIZIO POLIZIA POSTALE E DELLE COMUNICAZIONI CHE COS’E’ LA “SPAM” ? Il termine “spam” deriva da un omonima marca di carne in scatola. Viene usato per definire la posta indesiderata facendo riferimento all’effetto che farebbe il contenuto di quella poltiglia gelatinosa gettato su di un ventilatore, imbrattando tutto ciò che si trova davanti SPAM (o junk mail) “…Un elenco di oltre 10 milioni di indirizzi di posta elettronica, comodamente raccolti in un CD-Rom, si può acquistare in rete per meno di 200 dollari…” Fonte: “La Repubblica” di Lunedì 8 Aprile 2002
SERVIZIO POLIZIA POSTALE E DELLE COMUNICAZIONI QUADRO NORMATIVO Legge n. 121 del 1 aprile 1981 Nuovo ordinamento Amm.ne P.S. Legge 31 dicembre 1996 n. 675 Norme a tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali DLgs n. 123 del 9 maggio 1997 Disposizioni correttive ed integrative della legge 675/96, in materia di tutela delle persone e di altri soggetti rispetto al trattamento di dati personali. DLgs n. 255 del 28 luglio 1997 Disposizioni integrative e correttive della legge 675/96, in materia di notificazione dei trattamenti di dati personali.
SERVIZIO POLIZIA POSTALE E DELLE COMUNICAZIONI QUADRO NORMATIVO D.P.R. n. 501 del 31 marzo 1998 Regolamento recante norme per l'organizzazione ed il funzionamento dell'Ufficio del Garante per la protezione dei dati personali. DLgs n. 135 del 8 maggio 1998 Disposizioni in materia di trattamento di dati particolari da parte di soggetti pubblici. Legge n. 344 del 6 ottobre 1998 Differimento del termine per l'esercizio della delega prevista dalla legge 676/96. D.P.R. n. 318 del 28 luglio 1999 Regolamento recante norme per l'individuazione delle misure minime di sicurezza per il trattamento dei dati personali.
SERVIZIO POLIZIA POSTALE E DELLE COMUNICAZIONI QUADRO NORMATIVO Legge n. 325 del 3 novembre 2000 Disposizioni inerenti all'adozione delle misure minime di sicurezza nel trattamento dei dati personali previste dall'art. 15 della legge 31 dicembre 1996, n. 675. Legge n. 127 del 24 marzo 2001 Differimento del termine per l'esercizio della delega prevista dalla legge 31 dicembre 199, n. 676, in materia di trattamento dei dati personali. DLgs n. 467 del 28 dicembre 2001 Disposizioni correttive ed integrative della normativa in materia di protezione dei dati personali, a norma dell'articolo 1 della legge 24 marzo 2001, n. 127
SERVIZIO POLIZIA POSTALE E DELLE COMUNICAZIONI Legge n. 121 del 1 aprile 1981 Nuovo ordinamento Amm.ne P.S. Art. 6 (a) Classificazione, analisi e valutazione dati. Art. 7 Natura e entità dei dati e delle informazioni raccolti. Art. 8 Istituzione del Centro elaborazione dati. Art. 9 Accesso ai dati ed informazioni e loro uso. Art. 10 Controlli del Garante per la protezione dei dati personali. Art. 11 Procedure per la raccolta dei dati e delle informazioni. Art. 12 Sanzioni.
SERVIZIO POLIZIA POSTALE E DELLE COMUNICAZIONI Legge n. 121 del 1 aprile 1981 Art. 12 - Sanzioni Il pubblico ufficiale che comunica o fa uso di dati ed informazioni in violazione delle disposizioni della presente legge, o al di fuori dei fini previsti dalla stessa, è punito, salvo che il fatto costituisca più grave reato, con la reclusione da uno a tre anni. Se il fatto è commesso per colpa, la pena è della reclusione fino a sei mesi.
SERVIZIO POLIZIA POSTALE E DELLE COMUNICAZIONI Legge 31 dicembre 1996 n. 675 Principi Generali (definizioni) Ambiti di applicazioni Obblighi del titolare del trattamento Trattamento dei dati personali
SERVIZIO POLIZIA POSTALE E DELLE COMUNICAZIONI Legge 31 dicembre 1996 n. 675 Diritti dell’interessato: Consenso Orale Scritto (Dati sensibili) Casi di esclusione del consenso Sicurezza nel trattamento dati Limiti di utilizzabilità dei dati Comunicazione e diffusione dei dati Trattamento dati sensibili (Consenso scritto e autorizzazione del Garante) Trattamento dati all’estero Tutela Amm.va e giurisdizionale Garante per la protezione dei dati Sanzioni
SERVIZIO POLIZIA POSTALE E DELLE COMUNICAZIONI Legge 31 dicembre 1996 n. 675 Trattamento dei dati personali Banca di dati - Complesso di dati personali, dislocati in uno o più siti, organizzati in modo tale da facilitarne il trattamento. Trattamento – Operazione sui dati svolta con o senza l'ausilio di mezzi elettronici o comunque automatizzata. Dato personale - Qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione. Titolare - Persona fisica, persona giuridica, pubblica amministrazione e qualsiasi altro ente, associazione od organismo che decide in ordine alle finalità ed alle modalità del trattamento di dati personali. Responsabile - Persona fisica, persona giuridica, pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali.
SERVIZIO POLIZIA POSTALE E DELLE COMUNICAZIONI Legge 31 dicembre 1996 n. 675 Trattamento dei dati personali Interessato - Persona fisica, persona giuridica, ente o associazione cui si riferiscono i dati personali. Comunicazione - Dare conoscenza, in qualunque forma, dei dati personali a uno o più soggetti determinati diversi dall'interessato. Diffusione - Dare conoscenza, in qualunque forma, dei dati personali a soggetti indeterminati. Dato anonimo - Dato che in origine, o a seguito di trattamento, non può essere associato ad un interessato identificato o identificabile. Blocco - Conservazione di dati personali con sospensione temporanea di ogni altra operazione del trattamento.
SERVIZIO POLIZIA POSTALE E DELLE COMUNICAZIONI Legge 31 dicembre 1996 n. 675 Trattamento dei dati personali IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI Autorità amministrativa indipendente il cui compito è quello di assicurare la tutela dei diritti e delle libertà fondamentali nel trattamento dei dati personali ed il rispetto della dignità degli individui. Organo Collegiale Quattro membri eletti direttamente dal Parlamento Durata della carica 4 anni Ufficio con organico di cento città
SERVIZIO POLIZIA POSTALE E DELLE COMUNICAZIONI Legge 31 dicembre 1996 n. 675 Trattamento dei dati personali COMPITI DEL GARANTE Verifica del rispetto delle norme poste a salvaguardia della vita privata Esame delle segnalazioni e dei ricorsi Facoltà di vietare o bloccare trattamenti di dati per rischio di pregiudizi per le persone Controllo sui trattamenti effettuati dalle forze di polizia e servizi di sicurezza Facoltà di ispezionare, con accesso diretto, le banche dati Denunce all’A.G. dei casi più gravi di violazione Diffusione fra il pubblico delle norme sulla privacy
SERVIZIO POLIZIA POSTALE E DELLE COMUNICAZIONI Legge 31 dicembre 1996 n. 675 Trattamento dei dati personali COMPITI DEL GARANTE Promozione di codici deontologici per diverse categorie di operatori Rilascio di autorizzazioni per il trattamento di particolari categorie di dati Partecipazione alle attività comunitarie e internazionali, in particolare nell’ambito delle autorità comuni di controllo (Europol, Shenghen, Sistema informativo doganale ecc.) Segnalazioni al Governo su provvedimenti da adottare in materia di protezione dei dati Pareri su norme emanate da Amm.ni pubbliche Relazione annuale al Parlamento su attività svolta
SERVIZIO POLIZIA POSTALE E DELLE COMUNICAZIONI (ART. 3) LA LEGGE NON SI APPLICA PER: Trattamento dei dati per fini esclusivamente personali (ART. 4) LA LEGGE NON SI APPLICA – MA SOLO PARZIALMENTE - AL TRATTAMENTO DI DATI PERSONALI EFFETTUATO DA: C.E.D. SERVIZI DI INFORMAZIONE E SICUREZZA (Sismi, Sisde ecc.) CASELLARIO GIUDIZIALE (Ragioni di giustizia) FORZE DI POLIZIA (Prevenzione e repressione dei reati) SOGGETTI PUBBLICI PER FINALITÀ DI DIFESA O DI SICUREZZA DELLO STATO N.B. I responsabili sono tenuti a rispettare le norme di sicurezza e sono sottoposti al controllo del Garante
SERVIZIO POLIZIA POSTALE E DELLE COMUNICAZIONI (ART. 9) MODALITA’ DI RACCOLTA E REQUISITI DEI DATI PERSONALI Trattati in modo lecito e corretto Raccolti, registrati ed utilizzati per scopi determinati e legittimi Esatti e aggiornati Pertinenti Conservati in forma che consenta identificazione dell’interessato, per un periodo determinato
SERVIZIO POLIZIA POSTALE E DELLE COMUNICAZIONI (ART. 10) INFORMAZIONI CHE DEVONO ESSERE RESE ALL’INTERESSATO AL MOMENTO DELLA RACCOLTA Finalità cui sono destinati i dati Natura obbligatoria o facoltativa del conferimento dei dati Conseguenze in caso di rifiuto di rispondere Soggetti terzi a cui i dati possono essere comunicati – Ambito di diffusione I diritti di cui all’art. 13 Dati informativi relativi al titolare o al rappresentante del titolare della raccolta dati
SERVIZIO POLIZIA POSTALE E DELLE COMUNICAZIONI Legge 31 dicembre 1996 n. 675 Trattamento dei dati personali Art. 11 – Consenso Il trattamento di dati personali da parte di privati o di enti pubblici economici è ammesso solo con il consenso espresso dell'interessato Il consenso può riguardare l'intero trattamento ovvero una o più operazioni dello stesso Il consenso è validamente prestato solo se è espresso liberamente, in forma specifica e documentata per iscritto, e se sono state rese all'interessato le informazioni di cui all'articolo 10
SERVIZIO POLIZIA POSTALE E DELLE COMUNICAZIONI Legge 31 dicembre 1996 n. 675 Trattamento dei dati personali Art. 12 – Casi di esclusione del consenso Vari casi – Vedasi legge
SERVIZIO POLIZIA POSTALE E DELLE COMUNICAZIONI DLgs n. 467 del 28 dicembre 2001 Art. 13 – Diritti dell’interessato Di conoscere l'esistenza di trattamenti di dati che possono riguardarlo Di informazione ai sensi dell’art. 7 Di opposizione Di ottenere: conferma dell'esistenza o meno di dati personali che lo riguardano Cancellazione / trasformazione in forma anonima o blocco dei dati trattati in violazione di legge Aggiornamento, rettificazione ovvero, qualora vi abbia interesse, integrazione dei dati
SERVIZIO POLIZIA POSTALE E DELLE COMUNICAZIONI Legge 31 dicembre 1996 n. 675 Sanzioni Art. 35 - Trattamento illecito di dati personali Reclusione sino a due anni Reclusione da tre mesi a due anni Reclusione è da uno a tre anni Art. 36 - Omessa adozione di misure necessarie alla sicurezza dei dati Reclusione sino ad un anno Reclusione da due mesi a due anni Art. 37 - Inosservanza dei provvedimenti del garante Art. 38 - Pena accessoria Pubblicazione della sentenza Art. 39 – Sanzioni Amministrative Variano tra 500.000 a 6.000.000 di Lire
SERVIZIO POLIZIA POSTALE E DELLE COMUNICAZIONI D.P.R. n. 318 del 28 luglio 1999 Misure Minime di sicurezza Definizioni Misure Minime - Complesso delle misure tecniche, informatiche, organizzative, logistiche e procedurali di sicurezza, previste nel presente regolamento, che configurano il livello minimo di protezione richiesto in relazione ai rischi previsti dall'articolo 15, comma 1, della legge. Strumenti - Mezzi elettronici o comunque automatizzati con cui si effettua il trattamento. Amministratori di sistema - Soggetti cui è conferito il compito di sovrintendere alle risorse del sistema operativo di un elaboratore o di un sistema di base dati e di consentirne l'utilizzazione.
SERVIZIO POLIZIA POSTALE E DELLE COMUNICAZIONI D.P.R. n. 318 del 28 luglio 1999 Misure Minime di sicurezza Prevedere una parola chiave per l'accesso ai dati e consentirne l'autonoma sostituzione; Individuare per iscritto i soggetti preposti alla custodia delle parole chiave o che hanno accesso ad informazioni che concernono le medesime; Attribuzione di un codice identificativo personale per l'utilizzazione dell'elaboratore che non potrà, neppure in tempi diversi, essere assegnato a persone diverse; Possibilità di disattivare i codici identificativi in caso di perdita della qualità o di mancato utilizzo dei medesimi per un periodo superiore ai sei mesi;
SERVIZIO POLIZIA POSTALE E DELLE COMUNICAZIONI D.P.R. n. 318 del 28 luglio 1999 Misure Minime di sicurezza Gli elaboratori devono essere protetti contro il rischio di intrusione ad opera di programmi di cui all'art. 615-quinquies del codice penale, mediante idonei programmi, la cui efficacia ed aggiornamento sono verificati con cadenza almeno semestrale; Attuazione di criteri tecnici e organizzativi per la protezione delle aree e dei locali interessati dalle misure di sicurezza nonché le procedure per controllare l'accesso delle persone autorizzate ai locali medesimi; Attuazione di criteri e procedure per assicurare l’integrità dei dati;
SERVIZIO POLIZIA POSTALE E DELLE COMUNICAZIONI D.P.R. n. 318 del 28 luglio 1999 Misure Minime di sicurezza Attuazione di criteri e procedure per la sicurezza delle trasmissioni dei dati, ivi compresi quelli per le restrizioni di accesso per via telematica; Elaborazione di un piano di formazione per rendere edotti gli incaricati del trattamento dei rischi individuati e dei modi per prevenire danni. L'efficacia delle misure di sicurezza adottate deve essere oggetto di controlli periodici, da eseguirsi con cadenza almeno annuale.
SERVIZIO POLIZIA POSTALE E DELLE COMUNICAZIONI DLgs n. 467 del 28 dicembre 2001 PRINCIPALI NOVITA’ IN VIGORE DAL 1° FEBBRAIO 2002 Semplificazione del regime delle notificazioni Descrizione semplificata dei responsabili da indicare nell’informativa da rendere agli interessati Introduzione della cosiddetta clausola del bilanciamento di interessi per il trattamento e la comunicazione di dati Ampia depenalizzazione delle condotte illecite previste dalla legge Ruolo essenziale dell’autodisciplina
SERVIZIO POLIZIA POSTALE E DELLE COMUNICAZIONI DLgs n. 467 del 28 dicembre 2001 Art. 14 (sost. Art. 36 lg.675) Omessa adozione di misure minime di sicurezza Sanzione - Arresto sino a due anni Ammenda da lire 10.000.000 a lire 80.000.000 Entro 6 mesi possibilità di adempimento della regolarizzazione Entro successivi 60 gg. Possibilità di pagare un quarto del massimo dell'ammenda stabilita per la contravvenzione. L’adempimento e il pagamento estinguono il reato.
SERVIZIO POLIZIA POSTALE E DELLE COMUNICAZIONI DLgs n. 467 del 28 dicembre 2001 Art. 17 (modif. Art. 39 lg.675) Adeguamento di sanzioni amministrative Omessa fornitura di informazioni o esibizione di documenti richiesti dal Garante Sanzione da lire 5.000.000 a lire 30.000.000 Violazione delle disposizioni di cui all’articolo 10 (Informazioni rese al momento della raccolta) Sanzione da lire 3.000.000 a lire 18.000.000 Casi di cui agli articoli 22, 24 e 24-bis o, comunque, di maggiore rilevanza (Dati sensibili o dati particolari) Somma aumentata sino al triplo se inadeguata alle condizioni economiche del contravventore
SERVIZIO POLIZIA POSTALE E DELLE COMUNICAZIONI DLgs n. 467 del 28 dicembre 2001 Art. 17 (modif. Art. 39 lg.675) Adeguamento di sanzioni amministrative c. Violazione art. 23 c.2 - Dati personali idonei a rivelare lo stato di salute Sanzione da lire 500.000 a lire 3.000.000
SERVIZIO POLIZIA POSTALE E DELLE COMUNICAZIONI www.poliziadistato.it polizia.comunicazioni@mininterno.it