Scaricare la presentazione
1
IL CODICE DELLA PRIVACY
2
IL CODICE DELLA PRIVACY
CONTESTO NORMATIVO
3
CONTESTO NORMATIVO NAZIONALE
l. 675/96 RENDE OBBLIGATORIE LE MISURE POSTE A PROTEZIONE DEI DATI PERSONALI � DPR 318/99 CONTIENE UN REGOLAMENTO PER L’INDIVIDUAZIONE DELLE MISURE MINIME DI SICUREZZA D.L. 135/99 INTEGRA LA 675 SUL TRATTAMENTO DEI DATI SENSIBILI DA PARTE DI SOGGETTI PUBBLICI D.L. 282/99 DISPOSIZIONI PER GARANTIRE LA RISERVATEZZA DEI DATI IN AMBITO SANITARIO.
4
CONTESTO NORMATIVO COMUNITARIO
DIR. 95/46 TRATTAMENTO E LIBERA CIRCOLAZIONE DEI DATI PERSONALI DIR. 96/09 TUTELA GIURIDICA DELLE BANCHE DATI DIR. 2002/58 TRATTAMENTI DATI PERSONALI E TUTELA DELLA VITA PRIVATA NEL SETTORE DELLE COMUNICAZIONI
5
IL CODICE DELLA PRIVACY
I PRINCIPI
6
I PRINCIPI Cosa è la “Privacy ”?
È un termine di origine inglese traducibile come “ diritto alla riservatezza”
7
I PRINCIPI “Chiunque ha diritto alla protezione dei dati
personali che lo riguardano” (art.1)
8
I PRINCIPI “Il presente testo unico, di seguito denominato "codice", garantisce che il trattamento dei dati personali si svolga nel rispetto dei diritti e delle libertà fondamentali, nonché della dignità dell'interessato, con particolare riferimento alla riservatezza, all'identità personale e al diritto alla protezione dei dati personali” (art.2)
9
I PRINCIPI “ Il trattamento dei dati personali e' effettuato assicurando un elevato livello di tutela dei diritti e delle libertà […] nel rispetto dei principi di SEMPLIFICAZIONE, ARMONIZZAZIONE ed EFFICACIA delle modalità previste per il loro esercizio da parte degli interessati, nonché per l'adempimento degli obblighi da parte dei titolari del trattamento ”
10
PRINCIPIO DI NECESSITA’
I PRINCIPI PRINCIPIO DI NECESSITA’ I sistemi informativi ed i programmi debbono essere configurati in modo da utilizzare il minimo di dati identificativi personali. Il trattamento dei dati è da escludere ove sia possibile utilizzare dati anonimi oppure particolari modalità che permettano di risalire all’interessato solo in caso di necessità
11
IL CODICE DELLA PRIVACY
I SOGGETTI
12
I SOGGETTI Garante Interessato Titolare del trattamento
Responsabile del trattamento Incaricato del trattamento
13
DESTINATARIO della TUTELA
INTERESSATO la persona fisica, la persona giuridica, l'ente o l'associazione cui si riferiscono i dati personali DESTINATARIO della TUTELA
14
IL GARANTE Il Garante opera in piena autonomia e con indipendenza di giudizio e di valutazione. Il Garante è organo collegiale costituito da quattro componenti. I componenti sono scelti tra persone che assicurano indipendenza e che sono esperti di riconosciuta competenza delle materie del diritto o dell'informatica. Il presidente e i componenti durano in carica quattro anni
15
TITOLARE La persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza
16
RESPONSABILE la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali
17
INCARICATI le persone fisiche autorizzate a compiere operazioni di
trattamento dal titolare o dal responsabile
18
I DATI Dati Personali Dati Sensibili Dati Giudiziari
19
DATI PERSONALI “ ogni informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale ”
20
DATI SENSIBILI dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale
21
DATI GIUDIZIARI “ dati personali idonei a rivelare provvedimenti di cui all'articolo 3, comma 1, lettere da a) a o) e da r) a u), del D.P.R. 14 novembre 2002, n. 313, in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualità di imputato o di indagato ai sensi degli articoli 60 e 61 del codice di procedura penale ”
22
Le Procedure Regole Generali Pubblica Amministrazione
Privati od Enti Pubblici Economici Particolari Categorie di Dati
23
TRATTAMENTO REGISTRAZIONE SELEZIONE ORGANIZZAZIONE ESTRAZIONE
CONSERVAZIONE CONSULTAZIONE ELABORAZIONE MODIFICA DIFFUSIONE CANCELLAZIONE DISTRUZIONE SELEZIONE ESTRAZIONE RAFFRONTO UTILIZZO INTERCONNESSIONE BLOCCO COMUNICAZIONE
24
TRATTAMENTO ART. 11 I dati personali oggetto di trattamento sono: a) trattati in modo lecito e secondo correttezza; b) raccolti e registrati per scopi determinati, espliciti e legittimi, ed utilizzati in altre operazioni del trattamento in termini compatibili con tali scopi;
25
INFORMATIVA ART.13 le finalità e le modalità del trattamento cui sono destinati i dati; La natura obbligatoria o facoltativa del conferimento dei dati; conseguenze di un eventuale rifiuto di rispondere;
26
INFORMATIVA ART.13 i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati, e l'ambito di diffusione dei dati medesimi; i diritti di cui all'articolo 7; gli estremi identificativi del titolare e, se designati, del rappresentante nel territorio dello Stato ai sensi dell'articolo 5 e del responsabile.
27
INFORMATIVA ART.13 Se i dati personali non sono raccolti presso l'interessato, l'informativa di cui al comma 1, comprensiva delle categorie di dati trattati, è data al medesimo interessato all'atto della registrazione dei dati o, quando è prevista la loro comunicazione, non oltre la prima comunicazione.
28
CESSAZIONE DEL TRATTAMENTO art.16
In caso di cessazione, per qualsiasi causa, di un trattamento i dati sono: distrutti; ceduti ad altro titolare, purché destinati ad un trattamento in termini compatibili agli scopi per i quali i dati sono raccolti; conservati per fini esclusivamente personali e non destinati ad una comunicazione sistematica o alla diffusione; conservati o ceduti ad altro titolare, per scopi storici, statistici o scientifici, in conformità alla legge, ai regolamenti, alla normativa comunitaria …..
29
SOGGETTI PUBBLICI art. 18 Qualunque trattamento di dati personali da parte di soggetti pubblici è consentito soltanto per lo svolgimento delle funzioni istituzionali. Nel trattare i dati il soggetto pubblico osserva i presupposti e i limiti stabiliti dal codice, anche in relazione alla diversa natura dei dati, nonché dalla legge e dai regolamenti. Salvo quanto previsto nella Parte II per gli esercenti le professioni sanitarie e gli organismi sanitari pubblici, i soggetti pubblici non devono richiedere il consenso dell'interessato. Si osservano le disposizioni di cui all'articolo 25 in tema di comunicazione e diffusione.
30
COMUNICAZIONE Dare conoscenza dei dati personali ad uno o più soggetti determinati diversi da: INTERESSATO RESPONSABILE INCARICATI Sotto qualunque forma, anche tramite la consultazione o messa a disposizione
31
DIFFUSIONE Dare conoscenza dei dati personali a soggetti
indeterminati, in qualunque forma, anche mediante la messa a disposizione o consultazione
32
COMUNICAZIONE E DIFFUSIONE
La comunicazione e la diffusione SONO VIETATE, oltre che in caso di divieto disposto dal Garante o dall'autorità giudiziaria: in riferimento a dati personali dei quali è stata ordinata la cancellazione, ovvero quando è decorso il periodo di tempo indicato nell'articolo 11, comma 1, lettera e); per finalità diverse da quelle indicate nella notificazione del trattamento, ove prescritta.
33
COMUNICAZIONE E DIFFUSIONE
È fatta salva la comunicazione o diffusione di dati richieste, in conformità alla legge, da forze di polizia, dall'autorità giudiziaria, da organismi di informazione e sicurezza o da altri soggetti pubblici ai sensi dell'articolo 58, comma 2, per finalità di difesa o di sicurezza dello Stato o di prevenzione, accertamento o repressione di reati.
34
DISCIPLINARE TECNICO E MISURE MINIME DI SICUREZZA
Le misure di sicurezza attengono alla protezione dei dati TRATTATI CON STRUMENTI TRADIZIONALI TRATTATI CON STRUMENTI ELETTRONICI
35
TRATTAMENTI SENZA STRUMENTI ELETTRONICI
aggiornamento della definizione periodica dell'ambito del trattamento consentito ai singoli incaricati e addetti alla unità organizzative procedure per un’idonea custodia di atti e documenti affidati agli incaricati per lo svolgimento dei relativi compiti
36
TRATTAMENTI SENZA STRUMENTI ELETTRONICI
previsione di procedure per la conservazione di determinati atti in archivi ad accesso selezionato disciplina delle modalità di accesso finalizzata all'identificazione degli incaricati.
37
TRATTAMENTI CON STRUMENTI ELETTRONICI
autenticazione informatica adozione di procedure di gestione delle credenziali di autenticazione
38
TRATTAMENTI CON STRUMENTI ELETTRONICI
aggiornamento della definizione periodica dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti e/o ad accessi non consentiti ed a determinati programmi informatici
39
TRATTAMENTI CON STRUMENTI ELETTRONICI
adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi tenuta di un aggiornato documento programmatico sulla sicurezza
40
SISTEMA DI AUTENTICAZIONE INFORMATICA
Le credenziali di autenticazione consistono in un codice per l'identificazione dell'incaricato associato a una parola chiave riservata conosciuta solamente dal medesimo La password può essere sostituita da un dispositivo di autenticazione in possesso e uso esclusivo dell'incaricato, oppure in una caratteristica biometria (dell'incaricato), eventualmente associata a un codice identificativo o a una parola chiave.
41
SISTEMA DI AUTENTICAZIONE INFORMATICA
Ogni incaricato può disporre di una o più credenziali per l'autenticazione. La conservazione della password è a carico dell’incaricato All’incaricato vanno impartite precise istruzioni affinché adotti le necessarie cautele per proteggere la segretezza della sua password e gli eventuali dispositivi di autenticazione.
42
SISTEMA DI AUTENTICAZIONE INFORMATICA
La parola chiave è composta da almeno otto caratteri nel caso in cui lo strumento elettronico non lo permetta, da un numero di caratteri pari al massimo consentito
43
SISTEMA DI AUTENTICAZIONE INFORMATICA
La password non deve contenere riferimenti agevolmente riconducibili all'incaricato (es. data di nascita oppure uguale al nome utente) la password deve essere modificata al primo utilizzo la password deve essere modificata almeno ogni sei mesi. la password deve essere modificata ogni tre mesi almeno se si trattano dati sensibili e/o dati giudiziari Il codice non può essere assegnato ad altri incaricati, neppure in tempi diversi.
44
I SISTEMI DI AUTORIZZAZIONE
Se vi sono incaricati con incarichi e profili di autorizzazione diversi tra loro allora è necessario dotarsi di un apposito sistema di autorizzazione. I profili di autorizzazione devono essere configurati prima dell’inizio del trattamento Si deve limitare l’accesso ai soli dati necessari per effettuare le operazioni di trattamento E’ necessario verificare la sussistenza delle condizioni di validità e la conservazione dei profili di autorizzazione la verifica deve essere eseguita periodicamente, e comunque almeno una volta l’anno.
45
TRATTAMENTI SENZA MEZZI ELETTRONICI
Agli incaricati devono essere impartite istruzioni scritte finalizzate al controllo ed alla custodia degli atti e dei documenti contenenti dati personali durante tutte le fasi del trattamento L’ambito del trattamento consentito ai singoli incaricati è soggetto a verifica periodica (almeno annuale)
46
TRATTAMENTI SENZA MEZZI ELETTRONICI
Atti e i documenti contenenti dati personali sensibili o giudiziari utilizzati per il trattamento sono posti sotto custodia degli incaricati Gli incaricati vigilano affinché non vi accedano persone prive di autorizzazione Gli incaricati sono responsabili degli atti e documenti fino alla loro restituzione L'accesso agli archivi contenenti dati sensibili o giudiziari è posto sotto controllo.
47
TRATTAMENTI SENZA MEZZI ELETTRONICI
Qualsiasi persona ammessa, dopo l'orario di chiusura, deve essere identificata e registrata Se gli archivi non sono dotati di strumenti elettronici per il controllo degli accessi o di incaricati della vigilanza le persone che vi accedono devono essere preventivamente autorizzate
Presentazioni simili
© 2024 SlidePlayer.it Inc.
All rights reserved.