Scaricare la presentazione
1
IL NUOVO TESTO UNICO IN MATERIA DI PRIVACY
Dott. Luca Leone
2
CODICE IN MATERIA DI PROTEZIONE
DEI DATI PERSONALI D.lgs. 30 giugno 2003, n. 196 G.U. 29 luglio 2003, n. 174 S.O.
3
CODICE IN MATERIA DI PROTEZIONE
DEI DATI PERSONALI Il Codice si compone di 3 parti + Allegati: Parte I – Disposizioni generali Parte II – Disposizioni relative a specifici settori Parte III – Tutela dell’interessato e sanzioni Allegati Codici deontologici Disciplinare tecnico in materia di misure minime di sicurezza Trattamenti non occasionali effettuati in ambito giudiziario o per fini di polizia
4
IL CODICE IN AZIENDA
5
L’ORGANIGRAMMA PRIVACY
Titolare Responsabile Incaricati
6
TITOLARE DEL TRATTAMENTO (Art. 28)
è l’azienda nel suo complesso il consiglio di amministrazione incarica una persona a rappresentare il titolare (es. l’Amministratore delegato)
7
RESPONSABILE (Art. 29) nomina facoltativa interni ed esterni
nomina necessaria in aziende con organizzazioni complesse più nomine a seconda della complessità aziendale la nomina del responsabile è una garanzia di tutela per il titolare la nomina non è un esonero di responsabilità per il titolare: ne costituisce un’attenuazione (soprattutto in tema di responsabilità penale) il responsabile deve ricevere dal titolare precise istruzioni il responsabile deve essere controllato periodicamente dal titolare culpa in vigilando e culpa in eligendo per il titolare
8
INCARICATO (Art. 30) persona fisica autorizzata, dal titolare o dal responsabile, a compiere operazioni di trattamento dipendente o collaboratore deve attenersi alle istruzioni impartite designazione effettuata per iscritto, individuando puntualmente l’ambito del trattamento consentito facoltà per l’azienda di documentare la preposizione della persona fisica ad una unità per la quale è individuato, per iscritto, l’ambito del trattamento consentito agli addetti all’unità medesima (es: mansionari; job description)
9
GLI ADEMPIMENTI
10
NOTIFICA (Art. 37) Generale assenza dell’obbligo
Alcuni trattamenti oggetto di notifica: dati genetici, biometrici o dati che indicano la posizione geografica di persone od oggetti mediante una rete di comunicazione elettronica; dati trattati con l’ausilio di strumenti elettronici volti a definire il profilo o la personalità dell’interessato, o ad analizzare abitudini o scelte di consumo; dati sensibili registrati in banche di dati a fine di selezione del personale per conto terzi, nonché dati sensibili per sondaggi di opinione, ricerche di mercato e altre ricerche campionarie. Invio telematico con firma digitale I titolari non tenuti alla notificazione forniscono le notizie contenute nel modello di notifica a chi ne fa richiesta
11
INFORMATIVA (Art. 13) La novità è costituita dal c.1 lett. d): l’informativa deve indicare “i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venire a conoscenza in qualità di responsabili o incaricati, e l’ambito di diffusione dei dati medesimi” Aggravio per le aziende Necessario un intervento chiarificatore del Garante Il Garante attraverso appositi provvedimenti potrà individuare modalità semplificate per l’informativa fornita da servizi telefonici di assistenza ed informazione al pubblico
12
CONSENSO (Art.23) Consenso espresso
Consenso scritto (+ autorizzazione del Garante) per il trattamento dei dati sensibili Esclusione (art. 24): accorpa l’art. 12 e 20 della L. 675/96 (es: comunicazione tra gruppi societari, nei casi individuati dal Garante) E’ consentita la comunicazione o diffusione di dati richiesta, in conformità alla legge, da forze di polizia, dall’autorità giudiziaria, da organismi di informazione e sicurezza
13
DIRITTI DELL’INTERESSATO
Diritto di accesso (art. 7): diviso in commi per facilitare sia la richiesta dell’interessato che eventuali ricorsi al Garante Esercizio dei diritti (art. 8 ): senza formalità anche per il tramite di un incaricato può avere luogo salvo che concerna la rettificazione o l’integrazione di dati personali di tipo valutativo, relativo a giudizi, opinioni od altri apprezzamenti di tipo soggettivo Modalità di esercizio (art. 9): lettera raccomandata, telefax o posta elettronica Riscontro all’interessato (art. 10): comunicazione anche oralmente comunicazione in forma intelligibile
14
ALTRE NOVITA’ Principio di necessità (art. 3): i sistemi informativi e i programmi informatici sono configurati riducendo al minimo l’utilizzo di dati personali e di dati identificativi Definizione di dati personali, dati identificativi, dati sensibili, dati giudiziari, dati anonimi Codici deontologici: Lavoro e previdenza sociale Internet e reti telematiche Videosorveglianza Libere professioni e investigazione privata Direct marketing Centrali rischi Annunci di lavoro (art. 113): viene confermata l’applicazione dell’art. 8 L. 300/70 (Statuto dei lavoratori) Controllo a distanza (art. 114): divieto ai sensi dell’art. 4 L. 300/70 (Statuto dei lavoratori)
15
FORMAZIONE E INFORMAZIONE
Deve diffondersi, all’interno dell’azienda, una cultura della privacy Sensibilità da parte dei vertici Corsi di formazione ad hoc per i Responsabili Corsi di formazione ad hoc per gli Incaricati
16
SICUREZZA DEI DATI E DEI SISTEMI
17
MISURE DI SICUREZZA minime (artt ) idonee (art. 31)
18
MISURE MINIME DI SICUREZZA
Definizione (art. 4, c. 3, lett. a): il complesso delle misure tecniche, informatiche, organizzative, logistiche e procedurali di sicurezza che configurano il livello minimo di protezione richiesto in relazione ai rischi previsti dall’art. 31 Art. 31: rischi di distruzione o perdita anche accidentale dei dati, rischi di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta I titolari del trattamento sono tenuti ad adottare le misure minime, individuate dal Codice, secondo le modalità previste dal Disciplinare Tecnico (allegato B), per assicurare un livello minimo di protezione dei dati personali.
19
MISURE IDONEE DI SICUREZZA
I dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l’adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.
20
IL CODICE SI DISTINGUE TRA:
trattamenti con strumenti elettronici trattamenti senza l’ausilio di strumenti elettronici
21
TRATTAMENTO CON STRUMENTI ELETTRONICI
Il trattamento è consentito solo se: sono adottate le misure minime di sicurezza individuate dal Codice le misure minime di sicurezza sono adottate con le modalità previste dal Disciplinare tecnico (allegato B)
22
MISURE MINIME INDIVIDUATE
DAL CODICE (Art. 34) Autenticazione informatica Procedure di gestione delle credenziali di autenticazione Utilizzazione di un sistema di autorizzazione Aggiornamento periodico dell’individuazione dell’ambito di trattamento consentito agli incaricati e addetti alla gestione e manutenzione degli strumenti elettronici Protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti, accessi non consentiti Procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi Redazione e aggiornamento del Documento Programmatico sulla Sicurezza (DPS) Adozione di tecniche di cifratura o codici identificativi per determinati trattamenti di dati sensibili effettuati da organismi sanitari
23
Misure minime individuate dal Disciplinare Tecnico (Allegato B)
Sistema di autenticazione informatica Il trattamento dei dati è consentito solo agli incaricati dotati di credenziali di autenticazione (codice identificativo + parola chiave riservata conosciuta solo dall’incaricato; dispositivo di autenticazione eventualmente associato a un codice identificativo o a una parola chiave; caratteristica biometrica dell’incaricato eventualmente associata a un codice identificativo o a una parola chiave) Gestione dei codici identificativi: Criteri di definizione e assegnazione individualità non riutilizzabilità validità temporale (disattivazione per mancato utilizzo – 6 mesi – o perdita qualità) criteri di disattivazione
24
Misure minime individuate dal Disciplinare Tecnico (Allegato B)
Gestione delle parole chiave (password): criteri di creazione (almeno 8 caratteri o numero caratteri massimo consentito dal sistema, non banale, ecc.) criteri di gestione ( modifica ogni 6 mesi; 3 mesi in caso di trattamento di dati sensibili) e di custodia Ad ogni incaricato possono essere associate una o più credenziali Il titolare dovrà fornire agli incaricati precise istruzioni in merito: alla gestione e conservazione delle credenziali di autenticazione alla custodia dei dispositivi in possesso e uso esclusivo dell’incaricato alla gestione e custodia dello strumento elettronico durante le sessioni di trattamento individuazione puntuale delle modalità di accesso ai dati, in caso di assenza prolungata o impedimento dell’incaricato, per esigenze organizzative e di sicurezza aziendale Non ha più rilevanza la figura dell’Amministratore di Sistema Rimane la figura del preposto alla custodia della credenziale riservata
25
Sistema di autorizzazione
Misure minime individuate dal Disciplinare Tecnico (Allegato B) Sistema di autorizzazione Profili di autorizzazione (per ciascun incaricato o per classi omogenee): criteri di individuazione preventiva verifiche periodiche (almeno ogni anno) criteri di revoca
26
Altre misure di sicurezza
Misure minime individuate dal Disciplinare Tecnico (Allegato B) Altre misure di sicurezza Aggiornamento periodico e verifiche (almeno ogni anno) dell’ambito di trattamento consentito agli incaricati e redazione della lista degli incaricati installazione e aggiornamento software antivirus (almeno ogni 6 mesi) aggiornamenti periodici dei software volti a prevenire la vulnerabilità di strumenti elettronici e a correggere difetti (annualmente; ogni 6 mesi in caso di trattamento di dati sensibili) istruzioni tecniche e organizzative per il salvataggio dei dati (frequenza settimanale)
27
Documento Programmatico sulla Sicurezza (DPS)
Redatto entro il 31 marzo di ogni anno Deve contenere: l’elenco dei trattamenti di dati personali la distribuzione dei compiti e delle responsabilità nell’ambito delle strutture preposte al trattamento l’analisi dei rischi che incombono sui dati le misure da adottare per garantire l’integrità e la disponibilità dei dati, nonché la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità; la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento
28
Documento Programmatico sulla Sicurezza (DPS)
la previsione di interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare. La formazione è programmata già al momento dell’ingresso in servizio, nonché in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento dei dati la descrizione dei criteri da adottare per garantire l’adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformità al codice, all’esterno della struttura del titolare per i dati personali idonei a rivelare lo stato di salute e la vita sessuale l’individuazione dei criteri da adottare per la cifratura o per la separazione di tali dati dagli altri dati personali dell’interessato (organismi sanitari) Il titolare riferisce, nella relazione accompagnatoria del bilancio d’esercizio, dell’avvenuta redazione o aggiornamento del documento programmatico sulla sicurezza
29
Ulteriori misure in caso di trattamento di dati sensibili o giudiziari
Istruzioni organizzative e tecniche per la custodia e l’uso di supporti rimovibili istruzioni per la distruzione controllata dei supporti e per la cancellazione delle informazioni contenute adozione di idonee misure per il ripristino dei dati in caso di danneggiamento dei dati e/o degli strumenti (7 giorni) Misure di tutela e garanzia Il titolare che adotta misure minime di sicurezza avvalendosi di soggetti esterni alla propria struttura, per provvedere alla esecuzione riceve dall’installatore una descrizione scritta dell’intervento effettuato che ne attesta la conformità alle disposizioni del disciplinare tecnico
30
TRATTAMENTO SENZA L’AUSILIO DI STRUMENTI ELETTRONICI
Il trattamento è consentito solo se: sono adottate le misure minime di sicurezza individuate dal Codice le misure minime di sicurezza sono adottate con le modalità previste dal Disciplinare tecnico (allegato B)
31
Misure minime individuate dal Codice (Art. 35)
aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati o alle unità organizzative previsione di procedure per un’idonea custodia di atti e documenti affidati agli incaricati per lo svolgimento dei relativi compiti previsione di procedure per la conservazione di determinati atti in archivi ad accesso selezionato e disciplina delle modalità di accesso finalizzata all’identificazione degli incaricati
32
Misure minime individuate dal Disciplinare Tecnico (Allegato B)
Agli incaricati sono impartite istruzioni scritte finalizzate al controllo ed alla custodia, per l’intero ciclo necessario allo svolgimento delle operazioni di trattamento, degli atti e dei documenti contenenti dati personali. Nell’ambito dell’aggiornamento periodico con cadenza almeno annuale dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati, la lista degli incaricati può essere redatta anche per classi omogenee di incarico e dei relativi profili di autorizzazione. Quando gli atti e i documenti contenenti dati personali sensibili o giudiziari sono affidati agli incaricati del trattamento per lo svolgimento dei relativi compiti, i medesimi atti e documenti sono controllati e custoditi dagli incaricati fino alla restituzione in maniera che ad essi non accedano persone prive di autorizzazione, e sono restituiti al termine delle operazioni affidate. L’accesso agli archivi contenenti dati sensibili o giudiziari è controllato. Le persone ammesse, a qualunque titolo, dopo l’orario di chiusura, sono identificate e registrate. Quando gli archivi non sono dotati di strumenti elettronici per il controllo degli accessi o di incaricati della vigilanza, le persone che vi accedono sono preventivamente autorizzate.
33
LE SCADENZE Entrata in vigore Codice 01.01.2004 DPS 31.03.2004
Notificazione Misure Minime Adeguamento tecnologico
Presentazioni simili
© 2024 SlidePlayer.it Inc.
All rights reserved.