A cura di Rag. Malfara Sacchini Mario - Vibo Valentia 5 Novembre 2006 Il Codice della Privacy...

a cura di Rag. Malfara Sacchini Mario - Vibo Valentia 5 Novembre 2006

Il Codice della PrivacySintesi normativa e cenni

applicativi

a cura di Malfarà Sacchini Mario

Ragioniere commercialista in Vibo Valentia


La normativa

D.Lgs n. 196 del 30/06/2003 Codice in materia di protezione dei dati personali. (pubblicato in G.U. il 29/07/2003)

Entrata in vigore 1° gennaio 2004. Dall’entrata in vigore sono abrogate le

disposizioni della L. 31/12/1996 n. 675 e quelle del D.P.R. 28/07/1999 n. 318.

Le disposizioni abrogate sono indicate all’articolo 183 del Decreto Legislativo n. 196.


Significato della privacy

Le parole d’ordine della normativa sono:

CONTROLLO SUL PROCESSO DI

ACQUISIZIONE, GESTIONE ED

ELIMINAZIONE DEI DATI PERSONALI

CUSTODIA DEI DATI PERSONALI E

DEFINIZIONE DELLE MISURE DI SICUREZZA CON LA PRESCRIZIONE

DI UN LIVELLO MINIMO DI SICUREZZA



È un termine di origine inglese traducibile come “ diritto alla

riservatezza ” che rimanda alla dignità dell'interessato, con particolare riferimento alla

riservatezza, all'identità personale e al diritto alla protezione dei dati

personali



ASSIOMA DELLA NORMATIVA

Nell’era dell’informatizzazione diffusa, il dato assurge al rango di bene personale da proteggere,

indipendentemente dalle ragioni in forza delle quali è acquisito, detenuto o trattato


Possibile equivocità del termine “privacy”

La traduzione letterale del termine “ privacy” potrebbe condurre a risultati errati circa la

portata dell’obbligo di legge che vuole tutelare non solo i dati sensibili, bensì tutti i dati

personali


Cosa disciplina

1. Disposizioni generali (articoli da 1 a 45):fissano regole sostanziali della disciplina del trattamento dei dati personali, applicabili a tutti i tipi di trattamento;fissano regole specifiche che si devono osservare per i trattamenti effettuati.

2. Disposizioni relative a specifici settori (articoli da 46 a 140) disciplina il trattamento dei dati in particolari ambiti (ambito giudiziario, forze di polizia, difesa e sicurezza dello stato, ambito pubblico, ambito sanitario, istruzione e trattamento per scopi storici,statistici e scientifici).

3. Disposizioni relative alle azioni di tutela dell’interessato e al sistema sanzionatorio (articoli da 141 a 186).


Chi lo deve applicare Tutti i soggetti pubblici e privati che conservino o trattino: “dati personali”: qualsiasi informazione che sia relativa a

persone fisiche, giuridiche, enti od associazioni, identificati o identificabili anche indirettamente mediante il riferimento a qualsiasi altra informazione, compreso un numero di identificazione personale.

“dati sensibili e/o giudiziari”: i dati personali idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti politici, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e le abitudini sessuali. I dati personali idonei a rivelare provvedimenti iscrivibili nel casellario giudiziale, o all’anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualità di soggetto imputato o indagato ai sensi degli articoli 60 e 61 del c.p.p.


Principi generali

- Diritto alla protezione dei dati personali (art. 1) - Finalità

Rispetto dei diritti e delle libertà fondamentali, nonché della dignità dell’interessato, con riguardo alla riservatezzae alla garanzia di del diritto alla protezione dei dati personali

- Principio di necessità nel trattamento dei dati (art. 3)

- Diritto di accesso ai dati personali ed altri diritti (Titolo II articoli da 7 a 10)

Obblighi del titolare del trattamento (riscontro all’interessato)

- Obbligo d’informativa (art. 13) - Obblighi connessi alla cessazione del

trattamento (art. 16)


Definizioni L’art. 4 del Codice fornisce le definizioni dei seguenti termini:

Trattamento Dato personale Dati identificativi Dati sensibili Dati giudiziari Titolare Responsabile Incaricati Interessato Comunicazione Diffusione Dato anonimo Blocco Banca di dati Garante

segue


Adempimenti riguardanti tutti i tipi di trattamenti Informazione del soggetto interessato

Dati di natura comune Dati sensibili o giudiziari

Acquisizione del consenso del soggetto interessato Dati di natura comune Dati di natura sensibile


Casi di esclusione dall’obbligo di acquisizione del consenso L’obbligo di acquisizione del consenso viene meno quando:

Il trattamento dati è necessario per adempiere ad un obbligo previsto dalla legge, da un regolamento o dalla normativa comunitaria

Il trattamento è necessario per l’esecuzione di un contratto del quale è parte l’interessato o per adempiere a specifiche richieste dell’interessato riguardanti il contratto in essere.

Il trattamento riguarda dati provenienti da pubblici registri, elenchi , atti o documenti conoscibili da chiunque, fermi restando i limiti e le modalità che le leggi e la normativa comunitaria stabiliscono per la conoscibilità dei dati.

Il trattamento riguarda dati relativi allo svolgimento di attività economiche, trattatati nel rispetto della vigente normativa in materia di segreto aziendale o industriale.


Trattamento di dati sensibili e giudiziari I dati sensibili o giudiziari possono essere trattati solo

con il consenso dell’interessato e previa autorizzazione dell’autorità garante.

Tale obbligo viene meno per i dati sensibili quando: Sono trattati per adempiere a specifici obblighi o

compiti previsti dalla legge, da un regolamento o dalla normativa comunitaria, per la gestione dei rapporti di lavoro anche in materia di igiene e sicurezza

L’esonero è previsto da specifiche autorizzazioni generali (vedi art. 40)


L’informativa L’informativa deve essere resa all’interessato prima di poter

procedere al trattamento dei dati personali (siano essi solo personali o di natura sensibile o giudiziaria).

L’informativa può essere resa anche in forma orale (art. 13) Essa deve informare l’interessato circa:

a) Le finalità e le modalità del trattamento cui sono destinati i datib) La natura obbligatoria o facoltativa del conferimento dei datic) Le conseguenze di un eventuale rifiuto di rispondered) I soggetti o le categorie di soggetti ai quali i dati personali possono

essere comunicati o che possono venirne a conoscenza, in qualità di responsabili o incaricati, l’ambito di diffusione dei medesimi.

e) L’ indicazione dei diritti dell’interessato richiamati all’articolo 7f) Gli estremi identificativi del titolare, e dove designato, del

responsabile, del rappresentante nel territorio dello stato Per i trattamenti iniziati prima dell’entrata in vigore del Codice si deve

procedere ad integrazione dell’informativa rilasciata in precedenza, integrata con i/il nominativi/i dei/del responsabile.


Adozione di misure minime di sicurezza per il trattamento dei dati. Il soppresso D.P.R. 318/1999 ha trovato

accoglimento e ampliamento normativo all’interno delle disposizioni generali del codice.

Il titolo V della parte I del codice è integralmente dedicato alla sicurezza dei dati e dei sistemi con cui si procede al trattamento.


Le misure di sicurezza

Il Codice impone la sicurezza dei sistemi di trattamento dati personali in base alle conoscenze acquisite e progresso tecnico, in modo da ridurre al minimo i rischi di distruzione o perdita anche accidentale, dei dati stessi, e prevenire l’accesso non autorizzato o il trattamento non consentito o non conforme alle finalità della raccolta.

L’articolo 31 definisce quindi il principio generale di sicurezza applicabile sia ai dati personali che ai dati sensibili e giudiziari.


Misure minime per trattamenti con strumenti elettronici. L’articolo 34 impone le seguenti misure minime per il trattamento di dati

personali effettuato con strumenti elettronici:a) Autenticazione informaticab) Adozione di procedura di gestione delle credenziali di autenticazionec) Utilizzazione di un sistema di autorizzazioned) Aggiornamento periodico dell’individuazione dell’ambito del trattamento

consentito ai singoli incaricati e addetti alla gestione o manutenzione dei sistemi elettronici

e) Protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici.

f) Adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi.

g) Tenuta di un aggiornato documento programmatico sulla sicurezzah) Adozione di tecniche di cifratura o di codici identificativi per determinati

trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari

L’adozione delle misure minime di sicurezza deve essere posta in essere entro il 31/12/2005


Misure minime per il trattamento senza ausilio di strumenti elettronici L’art. 35 dispone invece sulle misure minime da adottarsi per il

trattamento di dati personali senza ausilio di strumenti elettronici.

La prima misura prevede l’aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati o alle unità organizzative

La seconda misura consiste nella previsione di procedure per un’idonea custodia di atti e documenti affidati agli incaricati per lo svolgimento dei relativi compiti.

La terza misura consiste nella previsione di procedure di conservazione di determinati atti in archivi ad accesso selezionato e disciplina delle modalità di accesso, finalizzata all’identificazione degli incaricati.

L’adozione delle misure minime di sicurezza deve essere posta in essere entro il 31/12/2005


Il disciplinare tecnico delle misure minime di sicurezza L’allegato B al Decreto legislativo, individua le misure

tecniche relative alle misure minime di sicurezza che i titolari devono adottare.

L’allegato B contrariamente alla definizione prevista dall’articolo 34 prevede l’obbligo di redazione del DPS è necessario per coloro che trattano dati sensibili e/o giudiziari con l’ausilio di strumenti elettronici.

Il DPS deve essere redatto e aggiornato entro il 31 marzo di ogni anno..

Nella relazione al bilancio d’esercizio (o nella Nota Integrativa) gli amministratori devono riferire in merito alla redazione e/o all’aggiornamento del documento.


Le sanzioni: violazioni amministrative

Omessa o inidonea informativa all’interessato (art. 161):

Dati personali € 3.000/18.000 Dati sensibili € 5.000/30.000

Cessione di dati in ad altro titolare in violazione dell’art. 16 lett.b) (art. 162)

Sanzione € 5.000/30.000 Omessa o incompleta notificazione (art. 163)

Sanzione € 10.000/60.000 Sanzione accessoria spese di pubblicazione

ordinanza- ingiunzione in uno o più giornali.


Altre sanzioni amministrative disciplinate Omessa informazione o esibizione di

documenti al garante (art. 164) Sanzione € 4.000/24.000

Violazioni concernenti le comunicazioni dei dati personali sullo stato di salute (art. 162, c.2)

Sanzione € 500/3.000


Le sanzioni: illeciti penali

Delitti Trattamento illecito di dati (art. 167)

VI rientra il trattamento dei dati senza consenso ove necessario

Reclusione: 6/18 mesi; a 6/24 ove si procede ad illecita comunicazione o diffusione a terzi dei dati

Falsità nelle dichiarazioni e notificazioni al Garante (art. 168)

Reclusione: 6/36 mesi Inosservanza dei provvedimenti del Garante

(art. 170) Reclusione: 3/24 mesi


Sanzioni: illeciti penali

Contravvenzioni Mancata adozione misure minime di sicurezza

(art. 169) Arresto sino a 2 anni o Ammenda da € 10.000/50.000

Divieto d’indagine sulle opinioni dei lavoratori e Violazioni delle norme di controllo a distanza dei lavoratori

Arresto da 15 giorni ad un anno Ammenda da € 154,94/1.549,37


Il risarcimento dei danni

Il Codice disciplina due tipologie di risarcimento: Danno patrimoniale

“Chiunque cagiona ad altri danni per effetto del trattamento di dati personali (art. 15, c.1)

Applicabilità dell’art. 2050 del C.C.: il titolare deve quindi provare in caso di danni patrimoniali causati all’interessato di aver adottato tutte le misure idonee ad evitarlo.

Danno non patrimoniale (art. 15, c.2) Può essere invocato il risarcimento del danno

biologico di natura psichica, ove il titolare non provveda al trattamento in forma lecita dei dati, non provveda ad aggiornarli, li detenga oltre il termine superiore agli scopi per i quali sono raccolti.


Dichiarazioni di conformità delle misure minime adottate. Il titolare che adotta misure minime di

sicurezza avvalendosi di soggetti esterni alla propria struttura, per provvedere all’esecuzione, riceve dall’installare all’uopo incaricato una descrizione scritta dell’intervento effettuato che ne attesta la conformità alle disposizioni del disciplinare tecnico allegato B al D.Lgs. n. 196 (punto 25 allegato b).

A cura di Rag. Malfara Sacchini Mario - Vibo Valentia 5 Novembre 2006 Il Codice della Privacy...

Documents

Transcript of A cura di Rag. Malfara Sacchini Mario - Vibo Valentia 5 Novembre 2006 Il Codice della Privacy...