Codice in materia di protezione dei dati personali D. Lgs. 30 giugno 2003, n. 196

Riproduzione riservata

Codice Privacy: gli adempimenti per i professionisti

D.Lgs 30 giugno 2003, n. 196

di Elena ClarkeFondazione Luca Pacioli


Codice in materia di protezione dei dati personaliCodice in materia di protezione dei dati personaliD. Lgs. 30 giugno 2003, n. 196D. Lgs. 30 giugno 2003, n. 196

IN VIGORE DAL 1° GENNAIO 2004IN VIGORE DAL 1° GENNAIO 2004

Il Codice riunisce in un unico contesto tutta la normativa in Il Codice riunisce in un unico contesto tutta la normativa in

tema di privacy: la l. 675/96 e gli altri decreti legislativi e tema di privacy: la l. 675/96 e gli altri decreti legislativi e

regolamenti che si sono succeduti negli ultimi anniregolamenti che si sono succeduti negli ultimi anni



PRINCIPALI INNOVAZIONIPRINCIPALI INNOVAZIONI

• SEMPLIFICAZIONE DEGLI ADEMPIMENTISEMPLIFICAZIONE DEGLI ADEMPIMENTI

• NUOVE GARANZIE A TUTELA DEI DATINUOVE GARANZIE A TUTELA DEI DATI



SOGGETTI TENUTI ALL’ADEGUAMENTOSOGGETTI TENUTI ALL’ADEGUAMENTO

Sono tenuti ad adeguarsi alle disposizioni del Codice tutti Sono tenuti ad adeguarsi alle disposizioni del Codice tutti

coloro che trattano dati personali:coloro che trattano dati personali:

•AziendeAziende

•Pubbliche AmministrazioniPubbliche Amministrazioni

•ProfessionistiProfessionisti


Codice in materia di protezione dei dati personaliCodice in materia di protezione dei dati personaliDEFINIZIONIDEFINIZIONI

INDIVIDUAZIONE DATI OGGETTO DI INDIVIDUAZIONE DATI OGGETTO DI TRATTAMENTOTRATTAMENTO

•Dati personaliDati personali qualunque informazione relativa a persone fisiche, qualunque informazione relativa a persone fisiche,

giuridiche, enti ed associazionigiuridiche, enti ed associazioni

•Dati sensibiliDati sensibili dati idonei a rivelare razza, religione, opinioni politiche dati idonei a rivelare razza, religione, opinioni politiche

o filosofiche, salute, abitudini sessualio filosofiche, salute, abitudini sessuali

•Dati giudiziariDati giudiziari dati idonei a rivelare provvedimenti iscritti nel dati idonei a rivelare provvedimenti iscritti nel

casellario giudiziario o relativi a qualità di imputato o indagatocasellario giudiziario o relativi a qualità di imputato o indagato


Codice in materia di protezione dei dati personaliCodice in materia di protezione dei dati personaliSOGGETTI CHE EFFETTUANO IL TRATTAMENTOSOGGETTI CHE EFFETTUANO IL TRATTAMENTO

INDIVIDUAZIONE SOGGETTI CHE INDIVIDUAZIONE SOGGETTI CHE EFFETTUANO IL TRATTAMENTOEFFETTUANO IL TRATTAMENTO

•TitolareTitolare direttamente individuato dalla legge direttamente individuato dalla legge

Esercita un potere autonomo sulle modalità e finalità del trattamentoEsercita un potere autonomo sulle modalità e finalità del trattamento

•ResponsabileResponsabile facoltativofacoltativo

Designato dal titolare con compiti stabiliti per iscrittoDesignato dal titolare con compiti stabiliti per iscritto

•Incaricato/iIncaricato/i facoltativofacoltativo

Effettua il trattamento sotto la diretta autorità del titolare e Effettua il trattamento sotto la diretta autorità del titolare e

responsabile con istruzioni scritteresponsabile con istruzioni scritte


Codice in materia di protezione dei dati personaliCodice in materia di protezione dei dati personaliREGOLE PER TUTTI I TRATTAMENTIREGOLE PER TUTTI I TRATTAMENTI

INFORMATIVA E CONSENSO (artt. 13 e 23)INFORMATIVA E CONSENSO (artt. 13 e 23)

Prima di procedere al trattamento dei dati personali Prima di procedere al trattamento dei dati personali

è necessario fornire l’informativa privacy e è necessario fornire l’informativa privacy e

richiedere il consenso ai soggetti interessatirichiedere il consenso ai soggetti interessati


Codice in materia di protezione dei dati personaliCodice in materia di protezione dei dati personaliADEMPIMENTIADEMPIMENTI

NOTIFICAZIONE ART. 37NOTIFICAZIONE ART. 37

• La notificazione è l’atto con cui l’impresa, il professionista La notificazione è l’atto con cui l’impresa, il professionista

o la PA segnala al Garante i trattamenti dati che si o la PA segnala al Garante i trattamenti dati che si

intendono effettuareintendono effettuare

• Con il Codice ed il provvedimento del 31 marzo 2004 il Con il Codice ed il provvedimento del 31 marzo 2004 il

Garante ha semplificato notevolmente tale adempimentoGarante ha semplificato notevolmente tale adempimento

• Deve essere effettuata entro il 30 aprileDeve essere effettuata entro il 30 aprile


Codice in materia di protezione dei dati personaliCodice in materia di protezione dei dati personaliADEMPIMENTIADEMPIMENTI

AUTORIZZAZIONI ART. 40AUTORIZZAZIONI ART. 40

• Per il trattamento di dati sensibili e giudiziari è necessario Per il trattamento di dati sensibili e giudiziari è necessario

richiedere l’Autorizzazione al Garante (artt. 26 e 27)richiedere l’Autorizzazione al Garante (artt. 26 e 27)

• Sono previste Autorizzazioni generali rilasciate dal Sono previste Autorizzazioni generali rilasciate dal

Garante (art. 40)Garante (art. 40)

• L’Autorizzazione n. 4/2002 al trattamento dei dati sensibili L’Autorizzazione n. 4/2002 al trattamento dei dati sensibili

da parte dei liberi professionisti è stata prorogata fino al da parte dei liberi professionisti è stata prorogata fino al

30 giugno 200430 giugno 2004


Codice in materia di protezione dei dati personali Codice in materia di protezione dei dati personali MISURE DI SICUREZZAMISURE DI SICUREZZA

OBBLIGHI DI SICUREZZA (art. 31)OBBLIGHI DI SICUREZZA (art. 31)

Previsione di un obbligo generale di ridurre al minimo i Previsione di un obbligo generale di ridurre al minimo i

rischi di distruzione o dispersione dei dati personalirischi di distruzione o dispersione dei dati personali

L’inosservanza dell’obbligo rende il trattamento illecito ed L’inosservanza dell’obbligo rende il trattamento illecito ed

espone a responsabilità civile per dannoespone a responsabilità civile per danno



MISURE MINIME DI SICUREZZAMISURE MINIME DI SICUREZZA

Previsione di misure minime di protezione dei dati Previsione di misure minime di protezione dei dati

differenziate a seconda che il trattamento sia effettuato differenziate a seconda che il trattamento sia effettuato

con o senza l’ausilio di strumenti informatici e della con o senza l’ausilio di strumenti informatici e della

tipologia di dati trattatitipologia di dati trattati

L’omessa adozione costituisce reato (art. 169, arresto sino L’omessa adozione costituisce reato (art. 169, arresto sino

a due anni o ammenda da 10.000 € a 50.000 €)a due anni o ammenda da 10.000 € a 50.000 €)


Codice in materia di protezione dei dati personaliCodice in materia di protezione dei dati personaliMISURE DI SICUREZZAMISURE DI SICUREZZA

MISURE MINIME DI SICUREZZAMISURE MINIME DI SICUREZZATERMINI PER L’ADOZIONETERMINI PER L’ADOZIONE

• 1° gennaio 20041° gennaio 2004 per le misure minime già previste dalla per le misure minime già previste dalla

precedente normativaprecedente normativa

• 30 giugno 200430 giugno 2004 per le nuove misure minime di sicurezza per le nuove misure minime di sicurezza

• Fino al 1° gennaio 2005Fino al 1° gennaio 2005 nel caso in cui ricorrano obiettive nel caso in cui ricorrano obiettive

ragioni di natura tecnicaragioni di natura tecnica



MISURE MINIME DI SICUREZZA CON MISURE MINIME DI SICUREZZA CON L’AUSILIO DI STRUMENTI INFORMATICI L’AUSILIO DI STRUMENTI INFORMATICI

(art. 34) I(art. 34) I

Misure minime di sicurezza per il trattamento dati personali con il Misure minime di sicurezza per il trattamento dati personali con il

supporto di strumenti informatici:supporto di strumenti informatici:

• Autenticazione informaticaAutenticazione informatica

• Adozione di procedure di gestione delle credenziali di Adozione di procedure di gestione delle credenziali di

autenticazioneautenticazione

• Utilizzazione di un sistema di autorizzazioneUtilizzazione di un sistema di autorizzazione

• Aggiornamento periodico dell’individuazione dell’ambito del Aggiornamento periodico dell’individuazione dell’ambito del

trattamento consentito ai singoli incaricati e addetti alla gestione o trattamento consentito ai singoli incaricati e addetti alla gestione o

alla manutenzione degli strumenti elettronicialla manutenzione degli strumenti elettronici



MISURE MINIME DI SICUREZZA CON MISURE MINIME DI SICUREZZA CON L’AUSILIO DI STRUMENTI INFORMATICI L’AUSILIO DI STRUMENTI INFORMATICI

(art. 34) II(art. 34) II

• Protezione degli strumenti elettronici e dei dati rispetto a Protezione degli strumenti elettronici e dei dati rispetto a

trattamenti illeciti di dati, ad accessi non consentiti e a determinati trattamenti illeciti di dati, ad accessi non consentiti e a determinati

programmi informaticiprogrammi informatici

• Adozione di procedure per la custodia di copie di sicurezzaAdozione di procedure per la custodia di copie di sicurezza

• Tenuta di un aggiornato Documento Programmatico sulla Tenuta di un aggiornato Documento Programmatico sulla

SicurezzaSicurezza

• Adozione di tecniche di cifratura o di codici identificativi per Adozione di tecniche di cifratura o di codici identificativi per

determinati trattamenti di dati idonei a rivelare lo stato di salute o determinati trattamenti di dati idonei a rivelare lo stato di salute o

la vita sessuale effettuati da orgnanismi sanitarila vita sessuale effettuati da orgnanismi sanitari



MISURE MINIME DI SICUREZZA SENZA MISURE MINIME DI SICUREZZA SENZA L’AUSILIO DI STRUMENTI INFORMATICI L’AUSILIO DI STRUMENTI INFORMATICI

(art. 35)(art. 35)

Misure minime di sicurezza per il trattamento dati personali senza il Misure minime di sicurezza per il trattamento dati personali senza il

supporto di strumenti informatici:supporto di strumenti informatici:

• Aggiornamento periodico dell’individuazione dell’ambito del Aggiornamento periodico dell’individuazione dell’ambito del

trattamento consentito ai singoli incaricatitrattamento consentito ai singoli incaricati

• Previsione di procedure per un’idonea custodia degli atti e Previsione di procedure per un’idonea custodia degli atti e

documenti affidati agli incaricatidocumenti affidati agli incaricati

• Previsione di procedure per la conservazione di determinati atti in Previsione di procedure per la conservazione di determinati atti in

archivi ad accesso selezionato e disciplina delle modalità di archivi ad accesso selezionato e disciplina delle modalità di

accesso finalizzata all’identificazione degli incaricatiaccesso finalizzata all’identificazione degli incaricati


Codice della PrivacyCodice della PrivacyMISURE DI SICUREZZAMISURE DI SICUREZZA

DOCUMENTO PROGRAMMATICO SULLA DOCUMENTO PROGRAMMATICO SULLA SICUREZZA (DPS)SICUREZZA (DPS)

• Deve essere redatto da chiunque tratti dati sensibili e giudiziari con Deve essere redatto da chiunque tratti dati sensibili e giudiziari con

l’ausilio di strumenti informaticil’ausilio di strumenti informatici

• Elenca i rischi in materia di sicurezza e le contromisure da adottareElenca i rischi in materia di sicurezza e le contromisure da adottare

• Deve essere redatto entro il 30 giugno 2004, Deve essere redatto entro il 30 giugno 2004,

• a partire dal 2005 dovrà essere redatto o aggiornato entro il 31 a partire dal 2005 dovrà essere redatto o aggiornato entro il 31

marzo di ogni annomarzo di ogni anno



DPS - CONTENUTIDPS - CONTENUTI

• Elenco dei trattamenti personaliElenco dei trattamenti personali

• Distribuzione dei compiti e responsabilitàDistribuzione dei compiti e responsabilità

• Misure per garantire integrità e disponibilità dei dati, protezione delle aree e localiMisure per garantire integrità e disponibilità dei dati, protezione delle aree e locali

• Criteri e modalità per il recupero dati distrutti o danneggiatiCriteri e modalità per il recupero dati distrutti o danneggiati

• Previsione di interventi formativi per gli incaricatiPrevisione di interventi formativi per gli incaricati

• Criteri da adottare per garantire l’adozione delle misure minime di sicurezza in Criteri da adottare per garantire l’adozione delle misure minime di sicurezza in

caso di trattamento dati affidato all’esternocaso di trattamento dati affidato all’esterno

• Adozione di tecniche di cifratura o di codici identificativi per determinati Adozione di tecniche di cifratura o di codici identificativi per determinati

trattamenti dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da trattamenti dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da

organismi sanitariorganismi sanitari



RELAZIONE ACCOMPAGNATORIA AL RELAZIONE ACCOMPAGNATORIA AL BILANCIO DI ESERCIZIOBILANCIO DI ESERCIZIO

Art. 26, all. B “Art. 26, all. B “Il titolare riferisce, nella relazione Il titolare riferisce, nella relazione

accompagnatoria del bilancio di esercizio, se dovuta, accompagnatoria del bilancio di esercizio, se dovuta,

dell’avvenuta redazione o aggiornamento del DPS”dell’avvenuta redazione o aggiornamento del DPS”

Codice in materia di protezione dei dati personali D. Lgs. 30 giugno 2003, n. 196

Documents

Transcript of Codice in materia di protezione dei dati personali D. Lgs. 30 giugno 2003, n. 196