Corso base privacy - va. · PDF fileCNA Interpreta 8 CONTITOLARI (ex art. 4.1 lett. f) ... -Su...
51
Corso base privacy (Varese,02.2006)
Transcript of Corso base privacy - va. · PDF fileCNA Interpreta 8 CONTITOLARI (ex art. 4.1 lett. f) ... -Su...
Corso base privacy(Varese,02.2006)
CNA Interpreta 2
DEFINIZIONI ESSENZIALI
TRATTAMENTO DATI
Qualunque operazione o complesso di operazioni effettuato anche senza l’ausilio di strumenti elettronici (es.: manualmente) concernente:
consultazione
raccolta registrazione organizzazione conservazione elaborazione
modificazione selezione estrazione raffronto utilizzo interconnessione
blocco comunicazione diffusione cancellazione distruzione
CNA Interpreta 3
Dato personale
Qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale
Le disposizioni del Codice non riguardano il trattamento di dati effettuato per fini esclusivamente personali sempre che non si abbia diffusione o comunicazione sistematica
Dati esclusivamente personali (art. 5.3)
Rimane la responsabilità per danni cagionati (15) e il dovere di rispettare gli obblighi generali di sicurezzaobblighi generali di sicurezza (31)
CNA Interpreta 4
Dati sensibili
Dati idonei a rivelare
L’origine razziale ed etnica
Le convinzioni religiose, filosofiche e di altro genereLe opinioni politiche
L’adesione a partiti, sindacati, associazioni od organizzazioni a carattere filosofico, politico o sindacale
Lo stato di salute e la vita sessuale
CNA Interpreta 5
Interessato e suoi diritti (art. 7)
Persona fisica o giuridica, ente o associazione cui si riferiscono i dati personali
Gli spettano i diritti previsti dall’art. 7 del Codice:
Diritto di ottenere l’indicazione:
h dell’origine dei dati
h delle finalità e modalità del trattamento
h della logica applicata nel trattamento effettuato con l’ausilio di strumenti elettronici
hdegli estremi identificativi: - titolare
- responsabile se designato
hdei soggetti o delle categorie ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di rappresentante designato nel territorio dello Stato, di responsabili o incaricati
Diritto di sapere se esistono o meno suoi dati presso il titolare
CNA Interpreta 6
h l’aggiornamento, la rettifica, ovvero l’integrazione dei dati (quando via ha interesse)
Diritto di ottenere:
h la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge, compresi quelli di cui non è necessaria la conservazione in relazione agli scopi per i quali i dati sono stati raccolti o successivamente trattati
h l’attestazione che le operazioni dei due punti precedenti sono state portate a conoscenza, anche per quanto riguarda il loro contenuto, di coloro ai quali i dati sono stati comunicati o diffusi (se questo risulta possibile o non sproporzionato)
Diritto di opporsi in tutto o in parte
h per motivi legittimi al trattamento dei dati che lo riguardano ancorché pertinenti allo scopo della raccolta
h al trattamento dei dati personali che lo riguardano ai fini di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale
I diritti dell’interessato sono esercitati con richiesta rivolta senza formalitàsenza formalità al titolare o al responsabile alla quale è fornito idoneo riscontro senza ritardo (entro 15 giorni dal ricevimento! Art. 146.2entro 15 giorni dal ricevimento! Art. 146.2)
CNA Interpreta 7
Titolare del trattamento (art. 28)
È la personapersona fisica, giuridica, ente, associazione, P.A. cui compete la compete la decisione sulle finalitdecisione sulle finalitàà, modalit, modalitàà e mezzi del trattamento e sugli e mezzi del trattamento e sugli strumenti utilizzatistrumenti utilizzati (ivi compreso il profilo della sicurezza)
Se il trattamento è effettuato da una persona giuridica, da una P.A. o da un qualsiasi altro ente, associazione od organismo, titolare del titolare del trattamento trattamento èè ll’’entitentitàà nel suo complessonel suo complesso o l’unità od organismo periferico che esercita un potere decisionale del tutto autonomo
Sotto il profilo civilistico
Sotto il profilo penale
del risarcimento danni ne risponde l’impresa
La responsabilità è sempre “personale”: ne risponde chi ha la rappresentanza legale … a meno che non vi sia stata specifica attribuzione di compiti/responsabilità
CNA Interpreta 8
CONTITOLARI (ex art. 4.1 lett. f)
• Soggetti che, unitamente al titolare, esercitano le decisioni in ordine alle finalità, modalità di trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza ( = potere reale)
• Condivisione (col titolare) di prerogative e responsabilità
(es.: associazione professionale tra medici, con trattamento di dati in comune)
(es.: società che operano all’interno di un gruppo societario)
CNA Interpreta 9
Responsabile del trattamento (art. 29)
È la persona fisica, giuridica, ente, P.A. … preposta dal titolare del trattamento (art. 4.1 lett. g)
Discrezionalmente il titolare può decidere se designare un responsabile cui delegare compiti e responsabilità (anche in ordine alla sicurezza)
Se lo designa, deve farlo con atto scritto contenente precise istruzioni analitiche
Responsabile può essere interno o esterno
CNA Interpreta 10
Il soggetto deve avere esperienza, capacità ed affidabilità che forniscano idonea garanzia del pieno rispetto e delle disposizioni di legge e delle istruzioni del titolare in materia di trattamento
Tali qualità presuppongono l'assegnazione a dipendenti di qualifica medio-alta, cui va conferita disponibilità ed autonomia di spesa
La designazione non libera il titolare da tutti gli adempimenti (l'obbligo della notificazione non è delegabile), né da tutte le responsabilità, quanto meno in ordine al controllo periodico ed alla vigilanza sulla puntuale osservanza delle disposizioni di legge e delle istruzioni impartite
CARATTERISTICHE RESPONSABILE
CNA Interpreta 11
Incaricati del trattamento
Sono le persone fisiche che effettuano le operazioni del trattamento, attenendosi alle istruzioni impartite dal titolare o responsabile (art. 30, comma 1), che, per iscritto (comma 2), haloro attribuito questo compito individuando puntualmente l’ambito del trattamento consentito
Inserendo o elaborando i dati a computer o attendendo all'archivio i dipendenti vengono a conoscenza dei dati personali
CNA Interpreta 12
Assume particolare importanza fornire agli incaricati precisi indirizzi e dettagliate norme comportamentali, sia nella fase iniziale di raccolta dei dati, sia nella successiva fase di gestione, così da evitare situazioni lesive imputabili al titolare e/o al responsabile
la Legge tuttavia non considera tale conoscenza come comunicazione; lo si evince dall’art. 4.1, lett. l, che la esclude per l’interessato, per il rappresentate del titolare nel territorio dello Stato, per il responsabile e per gli incaricati
CNA Interpreta 13
Informativa (art. 13)
Prima di effettuare il trattamento dei dati personali il titolare del trattamento ha SEMPRE l’obbligo di fornire succinta ma chiara informazione (ORALE O SCRITTA) circa:
> Le finalità della raccolta
Trattamento giuridico ed economico del personale
Gestione del personale Adempimenti di obblighi fiscali e contabili
Gestione di fornitori Gestione della clientela Gestione del contenzioso
> Le modalità del trattamento
Manuale
Telematica
InformaticaAltri sistemi di telecomunicazione
CNA Interpreta 14
> Natura facoltativa/obbligatoria del trattamento
> Le conseguenze di un rifiuto a rispondere
> I soggetti o le categorie di soggetti a cui i dati potranno essere comunicati (es.: autotrasportatori, spedizionieri) O CHE POSSONO VENIRNE A CONOSCENZA IN QUALITA’ DI RESPONSABILI OD INCARICATI
Circa l’indicazione dei soggetti che potranno “venire a conoscenza dei dati”, si riporta la seguente formula che ha l’unico pregio di provenire dal Garante …
“All’interno della nostra società (o gruppo) possono venire a conoscenza dei suoi dati soltanto i dipendenti ed i collaboratori (anche esterni) da noi incaricati del loro trattamento appartenenti a servizi ed uffici centrali e della rete (agenzie, filiali) nonché a strutture che svolgono anche per nostro conto compiti tecnici disupporto (servizi legali, controlli aziendali, etc.)”
CNA Interpreta 15
> Gli estremi identificativi:
- del TITOLARE
- del RESPONSABILE se designato
- dell’eventuale RESPONSABILE DESIGNATO PER I RAPPORTI CON CHI ESERCITA I “DIRITTI DELL’INTERESSATO”
Se ci sono più responsabili
basta un solo nominativo
occorre però indicare:sito in rete
altro modo agevole
per reperire l’elenco completo
> I diritti che il Codice attribuisce (art. 7) all’interessato
CNA Interpreta 16
INFORMATIVA RIDOTTA
• Può non contenere
* Elementi già noti alla persona che fornisce i dati
• Può essere data con modalità semplificate per provvedimento del Garante (in particolare: dai servizi telefonici di assistenza/informazione al pubblico/radiotaxi)
INFORMATIVA PER I DATI RACCOLTI PRESSO TERZI
• deve anche indicare “le categorie di dati trattati”
- o (se prevista) non oltre la prima comunicazione
• va data all’interessato
- all’atto di registrazione dei dati
CNA Interpreta 17
Il trattamento dei dati personali da parte di privati/enti pubblici economici è ammesso solo col “consenso espresso” (non presunto, non implicito) dell’interessato, che può prestarlo per una o più operazioni o per l’intero trattamento
Consenso (artt. 23/26)
Il consenso deve essere raccolto per iscritto (sempre, per i dati sensibili) od anche oralmente documentandolo per iscritto
Il consenso è validamente prestato solo se
- espresso liberamente, cioè non in presenza di situazioni di pressione fisica o psicologica
- dato in forma specifica, quindi non riferito a trattamento generico per fini imprecisati
- preceduto da chiara informativa che gli permetta la decisione con nozione di causa
CNA Interpreta 18
Casi di esclusione consenso in generale e salve le disposizioni per settori specifici (art.24)
h riguarda dati raccolti e detenuti in base ad un obbligo di leggeobbligo di legge, regolamentoregolamentoo normativa comunitarianormativa comunitaria
h è necessario per l’esecuzione di obblighi derivanti da un contrattnecessario per l’esecuzione di obblighi derivanti da un contrattoo del quale del quale è parte l’interessato o per adempiereè parte l’interessato o per adempiere – prima della conclusione del contratto –“a specifiche richieste dell’interessatoa specifiche richieste dell’interessato”
h riguarda dati provenienti da pubblici registri, elenchi, atti o documentidati provenienti da pubblici registri, elenchi, atti o documenticonoscibili da chiunqueconoscibili da chiunque, nel rispetto delle norme che regolano la conoscibilità e pubblicità di tali dati (es.: elenco telefonico, liste elettorali non servono all’esercizio del marketing)
h è finalizzato unicamente a scopi di ricerca storica o scientifica o di statisticascopi di ricerca storica o scientifica o di statistica e avviene nel rispetto dei rispettivi codici di deontologia
Quando il trattamento:
CNA Interpreta 19
h riguarda dati relativi allo svolgimento di attività attività economicheeconomiche (dell’interessato) nel rispetto della normativa sul segreto aziendale e industriale
h è necessario per la salvaguardia della vita o dell’incolumità dell’interessato e questi non può prestare il proprio consenso
h è necessario per indagini difensive … o, comunque, per far valere o difendere un diritto in sede giudiziaria
h è necessario, nei casi individuati dal Garante, per perseguire un legittimo interesse del titolare/o terzo destinatario dei dati e non prevalgono diritti, libertà, dignità, interessi legittimi dell’interessato – diffusione esclusa
Le formule utilizzate nei coupon e gli inviti a trasmettere frasi contenenti “generiche autorizzazioni” sono state stigmatizzati dal Garante!
CNA Interpreta 20
LA RICHIESTA DLA RICHIESTA D’’AUTORIZZAZIONEAUTORIZZAZIONE (41.3)- Su apposito modulo del Garante- Inviata per via telematica (come per la notificazione) o telefax, o raccomandata
DATI SENSIBILIDATI SENSIBILI (26.1)Per trattarli occorre (oltre al consenso scritto dell’interessato) la preventiva autorizzazione del Garante
Autorizzazioni
LE AUTORIZZAZIONI GENERALILE AUTORIZZAZIONI GENERALI (40)- Il Garante può rilasciare autorizzazioni per determinate categorie di “titolari” Pubblicate sulla G.U.
AUTORIZZAZIONI GENERALI 2005Il Garante ha provveduto a rilasciare - con validità fino al 30.6.2007 - le 6 autorizzazioni generali per il trattamento dei dati sensibili e l’autorizzazione riguardante il trattamento dei datigiudiziari,poi pubblicate sulla G.U.n°2 del 3.01.2006.
CNA Interpreta 21
Quando il trattamento è effettuato da associazioni, enti, organismi senza scopo di lucro (anche non riconosciuti) a carattere politico, filosofico, religioso, sindacale
1
2 Quando il trattamento è necessario per la salvaguardia della vita, incolumità fisica di un terzo o dell’interessato (v. art. 82.2)
3 Quando il trattamento è necessario per indagini difensive/difesa diritti (solo per queste finalità e per il tempo strettamente necessario)
4Quando il trattamento è necessario per adempiere a specifici
obblighi/compiti per la gestione del rapporto di lavoro (previsti da leggi, regolamenti, norme comunitarie)
Vi rientrano anche gli adempimenti in materia - di igiene e sicurezza del lavoro e della popolazione- di previdenza ed assistenza
Nei limiti dell’autorizzazione Nei rispetto dei codici di condotta
Dati sensibili trattabili con autorizzazione e senza consenso
CNA Interpreta 22
Dati quasi sensibili (artt. 17 e 37.2)
I dati che la Legge 675 definiva “particolari” l’art. 17 del Codice li definisce ora “dati che presentano rischi specifici” (per i diritti e le libertà fondamentali e per la dignità dell’interessato).
Il loro trattamento è condizionato da eventuali misure ed accorgimenti di garanzia, prescritti dal Garante, valutati di volta in volta anche su richiesta del titolare
CNA Interpreta 23
Il trattamento da parte dei privati è consentito solo se autorizzato da
hLe rilevanti finalità d’interesse pubblico del trattamento
hLe operazioni eseguibili
che specifichino
hI tipi di dati trattati
2 – o provvedimento del Garante
1- espressa disposizione di legge
Dati Giudiziari
CNA Interpreta 24
1) Nomina di eventuali responsabili interni del trattamento
2) Nomina di eventuali responsabili esterni del trattamento (es.: attività in outsourcing) e acquisizione di dichiarazione/documenti ai fini della eventuale redazione del DPS
Check List
3) Lettera d’incarico ed istruzioni (ed eventuali autorizzazioni al trattamento di dati sensibili) ai dipendenti e agli eventuali collaboratori
4) Adeguamento a tutte le misure minime di sicurezza previste dall’Allegato B del Codice (es.: individuazione dell’ambito di trattamento consentito agli incaricati e agli addetti alla gestione/manutenzione degli strumenti informatici, assegnazione password di 8 caratteri e codice identificativo, aggiornamento antivirus, documento programmatico, procedure per la custodia di copie di sicurezza e per il ripristino della disponibilità dei dati e dei sistemi, etc. )
5) Nomina di eventuali incaricati alla custodia delle copie delle credenziali
6) Informativa per tutti i dipendenti (es.: per elaborazione paghe) e per eventuali collaboratori
CNA Interpreta 25
7) Informativa e richiesta di consenso (nei casi in cui è richiesto) per soggetti esterni (clienti e fornitori) con particolare attenzione alle attività eventualmente svolte di invio di materiale pubblicitario, vendita diretta, compimento di ricerche di mercato e comunicazione commerciale
8) Informativa agli interessati per i dati raccolti presso terzi
9) Informativa anche per i dati raccolti da Internet o in caso di partecipazione a fiere e mercati
10) Adeguamento dei moduli da compilare da parte dei candidati all’assunzione
11) Predisposizione procedure per dar corso alle istanze degli interessati (art. 7) e del Garante nei tempi previsti dal Codice
12) Notificazione telematica al Garante nell’ipotesi in cui si rientri nelle previsioni dell’articolo 37 del Codice
13) Adeguamento alle prescrizioni previste nelle 7 Autorizzazioni generali per poter trattare dati sensibili/giudiziari
14) Adeguamento alle indicazioni del Garante previste in specifici provvedimenti (video-sorveglianza, radiotaxi)
CNA Interpreta 26
OBBLIGO GENERALE (art. 31)
MISURE DI SICUREZZA
I dati personali oggetto di trattamento sono custoditi e controllati, in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di:
hdistruzione o perdita, anche accidentalehaccesso non autorizzato
htrattamento non consentito
Tenendo conto:delle conoscenze acquisite in base al progresso tecnicodella natura dei dati delle specifiche caratteristiche del trattamento
htrattamento non conforme alle finalità della raccolta
CNA Interpreta 27
LE MISURE MINIME DI SICUREZZA
Alle MISURE MINIME DI SICUREZZA (art. 33/35)Misure volte a garantire un “LIVELLO MINIMO DI PROTEZIONE”.Prescrizioni specifiche del Codice, alle quali il titolare e responsabile debbono attenersi (sanzionate penalmente) individuate in un DISCIPLINARE TECNICO, allegate al CODICE
Il disciplinare viene aggiornato periodicamente (decreto del Ministro della giustizia di concerto col Ministro per le innovazioni e le tecnologie) in base all’evoluzione tecnica ed all’esperienza maturata nel settore (art. 36)
Dal PRINCIPIO DI NECESSITÀ (art. 3) - ridurre al minimo l’utilizzo dei dati
All’OBBLIGO GENERALE DI SICUREZZA (art. 31) – derivante dallo svolgimento di un’attività valutata pericolosa, art. 15
art. 2050 C.C. – con responsabilità civile oggettiva, patrimoniale e non patrimoniale
CNA Interpreta 28
Art. 35PER I TRATTAMENTI SENZA AUSILIO DI STRUMENTI ELETTRONICIMisure minime (nei modi previsti dal disciplinare)
PRESCRIZIONI NORMATIVE
Negli articoli 34-35 il trattamento dei dati è consentito “solo sesolo se” sono adottate le misure minime
Art. 34PER I TRATTAMENTI CON STRUMENTI ELETTRONICIMisure minime (nei modi previsti dal disciplinare)
CNA Interpreta 29
DISCIPLINARE TECNICO – ALLEGATO B
TRATTAMENTI SENZA L’AUSILIO DI STRUMENTI ELETTRONICI
Premessa: INCARICATI (art. 30)- Designazione scritta del titolare, contenente anche
le istruzioni cui debbono attenersi;la precisazione dell’ambito del trattamento consentito (a quali
dati possono accedere e quali trattamenti possono effettuare)
MISURE MINIME PRESCRITTE
AGGIORNAMENTOAGGIORNAMENTO ALMENO ANNUALEANNUALE DELL’AMBITOAMBITO DI DI TRATTAMENTO CONSENTITO AGLI INCARICATITRATTAMENTO CONSENTITO AGLI INCARICATI
Si possono fare liste di incaricati per classi omogenee (di incarico e di profilo d’autorizzazione)
ISTRUZIONI SCRITTEISTRUZIONI SCRITTE AGLI INCARICATI SU CONTROLLO E SU CONTROLLO E CUSTODIA DEGLI ATTI/DOCUMENTICUSTODIA DEGLI ATTI/DOCUMENTI CONTENENTI DATI PERSONALI
MODALITA’ TECNICHE
CNA Interpreta 30
Quando gli atti e i documenti contenenti dati sensibili o giudiziaridati sensibili o giudiziarisono affidati agli incaricati del trattamento per lo svolgimento dei relativi compiti, i medesimi atti e documenti sono controllati e custoditi dagli incaricati fino alla restituzione in maniera che ad essi non accedano persone prive di autorizzazione, e sono restituiti al termine delle operazioni affidate
L’accesso agli archivi contenenti dati contenenti dati sensibili o giudiziarisensibili o giudiziari è controllato!
- Le persone ammesse, a qualunque titolo, dopo l’orario di chiusura, sono identificate e registrate
- Quando gli archivi non sono controllati, le persone che vi accedono sono preventivamente autorizzatepreventivamente autorizzate
Il controllo può avvenire:-- con strumenti elettronici per il controllo con strumenti elettronici per il controllo degli accessidegli accessi (utilizzo badge, scanner)
-- o da incaricati della vigilanzao da incaricati della vigilanza
CNA Interpreta 31
TRATTAMENTI CON L’AUSILIO DI STRUMENTI ELETTRONICI
Modalità tecniche da adottare a cura del titolare, del responsabile, (ove designato) e dell’incaricato
Sistema di autenticazione informatica
Il trattamento di dati personali con strumenti elettronici è consentito agli incaricati dotati di credenziali di autenticazionecredenziali di autenticazioneche consentano il superamento di una procedura di autenticazioneprocedura di autenticazionerelativa a uno specifico trattamento o a un insieme di trattamenti
Superata la distinzione tra strumenti elettronici collegati a reti e non!
Io sono Tizio!
Io sono Tizio! Tizio può accedere alla banca dati
Non ti riconosco
Ti riconosco come Tizio
CNA Interpreta 32
Le credenziali di autenticazione consistono in
- oppure in una caratteristica biometricadell’incaricato, eventualmente associata a un codice identificativo o a una parola chiave (ESSERE)(ESSERE)
- oppure in un dispositivo di autenticazione in possesso e uso esclusivo dell’incaricato, eventualmente associato a un codice identificativo o a una parola chiave (POSSEDERE)(POSSEDERE)
- un codice per l’identificazionedell’incaricato associato a una parola chiave riservata conosciuta solamente dal medesimo (CONOSCERE)(CONOSCERE)
Ad ogni incaricato sono assegnate o associate individualmente una o più credenziali per l’autenticazione
CNA Interpreta 33
Con le istruzioni impartite agli incaricati è prescritto di adottare le necessarie cautele per assicurare la segretezza della componente riservata della credenziale e la diligente custodia dei dispositivi in possesso ed uso esclusivo dell’incaricato
La parola chiaveparola chiave, quando è prevista dal sistema di autenticazione:
In caso di trattamento di dati sensibili e giudiziari la parola chiave è modificata almeno ogni 3 mesialmeno ogni 3 mesi
- essa non contiene riferimenti agevolmente riconducibili all’incaricato ed è modificata da quest’ultimo al primo utilizzoe, successivamente, almeno ogni sei mesi
- oppure, nel caso in cui lo strumento elettronico non lo permetta, da un numero di caratteri pari al massimo consentitonumero di caratteri pari al massimo consentito
- è composta da almeno 8 caratteri8 caratteri
CNA Interpreta 34
Il codice per l’identificazionecodice per l’identificazione, laddove utilizzato, non può essere assegnato ad altri incaricati, neppure in tempi diversi
Le credenziali di autenticazione non utilizzate da non utilizzate da almeno sei mesi sono disattivatealmeno sei mesi sono disattivate (salvo quelle preventivamente autorizzate per soli scopi di gestione tecnica)
Le credenziali sono disattivate anche in caso di perdita della qualità che consente all’incaricato l’accesso ai dati personali
Sono impartite istruzioni agli incaricati per non lasciare incustodito e accessibile lo strumento elettronico durante una sessione di trattamento
CNA Interpreta 35
Quando l’accesso ai dati e agli strumenti elettronici è consentito esclusivamente mediante uso della componente riservata della credenziale per l’autenticazione, sono impartiteidonee e preventive disposizioni scrittedisposizioni scritte volte a individuare chiaramente le modalità con le quali il titolare può assicurare la disponibilità di dati o strumenti elettronici in caso di prolungata assenza o impedimento dell’incaricato che renda prolungata assenza o impedimento dell’incaricato che renda indispensabile e indifferibile intervenire per esclusive necessiindispensabile e indifferibile intervenire per esclusive necessità tà di operatività e di sicurezza del sistemadi operatività e di sicurezza del sistema
In tal caso la custodia delle copie delle credenzialicustodia delle copie delle credenziali è organizzata garantendo la relativa segretezza e individuando preventivamenteper iscritto i soggetti incaricati della loro custodiasoggetti incaricati della loro custodia, i quali devono informare tempestivamente l’incaricato dell’intervento effettuato
CNA Interpreta 36
I profili di autorizzazioneprofili di autorizzazione, per ciascun incaricato o per classi omogenee di incaricati, sono individuati e configurati anteriormente all’inizio del trattamento, in modo da limitare l’accesso ai soli dati necessari per effettuare le operazioni di trattamento
Sistema di autorizzazione
Quando per gli incaricati sono individuati profili di autorizzazione di ambito diverso è utilizzato un sistema di autorizzazione
Periodicamente (almeno annualmente) è verificata la sussistenza delle condizioni per la conservazione dei profili di autorizzazione
si
si
autenticazioneautenticazione autorizzazioneautorizzazione
no
si Banca dati infortuni
Dip. Paghe
Dip. PagheBanca dati paghe
CNA Interpreta 37
Altre misure di sicurezza
Con cadenza almeno annuale deve essere individuato l’ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici (la lista degli incaricati può essere redatta anche per classi omogenee di incarico)
I dati personali sono protetti contro il rischio di intrusione edell’azione di programmi di cui all’art. 615-quinquies del codice penale, mediante l’attivazione di idonei strumenti elettronici (antivirusantivirus) da aggiornare con cadenza almeno semestralecadenza almeno semestrale
Gli aggiornamenti periodici dei programmi per elaboratore volti a programmi per elaboratore volti a prevenire la vulnerabilitprevenire la vulnerabilitàà di strumenti elettronici e a correggerne difetti sono effettuati almeno annualmente annualmente
trattasi delle patch
In caso di trattamento di dati sensibili o giudiziaridati sensibili o giudiziaril’aggiornamento delle patch è almeno semestralesemestrale
Sono impartite istruzioni organizzative e tecniche che prevedono il salvataggio dei dati con frequenza almeno settimanale
CNA Interpreta 38
Documento programmatico sulla sicurezza
Entro il 31 marzo di ogni anno, il titolare di un trattamento di dati sensibili o di dati giudiziari redige anche attraverso il responsabile (se designato) un documento programmatico sulla sicurezza contenente idonee informazioni riguardo:
- l’elenco dei trattamenti di dati personali
- la distribuzione dei compiti e delle responsabilità nell’ambito delle strutture preposte al trattamento dei dati
- l’analisi dei rischi che incombono sui dati
- le misure da adottare per garantire l’integrità e la disponibilità dei dati, nonché la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità
- la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati (in seguito a distruzione o danneggiamento) e per permettere un rapido diritto d’accesso ai suoi dati da parte dell’interessato
CNA Interpreta 39
4) delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare
- la formazione è programmata già al momento dell’ingresso in servizio, nonché in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati personali
- la descrizione dei criteri da adottare per garantire l’adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformità al codice, all’esterno della struttura del titolare
- la previsione di interventi formativi degli incaricati del trattamento, per renderli edotti:
1) dei rischi che incombono sui dati;
2) delle misure disponibili per prevenire eventi dannosi;
3) dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività;
Il Decreto “MILLEPROROGHE” ha fatto slittare l’adozione delle misure minime di sicurezza al 31.03.06.
CNA Interpreta 40
CNA Interpreta 41
CNA Interpreta 42
I soggetti obbligati alla redazione della relazione accompagnatoria (tecnicamente si tratta della relazione sulla gestione di cui all'art. 2428 C.C.) sono esclusivamente:
Normalmente andrebbe predisposta entro il 31 marzo di ogni esercizio
NOVITA’: il titolare riferisce, nella relazione accompagnatoria al bilancio d'esercizio (se dovuta) l’avvenuta redazione/aggiornamento del documento programmatico sulla sicurezza
- le S.r.l. (queste ultime solo se non possono accedere al bilancio in forma abbreviata di cui all'art. 2435 bis C.C.)
- le società di capitali obbligate alla redazione del bilancio in forma estesa, vale a dire le S.p.a. (sempre)
CNA Interpreta 43
SOGGETTI CHE GIÀ ERANO TENUTI A REDIGERE IL DPS IN BASE AL D.P.R N. 318/99
Per tali soggetti l’obbligo del Dps non costituisce una misura di sicurezza innovativa e pertanto avrebbero già dovuto predisporlo/aggiornarlo.
SOGGETTI NON TENUTI A REDIGERE IL DPS IN BASE AL D.P.R N. 318/99 (ORA, INVECE, TENUTI IN BASE AL DISCIPLINARE TECNICO)
Per costoro il Dps costituisce innovativa misura di sicurezza, da approntare entro il 31.03.06.
CNA Interpreta 44
Ulteriori misure in caso di trattamento di dati sensibili o giudiziari
I dati sensibili o giudiziari sono protetti contro l’accesso abusivo, di cui all’ art. 615-ter del codice penale, mediante l’utilizzo di idonei strumenti elettronici (es.: FIREWALL)
Sono impartite istruzioni organizzative e tecniche per la custodia e l’uso dei supporti rimovibili su cui sono memorizzati i dati al fine di evitare accessi non autorizzati e trattamenti non consentiti
I supporti rimovibili contenenti dati sensibili/giudiziari se non utilizzati sono distrutti o resi inutilizzabili, ovvero possono essere riutilizzati da altri incaricati, non autorizzati al trattamento degli stessi dati, se le informazioni precedentemente in essi contenute non sono intelligibili e tecnicamente in alcun modo ricostruibili
CNA Interpreta 45
Sono adottate idonee misure per garantire il ripristino dell’accesso ai dati in caso di danneggiamento degli stessi o degli strumenti elettronici, in tempi certi compatibili con i diritti degli interessati e non superiori a sette giorni
Misure di tutela e garanzia
Il titolare che adotta misure minime di sicurezza avvalendosi disoggetti esternisoggetti esterni alla propria struttura, per provvedere alla esecuzione riceve dall’installatore una descrizione scritta dell’intervento effettuato che ne attesta la conformità alle disposizioni del presente disciplinare tecnico
CNA Interpreta 46
La dichiarazione che, a norma del punto 25.1. del Disciplinare tecnico (allegato B al Codice), l’installatore esterno rilascia al titolare del trattamento che adotta misure minime di sicurezza deve contenere:
Un informatico, per questa dichiarazione, non è tenuto a verificare se quanto dichiaratogli dal Titolare o dal responsabile del trattamento corrisponde al vero!
huna attestazione di conformità alle disposizioni del Disciplinare
huna descrizione scritta dell’intervento effettuato
CNA Interpreta 47
Notificazione
Il "titolare" che intende procedere al trattamento dei dati personali individuati nell’art. 37 è tenuto alla notificazione preventiva (una sola volta e con un solo atto) al Garante
Col Codice cambia la sistematica: dalla prescrizione generale seguita dalle eccezioni si è passati all’individuazione dei soli casi in cui è prescritta
A prescindere:- dal numero delle operazioni- dal numero dei trattamenti con finalità correlate- dalla durata del trattamento- dal fatto che il trattamento comporti il trasferimento di dati all’estero
La notificazione è una dichiarazione con la quale un soggetto pubblico o privato rende nota al Garante l’esistenza di un’attività di raccolta e di utilizzazione dei dati personali, svolta quale autonomo titolare del trattamento
CNA Interpreta 48
L’art. 37.137.1 limita l’obbligo di notificazione ai casi in cui il trattamento riguarda:
d) dati trattati con l’ausilio di strumenti elettronici volti a definire il profilo o la personalità dell’interessato, o ad analizzare abitudini o scelte di consumo, ovvero a monitorare l’utilizzo di servizi di comunicazione elettronica con esclusione dei trattamenti tecnicamente indispensabili per fornire i servizi medesimi agli utenti
c) dati idonei a rivelare la vita sessuale o la sfera psichica trattati da associazioni, enti od organismi senza scopo di lucro, anche non riconosciuti, a carattere politico, filosofico, religioso o sindacale
b) dati idonei a rivelare stato di salute e vita sessuale, trattati a fini di procreazione assistita, prestazione di servizi sanitari per via telematica relativi a banche di dati o alla fornitura di beni, indagini epidemiologiche, rilevazione di malattie mentali, infettive e diffusive, sieropositività, trapianto di organi e tessuti, monitoraggio spesa sanitaria
a) dati genetici, biometrici o dati che indicano la posizione geografica di persone od oggetti (ovviamente riferibili a persona!) mediante una rete di comunicazione elettronica
CNA Interpreta 49
f) dati registrati in apposite banche di dati gestite con strumentielettronici e relative al rischio sulla solvibilità economica, alla situazione patrimoniale, al corretto adempimento di obbligazioni, a comportamenti illeciti o fraudolenti
Il Garante può individuare altri trattamenti suscettibili di recare pregiudizio ai diritti e alle libertà dell’interessato (in ragione delle relative modalità o della natura dei dati personali) con proprio provvedimento. Con analogo provvedimento pubblicato sulla G.U. il Garante puòanche individuare eventuali trattamenti non suscettibili di recare pregiudizio e pertanto sottratti all’obbligo di notificazione
e) dati sensibili registrati in banche dati a fini di selezione delpersonale per conto terzi, nonché dati sensibili utilizzati per sondaggi di opinione, ricerche di mercato e altre ricerche campionarie
- Provvedimento relativo ai casi da sottrarre all'obbligo di notificazionein Gazzetta Ufficiale del 6 aprile 2004, n. 81
- Parere 23.4.2004 Chiarimenti sui trattamenti da notificare al Garante
CNA Interpreta 50
Dal 1° gennaio 2004 non è più utilizzabile il precedente modello di notificazione, ne è possibile la compilazione e l’invio con modelli cartacei o dischetti
Gli imprenditori che iniziano una nuova attività (che comporta trattamento rientrante nelle ipotesi previste dall’art. 37) sono tenuti alla notificazione a partire dal 1° gennaio 2004
Termini/modalità della notificazione
La notificazione va sempre presentata al Garante prima dell’inizio del trattamento
Alla notificazione, eseguibile solo in via telematica, si provvede mediante la compilazione dei campi del nuovo modello, disponibile sul sito Internet ( https://web.garanteprivacy.it/rgt/ )selezionando dapprima il campo “nuova notificazione”, poi “prima notificazione”
CALENDARIO DI ALCUNI ADEMPIMENTICALENDARIO DI ALCUNI ADEMPIMENTIPER LE IMPRESE PER LE IMPRESE
1.1.2004 Entrata in vigore del Codice (informativa/consenso)
31.03.2006 Adozione misure minime di sicurezza (Allegato B) e aggiornamento o prima redazione del DPS da parte di chi tratta dati sensibili/giudiziari con strumenti elettronici
entro il 30.06.06
Adozione misure minime di sicurezza solo da parte di quei titolari che dispongano di strumenti elettronici, i quali, per “obiettive ragioni tecniche” (descritte in un documento con datacerta), non le hanno tempestivamento adottate.
Scadenza delle 7 autorizzazioni generali rilasciate dal Garante per il trattamento dei dati sensibili e giudiziari30.06.2007
