Corso Diritto dell'Informatica e delle Nuove Tecnologie

A.A. 2015/16Corso di Laurea Magistrale in

Ingegneria delle Telecomunicazioni

http://tlc.diee.unica.it/

Versione 2015 aggiornata a cura dell’Avv.to Gianluca Satta

Diritto dell’Informatica e delle Nuove Tecnologie

Docente: Massimo Farina [email protected]

DIRITTO DELL’INFORMATICA E DELLE NUOVE TECNOLOGIE - A.A. 2015/2016 - MASSIMO FARINA

Univ. CA - Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni

La tutela dei dati personali

2

La tutela

dei dati

personali

Modulo III




3

• La struttura del Codice

Privacy

• Recenti modifiche al

Codice della Privacy

• Future modifiche?

• I soggetti

• Tipologia di dati

• I principi del Codice

Privacy

• I principali adempimenti

Indice

• La notificazione

• Autorizzazione

• Informativa

• Consenso

• Misure minime di sicurezza

• La responsabilita’

• Forme di tutela

• La videosorveglianza




4

La struttura del Codice Privacy

Si compone di tre parti:

• I – Disposizioni Generali

• II – Disposizioni Relative a Settori Specifici

• III – Tutela dell'Interessato e Sanzioni

…e di tre allegati:

• A – Codici Deontologici (giornalisti, storici, statistici, soggetti privati e crediti al consumo/affidabilità pagamenti, investigazioni difensive)

• B – Disciplinare Tecnico

• C – Trattamenti in ambito giudiziario




5

Recenti modifiche al Codice della PrivacyD . L . 7 0 / 2 0 11 c o n v. L . 1 0 6 / 2 0 11 - “ D e c r e t o S v i l u p p o ”

aggiunto comma 3-bis all’art. 5

aggiunto comma 5-bis all’art. 13

aggiunta lett. i-bis) all’art. 24

aggiunta lett. i-ter) all’art. 24

aggiunta lett. b-bis) all’art. 26

modifica al comma 1-bis) all’art. 34

aggiunto comma 3-bis) all’art. 130

Modifiche introdotte dal “Decreto Sviluppo”(D.L. 70/2011 conv. L. 106/2011)




6

D . L . 7 0 / 2 0 11 c o n v. L . 1 0 6 / 2 0 11 - “ D e c r e t o S v i l u p p o ”

aggiunto comma 3-bis) all’art. 5 (poi abrogato dal D.L. 201/2011)

“3-bis. Il trattamento dei dati personali relativi a persone giuridiche, imprese, enti o

associazioni effettuato nell’ambito di rapporti intercorrenti esclusivamente tra i

medesimi soggetti per le finalità amministrativo-contabili, come definite

all’articolo 34, comma 1-ter, non è soggetto all’applicazione del presente codice”

EFFETTO: la protezione della riservatezza dei

dati personali è limitata alle persone fisiche e

non trova applicazione nei rapporti tra imprese,

che possono essere trattati senza vincoli,

purché si tratti di trattamenti per le normali

finalità amministrativo-contabili.

ELIMINATOdal

D.L. 201/2011

Recenti modifiche al Codice della Privacy




7


aggiunto comma 3-bis) all’art. 5 (poi abrogato dal D.L. 201/2011)

OSSERVAZIONE

Questa limitazione lasciava, certamente, qualche perplessità

in quanto non considerava che l’impresa (o, in generale, la

persona giuridica) possa assumere il ruolo di interessato al

trattamento e non soltanto di titolare. Se, infatti, è vero che

potrebbe essere ritenuto comodo, per l’impresa che tratta dati

altrui (cioè titolare) beneficiare di uno snellimento degli

adempimenti (spesso pesanti), non vale altrettanto quando

quell’impresa necessita di tutela per il trattamento dei suoi dati

da parte di altro titolare, che potrebbe anche abusarne.





8


aggiunto comma 5-bis) all’art. 13 (informativa)

“5-bis. L’informativa di cui al comma 1 non è dovuta in caso di ricezione di

curricula spontaneamente trasmessi dagli interessati ai fini dell’eventuale

instaurazione di un rapporto di lavoro. Al momento del primo contatto successivo

all’invio del curriculum, il titolare è tenuto a fornire all’interessato, anche

oralmente, una informativa breve contenente almeno gli elementi di cui al comma

1, lettere a), d) ed f)”

EFFETTO: soltanto in un momento successivo a quello in cui ci

sarà un primo contatto, il titolare del trattamento (per esempio

l’azienda che convoca l’interessato), anche durante il colloquio

con il candidato, sarà tenuto a fornire gli elementi dell’informativa

previsti dall’art. 13 del codice.





9


aggiunto comma 5-bis) all’art. 13 (informativa)

OSSERVAZIONE

Al momento del contatto (es. in caso di convocazione per un colloquio),

successivo all’invio del curriculum, il titolare è tenuto a fornire

un’informativa breve contenente almeno i seguenti punti:

finalità e modalità del trattamento;

soggetti che possono venire a conoscenza dei dati in quanto

responsabili o incaricati del trattamento e ambito di diffusione dei dati;

indicazione delle modalità per conoscere l’identità di tutti i responsabili

del trattamento.

Non è prevista l’indicazione dei diritti dell’interessato





10


aggiunta lett. i-bis) all’art. 24 (trattamento senza consenso)

“Il consenso non e' richiesto, oltre che nei casi previsti

nella Parte II, quando il trattamento:

[…] (i-bis) riguarda dati contenuti nei curricula, nei casi di

cui all'articolo 13, comma 5-bis;”

EFFETTO: Introduce l’esclusione dell’obbligo del

consenso per il trattamento dei dati dei curricula

ricevuti.





11


aggiunta lett. i-ter) all’art. 24 (gruppi societari)

“Il consenso non e' richiesto, oltre che nei casi previsti nella Parte II,

quando il trattamento:

i-ter) […] riguarda la comunicazione di dati […] tra società, enti o

associazioni con società controllanti, controllate o collegate […]

ovvero con società sottoposte a comune controllo, nonché tra

consorzi, reti di imprese e raggruppamenti e associazioni temporanei

di imprese con i soggetti ad essi aderenti, per le finalità

amministrativo contabili, come definite all’articolo 34, comma 1-ter, e

purché queste finalità siano previste espressamente con

determinazione resa nota agli interessati all’atto dell’informativa di

cui all’articolo 13;”





12


aggiunta lett. b-bis) all’art. 26 (garanzie per i dati sensibili)

“1. I dati sensibili possono essere oggetto di trattamento solo con il

consenso scritto dell'interessato e previa autorizzazione del Garante,

nell'osservanza dei presupposti e dei limiti stabiliti dal presente codice,

nonché dalla legge e dai regolamenti. […]

3. Il comma 1 non si applica al trattamento:

[…] b-bis) dei dati contenuti nei curricula, nei casi di cui all'articolo 13,

comma 5-bis.”

EFFETTO: l’esonero dall’obbligo del consenso riguarda anche

i dati sensibili contenuti nei curricula.

confermato l’obbligo di consenso scritto per tutti gli altri casi in cui si trattano dati sensibili





13


modifica al comma 1-bis) all’art. 34 (trattamenti con strumenti elettronici)

“Ai fini dell’applicazione delle disposizioni in materia di protezione dei dati personali, i

trattamenti effettuati per finalità amministrativo-contabili sono quelli connessi allo

svolgimento delle attività di natura organizzativa, amministrativa, finanziaria e contabile, a

prescindere dalla natura dei dati trattati. In particolare, perseguono tali finalità le attività

organizzative interne, quelle funzionali all’adempimento di obblighi contrattuali e

precontrattuali, alla gestione del rapporto di lavoro in tutte le sue fasi, alla tenuta della

contabilità e all’applicazione delle norme in materia fiscale, sindacale, previdenziale-

assistenziale, di salute, igiene e sicurezza sul lavoro”

EFFETTO: non sono più necessarie informative e

richieste di consenso se si trattano dati personali

relativi a persone giuridiche, esclusivamente per

finalità amministrativo-contabili, nel senso chiarito

dalla nuova norma.

ELIMINATOD.L. 5/2012





14


aggiunto comma 3-bis) all’art. 130 (comunicazioni indesiderate)

“[…] 3-bis. In deroga a quanto previsto dall'articolo 129, il trattamento dei dati di cui all'articolo

129, comma 1, mediante l'impiego del telefono e della posta cartacea per le finalità di cui

all’articolo 7, comma 4, lettera b), è consentito nei confronti di chi non abbia esercitato il diritto di

opposizione, con modalità semplificate e anche in via telematica, mediante l’iscrizione della

numerazione della quale è intestatario e degli altri dati personali di cui all'articolo 129, comma 1, in

un registro pubblico delle opposizioni”

EFFETTO: estende anche agli indirizzi postali tradizionali il regime dell’opt-out di

recente introdotto in materia di trattamento dei numeri telefonici degli abbonati per

l’esercizio del marketing telefonico.

Quindi anche per il marketing fatto per posta vale il registro delle opposizioni e gli

operatori di marketing diretto potranno utilizzare anche gli indirizzi degli abbonati

contenuti nell’elenco telefonico per finalità promozionali senza bisogno di chiedere il

consenso alla sola condizione che questi ultimi non abbiano richiesto l’iscrizione del

proprio numero telefonico e del proprio indirizzo presso il registro delle opposizioni di

recente istituito dalla L. n. 166/09 e gestito dalla Fondazione Ugo Bordoni.





15

D . L . 2 0 1 / 2 0 11 c o n v. L . 2 1 4 / 2 0 11 - “ D e c r e t o S a l v a I t a l i a ”

Modificata la lett. b), comma 1, art. 4;

Modificata la lett. i), comma 1, art. 4;

Abrogato il comma 3-bis, art. 5;

Soppresso ultimo periodo del comma 4, art. 9;

Soppressa la lett. h), comma 1, art. 43.

Modifiche introdotte dal “Decreto Salva Italia”(D.L. 201/2011 conv. L. 214/2011)





16


Definizione di “dato personale” (art. 4, comma 1, lett. b)

“qualunque informazione relativa a persona fisica, identificata o identificabile,

anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi

compreso un numero di identificazione personale”;

Comprende soltanto le informazioni riferite alle persone fisiche e non più

anche alle persone giuridiche, enti o associazioni

È soltanto la persona fisica e non più anche alle persone giuridiche, enti o

associazioni

Definizione di “interessato” (art. 4, comma 1, lett. i)

“la persona fisica, cui si riferiscono i dati personali”;





17


Modifiche del Decreto Salva Italia

OSSERVAZIONE

I riferimenti alle persone giuridiche non sono completamente spariti:

La persona giuridica conserva la qualità di “Titolare” e “Responsabile”

La persona giuridica conserva la qualità di “Abbonato”

Viene a delinearsi, così, una posizione anomala per le personegiuridiche (e per gli enti in generale), le quali, da una parte,non possono più considerarsi soggetti “interessati” e dall’altraconservano il ruolo di “abbonati”, con la conseguente difficoltàdi accedere alla tutela per gli abbonati che non siano anche“interessati”





18

D . L . 5 / 2 0 1 2 c o n v. L . 3 5 / 2 0 1 2 - “ D e c r e t o S e m p l i f i c a z i o n i ”

Abrogata la lett. g), comma 1, art. 34.

Modifiche introdotte dal “Decreto Semplificazioni”(D.L. 5/2012 conv. L. 35/2012)

Sparisce il DPS

(Documento Programmatico

sulla Sicurezza)





19


Modifiche del Decreto Semplificazioni

OSSERVAZIONE

Sparisce la forma ma persiste la sostanza

Oggi, dove si annotano?

Tutti gli adempimenti che

dovevano essere annotati nel

DPS continuano ad esistere





20


Modifiche del Decreto Semplificazioni

OSSERVAZIONE

Controlli più faticosi





21


Disposizioni abrogate dal Decreto Semplificazioni

Art. 34. Trattamenti con strumenti elettronici“1. Il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate,

nei modi previsti dal disciplinare tecnico contenuto nell'allegato B), le seguenti misure minime:

[…] g) tenuta di un aggiornato documento programmatico sulla sicurezza;

[…] 1-bis. Per i soggetti che trattano soltanto dati personali non sensibili e che trattano come unici dati

sensibili e giudiziari quelli relativi ai propri dipendenti e collaboratori, anche se extracomunitari,

compresi quelli relativi al coniuge e ai parenti, la tenuta di un aggiornato documento programmatico

sulla sicurezza e' sostituita dall'obbligo di autocertificazione, resa dal titolare del trattamento ai sensi

dell'articolo 47 del testo unico di cui al decreto del Presidente della Repubblica 28 dicembre 2000,

n.445, di trattare soltanto tali dati in osservanza delle misure minime di sicurezza previste dal presente

codice e dal disciplinare tecnico contenuto nell'allegato B). In relazione a tali trattamenti, nonché a

trattamenti comunque effettuati per correnti finalità amministrativo - contabili, in particolare presso

piccole e medie imprese, liberi professionisti e artigiani, il Garante, sentiti il Ministro per la

semplificazione normativa e il Ministro per la pubblica amministrazione e l'innovazione, individua con

proprio provvedimento, da aggiornare periodicamente, modalità semplificate di applicazione del

disciplinare tecnico contenuto nel citato allegato B) in ordine all'adozione delle misure minime di cui al

comma 1.”





22



Allegato B) - Documento programmatico sulla sicurezza“19. Entro il 31 marzo di ogni anno, il titolare di un trattamento di dati sensibili o di

dati giudiziari redige anche attraverso il responsabile, se designato, un documento

programmatico sulla sicurezza contenente idonee informazioni riguardo:

19.1. l'elenco dei trattamenti di dati personali;

19.2. la distribuzione dei compiti e delle responsabilità nell'ambito delle strutture

preposte al trattamento dei dati;

19.3. l'analisi dei rischi che incombono sui dati;

19.4. le misure da adottare per garantire l'integrità e la disponibilità dei dati, nonchè

la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e

accessibilità;

19.5. la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei

dati in seguito a distruzione o danneggiamento di cui al successivo punto 23;





23



Allegato B) - Documento programmatico sulla sicurezza“19.6. la previsione di interventi formativi degli incaricati del trattamento, per renderli edotti dei

rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili

della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività,

delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate

dal titolare. La formazione è programmata già al momento dell'ingresso in servizio, nonché in

occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti

rispetto al trattamento di dati personali;

19.7. la descrizione dei criteri da adottare per garantire l'adozione delle misure minime di

sicurezza in caso di trattamenti di dati personali affidati, in conformità al codice, all'esterno della

struttura del titolare;

19.8. per i dati personali idonei a rivelare lo stato di salute e la vita sessuale di cui al punto 24,

l'individuazione dei criteri da adottare per la cifratura o per la separazione di tali dati dagli altri

dati personali dell'interessato; […]

26. Il titolare riferisce, nella relazione accompagnatoria del bilancio d'esercizio, se dovuta,

dell'avvenuta redazione o aggiornamento del documento programmatico sulla sicurezza.





24


Disposizioni residue

Art. 34. Trattamenti con strumenti elettronici“1. Il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate,


1. Il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate,


a) autenticazione informatica;

b) adozione di procedure di gestione delle credenziali di autenticazione;

c) utilizzazione di un sistema di autorizzazione;

d) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli

incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici;

e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non

consentiti e a determinati programmi informatici;

f) adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e

dei sistemi;”

g) [abrogato]

h) adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a

rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari.





25


Disposizioni residue

Art. 34. Trattamenti con strumenti elettronici“[…] 1-bis. [abrogato];

1-ter. Ai fini dell'applicazione delle disposizioni in materia di protezione dei dati

personali, i trattamenti effettuati per finalità amministrativo-contabili sono quelli

connessi allo svolgimento delle attività di natura organizzativa, amministrativa,

finanziaria e contabile, a prescindere dalla natura dei dati trattati. In particolare,

perseguono tali finalità le attività organizzative interne, quelle funzionali

all'adempimento di obblighi contrattuali e precontrattuali, alla gestione del rapporto

di lavoro in tutte le sue fasi, alla tenuta della contabilità e all'applicazione delle

norme in materia fiscale, sindacale, previdenziale-assistenziale, di salute, igiene e

sicurezza sul lavoro h) adozione di tecniche di cifratura o di codici identificativi per

determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale

effettuati da organismi sanitari.”





26

Future modifiche?I l R e g o l a m e n t o e u r o p e o

1) Il Data Protection Officer (o Privacy Officer)

Almeno 5000 interessati

Dati personali di particolare rilevanza

2) Obbligo di notificare il data breach

In Italia già previsto per gli operatori di telefonia

3) Sparisce la notificazione ex art. 37 D.lgs. 196/03

In Italia già previsto per gli operatori di telefonia

4) Attenuazione del diritto all’Oblio

Diritto alla cancellazione e divieto di ulteriore trattamento

5) Sanzioni amministrative

sanzioni ad efficacia deterrente e proporzionate

6) Bollino qualità (Certificato europeo della protezione dei dati personali)

Rilasciato dalle varie Authority nazionali ma anche da soggettiterzi




27

I soggettiD e f i n i z i o n i

Titolare (del trattamento) la persona fisica, la persona giuridica, la

pubblica amministrazione e qualsiasi altro ente,

associazione od organismo cui competono,

anche unitamente ad altro titolare, le decisioni

in ordine alle finalità, alle modalità del

trattamento di dati personali e agli strumenti

utilizzati, ivi compreso il profilo della sicurezza”

“Responsabile” (del trattamento) “la persona fisica, la persona giuridica, la pubblica

amministrazione e qualsiasi altro ente, associazione

od organismo preposti dal titolare al trattamento di

dati personali”

“Incaricati” (del trattamento) “le persone fisiche autorizzate a compiere

operazioni di trattamento dal titolare o dal

responsabile”

“Interessato” (al trattamento) “la persona fisica cui si riferiscono i dati personali”




28

O r g a n i z z a z i o n e g e r a r c h i c a

Titolare(del trattamento)

Responsabile

Incaricato

TIPICA ORGANIZZAZIONE PER IL TRATTAMENTO DEI DATI PERSONALI

I soggetti




29

A p p r o f o n d i m e n t o : l ’ a m m i n i s t r a t o r e d i s i s t e m a

BREVE APPROFONDIMENTO SUGLI AMMINISTRATORI DI SISTEMA

Provv. Gen. 27 novembre 2008

(G.U. n. 300 del 24 dicembre 2008 - modificato il 25 giugno 2009)

AMMINISTRATORI DI

SISTEMA

Soggetti che vigilano sul corretto

utilizzo dei sistemi informatici

di un'azienda o di

una pubblica amministrazione

L’amministratore di sistema non è semplicemente il manutentore della struttura

informatica ma è il “garante informatico”

Esisteva già nel Regolamento attuativo (DPR 318/1999) della legge 675/1996.

Esistevano due figure:

1. il preposto alla custodia della parola chiave

2. l’amministratore di sistema. (abrogato dall'art. 183, D.Lgs. n. 196/03)

I soggetti




30


1. Deve trattarsi di un soggetto affidabile.

“[…] a. Valutazione delle caratteristiche soggettive. L'attribuzione delle funzioni di

amministratore di sistema deve avvenire previa valutazione delle caratteristichedi esperienza, capacità e affidabilità del soggetto designato, il quale deve fornireidonea garanzia del pieno rispetto delle vigenti disposizioni in materia ditrattamento, ivi compreso il profilo relativo alla sicurezza.Anche quando le funzioni di amministratore di sistema o assimilate sonoattribuite solo nel quadro di una designazione quale incaricato del trattamentoai sensi dell'art. 30 del Codice, il titolare e il responsabile devono attenersicomunque a criteri di valutazione equipollenti a quelli richiesti per ladesignazione dei responsabili ai sensi dell'art. 29.”

2. La designazione quale amministratore di sistema deve essere individuale e

recare l'elencazione analitica degli ambiti di operatività consentiti in base al

profilo di autorizzazione assegnato.

I soggetti




31


3. Devono essere resi noti al pubblico e ai lavoratori gli estremi identificativi

dell’amministratore di sistema tramite menzione in un documento interno. Deve

trattarsi di un soggetto affidabile.

“[…] c. Elenco degli amministratori di sistema. Gli estremi identificativi delle personefisiche amministratori di sistema, con l'elenco delle funzioni ad essi attribuite, devonoessere riportati in un documento interno da mantenere aggiornato e disponibile in caso diaccertamenti da parte del Garante.Qualora l'attività degli amministratori di sistema riguardi anche indirettamente servizi osistemi che trattano o che permettono il trattamento di informazioni di carattere personaledei lavoratori, i titolari pubblici e privati sono tenuti a rendere nota o conoscibile l'identitàdegli amministratori di sistema nell'ambito delle proprie organizzazioni, secondo lecaratteristiche dell'azienda o del servizio, in relazione ai diversi servizi informatici cuiquesti sono preposti. Ciò, avvalendosi dell'informativa resa agli interessati ai sensi dell'art.13 del Codice nell'ambito del rapporto di lavoro che li lega al titolare, oppure tramite ildisciplinare tecnico di cui al provvedimento del Garante n. 13 del 1° marzo 2007(in G.U. 10 marzo 2007, n. 58) o, in alternativa, mediante altri strumenti di comunicazioneinterna (ad es., intranet aziendale, ordini di servizio a circolazione interna o bollettini) otramite procedure formalizzate a istanza del lavoratore. Ciò, salvi i casi in cui tali forme dipubblicità o di conoscibilità siano incompatibili con diverse previsioni dell'ordinamento chedisciplinino uno specifico settore.

I soggetti




32


4. Nel caso di servizi di amministrazione di sistema affidati in outsourcing il

titolare o il responsabile esterno devono conservare direttamente e

specificamente, per ogni eventuale evenienza, gli estremi identificativi delle

persone fisiche preposte quali amministratori di sistema.

5. Si deve procedere alla verifica delle relative attività mediante controllo

almeno annuale

6. Devono essere adottati sistemi idonei alla registrazione degli accessi.“[…] f. Registrazione degli accessi. Devono essere adottati sistemi idonei alla

registrazione degli accessi logici (autenticazione informatica) ai sistemi dielaborazione e agli archivi elettronici da parte degli amministratori di sistema. Leregistrazioni (access log) devono avere caratteristiche di completezza, inalterabilità epossibilità di verifica della loro integrità adeguate al raggiungimento dello scopo percui sono richieste. Le registrazioni devono comprendere i riferimenti temporali e ladescrizione dell'evento che le ha generate e devono essere conservate per uncongruo periodo, non inferiore a sei mesi”.

I soggetti




33

Tipologia di datiD e f i n i z i o n i : a r t . 4 d e l C o d i c e P r i v a c y

DATI PERSONALI qualunque informazione relativa a persona fisicaidentificata o identificabile, anche indirettamente,mediante riferimento a qualsiasi altrainformazione, ivi compreso un numero diidentificazione personale;

DATI SENSIBILI i dati personali idonei a rivelare l'origine razziale edetnica, le convinzioni religiose, filosofiche o di altrogenere, le opinioni politiche, l'adesione a partiti,sindacati, associazioni od organizzazioni a caratterereligioso, filosofico, politico o sindacale, nonché i datipersonali idonei a rivelare lo stato di salute e la vitasessuale;

DATI GIUDIZIARI i dati personali idonei a rivelare […] informazioni inmateria di casellario giudiziale, di anagrafe delle sanzioniamministrative dipendenti da reato e dei relativi carichipendenti, o la qualità di imputato o di indagato ai sensidegli articoli 60 e 61 del codice di procedura penale […]




34

D e f i n i z i o n e d i “ t r a t t a m e n t o ”

TRATTAMENTO DEI DATI

“qualunque operazione o complesso di operazioni, effettuati

anche senza l'ausilio di strumenti elettronici, concernenti la

raccolta, la registrazione, l'organizzazione, la conservazione,

la consultazione, l'elaborazione, la modificazione, la

selezione, l'estrazione, il raffronto, l'utilizzo,

l'interconnessione, il blocco, la comunicazione, la

diffusione, la cancellazione e la distruzione di dati, anche se

non registrati in una banca di dati”;

Tipologia di dati




35

I principi del Codice PrivacyP r i n c i p i o d i f i n a l i t à

PRINCIPIO DI FINALITÀ(art. 11, comma 1, lettera b)

I DATI PERSONALI OGGETTO DI TRATTAMENTO

DEVONO ESSERE RACCOLTI E REGISTRATI PER

DETERMINATI SCOPI. CIÒ VUOL DIRE CHE OGNI

ATTIVITÀ È CONSENTITA SOLO SE È ANCORATA

AD UNA FINALITÀ OVVERO SE INERENTE CON

L’ATTIVITÀ PRESTATA




36

P r i n c i p i o d i n e c e s s i t à

PRINCIPIO DI NECESSITÀ(art. 3)

I SISTEMI INFORMATIVI E I PROGRAMMI INFORMATICI

SONO CONFIGURATI RIDUCENDO AL MINIMO

L’UTILIZZAZIONE DEI DATI PERSONALI E DEI DATI

IDENTIFICATIVI, IN MODO DA ESCLUDERNE IL

TRATTAMENTO QUANDO LE FINALITÀ PERSEGUITE NEI

SINGOLI CASI POSSONO ESSERE REALIZZATE MEDIANTE,

RISPETTIVAMENTE, DATI ANONIMI OD OPPORTUNE

MODALITÀ CHE PERMETTANO DI IDENTIFICARE

L’INTERESSATO SOLO IN CASO DI NECESSITÀ.

I principi del Codice Privacy




37

P r i n c i p i o d i p r o p o r z i o n a l i t à

PRINCIPIO DI PROPORZIONALITÀ(art. 11, comma 1, lettera d)

I DATI PERSONALI OGGETTO DI

TRATTAMENTO DEVONO ESSERE

PERTINENTI, COMPLETI E NON ECCEDENTI

RISPETTO ALLE FINALITÀ PER LE QUALI

SONO RACCOLTI O SUCCESSIVAMENTE

TRATTATI





38

P r i n c i p i o d i i n d i s p e n s a b i l i t à

PRINCIPIO DI INDISPENSABILITÀ(art. 22, comma 3)

I SOGGETTI PUBBLICI POSSONO TRATTARE

SOLO I DATI SENSIBILI E GIUDIZIARI

INDISPENSABILI PER SVOLGERE ATTIVITÀ

ISTITUZIONALI CHE NON POSSONO ESSERE

ADEMPIUTE, CASO PER CASO, MEDIANTE IL

TRATTAMENTO DI DATI ANONIMI O DI DATI

PERSONALI DI NATURA DIVERSA





39

I principali adempimenti

• Notificazione

• Autorizzazione

ADEMPIMENTI VERSO

L’AUTORITÀ GARANTE

• Informativa

• Richiesta di consensoADEMPIMENTI VERSO

GLI INTERESSATI

• Misure minime di sicurezza

ADEMPIMENTI INTERNI

(ORGANIZZATIVI)




40

La notificazioneA r t . 3 7 d e l C o d i c e P r i v a c y

a) dati genetici, biometrici o dati che indicano la posizione

geografica di persone od oggetti mediante una rete di

comunicazione elettronica;

b) dati idonei a rivelare lo stato di salute e la vita sessuale, trattati a fini

di procreazione assistita, prestazione di servizi sanitari per via

telematica relativi a banche di dati o alla fornitura di beni, indagini

epidemiologiche, rilevazione di malattie mentali, infettive e diffusive,

sieropositività, trapianto di organi e tessuti e monitoraggio della

spesa sanitaria;

c) dati idonei a rivelare la vita sessuale o la sfera psichica trattati da

associazioni, enti od organismi senza scopo di lucro, anche non

riconosciuti, a carattere politico, filosofico, religioso o sindacale;

Quando si notifica?




41

A r t . 3 7 d e l C o d i c e P r i v a c y

d) dati trattati con l'ausilio di strumenti elettronici volti a definire il profilo o la

personalità dell'interessato, o ad analizzare abitudini o scelte di consumo,

ovvero a monitorare l'utilizzo di servizi di comunicazione elettronica con

esclusione dei trattamenti tecnicamente indispensabili per fornire i servizi

medesimi agli utenti;

e) dati sensibili registrati in banche di dati a fini di selezione del personale per

conto terzi, nonché dati sensibili utilizzati per sondaggi di opinione, ricerche

di mercato e altre ricerche campionarie;

f) dati registrati in apposite banche di dati gestite con strumenti elettronici e

relative al rischio sulla solvibilità economica, alla situazione patrimoniale, al

corretto adempimento di obbligazioni, a comportamenti illeciti o fraudolenti.

1-bis. La notificazione relativa al trattamento dei dati di cui al comma 1 non e'

dovuta se relativa all'attività dei medici di famiglia e dei pediatri di libera scelta,

in quanto tale funzione e' tipica del loro rapporto professionale con il Servizio

sanitario nazionale.

La notificazione




42


2. Il Garante può individuare altri trattamenti suscettibili di recare pregiudizio

ai diritti e alle libertà dell'interessato, in ragione delle relative modalità o della

natura dei dati personali, con proprio provvedimento adottato anche ai sensi

dell'articolo 17. Con analogo provvedimento pubblicato sulla Gazzetta ufficiale

della Repubblica italiana il Garante può anche individuare, nell'ambito dei

trattamenti di cui al comma 1, eventuali trattamenti non suscettibili di recare

detto pregiudizio e pertanto sottratti all'obbligo di notificazione.

3. La notificazione e' effettuata con unico atto anche quando il trattamento

comporta il trasferimento all'estero dei dati.

4. Il Garante inserisce le notificazioni ricevute in un registro dei trattamenti

accessibile a chiunque e determina le modalità per la sua consultazione gratuita

per via telematica, anche mediante convenzioni con soggetti pubblici o presso il

proprio Ufficio. Le notizie accessibili tramite la consultazione del registro

possono essere trattate per esclusive finalità di applicazione della disciplina in

materia di protezione dei dati personali.

La notificazione




43


[II] La notificazione è validamente effettuata solo se

è trasmessa per via telematica utilizzando il

modello predisposto dal Garante e osservando le

prescrizioni da questi impartite, anche per quanto

riguarda le modalità di sottoscrizione con firma

digitale e di conferma del ricevimento della

notificazione. [Tramite il sito www.garanteprivacy.it]

Come si notifica?

La notificazione




44


[IV] Una nuova notificazione è richiesta solo anteriormente alla

cessazione del trattamento o al mutamento di taluno degli elementi da

indicare nella notificazione medesima

Quante volte si notifica?

Art. 163. Omessa o incompleta notificazione

Chiunque, essendovi tenuto, non provvede tempestivamente alla

notificazione ai sensi degli articoli 37 e 38, ovvero indica in essa notizie

incomplete, e' punito con la sanzione amministrativa del pagamento di

una somma da ventimila euro a centoventimila euro.

Sanzione per omessa notificazione

La notificazione




45

AutorizzazioneA r t . 2 6 d e l C o d i c e P r i v a c y

1. I dati sensibili possono essere oggetto di trattamento solo con il

consenso scritto dell'interessato e previa autorizzazione del Garante,

nell'osservanza dei presupposti e dei limiti stabiliti dal presente codice,

nonché dalla legge e dai regolamenti.

2. Il Garante comunica la decisione adottata sulla richiesta di

autorizzazione entro quarantacinque giorni, decorsi i quali la mancata

pronuncia equivale a rigetto. Con il provvedimento di autorizzazione,

ovvero successivamente, anche sulla base di eventuali verifiche, il

Garante puo' prescrivere misure e accorgimenti a garanzia

dell'interessato, che il titolare del trattamento e' tenuto ad adottare.

Previsto per tutti i titolari che trattano dati sensibili e giudiziari




46

A u t o r i z z a z i o n i g e n e r a l i

• Autorizzazione generale n. 1/2014 del 11 dicembre 2014 (scad. 31 dicembre 2016)

“Trattamento dei dati sensibili nei rapporti di lavoro”


“Trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale”


“Trattamento dei dati sensibili da parte degli organismi di tipo associativo e delle

fondazioni”


“Trattamento dei dati sensibili da parte dei liberi professionisti”

Tenuto conto dell’altissimo numero di soggetti interessati, il legislatore ha previsto le “Autorizzazioni Generali” concesse a

determinate categorie di titolari o di trattamenti

Autorizzazione




47

A u t o r i z z a z i o n i g e n e r a l i


“Trattamento dei dati sensibili da parte di diverse categorie di titolari”


“Trattamento dei dati sensibili da parte degli investigatori privati”


“Trattamento dei dati a carattere giudiziario da parte di privati, di enti pubblici

economici e di soggetti pubblici”


“Trattamento dei dati genetici”


“Trattamento dei dati personali effettuato per scopi di ricerca scientifica”

Autorizzazione




48

InformativaA r t . 1 3 d e l C o d i c e P r i v a c y

L'interessato o la persona presso la quale sonoraccolti i dati personali sono previamenteinformati oralmente o per iscritto circa

I soggetti che

effettueranno

il trattamento

La finalità del

trattamento

La modalità del

trattamento

I diritti dell’ interessato




49

F o r m a d e l l ’ i n f o r m a t i v a

Art. 13

L'interessato o la persona presso la quale sono raccolti i

dati personali sono previamente informati oralmente o

per iscritto […]

LA FORMA È LIBERA

Informativa




50

S a n z i o n e

Art. 161

La violazione delle disposizioni di cui

all'articolo 13 è punita con la sanzione

amministrativa del pagamento di una somma

da seimila euro a trentaseimila euro

Sanzione

Informativa




51

ConsensoC o n s e n s o d e l l ’ i n t e r e s s a t o

DEFINIZIONE: libera manifestazione della volontàdell'interessato con cui egli accetta espressamente undeterminato trattamento dei propri dati personali, previainformativa da chi gestisce i dati.

INFORMATO: è invalido il consenso non

preceduto da informativa

(Garante Provv. 28 maggio 1997)

ESPRESSO: non può essere implicito, né

per comportamenti concludenti (Garante

Provv. 25 dicembre 1998)

LIBERO: non costretto e non condizionato

(Garante Provv. 28 maggio 1997)

Caratteristiche

del consenso




52

C o n s e n s o d e l l ’ i n t e r e s s a t o

DOCUMENTATO PER ISCRITTO: annotato, trascritto,

riportato dal titolare o dal responsabile o da un incaricato

del trattamento su un registro o un atto o un verbale. In

caso di dati sensibili occorre il consenso rilasciato per

iscritto dall'interessato

SPECIFICO: è invalido se generico

Consenso

Caratteristiche del consenso




53

Tr a t t a m e n t o s e n z a c o n s e n s o

a) è necessario per adempiere ad un obbligo previsto dalla legge, da un regolamento o dalla

normativa comunitaria;

b) è necessario per eseguire obblighi derivanti da un contratto del quale e' parte l'interessato

o per adempiere, prima della conclusione del contratto, a specifiche richieste

dell'interessato;

c) riguarda dati provenienti da pubblici registri, elenchi, atti o documenti conoscibili da

chiunque, fermi restando i limiti e le modalità che le leggi, i regolamenti o la normativa

comunitaria stabiliscono per la conoscibilità e pubblicità dei dati;

d) riguarda dati relativi allo svolgimento di attività economiche, trattati nel rispetto della

vigente normativa in materia di segreto aziendale e industriale;

e) è necessario per la salvaguardia della vita o dell'incolumità fisica di un terzo. Se la

medesima finalità riguarda l'interessato e quest'ultimo non può prestare il proprio

consenso per impossibilità fisica, per incapacità di agire o per incapacità di intendere o di

volere, il consenso e' manifestato da chi esercita legalmente la potestà, ovvero da un

prossimo congiunto, da un familiare, da un convivente o, in loro assenza, dal responsabile

della struttura presso cui dimora l'interessato. Si applica la disposizione di cui all'articolo

82, comma 2;

Consenso




54


f) con esclusione della diffusione, e' necessario ai fini dello svolgimento delle

investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397, o, comunque, per far

valere o difendere un diritto in sede giudiziaria, sempre che i dati siano trattati

esclusivamente per tali finalità e per il periodo strettamente necessario al loro

perseguimento, nel rispetto della vigente normativa in materia di segreto aziendale e

industriale;

g) con esclusione della diffusione, e' necessario, nei casi individuati dal Garante sulla

base dei principi sanciti dalla legge, per perseguire un legittimo interesse del titolare o

di un terzo destinatario dei dati, qualora non prevalgano i diritti e le libertà fondamentali,

la dignità o un legittimo interesse dell'interessato;

h) con esclusione della comunicazione all'esterno e della diffusione, e' effettuato da

associazioni, enti od organismi senza scopo di lucro, anche non riconosciuti, in

riferimento a soggetti che hanno con essi contatti regolari o ad aderenti, per il

perseguimento di scopi determinati e legittimi individuati dall'atto costitutivo, dallo

statuto o dal contratto collettivo, e con modalità di utilizzo previste espressamente con

determinazione resa nota agli interessati all'atto dell'informativa ai sensi dell'articolo 13;

Consenso




55


i) e' necessario, in conformità ai rispettivi codici di deontologia di cui all'allegato A),

per esclusivi scopi scientifici o statistici, ovvero per esclusivi scopi storici presso

archivi privati dichiarati di notevole interesse storico ai sensi dell'articolo 6, comma

2, del decreto legislativo 29 ottobre 1999, n. 490, di approvazione del testo unico

in materia di beni culturali e ambientali o, secondo quanto previsto dai medesimi

codici, presso altri archivi privati.

i-bis) riguarda dati contenuti nei curricula, nei casi di cui all'articolo 13, comma 5-bis;

i-ter) con esclusione della diffusione e fatto salvo quanto previsto dall'articolo 130 del

presente codice, riguarda la comunicazione di dati tra società, enti o associazioni

con società controllanti, controllate o collegate ai sensi dell'articolo 2359 del

codice civile ovvero con società sottoposte a comune controllo, nonché tra

consorzi, reti di imprese e raggruppamenti e associazioni temporanei di imprese

con i soggetti ad essi aderenti, per le finalità amministrativo contabili, come

definite all'articolo 34, comma 1-ter, e purché queste finalità siano previste

espressamente con determinazione resa nota agli interessati all'atto

dell'informativa di cui all'articolo 13.

Consenso




56

MISURE MINIME DI SICUREZZA

MISURE IDONEE DI SICUREZZA

Misure minime di sicurezzaD i s c i p l i n a r e t e c n i c o




57

D i s c i p l i n a r e t e c n i c o

CARATTERISTICHE DELLE

CREDENZIALI DI

AUTENTICAZIONE

1. Lunghezza minima della password

di 8 caratteri

2. non riconducibile al soggetto

GESTIONE DELLE CREDENZIALI

DI AUTENTICAZIONE

1. Modifica dopo il primo utilizzo, ogni 6

o 3 mesi a seconda dei dati trattati

2. Disattivazione in caso di non uso per

almeno 6 mesi o di perdita della

qualità che permette l’accesso ai dati

3. Garanzia della disponibilità dei dati o

degli strumenti elettronici in caso di

prolungata assenza o impedimento

dell’incaricato che goda delle

credenziali di autenticazione

SISTEMA DI AUTORIZZAZIONE 1. Verifica almeno annuale delle

condizioni per l’autorizzazione

Misure minime di sicurezza




58

D i s c i p l i n a r e t e c n i c o

PROTEZIONE CONTRO IL

RISCHIO DI INTRUSIONE

1. Attivazione di idonei strumenti

elettronici da aggiornare con

cadenza almeno semestrale.

AGGIORNAMENTI

PERIODICI DEI PROGRAMMI

PER ELABORATORE

1. Almeno annuale per dati comuni

2. Almeno semestrale per dati sensibili

e/o giudiziari

BACK UP1. Salvataggio dei dati con frequenza

almeno settimanale

DISASTER RECOVERY

1. Ripristino entro il termine massimo di

una settimana





59

M i s u r e m i n i m e v s . m i s u r e i d o n e e

È NECESSARIO PRESTARE ATTENZIONE ALLA DISTINZIONE TRA MISURE MINIME DI SICUREZZA E MISURE IDONEE DI SICUREZZA

art. 4 comma 3 del D.Lgs. 196/03:

“Il complesso delle misure tecniche,informatiche, organizzative, logistiche eprocedurali di sicurezza che configuranoil livello minimo di protezione richiestoin relazione ai rischi previsti nell'articolo31”.

Nessuna definizione normativa:

Sono individuabili sulla base dellesoluzioni tecniche concretamentedisponibili sul mercato, mentre lemisure minime sono puntualmenteindividuate dalla legge (in particolaredall'allegato B)”.





60

La responsabilita’I l c o d i c e p r e v e d e t r e t i p i

• Artt. 161- 166

Amministrativa

• Art. 15

Civile

• Artt. 167- 172

Penale




61

A m m i n i s t r a t i v a : a r t t . 1 6 1 - 1 6 6

TITOLO III - Sanzioni.

Capo I - Violazioni amministrative

L'organo competente ad irrogare le sanzioni amministrative è il Garante. Si osservano, in quanto applicabili, le disposizioni della legge 24 novembre 1981, n. 689, e

successive modificazioni.

Art. 161

Omessa o inidonea informativa

all’interessato

La violazione delle disposizioni di cui all'articolo 13 è

punita con la sanzione amministrativa del pagamento

di una somma da seimila euro a trentaseimila euro

Art. 163

Omessa o incompleta

notificazione al garante

sanzione amministrativa del pagamento di una somma

da ventimila euro a centoventimila euro

Art. 164

Omesso invio di informazioni o

documenti richiesti dal garante

sanzione amministrativa del pagamento di una somma

da diecimila euro a sessantamila euro

La responsabilita’




62

C i v i l e

Responsabilità civile

Art. 15

Danni cagionati per effetto del trattamento

Chiunque cagiona danno ad altri per effetto

del trattamento di dati personali è tenuto al

risarcimento ai sensi dell'articolo 2050 del

codice civile.

Art. 2050 c.c.

Responsabilità per

l'esercizio di attività

pericolose.

Chiunque cagiona danno ad altri nello

svolgimento di un’attività pericolosa, per sua

natura o per natura dei mezzi adoperati, è

tenuto al risarcimento, se non prova di avere

adottato tutte le misure idonee a evitare il

danno





63

P e n a l e : a r t t . 1 6 7 - 1 7 2

TITOLO III - Sanzioni.

Capo II – Illeciti penali

Art. 167 - Trattamento illecito di dati

personali

1. se dal fatto deriva nocumento, con la reclusione da sei

a diciotto mesi

2. se il fatto consiste nella comunicazione o diffusione,

con la reclusione da sei a ventiquattro mesi.

Art. 168 - Falsità nelle dichiarazioni

e notificazioni al garante

e' punito, salvo che il fatto costituisca più grave reato, con

la reclusione da sei mesi a tre anni

Art. 169 - Omissione di adozione

delle misure minime di sicurezza

arresto sino a due anni.

Ravvedimento operoso: all'autore è impartita una

prescrizione fissando un termine per la regolarizzazione. Nei

sessanta giorni successivi allo scadere del termine, se risulta

l'adempimento alla prescrizione, l'autore del reato è ammesso

dal Garante a pagare una somma pari al quarto del massimo

della sanzione stabilita per la violazione amministrativa

art. 170 - Inosservanza dei

provvedimenti del garantereclusione da tre mesi a due anni





64

Forme di tutela

• GIUDICE ORDINARIO

Tutela giurisdizionale

• GARANTE PRIVACY

Tutela amministrativa

• L’UNICA FORMA DI TUTELA AMMESSA È QUELLA DAVANTI AL

GIUDICE ORDINARIO

Risarcimento danni




65

NOTA: “la raccolta, la registrazione, la conservazione e, in generale, l'utilizzo

di immagini configura un trattamento di dati personali cioè di informazioni

relative a persone fisiche identificate o identificabili, anche indirettamente,

mediante riferimento a qualsiasi altra informazione”

Videosorveglianza L e f o n t i

FONTICoordinamento con

le altre fonti che regolano i singoli

settori: p.es. Statuto dei Lavoratori

CODICE DELLA PRIVACY

(D.LGS. 196/03)

Provvedimento in materia di

videosorveglianza

8 aprile 2010(G.U. n. 99 del

29/04/2010)




66

A l c u n e o s s e r v a z i o n i

“è in crescita costante il ricorso alle telecamere

di controllo in aree aperte al pubblico e in aree

private così come l'utilizzo di tecnologie

sofisticate e sistemi miniaturizzati”

“In continuo aumento anche l'impiego di

dispositivi miniaturizzati o camuffati”

Videosorveglianza




67

“Alcune amministrazioni comunali

indicano indebitamente, come scopo

della sorveglianza, finalità di sicurezza

pubblica, prevenzione e accertamento dei

reati che competono invece solo ad

organi giudiziari o a forze armate o di

polizia”

Il Decreto Legge “antistupro” del 23 febbraio 2009,

ha attribuito ai sindaci il compito di sovrintendere

alla vigilanza ed all'adozione di atti che sono loro

attribuiti dalla legge e dai regolamenti in materia di

ordine e sicurezza pubblica, nonché allo

svolgimento delle funzioni affidati ad essi dalla

legge in materia di sicurezza e di polizia giudiziaria.

F i n a l i t à

PRINCIPIO DI FINALITÀ: Chi installa telecamere deve perseguire finalità determinate e di propria pertinenza.

1) la sicurezza urbana, l'ordine e la sicurezza pubblica,

la prevenzione, l’accertamento o la

repressione dei reati

2) la protezione della proprietà

3) la rilevazione, prevenzione e controllo delle

infrazioni da parte dei soggetti pubblici a ciò preposti dalla

legge

4) l’acquisizione di prove

Videosorveglianza




68

Trattamento pertinente e non eccedente, rispetto alle finalità perseguite; ciò si

concretizza, ad esempio, nella scelta delle modalità di ripresa e dislocazione

delle telecamere (fisse o brandeggiabili, dotate o meno di zoom).

4.5. Utilizzo di web cam o camera-on-line a scopi promozionali-turistici o

pubblicitari

Le attività di rilevazione di immagini a fini promozionali-turistici o pubblicitari,

attraverso web cam devono avvenire con modalità che rendano non

identificabili i soggetti ripresi. Ciò in considerazione delle peculiari modalità del

trattamento, dalle quali deriva un concreto rischio del verificarsi di un

pregiudizio rilevante per gli interessati: le immagini raccolte tramite tali sistemi,

infatti, vengono inserite direttamente sulla rete Internet, consentendo a

chiunque navighi sul web di visualizzare in tempo reale i soggetti ripresi e di

utilizzare le medesime immagini anche per scopi diversi dalle predette finalità

promozionali-turistiche o pubblicitarie perseguite dal titolare del trattamento.

P r i n c i p i o d i p e r t i n e n z a e n o n e c c e d e n z a

Videosorveglianza




69

Il Provvedimento del 2010 introduce una nuova tipologia

di informativa, per i soggetti privati che effettuano

trattamenti di immagini con sistemi di videosorveglianza

collegati con le forze di polizia;

Rimane anche l’informativa già adottata con il

Provvedimento del 2004

I n f o r m a t i v a ( s e m p l i f i c a t a )

Tutti coloro che transitano nelle aree videocontrollate

devono essere opportunamente informati della presenza di

telecamere attraverso l’affissione di appositi cartelli

chiaramente visibili ed esplicativi degli elementi previsti

all’art. 13 del d.lgs. 196/03, anche quando il sistema di

videosorveglianza è attivo in ORARIO NOTTURNO.

Videosorveglianza




70

deve essere collocato prima del raggio di azione della telecamera, anche nelle

sue immediate vicinanze e non necessariamente a contatto con gli impianti;

deve avere un formato ed un posizionamento tale da essere chiaramente visibile

in ogni condizione di illuminazione ambientale, anche quando il sistema di

videosorveglianza sia eventualmente attivo in orario notturno;

può inglobare un simbolo o una stilizzazione di esplicita e immediata

comprensione, eventualmente diversificati al fine di informare se le immagini sono

solo visionate o anche registrate.

P o s i z i o n a m e n t o d e l l ’ i n f o r m a t i v a

Videosorveglianza

NOTAIl Garante ritiene auspicabile chel'informativa, resa in forma semplificatarinvii a un testo completo contenentetutti gli elementi di cui all'art. 13,comma 1, del Codice




71

(Art. 3.1.1 - Provv. 8 apr. 2010)

Trattamenti svolti dalle forze di polizia, dagli organi di pubblica sicurezza e

da altri soggetti pubblici per finalità di tutela dell’ordine e della

sicurezza pubblica, prevenzione, accertamento o repressione dei

reati.

NOTA: L’assenza dell’obbligo non significa divieto; infatti, per i titolari

dei predetti trattamenti è espressamente prevista la possibilità di “rendere

nota la rilevazione di immagini tramite impianti di videosorveglianza

attraverso forme anche semplificate di informativa, che evidenzino,

mediante l'apposizione nella cartellonistica di riferimenti grafici, simboli,

diciture, l'utilizzo di tali sistemi per finalità di tutela dell’ordine e della

sicurezza pubblica, prevenzione, accertamento o repressione dei reati”

SANZIONE AMMINISTRATIVA da seimila a trentaseimila euro

E s e n z i o n i d a l l ’ o b b l i g o d i i n f o r m a t i v a

Videosorveglianza




72

“Il sistema impiegato deve essere programmato in modo da operare al momentoprefissato l'integrale cancellazione automatica delle informazioni allo scaderedel termine previsto da ogni supporto, anche mediante sovraregistrazione, conmodalità tali da rendere non riutilizzabili i dati cancellati”

SANZIONE AMMINISTRATIVA da trentamila a centottantamila euro

Te m p o d i c o n s e r v a z i o n e e r e g i s t r a z i o n e d e l l e i m m a g i n i

“POCHE ORE O, AL MASSIMO, VENTIQUATTRO ORE SUCCESSIVE ALLA RILEVAZIONE”

I C

om

un

i

Conservazione dei dati fino “ai sette giorni successivi alla rilevazione delle informazioni e delle immagini raccolte mediante l’uso di sistemi di videosorveglianza, fatte salve speciali esigenze di ulteriore conservazione”.

Me

zzi d

i tr

as

po

rto

Peculiari esigenze tecniche

Ban

ch

e Particolare rischiosità dell'attività svolta dal titolare del trattamento (le banche, per le quali può risultare giustificata l’esigenza di identificare gli autori di un sopralluogo nei giorni precedenti una rapina)

Videosorveglianza




73

S e t t o r i s p e c i f i c i ( a r t . 4 )

SISTEMI INTEGRATI DI

VIDEOSORVEGLIANZA

RAPPORTI DI LAVORO E

ISTITUTI SCOLASTICI

OSPEDALI, LUOGHI DI CURA E

WEBCAM A SCOPO

TURISTICO

TRASPORTO PUBBLICO

E TAXI

VIDEOSORVEGLIANZA

Videosorveglianza




74

Decisione del Garante Privacy del 26 febbraio 2009: Non è lecito installaretelecamere che possano controllare i lavoratori, anche in aree e locali dove sitrovino saltuariamente (p. es: Aree di carico e scarico)

R a p p o r t i d i l a v o r o ( S t a t u t o d e i l a v o r a t o r i )

Divieto di utilizzo di mezzi di

sorveglianza a distanza

per finalità di mero

controllo

Divieto assoluto di

ripresa negli ambienti non destinati al

lavoro, quali spogliatoi,

docce armadietti e

luoghi ricreativi

Gli impianti e le apparecchiature di controllo che siano

richiesti da esigenze organizzative e

produttive, ovvero dalla sicurezza del

lavoro, possono essere installati soltanto previo accordo con le rappresentanze

sindacali aziendali

Nell’ipotesi in cui il datore di lavoro

intenda promuovere la propria attività

imprenditoriale con riprese televisive

sui luoghi di lavoro, rimane fermo il

diritto del lavoratore di

opporsi alle riprese

Videosorveglianza




75

Il mancato rispetto di quanto sopra prescritto comporta l'applicazione dellasanzione amministrativa del pagamento di una somma da trentamila euro acentottantamila euroL'utilizzo di sistemi di videosorveglianza preordinati al controllo a distanza deilavoratori o ad effettuare indagini sulle loro opinioni integra la fattispecie direato prevista dall'art. 171 del Codice (ammenda da lire 300.000 a lire3.000.000 o con l'arresto da 15 giorni ad un anno).

LE REGOLE DETTATE DAL DECALOGO SI OSSERVANO ANCHE

all'interno degli edifici

in altri contesti in cui è resa la prestazione di lavoro (ad esempio, nei cantieri edili o

con riferimento alle telecamere installate su veicoli adibiti al servizio di linea per il

trasporto di persone)

o su veicoli addetti al servizio di noleggio con conducente e servizio di piazza (taxi)

per trasporto di persone (le quali non devono riprendere in modo stabile la

postazione di guida, e le cui immagini, raccolte per finalità di sicurezza e di eventuale

accertamento di illeciti, non possono essere utilizzate per controlli, anche indiretti,

sull'attività lavorativa degli addetti).

R a p p o r t i d i l a v o r o ( S t a t u t o d e i l a v o r a t o r i )

Videosorveglianza




76

È FATTO DIVIETO ASSOLUTO DI VISIONE

DELLE IMMAGINI AI SOGGETTI ESTRANEI

Il mancato rispetto di quanto sopra prescritto comporta l'applicazione dellasanzione amministrativa di una somma da trentamila euro a centottantamilaeuro.La diffusione di immagini in violazione dell'art. 22, comma 8, comportal'applicazione della sanzione amministrativa da diecimila euro a centoventimila,e della reclusione da uno a tre anni.

O s p e d a l i e l u o g h i d i c u r a ( d a t i s e n s i b i l i )

Le riprese devono essere limitate ai casi di stretta indispensabilità

Sono autorizzati ad accedere alle immagini solo i soggetti

appartenenti al personale medico ed infermieristico

Possono, inoltre, accedere alle immagini i familiari di

ricoverati in reparti dove non sia consentito agli stessi di

recarsi personalmente (per esempio, rianimazione)

Videosorveglianza




77

Le riprese devono essere circoscritte

alle sole aree interessate ed attivate

negli orari di chiusura degli istituti

Spesso in tali contesti il trattamento

riguarderebbe soggetti minori

SANZIONIIl mancato rispetto delle suddette regole comportal'applicazione della sanzione amministrativa da trentamilaeuro a centottantamila euro

I s t i t u t i s c o l a s t i c i

Videosorveglianza




78

FINALITÀ“situazioni di particolare rischio”

OBBLIGO DI INFORMATIVA“apposite indicazioni o contrassegni che diano conto

con immediatezza della presenza dell'impianto di

videosorveglianza”

Taxi: le telecamere non devono

riprendere in modo stabile la

postazione di guida e la loro

presenza deve essere segnalata

con appositi contrassegni.

Trasporto pubblico: lecita

l'installazione su mezzi di trasporto

pubblico e presso le fermate, ma

rispettando limiti precisi (es.angolo

visuale circoscritto, riprese senza

l'uso di zoom).

SANZIONIAssenza di informativa: sanzione amministrativa del pagamento di una

somma da seimila euro a trentaseimila euro

Controllo a distanza del lavoratore: ammenda da lire 300.000 a lire

3.000.000 o con l'arresto da 15 giorni ad un anno

Mancato rispetto delle disposizioni relative alle aree di fermata:

pagamento di una somma da trentamila euro a centottantamila euro

Tr a s p o r t o p u b b l i c o

Videosorveglianza




79

PRESCRIZIONILe riprese “devono avvenire con modalità che

rendano non identificabili i soggetti ripresi”

RISCHI“Le immagini raccolte tramite tali sistemi, infatti, vengono inserite

direttamente sulla rete Internet, consentendo a chiunque navighi

sul web di visualizzare in tempo reale i soggetti ripresi e di

utilizzare le medesime immagini anche per scopi diversi dalle

predette finalità promozionali-turistiche o pubblicitarie perseguite

dal titolare del trattamento”

R i p r e s e a s c o p i p r o m o z i o n a l i - t u r i s t i c i o p u b b l i c i t a r i

Videosorveglianza

Grazie per l’attenzioneDocente: Massimo Farina http://www.massimofarina.it

http://www.diricto.it/ http://ict4forensics.diee.unica.it/

[email protected] – [email protected]

A.A. 2015/16Corso di Laurea Magistrale in

Ingegneria delle Telecomunicazioni

http://tlc.diee.unica.it/




81

Attribuzione - Non Commerciale - Condividi allo stesso modo 3.0

o Tu sei libero:

• di riprodurre, distribuire, comunicare al pubblico, esporre in pubblico,rappresentare, eseguire o recitare l'opera;

• di modificare quest’opera;

• Alle seguenti condizioni: Attribuzione. Devi attribuire la paternità dell’opera nei modi indicati

dall’autore o da chi ti ha dato l’opera in licenza e in modo tale da nonsuggerire che essi avallino te o il modo in cui tu usi l’opera.

Non commerciale. Non puoi usare quest’opera per fini commerciali. Condividi allo stesso modo. Se alteri, trasformi quest’opera, o se la usi per

crearne un’altra, puoi distribuire l’opera risultante solo con una licenzaidentica o equivalente a questa.

o In occasione di ogni atto di riutilizzazione o distribuzione, devi chiarire agli altri itermini della licenza di quest’opera.

o Se ottieni il permesso dal titolare del diritto d'autore, è possibile rinunciare ad ognuna diqueste condizioni.

o Le tue utilizzazioni libere e gli altri diritti non sono in nessun modo limitati da quantosopra

Licenza

Corso Diritto dell'Informatica e delle Nuove Tecnologie

Education

Transcript of Corso Diritto dell'Informatica e delle Nuove Tecnologie