Corso Diritto dell'Informatica e delle Nuove Tecnologie
-
Upload
massimo-farina -
Category
Education
-
view
875 -
download
2
Transcript of Corso Diritto dell'Informatica e delle Nuove Tecnologie
A.A. 2015/16Corso di Laurea Magistrale in
Ingegneria delle Telecomunicazioni
http://tlc.diee.unica.it/
Versione 2015 aggiornata a cura dell’Avv.to Gianluca Satta
Diritto dell’Informatica e delle Nuove Tecnologie
Docente: Massimo Farina [email protected]
DIRITTO DELL’INFORMATICA E DELLE NUOVE TECNOLOGIE - A.A. 2015/2016 - MASSIMO FARINA
Univ. CA - Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni
La tutela dei dati personali
2
La tutela
dei dati
personali
Modulo III
DIRITTO DELL’INFORMATICA E DELLE NUOVE TECNOLOGIE - A.A. 2015/2016 - MASSIMO FARINA
Univ. CA - Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni
La tutela dei dati personali
3
• La struttura del Codice
Privacy
• Recenti modifiche al
Codice della Privacy
• Future modifiche?
• I soggetti
• Tipologia di dati
• I principi del Codice
Privacy
• I principali adempimenti
Indice
• La notificazione
• Autorizzazione
• Informativa
• Consenso
• Misure minime di sicurezza
• La responsabilita’
• Forme di tutela
• La videosorveglianza
DIRITTO DELL’INFORMATICA E DELLE NUOVE TECNOLOGIE - A.A. 2015/2016 - MASSIMO FARINA
Univ. CA - Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni
La tutela dei dati personali
4
La struttura del Codice Privacy
Si compone di tre parti:
• I – Disposizioni Generali
• II – Disposizioni Relative a Settori Specifici
• III – Tutela dell'Interessato e Sanzioni
…e di tre allegati:
• A – Codici Deontologici (giornalisti, storici, statistici, soggetti privati e crediti al consumo/affidabilità pagamenti, investigazioni difensive)
• B – Disciplinare Tecnico
• C – Trattamenti in ambito giudiziario
DIRITTO DELL’INFORMATICA E DELLE NUOVE TECNOLOGIE - A.A. 2015/2016 - MASSIMO FARINA
Univ. CA - Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni
La tutela dei dati personali
5
Recenti modifiche al Codice della PrivacyD . L . 7 0 / 2 0 11 c o n v. L . 1 0 6 / 2 0 11 - “ D e c r e t o S v i l u p p o ”
aggiunto comma 3-bis all’art. 5
aggiunto comma 5-bis all’art. 13
aggiunta lett. i-bis) all’art. 24
aggiunta lett. i-ter) all’art. 24
aggiunta lett. b-bis) all’art. 26
modifica al comma 1-bis) all’art. 34
aggiunto comma 3-bis) all’art. 130
Modifiche introdotte dal “Decreto Sviluppo”(D.L. 70/2011 conv. L. 106/2011)
DIRITTO DELL’INFORMATICA E DELLE NUOVE TECNOLOGIE - A.A. 2015/2016 - MASSIMO FARINA
Univ. CA - Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni
La tutela dei dati personali
6
D . L . 7 0 / 2 0 11 c o n v. L . 1 0 6 / 2 0 11 - “ D e c r e t o S v i l u p p o ”
aggiunto comma 3-bis) all’art. 5 (poi abrogato dal D.L. 201/2011)
“3-bis. Il trattamento dei dati personali relativi a persone giuridiche, imprese, enti o
associazioni effettuato nell’ambito di rapporti intercorrenti esclusivamente tra i
medesimi soggetti per le finalità amministrativo-contabili, come definite
all’articolo 34, comma 1-ter, non è soggetto all’applicazione del presente codice”
EFFETTO: la protezione della riservatezza dei
dati personali è limitata alle persone fisiche e
non trova applicazione nei rapporti tra imprese,
che possono essere trattati senza vincoli,
purché si tratti di trattamenti per le normali
finalità amministrativo-contabili.
ELIMINATOdal
D.L. 201/2011
Recenti modifiche al Codice della Privacy
DIRITTO DELL’INFORMATICA E DELLE NUOVE TECNOLOGIE - A.A. 2015/2016 - MASSIMO FARINA
Univ. CA - Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni
La tutela dei dati personali
7
D . L . 7 0 / 2 0 11 c o n v. L . 1 0 6 / 2 0 11 - “ D e c r e t o S v i l u p p o ”
aggiunto comma 3-bis) all’art. 5 (poi abrogato dal D.L. 201/2011)
OSSERVAZIONE
Questa limitazione lasciava, certamente, qualche perplessità
in quanto non considerava che l’impresa (o, in generale, la
persona giuridica) possa assumere il ruolo di interessato al
trattamento e non soltanto di titolare. Se, infatti, è vero che
potrebbe essere ritenuto comodo, per l’impresa che tratta dati
altrui (cioè titolare) beneficiare di uno snellimento degli
adempimenti (spesso pesanti), non vale altrettanto quando
quell’impresa necessita di tutela per il trattamento dei suoi dati
da parte di altro titolare, che potrebbe anche abusarne.
Recenti modifiche al Codice della Privacy
DIRITTO DELL’INFORMATICA E DELLE NUOVE TECNOLOGIE - A.A. 2015/2016 - MASSIMO FARINA
Univ. CA - Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni
La tutela dei dati personali
8
D . L . 7 0 / 2 0 11 c o n v. L . 1 0 6 / 2 0 11 - “ D e c r e t o S v i l u p p o ”
aggiunto comma 5-bis) all’art. 13 (informativa)
“5-bis. L’informativa di cui al comma 1 non è dovuta in caso di ricezione di
curricula spontaneamente trasmessi dagli interessati ai fini dell’eventuale
instaurazione di un rapporto di lavoro. Al momento del primo contatto successivo
all’invio del curriculum, il titolare è tenuto a fornire all’interessato, anche
oralmente, una informativa breve contenente almeno gli elementi di cui al comma
1, lettere a), d) ed f)”
EFFETTO: soltanto in un momento successivo a quello in cui ci
sarà un primo contatto, il titolare del trattamento (per esempio
l’azienda che convoca l’interessato), anche durante il colloquio
con il candidato, sarà tenuto a fornire gli elementi dell’informativa
previsti dall’art. 13 del codice.
Recenti modifiche al Codice della Privacy
DIRITTO DELL’INFORMATICA E DELLE NUOVE TECNOLOGIE - A.A. 2015/2016 - MASSIMO FARINA
Univ. CA - Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni
La tutela dei dati personali
9
D . L . 7 0 / 2 0 11 c o n v. L . 1 0 6 / 2 0 11 - “ D e c r e t o S v i l u p p o ”
aggiunto comma 5-bis) all’art. 13 (informativa)
OSSERVAZIONE
Al momento del contatto (es. in caso di convocazione per un colloquio),
successivo all’invio del curriculum, il titolare è tenuto a fornire
un’informativa breve contenente almeno i seguenti punti:
finalità e modalità del trattamento;
soggetti che possono venire a conoscenza dei dati in quanto
responsabili o incaricati del trattamento e ambito di diffusione dei dati;
indicazione delle modalità per conoscere l’identità di tutti i responsabili
del trattamento.
Non è prevista l’indicazione dei diritti dell’interessato
Recenti modifiche al Codice della Privacy
DIRITTO DELL’INFORMATICA E DELLE NUOVE TECNOLOGIE - A.A. 2015/2016 - MASSIMO FARINA
Univ. CA - Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni
La tutela dei dati personali
10
D . L . 7 0 / 2 0 11 c o n v. L . 1 0 6 / 2 0 11 - “ D e c r e t o S v i l u p p o ”
aggiunta lett. i-bis) all’art. 24 (trattamento senza consenso)
“Il consenso non e' richiesto, oltre che nei casi previsti
nella Parte II, quando il trattamento:
[…] (i-bis) riguarda dati contenuti nei curricula, nei casi di
cui all'articolo 13, comma 5-bis;”
EFFETTO: Introduce l’esclusione dell’obbligo del
consenso per il trattamento dei dati dei curricula
ricevuti.
Recenti modifiche al Codice della Privacy
DIRITTO DELL’INFORMATICA E DELLE NUOVE TECNOLOGIE - A.A. 2015/2016 - MASSIMO FARINA
Univ. CA - Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni
La tutela dei dati personali
11
D . L . 7 0 / 2 0 11 c o n v. L . 1 0 6 / 2 0 11 - “ D e c r e t o S v i l u p p o ”
aggiunta lett. i-ter) all’art. 24 (gruppi societari)
“Il consenso non e' richiesto, oltre che nei casi previsti nella Parte II,
quando il trattamento:
i-ter) […] riguarda la comunicazione di dati […] tra società, enti o
associazioni con società controllanti, controllate o collegate […]
ovvero con società sottoposte a comune controllo, nonché tra
consorzi, reti di imprese e raggruppamenti e associazioni temporanei
di imprese con i soggetti ad essi aderenti, per le finalità
amministrativo contabili, come definite all’articolo 34, comma 1-ter, e
purché queste finalità siano previste espressamente con
determinazione resa nota agli interessati all’atto dell’informativa di
cui all’articolo 13;”
Recenti modifiche al Codice della Privacy
DIRITTO DELL’INFORMATICA E DELLE NUOVE TECNOLOGIE - A.A. 2015/2016 - MASSIMO FARINA
Univ. CA - Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni
La tutela dei dati personali
12
D . L . 7 0 / 2 0 11 c o n v. L . 1 0 6 / 2 0 11 - “ D e c r e t o S v i l u p p o ”
aggiunta lett. b-bis) all’art. 26 (garanzie per i dati sensibili)
“1. I dati sensibili possono essere oggetto di trattamento solo con il
consenso scritto dell'interessato e previa autorizzazione del Garante,
nell'osservanza dei presupposti e dei limiti stabiliti dal presente codice,
nonché dalla legge e dai regolamenti. […]
3. Il comma 1 non si applica al trattamento:
[…] b-bis) dei dati contenuti nei curricula, nei casi di cui all'articolo 13,
comma 5-bis.”
EFFETTO: l’esonero dall’obbligo del consenso riguarda anche
i dati sensibili contenuti nei curricula.
confermato l’obbligo di consenso scritto per tutti gli altri casi in cui si trattano dati sensibili
Recenti modifiche al Codice della Privacy
DIRITTO DELL’INFORMATICA E DELLE NUOVE TECNOLOGIE - A.A. 2015/2016 - MASSIMO FARINA
Univ. CA - Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni
La tutela dei dati personali
13
D . L . 7 0 / 2 0 11 c o n v. L . 1 0 6 / 2 0 11 - “ D e c r e t o S v i l u p p o ”
modifica al comma 1-bis) all’art. 34 (trattamenti con strumenti elettronici)
“Ai fini dell’applicazione delle disposizioni in materia di protezione dei dati personali, i
trattamenti effettuati per finalità amministrativo-contabili sono quelli connessi allo
svolgimento delle attività di natura organizzativa, amministrativa, finanziaria e contabile, a
prescindere dalla natura dei dati trattati. In particolare, perseguono tali finalità le attività
organizzative interne, quelle funzionali all’adempimento di obblighi contrattuali e
precontrattuali, alla gestione del rapporto di lavoro in tutte le sue fasi, alla tenuta della
contabilità e all’applicazione delle norme in materia fiscale, sindacale, previdenziale-
assistenziale, di salute, igiene e sicurezza sul lavoro”
EFFETTO: non sono più necessarie informative e
richieste di consenso se si trattano dati personali
relativi a persone giuridiche, esclusivamente per
finalità amministrativo-contabili, nel senso chiarito
dalla nuova norma.
ELIMINATOD.L. 5/2012
Recenti modifiche al Codice della Privacy
DIRITTO DELL’INFORMATICA E DELLE NUOVE TECNOLOGIE - A.A. 2015/2016 - MASSIMO FARINA
Univ. CA - Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni
La tutela dei dati personali
14
D . L . 7 0 / 2 0 11 c o n v. L . 1 0 6 / 2 0 11 - “ D e c r e t o S v i l u p p o ”
aggiunto comma 3-bis) all’art. 130 (comunicazioni indesiderate)
“[…] 3-bis. In deroga a quanto previsto dall'articolo 129, il trattamento dei dati di cui all'articolo
129, comma 1, mediante l'impiego del telefono e della posta cartacea per le finalità di cui
all’articolo 7, comma 4, lettera b), è consentito nei confronti di chi non abbia esercitato il diritto di
opposizione, con modalità semplificate e anche in via telematica, mediante l’iscrizione della
numerazione della quale è intestatario e degli altri dati personali di cui all'articolo 129, comma 1, in
un registro pubblico delle opposizioni”
EFFETTO: estende anche agli indirizzi postali tradizionali il regime dell’opt-out di
recente introdotto in materia di trattamento dei numeri telefonici degli abbonati per
l’esercizio del marketing telefonico.
Quindi anche per il marketing fatto per posta vale il registro delle opposizioni e gli
operatori di marketing diretto potranno utilizzare anche gli indirizzi degli abbonati
contenuti nell’elenco telefonico per finalità promozionali senza bisogno di chiedere il
consenso alla sola condizione che questi ultimi non abbiano richiesto l’iscrizione del
proprio numero telefonico e del proprio indirizzo presso il registro delle opposizioni di
recente istituito dalla L. n. 166/09 e gestito dalla Fondazione Ugo Bordoni.
Recenti modifiche al Codice della Privacy
DIRITTO DELL’INFORMATICA E DELLE NUOVE TECNOLOGIE - A.A. 2015/2016 - MASSIMO FARINA
Univ. CA - Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni
La tutela dei dati personali
15
D . L . 2 0 1 / 2 0 11 c o n v. L . 2 1 4 / 2 0 11 - “ D e c r e t o S a l v a I t a l i a ”
Modificata la lett. b), comma 1, art. 4;
Modificata la lett. i), comma 1, art. 4;
Abrogato il comma 3-bis, art. 5;
Soppresso ultimo periodo del comma 4, art. 9;
Soppressa la lett. h), comma 1, art. 43.
Modifiche introdotte dal “Decreto Salva Italia”(D.L. 201/2011 conv. L. 214/2011)
Recenti modifiche al Codice della Privacy
DIRITTO DELL’INFORMATICA E DELLE NUOVE TECNOLOGIE - A.A. 2015/2016 - MASSIMO FARINA
Univ. CA - Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni
La tutela dei dati personali
16
D . L . 2 0 1 / 2 0 11 c o n v. L . 2 1 4 / 2 0 11 - “ D e c r e t o S a l v a I t a l i a ”
Definizione di “dato personale” (art. 4, comma 1, lett. b)
“qualunque informazione relativa a persona fisica, identificata o identificabile,
anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi
compreso un numero di identificazione personale”;
Comprende soltanto le informazioni riferite alle persone fisiche e non più
anche alle persone giuridiche, enti o associazioni
È soltanto la persona fisica e non più anche alle persone giuridiche, enti o
associazioni
Definizione di “interessato” (art. 4, comma 1, lett. i)
“la persona fisica, cui si riferiscono i dati personali”;
Recenti modifiche al Codice della Privacy
DIRITTO DELL’INFORMATICA E DELLE NUOVE TECNOLOGIE - A.A. 2015/2016 - MASSIMO FARINA
Univ. CA - Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni
La tutela dei dati personali
17
D . L . 2 0 1 / 2 0 11 c o n v. L . 2 1 4 / 2 0 11 - “ D e c r e t o S a l v a I t a l i a ”
Modifiche del Decreto Salva Italia
OSSERVAZIONE
I riferimenti alle persone giuridiche non sono completamente spariti:
La persona giuridica conserva la qualità di “Titolare” e “Responsabile”
La persona giuridica conserva la qualità di “Abbonato”
Viene a delinearsi, così, una posizione anomala per le personegiuridiche (e per gli enti in generale), le quali, da una parte,non possono più considerarsi soggetti “interessati” e dall’altraconservano il ruolo di “abbonati”, con la conseguente difficoltàdi accedere alla tutela per gli abbonati che non siano anche“interessati”
Recenti modifiche al Codice della Privacy
DIRITTO DELL’INFORMATICA E DELLE NUOVE TECNOLOGIE - A.A. 2015/2016 - MASSIMO FARINA
Univ. CA - Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni
La tutela dei dati personali
18
D . L . 5 / 2 0 1 2 c o n v. L . 3 5 / 2 0 1 2 - “ D e c r e t o S e m p l i f i c a z i o n i ”
Abrogata la lett. g), comma 1, art. 34.
Modifiche introdotte dal “Decreto Semplificazioni”(D.L. 5/2012 conv. L. 35/2012)
Sparisce il DPS
(Documento Programmatico
sulla Sicurezza)
Recenti modifiche al Codice della Privacy
DIRITTO DELL’INFORMATICA E DELLE NUOVE TECNOLOGIE - A.A. 2015/2016 - MASSIMO FARINA
Univ. CA - Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni
La tutela dei dati personali
19
D . L . 5 / 2 0 1 2 c o n v. L . 3 5 / 2 0 1 2 - “ D e c r e t o S e m p l i f i c a z i o n i ”
Modifiche del Decreto Semplificazioni
OSSERVAZIONE
Sparisce la forma ma persiste la sostanza
Oggi, dove si annotano?
Tutti gli adempimenti che
dovevano essere annotati nel
DPS continuano ad esistere
Recenti modifiche al Codice della Privacy
DIRITTO DELL’INFORMATICA E DELLE NUOVE TECNOLOGIE - A.A. 2015/2016 - MASSIMO FARINA
Univ. CA - Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni
La tutela dei dati personali
20
D . L . 5 / 2 0 1 2 c o n v. L . 3 5 / 2 0 1 2 - “ D e c r e t o S e m p l i f i c a z i o n i ”
Modifiche del Decreto Semplificazioni
OSSERVAZIONE
Controlli più faticosi
Recenti modifiche al Codice della Privacy
DIRITTO DELL’INFORMATICA E DELLE NUOVE TECNOLOGIE - A.A. 2015/2016 - MASSIMO FARINA
Univ. CA - Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni
La tutela dei dati personali
21
D . L . 5 / 2 0 1 2 c o n v. L . 3 5 / 2 0 1 2 - “ D e c r e t o S e m p l i f i c a z i o n i ”
Disposizioni abrogate dal Decreto Semplificazioni
Art. 34. Trattamenti con strumenti elettronici“1. Il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate,
nei modi previsti dal disciplinare tecnico contenuto nell'allegato B), le seguenti misure minime:
[…] g) tenuta di un aggiornato documento programmatico sulla sicurezza;
[…] 1-bis. Per i soggetti che trattano soltanto dati personali non sensibili e che trattano come unici dati
sensibili e giudiziari quelli relativi ai propri dipendenti e collaboratori, anche se extracomunitari,
compresi quelli relativi al coniuge e ai parenti, la tenuta di un aggiornato documento programmatico
sulla sicurezza e' sostituita dall'obbligo di autocertificazione, resa dal titolare del trattamento ai sensi
dell'articolo 47 del testo unico di cui al decreto del Presidente della Repubblica 28 dicembre 2000,
n.445, di trattare soltanto tali dati in osservanza delle misure minime di sicurezza previste dal presente
codice e dal disciplinare tecnico contenuto nell'allegato B). In relazione a tali trattamenti, nonché a
trattamenti comunque effettuati per correnti finalità amministrativo - contabili, in particolare presso
piccole e medie imprese, liberi professionisti e artigiani, il Garante, sentiti il Ministro per la
semplificazione normativa e il Ministro per la pubblica amministrazione e l'innovazione, individua con
proprio provvedimento, da aggiornare periodicamente, modalità semplificate di applicazione del
disciplinare tecnico contenuto nel citato allegato B) in ordine all'adozione delle misure minime di cui al
comma 1.”
Recenti modifiche al Codice della Privacy
DIRITTO DELL’INFORMATICA E DELLE NUOVE TECNOLOGIE - A.A. 2015/2016 - MASSIMO FARINA
Univ. CA - Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni
La tutela dei dati personali
22
D . L . 5 / 2 0 1 2 c o n v. L . 3 5 / 2 0 1 2 - “ D e c r e t o S e m p l i f i c a z i o n i ”
Disposizioni abrogate dal Decreto Semplificazioni
Allegato B) - Documento programmatico sulla sicurezza“19. Entro il 31 marzo di ogni anno, il titolare di un trattamento di dati sensibili o di
dati giudiziari redige anche attraverso il responsabile, se designato, un documento
programmatico sulla sicurezza contenente idonee informazioni riguardo:
19.1. l'elenco dei trattamenti di dati personali;
19.2. la distribuzione dei compiti e delle responsabilità nell'ambito delle strutture
preposte al trattamento dei dati;
19.3. l'analisi dei rischi che incombono sui dati;
19.4. le misure da adottare per garantire l'integrità e la disponibilità dei dati, nonchè
la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e
accessibilità;
19.5. la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei
dati in seguito a distruzione o danneggiamento di cui al successivo punto 23;
Recenti modifiche al Codice della Privacy
DIRITTO DELL’INFORMATICA E DELLE NUOVE TECNOLOGIE - A.A. 2015/2016 - MASSIMO FARINA
Univ. CA - Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni
La tutela dei dati personali
23
D . L . 5 / 2 0 1 2 c o n v. L . 3 5 / 2 0 1 2 - “ D e c r e t o S e m p l i f i c a z i o n i ”
Disposizioni abrogate dal Decreto Semplificazioni
Allegato B) - Documento programmatico sulla sicurezza“19.6. la previsione di interventi formativi degli incaricati del trattamento, per renderli edotti dei
rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili
della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività,
delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate
dal titolare. La formazione è programmata già al momento dell'ingresso in servizio, nonché in
occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti
rispetto al trattamento di dati personali;
19.7. la descrizione dei criteri da adottare per garantire l'adozione delle misure minime di
sicurezza in caso di trattamenti di dati personali affidati, in conformità al codice, all'esterno della
struttura del titolare;
19.8. per i dati personali idonei a rivelare lo stato di salute e la vita sessuale di cui al punto 24,
l'individuazione dei criteri da adottare per la cifratura o per la separazione di tali dati dagli altri
dati personali dell'interessato; […]
26. Il titolare riferisce, nella relazione accompagnatoria del bilancio d'esercizio, se dovuta,
dell'avvenuta redazione o aggiornamento del documento programmatico sulla sicurezza.
Recenti modifiche al Codice della Privacy
DIRITTO DELL’INFORMATICA E DELLE NUOVE TECNOLOGIE - A.A. 2015/2016 - MASSIMO FARINA
Univ. CA - Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni
La tutela dei dati personali
24
D . L . 5 / 2 0 1 2 c o n v. L . 3 5 / 2 0 1 2 - “ D e c r e t o S e m p l i f i c a z i o n i ”
Disposizioni residue
Art. 34. Trattamenti con strumenti elettronici“1. Il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate,
nei modi previsti dal disciplinare tecnico contenuto nell'allegato B), le seguenti misure minime:
1. Il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate,
nei modi previsti dal disciplinare tecnico contenuto nell'allegato B), le seguenti misure minime:
a) autenticazione informatica;
b) adozione di procedure di gestione delle credenziali di autenticazione;
c) utilizzazione di un sistema di autorizzazione;
d) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli
incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici;
e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non
consentiti e a determinati programmi informatici;
f) adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e
dei sistemi;”
g) [abrogato]
h) adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a
rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari.
Recenti modifiche al Codice della Privacy
DIRITTO DELL’INFORMATICA E DELLE NUOVE TECNOLOGIE - A.A. 2015/2016 - MASSIMO FARINA
Univ. CA - Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni
La tutela dei dati personali
25
D . L . 5 / 2 0 1 2 c o n v. L . 3 5 / 2 0 1 2 - “ D e c r e t o S e m p l i f i c a z i o n i ”
Disposizioni residue
Art. 34. Trattamenti con strumenti elettronici“[…] 1-bis. [abrogato];
1-ter. Ai fini dell'applicazione delle disposizioni in materia di protezione dei dati
personali, i trattamenti effettuati per finalità amministrativo-contabili sono quelli
connessi allo svolgimento delle attività di natura organizzativa, amministrativa,
finanziaria e contabile, a prescindere dalla natura dei dati trattati. In particolare,
perseguono tali finalità le attività organizzative interne, quelle funzionali
all'adempimento di obblighi contrattuali e precontrattuali, alla gestione del rapporto
di lavoro in tutte le sue fasi, alla tenuta della contabilità e all'applicazione delle
norme in materia fiscale, sindacale, previdenziale-assistenziale, di salute, igiene e
sicurezza sul lavoro h) adozione di tecniche di cifratura o di codici identificativi per
determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale
effettuati da organismi sanitari.”
Recenti modifiche al Codice della Privacy
DIRITTO DELL’INFORMATICA E DELLE NUOVE TECNOLOGIE - A.A. 2015/2016 - MASSIMO FARINA
Univ. CA - Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni
La tutela dei dati personali
26
Future modifiche?I l R e g o l a m e n t o e u r o p e o
1) Il Data Protection Officer (o Privacy Officer)
Almeno 5000 interessati
Dati personali di particolare rilevanza
2) Obbligo di notificare il data breach
In Italia già previsto per gli operatori di telefonia
3) Sparisce la notificazione ex art. 37 D.lgs. 196/03
In Italia già previsto per gli operatori di telefonia
4) Attenuazione del diritto all’Oblio
Diritto alla cancellazione e divieto di ulteriore trattamento
5) Sanzioni amministrative
sanzioni ad efficacia deterrente e proporzionate
6) Bollino qualità (Certificato europeo della protezione dei dati personali)
Rilasciato dalle varie Authority nazionali ma anche da soggettiterzi
DIRITTO DELL’INFORMATICA E DELLE NUOVE TECNOLOGIE - A.A. 2015/2016 - MASSIMO FARINA
Univ. CA - Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni
La tutela dei dati personali
27
I soggettiD e f i n i z i o n i
Titolare (del trattamento) la persona fisica, la persona giuridica, la
pubblica amministrazione e qualsiasi altro ente,
associazione od organismo cui competono,
anche unitamente ad altro titolare, le decisioni
in ordine alle finalità, alle modalità del
trattamento di dati personali e agli strumenti
utilizzati, ivi compreso il profilo della sicurezza”
“Responsabile” (del trattamento) “la persona fisica, la persona giuridica, la pubblica
amministrazione e qualsiasi altro ente, associazione
od organismo preposti dal titolare al trattamento di
dati personali”
“Incaricati” (del trattamento) “le persone fisiche autorizzate a compiere
operazioni di trattamento dal titolare o dal
responsabile”
“Interessato” (al trattamento) “la persona fisica cui si riferiscono i dati personali”
DIRITTO DELL’INFORMATICA E DELLE NUOVE TECNOLOGIE - A.A. 2015/2016 - MASSIMO FARINA
Univ. CA - Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni
La tutela dei dati personali
28
O r g a n i z z a z i o n e g e r a r c h i c a
Titolare(del trattamento)
Responsabile
Incaricato
TIPICA ORGANIZZAZIONE PER IL TRATTAMENTO DEI DATI PERSONALI
I soggetti
DIRITTO DELL’INFORMATICA E DELLE NUOVE TECNOLOGIE - A.A. 2015/2016 - MASSIMO FARINA
Univ. CA - Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni
La tutela dei dati personali
29
A p p r o f o n d i m e n t o : l ’ a m m i n i s t r a t o r e d i s i s t e m a
BREVE APPROFONDIMENTO SUGLI AMMINISTRATORI DI SISTEMA
Provv. Gen. 27 novembre 2008
(G.U. n. 300 del 24 dicembre 2008 - modificato il 25 giugno 2009)
AMMINISTRATORI DI
SISTEMA
Soggetti che vigilano sul corretto
utilizzo dei sistemi informatici
di un'azienda o di
una pubblica amministrazione
L’amministratore di sistema non è semplicemente il manutentore della struttura
informatica ma è il “garante informatico”
Esisteva già nel Regolamento attuativo (DPR 318/1999) della legge 675/1996.
Esistevano due figure:
1. il preposto alla custodia della parola chiave
2. l’amministratore di sistema. (abrogato dall'art. 183, D.Lgs. n. 196/03)
I soggetti
DIRITTO DELL’INFORMATICA E DELLE NUOVE TECNOLOGIE - A.A. 2015/2016 - MASSIMO FARINA
Univ. CA - Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni
La tutela dei dati personali
30
A p p r o f o n d i m e n t o : l ’ a m m i n i s t r a t o r e d i s i s t e m a
1. Deve trattarsi di un soggetto affidabile.
“[…] a. Valutazione delle caratteristiche soggettive. L'attribuzione delle funzioni di
amministratore di sistema deve avvenire previa valutazione delle caratteristichedi esperienza, capacità e affidabilità del soggetto designato, il quale deve fornireidonea garanzia del pieno rispetto delle vigenti disposizioni in materia ditrattamento, ivi compreso il profilo relativo alla sicurezza.Anche quando le funzioni di amministratore di sistema o assimilate sonoattribuite solo nel quadro di una designazione quale incaricato del trattamentoai sensi dell'art. 30 del Codice, il titolare e il responsabile devono attenersicomunque a criteri di valutazione equipollenti a quelli richiesti per ladesignazione dei responsabili ai sensi dell'art. 29.”
2. La designazione quale amministratore di sistema deve essere individuale e
recare l'elencazione analitica degli ambiti di operatività consentiti in base al
profilo di autorizzazione assegnato.
I soggetti
DIRITTO DELL’INFORMATICA E DELLE NUOVE TECNOLOGIE - A.A. 2015/2016 - MASSIMO FARINA
Univ. CA - Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni
La tutela dei dati personali
31
A p p r o f o n d i m e n t o : l ’ a m m i n i s t r a t o r e d i s i s t e m a
3. Devono essere resi noti al pubblico e ai lavoratori gli estremi identificativi
dell’amministratore di sistema tramite menzione in un documento interno. Deve
trattarsi di un soggetto affidabile.
“[…] c. Elenco degli amministratori di sistema. Gli estremi identificativi delle personefisiche amministratori di sistema, con l'elenco delle funzioni ad essi attribuite, devonoessere riportati in un documento interno da mantenere aggiornato e disponibile in caso diaccertamenti da parte del Garante.Qualora l'attività degli amministratori di sistema riguardi anche indirettamente servizi osistemi che trattano o che permettono il trattamento di informazioni di carattere personaledei lavoratori, i titolari pubblici e privati sono tenuti a rendere nota o conoscibile l'identitàdegli amministratori di sistema nell'ambito delle proprie organizzazioni, secondo lecaratteristiche dell'azienda o del servizio, in relazione ai diversi servizi informatici cuiquesti sono preposti. Ciò, avvalendosi dell'informativa resa agli interessati ai sensi dell'art.13 del Codice nell'ambito del rapporto di lavoro che li lega al titolare, oppure tramite ildisciplinare tecnico di cui al provvedimento del Garante n. 13 del 1° marzo 2007(in G.U. 10 marzo 2007, n. 58) o, in alternativa, mediante altri strumenti di comunicazioneinterna (ad es., intranet aziendale, ordini di servizio a circolazione interna o bollettini) otramite procedure formalizzate a istanza del lavoratore. Ciò, salvi i casi in cui tali forme dipubblicità o di conoscibilità siano incompatibili con diverse previsioni dell'ordinamento chedisciplinino uno specifico settore.
I soggetti
DIRITTO DELL’INFORMATICA E DELLE NUOVE TECNOLOGIE - A.A. 2015/2016 - MASSIMO FARINA
Univ. CA - Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni
La tutela dei dati personali
32
A p p r o f o n d i m e n t o : l ’ a m m i n i s t r a t o r e d i s i s t e m a
4. Nel caso di servizi di amministrazione di sistema affidati in outsourcing il
titolare o il responsabile esterno devono conservare direttamente e
specificamente, per ogni eventuale evenienza, gli estremi identificativi delle
persone fisiche preposte quali amministratori di sistema.
5. Si deve procedere alla verifica delle relative attività mediante controllo
almeno annuale
6. Devono essere adottati sistemi idonei alla registrazione degli accessi.“[…] f. Registrazione degli accessi. Devono essere adottati sistemi idonei alla
registrazione degli accessi logici (autenticazione informatica) ai sistemi dielaborazione e agli archivi elettronici da parte degli amministratori di sistema. Leregistrazioni (access log) devono avere caratteristiche di completezza, inalterabilità epossibilità di verifica della loro integrità adeguate al raggiungimento dello scopo percui sono richieste. Le registrazioni devono comprendere i riferimenti temporali e ladescrizione dell'evento che le ha generate e devono essere conservate per uncongruo periodo, non inferiore a sei mesi”.
I soggetti
DIRITTO DELL’INFORMATICA E DELLE NUOVE TECNOLOGIE - A.A. 2015/2016 - MASSIMO FARINA
Univ. CA - Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni
La tutela dei dati personali
33
Tipologia di datiD e f i n i z i o n i : a r t . 4 d e l C o d i c e P r i v a c y
DATI PERSONALI qualunque informazione relativa a persona fisicaidentificata o identificabile, anche indirettamente,mediante riferimento a qualsiasi altrainformazione, ivi compreso un numero diidentificazione personale;
DATI SENSIBILI i dati personali idonei a rivelare l'origine razziale edetnica, le convinzioni religiose, filosofiche o di altrogenere, le opinioni politiche, l'adesione a partiti,sindacati, associazioni od organizzazioni a caratterereligioso, filosofico, politico o sindacale, nonché i datipersonali idonei a rivelare lo stato di salute e la vitasessuale;
DATI GIUDIZIARI i dati personali idonei a rivelare […] informazioni inmateria di casellario giudiziale, di anagrafe delle sanzioniamministrative dipendenti da reato e dei relativi carichipendenti, o la qualità di imputato o di indagato ai sensidegli articoli 60 e 61 del codice di procedura penale […]
DIRITTO DELL’INFORMATICA E DELLE NUOVE TECNOLOGIE - A.A. 2015/2016 - MASSIMO FARINA
Univ. CA - Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni
La tutela dei dati personali
34
D e f i n i z i o n e d i “ t r a t t a m e n t o ”
TRATTAMENTO DEI DATI
“qualunque operazione o complesso di operazioni, effettuati
anche senza l'ausilio di strumenti elettronici, concernenti la
raccolta, la registrazione, l'organizzazione, la conservazione,
la consultazione, l'elaborazione, la modificazione, la
selezione, l'estrazione, il raffronto, l'utilizzo,
l'interconnessione, il blocco, la comunicazione, la
diffusione, la cancellazione e la distruzione di dati, anche se
non registrati in una banca di dati”;
Tipologia di dati
DIRITTO DELL’INFORMATICA E DELLE NUOVE TECNOLOGIE - A.A. 2015/2016 - MASSIMO FARINA
Univ. CA - Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni
La tutela dei dati personali
35
I principi del Codice PrivacyP r i n c i p i o d i f i n a l i t à
PRINCIPIO DI FINALITÀ(art. 11, comma 1, lettera b)
I DATI PERSONALI OGGETTO DI TRATTAMENTO
DEVONO ESSERE RACCOLTI E REGISTRATI PER
DETERMINATI SCOPI. CIÒ VUOL DIRE CHE OGNI
ATTIVITÀ È CONSENTITA SOLO SE È ANCORATA
AD UNA FINALITÀ OVVERO SE INERENTE CON
L’ATTIVITÀ PRESTATA
DIRITTO DELL’INFORMATICA E DELLE NUOVE TECNOLOGIE - A.A. 2015/2016 - MASSIMO FARINA
Univ. CA - Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni
La tutela dei dati personali
36
P r i n c i p i o d i n e c e s s i t à
PRINCIPIO DI NECESSITÀ(art. 3)
I SISTEMI INFORMATIVI E I PROGRAMMI INFORMATICI
SONO CONFIGURATI RIDUCENDO AL MINIMO
L’UTILIZZAZIONE DEI DATI PERSONALI E DEI DATI
IDENTIFICATIVI, IN MODO DA ESCLUDERNE IL
TRATTAMENTO QUANDO LE FINALITÀ PERSEGUITE NEI
SINGOLI CASI POSSONO ESSERE REALIZZATE MEDIANTE,
RISPETTIVAMENTE, DATI ANONIMI OD OPPORTUNE
MODALITÀ CHE PERMETTANO DI IDENTIFICARE
L’INTERESSATO SOLO IN CASO DI NECESSITÀ.
I principi del Codice Privacy
DIRITTO DELL’INFORMATICA E DELLE NUOVE TECNOLOGIE - A.A. 2015/2016 - MASSIMO FARINA
Univ. CA - Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni
La tutela dei dati personali
37
P r i n c i p i o d i p r o p o r z i o n a l i t à
PRINCIPIO DI PROPORZIONALITÀ(art. 11, comma 1, lettera d)
I DATI PERSONALI OGGETTO DI
TRATTAMENTO DEVONO ESSERE
PERTINENTI, COMPLETI E NON ECCEDENTI
RISPETTO ALLE FINALITÀ PER LE QUALI
SONO RACCOLTI O SUCCESSIVAMENTE
TRATTATI
I principi del Codice Privacy
DIRITTO DELL’INFORMATICA E DELLE NUOVE TECNOLOGIE - A.A. 2015/2016 - MASSIMO FARINA
Univ. CA - Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni
La tutela dei dati personali
38
P r i n c i p i o d i i n d i s p e n s a b i l i t à
PRINCIPIO DI INDISPENSABILITÀ(art. 22, comma 3)
I SOGGETTI PUBBLICI POSSONO TRATTARE
SOLO I DATI SENSIBILI E GIUDIZIARI
INDISPENSABILI PER SVOLGERE ATTIVITÀ
ISTITUZIONALI CHE NON POSSONO ESSERE
ADEMPIUTE, CASO PER CASO, MEDIANTE IL
TRATTAMENTO DI DATI ANONIMI O DI DATI
PERSONALI DI NATURA DIVERSA
I principi del Codice Privacy
DIRITTO DELL’INFORMATICA E DELLE NUOVE TECNOLOGIE - A.A. 2015/2016 - MASSIMO FARINA
Univ. CA - Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni
La tutela dei dati personali
39
I principali adempimenti
• Notificazione
• Autorizzazione
ADEMPIMENTI VERSO
L’AUTORITÀ GARANTE
• Informativa
• Richiesta di consensoADEMPIMENTI VERSO
GLI INTERESSATI
• Misure minime di sicurezza
ADEMPIMENTI INTERNI
(ORGANIZZATIVI)
DIRITTO DELL’INFORMATICA E DELLE NUOVE TECNOLOGIE - A.A. 2015/2016 - MASSIMO FARINA
Univ. CA - Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni
La tutela dei dati personali
40
La notificazioneA r t . 3 7 d e l C o d i c e P r i v a c y
a) dati genetici, biometrici o dati che indicano la posizione
geografica di persone od oggetti mediante una rete di
comunicazione elettronica;
b) dati idonei a rivelare lo stato di salute e la vita sessuale, trattati a fini
di procreazione assistita, prestazione di servizi sanitari per via
telematica relativi a banche di dati o alla fornitura di beni, indagini
epidemiologiche, rilevazione di malattie mentali, infettive e diffusive,
sieropositività, trapianto di organi e tessuti e monitoraggio della
spesa sanitaria;
c) dati idonei a rivelare la vita sessuale o la sfera psichica trattati da
associazioni, enti od organismi senza scopo di lucro, anche non
riconosciuti, a carattere politico, filosofico, religioso o sindacale;
Quando si notifica?
DIRITTO DELL’INFORMATICA E DELLE NUOVE TECNOLOGIE - A.A. 2015/2016 - MASSIMO FARINA
Univ. CA - Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni
La tutela dei dati personali
41
A r t . 3 7 d e l C o d i c e P r i v a c y
d) dati trattati con l'ausilio di strumenti elettronici volti a definire il profilo o la
personalità dell'interessato, o ad analizzare abitudini o scelte di consumo,
ovvero a monitorare l'utilizzo di servizi di comunicazione elettronica con
esclusione dei trattamenti tecnicamente indispensabili per fornire i servizi
medesimi agli utenti;
e) dati sensibili registrati in banche di dati a fini di selezione del personale per
conto terzi, nonché dati sensibili utilizzati per sondaggi di opinione, ricerche
di mercato e altre ricerche campionarie;
f) dati registrati in apposite banche di dati gestite con strumenti elettronici e
relative al rischio sulla solvibilità economica, alla situazione patrimoniale, al
corretto adempimento di obbligazioni, a comportamenti illeciti o fraudolenti.
1-bis. La notificazione relativa al trattamento dei dati di cui al comma 1 non e'
dovuta se relativa all'attività dei medici di famiglia e dei pediatri di libera scelta,
in quanto tale funzione e' tipica del loro rapporto professionale con il Servizio
sanitario nazionale.
La notificazione
DIRITTO DELL’INFORMATICA E DELLE NUOVE TECNOLOGIE - A.A. 2015/2016 - MASSIMO FARINA
Univ. CA - Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni
La tutela dei dati personali
42
A r t . 3 7 d e l C o d i c e P r i v a c y
2. Il Garante può individuare altri trattamenti suscettibili di recare pregiudizio
ai diritti e alle libertà dell'interessato, in ragione delle relative modalità o della
natura dei dati personali, con proprio provvedimento adottato anche ai sensi
dell'articolo 17. Con analogo provvedimento pubblicato sulla Gazzetta ufficiale
della Repubblica italiana il Garante può anche individuare, nell'ambito dei
trattamenti di cui al comma 1, eventuali trattamenti non suscettibili di recare
detto pregiudizio e pertanto sottratti all'obbligo di notificazione.
3. La notificazione e' effettuata con unico atto anche quando il trattamento
comporta il trasferimento all'estero dei dati.
4. Il Garante inserisce le notificazioni ricevute in un registro dei trattamenti
accessibile a chiunque e determina le modalità per la sua consultazione gratuita
per via telematica, anche mediante convenzioni con soggetti pubblici o presso il
proprio Ufficio. Le notizie accessibili tramite la consultazione del registro
possono essere trattate per esclusive finalità di applicazione della disciplina in
materia di protezione dei dati personali.
La notificazione
DIRITTO DELL’INFORMATICA E DELLE NUOVE TECNOLOGIE - A.A. 2015/2016 - MASSIMO FARINA
Univ. CA - Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni
La tutela dei dati personali
43
A r t . 3 8 d e l C o d i c e P r i v a c y
[II] La notificazione è validamente effettuata solo se
è trasmessa per via telematica utilizzando il
modello predisposto dal Garante e osservando le
prescrizioni da questi impartite, anche per quanto
riguarda le modalità di sottoscrizione con firma
digitale e di conferma del ricevimento della
notificazione. [Tramite il sito www.garanteprivacy.it]
Come si notifica?
La notificazione
DIRITTO DELL’INFORMATICA E DELLE NUOVE TECNOLOGIE - A.A. 2015/2016 - MASSIMO FARINA
Univ. CA - Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni
La tutela dei dati personali
44
A r t . 3 8 d e l C o d i c e P r i v a c y
[IV] Una nuova notificazione è richiesta solo anteriormente alla
cessazione del trattamento o al mutamento di taluno degli elementi da
indicare nella notificazione medesima
Quante volte si notifica?
Art. 163. Omessa o incompleta notificazione
Chiunque, essendovi tenuto, non provvede tempestivamente alla
notificazione ai sensi degli articoli 37 e 38, ovvero indica in essa notizie
incomplete, e' punito con la sanzione amministrativa del pagamento di
una somma da ventimila euro a centoventimila euro.
Sanzione per omessa notificazione
La notificazione
DIRITTO DELL’INFORMATICA E DELLE NUOVE TECNOLOGIE - A.A. 2015/2016 - MASSIMO FARINA
Univ. CA - Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni
La tutela dei dati personali
45
AutorizzazioneA r t . 2 6 d e l C o d i c e P r i v a c y
1. I dati sensibili possono essere oggetto di trattamento solo con il
consenso scritto dell'interessato e previa autorizzazione del Garante,
nell'osservanza dei presupposti e dei limiti stabiliti dal presente codice,
nonché dalla legge e dai regolamenti.
2. Il Garante comunica la decisione adottata sulla richiesta di
autorizzazione entro quarantacinque giorni, decorsi i quali la mancata
pronuncia equivale a rigetto. Con il provvedimento di autorizzazione,
ovvero successivamente, anche sulla base di eventuali verifiche, il
Garante puo' prescrivere misure e accorgimenti a garanzia
dell'interessato, che il titolare del trattamento e' tenuto ad adottare.
Previsto per tutti i titolari che trattano dati sensibili e giudiziari
DIRITTO DELL’INFORMATICA E DELLE NUOVE TECNOLOGIE - A.A. 2015/2016 - MASSIMO FARINA
Univ. CA - Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni
La tutela dei dati personali
46
A u t o r i z z a z i o n i g e n e r a l i
• Autorizzazione generale n. 1/2014 del 11 dicembre 2014 (scad. 31 dicembre 2016)
“Trattamento dei dati sensibili nei rapporti di lavoro”
• Autorizzazione generale n. 2/2014 del 11 dicembre 2014 (scad. 31 dicembre 2016)
“Trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale”
• Autorizzazione generale n. 3/2014 del 11 dicembre 2014 (scad. 31 dicembre 2016)
“Trattamento dei dati sensibili da parte degli organismi di tipo associativo e delle
fondazioni”
• Autorizzazione generale n. 4/2014 del 11 dicembre 2014 (scad. 31 dicembre 2016)
“Trattamento dei dati sensibili da parte dei liberi professionisti”
Tenuto conto dell’altissimo numero di soggetti interessati, il legislatore ha previsto le “Autorizzazioni Generali” concesse a
determinate categorie di titolari o di trattamenti
Autorizzazione
DIRITTO DELL’INFORMATICA E DELLE NUOVE TECNOLOGIE - A.A. 2015/2016 - MASSIMO FARINA
Univ. CA - Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni
La tutela dei dati personali
47
A u t o r i z z a z i o n i g e n e r a l i
• Autorizzazione generale n. 5/2014 del 11 dicembre 2014 (scad. 31 dicembre 2016)
“Trattamento dei dati sensibili da parte di diverse categorie di titolari”
• Autorizzazione generale n. 6/2014 del 11 dicembre 2014 (scad. 31 dicembre 2016)
“Trattamento dei dati sensibili da parte degli investigatori privati”
• Autorizzazione generale n. 7/2014 del 11 dicembre 2014 (scad. 31 dicembre 2016)
“Trattamento dei dati a carattere giudiziario da parte di privati, di enti pubblici
economici e di soggetti pubblici”
• Autorizzazione generale n. 8/2014 del 11 dicembre 2014 (scad. 31 dicembre 2016)
“Trattamento dei dati genetici”
• Autorizzazione generale n. 9/2014 del 11 dicembre 2014 (scad. 31 dicembre 2016)
“Trattamento dei dati personali effettuato per scopi di ricerca scientifica”
Autorizzazione
DIRITTO DELL’INFORMATICA E DELLE NUOVE TECNOLOGIE - A.A. 2015/2016 - MASSIMO FARINA
Univ. CA - Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni
La tutela dei dati personali
48
InformativaA r t . 1 3 d e l C o d i c e P r i v a c y
L'interessato o la persona presso la quale sonoraccolti i dati personali sono previamenteinformati oralmente o per iscritto circa
I soggetti che
effettueranno
il trattamento
La finalità del
trattamento
La modalità del
trattamento
I diritti dell’ interessato
DIRITTO DELL’INFORMATICA E DELLE NUOVE TECNOLOGIE - A.A. 2015/2016 - MASSIMO FARINA
Univ. CA - Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni
La tutela dei dati personali
49
F o r m a d e l l ’ i n f o r m a t i v a
Art. 13
L'interessato o la persona presso la quale sono raccolti i
dati personali sono previamente informati oralmente o
per iscritto […]
LA FORMA È LIBERA
Informativa
DIRITTO DELL’INFORMATICA E DELLE NUOVE TECNOLOGIE - A.A. 2015/2016 - MASSIMO FARINA
Univ. CA - Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni
La tutela dei dati personali
50
S a n z i o n e
Art. 161
La violazione delle disposizioni di cui
all'articolo 13 è punita con la sanzione
amministrativa del pagamento di una somma
da seimila euro a trentaseimila euro
Sanzione
Informativa
DIRITTO DELL’INFORMATICA E DELLE NUOVE TECNOLOGIE - A.A. 2015/2016 - MASSIMO FARINA
Univ. CA - Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni
La tutela dei dati personali
51
ConsensoC o n s e n s o d e l l ’ i n t e r e s s a t o
DEFINIZIONE: libera manifestazione della volontàdell'interessato con cui egli accetta espressamente undeterminato trattamento dei propri dati personali, previainformativa da chi gestisce i dati.
INFORMATO: è invalido il consenso non
preceduto da informativa
(Garante Provv. 28 maggio 1997)
ESPRESSO: non può essere implicito, né
per comportamenti concludenti (Garante
Provv. 25 dicembre 1998)
LIBERO: non costretto e non condizionato
(Garante Provv. 28 maggio 1997)
Caratteristiche
del consenso
DIRITTO DELL’INFORMATICA E DELLE NUOVE TECNOLOGIE - A.A. 2015/2016 - MASSIMO FARINA
Univ. CA - Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni
La tutela dei dati personali
52
C o n s e n s o d e l l ’ i n t e r e s s a t o
DOCUMENTATO PER ISCRITTO: annotato, trascritto,
riportato dal titolare o dal responsabile o da un incaricato
del trattamento su un registro o un atto o un verbale. In
caso di dati sensibili occorre il consenso rilasciato per
iscritto dall'interessato
SPECIFICO: è invalido se generico
Consenso
Caratteristiche del consenso
DIRITTO DELL’INFORMATICA E DELLE NUOVE TECNOLOGIE - A.A. 2015/2016 - MASSIMO FARINA
Univ. CA - Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni
La tutela dei dati personali
53
Tr a t t a m e n t o s e n z a c o n s e n s o
a) è necessario per adempiere ad un obbligo previsto dalla legge, da un regolamento o dalla
normativa comunitaria;
b) è necessario per eseguire obblighi derivanti da un contratto del quale e' parte l'interessato
o per adempiere, prima della conclusione del contratto, a specifiche richieste
dell'interessato;
c) riguarda dati provenienti da pubblici registri, elenchi, atti o documenti conoscibili da
chiunque, fermi restando i limiti e le modalità che le leggi, i regolamenti o la normativa
comunitaria stabiliscono per la conoscibilità e pubblicità dei dati;
d) riguarda dati relativi allo svolgimento di attività economiche, trattati nel rispetto della
vigente normativa in materia di segreto aziendale e industriale;
e) è necessario per la salvaguardia della vita o dell'incolumità fisica di un terzo. Se la
medesima finalità riguarda l'interessato e quest'ultimo non può prestare il proprio
consenso per impossibilità fisica, per incapacità di agire o per incapacità di intendere o di
volere, il consenso e' manifestato da chi esercita legalmente la potestà, ovvero da un
prossimo congiunto, da un familiare, da un convivente o, in loro assenza, dal responsabile
della struttura presso cui dimora l'interessato. Si applica la disposizione di cui all'articolo
82, comma 2;
Consenso
DIRITTO DELL’INFORMATICA E DELLE NUOVE TECNOLOGIE - A.A. 2015/2016 - MASSIMO FARINA
Univ. CA - Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni
La tutela dei dati personali
54
Tr a t t a m e n t o s e n z a c o n s e n s o
f) con esclusione della diffusione, e' necessario ai fini dello svolgimento delle
investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397, o, comunque, per far
valere o difendere un diritto in sede giudiziaria, sempre che i dati siano trattati
esclusivamente per tali finalità e per il periodo strettamente necessario al loro
perseguimento, nel rispetto della vigente normativa in materia di segreto aziendale e
industriale;
g) con esclusione della diffusione, e' necessario, nei casi individuati dal Garante sulla
base dei principi sanciti dalla legge, per perseguire un legittimo interesse del titolare o
di un terzo destinatario dei dati, qualora non prevalgano i diritti e le libertà fondamentali,
la dignità o un legittimo interesse dell'interessato;
h) con esclusione della comunicazione all'esterno e della diffusione, e' effettuato da
associazioni, enti od organismi senza scopo di lucro, anche non riconosciuti, in
riferimento a soggetti che hanno con essi contatti regolari o ad aderenti, per il
perseguimento di scopi determinati e legittimi individuati dall'atto costitutivo, dallo
statuto o dal contratto collettivo, e con modalità di utilizzo previste espressamente con
determinazione resa nota agli interessati all'atto dell'informativa ai sensi dell'articolo 13;
Consenso
DIRITTO DELL’INFORMATICA E DELLE NUOVE TECNOLOGIE - A.A. 2015/2016 - MASSIMO FARINA
Univ. CA - Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni
La tutela dei dati personali
55
Tr a t t a m e n t o s e n z a c o n s e n s o
i) e' necessario, in conformità ai rispettivi codici di deontologia di cui all'allegato A),
per esclusivi scopi scientifici o statistici, ovvero per esclusivi scopi storici presso
archivi privati dichiarati di notevole interesse storico ai sensi dell'articolo 6, comma
2, del decreto legislativo 29 ottobre 1999, n. 490, di approvazione del testo unico
in materia di beni culturali e ambientali o, secondo quanto previsto dai medesimi
codici, presso altri archivi privati.
i-bis) riguarda dati contenuti nei curricula, nei casi di cui all'articolo 13, comma 5-bis;
i-ter) con esclusione della diffusione e fatto salvo quanto previsto dall'articolo 130 del
presente codice, riguarda la comunicazione di dati tra società, enti o associazioni
con società controllanti, controllate o collegate ai sensi dell'articolo 2359 del
codice civile ovvero con società sottoposte a comune controllo, nonché tra
consorzi, reti di imprese e raggruppamenti e associazioni temporanei di imprese
con i soggetti ad essi aderenti, per le finalità amministrativo contabili, come
definite all'articolo 34, comma 1-ter, e purché queste finalità siano previste
espressamente con determinazione resa nota agli interessati all'atto
dell'informativa di cui all'articolo 13.
Consenso
DIRITTO DELL’INFORMATICA E DELLE NUOVE TECNOLOGIE - A.A. 2015/2016 - MASSIMO FARINA
Univ. CA - Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni
La tutela dei dati personali
56
MISURE MINIME DI SICUREZZA
MISURE IDONEE DI SICUREZZA
Misure minime di sicurezzaD i s c i p l i n a r e t e c n i c o
DIRITTO DELL’INFORMATICA E DELLE NUOVE TECNOLOGIE - A.A. 2015/2016 - MASSIMO FARINA
Univ. CA - Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni
La tutela dei dati personali
57
D i s c i p l i n a r e t e c n i c o
CARATTERISTICHE DELLE
CREDENZIALI DI
AUTENTICAZIONE
1. Lunghezza minima della password
di 8 caratteri
2. non riconducibile al soggetto
GESTIONE DELLE CREDENZIALI
DI AUTENTICAZIONE
1. Modifica dopo il primo utilizzo, ogni 6
o 3 mesi a seconda dei dati trattati
2. Disattivazione in caso di non uso per
almeno 6 mesi o di perdita della
qualità che permette l’accesso ai dati
3. Garanzia della disponibilità dei dati o
degli strumenti elettronici in caso di
prolungata assenza o impedimento
dell’incaricato che goda delle
credenziali di autenticazione
SISTEMA DI AUTORIZZAZIONE 1. Verifica almeno annuale delle
condizioni per l’autorizzazione
Misure minime di sicurezza
DIRITTO DELL’INFORMATICA E DELLE NUOVE TECNOLOGIE - A.A. 2015/2016 - MASSIMO FARINA
Univ. CA - Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni
La tutela dei dati personali
58
D i s c i p l i n a r e t e c n i c o
PROTEZIONE CONTRO IL
RISCHIO DI INTRUSIONE
1. Attivazione di idonei strumenti
elettronici da aggiornare con
cadenza almeno semestrale.
AGGIORNAMENTI
PERIODICI DEI PROGRAMMI
PER ELABORATORE
1. Almeno annuale per dati comuni
2. Almeno semestrale per dati sensibili
e/o giudiziari
BACK UP1. Salvataggio dei dati con frequenza
almeno settimanale
DISASTER RECOVERY
1. Ripristino entro il termine massimo di
una settimana
Misure minime di sicurezza
DIRITTO DELL’INFORMATICA E DELLE NUOVE TECNOLOGIE - A.A. 2015/2016 - MASSIMO FARINA
Univ. CA - Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni
La tutela dei dati personali
59
M i s u r e m i n i m e v s . m i s u r e i d o n e e
È NECESSARIO PRESTARE ATTENZIONE ALLA DISTINZIONE TRA MISURE MINIME DI SICUREZZA E MISURE IDONEE DI SICUREZZA
art. 4 comma 3 del D.Lgs. 196/03:
“Il complesso delle misure tecniche,informatiche, organizzative, logistiche eprocedurali di sicurezza che configuranoil livello minimo di protezione richiestoin relazione ai rischi previsti nell'articolo31”.
Nessuna definizione normativa:
Sono individuabili sulla base dellesoluzioni tecniche concretamentedisponibili sul mercato, mentre lemisure minime sono puntualmenteindividuate dalla legge (in particolaredall'allegato B)”.
Misure minime di sicurezza
DIRITTO DELL’INFORMATICA E DELLE NUOVE TECNOLOGIE - A.A. 2015/2016 - MASSIMO FARINA
Univ. CA - Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni
La tutela dei dati personali
60
La responsabilita’I l c o d i c e p r e v e d e t r e t i p i
• Artt. 161- 166
Amministrativa
• Art. 15
Civile
• Artt. 167- 172
Penale
DIRITTO DELL’INFORMATICA E DELLE NUOVE TECNOLOGIE - A.A. 2015/2016 - MASSIMO FARINA
Univ. CA - Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni
La tutela dei dati personali
61
A m m i n i s t r a t i v a : a r t t . 1 6 1 - 1 6 6
TITOLO III - Sanzioni.
Capo I - Violazioni amministrative
L'organo competente ad irrogare le sanzioni amministrative è il Garante. Si osservano, in quanto applicabili, le disposizioni della legge 24 novembre 1981, n. 689, e
successive modificazioni.
Art. 161
Omessa o inidonea informativa
all’interessato
La violazione delle disposizioni di cui all'articolo 13 è
punita con la sanzione amministrativa del pagamento
di una somma da seimila euro a trentaseimila euro
Art. 163
Omessa o incompleta
notificazione al garante
sanzione amministrativa del pagamento di una somma
da ventimila euro a centoventimila euro
Art. 164
Omesso invio di informazioni o
documenti richiesti dal garante
sanzione amministrativa del pagamento di una somma
da diecimila euro a sessantamila euro
La responsabilita’
DIRITTO DELL’INFORMATICA E DELLE NUOVE TECNOLOGIE - A.A. 2015/2016 - MASSIMO FARINA
Univ. CA - Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni
La tutela dei dati personali
62
C i v i l e
Responsabilità civile
Art. 15
Danni cagionati per effetto del trattamento
Chiunque cagiona danno ad altri per effetto
del trattamento di dati personali è tenuto al
risarcimento ai sensi dell'articolo 2050 del
codice civile.
Art. 2050 c.c.
Responsabilità per
l'esercizio di attività
pericolose.
Chiunque cagiona danno ad altri nello
svolgimento di un’attività pericolosa, per sua
natura o per natura dei mezzi adoperati, è
tenuto al risarcimento, se non prova di avere
adottato tutte le misure idonee a evitare il
danno
La responsabilita’
DIRITTO DELL’INFORMATICA E DELLE NUOVE TECNOLOGIE - A.A. 2015/2016 - MASSIMO FARINA
Univ. CA - Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni
La tutela dei dati personali
63
P e n a l e : a r t t . 1 6 7 - 1 7 2
TITOLO III - Sanzioni.
Capo II – Illeciti penali
Art. 167 - Trattamento illecito di dati
personali
1. se dal fatto deriva nocumento, con la reclusione da sei
a diciotto mesi
2. se il fatto consiste nella comunicazione o diffusione,
con la reclusione da sei a ventiquattro mesi.
Art. 168 - Falsità nelle dichiarazioni
e notificazioni al garante
e' punito, salvo che il fatto costituisca più grave reato, con
la reclusione da sei mesi a tre anni
Art. 169 - Omissione di adozione
delle misure minime di sicurezza
arresto sino a due anni.
Ravvedimento operoso: all'autore è impartita una
prescrizione fissando un termine per la regolarizzazione. Nei
sessanta giorni successivi allo scadere del termine, se risulta
l'adempimento alla prescrizione, l'autore del reato è ammesso
dal Garante a pagare una somma pari al quarto del massimo
della sanzione stabilita per la violazione amministrativa
art. 170 - Inosservanza dei
provvedimenti del garantereclusione da tre mesi a due anni
La responsabilita’
DIRITTO DELL’INFORMATICA E DELLE NUOVE TECNOLOGIE - A.A. 2015/2016 - MASSIMO FARINA
Univ. CA - Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni
La tutela dei dati personali
64
Forme di tutela
• GIUDICE ORDINARIO
Tutela giurisdizionale
• GARANTE PRIVACY
Tutela amministrativa
• L’UNICA FORMA DI TUTELA AMMESSA È QUELLA DAVANTI AL
GIUDICE ORDINARIO
Risarcimento danni
DIRITTO DELL’INFORMATICA E DELLE NUOVE TECNOLOGIE - A.A. 2015/2016 - MASSIMO FARINA
Univ. CA - Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni
La tutela dei dati personali
65
NOTA: “la raccolta, la registrazione, la conservazione e, in generale, l'utilizzo
di immagini configura un trattamento di dati personali cioè di informazioni
relative a persone fisiche identificate o identificabili, anche indirettamente,
mediante riferimento a qualsiasi altra informazione”
Videosorveglianza L e f o n t i
FONTICoordinamento con
le altre fonti che regolano i singoli
settori: p.es. Statuto dei Lavoratori
CODICE DELLA PRIVACY
(D.LGS. 196/03)
Provvedimento in materia di
videosorveglianza
8 aprile 2010(G.U. n. 99 del
29/04/2010)
DIRITTO DELL’INFORMATICA E DELLE NUOVE TECNOLOGIE - A.A. 2015/2016 - MASSIMO FARINA
Univ. CA - Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni
La tutela dei dati personali
66
A l c u n e o s s e r v a z i o n i
“è in crescita costante il ricorso alle telecamere
di controllo in aree aperte al pubblico e in aree
private così come l'utilizzo di tecnologie
sofisticate e sistemi miniaturizzati”
“In continuo aumento anche l'impiego di
dispositivi miniaturizzati o camuffati”
Videosorveglianza
DIRITTO DELL’INFORMATICA E DELLE NUOVE TECNOLOGIE - A.A. 2015/2016 - MASSIMO FARINA
Univ. CA - Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni
La tutela dei dati personali
67
“Alcune amministrazioni comunali
indicano indebitamente, come scopo
della sorveglianza, finalità di sicurezza
pubblica, prevenzione e accertamento dei
reati che competono invece solo ad
organi giudiziari o a forze armate o di
polizia”
Il Decreto Legge “antistupro” del 23 febbraio 2009,
ha attribuito ai sindaci il compito di sovrintendere
alla vigilanza ed all'adozione di atti che sono loro
attribuiti dalla legge e dai regolamenti in materia di
ordine e sicurezza pubblica, nonché allo
svolgimento delle funzioni affidati ad essi dalla
legge in materia di sicurezza e di polizia giudiziaria.
F i n a l i t à
PRINCIPIO DI FINALITÀ: Chi installa telecamere deve perseguire finalità determinate e di propria pertinenza.
1) la sicurezza urbana, l'ordine e la sicurezza pubblica,
la prevenzione, l’accertamento o la
repressione dei reati
2) la protezione della proprietà
3) la rilevazione, prevenzione e controllo delle
infrazioni da parte dei soggetti pubblici a ciò preposti dalla
legge
4) l’acquisizione di prove
Videosorveglianza
DIRITTO DELL’INFORMATICA E DELLE NUOVE TECNOLOGIE - A.A. 2015/2016 - MASSIMO FARINA
Univ. CA - Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni
La tutela dei dati personali
68
Trattamento pertinente e non eccedente, rispetto alle finalità perseguite; ciò si
concretizza, ad esempio, nella scelta delle modalità di ripresa e dislocazione
delle telecamere (fisse o brandeggiabili, dotate o meno di zoom).
4.5. Utilizzo di web cam o camera-on-line a scopi promozionali-turistici o
pubblicitari
Le attività di rilevazione di immagini a fini promozionali-turistici o pubblicitari,
attraverso web cam devono avvenire con modalità che rendano non
identificabili i soggetti ripresi. Ciò in considerazione delle peculiari modalità del
trattamento, dalle quali deriva un concreto rischio del verificarsi di un
pregiudizio rilevante per gli interessati: le immagini raccolte tramite tali sistemi,
infatti, vengono inserite direttamente sulla rete Internet, consentendo a
chiunque navighi sul web di visualizzare in tempo reale i soggetti ripresi e di
utilizzare le medesime immagini anche per scopi diversi dalle predette finalità
promozionali-turistiche o pubblicitarie perseguite dal titolare del trattamento.
P r i n c i p i o d i p e r t i n e n z a e n o n e c c e d e n z a
Videosorveglianza
DIRITTO DELL’INFORMATICA E DELLE NUOVE TECNOLOGIE - A.A. 2015/2016 - MASSIMO FARINA
Univ. CA - Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni
La tutela dei dati personali
69
Il Provvedimento del 2010 introduce una nuova tipologia
di informativa, per i soggetti privati che effettuano
trattamenti di immagini con sistemi di videosorveglianza
collegati con le forze di polizia;
Rimane anche l’informativa già adottata con il
Provvedimento del 2004
I n f o r m a t i v a ( s e m p l i f i c a t a )
Tutti coloro che transitano nelle aree videocontrollate
devono essere opportunamente informati della presenza di
telecamere attraverso l’affissione di appositi cartelli
chiaramente visibili ed esplicativi degli elementi previsti
all’art. 13 del d.lgs. 196/03, anche quando il sistema di
videosorveglianza è attivo in ORARIO NOTTURNO.
Videosorveglianza
DIRITTO DELL’INFORMATICA E DELLE NUOVE TECNOLOGIE - A.A. 2015/2016 - MASSIMO FARINA
Univ. CA - Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni
La tutela dei dati personali
70
deve essere collocato prima del raggio di azione della telecamera, anche nelle
sue immediate vicinanze e non necessariamente a contatto con gli impianti;
deve avere un formato ed un posizionamento tale da essere chiaramente visibile
in ogni condizione di illuminazione ambientale, anche quando il sistema di
videosorveglianza sia eventualmente attivo in orario notturno;
può inglobare un simbolo o una stilizzazione di esplicita e immediata
comprensione, eventualmente diversificati al fine di informare se le immagini sono
solo visionate o anche registrate.
P o s i z i o n a m e n t o d e l l ’ i n f o r m a t i v a
Videosorveglianza
NOTAIl Garante ritiene auspicabile chel'informativa, resa in forma semplificatarinvii a un testo completo contenentetutti gli elementi di cui all'art. 13,comma 1, del Codice
DIRITTO DELL’INFORMATICA E DELLE NUOVE TECNOLOGIE - A.A. 2015/2016 - MASSIMO FARINA
Univ. CA - Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni
La tutela dei dati personali
71
(Art. 3.1.1 - Provv. 8 apr. 2010)
Trattamenti svolti dalle forze di polizia, dagli organi di pubblica sicurezza e
da altri soggetti pubblici per finalità di tutela dell’ordine e della
sicurezza pubblica, prevenzione, accertamento o repressione dei
reati.
NOTA: L’assenza dell’obbligo non significa divieto; infatti, per i titolari
dei predetti trattamenti è espressamente prevista la possibilità di “rendere
nota la rilevazione di immagini tramite impianti di videosorveglianza
attraverso forme anche semplificate di informativa, che evidenzino,
mediante l'apposizione nella cartellonistica di riferimenti grafici, simboli,
diciture, l'utilizzo di tali sistemi per finalità di tutela dell’ordine e della
sicurezza pubblica, prevenzione, accertamento o repressione dei reati”
SANZIONE AMMINISTRATIVA da seimila a trentaseimila euro
E s e n z i o n i d a l l ’ o b b l i g o d i i n f o r m a t i v a
Videosorveglianza
DIRITTO DELL’INFORMATICA E DELLE NUOVE TECNOLOGIE - A.A. 2015/2016 - MASSIMO FARINA
Univ. CA - Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni
La tutela dei dati personali
72
“Il sistema impiegato deve essere programmato in modo da operare al momentoprefissato l'integrale cancellazione automatica delle informazioni allo scaderedel termine previsto da ogni supporto, anche mediante sovraregistrazione, conmodalità tali da rendere non riutilizzabili i dati cancellati”
SANZIONE AMMINISTRATIVA da trentamila a centottantamila euro
Te m p o d i c o n s e r v a z i o n e e r e g i s t r a z i o n e d e l l e i m m a g i n i
“POCHE ORE O, AL MASSIMO, VENTIQUATTRO ORE SUCCESSIVE ALLA RILEVAZIONE”
I C
om
un
i
Conservazione dei dati fino “ai sette giorni successivi alla rilevazione delle informazioni e delle immagini raccolte mediante l’uso di sistemi di videosorveglianza, fatte salve speciali esigenze di ulteriore conservazione”.
Me
zzi d
i tr
as
po
rto
Peculiari esigenze tecniche
Ban
ch
e Particolare rischiosità dell'attività svolta dal titolare del trattamento (le banche, per le quali può risultare giustificata l’esigenza di identificare gli autori di un sopralluogo nei giorni precedenti una rapina)
Videosorveglianza
DIRITTO DELL’INFORMATICA E DELLE NUOVE TECNOLOGIE - A.A. 2015/2016 - MASSIMO FARINA
Univ. CA - Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni
La tutela dei dati personali
73
S e t t o r i s p e c i f i c i ( a r t . 4 )
SISTEMI INTEGRATI DI
VIDEOSORVEGLIANZA
RAPPORTI DI LAVORO E
ISTITUTI SCOLASTICI
OSPEDALI, LUOGHI DI CURA E
WEBCAM A SCOPO
TURISTICO
TRASPORTO PUBBLICO
E TAXI
VIDEOSORVEGLIANZA
Videosorveglianza
DIRITTO DELL’INFORMATICA E DELLE NUOVE TECNOLOGIE - A.A. 2015/2016 - MASSIMO FARINA
Univ. CA - Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni
La tutela dei dati personali
74
Decisione del Garante Privacy del 26 febbraio 2009: Non è lecito installaretelecamere che possano controllare i lavoratori, anche in aree e locali dove sitrovino saltuariamente (p. es: Aree di carico e scarico)
R a p p o r t i d i l a v o r o ( S t a t u t o d e i l a v o r a t o r i )
Divieto di utilizzo di mezzi di
sorveglianza a distanza
per finalità di mero
controllo
Divieto assoluto di
ripresa negli ambienti non destinati al
lavoro, quali spogliatoi,
docce armadietti e
luoghi ricreativi
Gli impianti e le apparecchiature di controllo che siano
richiesti da esigenze organizzative e
produttive, ovvero dalla sicurezza del
lavoro, possono essere installati soltanto previo accordo con le rappresentanze
sindacali aziendali
Nell’ipotesi in cui il datore di lavoro
intenda promuovere la propria attività
imprenditoriale con riprese televisive
sui luoghi di lavoro, rimane fermo il
diritto del lavoratore di
opporsi alle riprese
Videosorveglianza
DIRITTO DELL’INFORMATICA E DELLE NUOVE TECNOLOGIE - A.A. 2015/2016 - MASSIMO FARINA
Univ. CA - Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni
La tutela dei dati personali
75
Il mancato rispetto di quanto sopra prescritto comporta l'applicazione dellasanzione amministrativa del pagamento di una somma da trentamila euro acentottantamila euroL'utilizzo di sistemi di videosorveglianza preordinati al controllo a distanza deilavoratori o ad effettuare indagini sulle loro opinioni integra la fattispecie direato prevista dall'art. 171 del Codice (ammenda da lire 300.000 a lire3.000.000 o con l'arresto da 15 giorni ad un anno).
LE REGOLE DETTATE DAL DECALOGO SI OSSERVANO ANCHE
all'interno degli edifici
in altri contesti in cui è resa la prestazione di lavoro (ad esempio, nei cantieri edili o
con riferimento alle telecamere installate su veicoli adibiti al servizio di linea per il
trasporto di persone)
o su veicoli addetti al servizio di noleggio con conducente e servizio di piazza (taxi)
per trasporto di persone (le quali non devono riprendere in modo stabile la
postazione di guida, e le cui immagini, raccolte per finalità di sicurezza e di eventuale
accertamento di illeciti, non possono essere utilizzate per controlli, anche indiretti,
sull'attività lavorativa degli addetti).
R a p p o r t i d i l a v o r o ( S t a t u t o d e i l a v o r a t o r i )
Videosorveglianza
DIRITTO DELL’INFORMATICA E DELLE NUOVE TECNOLOGIE - A.A. 2015/2016 - MASSIMO FARINA
Univ. CA - Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni
La tutela dei dati personali
76
È FATTO DIVIETO ASSOLUTO DI VISIONE
DELLE IMMAGINI AI SOGGETTI ESTRANEI
Il mancato rispetto di quanto sopra prescritto comporta l'applicazione dellasanzione amministrativa di una somma da trentamila euro a centottantamilaeuro.La diffusione di immagini in violazione dell'art. 22, comma 8, comportal'applicazione della sanzione amministrativa da diecimila euro a centoventimila,e della reclusione da uno a tre anni.
O s p e d a l i e l u o g h i d i c u r a ( d a t i s e n s i b i l i )
Le riprese devono essere limitate ai casi di stretta indispensabilità
Sono autorizzati ad accedere alle immagini solo i soggetti
appartenenti al personale medico ed infermieristico
Possono, inoltre, accedere alle immagini i familiari di
ricoverati in reparti dove non sia consentito agli stessi di
recarsi personalmente (per esempio, rianimazione)
Videosorveglianza
DIRITTO DELL’INFORMATICA E DELLE NUOVE TECNOLOGIE - A.A. 2015/2016 - MASSIMO FARINA
Univ. CA - Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni
La tutela dei dati personali
77
Le riprese devono essere circoscritte
alle sole aree interessate ed attivate
negli orari di chiusura degli istituti
Spesso in tali contesti il trattamento
riguarderebbe soggetti minori
SANZIONIIl mancato rispetto delle suddette regole comportal'applicazione della sanzione amministrativa da trentamilaeuro a centottantamila euro
I s t i t u t i s c o l a s t i c i
Videosorveglianza
DIRITTO DELL’INFORMATICA E DELLE NUOVE TECNOLOGIE - A.A. 2015/2016 - MASSIMO FARINA
Univ. CA - Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni
La tutela dei dati personali
78
FINALITÀ“situazioni di particolare rischio”
OBBLIGO DI INFORMATIVA“apposite indicazioni o contrassegni che diano conto
con immediatezza della presenza dell'impianto di
videosorveglianza”
Taxi: le telecamere non devono
riprendere in modo stabile la
postazione di guida e la loro
presenza deve essere segnalata
con appositi contrassegni.
Trasporto pubblico: lecita
l'installazione su mezzi di trasporto
pubblico e presso le fermate, ma
rispettando limiti precisi (es.angolo
visuale circoscritto, riprese senza
l'uso di zoom).
SANZIONIAssenza di informativa: sanzione amministrativa del pagamento di una
somma da seimila euro a trentaseimila euro
Controllo a distanza del lavoratore: ammenda da lire 300.000 a lire
3.000.000 o con l'arresto da 15 giorni ad un anno
Mancato rispetto delle disposizioni relative alle aree di fermata:
pagamento di una somma da trentamila euro a centottantamila euro
Tr a s p o r t o p u b b l i c o
Videosorveglianza
DIRITTO DELL’INFORMATICA E DELLE NUOVE TECNOLOGIE - A.A. 2015/2016 - MASSIMO FARINA
Univ. CA - Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni
La tutela dei dati personali
79
PRESCRIZIONILe riprese “devono avvenire con modalità che
rendano non identificabili i soggetti ripresi”
RISCHI“Le immagini raccolte tramite tali sistemi, infatti, vengono inserite
direttamente sulla rete Internet, consentendo a chiunque navighi
sul web di visualizzare in tempo reale i soggetti ripresi e di
utilizzare le medesime immagini anche per scopi diversi dalle
predette finalità promozionali-turistiche o pubblicitarie perseguite
dal titolare del trattamento”
R i p r e s e a s c o p i p r o m o z i o n a l i - t u r i s t i c i o p u b b l i c i t a r i
Videosorveglianza
Grazie per l’attenzioneDocente: Massimo Farina http://www.massimofarina.it
http://www.diricto.it/ http://ict4forensics.diee.unica.it/
[email protected] – [email protected]
A.A. 2015/16Corso di Laurea Magistrale in
Ingegneria delle Telecomunicazioni
http://tlc.diee.unica.it/
DIRITTO DELL’INFORMATICA E DELLE NUOVE TECNOLOGIE - A.A. 2015/2016 - MASSIMO FARINA
Univ. CA - Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni
La tutela dei dati personali
81
Attribuzione - Non Commerciale - Condividi allo stesso modo 3.0
o Tu sei libero:
• di riprodurre, distribuire, comunicare al pubblico, esporre in pubblico,rappresentare, eseguire o recitare l'opera;
• di modificare quest’opera;
• Alle seguenti condizioni: Attribuzione. Devi attribuire la paternità dell’opera nei modi indicati
dall’autore o da chi ti ha dato l’opera in licenza e in modo tale da nonsuggerire che essi avallino te o il modo in cui tu usi l’opera.
Non commerciale. Non puoi usare quest’opera per fini commerciali. Condividi allo stesso modo. Se alteri, trasformi quest’opera, o se la usi per
crearne un’altra, puoi distribuire l’opera risultante solo con una licenzaidentica o equivalente a questa.
o In occasione di ogni atto di riutilizzazione o distribuzione, devi chiarire agli altri itermini della licenza di quest’opera.
o Se ottieni il permesso dal titolare del diritto d'autore, è possibile rinunciare ad ognuna diqueste condizioni.
o Le tue utilizzazioni libere e gli altri diritti non sono in nessun modo limitati da quantosopra
Licenza