IL NUOVO CODICE DELLA PRIVACY

DECRETO LEGISLATIVON. 196 DEL 2003

D.Lgs. n. 196 – Codice in materia di protezione dei dati personali

• Convenzione di Strasburgo del 28.01.1981 (Consiglio d’Europa):

“Protezione delle persone rispetto al trattamento automatizzato di dati di

carattere personale”• Direttive comunitarie:

1995/46/Ce e 2002/58/Ce

Categorie di dati

• Dati personali non sensibili: Esempio: dati anagrafici (nome, cognome, indirizzo,

codice fiscale)

• Dati sensibili: Esempio: razza, stato di salute, opinioni

• Dati giudiziari:• Esempio: condanne, procedimenti in corso, fallimenti,

etc.

Dati personali

Informazioni esatte e aggiornateriferite a persone fisiche o giuridicheidentificate o identificabiliche il titolare del trattamento deve utilizzareper finalità legittimelimitate e pertinenti all’uso dovuto.Esempio:anagrafiche clienti, fornitori, dipendenti

I soggetti coinvolti

• Titolare del trattamento:(impresa o organizzazione)

• Responsabile del trattamento:(persona fisica)

• Incaricati del trattamento:(persone fisiche)

• Interessati al trattamento• Terzi destinatari o fornitori dei dati

Il titolare del trattamento

acquisisce, utilizza e conserva i dati

decide le finalità di utilizzo (e i dati necessari)

decide le modalità di trattamento:Raccolta

Registrazione

Comunicazione

Diffusione

decide le misure di sicurezza

vigila sull’operato del responsabile

Responsabile del trattamento

E’ designato a discrezione dal titolare

Può essere persona fisica o giuridica

La nomina è facoltativa

Va nominato per iscritto

Vanno indicati i compiti affidati con l’incarico

Deve essere esperto, capace e affidabilePuò essere anche esterno all’organizzazione del titolare

(esempio: commercialista per i dati contabili)

Incaricati del trattamento

Sono solo persone fisiche

Sono nominati dal titolare del trattamento

La nomina è obbligatoria

Effettuano materialmente le operazioni

Operano sotto l’autorità del responsabile

(o del titolare in mancanza del responsabile)

Devono attenersi ad istruzioni scritte

sui dati da trattare (quali, come, perché, etc.)

Notificazione di trattamento

Denuncia preventiva al Garante, via web, sull’esistenza di un’attività di trattamento di dati personali

Comporta l’inserimento nel Registro Pubblico dei trattamenti (internet)

non tutti i trattamenti vanno notificati (quelli ordinari su clienti, fornitori e dipendenti non sono soggetti a notifica)

Trattamenti soggetti a notifica

• Banche dati elettroniche sui rischi di solvibilità economica, frodi, illeciti, situazione patrimoniale, inadempimento generale di obbligazioni

• dati genetici e biometrici

• dati GPS o altra localizzazione geografica

• Profilo dell’interessato (personalità)

• Dati sensibili per indagini per conto terzi

Informativa sul trattamento

Va comunicata dal titolare del trattamento al soggetto trattato (interessato)

Può essere anche informale, purchè chiara, completa ed essenziale

Riguarda sia i dati raccolti direttamente presso l’interessato che presso terzi

Contenuto dell’informativa

(è sufficiente solo la prima volta)• Estremi del titolare e dell’ev. responsabile• Finalità del trattamento (perché)• Modalità del trattamento (come)• Eventuale obbligatorietà del trattamento e

conseguenze del rifiuto• Terzi (o categorie) destinatari dei dati• Diritti dell’interessato

Quando sorge l’obbligo?

Una sola volta all’inizio del rapporto (esempio: clienti, fornitori, dipendenti)

Quando si modificano in modo sostanziale i dati trattati (categorie) e le modalità di trattamento

Come redigere l’informativa?• Anche orale, sintetica e colloquiale• Si può utilizzare uno spazio nell’ordinaria

corrispondenza (lettere, fatture, etc.)

Quando comunicare l’informativa?

• In caso di dati raccolti presso l’interessato: prima dell’inizio del trattamento, anche in forma orale

• In caso di dati raccolti presso terzi:

prima della registrazione

• In caso di dati da destinare a terzi:

entro la prima comunicazione

Quando non è necessaria?

• In caso di dati raccolti presso terzi in ottemperanza a obblighi di legge

• Per far valere un diritto in sede giudiziaria

• Quando l’onere informativo è troppo elevato rispetto al diritto alla privacy in discussione (previa apposita istanza al Garante)

Il consenso dell’interessato

Non è necessario quando i dati trattati non sono “sensibili” e, inoltre:

• sono connessi all’esecuzione di un contratto (o alla trattativa precedente)

• sono conseguenti a obblighi di legge• provengono da elenchi pubblici• Sono relativi allo svolgimento di attività

economiche rese pubbliche dall’interessato

Il consenso dell’interessato

Quando è necessario chiederlo, il consenso deve essere

• Libero

• Specifico rispetto ai dati trattati

• Informato rispetto al trattamento

• Documentato per iscritto e sottoscritto

I dati sensibili

• Origine razziale o etnica

• Convinzioni religiose o filosofiche

• Opinioni politiche (comprese adesioni a partiti, sindacati, movimenti, etc.)

• Stato di salute

• Comportamento sessuale.

I dati sensibili

Necessitano sempre, per essere trattati:

• Del consenso scritto dell’interessato

• Dell’autorizzazione del Garante

Vi sono tuttavia 7 autorizzazioni “generali” preventive, rilasciate dal Garante per i dati sensibili da trattare in alcuni casi tipici.

Esempio: rapporto di lavoro (malattia)

associazioni (opinioni politiche)

Il trasferimento dati fuori dall’UE

All’interno dell’UE vigono le stesse regoleFuori dall’UE il trasferimento è consentito

se:• l’interessato ha dato consenso espresso• è necessario per l’esecuzione di un

contratto• è necessario per un pubblico interesse o

attività difensive in sede giudiziaria• riguarda persone giuridiche, enti o assoc.

Il trasferimento dati fuori dall’UE

Quando non è consentito a priori, il trasferimento può essere autorizzato se:

• vi sono idonee garanzie per l’interessato (autorizzazione caso per caso)

• vi sono autorizzazioni generali del Garante (esempio: “Safe Harbor” con gli USA)

• il trasferimento avviene con modalità standard già autorizzate preventiv. dall’UE

Il diritto d’accesso

• L’interessato ha diritto di accedere ai dati che lo riguardano, trattati presso terzi

• Il titolare del trattamento deve rispondere alla richiesta entro 15 giorni dal ricevimento

• In caso di mancata o incompleta risposta, l’interessato può rivolgersi all’a.g. o ricorrere al Garante

Il diritto d’accesso

L’interessato ha diritto di ottenere informazioni su:• esistenza o meno di dati personali che lo riguardano• origine dei dati• finalità del trattamento• modalità del trattamento• metodi elettronici per il trattamento• estremi del titolare, responsabili e incaricati• terzi destinatari

Il diritto d’accesso

L’interessato ha diritto di ottenere:

• l’aggiornamento o rettifica dei dati

• l’integrazione dei dati

• la cancellazione dei dati trattati in violazione della legge o del consenso

• L’attestazione ai terzi destinatari dell’avvenuto aggiornamento, rettifica, integrazione o cancellazione

La sicurezza dei sistemi

• I soggetti coinvolti

• Le misure di sicurezza (e le “minime”)

• Il DPS (documento programmatico per la s)

I soggetti coinvolti

• Titolare del trattamento

• Eventuale responsabile designato

• Incaricati

• Interessato al trattamento

• Terzi

Contenuto dell’obbligo

Il titolare deve adottare tutte le misure idonee, alla luce del progresso tecnico, per ridurre i rischi di:

• Distruzione

• Perdita

• Accesso non autorizzato o non consentito

Le misure minime

Trattamenti effettuati con sistemi elettronici:

• Autenticazione informatica con credenziali (User-ID e password)

• Programmi anti-vulnerabilità (antivirus, firewall, anti-trojan, etc.)

• Procedure di salvataggio periodico (back-up)

Le misure minime

Trattamenti effettuati con strumenti non elettronici:• Istruzioni scritte agli incaricati (controllo e

custodia)• Uso di contenitori e locali sottoposti a

“credenziali” (chiave, serratura, etc.)• Sistemi di protezione e sicurezza (facoltativo):

– Impianto antincendio (segnalazione e/o estinzione)– Misure di prevenzione e protezione incendi– Impianto anti-effrazione

Il DPS

• E’ obbligatorio in caso di trattamento di dati sensibili e/o giudiziari

• E’ comunque opportuno per evidenziare le misure “minime”

• Va redatto e aggiornato entro il 31 marzo di ogni anno

• Va conservato dal titolare presso la propria struttura (senza comunicarlo al Garante)

• Va esibito in caso di controlli ispettivi

Il DPS per le misure “minime”

Indice:• Dati del titolare del trattamento• Elenco dei trattamenti di dati personali• Distribuzione compiti e responsabilità• Analisi dei rischi• Misure di protezione preventiva• Misure di ripristino• Interventi formativi• Criteri minimi per l’affidamento dati a terzi• Nomina responsabile, incaricati e custode credenziali

Dati del titolare

• Nome o denominazione

• Sede o residenza

• Codice fiscale e/o partita IVA

• Telefono, fax, e-mail

• Dati del legale rappresentante

Elenco dei trattamenti dati

• Categoria di trattamento:(esempio: gestione clienti, fornitori, dipendenti)• Finalità:(esempio: contabilità generale e paghe)• Tipo di dati:(esempio: personali non sensibili)• Gestione:(esempio: interna o esterna)• Eventuale responsabile• Banche dati utilizzate(esempio: archivio cartaceo, cartelle elettroniche MS Access, etc.)• Dispositivi utilizzati(esempio: PC Desktop Marca HP……….)

Distribuzione compiti

• Responsabile: ……………..

• Incaricato 1…..Compito:……..

• Incaricato 2…..Compito:…….

Esempio: sig. Rossi – Addetto paghe

sig. Bianchi – Addetto contabilità

…………..

Analisi dei rischi

Alto / Medio / Basso per:• Furto credenziali autenticazione• Incuria• Frode• Errore materiale• Virus informatici• Spamming• Malfunzionamento strumenti• Accessi esterni ai locali non autorizzati• Intercettazione informazioni informatiche• Furto• Eventi dolosi o accidentali, guasti, etc.

Misure di protezione preventiva

Responsabile, trattamento interessato, rischio protetto, stato attuale (attivo o meno), controlli periodici (settimana, mese, etc.) per:

• Aggiornamenti software• Antivirus• Firewall hardware o software• Cifratura (su floppy, smart card, etc.)• Gruppo continuità• Allarme e serrature di sicurezza• Impianto antincendio

Misure minime strumenti elettronici

• Credenziali autenticazione (User-ID e password) di almeno 8 caratteri di cui almeno 2 numerici e almeno 2 alfabetici

• Modificazione obbligatoria al primo utilizzo• Modificazione obbligatoria ogni 6 mesi (dati personali non sensibili)

o 3 mesi (dati sensibili o giudiziari)• Il codice è strettamente personale• I codici aziendali sono affidati a un custode delle credenziali che le

conserva in luogo sicuro e, in sua assenza, nomina un sostituto sotto propria responsabilità

• In caso di mancato utilizzo per 6 mesi, le credenziali sono automaticamente disattivate

• In caso di intervento tecnico, al termine va modificata nuovamente la password

• Le credenziali su supporti (floppy, smart card, etc.) vanno conservate sotto chiave dal custode delle credenziali

Misure di ripristino

Procedure di back-up:

• Copie informatiche

• Copie cartacee (eventuali)

Responsabile, frequenze salvataggio, frequenze verifica, luogo e modalità di conservazione archivi

Procedura di ripristino

Interventi formativi

• Normativa• Responsabilità• Rischi• Misure di sicurezza• Aggiornamenti tecnici• Aggiornamenti di procedura• Quando e come si effettuano (esempio:

neo assunti, periodici, etc.)

Criteri per l’affidamento dati a terzi

Chiarire le procedure in caso che alcuni dati formalmente trattati dal titolare siano affidati in trattamento a terzi

Esempio: il commercialista che tratta i dati contabili dell’impresa (clienti, fornitori e dipendenti)

Come si trasferiscono, con che periodicità, su che supporti, chi è responsabile, etc.