IL NUOVO CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI Scuola di Formazione ed Aggiornamento...

IL NUOVO CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI

Scuola di Formazione ed Aggiornamento del Personale

dell’Amministrazione Giudiziaria Avv. Riccardo Imperiali

LA TUTELA DELLA PRIVACY:

PRECEDENTI NORMATIVI

Convenzione Europea sui diritti dell’uomo (art. 8);

Linee guida OCSE del 1980;

Convenzione di Strasburgo del 1981;

La Direttiva 95/46/CE.

LEGGI COMUNITARIE

1 legge organica (L. 675/1996)

1 delega e più rinnovi (L. 676/1996)

9 integrazioni o modificazioni, da ultimo, D.Lgs. 467/2001

1 D.P.R. sulla sicurezza

7 autorizzazioni generali

3 codici deontologici

DISCIPLINA NAZIONALE sulla tutela dei dati personali

L’ATTUALE NORMATIVA

• Il D.Lgs. 196 del 30/06/2003 (Testo Unico)

In vigore da Gennaio

2004

In vigore da Gennaio

2004

• Futuri codici deontologici

“Chiunque ha diritto alla protezione dei dati personali che lo riguardano” (art.1 TU).

Il nuovo Codice intende garantire che “il trattamento dei dati personali si svolga nel rispetto dei diritti, delle libertà fondamentali, nonché della dignità dell’interessato, con particolare riferimento alla riservatezza, all’identità personale ed al diritto alla protezione dei dati personali” (art.2 TU).

IL D.LGS. 196/2003

Il Trattamento dei dati

una o più tipologie di operazioni

raccolta, elaborazione, custodia, trasmissione, ecc.

su categorie di dati

nominativi, indirizzari, anagrafiche, ecc.

individuato secondo

scopi perseguiti

modalità seguite

Entriamo nella Legge: I CONCETTI ESSENZIALI (1/4)

Dato personale

qualsiasi informazione

linguaggio, suono o immagine

su qualunque supporto

carta, floppy, nastro, etere

in grado di individuare direttamente o meno

cifrature, codici, aggregazioni elementari incluse

persone fisiche o enti

I CONCETTI ESSENZIALI (2/4)

I CONCETTI ESSENZIALI (3/4)

GLI INTERESSATI SONO…

... i soggetti cui si riferiscono i dati personali trattati

I CONCETTI ESSENZIALI (4/4) DATI SENSIBILI

e GIUDIZIARIDATI COMUNI

Definizione tassativa•Razza ed etnia•Fede religiosa•Credo politico sindacale e filosofico•Stato di salute•Vita sessuale•Casellario giudiziale•Condizione di indagato•Condizione di imputato

Categoria residuale

Liceità e Trasparenza del trattamento:

il Titolare deve far conoscere all’interessato l’intenzione di raccogliere e registrare i suoi dati

Il trattamento secondo Correttezza:

L’interessato non deve essere fuorviato da indicazioni parziali o incomprensibili

I PRINCIPI DELL’ART.11 TU:le modalità di raccolta...

I PRINCIPI DELL’ART.11 T.U.:le modalità di conservazione...

Il principio di Finalità :

legittima

manifesta

determinata

Il principio di Qualità dei dati:

esattezza delle informazioni conservate

monitoraggio e aggiornamento costante dei dati

pertinenza e non eccedenza rispetto alle finalità

temporaneità della conservazione

LA PRIVACY PER GLI ENTI PUBBLICI

I PRINCIPI DI LICEITÀ IN AMBITO PUBBLICO

Il trattamento da parte della P.A. è lecito solo se necessario per il raggiungimento delle funzioni istituzionali dell’ente e nel rispetto di presupposti e limiti previsti dal T.U., nonché da leggi o regolamenti (art. 18 T.U.)

Il trattamento da parte dei soggetti privati e dagli enti pubblici economici è lecito solo se l’interessato ha dato il suo consenso (art. 23 T.U.)

Il corretto trattamento (art. 22 TU) dei dati sensibili implica:• l’indicazione della norma di legge nell’informativa da rilasciare all’interessato;• il rispetto del principio di essenzialità da valutare in relazione alla funzione istituzionale;• la verifica periodica dell’esattezza e dell’aggiornamento dei dati (procedure);• la cifratura e l’uso di codici identificativi;• la conservazione separata dei dati inerenti lo stato di salute e la vita sessuale (dati ultrasensibili).

REGOLE E …

La P.A. non può (art. 22 TU):

• diffondere i dati sanitari;•utilizzare i dati sanitari nell’ambito di test psicoattitudinali volti a definire il profilo o la personalità dell’interessato;• effettuare operazioni di raffronto tra dati sensibili e giudiziari (salvo annotazione scritta dei motivi);•non può adottare provvedimenti amministrativi basati su valutazioni o profili dell’interessato ottenuti in via esclusivamente automatizzata (art. 14 TU).

DIVIETI

La comunicazione o diffusione a SOGGETTI PUBBLICI sono lecite solo se:

- previste da legge, regolamento o comunque se necessarie per lo svolgimento di funzioni istituzionali, previa comunicazione al Garante.

La comunicazione o diffusione a SOGGETTI PRIVATI sono lecite solo se:

- previste da un’espressa norma di legge o da regolamento.

LA COMUNICAZIONE DEI DATI

Le condizioni di liceità previste per il trattamento dei dati comuni da parte della P. A. sono costituite da:

rispetto delle funzioni istituzionali;

rispetto di presupposti e limiti previsti dal T.U., nonché da leggi o regolamenti.

IL TRATTAMENTO DEI DATI COMUNI

E’ legittimo solo se:

C’è una legge che individua la rilevante finalità di interesse pubblico, i tipi di dati e le operazioni eseguibili; Se una legge individua solo la rilevante finalità di interesse pubblico, i tipi di dati e le operazioni eseguibili devono essere identificati e resi pubblici dall’ente con REGOLAMENTO; In mancanza di una legge, la rilevante finalità può essere indicata dal Garante, e l’ente deve identificare e rendere pubblici dati ed operazioni con REGOLAMENTO.

IL TRATTAMENTO DEI DATI SENSIBILI

IL REGOLAMENTO DEI DATI SENSIBILI

Previsione di legge

Dati sensibili

giudizia

ri

Tipi di dati

Tipi di operazioni

Rilevante interesse

TRATTAMENTO DATI SENSIBILI E GIUDIZIARI DA ENTI PUBBLICI (ART. 20 E 21 T.U.)

Solo se previsto da specifica disposizione di legge che dettagli anche i tipi di dati e di operazioni eseguibili. Detta soluzione consente di trattare legittimamente anche i dati giudiziari (art. 21 TU)

Previsione di legge

Dati sensibil

i giudizia

ri Tipi di dati

Rilevante

interesse

Ente individua

Tipi di operazio

ni

TRATTAMENTO DATI SENSIBILI E GIUDIZIARI DA ENTI PUBBLICI (ART. 20 E 21 T.U.)

Con regolamen

to

Aggiornamento e integrazioni periodici

Solo se previsto da specifica disposizione di legge con l’ente che dettagli i tipi di dati e di operazioni eseguibili

Previsione di legge

Dati sensibi

li

Garante individua

Tipi di dati

Rilevante interesse

Ente individua

Tipi di operazioni

TRATTAMENTO DATI SENSIBILI DA ENTI PUBBLICI (ART. 20 T.U.)

Con regolament

o

Aggiornamento e integrazioni periodici

Solo se previsto dal Garante con l’ente che dettagli anche i tipi di dati e di operazioni eseguibili

Il Regolamento deve indicare:

a) la denominazione o il tipo di trattamento;b) la fonte normativa;c) le rilevanti finalità di interesse pubblico

perseguite dal trattamento;d) i tipi di dati trattati;e) le operazioni eseguite;f) una sintetica descrizione del trattamento

e del flusso informativo.

ELEMENTI DEL REGOLAMENTO

TERMINE PER L’ADOZIONE DEL REGOLAMENTO

Termine ultimo per l’adozione del Regolamento

– fissato al 30 settembre del 2004 dal Testo Unico – è stato eccezionalmente prorogato al

28 FEBBRAIO 2007

GLI ADEMPIMENTI FORMALI

L’INFORMATIVA (art. 13 TU)

1) Finalità del trattamento;

2) Modalità del trattamento;

3) Conferimento dei dati

- facoltativo o

- obbligatorio;

4) Comunicazione dei dati;

5) Diffusione e trasferimento all’estero;

6) Diritti dell’interessato;

7) Indicazione del Titolare (e del Responsabile)

NOTIFICAZIONE AL GARANTE (artt. 37 ss TU)

Tratta

men

to

Inizio

Cessazione e Cessione

TrasferimentoEstero

3 eventi

Dati biometrici

Dati genetici

Servizi sanitari

telematici

Profili elettronici

Dati sensibili per ricerca di

personale per conto

terzi

5 casi

Centrali rischi o

antifrode

Il Garante può specificare, estendere e

circoscrivere queste casistiche

Nuovo sistema “in negativo”

Nuovo sistema “in negativo”

GLI ADEMPIMENTI ORGANIZZATIVI

IL TITOLARE (art. 28 TU)

• Il Titolare è colui che decide le modalità e le finalità del trattamento, compreso il profilo della sicurezza (art. 4 co. 1 lett. f) T.U.);

• In caso di trattamento in ambito pubblico, tale figura coincide con l’Ente stesso;

• E’ possibile delegare l’esercizio della titolarità ad una persona fisica.

IL RESPONSABILE (art. 29 TU)

E’ nominato dal Titolare e deve coincidere con persone fisiche, persone giuridiche, pubbliche o private, e pubbliche amministrazioni;

Deve essere scelto tra persone che per capacità, esperienza ed affidabilità, forniscono garanzia del rispetto della Legge compreso il profilo sulla sicurezza;

Deve essere designato con uno specifico atto di nomina;

Può essere nominato anche un soggetto esterno.

L’INCARICATO (art. 30 TU)

Può essere solo una persona fisica ed è individuato dal Titolare oppure dal Responsabile, operando sotto la loro diretta responsabilità;

E’ colui che materialmente compie operazioni sui dati.

La designazione è effettuata per iscritto ed individua l’ambito di trattamento consentito.

LA VISIONE D’INSIEME

CENTRO DI COMPETENZA

INCARICATO

RESPONSABILEINTERNO

INCARICATO

RESPONSABILEINTERNO

INCARICATO

RESPONSABILEGESTIONE ISTANZE

TITOLARE

INCARICATO

RESPONSABILEESTERNO

INCARICATO

RESPONSABILEESTERNO

INCARICATO

RESPONSABILEINTERNO

DIRITTI DELL’INTERESSATO

ESERCIZIO DEI DIRITTI (1/2)

Diritti che l’Interessato può esercitare: avere conferma dell’esistenza di dati personali che lo

riguardano; ricevere la comunicazione in forma intelleggibile dei

medesimi dati, della loro origine, della logica e delle finalità del trattamento … e degli altri elementi elencati per l’informativa;

ottenere l’aggiornamento, la rettifica, l’integrazione se vi ha interesse;

la cancellazione ed il blocco dei dati trattati in violazione di legge;

opporsi al trattamento per motivi legittimi; avere l’attestazione che le variazioni richieste siano

state trasmesse a coloro ai quali i dati erano stati comunicati.

ESERCIZIO DEI DIRITTI (2/2) L’esercizio del diritto:

- in caso di accesso non è richiesta alcuna formalità

- spetta al diretto interessato; oppure

- alla persona cui l’interessato abbia fornito delega con firma autenticata o procura per iscritto.

L’identificazione:

- l’Interessato deve inviare copia di un documento d’identità

La soddisfazione della richiesta:

- la richiesta deve essere soddisfatta entro 15 gg o 30, nei casi di maggiore complessità e previo avviso all’interessato

- l’Incaricato informa – senza ritardo – l’organo preposto e collabora con esso nel processing dell’istanza

DIRITTO DI ACCESSO E PRIVACY

PER LA NORMATIVA A TUTELA DEI DATI PERSONALI:

L’interessato del trattamento ha diritto di ottenere le informazioni relative all’esistenza o meno di trattamenti rispetto ai propri dati personali (art. 7 T.U);

PER ASSICURARE LA TRASPARENZA DELL’ATTIVITÀ AMMINISTRATIVA:

Chiunque vi abbia interesse per la tutela di situazioni giuridicamente rilevanti ha diritto di accedere ai documenti amministrativi (art. 22 l. 241/90 – art. 15 l. 15/05).

PRIVACY E TRASPARENZA DELLA P.A.

PER LA NORMATIVA A TUTELA DEI DATI PERSONALI (art. 8 T.U.)

I dati sono estratti a cura del Responsabile o degli Incaricati e possono essere comunicati al richiedente anche oralmente, ovvero offerti in visione tramite strumenti elettronici.


Solo in caso di estrazione difficoltosa, è possibile l’esibizione o la consegna in copia di atti e documenti contenenti i dati personali richiesti.

PER ASSICURARE LA TRASPARENZA DELL’ATTIVITÀ AMMINISTRATIVA (Legge 15/2005 e 241/90):

Il diritto di accesso nei confronti delle pubbliche amministrazioni si esercita mediante esame ed estrazione di copia dei documenti amministrativi.


Il diritto di accesso può essere ESCLUSO per tutelare la riservatezza di terzi, garantendo però la visione degli atti relativi ai procedimenti amministrativi la cui conoscenza è necessaria per la difesa degli interessi giuridici.Il diritto di accesso può essere DIFFERITO sino a quando la conoscenza dei documenti può ostacolare lo svolgimento dell’azione amministrativa.

RISERVATEZZA E ACCESSOA CONFRONTO

Il diritto di accesso resta regolamentato dalla Legge 15/2005 (l. 241/90) e relativi regolamenti, anche per i documenti contenenti dati sensibili e giudiziari.

Le attività relative all’esercizio del diritto di accesso sono considerate di RILEVANTE INTERESSE PUBBLICO

Ma occorre un REGOLAMENTO …

i trattamenti sono ammessi nel rispetto delle condizioni previste dagli art. 20 e 21 T.U.

L’ACCESSO A DOCUMENTI CON DATI SENSIBILI

Quando il trattamento riguarda dati idonei a rivelare lo stato di salute o la vita sessuale, la richiesta di accesso ai documenti amministrativi da parte di soggetti terzi è ammessa se si intende tutelare una situazione giuridicamente rilevante di rango almeno pari ai diritti dell’interessato.

• L’accesso è consentito

• se la situazione giuridicamente rilevante che si intende tutelare è di rango almeno pari ai diritti dell’interessato, ovvero consiste in un diritto della personalità o in un altro diritto o libertà fondamentale e inviolabile (art. 60 TU);

• se sono rispettate le linee guida indicate dal Garante con il provvedimento del 9 luglio del 2003.

L’ACCESSO A DOCUMENTI CON DATI SENSIBILI

Si riferiscono alle ipotesi di accesso ai soli dati ultrasensibili (salute e vita sessuale):• l’ente che riceve la richiesta di accesso deve effettuare la valutazione del “pari rango” considerando il diritto sottostante che il richiedente intende far valere;• di regola non sono considerati di pari rango i diritti di credito;• occorre una verifica del rispetto del principio di pertinenza;• può anche esserci il contraddittorio con l’interessato, il quale può opporsi al trattamento.

LE LINEE GUIDA DELL’AUTHORITY...

I TRATTAMENTI IN AMBITO GIUDIZIARIO

PROFILI GENERALI

Gli uffici dell’Amministrazione della Giustizia sono Titolari dei trattamenti svolti nell’esercizio dei loro poteri.

Un decreto del Ministero della Giustizia indica i trattamenti non occasionali ed automatizzati che riguardano le banche dati centralizzati o interconnesse (art. 46).

TRATTAMENTI PER RAGIONI DI GIUSTIZIA

I trattamenti svolti per ragioni di giustizia - decisione di controversie, attribuzione dei magistrati, ispezioni - sono esonerati da una parte delle norme del codice privacy.

Non sussistono ragioni di giustizia per l’attività di amministrazione del personale e delle risorse (art. 47).

DEROGHE

Gli esoneri riguardano:

Diritti dell’interessato

Perché prevale l’interesse pubblico

Adempimenti:

Gli uffici giudiziari sono esonerati da informativa, notificazione, richieste di autorizzazione, obblighi di comunicazione al Garante.

DISCIPLINA APPLICABILE (1/3)

Principio di necessità:

Sistemi operativi e programmi informatici specifici configurati in modo da ridurre al minimo l’uso di dati personali.

Diritti privacy:

L’interessato può sollecitare un accertamento del Garante sulla liceità dei trattamenti, presentando una segnalazione o un reclamo.

Principi privacy:

Pertinenza ed essenzialità delle informazioni raccolte.


Sicurezza e responsabilità per danno:

Applicazione delle misure di sicurezza minime ed adeguate

obbligo di risarcimento in caso di violazione della sicurezza e

sanzioni penali per l’omissione totale o parziale delle misure minime.

Trasparenza dei dati di notificazione:

Chiunque può richiedere al Titolare di conoscere il contenuto delle informazioni che avrebbero formato oggetto di notificazione, anche in assenza dell’obbligo di notifica al Garante.


Segnalazioni e reclami al Garante:

L’interessato deve ricevere un riscontro in relazione all’esito degli accertamenti promossi.

Tutela giudiziaria ordinaria e sanzioni:

E’ possibile adire l’autorità giudiziaria ordinaria avvalendosi del regime speciale previsto all’art. 152 del Codice Privacy.

BANCHE DATI DI UFFICI GIUDIZIARI

Gli uffici dell’Amministrazione della Giustizia, se la legge lo consente,

possono accedere via Internet a banche dati di pubblici registri, avvalendosi di apposite convenzioni, purché nel rispetto del principio di necessità (art. 48)

E’ il caso, ad esempio, della banca dati degli adottabili (L. 149/01)

NOTIZIE O IMMAGINI RELATIVE A MINORI

È vietato pubblicare o divulgare dati identificativi e immagini di un minore coinvolto in un procedimento giudiziario, civile o penale (art. 50).

Tale divieto opera per il processo penale, nei procedimenti nel settore famiglia e delle successioni, nei procedimenti di volontaria giurisdizione del processo civile (adozione, riconoscimento paternità).

I dati dei minori vanno sempre omessi in sentenza.

ACCESSIBILITA’ ATTI GIUDIZIARI

L’Autorità giudiziaria mette a disposizione di chiunque vi abbia interesse i dati identificativi dei procedimenti giudiziari seguiti, inserendoli nel proprio sito Internet (art. 51).

In tal modo è incoraggiato l’inserimento dei dati identificati delle controversie - parti, numero del procedimento, giudice - nei siti istituzionali delle Autorità giudiziarie.

DIFFUSIONE SENTENZE IN INTERNET

È favorita la diffusione dei provvedimenti e delle sentenze via Internet.

Per la pubblicazione occorre tenere presente le regole in tema di omissione delle generalità, richiesta dall’interessato o applicata d’ufficio.

DATI IDENTIFICATIVI DEGLI INTERESSATI

Su richiesta dell’interessato o per decisione del giudice, si può impedire la pubblicazione o la divulgazione dei dati identificativi dell’interessato riportati nella sentenza (art. 52).

Ciò può essere ottenuto mediante deposito di una specifica richiesta nella cancelleria o nella segreteria dell’ufficio giudiziario che cura il procedimento.

In ogni caso, va impedita l’identificazione di minori o delle parti nelle cause di famiglia o di stato delle persone.

NOTIFICHE DI ATTI E VENDITE GIUDIZIARIE

Sia nel processo civile sia nel processo penale, la comunicazione di atti processuali deve avvenire nel pieno rispetto della riservatezza della persona coinvolta nel procedimento (art. 174).

Tale norma modifica la disciplina prevista nel codice di procedura civile e penale.

NOTIFICHE IN MATERIA CIVILE

Consegna in “mani proprie” del destinatario:

principio prioritario.

Consegna a terzi:

la copia è consegnata in busta chiusa e sigillata;

se ne da atto nella relazione in calce all’originale ed alla copia;

non devono esservi segni da cui possa desumersi il contenuto dell’atto;

chi la riceve deve sottoscrivere una ricevuta (non più l’originale).

Affissione:

l’avviso è affisso in busta chiusa e sigillata e se ne dà notizia al destinatario con raccomandata A/R.

ALTRI CASI DI APPLICAZIONE DELLA DISCIPLINA SULLE NOTIFICAZIONI

Le descritte modalità di consegna dell’atto a terzi si applicano anche:

Comunicazioni effettuate con biglietto di cancelleria;

Intimazione a testi;

Ingiunzioni e verbali relativi ad illeciti amministrativi e relative sanzioni pecuniarie;

Verbali relativi a contravvenzioni al codice della strada;

Atti del processo amministrativo;

Atti provenienti da uffici fiscali.

PUBBLICITA’ DEGLI AVVISI ESECUTIVI

In base alle modifiche apportate dal Codice Privacy, quando la legge dispone che di un atto esecutivo sia data pubblica notizia, è omessa l’indicazione del debitore.

Nella vendita senza incanto, il cancelliere dà avviso dell’ordine di vendita con l’avvertimento che maggiori informazioni, anche relative alle generalità del debitore, possono essere fornite dalla cancelleria del Tribunale a chiunque vi abbia interesse.

NOTIFICHE IN MATERIA PENALE

Sostanziale simmetria della disciplina prevista in ambito civile:

Consegna “in mani proprie” o a terzi.

Le stesse modalità in caso di consegna del decreto di perquisizione.

Biglietti o avvisi non in busta chiusa:

Se a persona diversa dal destinatario recano le informazioni strettamente necessarie.

Prima notificazione all’imputato non detenuto:

Consegna di copia alla persona, in mancanza la disciplina è meno rigorosa di quella prevista in ambito civile.

LE MISURE DI SICUREZZA

Una questione certamente

attuale

Una questione certamente

attuale

DUE CASI ALLARMANTI!

PROFILI GENERALI DI SICUREZZA

Elenco tassativo basato su natura dei dati e su 2 scenari:• trattamenti con strumenti elettronici• trattamenti senza strumenti elettronici

Valutazione basata su:• progresso tecnico• natura dei dati• caratteristiche del trattamento

PROTEZIONE

MINIMAMINIMA ADEGUATA

ADEGUATA

MISURE DI SICUREZZA ADEGUATE

• Sono le Misure tecniche, informatiche, organizzative, logistiche e procedurali di sicurezza che garantiscono un IDONEO LIVELLO DI PROTEZIONE richiesto in relazione ai rischi.

I dati personali devono essere custoditi e controllati ANCHE in relazione:

• alle conoscenze acquisite in base al progresso tecnico• alla natura dei dati• alle specifiche caratteristiche del trattamento

MISURE MINIME DI SICUREZZA

Sono le Misure tecniche, informatiche, organizzative, logistiche e procedurali di sicurezza che configurano il LIVELLO MINIMO DI PROTEZIONErichiesto in relazione ai rischi:

• distruzione o perdita dei dati, anche accidentale• accesso non autorizzato• trattamento non consentito• trattamento non conforme a finalità

Ciascun Titolare è tenuto ad adottare le misure minime individuate nel Codice, secondo le modalità previste nel Disciplinare Tecnico.

La descrizione

delle modalità tecniche

richieste per l’adozione

delle misure minime è contenuta

nel Disciplinare

tecnico

MISURE MINIME DI SICUREZZA

Regole generali

Regole di dettaglio

L’indicazione tassativa

delle misure minime da adottare è contenuta

negli artt.34 e 35 del Codice

Il Disciplinare tecnico deve essere aggiornato periodicamente con Decreto del Ministro di Giustizia di concerto con il Ministro per le innovazioni tecnologiche IN RELAZIONE ALL’EVOLUZIONE TECNICA ED ALL’ESPERIENZA MATURATA NEL SETTORE

MISURE MINIME PER TRATTAMENTI CON STRUMENTI ELETTRONICI (art. 34 T.U)

AUTENTICAZIONE INFORMATICA

PROCEDURE DI GESTIONE DELLE CREDENZIALI DI AUTENTICAZIONE

UTILIZZAZIONE DI UN SISTEMA DI AUTORIZZAZIONE

AGGIORNAMENTO PERIODICO DELL’AMBITO DITRATTAMENTO CONSENTITO AGLI INCARICATI

MISURE MINIME PER TRATTAMENTI CON STRUMENTI ELETTRONICI (art. 34 T.U)

PROTEZIONE DEGLI STRUMENTI E DEI DATI RISPETTO A TRATTAMENTI ILLECITI,

AD ACCESSI NON CONSENTITI, A DETERMINATI PROGRAMMI INFORMATICI

ADOZIONE DI PROCEDURE PER LA CUSTODIA DI COPIE DI BACKUP, PER IL RIPRISTINO

DEI DATI E DEI SISTEMI

TENUTA ED AGGIORNAMENTO DEL DPS

ADOZIONE DI TECNICHE DI CIFRATURA O CODICI IDENTIFICATIVI PER DATI SANITARI

ALTRE MISURE DI SICUREZZA(per trattamenti di dati sensibili e giudiziari)

• Devono essere previste istruzioni organizzative e tecniche per la custodia e l’utilizzo dei supporti rimovibili (es. cd rom, floppy)• I supporti, se non utilizzati, vanno distrutti o resi inutilizzabili •Possono essere riutilizzati se le informazioni contenute non sono intelligibili o tecnicamente ricostruibili• In caso di dati o di strumenti elettronici danneggiati, il ripristino dell’accesso ai dati deve essere garantito in un tempo massimo di 7 giorni

Cifratura dei dati sensibili e

giudiziari automatizzati o utilizzo di codici identificativi o

soluzioni analoghe per

non consentire la

identificazione immediata

Identiche soluzioni per i dati sulla

salute e vita sessuale

anche non automatizzati

.

Conservazione separata

dei dati sulla salute e la

vita sessuale dai restanti

dati

IN AGGIUNTA ALLE MISURE MINIME(per trattamenti di dati sensibili e

giudiziari)

DOCUMENTO PROGRAMMATICO SULLA SICUREZZA

E’ un documento da redigere obbligatoriamente da parte di ciascun Titolare, in caso di Trattamenti su dati sensibili o giudiziari Effettuato mediante elaboratori elettronici

Deve essere predisposto entro il 31 marzo di ogni anno ed allegato alla relazione di accompagnamento al bilancio di esercizio.

Il DPS ha lo scopo di indicare le misure di sicurezza che il Titolare adotta a tutela del proprio patrimonio informativo.

SERVIZI DATI IN OUTSOURCINGrapporti tra Titolare e Outsourcer

Il Titolare che si avvale di un soggetto terzo per l’adozione delle misure minime di sicurezza deve ricevere dall’installatore una descrizione scritta dell’intervento effettuato

L’installatore deve attestare la conformità di quanto installato alle disposizioni del Disciplinare tecnico.

MISURE MINIME PER TRATTAMENTI CON STRUMENTI NON ELETTRONICI (art. 35 T.U.)

PROCEDURE PER L’IDONEA CUSTODIA DI ATTI

PROCEDURE PER LA CONSERVAZIONE DI ATTIIN ARCHIVI AD ACCESSO SELEZIONATO

INDIVIDUAZIONE MODALITA’ DI ACCESSO PERL’IDENTIFICAZIONE DEGLI INCARICATI

AGGIORNAMENTO PERIODICO DELL’AMBITO DITRATTAMENTO CONSENTITO AGLI INCARICATI

I PROFILI SANZIONATORI

LE SANZIONI (1/2)

SANZIONI PENALI da 3 mesi a 3 anni di reclusione a seconda del tipo di reato:

Illecito trattamento dei dati comuni e dei dati sensibili (reato generico a dolo specifico)

Inosservanza dei provvedimenti del Garante

Mancata adozione delle misure minime di sicurezza

Falsità nelle notificazioni o nelle dichiarazioni rese al Garante

LE SANZIONI (2/2)

SANZIONI AMMINISTRATIVE da € 500 a € 60.000 a seconda del tipo di illecito:

Omessa o incompleta notificazione

Omessa o inidonea informativa all’interessato

Mancato rilascio di informazioni o esibizione della documentazione richiesta dal Garante

RISARCIMENTO DEL DANNO

Sia patrimoniale

Sia non patrimoniale

Grazie per l’attenzione.

Avv. Riccardo Imperiali

IL NUOVO CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI Scuola di Formazione ed Aggiornamento...

Documents

Transcript of IL NUOVO CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI Scuola di Formazione ed Aggiornamento...