IL TESTO UNICO IN MATERIA DI PRIVACY 05.03.2008. Privacy, la storia… wLegge n. 675 del 31 dicembre...

IL TESTO UNICO IN MATERIA DI PRIVACY

05.03.2008

Privacy, la storia…

Legge n. 675 del 31 dicembre 1996 - Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali

DPR 28 luglio 1999 n. 318 - Regolamento contenente norme per l'individuazione delle misure minime di sicurezza per il trattamento dei dati personali

Legge 3 novembre 2000 n. 325 - Disposizioni inerenti l'adozione delle misure minime di sicurezza nel trattamento dei dati personali

Legge 675/96

questa legge sulla tutela dei dati personali (nota come legge sulla privacy), ed i successivi decreti attuativi, hanno imposto alle aziende una serie di incombenze mirate a tutelare la privacy dei propri dipendenti, dei clienti, dei fornitori ed in generale di tutti i soggetti di cui l'azienda detiene dati personali o dati sensibili / dati giudiziari

Codice in materia di protezione dei dati personali

Decreto Legislativo 30 giugno 2003, n. 196 G.U. 29 luglio 2003, n. 174 SUPP.ORD.

Testo unico sulla tutela dei dati personali

il testo unico in materia di protezione dei dati personali, approvato dal Consiglio dei ministri il 27 giugno 2003 è ispirato all' introduzione di nuove garanzie per i cittadini ed alla razionalizzazione delle norme esistenti e alla semplificazione.

La privacy oggi

privacy non significa solamente il diritto ad essere lasciati in pace, ma anche il diritto di controllare l'uso e la circolazione dei propri dati personali che costituiscono il bene primario della società dell'informazione.

Il diritto alla privacy

il diritto alla privacy ed alla protezione dei dati personali costituisce un diritto fondamentale delle persone, direttamente collegato alla tutela della dignità umana, come sancito dalla Carta dei diritti fondamentali dell'Unione Europea.

Il Garante

il Garante per la protezione dei dati personali è un'autorità amministrativa indipendente istituita dalla legge sulla privacy (legge n. 675 del 1996).

Che compiti ha il Garante per la protezione dei dati personali?

il Garante ha il compito di vigilare sull'applicazione della legge e sulla protezione dei dati personali.

Definizione di dati personali

“Qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale”

Definizione di dati sensibili

“I dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale”

La legge si applica soltanto agli archivi o alle banche dati?

No, la legge trova applicazione ad ogni operazione di trattamento di informazioni relative alle persone anche a prescindere dall'esistenza di archivi o banche dati.

La legge si applica anche se non si utilizza un computer?

Sì, la legge viene applicata a tutti i trattamenti indipendentemente dal fatto che siano effettuati "con l'ausilio di mezzi elettronici o comunque automatizzati".

Marketing

E' consentito solo con il consenso dell'interessato, l'utilizzo di sistemi automatizzati di chiamata senza l'intervento di un operatore per l'invio di materiale pubblicitario o di vendita diretta o per effettuare ricerche di mercato o comunicazioni commerciali (articolo 130).

Tutela per le informazioni indesiderate

È stata rafforzata la tutela contro le comunicazioni indesiderate (spamming), ribadendo il principio espresso nell'art.130 del codice, il consenso degli interessati, per cui è consentito l'invio di comunicazioni mediante sistemi automatizzati (posta elettronica, fax, dispositivi automatici di chiamata) solo con il preventivo consenso dell'utente interessato: tale tutela è stata estesa anche all'invio di messaggi pubblicitari attraverso Sms e Mms.

Obblighi di sicurezza

Articoli sulle misure di sicurezza

Codice Disciplinare tecnico

Art. 4 - Definizioni Trattamenti Strumenti Elettronici

Punti da 1 a 26

Artt. 31, 32 - Misure di sicurezza

Trattamenti senza l’ausilio di strumenti elettronici

Punti da 27 a 29

Artt. 33, 34, 35 - Misure minime

Art. 36 - Adeguamento

Art. 180 - Disposizioni transitorie

Art. 169 - Sanzioni

Art. 15 – Danni

Misure minime di sicurezza Articolo 4, comma 3

Il complesso delle misure tecniche – informatiche, organizzative, logistiche - procedurali di sicurezza che configurano il livello minimo di protezione richiesto in relazione ai rischi previsti nell’articolo 31

Misure tecnico informatiche

Identificazione dell’incaricato e/o utente Autenticazione dell’incaricato e/o utente Controlli aggiornati antivirus Controllo sull’operato degli addetti manutenzione Controllo dei supporti di memorizzazione Cifratura dei dati trasmessi

Misure organizzative

realizzazione del Documento programmatico analisi dei rischi assegnazione degli incarichi formazione del personale verifiche periodiche su dati o trattamenti non

consentiti o non corretti piano di disaster recovery

Misure logistico-procedurali

ingresso controllato nei locali ove ha luogo il

trattamento registrazione degli accessi custodia in classificatori o armadi non accessibili dispositivi antincendio continuità dell’alimentazione elettrica

Misure minime di sicurezza

Tutti i titolari, al fine di assicurare un livello minimo di protezione dei dati,

indipendentemente dai tipi di strumenti utilizzati (elettronici/non

elettronici), sono tenuti ad adottare le misure minime di sicurezza

individuate nel Codice, rispettando le modalità tecniche previste nel

Disciplinare tecnico (Allegato B)

Documento programmatico sulla sicurezza

una delle più importanti novità introdotte consiste nell'obbligo di riportare nella relazione accompagnatoria del bilancio d'esercizio, se dovuta, dell'avvenuta redazione o aggiornamento del documento programmatico sulla sicurezza.

Documento programmatico della sicurezza (DPS)

Entro il 31 marzo di ogni anno (quest’anno è stata concessauna proroga sino al 30 giugno), il Titolare che effettuitrattamenti di dati utilizzando strumenti elettronici, deveredigere il DPS.

L’elenco dei trattamenti di dati personaliL’elenco dei trattamenti di dati personali

La distribuzione dei compiti e responsabilità nella strutturaLa distribuzione dei compiti e responsabilità nella struttura

L’analisi dei rischi relativi ai dati trattatiL’analisi dei rischi relativi ai dati trattati

Le misure da adottare per garantire l’integrità e la Le misure da adottare per garantire l’integrità e la disponibilità dei dati e la protezione delle aree e dei localidisponibilità dei dati e la protezione delle aree e dei locali

La descrizione dei criteri e delle modalità da adottare per La descrizione dei criteri e delle modalità da adottare per garantire l’integrità dei dati (in seguito a distruzione o garantire l’integrità dei dati (in seguito a distruzione o danneggiamento)danneggiamento)

Mettersi in regola ?

Perché è obbligatorio

è obbligatorio essere in regola. la legge è operativa dal 1 Gennaio

2004 è rappresenta l'ultima occasione concessa per adeguarsi alla normativa.

si rischiano sanzioni molte dure: multe e reclusione, risarcimento del danno patrimoniale e morale ex art. 2050.

Buoni motivi per attivarsi subito

il dispositivo di legge e' vigente al pari di ogni altra legge dello Stato Italiano.


in caso di violazione accertata, sono previste sanzioni di tipo amministrativo (fino a 124.000 Euro) e la reclusione (fino a 3 anni), esclusione dalle gare di appalto, risarcimenti danni. L'Autorità Garante effettua ispezioni e sanziona gli inadempimenti, di recente insieme alla Guardia di Finanza.


in ambito pubblico l'avanzare del governo elettronico pone molteplici problematiche da risolvere in materia di dati.

la tutela della privacy rientra negli allegati dell'avviso dell'e-government, nei progetti qualità e negli accreditamenti istituzionali.

Chi deve adeguarsi

devono adeguarsi tutti coloro che trattano dati personali Aziende Professionisti Cooperative Associazioni P.A. Scuole Comuni Ospedali enti pubblici ecc. (ovvero chiunque tratti dati personali di clienti,

cittadini, dipendenti, fornitori, utenti, pazienti, colleghi, soci, associati ecc.).

gli adempimenti sono diversi a seconda delle dimensioni della struttura e del tipo di trattamento di dati.

Controlli: accordo tra il Garante e la Guardia di Finanza

a Roma è stato siglato un protocollo d’intesa tra la Guardia di finanza ed il Garante della Privacy.

l’accordo ha l'obiettivo di regolare le reciproche forme di intesa finalizzate a porre in essere una sempre più intensa ed efficace attività di controllo sulla raccolta dati.

la Guardia di Finanza collaborerà alle attività ispettive attraverso– la partecipazione di proprio personale agli accessi alle banche dati, ispezioni, verifiche e alle altre

rilevazioni nei luoghi ove si svolge il trattamento– lo sviluppo di attività delegate o sub-delegate per l’accertamento delle violazioni di natura penale ed

amministrativa– l’assistenza nei rapporti con l’Autorità Giudiziaria– il reperimento di dati e informazioni sui soggetti da controllare– inoltre, il Corpo collabora nell’esecuzione di indagini conoscitive sullo stato di attuazione della legge in

determinati settori.

L’Autorità, in merito alle questioni in cui ritenga necessario avvalersi della collaborazione, attiverà il Nucleo Speciale Servizi Extratributari della Guardia di Finanza il quale assicura, con proiezioni su tutto il territorio nazionale, gli adempimenti connessi all’attività collaborativa avvalendosi, se del caso, dei Nuclei di Polizia Tributaria territorialmente competenti.

Cosa si rischia?

sanzioni a seguito di controllo ispettivo (recentemente una parte della Guardia di Finanza é stata dedicata a tale scopo): si rischiano la reclusione e sanzioni pecuniarie fino a 124.000 Euro. La casistica della violazioni che danno diritto a risarcimento del danno è molto varia.

l'art. 2050 c.c. qualifica il trattamento dei dati come attività pericolosa.

a livello pratico significa che chi tratta i dati, per evitare ogni responsabilità, deve dimostrare di aver adottato "tutte le misure idonee ad evitare il danno". Significa dunque che il titolare dei dati deve dare prova documentata (si veda Documento Programmatico Sulla Sicurezza) di aver adottato tutte le misure di sicurezza nella miglior versione possibile.

L’onere della prova

Non è l'interessato a dover provare il danno ma colui che l'ha provocato a dover provare di aver fatto tutto il possibile per evitarlo.

Crimini informatici commessi da dipendenti

la legge 547/93 introduce nel nostro ordinamento vari "crimini informatici", ovvero l’attentato a impianti informatici di pubblica utilità, falsificazione di documenti informatici, accesso abusivo ad un sistema informatico o telematico, detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici, diffusione di programmi diretti a danneggiare o interrompere un sistema informatico, violazione di corrispondenza telematica, intercettazione di e-mail, danneggiamento di sistemi informatici o telematici (...).


il datore di lavoro rischia di essere ritenuto in concorso con il dipendente che ha commesso il crimine informatico, per non aver posto in essere tutte le misure di prevenzione e controllo idonee a garantire la sicurezza del trattamento dei dati


inoltre la mancata adozione di tutte le misure idonee a ridurre al minimo i rischi viene considerata difatti un agevolazione alla commissione del crimine.

Chi deve risarcire il danno

i soggetti tenuti al risarcimento dei danni causati dal trattamento dei dati personali, sono il "titolare" (ossia colui "cui competono le decisioni in ordine alle finalità del trattamento" e "della sicurezza") ed il "responsabile" (ossia colui che è preposto dal titolare al trattamento dei dati, avendo "esperienza, capacità ed affidabilità" tale da fornire "idonea garanzia del pieno rispetto delle disposizioni di legge in materia di trattamento, ivi compreso il profilo relativo alla sicurezza").

Le sanzioni

Amministrative

Omessa, inidonea informativa Dati comuni: 3.000 - 18.000

Dati sensibili: 5.000 - 30.000

Aumento fino al triplo

Cessione dati 5.000 - 30.000

Comunicazione dati sanitari in violazione del Codice 500 - 3.000

Omessa o incompleta notificazione 10.000 - 60.000

Omessa informazione o esibizione di documenti

al Garante 4.000 - 24.000

Le sanzioni (2)

Penali

Trattamento illecito dei dati Dati comuni: Recl. 6 - 18 mesi

Dati sensibili: Recl. 12 - 13 mesi

Falsità in dichiarazioni e notificazioni al Garante Recl. 6 - 36 mesi

Omissione misure minime di sicurezza Arresto fino a 2 anni o ammenda

da 10.000 a 50.000

(ravvedimento operoso)

Inosservanza provvedimenti del Garante Recl. 3 - 24 mesi

Responsabilità civile

Chiunque cagiona ad altri danni per effetto deltrattamento di dati personali è tenuto al risarcimentose non prova di aver adottato tutte le misure idoneeatte ad evitare il danno (art. 2050 c.c.)

Scadenze

Entrata in vigore codice 01.01.2004

DPS 30.06.2004

Notificazione 30.04.2004

Misure minime 30.06.2004

Adeguamento tecnologico 31.12.2004

GRAZIE PER LA CORTESE

ATTENZIONE

Sono abilitati a trattare dati sensibili

gli esercenti le professioni sanitarie a trattare i dati idonei a rivelare lo stato di salute, qualora i dati e le operazioni siano indispensabili per tutelare l'incolumità fisica o la salute di un terzo o della collettività, e il consenso non sia prestato o non possa essere prestato per effettiva irreperibilità;

b) gli organismi e le case di cura private, nonché ogni altro soggetto privato, a trattare con il consenso i dati idonei a rivelare lo stato di salute e la vita sessuale;


c) gli organismi sanitari pubblici, istituiti anche presso università, ivi compresi i soggetti pubblici allorché agiscano nella qualità di autorità sanitarie, a trattare i dati idonei a rivelare lo stato di salute, qualora ricorrano contemporaneamente le seguenti condizioni:

1) il trattamento sia finalizzato alla tutela dell'incolumità fisica e della salute di un terzo o della collettività;

2) manchi il consenso (articolo 76, comma 1, lett. b), del Codice), in quanto non sia prestato o non possa essere prestato per effettiva irreperibilità;

3) non si tratti di attività amministrative correlate a quelle di prevenzione, diagnosi, cura e riabilitazione ai sensi dell'art. 85, commi 1 e 2, del Codice;


• d) anche soggetti diversi da quelli di cui alle lettere a), b) e c) a trattare i dati idonei a rivelare lo stato di salute e la vita sessuale, qualora il trattamento sia necessario per la salvaguardia della vita o dell'incolumità fisica di un terzo. Se la medesima finalità riguarda l'interessato e quest'ultimo non può prestare il proprio consenso per impossibilità fisica, per incapacità di agire o per incapacità d'intendere o di volere, il consenso è manifestato da chi esercita legalmente la potestà, ovvero da un prossimo congiunto, da un familiare, da un convivente o, in loro assenza, dal responsabile della struttura presso cui dimora l'interessato.

• Per l'informativa e, ove previsto, il consenso si osservano anche le disposizioni di cui agli articoli 13, 23, 26 e da 75 a 82 del Codice.

Ambito di applicazione e finalità del trattamento

• 1.1. L'autorizzazione è rilasciata:• a) ai medici-chirurghi, ai farmacisti, agli odontoiatri,

agli psicologi e agli altri esercenti le professioni sanitarie iscritti in albi o in elenchi;

• b) al personale sanitario infermieristico, tecnico e della riabilitazione che esercita l'attività in regime di libera professione;

• c) alle istituzioni e agli organismi sanitari privati, anche quando non operino in rapporto con il servizio sanitario nazionale.


In tali casi, l'autorizzazione è rilasciata anche per consentire ai destinatari di adempiere o di esigere l'adempimento di specifici obblighi o di eseguire specifici compiti previsti da leggi, dalla normativa comunitaria o da regolamenti, in particolare in materia di igiene e di sanità pubblica, di prevenzione delle malattie professionali e degli infortuni, di diagnosi e cura, ivi compresi i trapianti di organi e tessuti, di riabilitazione degli stati di invalidità e di inabilità fisica e psichica, di profilassi delle malattie infettive e diffusive, di tutela della salute mentale, di assistenza farmaceutica e di assistenza sanitaria alle attività sportive o di accertamento, in conformità alla legge, degli illeciti previsti dall'ordinamento sportivo.


Il trattamento può riguardare anche la compilazione di cartelle cliniche, di certificati e di altri documenti di tipo sanitario, ovvero di altri documenti relativi alla gestione amministrativa la cui utilizzazione sia necessaria per i fini appena indicati.

Qualora il perseguimento di tali fini richieda l'espletamento di compiti di organizzazione o di gestione amministrativa, i destinatari della presente autorizzazione devono esigere che i responsabili e gli incaricati del trattamento preposti a tali compiti osservino le stesse regole di segretezza alle quali sono sottoposti i medesimi destinatari della presente autorizzazione, nel rispetto di quanto previsto anche dall'art. 83, comma 1, del Codice.

3) Modalità di trattamento

La comunicazione di dati all'interessato deve avvenire di regola direttamente a quest'ultimo o a un suo delegato (fermo restando quanto previsto dall'art. 84, comma 1, del Codice), in plico chiuso o con altro mezzo idoneo a prevenire la conoscenza da parte di soggetti non autorizzati, anche attraverso la previsione di distanze di cortesia.

4) Conservazione dei dati

Nel quadro del rispetto dell'obbligo previsto dall'art. 11, comma 1, lett. e) del Codice, i dati possono essere conservati per un periodo non superiore a quello necessario per adempiere agli obblighi o ai compiti sopra indicati, ovvero per perseguire le finalità ivi menzionate. A tal fine, anche mediante controlli periodici, deve essere verificata costantemente la stretta pertinenza, non eccedenza e indispensabilità dei dati rispetto al rapporto, alla prestazione o all'incarico in corso, da instaurare o cessati, anche con riferimento ai dati che l'interessato fornisce di propria iniziativa.

Conservazione dei dati


Comunicazione e diffusione dei dati

I dati idonei a rivelare lo stato di salute, esclusi i dati genetici, possono essere comunicati, nei limiti strettamente pertinenti agli obblighi, ai compiti e alle finalità di cui al punto 1), a soggetti pubblici e privati, ivi compresi i fondi e le casse di assistenza sanitaria integrativa, le aziende che svolgono attività strettamente correlate all'esercizio di professioni sanitarie o alla fornitura all'interessato di beni, di prestazioni o di servizi, gli istituti di credito e le imprese assicurative, le associazioni od organizzazioni di volontariato e i familiari dell'interessato.

Comunicazione e diffusione dei dati

Ai sensi degli artt. 22, comma 8, e 26, comma 5, del Codice, i dati idonei a rivelare lo stato di salute non possono essere diffusi.

I dati idonei a rivelare la vita sessuale non possono essere diffusi, salvo il caso in cui la diffusione riguardi dati resi manifestamente pubblici dall'interessato e per i quali l'interessato stesso non abbia manifestato successivamente la sua opposizione per motivi legittimi.

Chi deve risarcire il danno


7) Norme finali

Restano fermi gli obblighi previsti da norme di legge o di regolamento o dalla normativa comunitaria che stabiliscono divieti o limiti più restrittivi in materia di trattamento di dati personali e, in particolare:

a) dall'art. 5, comma 2, della legge 5 giugno 1990, n. 135, come modificato dall'art. 178 del Codice, secondo cui la rilevazione statistica della infezione da HIV deve essere effettuata con modalità che non consentano l'identificazione della persona;

7) Norme finali

Restano altresì fermi gli obblighi di legge che vietano la rivelazione senza giusta causa e l'impiego a proprio o altrui profitto delle notizie coperte dal segreto professionale, nonché gli obblighi deontologici previsti, in particolare, dal Codice di deontologia medica adottato dalla Federazione nazionale degli ordini dei medici chirurghi e degli odontoiatri.

Resta ferma, infine, la possibilità di diffondere dati anonimi anche aggregati e di includerli, in particolare, nelle pubblicazioni a contenuto scientifico o finalizzate all'educazione, alla prevenzione o all'informazione di carattere sanitario.

GRAZIE PER LA CORTESE

ATTENZIONE

IL TESTO UNICO IN MATERIA DI PRIVACY 05.03.2008. Privacy, la storia… wLegge n. 675 del 31 dicembre...

Documents

Transcript of IL TESTO UNICO IN MATERIA DI PRIVACY 05.03.2008. Privacy, la storia… wLegge n. 675 del 31 dicembre...