Il nuovo Codice sulla Privacy Il nuovo Codice sulla Privacy nella scuolanella scuola

Adempimenti obbligatori e scadenzeAdempimenti obbligatori e scadenze

Milano, 12/06/04 Ing. Luca Oldrini - Tecnochora SpaIng. Luca Oldrini - Tecnochora Spa

I SOGGETTI INTERESSATI

• Le aziende

• I liberi professionisti

• Le Pubbliche Amministrazioni

• Le Scuole

• Le associazioni

La Legge

• Il 1 gennaio 2004 è entrato in vigore il Testo Unico Della Privacy, approvato con il Decreto Legislativo n.196 del 30 giugno 2003 ed è quindi stata abrogata la legge 675/1996 e tutti i regolamenti ad essa collegati; è quindi necessario l’adeguamento da parte delle aziende alla nuova disciplina normativa

Le innovazioniLe innovazioni • NotificazioneNotificazione

• Misure di sicurezza (Allegato B)Misure di sicurezza (Allegato B)

• DPSS - Documento Programmatico Sulla SicurezzaDPSS - Documento Programmatico Sulla Sicurezza

• SanzioniSanzioni

La Legge - Gli obblighi

• La Notifica al Garante ex art.37

• Informativa e richiesta del consenso ex art.77

• DPSS - Ex art. 34, comma 1, lett.g e Allegato B

• Formazione ex art. 83, comma 2, lett.h

• Misure minime di sicurezza ex artt. da 33 a 35 e all'allegato B

Le Scadenze• Il DPSS – Documento Programmatico sulla sicurezza deve essere

aggiornato entro il 31 marzo di ogni anno

• Le misure minime di sicurezza che non erano previste dal D.P.R. 318/99, devono essere adottate entro il 30 giugno 2004

• La Notifica al Garante entro il 30 aprile 2004

La Legge

La notifica al Garante

L’art. 37 del Codice tratta nel dettaglio la notificazione ed i suoi

contenuti. Rovescia la precedente impostazione, tale per cui

tutti i soggetti non esplicitamente esentati dovevano notificare, e

indica solo i pochi casi nei quali la notifica va effettuata:

• nel trattamento di dati sensibili, specie se sanitari

• nella definizione della tipologia dei consumatori

• nella selezione del personale

• ricerche di marketing

la notifica va comunque effettuata solo per via telematica

Chi è il Garante ?

E’ un organo collegiale istituito allo scopo di:

• provvedere a che i dati dell’interessato siano trattati secondo gli

obblighi di legge;

• sorvegliare il regolare funzionamento del meccanismo;

• farsi motore primo di informazione ed educazione dei cittadini

sui diritti e doveri di questa legge.

I dati personali

L’art. 4 definisce “dato personale” qualunque informazione

relativa a persona fisica, giuridica, ente od associazione,

identificati o identificabili, anche indirettamente, mediante

riferimento a qualsiasi altra informazione, ivi compreso un

numero di identificazione personale”

All’interno della categoria dati personali la legge

introduce:

i dati sensibili afferenti alle convinzioni politiche e

filosofiche,

alla salute, ad affiliazioni partitiche e sindacali

dell’interessato.

La legge pretende cautele di alto livello nel loro

trattaemnto e custodia

Obblighi legislativi minimiEffettuazione e correttezza di informative e consenso

• nella lettera di informativa e la richiesta di consenso vanno suddivise le varie finalità del trattamento, richiedendo per ognuna di esse uno specifico consenso. Vanno con chiarezza delineati:

1) quali dati possono essere trattati

2)per quali finalità possono essere trattati

3)se ed a quali enti possono eventualmente essere comunicati

E SE IL CONSENSO VIENE NEGATO?

• Nella lettera di informativa e richiesta di consenso, il titolare deve indicare quali potrebbero essere le conseguenze di un eventuale rifiuto dell’interessato a concedere il consenso al trattamento , nonché indicazioni in merito al fatto che tale consenso possa essere facoltativo

Obblighi legislativi minimiConsenso

• Se i dati personali sono presenti in elenchi pubblici, come ad esempio un elenco telefonico o gli archivi delle camere di commercio, il titolare non ha obblighi particolare. Ma se il successivo trattamento diventa sgradito all’interessato (come l’invio di materiale pubblicitario a domicilio), egli ha il diritto di farsi cancellare

Esistenza di trattamenti che non necessitano di consensoAcquisizione e correttezza del consenso:

Obblighi legislativi minimiFormazione ed informazione obbligatorie

Tra i vari adempimenti, che variano a seconda

della tipologia dei dati trattati dalle aziende, c’è la

previsione di interventi formativi degli incaricati del

trattamento: la formazione deve

essere programmata sia al momento dell’ingresso al

servizio, in occasione di cambio di mansioni e/o

all’introduzione di nuovi strumenti significativi

rispetto al trattamento dei dati.

Obblighi legislativi minimiFormazione ed informazione obbligatorie

Gli attori del mondo PRIVACY:

• l’interessato è il cittadino o l’entità, anche aziendale o la persona giuridica, cui i dati personali si riferiscono

• il titolare del trattamento è chiunque raccoglie, tratta e comunque gestisce dati personali

• Il responsabile del trattamento è colui che, sotto il controllo diretto del titolare, può provvedere all’ordinaria gestione ed all’attuazione di tutte quelle precauzioni di natura tecnica, procedurale ed organizzativa, che possano meglio far rispettare la legge

• gli Incaricati del trattamento sono tutti coloro che contribuiscono al funzionamento della macchina aziendale e pertanto hanno obblighi e responsabilità precise nel trattare i dati personali, che ricadono nel loro ambito operativo…tutti questi operatori devono ricevere una formazione e specifiche istruzioni.

Le sanzioni

E’ quindi molto importante adeguarsi, in quanto le nuove sanzioni sono E’ quindi molto importante adeguarsi, in quanto le nuove sanzioni sono

molto pesanti:molto pesanti:

• multe da 3.000 a 50.000 Euro, triplicabili se la sanzione “risulta multe da 3.000 a 50.000 Euro, triplicabili se la sanzione “risulta inefficace in ragione delle condizioni economiche del contravventore”inefficace in ragione delle condizioni economiche del contravventore”

• reclusione fino a tre annireclusione fino a tre anni

• risarcimento del danno patrimoniale e moralerisarcimento del danno patrimoniale e morale

Il termine ultimo per aggiornarsi è il 30 giugno 2004, entro tale Il termine ultimo per aggiornarsi è il 30 giugno 2004, entro tale

data occorre redigere il DPSS e pianificare gli adeguamenti data occorre redigere il DPSS e pianificare gli adeguamenti

che varieranno a seconda delle dimensioni aziendaliche varieranno a seconda delle dimensioni aziendali

L’intervento di Tecnochoraper l’adeguamento agli obblighi di legge• Organizzazione uffici

- organizzazione degli uffici, in maniera tale che nessuna persona esterna, o non autorizzata, possa avere impropriamente accesso ad informazioni riservate, sia esse cartacee, sia elettroniche

- verifica di tutta la modulistica cartacea diretta all’esterno, e protezione di quest’ultima da usi impropri mediante appsosite diciture e modalità d’invio

- individuazione di una o più persone, responsabili del rispetto delle norme minime di sicurezza

• Organizzazione personal computer e reti- verifica dei pc per la conformità con la legislazione vigente - Configurazione con password di accesso per singoli utenti e per utente “master”- verifica della rete circa la dotazione delle misure previste per l’accesso riservato e limitato- Verifiche sui software gestionali, screen saver- Verifica della corretta installazione dei software antivirus- Istruzione degli eventuali utenti che utilizzano Internet e/o la posta elettronica, per un uso

corretto di questi mezzi, atto a non violare la privacy delle persone che si contattano- Organizzazione di backup dei dati, con cadenza e metodi da definire

L’intervento di Tecnochoraper l’adeguamento agli obblighi di legge

• Formazione ed istruzione utenti e titolari con consegna materiale formativo e configurazioni pc/rete

- formazione del personale e dei responsabili per il trattamento

• Redazione DPSS, il Documento Programmatico sulla Sicurezza, che deve aggiornato entro il 31 marzo di ogni anno, e che costituisce il vademecum delle misure adottate per garantire un livello minimo di protezione dei dati personali, unico documento che attesta l’adeguamento dell’azienda alla normativa

• Manutenzione annuale

L’intervento TecnochoraModalità di esecuzione

• Check up sopralluogo e applicazione della “check list” di

conformità

• Redazione e consegna del “Report” con indicazione delle azioni

da intraprendere per l’adeguamento personalizzato alle specifiche aziendali

(dati trattati, tecnologia, personale, etc.)

Interazioni con Sistemi di gestione

ISO 14001ISO 14001

BS 7799/2BS 7799/2d.Lgs 231/01d.Lgs 231/01

Iso 9001:2001Iso 9001:2001