M. Parretti - Privacy e Conservazione
-
Upload
camera-di-commercio-di-pisa -
Category
Law
-
view
55 -
download
1
Transcript of M. Parretti - Privacy e Conservazione
Privacy e Conservazione
Relatore Dott. Marco Parretti
Pisa, 22 Aprile 2015
Alcune definizioni
a) "trattamento", qualunque operazione o complesso di operazioni, effettuati anche senza l'ausilio di strumenti elettronici, concernenti la raccolta, la
registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione,
la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il
blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati,
anche se non registrati in una banca di dati;
b) "dato personale", qualunque informazione relativa a persona fisica identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra
informazione, ivi compreso un numero di identificazione personale.
(modificata dal d.l. 201/2011)
Titolare: persona fisica, giuridica, pubblica amministrazione e qualsiasi altro ente, cui
competono le decisioni in ordine alle finalità,
modalità del trattamento dei dati personali
ed agli strumenti utilizzati ivi compreso il
profilo della sicurezza
Responsabile: persona fisica o giuridica, pubblica amministrazione e qualsiasi altro
ente, associazione o organismo preposti dal
titolare del trattamento di dati personali
Incaricati: persone fisiche autorizzate a compiere operazioni di trattamento dal
titolare o dal responsabile
Interessato: persona fisica i cui dati personali
vengono trattati
I soggetti coinvolti
ADEMPIMENTI PER IL TRATTAMENTO
1. Rispetto dei principi (art. 11 del Codice Privacy)
2. Informativa (art. 13 del Codice Privacy)
3. Consenso (art. 23 del Codice Privacy)
4. Misure di sicurezza (art. 31 del Codice Privacy)
Codice Privacy: adempimenti
Dati personali oggetto di trattamento sono custoditi e controllati, anche in
relazione alle conoscenze acquisite in base al progresso tecnico, alla
natura dei dati e alle specifiche caratteristiche del trattamento, in modo
da ridurre al minimo, mediante l'adozione di idonee e preventive misure di
sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi,
di accesso non autorizzato o di trattamento non consentito o non
conforme alle finalità della raccolta.
Misure di sicurezza:
art. 31 ed All. B al D.lgs. 196/2003
Sistema di autenticazione informatica:
credenziali di autenticazione di cui siano
assicurate segretezza e diligenza nella
custodia; parole chiave ad almeno 8
caratteri
Adozione di procedure di gestione delle
credenziali di autenticazione
Misure di sicurezza
ATTUAZIONI PRATICHE TRATTAMENTI CON STRUMENTI ELETTRONICI
Misure di sicurezza
ATTUAZIONI PRATICHE
Utilizzazione di un sistema di autorizzazione
Aggiornamento periodico dell’individuazione dell’ambito del trattamento
consentito ai singoli incaricati alla gestione o alla manutenzione degli
strumenti elettronici
Protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti,
ad accessi non consentiti e a determinati programmi informatici;
Adozione di procedure per la custodia di copie di sicurezza, il ripristino della
disponibilità dei dati e dei sistemi;
Tenuta di un aggiornato Documento programmatico sulla sicurezza,
descrittivo delle misure di sicurezza adottate e di come è struttura la privacy
nell’azienda
TRATTAMENTI CON STRUMENTI ELETTRONICI
I profili di autorizzazione, per ciascun incaricato o per classi omogenee di incaricati, sono individuati e configurati anteriormente all'inizio del trattamento, in modo da limitare l'accesso ai soli dati necessari per effettuare le operazioni di
trattamento. Periodicamente, e comunque almeno annualmente, è verificata la sussistenza delle condizioni per la conservazione dei profili di autorizzazione.
Misure di sicurezza:
dati elettronici
TRATTAMENTI CON STRUMENTI ELETTRONICI
Firewall - I dati personali sono protetti contro il rischio di intrusione e dell'azione di programmi di cui all'art. 615-quinquies del codice penale, mediante l'attivazione di idonei strumenti elettronici da aggiornare con cadenza almeno semestrale.
Antivirus - Gli aggiornamenti periodici dei programmi per elaboratore volti a prevenire la vulnerabilità di strumenti elettronici e a correggerne difetti sono effettuati almeno annualmente. In caso di trattamento di dati sensibili o giudiziari l'aggiornamento è almeno semestrale.
Misure di sicurezza:
dati elettronici
Back-up - Sono impartite istruzioni
organizzative e tecniche che prevedono il
salvataggio dei dati con frequenza almeno
settimanale
Misure di sicurezza:
dati elettronici
Il trattamento di dati personali con
strumenti elettronici è consentito
agli incaricati dotati di credenziali
di autenticazione che consentano il
superamento di una procedura di
autenticazione relativa a uno
specifico trattamento o a un
insieme di trattamenti.
Misure di sicurezza:
dati elettronici
La parola chiave:
•deve essere modificata almeno ogni 6 mesi. In caso di trattamento di dati sensibili e di dati giudiziari almeno
ogni 3 mesi
•deve essere composta da almeno otto caratteri
alfanumerici e non deve contenere riferimenti agevolmente riconducibili all'incaricato
•deve contenere almeno un carattere maiuscolo, un
carattere minuscolo, un numero o un carattere non alfanumerico tipo “@#§£$%..”,
Le credenziali di autenticazione non utilizzate da almeno
sei mesi sono disattivate.
Sono impartite istruzioni agli incaricati per non lasciare
incustodito e accessibile lo strumento elettronico durante
una sessione di trattamento.
SANZIONI
Violazioni amministrative
(artt. 161 – 166 codice privacy)
Illeciti penali
(artt. 167 -172 codice privacy)
Codice Privacy: sanzioni
Illecito penale
Chiunque, essendovi tenuto,
omette di adottare le misure minime previste dall’art. 33
è punito con l’arresto sino a 2 anni
o con l’ammenda da 10.000 € a 50.000 €.
L’art. 169 del D.lgs. 196 del 2003
L’articolo 6 c. 5 del DPCM 3 dicembre 2013 definisce il responsabile della
conservazione come «colui che definisce e attua le politiche complessive del
sistema di conservazione e ne governa la gestione con piena responsabilità
ed autonomia». E’ colui che apponendo la sottoscrizione elettronica e la
marca temporale, garantisce il corretto svolgimento della procedura.
Il responsabile della conservazione
In particolare, egli definisce le
caratteristiche e i requisiti del sistema di
conservazione in funzione della tipologia
di documenti da conservare digitalmente
(analogici o informatici), utilizzando
procedure autonomamente realizzate
purchè documentate, inoltre adotta le
misure necessarie per la sicurezza fisica e
logica del sistema di conservazione (art. 7
lettera i ).
Il responsabile della conservazione
In merito alla conservazione dei documenti fiscali, si puntualizza che la
responsabilità fiscale e tributaria resta a carico del contribuente, quella
operativa è del Responsabile che segue il processo di conservazione.
Il responsabile della conservazione
Il legislatore non ha previsto una disciplina ad hoc che regoli il rapporto tra
il Responsabile della conservazione e il soggetto emittente (la società,
titolare della documentazione).
In ogni caso la responsabilità ad egli attribuita non può estendersi alla
rappresentazione dei fatti rappresentati nei documenti assoggettati a
conservazione, deve ritenersi che il responsabile possa essere
legittimamente chiamato a rispondere del solo fatto di non aver
conservato i documenti in modo corretto ed appropriato o di non essere
stato in grado di fornire i documenti nei modi e nei tempi richiesti.
Il responsabile della conservazione
In ragione del ruolo ricoperto al responsabile è richiesto un grado di
diligenza maggiore(ex art. 1176 c.2 C.C.) rispetto a quella normalmente
richiesta nell’esecuzione di un contratto. In assenza della diligenza richiesta
nello svolgimento dell’attività professionale, egli potrà rispondere
d’inadempimento contrattuale.
A seconda della tipologia di contratto stipulato tra il responsabile della
conservazione e la società, potranno poi delinearsi differenti tipologie di
responsabilità, da analizzare singolarmente.
Il responsabile della conservazione
Grazie! Dott. Marco Parretti
Copyright
Il materiale didattico (ivi inclusi, ma non limitatamente, il testo, immagini, fotografie, grafica) è di proprietà esclusiva e riservata della società Colin & Partners Srl, e protetto dalle leggi sul copyright ed in generale dalle vigenti norme nazionali ed internazionali in materia. Il materiale fornito potrà essere riprodotto solo a scopo didattico per il presente corso ed ogni altra riproduzione o utilizzo in toto o in parte è vietata salvo esplicita autorizzazione per scritto e a priori da parte della Colin & Partners Srl.
Le informazioni contenute nel materiale didattico sono da ritenersi esatte esclusivamente alla data di svolgimento del corso e potranno essere soggette a variazioni, in base alle modifiche legislative intervenute, in relazione alle quali la Colin & Partners Srl non si assume l’onere di inviare l’aggiornamento, salvo diversamente stabilito contrattualmente tra le parti.
Contatti
Sede legale e amministrativa: Via Cividale, 51 – Montecatini Terme (PT) 51016
Tel. +39 0572 78166
Fax +39 0572 294540 Partita Iva e Codice Fiscale: 01651060475
Le nostre sedi: Montecatini Terme (PT), Roma, Milano, Lucca
www.consulentelegaleinformatico.it
Per richieste progetti e preventivi:
Per organizzare eventi e corsi di formazione:
Seguici su: