Privacy e Conservazione

Relatore Dott. Marco Parretti

Pisa, 22 Aprile 2015

Alcune definizioni

a) "trattamento", qualunque operazione o complesso di operazioni, effettuati anche senza l'ausilio di strumenti elettronici, concernenti la raccolta, la

registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione,

la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il

blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati,

anche se non registrati in una banca di dati;

b) "dato personale", qualunque informazione relativa a persona fisica identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra

informazione, ivi compreso un numero di identificazione personale.

(modificata dal d.l. 201/2011)

Titolare: persona fisica, giuridica, pubblica amministrazione e qualsiasi altro ente, cui

competono le decisioni in ordine alle finalità,

modalità del trattamento dei dati personali

ed agli strumenti utilizzati ivi compreso il

profilo della sicurezza

Responsabile: persona fisica o giuridica, pubblica amministrazione e qualsiasi altro

ente, associazione o organismo preposti dal

titolare del trattamento di dati personali

Incaricati: persone fisiche autorizzate a compiere operazioni di trattamento dal

titolare o dal responsabile

Interessato: persona fisica i cui dati personali

vengono trattati

I soggetti coinvolti

ADEMPIMENTI PER IL TRATTAMENTO

1. Rispetto dei principi (art. 11 del Codice Privacy)

2. Informativa (art. 13 del Codice Privacy)

3. Consenso (art. 23 del Codice Privacy)

4. Misure di sicurezza (art. 31 del Codice Privacy)

Codice Privacy: adempimenti

Dati personali oggetto di trattamento sono custoditi e controllati, anche in

relazione alle conoscenze acquisite in base al progresso tecnico, alla

natura dei dati e alle specifiche caratteristiche del trattamento, in modo

da ridurre al minimo, mediante l'adozione di idonee e preventive misure di

sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi,

di accesso non autorizzato o di trattamento non consentito o non

conforme alle finalità della raccolta.

Misure di sicurezza:

art. 31 ed All. B al D.lgs. 196/2003

Sistema di autenticazione informatica:

credenziali di autenticazione di cui siano

assicurate segretezza e diligenza nella

custodia; parole chiave ad almeno 8

caratteri

Adozione di procedure di gestione delle

credenziali di autenticazione

Misure di sicurezza

ATTUAZIONI PRATICHE TRATTAMENTI CON STRUMENTI ELETTRONICI

Misure di sicurezza

ATTUAZIONI PRATICHE

Utilizzazione di un sistema di autorizzazione

Aggiornamento periodico dell’individuazione dell’ambito del trattamento

consentito ai singoli incaricati alla gestione o alla manutenzione degli

strumenti elettronici

Protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti,

ad accessi non consentiti e a determinati programmi informatici;

Adozione di procedure per la custodia di copie di sicurezza, il ripristino della

disponibilità dei dati e dei sistemi;

Tenuta di un aggiornato Documento programmatico sulla sicurezza,

descrittivo delle misure di sicurezza adottate e di come è struttura la privacy

nell’azienda

TRATTAMENTI CON STRUMENTI ELETTRONICI

I profili di autorizzazione, per ciascun incaricato o per classi omogenee di incaricati, sono individuati e configurati anteriormente all'inizio del trattamento, in modo da limitare l'accesso ai soli dati necessari per effettuare le operazioni di

trattamento. Periodicamente, e comunque almeno annualmente, è verificata la sussistenza delle condizioni per la conservazione dei profili di autorizzazione.

Misure di sicurezza:

dati elettronici

TRATTAMENTI CON STRUMENTI ELETTRONICI

Firewall - I dati personali sono protetti contro il rischio di intrusione e dell'azione di programmi di cui all'art. 615-quinquies del codice penale, mediante l'attivazione di idonei strumenti elettronici da aggiornare con cadenza almeno semestrale.

Antivirus - Gli aggiornamenti periodici dei programmi per elaboratore volti a prevenire la vulnerabilità di strumenti elettronici e a correggerne difetti sono effettuati almeno annualmente. In caso di trattamento di dati sensibili o giudiziari l'aggiornamento è almeno semestrale.

Misure di sicurezza:

dati elettronici

Back-up - Sono impartite istruzioni

organizzative e tecniche che prevedono il

salvataggio dei dati con frequenza almeno

settimanale

Misure di sicurezza:

dati elettronici

Il trattamento di dati personali con

strumenti elettronici è consentito

agli incaricati dotati di credenziali

di autenticazione che consentano il

superamento di una procedura di

autenticazione relativa a uno

specifico trattamento o a un

insieme di trattamenti.

Misure di sicurezza:

dati elettronici

La parola chiave:

•deve essere modificata almeno ogni 6 mesi. In caso di trattamento di dati sensibili e di dati giudiziari almeno

ogni 3 mesi

•deve essere composta da almeno otto caratteri

alfanumerici e non deve contenere riferimenti agevolmente riconducibili all'incaricato

•deve contenere almeno un carattere maiuscolo, un

carattere minuscolo, un numero o un carattere non alfanumerico tipo “@#§£$%..”,

Le credenziali di autenticazione non utilizzate da almeno

sei mesi sono disattivate.

Sono impartite istruzioni agli incaricati per non lasciare

incustodito e accessibile lo strumento elettronico durante

una sessione di trattamento.

SANZIONI

Violazioni amministrative

(artt. 161 – 166 codice privacy)

Illeciti penali

(artt. 167 -172 codice privacy)

Codice Privacy: sanzioni

Illecito penale

Chiunque, essendovi tenuto,

omette di adottare le misure minime previste dall’art. 33

è punito con l’arresto sino a 2 anni

o con l’ammenda da 10.000 € a 50.000 €.

L’art. 169 del D.lgs. 196 del 2003

L’articolo 6 c. 5 del DPCM 3 dicembre 2013 definisce il responsabile della

conservazione come «colui che definisce e attua le politiche complessive del

sistema di conservazione e ne governa la gestione con piena responsabilità

ed autonomia». E’ colui che apponendo la sottoscrizione elettronica e la

marca temporale, garantisce il corretto svolgimento della procedura.

Il responsabile della conservazione

In particolare, egli definisce le

caratteristiche e i requisiti del sistema di

conservazione in funzione della tipologia

di documenti da conservare digitalmente

(analogici o informatici), utilizzando

procedure autonomamente realizzate

purchè documentate, inoltre adotta le

misure necessarie per la sicurezza fisica e

logica del sistema di conservazione (art. 7

lettera i ).

Il responsabile della conservazione

In merito alla conservazione dei documenti fiscali, si puntualizza che la

responsabilità fiscale e tributaria resta a carico del contribuente, quella

operativa è del Responsabile che segue il processo di conservazione.

Il responsabile della conservazione

Il legislatore non ha previsto una disciplina ad hoc che regoli il rapporto tra

il Responsabile della conservazione e il soggetto emittente (la società,

titolare della documentazione).

In ogni caso la responsabilità ad egli attribuita non può estendersi alla

rappresentazione dei fatti rappresentati nei documenti assoggettati a

conservazione, deve ritenersi che il responsabile possa essere

legittimamente chiamato a rispondere del solo fatto di non aver

conservato i documenti in modo corretto ed appropriato o di non essere

stato in grado di fornire i documenti nei modi e nei tempi richiesti.

Il responsabile della conservazione

In ragione del ruolo ricoperto al responsabile è richiesto un grado di

diligenza maggiore(ex art. 1176 c.2 C.C.) rispetto a quella normalmente

richiesta nell’esecuzione di un contratto. In assenza della diligenza richiesta

nello svolgimento dell’attività professionale, egli potrà rispondere

d’inadempimento contrattuale.

A seconda della tipologia di contratto stipulato tra il responsabile della

conservazione e la società, potranno poi delinearsi differenti tipologie di

responsabilità, da analizzare singolarmente.

Il responsabile della conservazione

Grazie! Dott. Marco Parretti

mparretti@consulentelegaleinformatico.it

Copyright

Il materiale didattico (ivi inclusi, ma non limitatamente, il testo, immagini, fotografie, grafica) è di proprietà esclusiva e riservata della società Colin & Partners Srl, e protetto dalle leggi sul copyright ed in generale dalle vigenti norme nazionali ed internazionali in materia. Il materiale fornito potrà essere riprodotto solo a scopo didattico per il presente corso ed ogni altra riproduzione o utilizzo in toto o in parte è vietata salvo esplicita autorizzazione per scritto e a priori da parte della Colin & Partners Srl.

Le informazioni contenute nel materiale didattico sono da ritenersi esatte esclusivamente alla data di svolgimento del corso e potranno essere soggette a variazioni, in base alle modifiche legislative intervenute, in relazione alle quali la Colin & Partners Srl non si assume l’onere di inviare l’aggiornamento, salvo diversamente stabilito contrattualmente tra le parti.

Contatti

Sede legale e amministrativa: Via Cividale, 51 – Montecatini Terme (PT) 51016

Tel. +39 0572 78166

Fax +39 0572 294540 Partita Iva e Codice Fiscale: 01651060475

Le nostre sedi: Montecatini Terme (PT), Roma, Milano, Lucca

www.consulentelegaleinformatico.it

Per richieste progetti e preventivi:

info@consulentelegaleinformatico.it

Per organizzare eventi e corsi di formazione:

comunicazione@consulentelegaleinformatico.it

Seguici su: