Piazza Rondanini, 48 - 00186 Roma Tel. +39 06 68 44 11 Fax +39 06 68 44 13 99 PRIVACY E SICUREZZA...

Piazza Rondanini, 48 - 00186 Roma Tel. +39 06 68 44 11 Fax +39 06 68 44 13 99 www.crui.it

PRIVACY E SICUREZZANormativa e adempimenti

Roma, 25 maggio 2004

Privacy e SicurezzaNormative e adempimenti

Struttura dell’intervento

• Riferimenti normativi

• Il Codice in materia di protezione dei dati personali

• Struttura e definizioni

• Adempimenti/scadenze

• Il codice di deontologia e buona condotta per i trattamenti di dati personali per scopi statistici e

scientifici


RIFERIMENTI NORMATIVI


Normativa Oggetto

Direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre

1995

A

Tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati

Legge 31 dicembre 1996, n. 675

B

Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali

DPR 28 luglio 1999, n. 318

C

Regolamento recante norme per l’individuazione delle misure minime di sicurezza per il trattamento dei dati personali, a norma dell’art. 15, comma 2, della L. 675/96

Normative di riferimento antecedenti al codice (1/2)


Normativa Oggetto

D

E

F

Direttiva 97/66/CE del Parlamento europeo e del Consiglio, del 15 dicembre 1997

Trattamento dei dati personali e tutela della vita privata nel settore delle telecomunicazioni

Disposizioni in materia di tutela della vita privata nel settore delle telecomunicazioni, in attuazione della Direttiva 97/66/CE del Parlamento europeo e del Consiglio, ed in tema di attività giornalistica

D.Lgs. 13 maggio 1998, n. 171

Direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002

Trattamento dei dati personali e tutela della vita privata nel settore delle comunicazioni elettroniche

Normative di riferimento antecedenti al codice (2/2)


Testo Unico

D.Lgs 30 giugno 2003, n. 196 “Codice in materia di protezione dei dati personali”

Allegato A – CODICE DI DEONTOLOGIA

a.1 Codice di deontologia relativo al trattamento dei dati personali

nell’esercizio dell’attività giornalistica

a.2 Trattamento dei dati personali per scopi storici

a.3 Trattamento dei dati personali a scopi statistici in ambito sistan

Trattamento dei dati personali a scopi scientifici e statistici (in corso di Trattamento dei dati personali a scopi scientifici e statistici (in corso di

pubblicazione) pubblicazione)

1

Allegato B – DISCIPLINARE TECNICO

• in materia di misure minime di sicurezza

2

TAVOLA DI CORRISPONDENZA

• riferimenti previgenti al Codice in materia di protezione dei dati personali

3


ll Garante per la protezione della privacy

Il Garante per la protezione dei dati personali è un’autorità indipendente istituita dalla legge sulla privacy (legge 31 dicembre 1996 n. 675) per assicurare la tutela dei diritti e delle libertà fondamentali ed il rispetto della dignità nel trattamento dei dati personali. Da quando è stata istituita,l’autorità ha emanato diverse deliberazioni tra le quali si segnala:

DELIBERAZIONE DEL 31 MARZO 2004, n.1

Chiarimenti sugli obblighi di notificazione

Opportunità di interlocuzione con il Garante

Sito: www.garanteprivacy.it

http://www.garanteprivacy.it/garante/document?ID=28335

http://www.garanteprovacy.it/





Principi fondamentali 1/2

Il Codice in materia di protezione dei dati personali ha un impianto nel quale assume specifica

rilevanza la trama dei principi, da adattare poi alla molteplicità delle situazioni concrete.

Irrobustisce il sistema della protezione dei dati personali, ormai solidamente collocata nel

quadro dei diritti fondamentali. Fa così crescere le garanzie per la libertà delle persone.

Rappresenta il primo esempio, su scala internazionale, di riordino generale di una materia

complessa e mutevole.

1

L’innovazione sul piano dei principi si coglie fin dal primo articolo del Codice, che riproduce il

primo comma dell’art. 8 della Carta dei diritti fondamentali dell’Unione Europea (ora presente

anche nell’articolo 50 del Progetto di Trattato che istituisce una Costituzione per l’Europa):

“Chiunque ha diritto alla protezione dei dati personali che lo riguardano”

2

Il trasferimento di questa norma nel sistema italiano rende non più proponibili interpretazioni

riduttive della protezione dei dati personali, e stabilisce un legame solido tra ordinamento

italiano e ordinamento europeo. E il Legislatore ha voluto ulteriormente ribadire la sua volontà

di considerare la protezione dei dati come un diritto fondamentale, nominandola

esplicitamente nell’art. 2 del Codice

3


Testo Unico - principi fondamentali 2/2

• Occorre dimensionarsi per assicurare un “elevato livello di tutela” (art. 2.2 - Testo Unico)

1

• Le modalità adottate devono perseguire la semplificazione e l’efficacia (art. 2.2 - Testo Unico)- per l’esercizio dei diritti dell’interessato- per gli obblighi del titolare

2

• Adottare sistemi informativi che minimizzino l’uso di dati personali e identifichino l’interessato solo quando necessario (art. 3.1 - Testo Unico)

3

Principi fondamentali


Testo Unico – definizioni: notificazione 1/2

La notificazione: è una dichiarazione ufficiale mediante la quale, un soggetto pubblico o privato rende note al Garante per la protezione della privacy le caratteristiche principali dell’utilizzo dei dati personali da parte del titolare del trattamento dei dp, ovvero del soggetto cui competono le decisioni in ordine alle finalità e modalità del trattamento dp, inclusa la sicurezza

La notificazione va trasmessa al Garante, tramite il sito internet del medesimo e utilizzando la procedura indicata nelle istruzioni.

Per perfezionare la notificazione è necessario sottoscriverla con firma digitale (art. 10, comma 3, d.P.R. n. 445/2000). A tal fine, il titolare del trattamento deve utilizzare un dispositivo di firma digitale disponibile presso uno dei certificatori accreditati ai sensi dell’art. 2, comma 1, lett. c), d. lg. n. 10/2002. L’elenco dei certificatori è rinvenibile sul sito http://www.cnipa.gov.it/.

Per le attività di trattamento dei dati che non esistevano prima del 1° gennaio 2004, la notificazione va effettuata prima che inizi il trattamento medesimo. Per le attività che erano già in essere prima del 1° gennaio 2004, la notificazione si poteva effettuare entro il 30 aprile 2004.

La notificazione va effettuata una sola volta, indipendentemente dalla durata, dal tipo e dal numero delle operazioni di trattamento, sia che si effettui un solo trattamento, sia che si curino più attività di trattamento con finalità correlate tra loro.

http://www.cnipa.gov.it/








Testo Unico. Definizioni principali: notificazione 2/2

•A partire dal 1°gennaio 2004 sono tenuti a notificare solo alcuni soggetti, ossia solo i titolari che effettuano una o più attività di trattamento tra quelle specificamente indicate dal Codice (la precedente normativa, invece, prevedeva per tutti i titolari l’obbligo di effettuare la notificazione, a meno che potessero avvalersi dei casi di esonero o di possibile utilizzazione di una notificazione semplificata). I casi espressamente previsti dal codice (art.37) riguardano:

•Dati genetici e biometrici, •Posizione geografica di persone od oggetti, •Dati sulla salute o sulla vita sessuale utilizzati per prestare servizi sanitari per via telematica,• Dati sulla vita sessuale o sulla sfera psichica trattati da organismi no-profit, •Strumenti elettronici per profilare interessati o utenti di servizi di comunicazione elettronica• Rilevazione del rischio sulla solvibilità economica o di comportamenti illeciti o fraudolenti.

• Il Garante potrà individuare, con un proprio provvedimento, nell’ambito dei trattamenti che devono essere notificati, alcuni trattamenti che presentano minori rischi per i diritti degli interessati e che possono pertanto essere esonerati dalla notificazione; potrà, al contrario, anche indicare altri trattamenti al momento non indicati espressamente dalla legge, che dovranno essere notificati. Le notificazioni sono inserite in un registro pubblico che sarà consultabile gratuitamente da tutti on-line.

• Il titolare che non è tenuto alla notificazione deve comunque fornire le notizie contenute nel modello di notificazione a chi ne fa richiesta (nell’esercizio del diritto di accesso e degli altri diritti riconosciuti all’interessato), a meno che il trattamento riguardi pubblici registri, elenchi, atti o documenti conoscibili da chiunque.


Testo Unico – definizioni principali: dati sensibili

I dati sensibili (art. 22 l. 675/96):”I dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale…”

I dati giudiziari, “i dati personali idonei a rivelare provvedimenti di cui all'articolo 3, comma 1, lettere da a) a o) e da r) a u), del d.P.R. 14 novembre 2002, n. 313, in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualità di imputato o di indagato ai sensi degli articoli 60 e 61 del codice di procedura penale”;


Testo Unico – definizioni principali: il Titolare dei dp

Il titolare dei dati personali può essere la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza;

Compiti:

- ha il potere decisionale sulle maggiori scelte relative all’utilizzo dei dati personali e sulla loro protezione

- determina le competenze dei responsabili


Testo Unico – definizioni principali: il responsabile dei dp

Il responsabile è “la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali;

I compiti del responsabile devono essere analiticamente precisati per iscritto. L’atto di nomina può essere qualificato, in termini giuridici, come un contratto di mandato, in virtù del quale il mandante (titolare) incarica il mandatario (responsabile) dello svolgimento di determinate attività rilevanti in materia di protezione e sicurezza dei dati


Testo Unico. Definizioni: Il Documento Programmatico sulla Sicurezza 1/2

D.P.S.

Il Documento Programmatico della Sicurezza è un documento aziendale con valore ufficiale che deve

obbligatoriamente essere redatto entro il 31 marzo di ogni anno dai Titolar dei dp che trattano con

strumenti elettronici dati sensibili o giudiziari.

Deve contenere: Piano d’interventi per:

• l’ elenco dei trattamenti

• la distribuzione di compiti e responsabilità

• l’analisi dei rischi

• la descrizione delle misure per l’integrità e la disponibilità dei dati

• misure per la protezione di aree e locali dove si effettuano i trattamenti

• la descrizione di criteri e modalità per il ripristino di disponibilità dei dati in caso di smarrimento o danneggiamento

• assunzione

• cambiamenti di mansione

• introduzione di strumenti significativi per il trattamento di dati personali

• la descrizione di criteri atti a garantire l’adozione delle misure minime in caso di trattamenti affidati all’esterno

• i criteri per la cifratura o la separazione dei dati sulla salute o sulla vita sessuale, utilizzati da organismi o professionisti sanitari.


Testo Unico. Definizioni: Il Documento Programmatico della sicurezza 2/2

In base al nuovo Codice, la misura minima del DPS deve essere ora adottata dal titolare di un trattamento di dati sensibili o giudiziari effettuato con strumenti elettronici, attraverso l’organo, ufficio o persona fisica a ciò legittimata in base all’ordinamento aziendale o della pubblica amministrazione interessata (art. 34, comma 1, lett. g), del Codice; regola 19 dell’Allegato B)).


Testo Unico. Definizioni: Misure minime

Artt. 33, 34, 35, 36 T.U. e Disciplinare (allegato B)

a) autenticazione informatica;

b) adozione di procedure di gestione delle credenziali di autenticazione;

c) utilizzazione di un sistema di autorizzazione;

d) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici;

e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici;

f) adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi;

g) tenuta di un aggiornato documento programmatico sulla sicurezza;

h) adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari.

Trattamento con strumenti elettronici Trattamento senza strumenti elettronici

a) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati o alle unità organizzative;

b) previsione di procedure per un'idonea custodia di atti e documenti affidati agli incaricati per lo svolgimento dei relativi compiti;

c) previsione di procedure per la conservazione di determinati atti in archivi ad accesso selezionato e disciplina delle modalità di accesso finalizzata all'identificazione degli incaricati.

La violazione di tali misure comporta sanzioni penali (art. 169, T.U.)


Testo Unico. Definizioni: Misure adeguate

MISURE ADEGUATE

Hanno come parametro non più la legge, ma la miglior tecnologia del momento storico

ART. 31 T.U.

I dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.

La violazione di tali misure comporta responsabilità civile (art. 31, T.U.)


Le scadenze 1/2

In base a quanto previsto dal codice, entro il 31 marzo di ogni anno e, in sede di prima applicazione, entro il 30 giugno 2004, Pubbliche Amministrazioni ed aziende private dovranno provvedere all’adozione di nuove misure minime di sicurezza e, fra queste, alla redazione del Documento Programmatico per la Sicurezza (DPS)

La mancata applicazione espone il Titolare del trattamento dei dati personali a sanzione penale (art.169) – mitigata dal principio della prescrizione

ART. 169 – Testo Unico

1. Chiunque, essendovi tenuto, omette di adottare le misure minime previste dall'articolo 33 è punito con l'arresto sino a due anni o con l'ammenda da diecimila euro a cinquantamila euro.

2. All'autore del reato, all'atto dell'accertamento o, nei casi complessi, anche con successivo atto del Garante, è impartita una prescrizione fissando un termine per la regolarizzazione non eccedente il periodo di tempo tecnicamente necessario, prorogabile in caso di particolare complessità o per l'oggettiva difficoltà dell'adempimento e comunque non superiore a sei mesi. Nei sessanta giorni successivi allo scadere del termine, se risulta l'adempimento alla prescrizione, l'autore del reato è ammesso dal Garante a pagare una somma pari al quarto del massimo dell'ammenda stabilita per la contravvenzione. L'adempimento e il pagamento estinguono il reato. L'organo che impartisce la prescrizione e il pubblico ministero provvedono nei modi di cui agli articoli 21, 22, 23 e 24 del decreto legislativo 19 dicembre 1994, n. 758, e successive modificazioni, in quanto applicabili.


Le scadenze 2/2

Data certa per descrivere le obiettive ragioni tecniche che non consentono di applicare immediatamente alcune nuove misure minime (documento utilizzabile unicamente nel caso del tutto particolare previsto dall’art. 180, comma 2, del Codice per i soli strumenti elettronici) .

1° gennaio 2005

Adozione nuove misure minime su strumenti elettronici non previste in base alla precedente disciplina (solo per i soggetti legittimati a predisporre il predetto documento a data certa).

30 giugno 2004


Vantaggi assicurati dalla normativa

• La distribuzione delle responsabilità, anche penali, legate alle operazioni di trattamento

1

• Una più corretta osservanza della Legge

2

VantaggiL’articolazione dei ruoli DP (dati personali) con la nomina a Responsabile e l’individuazione degli Incaricati al trattamento (art. 29 e art. 30 T.U.) assicura:


La sicurezza 1/2

La sicurezza

• Adozione di un livello minimo di sicurezza, in ogni caso (art. 33, T.U.)

2

• Minimizzazione dei rischi di sicurezza in relazione a:- Distruzione e perdita di dati- Accesso non autorizzato- Trattamento non consentito o non conforme a

finalità (art.31, T.U.)

1


La sicurezza 2/2

Sicurezza minima e adeguata

SICUREZZA MINIMA SICUREZZA ADEGUATA

LIVELLO DI PROTEZIONE

Elenco tassativo basato su natura dei dati (comuni e/o sensibili) e sui seguenti scenari:

• Trattamento con strumenti elettronici

• Trattamento senza strumenti elettronici

Valutazione basata su:

• Progresso tecnico

• Natura dei dati

• Caratteristiche del trattamento


Gestione dei curricula

I curricula devono essere conservati in archivi controllati periodicamente, se valutati “interessanti”. In caso contrario devono essere distrutti

Arrivo Curriculum

1

Valutazione

2

Distruzione o Conservazione

3

Adempimenti

4

Controllo Archivi

5

Gestione curricula:


Accesso alla valutazioni

1• Il fascicolo personale del dipendente, contenente le anagrafiche ma

anche giudizi e note di merito, costituisce “Dato Personale”

2• Il lavoratore può esercitare i diritti di cui all’art. 7 T.U.

3• L’azienda deve rispondere entro 15 giorni

4• La procedura di valutazione deve essere terminata


Il PC aziendale

• Il controllo del PC del dipendente può integrare una violazione degli artt. 4 e 8 della Legge 300/70 (Statuto dei Lavoratori)

• Occorre bilanciare i vantaggi ed i rischi connessi all’uso degli strumenti elettronici

PC aziendale

in aiuto

• Trasparenza

• Proporzionalità

• Non eccedenza

Principi data protection

• Informativa

• Nomina a Incaricato o Responsabile

Adempimenti


E-mail aziendale

Secondo il Garante

• La posta elettronica è equiparata alla posta cartacea

- Principio di segretezza

- Divieto di intercettazione

Secondo un’isolata giurisprudenza

• La posta elettronica aziendale è un bene aziendale e sono leciti i controlli sulla stessa


Policy Privacy

Policy Privacy

Sono le norme di comportamento interne per limitare l’uso privato di e-mail o internet in azienda

Linee Guida – Policy Privacy

• I lavoratori non hanno facoltà di utilizzare gli strumenti telematici di lavoro per fini meramente personali, se non espressamente autorizzati

• Il collegamento telematico non può essere usato per scaricare software gratuiti presenti su siti internet

• La casella di posta elettronica assegnata deve essere utilizzata unicamente per le attività inerenti la propria mansione

• Il datore di lavoro si impegna a rispettare la riservatezza del dipendente, nella piena osservanza dei principi dello Statuto dei Lavoratori e della normativa privacy


Misure di sicurezza sui dati personali


D. P. S. (Documento Programmatico sulla Sicurezza)

MISURE SPECIFICHE FREQUENZA

MISURE MINIME RIFERIMENTI NORMATIVI

DPR. 318ALL.BT.U.

Redazione del documento 34.1, g) 19. 6.1

Elenco dei trattamenti 34.1, g) 19.1

Distribuzione di compiti e responsabilità 34.1, g) 19.2 6.1

Analisi dei rischi 34.1, g) 19.3 6.1

Misure per l’integrità e la disponibilità dei dati 34.1, g)19.4 1° parte 6.1, b)

Misure per la protezione di aree e locali dove si effettuano i trattamenti 34.1, g)

19.4 2° parte 6.1, a)

Descrizione di criteri per il ripristino di disponibilità dei dati in caso di distruzione o danneggiamento 34.1, g) 19.5

Piano interventi formativi in occasione di: a) assunzione b) cambiamenti di mansione; c) introduzione di strumenti significativi per il trattamento dei dati

34.1, g) 19.6 6.1, d)

Descrizione di criteri atti a garantire l’adozione delle misure minime in caso di trattamenti affidati all’esterno 34.1, g) 19,7

Criteri per la cifratura o separazione di dati sulla vita sessuale o la salute, utilizzati da organismi o prof. sanitari 34.1, g) 19,8

In prima applicazione

entro il 30.06.04

Entro il 31.03 di ogni anno

Attestazione dell’avvenuta redazione o aggiornamento del DPS nella relazione al bilancio di esercizio 34.1, g) 26. (6.1)

In fase di approv. del bilancio


Sistema di autorizzazione



DPR. 318ALL.BT.U.

Adozione di un sistema di autorizzazione in presenza di più profili diversi 34.1, c) 12. 5.1, 1°

per

Individuazione e configurazione dei profili di autorizzazione, prima del trattamento e secondo le necessità d’uso dei dati

34.1, c) 14. 5.4

Verifica esistenza dei requisiti per la conservazione dei profili 34.1, c) 14.

Almeno ogni anno 5.3, ul

per


Sistema di autenticazione 1/2



DPR. 318ALL.BT.U.

Incaricati con credenziali di autenticazione che abilitino ad effettuare trattamenti individuati 34.1, a) 1. 4.1, a)

Codice identificativo e parola chiave esclusivi oppure dispositivo di autenticazione esclusivo 34.1, a) 2.

2.1, a)

4.1,a)

Assegnazione di una o più credenziali di autenticazione per ciascun incaricato 34.1, a) 3.

4.1, a)

pr. parte

Istruzioni in merito alla segretezza della parola chiave o equivalente, e corretta custodia dei dispositivi 34.1, a) 4. 2.1, b)

Parola chiave di almeno 8 caratteri o del massimo di quelli consentiti dalla applicazione e non facilmente ricostruibile 34.1, a) 5.

Aggiornamento della parola chiave 34.1, a) 5.Almeno ogni 6

mesi

Parola chiave da modificare dopo il primo uso 34.1, f) 5. 2.1, a)

Codice identificativo non riassegnabile, nemmeno in tempi diversi 34.1, a) 6.

4.1, a), sec. parte


Sistema di autenticazione 2/2



DPR. 318ALL.BT.U.

Disattivazione delle credenziali di autenticazione per disuso, salvo che per scopi di gestione tecnica 34.1, b) 7. 4.1, b)Ogni 6 mesi in

caso di disuso

Disattivazione delle credenziali di autenticazione per perdita delle qualità del profilo di accesso 34.1, b) 8. 4.1, b)Immediata

Istruzioni in merito al presidio ed alla non accessibilità dello strumento elettronico da parte di terzi, durante le sessioni di lavoro

34.1, b) 9.

Disposizioni scritte in merito alla custodia di copia delle credenziali, per assicurare la disponibilità dei dati o di strumenti, in caso di prolungata assenza o impedimento dell'interessato

34.1, b) 10.

Esenzione dall'obbligo del sistema di autenticazione per dati destinati alla diffusione 34.1, b) 11. 4.1 e 5.7

Aggiornamento della parola chiave 34.1, b)5. ult. per.

Almeno ogni 3 mesi


Altre Misure – Trattamento con strumenti elettronici (1/2)



DPR. 318ALL.BT.U.

Aggiornamento della determinazione dell’ambito di autorizzazione, per incaricato o per classi omogenee 34.1, d) 15.

Almeno ogni anno

Attivazione di strumenti contro il rischio di intrusione o di programmi pericolosi (art. 615-quinquies c.p.) 34.1, e)

16. 1° parte

4.1, c)

Aggiornamento degli strumenti anti-intrusione e anti-programmi pericolosi 34.1, e)

16. 2° parte

Almeno ogni 6 mesi 4.1, c)

Aggiornamento del software per la prevenzione contro la vulnerabilità dei sistemi e per la correzione dei difetti 34.1, e) 17.

Almeno ogni anno

Rilascio di attestazione scritta di quanto fatto e attestazione di conformità all'Allegato B del Codice, in caso di esecuzione di misure minime ad opera di terzi per conto del titolare

25.

Istruzioni per il salvataggio dei dati 34.1, f) 18. (6.1, b)Ogni 7 giorni

Aggiornamento del software per la prevenzione contro la vulnerabilità dei sistemi e per la correzione dei difetti 34.1, e) 17. Ult

per

Almeno ogni 6 mesi

Protezione contro l'accesso abusivo mediante idonei

strumenti elettronici (art.615-ter c.p.) 34.1, e) 20(6.1 c) 2°

parte


Altre Misure – Trattamento con strumenti elettronici (2/2)



DPR. 318ALL.BT.U.

Istruzioni per custodia ed uso dei supporti contenenti dati per evitare accessi non autorizzati o trattamenti non consentiti

34.1, e) 21.

10

Distruzione o inutilizzabilità per i supporti non più utilizzati o provocarne tecnicamente la non ricostruibilità delle informazioni in essi memorizzate

34.1, e) 22.

(7.1)

Adozione di idonee misure per il ripristino dei dati 34.1, f) 23.Entro 7 giorni

Per dati sanitari e sulla vita sessuale da parte di organismi ed operatori sanitari, cifratura e codici identificativi 34.1, h) 24.

Per dati genetici, trattamento in locali protetti accessibili ai soli incaricati autorizzati. Trasporto fisico dei dati all'esterno in contenitori con serratura o dispositivi analoghi. Trasmissione elettronica cifrata.

34.1, h) 24. u. p.

9.2, a)9.2, b)6.1, c)


Altre Misure – Trattamento senza strumenti elettronici



DPR. 318ALL.BT.U.

Controllo e custodia, da parte degli incaricati, di atti e documenti adoperati per lo svolgimento del lavoro 35.1, b) 28. 9.2, b)

Accesso agli archivi controllato 35.1, c) 29. 9.2, b)

Identificazione e registrazione del personale ammesso agli archivi dopo l'orario di lavoro 35.1, c) 29. 2°

per9.2, b)

Preventiva autorizzazione di chi accede agli archivi, in assenza o di strumenti elettronici per il controllo degli accessi, o di incaricati alla vigilanza

35.1, c)29. Ult per 9.1, a) e

b)

Istruzioni scritte agli incaricati per controllo e custodia di atti e documenti 35.1, a) 27. 9.1, a)

Aggiornamento della determinazione dell'ambito di autorizzazione, per incaricato o per classi omogenee 35.1, c)

27. Ult per

Almeno ogni anno


CODICE DI DEONTOLOGIA E DI BUONA CONDOTTA PER I TRATTAMENTI DI DATI PERSONALI PER SCOPI

STATISTICI E SCIENTIFICI


CODICE DI DEONTOLOGIA E DI BUONA CONDOTTA PER I TRATTAMENTI DI DATI PERSONALI PER SCOPI STATISTICI E SCIENTIFICI

il Codice di deontologia e buona condotta per il trattamento dei dati personali utilizzati per scopi statistici e scientifici è stato sottoscritto in via preliminare, presso il Garante della privacy, dai rappresentanti della Conferenza dei Rettori delle Università Italiane (CRUI) e di dieci società scientifiche:Associazione italiana di epidemiologia, Associazione italiana di sociologia, Consiglio italiano per le scienze sociali, Società italiana degli economisti, Società italiana di biometria, Società italiana di demografia storica, Società italiana di igiene medicina preventiva e sanità pubblica, Società italiana di statistica, Società italiana di statistica medica ed epidemiologia clinica, Assirm (l’Associazione tra istituti di ricerche di mercato, sondaggi di opinione, ricerca sociale).



Il codice si collega alle garanzie già previste dalla disciplina sui trattamenti effettuati nell’ambito del Sistema statistico nazionale, individuando le cautele da adottare per il trattamento di dati sensibili e giudiziari anche per attività di ricerca medica, biomedica ed epidemiologica e per le ricerche di mercato che non siano connesse alle attività commerciali e di informazione commerciale. Le ricerche dovranno essere effettuate conformemente agli standard metodologici del pertinente settore disciplinare sulla base di un progetto che potrà essere consultato per verificare la corretta applicazione della normativa sulla privacy.

Sono previste, inoltre, specifiche regole di condotta e misure di sicurezza soprattutto in relazione alla conservazione dei dati identificativi.

Il codice deontologico per la statistica privata verrà pubblicato sulla Gazzetta Ufficiale ed entrerà in vigore il 1 ottobre 2004.

Prima di verificare la conformità del codice alle leggi ed ai regolamenti e curarne la pubblicazione in Gazzetta Ufficiale, l’Autorità ha comunque deciso di renderlo pubblico sul proprio sito, allo scopo di sollecitare i soggetti interessati a formulare osservazioni (ai sensi dell’art. 12 del Codice in materia di protezione dei dati personali). Tali osservazioni dovranno pervenire entro il 31 maggio: l’avviso è pubblicato sulla Gazzetta Ufficiale.



Principi di riferimento

Adeguate basi di dati individuali – se necessario personali (riferiti cioè a persone identificate o identificabili) – costituiscono l’indispensabile supporto informativo per rispondere a importanti interrogativi conoscitivi e per valutare, e indirettamente per elaborare teorie scentifiche.

La ricerca scientifica ha sì bisogno di trattare dati individuali, ma mira a risultati generali, che non hanno ricadute dirette sui singoli e non ne mettono a rischio la privacy .

La funzione del codice è individuata nel contemperamento di "valori" e "diritti" diversi. A fronte del diritto alla privacy, sono messe in luce le necessità della ricerca scientifica e le ragioni che ne sono alla base: il principio della libertà della ricerca, costituzionalmente garantito, e le esigenze di sviluppo della ricerca

per migliorare le condizioni della società.



Debbono valere due presupposti:

▪ In ragione del soggetto: deve trattarsi di un’università o altro ente di ricerca o società scientifica, oppure di un singolo ricercatore che operi in un’università o ente di ricerca o sia socio di una società scientifica.

▪ In ragione della materia, si richiede al ricercatore responsabile di predisporre un progetto di ricerca, redatto secondo gli standard dei protocolli di ricerca del pertinente settore disciplinare.

L’ambito di applicazione



il codice deontologico traccia una chiara distinzione fra dati personali e dati anonimi. La nozione di dato personale è circoscritta: sono considerati tali solo i dati che consentono l’identificazione di una persona con l’utilizzo di "mezzi ragionevoli".

Buona parte delle basi di dati utilizzate nella ricerca scientifica sono dunque da considerarsi anonime; quindi, non interessate dalla normativa sulla privacy, che si applica solo ai dati personali.

Inoltre, si stabilisce, ad integrazione di quanto disposto dal TU, quando siano sufficienti per gli scopi di una ricerca, saranno utilizzati dati anonimi. Altrimenti, si utilizzeranno in maniera oculata dati personali: senza eccessive bardature burocratiche e, insieme, assicurando un’adeguata protezione della privacy.

Piazza Rondanini, 48 - 00186 Roma Tel. +39 06 68 44 11 Fax +39 06 68 44 13 99 PRIVACY E SICUREZZA...

Documents

Transcript of Piazza Rondanini, 48 - 00186 Roma Tel. +39 06 68 44 11 Fax +39 06 68 44 13 99 PRIVACY E SICUREZZA...