PRINCIPALI ADEMPIMENTI, RESPONSABILITÀ E SANZIONI · PDF fileNEL CODICE DELLA PRIVACY...

Click here to load reader

  • date post

    18-Feb-2019
  • Category

    Documents

  • view

    219
  • download

    0

Embed Size (px)

Transcript of PRINCIPALI ADEMPIMENTI, RESPONSABILITÀ E SANZIONI · PDF fileNEL CODICE DELLA PRIVACY...

PRINCIPALI ADEMPIMENTI, RESPONSABILIT E SANZIONI NEL CODICE DELLA PRIVACY

1

Principali Adempimenti

D.lgs. 196/03

Adempimenti verso lautorit garante

Notificazione

Autorizzazione

Adempimenti verso gli interessati Adempimenti verso gli interessati

Informativa

Richiesta di consenso

Adempimenti interni (o organizzativi)

Misure minime di sicurezza

2

Adempimenti verso lAutorit

Garante: Notificazione

La notificazione una dichiarazione

attraverso la quale il Titolare comunica al

Garante lesistenza di unattivit di

trattamento dei dati personalitrattamento dei dati personali

Ieri: obbligo di notificazione quasi

generalizzato

Oggi: notevolmente ridimensionato lobbligo

di notificazione (articolo 37 D. lgs. 196/03)

3

La notificazione

Il titolare notifica al Garante il trattamento di dati personali cui intende procedere, solo se il trattamento riguarda:

dati genetici, biometrici o dati che indicano la posizione geografica di persone od oggetti mediante una rete di comunicazione elettronica;

dati idonei a rivelare lo stato di salute e la vita dati idonei a rivelare lo stato di salute e la vita sessuale, trattati a fini di procreazione assistita, prestazione di servizi sanitari per via telematica relativi a banche di dati o alla fornitura di beni, indagini epidemiologiche, rilevazione di malattie mentali, infettive e diffusive, sieropositivit, trapianto di organi e tessuti e monitoraggio della spesa sanitaria

4

La notificazione

dati idonei a rivelare la vita sessuale o la sfera psichica trattati da associazioni, enti od organismi senza scopo di lucro, anche non riconosciuti, a carattere politico, filosofico, religioso o sindacale;

dati trattati con l'ausilio di strumenti elettronici volti a definire il profilo o la personalit volti a definire il profilo o la personalit dell'interessato, o ad analizzare abitudini o scelte di consumo, ovvero a monitorare l'utilizzo di servizi di comunicazione elettronica con esclusione dei trattamenti tecnicamente indispensabili per fornire i servizi medesimi agli utenti;

5

La notificazione

dati sensibili registrati in banche di dati a fini di

selezione del personale per conto terzi, nonch

dati sensibili utilizzati per sondaggi di opinione,

ricerche di mercato e altre ricerche campionarie

dati registrati in apposite banche di dati gestite dati registrati in apposite banche di dati gestite

con strumenti elettronici e relative al rischio sulla

solvibilit economica, alla situazione

patrimoniale, al corretto adempimento di

obbligazioni, a comportamenti illeciti o

fraudolenti

6

La notificazione

In quale momento si presenta la notificazione? Prima che inizi il trattamento medesimo

Quante volte si notifica? Una sola volta

Come si notifica? Come si notifica? Esclusivamente per via telematica, tramite il sito

www.garanteprivacy.it

Quando va ripetuta? In caso di definitiva cessazione dellattivit di

trattamento

In caso di modifiche agli elementi da indicare nella notificazione

7

Richiesta di Autorizzazione

al Garante

E un adempimento previsto per tutti i titolari che

trattano dati sensibili e giudiziari

Tenuto conto dellaltissimo numero di soggetti Tenuto conto dellaltissimo numero di soggetti

interessati, il legislatore ha previsto le

Autorizzazioni Generali concesse a determinate

categorie di titolari o di trattamenti

8

Autorizzazioni generali al

trattamento di dati sensibili

Trattamento dati nei rapporti di lavoro

Trattamento dati da parte di diverse categorie di titolari ( p. es. attivit bancarie, creditizie, assicurative)

Trattamento dati da parte di organismi di tipo Trattamento dati da parte di organismi di tipo associativo e delle fondazioni

Trattamento dati da parte di liberi professionisti

Trattamento dati da parte di investigatori privati

Trattamento dati a carattere giudiziario da parte di privati, enti pubblici economici e di soggetti pubblici

9

Gli adempimenti verso gli

interessati: linformativa

Prevista dallarticolo 13 del Codice Privacy

Si tratta di una comunicazione finalizzata ad

informare linteressato su:

I soggetti che effettueranno il trattamento I soggetti che effettueranno il trattamento

Le finalit del trattamento

Le modalit del trattamento

I diritti dellinteressato

10

Richiesta di autorizzazione

allinteressato

Prevista dallarticolo 23 del Codice Privacy

Consenso scritto nellipotesi di trattamento di dati sensibili e giudiziari

Per i dati comuni, si richiede il consenso espresso Per i dati comuni, si richiede il consenso espresso Comma 3: il consenso validamente prestato solo se

documentato per iscritto

Deroghe allobbligo di consenso da parte dellinteressato (art. 24 e 26) Trattamento necessario per adempiere ad obblighi

normativi

Trattamento necessario per eseguire obblighi derivanti da un contratto del quale parte linteressato

11

DISCIPLINARE TECNICO IN MATERIA DI MISURE MINIME

DI SICUREZZA

12

Misure minime di sicurezza

Credenziali di autenticazione

Formate da user ID e password

Caratteristiche password

Almeno 8 caratteri Almeno 8 caratteri

Non riconducibile al soggetto

Modificata dopo il primo utilizzo e ogni 6 o 3 mesi a

seconda dei trattamenti

13

Misure minime di sicurezza

Gestione delle credenziali

Disattivazione per

Mancato utilizzo per almeno 6 mesi

Perdita della qualit che permette laccesso ai dati

Garantire la disponibilit dei dati o degli strumenti

elettronici in caso di prolungata assenza o

impedimento dellincaricato che goda delle credenziali

di autenticazione

14

Misure minime di sicurezza

Sistema di autorizzazione

Verifica almeno annuale delle condizioni per

lautorizzazione

Protezione contro intrusioni esterne Protezione contro intrusioni esterne

Es. antivirus

Almeno ogni 6 mesi

15

Misure minime di sicurezza

Protezione interna del sistema

Protezione interna da eventuali errori del sistema

Annuale per i dati comuni

Semestrale per i dati sensibili e giudiziari

Salvataggio dati e ripristino allaccesso dei dati

Backup (o disaster recovery) almeno settimanale

Ripartenza entro massimo una settimana

16

Misure minime di sicurezza

Ladempimento pi importante previsto nel

codice il D.P.S. (Documento programmatico per

la sicurezza)

Il DPS deve essere redatto o aggiornato, entro il Il DPS deve essere redatto o aggiornato, entro il

31 marzo di ogni anno, dal titolare del

trattamento di dati sensibili o giudiziari,

effettuato con strumenti elettronici.

17

D.P.S.

Non solo un adempimento normativo

E soprattutto un valido strumento di analisi

Contestualizza lanalisi, la valutazione e la

gestione del rischiogestione del rischio

Solleva solo da responsabilit penali

18

Obbligo di redazione

Il trattamento dei dati personali effettuato con

strumenti elettronici consentito solo se, tra le

misure minime di sicurezza, si tiene aggiornato un

documento programmatico sulla sicurezza (art.

34)34)

Entro il 31 marzo di ogni anno, il titolare di un

trattamento di dati sensibili o di dati giudiziari

redige anche attraverso il responsabile, se

designato, un documento programmatico sulla

sicurezza (reg. 19, all. B)

19

Obbligo di redazione

Art. 34: DPS per coloro che trattano tutti i tipi di

dati personali purch con strumenti elettronici

Reg. 19, all. B: solo i titolari di dati sensibili o

giudiziari, a prescindere dalle modalit di giudiziari, a prescindere dalle modalit di

trattamento (e dunque anche in assenza di

strumenti elettronici)

20

Composizione D.P.S.

Lelenco dei trattamenti

I compiti e le responsabilit dei soggetti incaricati

al trattamento

La protezione delle aree e dei locali in relazione

alla loro custodia ed accessibilitalla loro custodia ed accessibilit

Lanalisi dei rischi con lindividuazione delle

modalit che possono essere poste a favore del

ripristino della disponibilit dei dati qualora si

verifichino episodi di distruzione o

danneggiamento

21

Composizione D.P.S.

I criteri per ladozione delle misure minime di

sicurezza in caso di trattamenti di dati personali

affidati allesterno della struttura (outsourcing)

Gli interventi formativi in tema di analisi dei rischi

che incombono sui dati

Criteri adottati per la separazione dei dati sensibili

da quelli comuni.

Protezione contro laccesso abusivo con strumenti

hardware e software

Particolari misure fisiche e logiche di protezione

per i dati genetici (cifratura)22

Misure di prevenzione

La sicurezza totale non esiste:

INFORMAZIONEINFORMAZIONE

AGGIORNAMENTO