Università degli Studi di Catania Area Servizi Generali Ufficio Relazioni con il PubblicoGiusi...

Università degli Studi di CataniaArea Servizi GeneraliUfficio Relazioni con il Pubblico Giusi Gravagna

Dec. Lgs. 196/03Dec. Lgs. 196/03

Codice in materia di protezione dei dati personaliCodice in materia di protezione dei dati personali

PRIVACY significatoPRIVACY significato

Codice in materia di protezione dei dati personali

UNIVERSITA’ DEGLI STUDI DI CATANIAUfficio Relazioni con il Pubblico Giusi Gravagna

ieri

Privacy RISERVATEZZA

oggi

Privacy CONTROLLO DEI PROPRI DATI



Dalla segretezza al controllo

Nasce il diritto alla protezione ed al controllo sulla circolazione dei propri dati personali

In Italia nel 1996 la legge 675 tutela questo diritto



Il diritto e la legislazione

Questo diritto è riportato nella Carta dei diritti fondamentali dell’Unione europea art 8:

Ogni individuo ha diritto alla protezione dei dati di carattere personale che lo riguardano.Tali dati devono essere trattati secondo il principio di lealtà, per finalità determinate e in base al consenso della persona interessata o a un altro fondamento legittimo previsto dalla legge. Ogni individuo ha il diritto di accedere ai dati raccolti che lo riguardano e di ottenerne la rettifica.Il rispetto di tali regole è soggetto al controllo di un'autorità indipendente



Il diritto e la legislazione

Il primo gennaio del 2004 è entrato in vigore il decreto legislativo n. 196 del 30 giugno 2003

CODICECODICE IN MATERIA DI PROTEZIONE DEI DATI IN MATERIA DI PROTEZIONE DEI DATI PERSONALIPERSONALI



Il codice configura un insieme di regole che rappresentano il punto di equilibrio tra l’interesse

individuale al controllo dei dati e l’interesse collettivo alla circolazione delle informazioni

CODICECODICE IN MATERIA DI PROTEZIONE DEI DATI IN MATERIA DI PROTEZIONE DEI DATI

PERSONALIPERSONALI



Il Codice Il Codice composto da 186 articoli è diviso in tre parti:Il Codice composto da 186 articoli è diviso in tre parti:

• la prima dedicata alle disposizioni generali e le regole del trattamento per il settore pubblico e per quello privato

• la seconda dedicata a specifici settori• la terza contiene disposizioni relative alle azioni di

tutela dell’interessato e al sistema sanzionatorio e disposizioni relative all’Ufficio del Garante



Il CodiceCompletano il testo normativo:• All.A contenente i Codici deontologici per specifici Codici deontologici per specifici

settorisettori• All.B recante il Disciplinare Tecnico in materia di Disciplinare Tecnico in materia di

misure minime di sicurezzamisure minime di sicurezza • All.C relativo ai trattamenti non occasionalitrattamenti non occasionali in

ambito giudiziario e per fini di polizia



ART. 1CHIUNQUE HA DIRITTO ALLA PROTEZIONE DEI DATI

PERSONALI CHE LO RIGUARDANO



F i n a l i t a’



Art. 2 comma 1Garantire che il trattamento si svolga nel rispetto dei diritti e delle libertà fondamentali, nonché dell’interessato, con particolare riferimento alla riservatezza, all’identità personale e al diritto alla protezione dei dati personali

Finalita’ del codice



Finalita’ del codice

Art. 2 comma 2Il trattamento dei dati personali è disciplinato assicurando un elevato livello di tutela dei diritti e delle libertà di cui al comma 1 nel rispetto dei principi di semplificazione, armonizzazione ed efficacia delle modalità previste per il loro esercizio da parte degli interessati, nonchè per l’adempimento degli obblighi da parte dei titolari del trattamento



DEFINIZIONI

Art. 4del codice



Cosa c’è da proteggere?

I dati personaliI dati personali



DEFINIZIONI

dato personaledato personale

Qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale



Criteri per la definizione di dato personaleCriteri per la definizione di dato personale

Capacità del dato di identificare una persona fisica

Capacità del dato di avere effetti su una persona fisica

Capacità del dato di identificare ed avere effetti su una persona fisica.

E’ dato personale ciò che permette di differenziare un soggetto da tutti gli altri



DEFINIZIONI

Dati identificativi e Dati identificativi e dati anonimidati anonimi

• Dati identificativi: dati personali che permettono l’identificazione diretta dell’interessato (nome e cognome, data di nascita, codice fiscale, ecc.)

• Dati anonimi: dati che in origine o a seguito di trattamento non possono essere associati ad un interessato identificato od identificabile



Esempi di dato personaleEsempi di dato personale

• Pippo Bianchi nato a Catanzaro il 1/1/10 non è un dato personale

• Pippo Bianchi ha comprato una casa in Sardegna è un dato personale

• Dati sulle fatture pagate dall’Università alle aziende fornitrici sono dati personali

• La voce di Pippo Bianchi l’immagine del suo volto sono dati personali



DEFINIZIONI

dato sensibiledato sensibile

I "dati sensibili", sono i dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonchè i dati personali idonei a rivelare lo stato di salute e la vita sessuale



DEFINIZIONI

dato giudiziariodato giudiziario

I dati giudiziari sono i dati personali idonei a rivelare provvedimenti di cui all’art. 3 comma 1,(….) del d.P.R. 14 novembre 2002 n. 313 in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti o la qualità di imputato o indagato ai sensi dell’art. 60 e 61 del codice di procedura penale



DEFINIZIONI

trattamentotrattamentoQUALUNQUE operazione o complesso di operazioni effettuati anche senza l’ausilio di strumenti elettroniciconcernente:raccolta, registrazione, organizzazione, conservazione, consultazione, elaborazione, modificazione, selezione, estrazione, raffronto, utilizzo, interconnessione, blocco, comunicazione, diffusione, cancellazione, distruzione di datianche se non registrati in una banca dati



DEFINIZIONI

Banca datiBanca dati

Qualsiasi complesso organizzato di dati personali, ripartito in una o più unità dislocate in uno o più siti



Banca datiBanca dati

insieme di dati (e quindi di informazioni personali), raccolti in una o più unità di supporto (cartacee o informatiche), ed organizzati secondo un criterio determinato tale da facilitarne il trattamento



Chi sono i soggetti che effettuano il trattamento ?

TitolareTitolare

ResponsabileResponsabile

IncaricatoIncaricato



DEFINIZIONI

titolaretitolare

La persona fisica, la persona giuridica, la pubblica amministrazione, e qualsiasi altro ente, associazione, organismo cui competono,anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento e agli strumenti utilizzati, compreso il profilo della sicurezza



DEFINIZIONI

RESPONSABILERESPONSABILE

La persona fisica, la persona giuridica, la pubblica amministrazione, e qualsiasi altro ente, associazione, organismo, preposti dal titolare, al trattamento di dati personali



DEFINIZIONI


Inoltre art. 29 sul Responsabile del trattamento

1. Il responsabile è designato dal Titolare facoltativamente2. Se designato, il responsabile è individuato tra i soggetti che,

per esperienza, capacità ed affidabilità forniscono idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento ivi compreso il profilo relativo alla sicurezza



DEFINIZIONI


Inoltre art. 29 sul Responsabile del trattamento:

3. I compiti affidati al responsabili sono analiticamente specificati per iscritto dal titolare

4. Il responsabile effettua il trattamento attenendosi alle istruzioni impartite dal titolare, il quale, anche tramite verifiche periodiche, vigila sulla puntuale osservanza delle disposizioni di cui al comma 2 e delle proprie istruzioni



DEFINIZIONI

incaricatoincaricato

Persona fisica autorizzata dal titolare o dal responsabile a compiere operazioni di trattamento, attenendosi alle istruzioni impartite. La designazione è effettuata per iscritto dal titolare o dal responsabile ed individua puntualmente l’ambito del trattamento consentito



Interessato

Incaricato

Interessato

Incaricato

Interessato

Incaricato

R esponsabile

Interessato

Incaricato

Interessato

Incaricato

Interessato

Incaricato

R esponsabile E sterno

T ito lare

I soggetti del trattamentoI soggetti del trattamento



DEFINIZIONI

L’amministratore di sistema L’amministratore di sistema (ADS)(ADS)

Il Provvedimento del Garante della Privacy del 27 novembre 2008

● Destinatari del provvedimento● Chi è l'amministratore di sistema ● Quali requisiti deve avere l'AdS



Destinatari del provvedimento

Tutti i titolari di trattamenti di dati personali effettuati sia in ambito pubblico che privato



Chi e’ l’amministratore di sistemaChi e’ l’amministratore di sistema

Gli "amministratori di sistema" sono figure essenziali per la sicurezza delle banche dati e la corretta gestione delle reti telematiche. Sono esperti chiamati a svolgere delicate funzioni che comportano la concreta capacità di accedere a tutti i dati che transitano sulle reti aziendali ed istituzionali. Ad essi viene affidato spesso anche il compito di vigilare sul corretto utilizzo dei sistemi informatici di un'azienda o di una pubblica amministrazione (Comunicato stampa del Garante 14/1/09)

(Amministratori di basi di dati, amministratori di reti e di apparati di sicurezza, amministratori di sistemi software complessi )



Requisiti dell’AdsRequisiti dell’Ads

“ Valutazione delle caratteristiche soggettive”L'attribuzione delle funzioni di amministratore di sistema deve avvenire previa valutazione

dell'esperienza, della capacità e dell'affidabilità del soggetto designato, il quale deve fornire idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento ivi compreso il profilo relativo alla sicurezza. Anche quando le funzioni di amministratore di

sistema o assimilate sono attribuite solo nel quadro di una designazione quale incaricato del trattamento, il titolare e il responsabile devono attenersi comunque a criteri di valutazione

equipollenti a quelli richiesti per la designazione dei responsabili



DEFINIZIONI

Principio di necessità nel Principio di necessità nel trattamento dei datitrattamento dei dati

Art.3: I sistemi informativi e i programmi informatici sonoconfigurati riducendo al minimo l’utilizzazione di datipersonali e di dati identificativi, in modo da escluderne iltrattamento quando le finalità perseguite nei singoli casipossono essere realizzate mediante, rispettivamente,dati anonimi o opportune modalità che permettano diidentificare l’interessato solo in caso di necessità



DEFINIZIONI

Regole per tutti i trattamentiRegole per tutti i trattamenti

Art 11 Modalità del trattamento e requisiti dei datiI dati personali oggetto di trattamento sono:a) trattati in modo lecito e secondo correttezzab) raccolti e registrati per scopi determinati, espliciti e legittimi (…)c) esatti e, se necessario, aggiornatid) pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono raccolti e

trattatie) conservati in una forma che consenta l’identificazione dell’interessato per un

periodo di tempo non superiore a quello necessario agli scopi per i quali sono stati raccolti



Art.11 modalita’ del trattamento e Art.11 modalita’ del trattamento e requisiti dei datirequisiti dei dati

L’art. 11 fissa cinque principi che sono i presupposti di ogni trattamento dei dati:

a) Principio di liceità e correttezza b) Principio di finalitàc) Principio di qualitàd) Principio di pertinenza e completezzae) Principio di conservazione e dell’oblio



il principio di liceità e il principio di liceità e correttezza del trattamentocorrettezza del trattamento

•il trattamento è lecito quando è conforme alle leggi, ai regolamenti, alla normativa comunitaria. Il principio di liceità implica che il titolare debba rispettare non solo la normativa contenuta nel Codice della Privacy, ma anche le specifiche discipline che possono trovare applicazione in settori particolari.•il trattamento è corretto quando la raccolta di dati avviene presso l’interessato in modo trasparente e non mediante ricorso ad artifizi e raggiri



il principio di finalità del il principio di finalità del trattamentotrattamento

• il trattamento deve essere effettuato per scopi determinati:sono inammissibili i trattamenti effettuati per finalità generiche o ambigue• Il trattamento deve essere effettuato per scopi espliciti all’atto della raccolta dei dati (l’impiego successivo dei dati deve essere sempre compatibile con la finalità dichiarata).• il trattamento deve essere effettuato per scopi legittimi: sono inammissibili i trattamenti effettuati con scopi illeciti o illegittimi (cioè leciti, ma non corretti)



il principio di qualita’ del il principio di qualita’ del trattamentotrattamento

I dati trattati devono essere•Esatti: i dati trattati devono essere corretti e non devono indurre in equivoco in relazione ad elementi di fatto Il titolare deve procedere a verifiche della correttezza dei dati perché eventuali errori possono esporlo a responsabilità per danni

•Aggiornati: l’aggiornamento dei dati dipende dalla loro mutabilità quindi i dati vanno aggiornati solo quando e dove necessario



il principio di pertinenza del il principio di pertinenza del trattamentotrattamento

I dati trattati devono essere•Pertinenti: cioè funzionali allo scopo perseguito•Completi: rispetto alle finalità per le quali sono stati raccolti e successivamente trattati

•Non eccedenti: devono essere sufficienti, ma non eccedenti, per il raggiungimento dei fini



il principio di conservazione e il principio di conservazione e dell’obliodell’oblio

I dati non devono essere tenuti per un periodo superiore a quello strettamente necessario agli scopi per i quali sono stati raccolti e successivamente trattati



Il codice della privacyIl codice della privacye le responsabilità nei trattamentie le responsabilità nei trattamenti

“Chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell’art. 2050 del codice civile.” (Art. 15, comma 1)



L’interessatoL’interessatoee

i suoi dirittii suoi diritti



DEFINIZIONI

L’interessatoL’interessato

L’interessato è la persona fisica, la persona giuridica, l’ente o l’associazione cui si riferiscono i dati personali



DEFINIZIONI

DIRITTI DIRITTI DELL’INTERESSATODELL’INTERESSATO

Art 7 L'interessato ha diritto di ottenere la conferma dell'esistenza o meno di dati personali che lo riguardano, anche se non ancora registrati, e la loro comunicazione in forma intelligibile.



DEFINIZIONI


Art 7. L'interessato ha diritto di ottenere l’indicazione:a) dell'origine dei dati personalib) delle finalità e modalità del trattamento;c) della logica applicata in caso di trattamento effettuato con l’ausilio di strumenti elettronicid) degli estremi identificativi del titolare, dei responsabili (…)e)dei soggetti o delle categorie di soggetti ai quali i dati personali possono essere comunicati (…)



DIRITTIDIRITTIDELL’INTERESSATODELL’INTERESSATO

L’interessato ha diritto di ottenere (art. 7, comma 3):1. l’aggiornamento, la rettificazione, ovvero, quando via ha interesse, l’integrazione dei dati che lo riguardano2. la cancellazione (cioè la materiale distruzione del contenuto informativo, non più ricostruibile), la trasformazione in forma anonima ed il blocco (cioè la conservazione dei dati personali con sospensione temporanea di ogni altra operazione del trattamento), se i dati sono trattati in violazione di legge3. l’attestazione che le operazioni di cui sopra sono state portate a conoscenza di coloro a cui i dati sono stati comunicati o diffusi, qualora tale adempimento sia possibile e non comporti “un impiego di mezzi manifestamente sproporzionato rispetto al diritto tutelato



DEFINIZIONI

L’interessato ha il diritto di opporsi in tutto o in parte al trattamento•per motivi legittimi, ancorchè pertinenti allo scopo della raccolta;•per fini di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato




DEFINIZIONI

I diritti degli interessati definiti nell’art.7 sono esercitati con richiesta:1. rivolta al titolare o al responsabile del trattamento, anche per tramite di un incaricato; (la richiesta va indirizzata al Titolare o al Responsabile ed è ricevibile da un Incaricato);2. senza formalità (raccomandata A/R, fax, posta elettronica, oralmente se si tratta dei diritti di cui ai commi 1 e 2 dell’art.7);3. alla quale è fornito idoneo riscontro senza ritardo . (entro 15 gg)

Esercizio dei diritti Esercizio dei diritti dell’interessatodell’interessato



DEFINIZIONI

Modalità del riscontro:I dati estratti possono essere (art. 10, comma 2):– comunicati all’interessato verbalmente;– offerti in visione mediante strumenti elettronici, sempre che in tali casi la comprensione dei dati sia agevole– Su richiesta dell’interessato,trasposti su supporto cartaceo o informatico o trasmessi per via telematica– Mediante esibizione o consegna in copia di atti e documenti contenenti i dati richiesti, quando l’estrazione dei dati è particolarmente difficoltosa.

Esercizio dei diritti Esercizio dei diritti dell’interessatodell’interessato



Art 13 -Deve essere resa, preventivamente oralmente o per iscritto, all’interessato (o a colui presso il quale i dati sono raccolti), e deve comunicare:• le finalità e le modalità di trattamento • la natura obbligatoria o facoltativa del conferimento dei dati • le conseguenze del rifiuto di rispondere• i soggetti ai quali i dati personali possono essere comunicati e l’ambito di diffusione dei dati stessi• gli estremi identificativi del titolare, o se designato, del responsabile• i diritti di cui all’art 7 (diritto di conoscenza, aggiornamento, modifica e di opposizione)

L’INFORMATIVA



1. È requisito di legittimità del trattamento;2. Può essere orale o scritta e, in ogni caso, deve essere formulata in modo tale da consentire la piena comprensione di tutti gli elementi indicati nell’art. 13.3. Può non comprendere elementi già noti alla persona che fornisce i dati (ad es.: perché oggetto di precedente informativa)4. Quando riguarda dati personali non raccolti presso l’interessato, ma presso terzi, deve essere data all’interessato all’atto della registrazione dei dati (cioè quando vengono immessi nella banca dati)

L’INFORMATIVA



Casi di esonero dall’obbligo di informativa:1. Casi in cui il trattamento è effettuato per obbligo normativo;2. Trattamenti svolti per indagini difensive o difesa in giudizio;3. Casi in cui il Garante con proprio provvedimento riconosce che l’adempimento sia impossibile o eccessivamente oneroso.

Esonero dall’INFORMATIVA



L’INFORMATIVA



L’omessa o inidonea informativa è sanzionata con la sanzione amministrativa del pagamento

di una somma da 6000 a 36.000 (art. 161).

L’INFORMATIVA



Art 23 - Il trattamento dei dati personali da parte di privati o di enti pubblici economici è ammesso solo con il consenso espresso dall’interessato

il consenso



Ai sensi dell’articolo 18, alle pubbliche amministrazioni è consentito il trattamento dei dati personali solo se è necessario per lo svolgimento di funzioni istituzionaliGLI ENTI PUBBLICI NON DEVONO CHIEDERE IL CONSENSO ALL’INTERESSATO salvo quanto previsto per gli esercenti le professioni sanitarie e gli organismi sanitari pubblici

RESTA FERMO L’OBBLIGO DELL’INFORMATIVARESTA FERMO L’OBBLIGO DELL’INFORMATIVA

il consenso e la pubblica

amministrazione



Ai sensi dell’art. 19:1.Il trattamento dei dati personali diversi da quelli sensibili o giudiziari è consentito al soggetto pubblico, anche se non previsto da norma di legge o di regolamento che lo preveda espressamente2.La comunicazione ad altro soggetto pubblico è consentita solo quando prevista da norme di legge o di regolamento o quando necessaria per lo svolgimento di funzioni istituzionali3.La comunicazione a soggetti privati o enti pubblici economici e la diffusione sono consentite solo se previste da norme di legge o di regolamento

PRINCIPI APPLICABILI AL TRATTAMENTO DI DATI DIVERSI DA QUELLI SENSIBILI E GIUDIZIARI



Ai sensi dell’art. 19:Le notizie concernenti lo svolgimento delle prestazioni di chiunque sia addetto a una funzione pubblica e la relativa valutazione sono rese accessibilidall'amministrazione di appartenenza, al contrario di quelle concernenti la natura delle infermità e degli impedimenti personali o familiari che causinol’astensione dal lavoro, nonché le componenti della valutazione o le notizie concernenti il rapporto di lavoro idonee a rivelare taluna delle informazioni, se non nei casi previsti dalla legge.

REGOLE PER I SOGGETTI PUBBLICI INTEGRAZIONE - COLLEGATO AL LAVORO 2010



L’articolo reca norme in materia di comunicazioni effettuate da soggetti pubblici. Sul punto viene modificato il “Codice della Privacy” al fine di bilanciare le esigenze di trasparenza nello svolgimento delle funzioni pubbliche nella P.A. e la necessita' di tutelare la riservatezza dei dati personali. Saranno oggetto di protezione soltanto le notizie concernenti la riservatezza dei dati strettamente personali, come ad esempio lo stato di salute o comunque atti a rivelare informazioni sensibili.

REGOLE PER I SOGGETTI PUBBLICI INTEGRAZIONE - COLLEGATO AL LAVORO 2010



il consenso per la pubblica amministrazione

no



Ai sensi degli artt. 20 e 21:1. il trattamento di dati sensibili e giudiziari è consentito solo se autorizzato da espressa disposizione di legge nella quale sono specificati i tipi di dati che possono essere trattati, le operazioni eseguibili e le finalità di rilevante interesse pubblico perseguite;2. qualora la disposizione di legge, pur specificando la rilevante finalità di interesse pubblico, non specifichi le categorie di dati sensibili che possono essere utilizzati né le operazioni eseguibili, il titolare deve rendere pubblici i trattamenti eseguiti mediante un provvedimento di tipo regolamentare, adottato in conformità al parere espresso dal Garante anche su schemi tipo;3. In assenza di previsione di legge i titolari possono richiedere esplicita autorizzazione da parte del Garante, che individuerà, con proprio provvedimento, le attività di rilevante interesse pubblico e per le quali è, quindi a norme di legge o di regolamento quindi, autorizzato il trattamento

Garanzie per i dati sensibili



Art.22 - Comma 2: l’informativa di cui all’articolo 13 deve contenere espresso riferimento alla normativa che prevede gli obblighi o i compiti in base alla quale è effettuato il trattamento dei dati sensibili e giudiziari.Art.22 - Comma 3: i dati sensibili e giudiziari possono essere trattati solo per svolgere attività istituzionali che non possono essere adempiute, caso per caso, mediante il trattamento di dati anonimi o di dati personali di natura diversa.Art. 22 - Comma 4: i dati sensibili e giudiziari sono raccolti, di regola, presso l’interessato.




Art. 22 commi 6 e 7: Speciali misure di sicurezza dettate per i dati sensibili e giudiziari I dati sensibili e giudiziari, se sono registrati un banca dati elettronica, devono essere cifrati mediante l’utilizzo di algoritmi crittografici o di codici identificativi o di altre soluzioni che li rendono temporaneamente inintellegibili anche a chi è autorizzato ad accedervi e permettono di identificare l’interessato solo in caso di necessità.I dati idonei a rivelare lo stato di salute e la vita sessuale sono conservati separatamente da altri dati personali trattati per finalità che non richiedono il loro utilizzo e non possono essere diffusi.Devono essere cifrati anche se registrati in banca dati non elettronica.




Art. 22 - Comma 5:Verifica periodica da parte dei soggetti pubblici in ordine a:1. Esattezza;2. Aggiornamento;3. Pertinenza;4. Completezza;5. Non eccedenza;6. Indispensabilità dei dati.7. Inutilizzabilità dei dati eccedenti, non pertinenti, non indispensabili8 . Ammissibilità della sola conservazione dell’atto o documento che li contiene).




istruzione



Profili generali

Art. 95. Dati sensibili e giudiziari1. Si considerano di rilevante interesse pubblico, ai sensi degli articoli 20 e 21, le finalità di istruzione e di formazione in ambito scolastico, professionale, superiore o universitario, con particolare riferimento a quelle svolte anche in forma integrata.

istruzione



Art. 96. Trattamento di dati relativi a studenti1. Al fine di agevolare l'orientamento, la formazione e l'inserimento professionale, anche all'estero, le scuole e gli istituti scolastici di istruzione secondaria, su richiesta degli interessati, possono comunicare o diffondere, anche a privati e per via telematica, dati relativi agli esiti scolastici, intermedi e finali, degli studenti e altri dati personali diversi da quelli sensibili o giudiziari, pertinenti in relazione alle predette finalità e indicati nell'informativa resa agli interessati ai sensi dell'articolo 13. I dati possono essere successivamente trattati esclusivamente per le predette finalità.2. Resta ferma la disposizione di cui all'articolo 2, comma 2, del DPR 24 giugno 1998, n. 249, sulla tutela del diritto dello studente alla riservatezza. Restano altresì ferme le vigenti disposizioni in materia di pubblicazione dell'esito degli esami mediante affissione nell'albo dell'istituto e di rilascio di diplomi e certificati.

istruzione



Il trattamento dei dati nelle università

trattamento per scopi storici, statistici o scientifici

• Le finalità relative ai trattamenti effettuati per scopi scientifici da soggetti pubblici hanno “rilevante interesse pubblico” (art. 97);• Il trattamento effettuato per scopi scientifici è considerato compatibile con i diversi scopi per i quali i dati sono stati in precedenza raccolti e trattati• Il trattamento può essere effettuato anche oltre il periodo di tempo per conseguire i diversi scopi per i quali i dati sono stati in precedenza trattati



Al fine di promuovere e sostenere la ricerca e la collaborazione in campo scientifico e tecnologico i soggetti pubblici, comprese le università e gli enti di ricerca, possono con autonome determinazioni comunicare e diffondere, anche a privati e per via telematica, dati relativi ad attività di studio e di ricerca, a laureati, dottori di ricerca, tecnici e tecnologi, ricercatori, docenti, esperti e studiosi, con esclusione di quelli sensibili o giudiziari

Il trattamento dei dati nelle università

trattamento per scopi storici, statistici o scientifici



SICUREZZA



ART. 31 I dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l’adozione di idonee e preventive misure di sicurezza volte ad assicurare un livello minimo di protezione dei dati personali...

Obblighi di sicurezzamisure idonee



…..per garantire che:• i dati non vadano distrutti o persi anche in modo accidentale•solo le persone autorizzate possano avere accesso ai dati (sia informatico che fisico)•non siano effettuati trattamenti contrari alle norme di legge o diversi da quelli per cui i dati erano stati raccolti (non consentiti o non conformi alla finalità della raccolta)

Perche’ sicurezza?



Art 33 - I titolari del trattamento sono comunque tenuti ad adottare le misure minime volte ad assicurare un livello minimo di protezione dei dati personali trattati sia in cartaceo che informaticamente

Misure minime di sicurezzaPer tutti i trattamenti



Il trattamento di dati personali effettuato con strumenti elettronici e non, è consentito solo se sono adottate le misure minime indicate in questi articoli che individuano QUALI funzionalità di sicurezza devono essere attivate. L’applicazione delle misure è contenuta nel Disciplinare Tecnico All. B che fornisce in dettaglio le “regole” (specifiche) di COME tali misure debbano essere rese operative

Misure minime di sicurezzaPer tutti i trattamenti



Misure da adottare per il trattamento con l’ausilio di strumenti elettronici:a) autenticazione informatica;b) adozione di procedure di gestione delle credenziali di autenticazione;c) utilizzazione di un sistema di autorizzazione;d) aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici;e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici;f) adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi;g) tenuta di un aggiornato documento programmatico sulla sicurezza;h) adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari

Trattamenti informatici



a) aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati o alle unità organizzative;

b) previsione di procedure per un’idonea custodia di atti e documenti affidati agli incaricati per lo svolgimento dei relativi compiti;

c) previsione di procedure per la conservazione di determinati atti in archivi di accesso selezionato e disciplina delle modalità di accesso finalizzata all’identificazione degli incaricati

Trattamenti cartacei



Il disciplinare tecnico all. B




Il Disciplinare è strutturato in 7 sezioni:1. Sistema di autenticazione informatica2. Sistema di autorizzazione informatica3. Altre misure di sicurezza4. Documento Programmatico sulla Sicurezza5. Ulteriori misure in caso di trattamento di dati sensibilio giudiziari6. Misure di tutela e garanzia7. Trattamenti senza l’ausilio di strumenti elettronici




a) Autenticazione informatica garantisce il controllo di chi accede agli elaboratori. Il sistema di autenticazione deve essere dotato di mezzi deputati alla verifica ed alla validazione dell’identità di un soggetto (login) che avviene attraverso le credenziali di autenticazione: dispositivi, in possesso di un utente, da questa conosciuti e ad essa univocamente correlati, utilizzati per l’autenticazione informatica. (codici d’accesso e parole chiave o dispositivi non mnemonici es codici biometrici) Istruzioni agli incaricati per assicurare la segretezza delle credenziali




B) Sistema di autorizzazione informatica: successivamente all’autorizzazione permette al soggetto di trattare effettivamente i dati.E’ distinto per profili di autorizzazione, i quali definiscano in dettaglio le azioni consentite ad ogni classe di incaricati.

La verifica della definizione dei profili deve essere fatta almeno una volta all’anno.




C) Protezione di dati e sistemi i dati e i sistemi elettronici devono essere protetti da accessi non consentiti e finalizzati alla compromissione della loro sicurezza




Qualora il trattamento riguardi dati sensibili e/o giudiziari anche - Adozione di strumenti che blocchino i tentativi di intrusione (firewall)- Messa a punto di strategie di disaster recovery, ossia di un processo che consenta di ripristinare il funzionamento dei dati in seguito ad un’inaspettata interruzione del trattamento - Tecniche di cifratura e separazione dei dati, qualora vengano trattati dati idonei a rivelare lo stato d salute e la vita sessuale da parte di organismi sanitari o esercenti le professioni sanitarie.



Il documento programmatico sulla

sicurezza dei dati - dps





Il documento programmatico è una delle misure minime di sicurezza prescritte dalla normativa e rappresenta un manuale di pianificazione della sicurezza dei dati All’interno espone a quali rischi sono esposti i dati personali trattati, come vengono tutelati in ogni fase e ad ogni livello (fisico, logico, organizzativo) e come verranno salvaguardati in futuro (programmazione, formazione, implementazione di misure di sicurezza, verifiche, analisi dei risultati ecc.) ma descrive anche la situazione attuale (analisi organizzativa, analisi dei rischi, distribuzione dei compiti ecc.) ed il percorso di adeguamento intrapreso per adeguarsi alla normativa in materia di protezione dei dati





Nel quadro della continua evoluzione tecnologica, il DPS va aggiornato da parte del Titolare, anche avvalendosi dei responsabili eventualmente designati, almeno una volta l’anno, e comunque entro il 31 marzoIl Titolare del trattamento è tenuto a verificare se nel corso dell’anno appena trascorso sono intervenute variazioni rispetto a quanto indicato l’anno precedente anche di natura organizzativa.

Dell’avvenuta redazione va data notizia nella relazione accompagnatoria al Bilancio



Il documento programmatico sulla sicurezza dei dati dps

Dovrà contenere•Elenco trattamenti dei dati personali• Distribuzione dei compiti e delle responsabilità• Analisi dei rischi che incombono sui dati• Misure di sicurezza in essere e da adottare•Criteri e modalità di ripristino della disponibilità dei dati•Pianificazione degli interventi formativi•Trattamenti di dati personali affidati all’esterno•Aggiornamento del DPS



Cos’è il rischio?

Valutazione del grado di vulnerabilità e il livello di minaccia a

cui sono esposti i trattamenti e quindi i dati personali VALUTAZIONE DEI RISCHI

• Comportamento degli operatori•Strumenti hardware•Strumenti software•Contesto fisico-ambientale



Misure di sicurezza in essere e da Adottare

DEFINIZIONE DELLE POLITICHE DI SICUREZZAAdeguamento organizzativo Normalizzazione dei comportamentiEsempio: corretta creazione delle password

Contromisure per la riduzione del rischio ad un livello considerato accettabileEsempio:Rischio = perdita dati per mancanza di luce elettricaContromisura = installazione del gruppo di continuità



Vademecumper la sicurezza dei dati personali

… e l’ultimo chiuda la porta!



Vademecumper la sicurezza dei dati personali

Linee guida generali per la sicurezza

Linee guida per la prevenzione dei virus

Linee guida per il corretto utilizzo delle password



SANZIONI



Le sanzioni previste dalla legge privacy

Il Testo Unico sulla Privacy prevede illeciti penali, violazioni amministrative e responsabilità civile per danniSanzioni pecuniarie e penali aumentate per chi viola la privacy, in particolare per l’uso dati senza consenso degli interessati, per il mancato adempimento nei confronti di un provvedimento del Garante, per la mancata informativa agli interessati di uso che si intende fare dei dati li riguardano




Assenza informativa privacy da 3.000 a 18.000 euro

Assenza informativa privacyper dati sensibili o giudiziari da 5.000 a 30.000 euro

Omessa o incompletanotificazione al Garante da 10.000 a 60.000 euro




Sono previste pene detentive sino ad un massimo di 3 anni di reclusione e la pena accessoria della pubblicazione della sentenza per

•falsa notifica o false informazioni al Garante•trattamento illecito di dati personali (illecita comunicazione o diffusione dei dati, trattamento non consentito, trattamento illecito di dati sensibili)

•omessa adozione di misure necessarie alla sicurezza dei dati •inosservanza di provvedimenti del Garante




Il Testo Unico sulla Privacy prevede illeciti penali, violazioni amministrative e responsabilità civile per danniSanzioni pecuniarie e penali aumentate per chi viola la privacy, in particolare per l’uso dati senza consenso degli interessati, per il mancato adempimento nei confronti di un provvedimento del Garante, per la mancata informativa agli interessati di uso che si intende fare dei dati li riguardano



Per chiarimenti e ulteriori informazioni, è possibile contattarci all’indirizzo e-mail: [email protected]



Grazie per l’attenzione!

Università degli Studi di Catania Area Servizi Generali Ufficio Relazioni con il PubblicoGiusi...

Documents

Transcript of Università degli Studi di Catania Area Servizi Generali Ufficio Relazioni con il PubblicoGiusi...