Riproduzione riservata
Codice Privacy: gli adempimenti per i professionisti
D.Lgs 30 giugno 2003, n. 196
di Elena ClarkeFondazione Luca Pacioli
Riproduzione riservata
Codice in materia di protezione dei dati personaliCodice in materia di protezione dei dati personaliD. Lgs. 30 giugno 2003, n. 196D. Lgs. 30 giugno 2003, n. 196
IN VIGORE DAL 1° GENNAIO 2004IN VIGORE DAL 1° GENNAIO 2004
Il Codice riunisce in un unico contesto tutta la normativa in Il Codice riunisce in un unico contesto tutta la normativa in
tema di privacy: la l. 675/96 e gli altri decreti legislativi e tema di privacy: la l. 675/96 e gli altri decreti legislativi e
regolamenti che si sono succeduti negli ultimi anniregolamenti che si sono succeduti negli ultimi anni
Riproduzione riservata
Codice in materia di protezione dei dati personaliCodice in materia di protezione dei dati personaliD. Lgs. 30 giugno 2003, n. 196D. Lgs. 30 giugno 2003, n. 196
PRINCIPALI INNOVAZIONIPRINCIPALI INNOVAZIONI
• SEMPLIFICAZIONE DEGLI ADEMPIMENTISEMPLIFICAZIONE DEGLI ADEMPIMENTI
• NUOVE GARANZIE A TUTELA DEI DATINUOVE GARANZIE A TUTELA DEI DATI
Riproduzione riservata
Codice in materia di protezione dei dati personaliCodice in materia di protezione dei dati personaliD. Lgs. 30 giugno 2003, n. 196D. Lgs. 30 giugno 2003, n. 196
SOGGETTI TENUTI ALL’ADEGUAMENTOSOGGETTI TENUTI ALL’ADEGUAMENTO
Sono tenuti ad adeguarsi alle disposizioni del Codice tutti Sono tenuti ad adeguarsi alle disposizioni del Codice tutti
coloro che trattano dati personali:coloro che trattano dati personali:
•AziendeAziende
•Pubbliche AmministrazioniPubbliche Amministrazioni
•ProfessionistiProfessionisti
Riproduzione riservata
Codice in materia di protezione dei dati personaliCodice in materia di protezione dei dati personaliDEFINIZIONIDEFINIZIONI
INDIVIDUAZIONE DATI OGGETTO DI INDIVIDUAZIONE DATI OGGETTO DI TRATTAMENTOTRATTAMENTO
•Dati personaliDati personali qualunque informazione relativa a persone fisiche, qualunque informazione relativa a persone fisiche,
giuridiche, enti ed associazionigiuridiche, enti ed associazioni
•Dati sensibiliDati sensibili dati idonei a rivelare razza, religione, opinioni politiche dati idonei a rivelare razza, religione, opinioni politiche
o filosofiche, salute, abitudini sessualio filosofiche, salute, abitudini sessuali
•Dati giudiziariDati giudiziari dati idonei a rivelare provvedimenti iscritti nel dati idonei a rivelare provvedimenti iscritti nel
casellario giudiziario o relativi a qualità di imputato o indagatocasellario giudiziario o relativi a qualità di imputato o indagato
Riproduzione riservata
Codice in materia di protezione dei dati personaliCodice in materia di protezione dei dati personaliSOGGETTI CHE EFFETTUANO IL TRATTAMENTOSOGGETTI CHE EFFETTUANO IL TRATTAMENTO
INDIVIDUAZIONE SOGGETTI CHE INDIVIDUAZIONE SOGGETTI CHE EFFETTUANO IL TRATTAMENTOEFFETTUANO IL TRATTAMENTO
•TitolareTitolare direttamente individuato dalla legge direttamente individuato dalla legge
Esercita un potere autonomo sulle modalità e finalità del trattamentoEsercita un potere autonomo sulle modalità e finalità del trattamento
•ResponsabileResponsabile facoltativofacoltativo
Designato dal titolare con compiti stabiliti per iscrittoDesignato dal titolare con compiti stabiliti per iscritto
•Incaricato/iIncaricato/i facoltativofacoltativo
Effettua il trattamento sotto la diretta autorità del titolare e Effettua il trattamento sotto la diretta autorità del titolare e
responsabile con istruzioni scritteresponsabile con istruzioni scritte
Riproduzione riservata
Codice in materia di protezione dei dati personaliCodice in materia di protezione dei dati personaliREGOLE PER TUTTI I TRATTAMENTIREGOLE PER TUTTI I TRATTAMENTI
INFORMATIVA E CONSENSO (artt. 13 e 23)INFORMATIVA E CONSENSO (artt. 13 e 23)
Prima di procedere al trattamento dei dati personali Prima di procedere al trattamento dei dati personali
è necessario fornire l’informativa privacy e è necessario fornire l’informativa privacy e
richiedere il consenso ai soggetti interessatirichiedere il consenso ai soggetti interessati
Riproduzione riservata
Codice in materia di protezione dei dati personaliCodice in materia di protezione dei dati personaliADEMPIMENTIADEMPIMENTI
NOTIFICAZIONE ART. 37NOTIFICAZIONE ART. 37
• La notificazione è l’atto con cui l’impresa, il professionista La notificazione è l’atto con cui l’impresa, il professionista
o la PA segnala al Garante i trattamenti dati che si o la PA segnala al Garante i trattamenti dati che si
intendono effettuareintendono effettuare
• Con il Codice ed il provvedimento del 31 marzo 2004 il Con il Codice ed il provvedimento del 31 marzo 2004 il
Garante ha semplificato notevolmente tale adempimentoGarante ha semplificato notevolmente tale adempimento
• Deve essere effettuata entro il 30 aprileDeve essere effettuata entro il 30 aprile
Riproduzione riservata
Codice in materia di protezione dei dati personaliCodice in materia di protezione dei dati personaliADEMPIMENTIADEMPIMENTI
AUTORIZZAZIONI ART. 40AUTORIZZAZIONI ART. 40
• Per il trattamento di dati sensibili e giudiziari è necessario Per il trattamento di dati sensibili e giudiziari è necessario
richiedere l’Autorizzazione al Garante (artt. 26 e 27)richiedere l’Autorizzazione al Garante (artt. 26 e 27)
• Sono previste Autorizzazioni generali rilasciate dal Sono previste Autorizzazioni generali rilasciate dal
Garante (art. 40)Garante (art. 40)
• L’Autorizzazione n. 4/2002 al trattamento dei dati sensibili L’Autorizzazione n. 4/2002 al trattamento dei dati sensibili
da parte dei liberi professionisti è stata prorogata fino al da parte dei liberi professionisti è stata prorogata fino al
30 giugno 200430 giugno 2004
Riproduzione riservata
Codice in materia di protezione dei dati personali Codice in materia di protezione dei dati personali MISURE DI SICUREZZAMISURE DI SICUREZZA
OBBLIGHI DI SICUREZZA (art. 31)OBBLIGHI DI SICUREZZA (art. 31)
Previsione di un obbligo generale di ridurre al minimo i Previsione di un obbligo generale di ridurre al minimo i
rischi di distruzione o dispersione dei dati personalirischi di distruzione o dispersione dei dati personali
L’inosservanza dell’obbligo rende il trattamento illecito ed L’inosservanza dell’obbligo rende il trattamento illecito ed
espone a responsabilità civile per dannoespone a responsabilità civile per danno
Riproduzione riservata
Codice in materia di protezione dei dati personali Codice in materia di protezione dei dati personali MISURE DI SICUREZZAMISURE DI SICUREZZA
MISURE MINIME DI SICUREZZAMISURE MINIME DI SICUREZZA
Previsione di misure minime di protezione dei dati Previsione di misure minime di protezione dei dati
differenziate a seconda che il trattamento sia effettuato differenziate a seconda che il trattamento sia effettuato
con o senza l’ausilio di strumenti informatici e della con o senza l’ausilio di strumenti informatici e della
tipologia di dati trattatitipologia di dati trattati
L’omessa adozione costituisce reato (art. 169, arresto sino L’omessa adozione costituisce reato (art. 169, arresto sino
a due anni o ammenda da 10.000 € a 50.000 €)a due anni o ammenda da 10.000 € a 50.000 €)
Riproduzione riservata
Codice in materia di protezione dei dati personaliCodice in materia di protezione dei dati personaliMISURE DI SICUREZZAMISURE DI SICUREZZA
MISURE MINIME DI SICUREZZAMISURE MINIME DI SICUREZZATERMINI PER L’ADOZIONETERMINI PER L’ADOZIONE
• 1° gennaio 20041° gennaio 2004 per le misure minime già previste dalla per le misure minime già previste dalla
precedente normativaprecedente normativa
• 30 giugno 200430 giugno 2004 per le nuove misure minime di sicurezza per le nuove misure minime di sicurezza
• Fino al 1° gennaio 2005Fino al 1° gennaio 2005 nel caso in cui ricorrano obiettive nel caso in cui ricorrano obiettive
ragioni di natura tecnicaragioni di natura tecnica
Riproduzione riservata
Codice in materia di protezione dei dati personali Codice in materia di protezione dei dati personali MISURE DI SICUREZZAMISURE DI SICUREZZA
MISURE MINIME DI SICUREZZA CON MISURE MINIME DI SICUREZZA CON L’AUSILIO DI STRUMENTI INFORMATICI L’AUSILIO DI STRUMENTI INFORMATICI
(art. 34) I(art. 34) I
Misure minime di sicurezza per il trattamento dati personali con il Misure minime di sicurezza per il trattamento dati personali con il
supporto di strumenti informatici:supporto di strumenti informatici:
• Autenticazione informaticaAutenticazione informatica
• Adozione di procedure di gestione delle credenziali di Adozione di procedure di gestione delle credenziali di
autenticazioneautenticazione
• Utilizzazione di un sistema di autorizzazioneUtilizzazione di un sistema di autorizzazione
• Aggiornamento periodico dell’individuazione dell’ambito del Aggiornamento periodico dell’individuazione dell’ambito del
trattamento consentito ai singoli incaricati e addetti alla gestione o trattamento consentito ai singoli incaricati e addetti alla gestione o
alla manutenzione degli strumenti elettronicialla manutenzione degli strumenti elettronici
Riproduzione riservata
Codice in materia di protezione dei dati personali Codice in materia di protezione dei dati personali MISURE DI SICUREZZAMISURE DI SICUREZZA
MISURE MINIME DI SICUREZZA CON MISURE MINIME DI SICUREZZA CON L’AUSILIO DI STRUMENTI INFORMATICI L’AUSILIO DI STRUMENTI INFORMATICI
(art. 34) II(art. 34) II
• Protezione degli strumenti elettronici e dei dati rispetto a Protezione degli strumenti elettronici e dei dati rispetto a
trattamenti illeciti di dati, ad accessi non consentiti e a determinati trattamenti illeciti di dati, ad accessi non consentiti e a determinati
programmi informaticiprogrammi informatici
• Adozione di procedure per la custodia di copie di sicurezzaAdozione di procedure per la custodia di copie di sicurezza
• Tenuta di un aggiornato Documento Programmatico sulla Tenuta di un aggiornato Documento Programmatico sulla
SicurezzaSicurezza
• Adozione di tecniche di cifratura o di codici identificativi per Adozione di tecniche di cifratura o di codici identificativi per
determinati trattamenti di dati idonei a rivelare lo stato di salute o determinati trattamenti di dati idonei a rivelare lo stato di salute o
la vita sessuale effettuati da orgnanismi sanitarila vita sessuale effettuati da orgnanismi sanitari
Riproduzione riservata
Codice in materia di protezione dei dati personaliCodice in materia di protezione dei dati personaliMISURE DI SICUREZZAMISURE DI SICUREZZA
MISURE MINIME DI SICUREZZA SENZA MISURE MINIME DI SICUREZZA SENZA L’AUSILIO DI STRUMENTI INFORMATICI L’AUSILIO DI STRUMENTI INFORMATICI
(art. 35)(art. 35)
Misure minime di sicurezza per il trattamento dati personali senza il Misure minime di sicurezza per il trattamento dati personali senza il
supporto di strumenti informatici:supporto di strumenti informatici:
• Aggiornamento periodico dell’individuazione dell’ambito del Aggiornamento periodico dell’individuazione dell’ambito del
trattamento consentito ai singoli incaricatitrattamento consentito ai singoli incaricati
• Previsione di procedure per un’idonea custodia degli atti e Previsione di procedure per un’idonea custodia degli atti e
documenti affidati agli incaricatidocumenti affidati agli incaricati
• Previsione di procedure per la conservazione di determinati atti in Previsione di procedure per la conservazione di determinati atti in
archivi ad accesso selezionato e disciplina delle modalità di archivi ad accesso selezionato e disciplina delle modalità di
accesso finalizzata all’identificazione degli incaricatiaccesso finalizzata all’identificazione degli incaricati
Riproduzione riservata
Codice della PrivacyCodice della PrivacyMISURE DI SICUREZZAMISURE DI SICUREZZA
DOCUMENTO PROGRAMMATICO SULLA DOCUMENTO PROGRAMMATICO SULLA SICUREZZA (DPS)SICUREZZA (DPS)
• Deve essere redatto da chiunque tratti dati sensibili e giudiziari con Deve essere redatto da chiunque tratti dati sensibili e giudiziari con
l’ausilio di strumenti informaticil’ausilio di strumenti informatici
• Elenca i rischi in materia di sicurezza e le contromisure da adottareElenca i rischi in materia di sicurezza e le contromisure da adottare
• Deve essere redatto entro il 30 giugno 2004, Deve essere redatto entro il 30 giugno 2004,
• a partire dal 2005 dovrà essere redatto o aggiornato entro il 31 a partire dal 2005 dovrà essere redatto o aggiornato entro il 31
marzo di ogni annomarzo di ogni anno
Riproduzione riservata
Codice in materia di protezione dei dati personaliCodice in materia di protezione dei dati personaliMISURE DI SICUREZZAMISURE DI SICUREZZA
DPS - CONTENUTIDPS - CONTENUTI
• Elenco dei trattamenti personaliElenco dei trattamenti personali
• Distribuzione dei compiti e responsabilitàDistribuzione dei compiti e responsabilità
• Misure per garantire integrità e disponibilità dei dati, protezione delle aree e localiMisure per garantire integrità e disponibilità dei dati, protezione delle aree e locali
• Criteri e modalità per il recupero dati distrutti o danneggiatiCriteri e modalità per il recupero dati distrutti o danneggiati
• Previsione di interventi formativi per gli incaricatiPrevisione di interventi formativi per gli incaricati
• Criteri da adottare per garantire l’adozione delle misure minime di sicurezza in Criteri da adottare per garantire l’adozione delle misure minime di sicurezza in
caso di trattamento dati affidato all’esternocaso di trattamento dati affidato all’esterno
• Adozione di tecniche di cifratura o di codici identificativi per determinati Adozione di tecniche di cifratura o di codici identificativi per determinati
trattamenti dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da trattamenti dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da
organismi sanitariorganismi sanitari
Riproduzione riservata
Codice in materia di protezione dei dati personaliCodice in materia di protezione dei dati personaliD. Lgs. 30 giugno 2003, n. 196D. Lgs. 30 giugno 2003, n. 196
RELAZIONE ACCOMPAGNATORIA AL RELAZIONE ACCOMPAGNATORIA AL BILANCIO DI ESERCIZIOBILANCIO DI ESERCIZIO
Art. 26, all. B “Art. 26, all. B “Il titolare riferisce, nella relazione Il titolare riferisce, nella relazione
accompagnatoria del bilancio di esercizio, se dovuta, accompagnatoria del bilancio di esercizio, se dovuta,
dell’avvenuta redazione o aggiornamento del DPS”dell’avvenuta redazione o aggiornamento del DPS”
Top Related