Nozioni basilari in materia di Privacy
Settore Comunicazione Organizzativa e Tutela della Privacy
Maggio – novembre 2012
2
Contenuti:
Le fonti normative di riferimento Ambito di applicazione della normativa privacy
Principi generali per il trattamento dati personali
Definizioni di: dato personale, sensibile, giudiziario, comune, anonimo e trattamento
Soggetti che effettuano il trattamento Regole per il trattamento dati comuni Regole per il trattamento dati sensibili e giudiziari
Adempimenti: informativa all'interessato
3
Le fonti normative di riferimento
D.Lgs. 196 del 30.06.2003 “Codice in materia di protezione dei dati personali” (in particolare vd. Parte I - disposizioni generali artt. 1 - 45)
D.G.R. 25 del 24.01.2012 “Direttiva per l'attuazione del D.Lgs. 196/2003” (contiene indirizzi e misure organizzative)
4
Ambito di applicazione della normativa privacy
Art. 1
“Chiunque ha diritto alla protezione dei dati personali che lo riguardano”
5
Ambito di applicazione della normativa privacy
Art. 5Il Codice si applica ai trattamenti dei dati personali delle persone fisiche effettuati da:
Qualunque soggetto (persona fisica o giuridica) stabilito nello stato italiano, anche se i dati sono detenuti all'estero
Qualunque soggetto stabilito in paesi extraeuropei che impiega strumenti situati nel territorio italiano
6
Ambito di applicazione della normativa privacy
Il Codice non si applica :
Al trattamento di dati personali riferiti alle persone giuridiche
Al trattamento di dati aggregati (dati quantitativi) e dati anonimi
Al trattamento dati effettuato da persone fisiche per fini personali quando i dati non sono destinati a comunicazione sistematica o diffusione
7
Principi generali per il trattamento dati personali
Principi generali ex art. 3 e 11: Principio di necessità Principio di liceità e correttezza: “i dati devono
essere trattati in modo lecito e secondo correttezza”
Principio di finalità: “raccolti e registrati per scopi determinati, espliciti e legittimi”
Principio di qualità dei dati: “esatti e se necessario aggiornati”
Principio di proporzionalità: “pertinenti, completi e non eccedenti rispetto alle finalità”
I dati personali trattati in violazione dei principi enunciati non possono essere utilizzati.
8
Definizioni ex art. 4
Dato personale
“qualunque informazione relativa a persona fisica identificata o identificabile anche indirettamente mediante riferimento a qualsiasi altra informazione ivi compreso un numero di identificazione personale”
9
Definizioni ex art. 4
Dato anonimo
“il dato che in origine o a seguito di trattamento non può essere associato ad un interessato identificato o identificabile”
NB:Quando invece il dato personale è stato oggetto del processo di anonimizzazione ma è ancora possibile risalire all'interessato è “dato anonimizzato” (tutelato dal codice privacy)
10
Definizioni ex art. 4
Dato identificativo:
“i dati personali che permettono l'identificazione dell'interessato”
11
Definizioni ex art. 4
Dato sensibile:
“dato personale idoneo a rivelare: Origine razziale ed etnica Convinzioni religiose filosofiche ed altro Opinioni politiche Adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso
Stato di salute e vita sessuale
12
Definizioni ex art. 4
Dato giudiziario:
“dato personale idoneo a rivelare: Provvedimenti iscritti nel casellario giudiziale (es. condanne penali, pene inflitte ad eccezione delle sentenze dichiarative di fallimento, decreto omologazione concordato fallimentare, sentenze di interdizione o inabilitazione)
Sanzioni amministrative dipendenti da reato
Carichi pendenti Qualità di imputato o indagato ex c.p.p.
13
Definizioni ex art. 4
Dato comune:
“tutti quei dati non compresi nelle categorie di dati sensibili e giudiziari”
14
Definizioni ex art. 4
Trattamento:
“qualsiasi operazione, o serie di operazioni, eseguita su dati personali anche senza l’ausilio di strumenti elettronici concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione dei dati.“
15
Definizioni ex art. 4
Operazioni particolarmente “rischiose”:
Comunicazione: dare conoscenza dei dati personali a uno o più soggetti determinati (salvo quella rivolta a interessato, responsabile, incaricato)
Diffusione: dare conoscenza dei dati personali a soggetti indeterminati
16
Soggetti che effettuano il trattamento
I soggetti che effettuano il trattamento dati sono:
Il titolare
Il responsabile
L'incaricato
17
Soggetti che effettuano il trattamento
Il titolare (art. 4 e art. 28)
La persona fisica, persona giuridica, pubblica amministrazione che decide in merito alle finalità e modalità del trattamento ed alle misure di sicurezza.
Quando il trattamento è effettuato da una pubblica amministrazione titolare è l'entità nel suo complesso es. in RT abbiamo due titolari “Giunta Regionale” e “Consiglio Regionale”
18
Soggetti che effettuano il trattamento
Il responsabile (art. 4 e art. 29)
Il titolare può nominare con atto scritto un responsabile, scelto fra persone fisiche o giuridiche che presentino requisiti di esperienza, capacità, affidabilità. Il responsabile deve svolgere i compiti analiticamente specificati e attenersi alle istruzioni ricevute per iscritto dal titolare.
Il responsabile può anche essere esterno all'ente: quando RT si avvale della collaborazione di soggetti esterni per l'espletamento di attività di propria competenza che comporta trattamento dati personali
19
Soggetti che effettuano il trattamento
L'incaricato (art. 4 e art. 30)
I dati personali possono essere trattati solo da persone fisiche che operano sotto la diretta autorità del titolare o del responsabile e che vengono designate come incaricati del trattamento.La nomina deve essere effettuata per iscritto e contenere l'ambito del trattamento consentito e le specifiche istruzioni da osservare.La nomina degli incaricati non richiede l’accettazione, è obbligatoria ed assistita da sanzioni penali in quanto inserita nelle misure minime di sicurezza di cui all’art. 33.
20
Soggetti che effettuano il trattamento
L'interessato (art. 4 e art. 7 -10)
E' la persona fisica cui si riferiscono i dati personali
(ai fini dell'applicazione della normativa viene assimilata l'impresa individuale perchè in questo caso i dati identificativi della ditta corrispondono ai dati della persona fisica titolare)
21
Regole per il trattamento dati comuni
Trattamento “dati comuni” da parte dei soggetti pubblici (art. 18 e 19)
Regole generali: Consentito solo per lo svolgimento delle funzioni istituzionali
Non deve essere richiesto il consenso all'interessato
Non è necessario che il trattamento di dati sia previsto espressamente dalla legge che prevede la funzione istituzionale
22
Regole per il trattamento dati comuni
Regole specifiche per:a) Comunicazione di dati comuni a soggetti pubblici (art. 19 comma 2):
Deve essere prevista da norma di legge o di regolamento, oppure
Se necessaria per lo svolgimento delle funzioni istituzionali della PA destinataria deve essere effettuata la Comunicazione al Garante (ex art. 39)
23
Regole per il trattamento dati comuni
b) Comunicazione di dati comuni a soggetti privati e diffusione (art. 19 comma 3):
Deve necessariamente essere prevista da norma di legge o di regolamento
(salvo hp. di pubblicazione sul sito istituzionale dell'amministrazione di informazioni personali su richiesta dell'interessato prevista dalle Linee guida diffusione web del Garante del 2.3.2011)
24
Regole per il trattamento dati sensibili e giudiziari
Regole per il trattamento dei “dati sensibili” e giudiziari da parte dei soggetti pubblici (art. 20 e 21):
Espressa disposizione di legge che specifica finalità di rilevante interesse pubblico, tipi di dati e operazioni eseguibili oppure
Legge che specifica la finalità di rilevante interesse pubblico e Regolamento, adottato in conformità del parere obbligatorio del Garante, che specifica i tipi di dati e le operazioni eseguibili in relazione alle finalità indicate oppure
in mancanza di espressa disposizione di legge, occorre “autorizzazione del Garante” nella quale sono individuate le attività che perseguono finalità di rilevante interesse pubblico e Regolamento adottato in conformità del parere del Garante, che specifica tipi di dati e operazioni eseguibili.
25
Adempimenti: l'informativa all'interessato
Informativa all'interessato ex art. 13
Contenuto:a) le finalità e modalità del trattamento
b) la natura obbligatoria o facoltativa del conferimento dei dati
c) le conseguenze di un eventuale rifiuto di rispondere
d) i soggetti/categorie di soggetti ai quali i dati personali possono essere comunicati
e) l’ambito di diffusione
f) i diritti di cui all’art. 7
g) gli estremi identificativi del titolare e del responsabile
26
Adempimenti: l'informativa all'interessato
Tempisticadeve essere resa prima di iniziare le operazioni di trattamento (es. nel modulo di raccolta dati)
FormaRT in qualità di titolare ha disposto che le informative debbono essere rilasciate per iscritto redatte secondo i modelli consultabili sul sito intranet area privacy.
27
Adempimenti: l'informativa all'interessato
SanzioniE' adempimento che grava sui responsabili del trattamento ogniqualvolta debbono procedere alla raccolta dati personali, la mancata o inidonea informativa è sanzionata con pagamento di sanzione pecuniaria da 6.000 a 36.000 euro (art. 161).
Top Related