CONI Servizi S.p.A. D. Lgs 196/2003 - Codice in materia di protezione dei dati personali

1. CONI Servizi S.p.A.D. Lgs 196/2003 - Codice in materia di protezione dei dati personali

2. Indice • Concetti generali • Principi generali per il trattamento dei dati • Adempimenti per la legittimità del trattamento • Adempimenti formali • Adempimenti strutturali • Responsabilita’ e sanzioni • allegati

3. Concetti generali A decorrere dal 1° gennaio 2004 è entrato in vigore il decreto legislativo 30 giugno 2003, n. 196, definito "Codice in materia di protezione dei dati personali ". Il nuovo Testo unico ha inteso accorpare ed armonizzare tutte le disposizioni che, a partire dalla "normativa madre", data dalla legge 31 dicembre 1996, n. 675, avevano dapprima introdotto, poi modificato e integrato, il principio del diritto alla tutela dei dati personali. Il codice racchiude in sé, infatti, ciò che in precedenza era contenuto in circa una decina tra leggi e decreti e un numero considerevole di direttive comunitarie.

4. Concetti generali Il codice è diviso in tre parti La prima parte è dedicata alle disposizioni generali, ordinate in modo da trattare tutti gli adempimenti e le regole del trattamento con riferimento ai settori pubblico e privato La seconda parte è dedicata a settori specifici. Essa, oltre a disciplinare aspetti specifici, introduce la disciplina per il settore sanitario e quella dei controlli sui lavoratori La terza parte affronta la materia della tutela amministrativa e giurisdizionale con il consolidamento delle sanzioni amministrative e penali e con le disposizioni sull’ufficio del garante

5. Concetti generali Il codice disciplina il trattamento dei dati personali effettuato da chiunque è stabilito nel territorio dello Stato. Il trattamento di dati personali effettuato da persone fisiche per fini esclusivamente personali è soggetto all’applicazione del codice solo se i dati sono destinati a comunicazione sistematica o a diffusione. Si applicano in ogni caso le disposizioni in tema di responsabilità e sicurezza dei dati di cui agli art. 15 e 31

6. Concetti generali “dato personale” è qualunque informazione relativa a persona fisica, (prima del d.l.201/2011 art 40 c.2 : persona giuridica, ente od associazione), identificata o identificabile, anche in modo indiretto, mediante riferimento a qualsiasi altra informazione, compreso il numero di identificazione personale (Art. 2 Direttiva 95/46/CE “qualsiasi informazione concernente una persona fisica identificata o identificabile; si considera identificabile la persona che può essere identificata, direttamente o indirettamente, in particolare mediante riferimento ad un numero di identificazione o ad uno o più elementi specifici caratteristici della sua identità fisica, fisiologica, psichica, economica, culturale o sociale”)

7. Concetti generali “dato personale” (Art. 2 Direttiva 95/46/CE “qualsiasi informazione concernente una persona fisica identificata o identificabile; si considera identificabile la persona che può essere identificata, direttamente o indirettamente, in particolare mediante riferimento ad un numero di identificazione o ad uno o più elementi specifici caratteristici della sua identità fisica, fisiologica, psichica, economica, culturale o sociale”) Informazioni di natura oggettiva o soggettiva (valutazioni), Non necessariamente un dato testuale (può trattarsi di un immagine , di registrazione della voce). Nei servizi di phone banking la voce del cliente che impartisce istruzioni alla banca è un dato personale. I disegni di un bambino riferiti ai genitori possono essere dati personali.

8. Concetti generali “dato personale” (Art. 2 Direttiva 95/46/CE “qualsiasi informazione concernente una persona fisica identificata o identificabile; si considera identificabile la persona che può essere identificata, direttamente o indirettamente, in particolare mediante riferimento ad un numero di identificazione o ad uno o più elementi specifici caratteristici della sua identità fisica, fisiologica, psichica, economica, culturale o sociale”) a. Per contenuto: il dato riguarda direttamente una persona (dati contenuti in un referto medico). b. Per finalità: il dato è usato per valutare o condizionare i comportamenti (registro con chiamate effettuate e ricevute). c. Per risultato: l’uso del dato impatta sui diritti della persona (rilevazione delle posizione di una persona).

9. Concetti generali “dato personale” (Art. 2 Direttiva 95/46/CE “qualsiasi informazione concernente una persona fisica identificata o identificabile; si considera identificabile la persona che può essere identificata, direttamente o indirettamente, in particolare mediante riferimento ad un numero di identificazione o ad uno o più elementi specifici caratteristici della sua identità fisica, fisiologica, psichica, economica, culturale o sociale”) Il parere 4/2007 del Gruppo art.29 evidenzia che la direttiva si riferisce alle persone fisiche ma che gli stati membri possono estendere la protezione alle persone giuridiche come è accaduto in Italia fino al d.l.201/2011 Il dato personale non fa riferimento alla riservatezza (diritto di escludere altri dalla conoscenza di vicende personali e familiari). I diritti sono distinti. Il dato personale non è necessariamente riservato (numero di telefono, indirizzo di posta elettronica) Qualsiasi informazione, riferibile anche indirettamente a qualsiasi soggetto? Oggetto della legge non è la riservatezza ma il trattamento delle informazioni

10. Concetti generali “dato identificativo e dato anonimo” Dato identificativo: informazione che permette una identificazione diretta del soggetto a cui i dati si riferiscono (nome e cognome, ma non il codice fiscale). Dato anonimo:dato che in origine o a seguito di trattamento non può essere riferito ad un soggetto identificato o identificabile. Un dato è anonimo se riguarda una persona fisica che non può essere identificata dal responsabile del trattamento o da altri prendendo in considerazione i mezzi e gli strumenti che possono essere ragionevolmente usati (parere 4/2007) Tale dato è fuori dall’ambito di protezione, tuttavia il parere 2/2010 del Gruppo di lavoro art.29 sulla pubblicità comportamentale on line ovvero sul monitoraggio del comportamento degli utenti al fine di realizzare un profilo che prescinde dall’identificazione dell’utente (tracciamento della navigazione web). Il Gruppo esprime necessità di tutelare anche il dato anonimo di tracciamento attraverso informativa e consenso. Si tutela il trattamento delle informazioni non solo dei dati personali.

11. Concetti generali • “dati sensibili” • sono i dati personali idonei a rilevare: • l’origine razziale ed etnica, • le convinzioni religiose, filosofiche o di altro genere, • le opinioni politiche, l’adesione a partiti, sindacati, • l’appartenenza a associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, • lo stato di salute e la vita sessuale • L’elencazione è tassativa, ma elastica (dati idonei a…). • Collegamento potenziale non diretto e attuale: dati che possono consentire di rivelare, ma che non necessariamente individuano…(es scelte alimentari in mensa per allergie o religione)

12. Concetti generali “dati sensibili” I dati atti a rilevare la personalità etico sociale e le caratteristiche psico-sanitarie sono oggetto di regole particolare nel Codice. Il concetto è la riferibilità, non la diretta connessione: dati idonei a rilevare… Per esempio, Per i privati: la forma scritta per il consenso è richiesto non solo per la sua prova ma anche per la sua validità e ci si deve attenere alle autorizzazioni generali del Garante (art.26 c1) Per i soggetti pubblici: non si richiede il consenso, ma il trattamento deve essere previsto e autorizzato dalla legge (art.20 c1) Le sanzioni sono più dure: trattamento di dati illeciti se dati sensibili reclusione da 1 a 3 anni, dati personali da 6 mesi a 2 anni (art167)

13. Concetti generali “dati sensibilissimi” I dati atti a rilevare lo stato di salute e la vita sessuale (parte II, titolo V) Dati sanitari:quelli che rivelano la malattia o quelli che non rivelano la malattia ma che rivelano che esiste un problema di salute? MATERIA RICCA DI ATTI DEL GARANTE “Linee guida in materia di trattamento di dati personali dei lavoratori per finalità di gestione del rapporto di lavoro ”Autorizzazione 1/2011 al trattamento dei dati sensibili nei rapporti di lavoro” “Autorizzazione al trattamento di dati sanitari” Es. provv 18/06/09. ricorso del dipendente che lamentava che la busta paga recava in forma esplicita la dicitura “appartenente a categorie svantaggiate”. Accolto. provv 25/06/09 sul sito web della Prov. di Foggia due determinazioni delle Risorse Umane su richiesta di riconoscimento di infermità da causa di servizio di dipendente. Diffusione di dati sensibili è vietata (art 26c.5). Prescrizione 29/04/09. lo scontrino di acquisto di medicinali emesso a fini fiscali deve riportare in luogo della denominazione del farmaco il numero di autorizzazione di messa in commercio

14. Concetti generali “dati giudiziari” I provvedimenti giudiziari penali di condanna, i provvedimenti giudiziari concernenti le pene e la riabilitazione, la qualità di imputato e la qualità di indagato. Equiparati ai dati sensibili. Il trattamento è consentito solo se autorizzato da legge o provvedimento del garante che specifici le finalità di rilevante interesse pubblico , i tipi di dati trattati e le operazioni eseguibili

15. Concetti generali Regime alimentare mensa Certificati medici con diagnosi

16. Concetti generali “trattamento” qualunque operazione o insieme di operazioni, compiute anche senza il supporto di strumenti elettronici, concernenti la raccolta, la registrazione, l’organizzazione, la conservazione, la consultazione, l’elaborazione, la modificazione, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non sono registrati in una banca dati • Registrazione fatture; • Catalogazione dati (anagrafici, fiscali, ecc.); • Consultazione e archiviazione fascicoli cartacei; • Elaborazione buste paga; • Aggiornamento denunce infortuni; • Comunicazione dati all’INPS, all’INAIL, a banche, ecc.; • Esame e conservazione certificati medici (idoneità al lavoro, malattia); • Raccolta dati ai fini della partecipazione a concorsi a premi; • Raccolta dati inerenti informazioni commerciali.

17. Concetti generali Per “trattamento” si intende una delle seguenti operazioni, automatizzate o manuali:

18. Concetti generali I trattamenti di comunicazione e diffusione • A differenza degli altri trattamenti, hanno ricevuto apposite disposizioni normative, per i maggiori rischi in cui incorrere l’interessato. • Art 19 • un soggetto pubblico può comunicare dati ad altro soggetto pubblico solo se previsto da norma di legge o regolamento o se comunicato al Garante il trattamento (45 gg per la risposta) in caso di finalità istituzionali. • un soggetto pubblico può comunicare dati a soggetto privato o fare diffusione solo se previsto da norma di legge o regolamento • La comunicazione da parte di un titolare privato deve avvenire sempre attraverso la raccolta del consenso informato dell’interessato a meno delle circostanze art.24 (obblighi derivanti da un contratto, obbligo di legge, …) • Art 26 • I dati idonei a rilevare lo stato di salute non possono essere diffusi • Art.84 • I dati idonei a rivelare lo stato di salute possono essere resi noti all’interessato solo dal medico designato • Linee guida in materia di pubblicazione sul web di atti e documenti amministrativi • es • L’università può comunicare i nominativi dei neolaureati alle imprese solo se previsto da regolamento

19. Concetti generali La conservazione • Art.11 i dati sono conservati in modo da consentire l’identificazione dell’interessato per un periodo di tempo non superiore al periodo necessario agli scopi per cui i dati sono raccolti. • Successivamente possono essere conservati con le adeguate garanzie per scopi storici, statistici o scientifici. Es: “codice di deontologia per trattamenti per scopi statistici o scientifici” allegato a4, i dati identificativi se possibile devono essere conservati separatamente dagli altri. • A volte normativa detta limiti specifici: • Provvedimento sulla videosorveglianza, da poche ore a max una settimana , se attività rischiosa. • Circolare n.61 Ministero Sanità 1986, le cartelle cliniche vanno conservate nella struttura sanitaria per 40 anni, poi ancora conservate in archivio • ………..

20. Concetti generali “Banca Dati “ • Qualsiasi insieme organizzato e finalizzato di dati personali, ripartito in una o più unità fisiche o logiche, in uno o più siti logistici, finalizzato ad uno o più trattamenti. • Ad es: archivio cartaceo risorse umane, database delle anagrafiche dei dipendenti, registro visitatori, archivio fatture ufficio amministrazione, ecc. Archivio cartaceo Archivio elettronico

21. Concetti generali “titolare” è la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni relative alle finalità, alle modalità del trattamento dei dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza L’art. 28 specifica che per titolare deve intendersi l’entità nel suo complesso o l’unità od organismo periferico che esercita un potere decisionale del tutto autonomo sulle finalità e modalità del trattamento. CONI Servizi S.p.A. è Titolare del trattamento dei dati dei propri dipendenti, fornitori, clienti, ecc.

22. Concetti generali “responsabile” è la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali La nomina del responsabile non è obbligatoria, ma se effettuata, essa deve concernere soggetti che forniscano idonea garanzia del rispetto delle disposizioni in materia di trattamento dei dati personali. Il responsabile opera attenendosi alle istruzioni impartite dal titolare il quale, anche mediante verifiche, vigila sulla puntuale osservanza delle disposizioni; E’ individuato tra i soggetti che per esperienza, capacità e affidabilità garantiscono la capacità di sovrintendere alle operazioni di trattamento dei dati. Tale figura non è prevista dalla direttiva europea 95/46/CE

23. Concetti generali “incaricati” sono le persone fisiche autorizzate ad effettuare operazioni di trattamento dal titolare dei dati o dal responsabile

24. Concetti generali Incaricato • La persona fisica autorizzata a compiere operazioni di trattamento dal titolare o dal responsabile. L’incaricato, designato per iscritto, deve attenersi alle istruzioni ricevute dal titolare o dal responsabile, i quali hanno un obbligo di vigilanza sul loro operato; • L’ambito di operatività dell’Incaricato è predeterminato per iscritto, risulta dalla nomina, ovvero dall’assegnazione dell’Incaricato alla funzione; • L’Incaricato opera sotto la diretta autorità del Titolare (CONI Servizi S.p.A.) o del Responsabile. • Tutti i dipendenti di CONI Servizi S.p.A. che trattano dati personali di terzi (con strumenti elettronici o cartacei), sono incaricati; • Gli incaricati sono i soggetti che, nella pratica: Raccolgono i dati Elaborano i dati con procedure informatiche o manuali Li comunicano Li archiviano Li diffondono

25. Concetti generali “interessato” è la persona fisica (prima del d.l.201/2011 art 40 c.2: la persona giuridica, l’ente o l’associazione) cui si riferiscono i dati personali

26. Concetti generali • “comunicazione” • portare a conoscenza dei dati personali ,in qualsiasi forma, anche attraverso la loro messa a disposizione o consultazione, uno o più soggetti determinati anche nella specie diversi da: • l’interessato, • il titolare, • il responsabile, • gli incaricati. Esempi: • Costituisce comunicazione l’invio di dati personali all’I.N.P.S. per gli adempimenti previdenziali; • Costituisce comunicazione l’invio alla banca delle coordinate bancarie del dipendente per l’accredito dello stipendio. non costituisce comunicazione la trasmissione di dati personali ai colleghi del proprio o di altri settori per operazioni attinenti a finalità strettamente lavorative.

27. Concetti generali “diffusione” consiste nel portare a conoscenza dei dati personali soggetti indeterminati nel numero e nella specie, in qualunque forma, anche attraverso la loro messa a disposizione o consultazione

28. Principi per il trattamento dei dati • Tali principi sono descritti dall’art 11 del codice: • Liceità • Correttezza • Necessità • Esattezza • Pertinenza e non eccedenza • Aggiornamento e completezza • In caso di violazione dei principi il trattamento si qualifica illecito e: • I dati non possono essere utilizzati (art.11 c2) • Il danno non patrimoniale è risarcibile anche in caso di violazione dell’art 11 (art.15 c2) • Giurisprudenza non univoca: a volte danno in re ipsa ovvero danno nel momento in cui si realizza la violazione del principio a prescindere dalla prova del danno. • Ciò soprattutto nei casi di danni da informazioni inesatte come quelle che generano segnalazioni alla centrale rischi della banca d’Italia. • O Se si lede un diritto (es dignità) dell’interessato a prescindere dalla concreta conoscenza di terzi. Diffusione incontrollata di cartelle cliniche o loro mancata custodia

29. Principi per il trattamento dei dati Liceità Il trattamento è lecito quando è conforme alla legge ovvero al codice Correttezza Richiamo al principio di buona fede. Si preclude la possibilità di acquisire e gestire dati mediante violenza o frode e richiedendo un dovere di trasparenza Finalità Assicurare la rispondenza del trattamento dei dati a finalità individuate specifiche legittime e rese note all’interessato La finalità deve essere resa nota nell’informativa Per i soggetti pubblici, diversamente dai privati, presupposto di legittimità non è il consenso bensi la finalità istituzionale del trattamento. Il trattamento per scopi storici, statistici o scientifici è considerato compatibile con le finalità per cui tali dati erano stati precedentemente raccolti e può essere effettuato anche oltre il periodo di tempo necessario alle finalità originarie (ci sono codici deontologici al riguardo, allegato A2, A3, A4 al Codice) Lo stesso dato può essere usato per finalità differenti. Se raccolgo indirizzi di posta elettronica immessi on line da utenti per finalità relative ad hobby, discussioni su temi specifici e li uso per mandare comunicazioni politiche sto violando il principio di finalità. Se un utente pubblica un indirizzo non significa che sia utilizzabile per scopi diversi da quelli per cui è stato pubblicato

30. Principi per il trattamento dei dati Necessità Il trattamento informatizzato ovvero i programmi informatici devono essere configurati in modo tale da preferire dati anonimi e ridurre al minimo l’utilizzo di dati personali e dati identificativi. Identificazione solo se necessaria. Raggiunti gli scopi del trattamento i dati devono essere cancellati o resi anonimi I dati devono essere raccolti solo se necessari per le finalità del trattamento e conservati per il periodo di tempo indispensabile Esattezza Il titolare deve verificare che i dati trattati siano esatti, corretti e completi (qualità dell’informazione). Il trattamento di dati inesatti può comportare una rappresentazione falsa e pregiudizievole dell’interessato. L’interessato ha il diritto di richiedere aggiornamento, rettifica e integrazione (art.7)

31. Principi per il trattamento dei dati Pertinenza e non eccedenza I dati raccolti e trattati devono essere sufficienti per le finalità dichiarate e non eccedenti. Es. esposizione in bacheca condominiale accessibile anche ad esterni al condominio della situazione debitoria dei condomini (diffusione) Es. Test attitudinali nominativi per i dipendenti di un comune ove veniva richiesto giudizio suazione politica dell’ente e sull’operato dei dirigenti.(più art.8 statuto lavoratori divieto al datore di lavoro di svolgere indagini sulle opinioni politico sindacali del lavoratore) Es. i contrassegni comunali per la sosta rilasciate a persone invalide devono contenere i dati indispensabili ad individuare l’autorizzazione rilasciata e non altre informazioni Es. diffusione delle delibere su internet. Operare selezione informazioni (2011“Linee guida per il trattamento dei dati personali contenuti in atti e documenti amministrativi pubblicati sul web”) art 22 (stato di salute mai diffuso) ES. Conservazione dei dati. Solo per il periodo di tempo necessario alla finalità. Ma, “Codice di deontologia per scopi scientifici, statistici…”(allegato A4) Ma, normative specifiche (circolare Ministero sanità 19 dicembre 1986: cartelle cliniche conservate a tempo indeterminato, dati traffico abbonati e utenti max 6 mesi da fornitore rete pubblica di comunicazioni)

32. Principi per il trattamento dei dati Art.11 I dati personali oggetto di trattamento devono essere: • trattati in modo lecito e secondo correttezza; • raccolti e registrati per scopi determinati, espliciti e legittimi, ed utilizzati in altre operazioni del trattamento in termini non incompatibili con tali scopi; • esatti e, se necessario, aggiornati; • pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono stati raccolti o successivamente trattati; • conservati in una forma che consenta l’identificazione dell’interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati.

33. Adempimenti per la legittimità del trattamento

34. Adempimenti formali per la legittimità del trattamento Art.13 “Informativa” L’interessato o la persona presso la quale sono raccolti i dati personali sono sempre previamente informati oralmente o per iscritto circa: Le finalità e le modalità del trattamento La natura obbligatoria o facoltativa del conferimento dei dati Le conseguenze di un eventuale rifiuto a rispondere I soggetti o le categorie di soggetti ai quali i dati possono essere comunicati o che possono venirne a conoscenza come responsabili o incaricati L’ambito e i modi di diffusione I diritti di cui all’art.7 Gli estremi identificativi del titolare e almeno un responsabile, se individuato d.l. 70/2011 Chi riceve cv inviato da chi cerca lavoro non deve più inviare informativa. L’obbligo di fornire informativa anche oralmente ed in via semplificata (1, 4, 7) scatta in caso di contatto per colloquio

35. Adempimenti formali per la legittimità del trattamento L’interessato ha diritto di ottenere: • la conferma dell'esistenza o meno di dati personali che lo riguardano; • l'indicazione dell’origine dei dati delle finalità e delle modalità di trattamento, della logica applicata al trattamento, degli estremi identificativi di responsabili e titolare, dei soggetti a cui i dati possono essere comunicati; • l'aggiornamento, la rettificazione e l'integrazione dei dati; • la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge; • l'attestazione che queste operazioni sono state portate a conoscenza, anche per quanto riguarda il loro contenuto. L’interessato ha diritto di opporsi, in tutto o in parte: • per motivi legittimi al trattamento dei dati personali che lo riguardano, anche se pertinenti allo scopo della raccolta; • al trattamento di dati personali che lo riguardano a fini di invio di materiale pubblicitario, di vendita diretta, per il compimento di ricerche di mercato, di comunicazione commerciale.

36. Adempimenti formali per la legittimità del trattamento Diritti dell’interessato Come si risponde all’interessato? • Previa verifica della sua identità • Previa verifica dei poteri di rappresentanza della persona delegata • Riscontrando la richiesta senza ritardo e comunque riducendo i tempi di risposta per quanto possibile • Semplificando le modalità di riscontro e agevolando le modalità di accesso ai dati per quanto possibile • Comunicando i dati in forma comprensibile • Evitando la comunicazione di dati di altri Interessati • Rispettando il segreto aziendale

37. Adempimenti formali per la legittimità del trattamento CONSENSO PER I DATI PERSONALI Art.23 Il trattamento di dati personali …è ammesso solo con il consenso dell’interessato …… Il consenso è validamente prestato solo se: è espresso liberamente e specificatamente in riferimento ad un trattamento individuato è documentato per iscritto sono state rese le informazioni di cui all’art.13 Per i dati sensibili deve essere manifestato in forma scritta TUTTAVIA

38. Adempimenti formali per la legittimità del trattamento • CONSENSO PER I DATI PERSONALI • Art.24 “casi in cui può essere effettuato trattamento senza consenso” • Il consenso non è richiesto quando il trattamento: • è necessario per adempiere ad un obbligo previsto dalla legge, da un regolamento o dalla normativa comunitaria; • è necessario per eseguire obblighi derivanti da un contratto del quale è parte l’interessato… • Riguarda dati provenienti da pubblici registri, elenchi…conoscibili da chiunque… • …… • è necessario per la salvaguardia della vita o dell’incolumità fisica dell’interessato • …è necessario per far valere un diritto in sede giudiziaria… • ….. • è effettuato (ma non comunicazione ne diffusione) da associazioni, enti o organismi senza scopo di lucro …in riferimento a…aderenti, per il perseguimento di scopi determinati e legittimi individuati dall’atto costitutivo, lo statuto….con modalità rese note all’atto dell’informativa di cui all’art.13 • INOLTRE

39. Adempimenti formali per la legittimità del trattamento CONSENSO PER I DATI SENSIBILI Art.26 “garanzie per i dati sensibili” I dati sensibili possono essere oggetto di trattamento solo: a. con il consenso scritto dell’interessato; b. previa autorizzazione del Garante. …….. I dati sensibili possono essere oggetto di trattamento senza consenso ma previa autorizzazione del Garante se il trattamento: a. è effettuato da associazioni, enti…a carattere politico, religioso, filosofico,sindacale… b. è necessario per la salvaguardia della vita … c. è necessario per far valere un diritto in sede giudiziaria…(se i dati sono sanitari o sessuali deve essere un diritto di pari rango) d. è necessario per adempiere ad obblighi o compiti previsti dalla legge … per la gestione del rapporto di lavoro, in materia di igiene e sicurezza sul lavoro..previdenza e assistenza… I dati idonei a rilevare lo stato di salute non possono essere diffusi. INOLTRE

40. Adempimenti formali per la legittimità del trattamento CONSENSO PER I DATI SENSIBILI Le autorizzazioni generali del Garante 1/2012 autorizzazione al trattamento dei dati sensibili nei rapporti di lavoro 2/2012 autorizzazione al trattamento dei dati sullo stato di salute e vita sessuale da parte di soggetti esercenti le professioni sanitarie ….. 7/2012 autorizzazione al trattamento dei dati giudiziari

41. Adempimenti formali per la legittimità del trattamento • CONSENSO PER GLI ENTI PUBBLICI • Art.18“trattamenti effettuati da soggetti pubblici” • Salvo che la Sanità, gli enti pubblici non devono richiedere il consenso, ma il trattamento è consentito solo per le finalità e le funzioni istituzionali • Se il trattamento riguarda dati sensibili deve essere previsto dalla legge (art.20)

42. Adempimenti formali per la legittimità del trattamento CONSENSO PER DATI GIUDIZIARI Art.27 “garanzie per i dati giudiziari” Il trattamento dei dati giudiziari…è consentito solo se autorizzato da espressa disposizione di legge o provvedimento del garante che specifica le rilevanti finalità di interesse pubblico, i tipi di dati trattati e le operazioni eseguibili

43. Adempimenti formali per la legittimità del trattamento CONSENSO PER TRASFERIMENTO DEI DATI Trasferimenti all’interno dell’UE • La circolazione dei dati dentro UE è libera ed è sempre possibile con esclusione dei casi volti ad eludere le disposizioni in materia di trattamento dei dati personali. Abuso di diritto ovvero un soggetto esercita un proprio diritto per uno scopo in contrasto con quello per cui il diritto è riconosciuto. Trasferimenti in Paesi terzi Solo se garantiscono adeguato livello di sicurezza (direttiva 95/46/CE e art.45 codice). L’adeguatezza è valutata in riferimento alla natura dei dati, tecniche utilizzate, misure di sicurezza adottate, finalità del trattamento. Il giudizio di adeguatezza è emesso dal Garante del paese da cui i dati provengono (art.44): • sulla base di decisioni della Commissione Europea che constatano che: • il paese terzo garantisce un livello di protezione adeguato per effetto della sua legislazione o di accordi e impegni internazionali; • alcune clausole contrattuali tipo offrano garanzie sufficienti in caso di inserimento in un contratto • (la Commissione si è espressa sull’adeguatezza dei trasferimenti verso Svizzera, Ungheria, Canada, Argentina, Israele,…I trasferimenti verso USA solo se imprese si conformano al ”Safe Harbour”, un insieme di principi a garanzia del trasferimento. • Sulla base di adeguate garanzie individuate con un contratto o mediante regola di condotta nell’ambito di società appartenenti a medesimo gruppo. Binding Corporate Rules: il garante inglese e francese hanno approvato le BCR per alcune multinazionali (Accenture, Spencer Stuart, Michelin,..)

44. Adempimenti formali per la legittimità del trattamento CONSENSO PER TRASFERIMENTO DEI DATI Trasferimenti in Paesi terzi E’ possibile inoltre nei seguenti casi (art.43) : • espresso consenso dell’interessato; • esecuzione di obblighi derivanti da un contratto; • salvaguardia di un interesse pubblico rilevante a norma di legge o regolamento; • salvaguardia dell’incolumità fisica o della vita di un terzo; • difesa di un diritto in sede giudiziaria; • accesso a documenti amministrativi o dati riconducibili a pubblico registro; • espressa previsione nei codici di deontologia; • dati riguardanti persone giuridiche, enti o associazioni; • espressa autorizzazione del Garante. • Il trasferimento dei dati verso paesi extra UE è quindi possibile in molteplicità di principi alternativi tra loro.

45. Adempimenti formali per la legittimità del trattamento In caso di cessazione, per qualsiasi causa, di un trattamento i dati sono: • Distrutti; • Ceduti ad altro titolare, purché destinati ad un trattamento in termini compatibili agli scopi per i quali i dati sono raccolti; • Conservati per fini esclusivamente personali e non destinati ad una comunicazione sistematica o alla diffusione; • Conservati o ceduti ad altro titolare, per scopi storici, statistici o scientifici, in conformità alla legge, ai regolamenti, alla normativa comunitaria e ai codici di deontologia e di buona condotta sottoscritti ai sensi dell'articolo 12.

46. Adempimenti strutturaliMisure di sicurezza I dati personali possono assumere formati differenti: Ne consegue che prerequisito fondamentale per l’adozione delle misure di sicurezza, in ottemperanza a quanto indicato nell’Allegato B del codice in materia di protezione dei dati personali, è l’identificazione degli archivi cartacei e delle banche dati elettroniche contenenti dati personali. Infatti, le misure di sicurezza variano in funzione della tipologia di dato (personale o sensibile) e del supporto fisico su cui è custodito (cartaceo o elettronico).

47. Adempimenti strutturaliObblighi di sicurezza La sicurezza dei dati personali deve essere affrontata con un approccio integrato: • Giuridico • Organizzativo e procedurale • Tecnico-informatico Gli obblighi di sicurezza riguardano il titolare, i responsabili e gli incaricati.

48. Adempimenti strutturaliObblighi di sicurezza I rischi individuati dal Codice (art 31) sono i seguenti: • Distruzione o perdita • Accesso non autorizzato • Trattamento non conforme alle finalità di raccolta • Trattamento non consentito I rischi sono relativi sia ai trattamenti cartacei che informatici Es: accesso non autorizzato degli hackers al sistema informatico ovvero accesso non autorizzato del personale di pulizia ai fascicoli lasciati sulla scrivania dal dipendente, ma anche accesso del dipendente al sistema informativo per raccogliere dati per finalità non collegate o dati estranei alle ragioni di servizio.

49. Adempimenti strutturaliObblighi di sicurezza Le definizioni circa la sicurezza si trovano all’art 4 c3 “misure minime” complesso delle misure tecniche, informatiche, organizzative logistiche e procedurali che configurano il livello minimo di protezione richiesto in relazione ai rischi individuati dall’art.31 “autenticazione informatica” strumenti informatici o hardware finalizzati a verificare l’identità del soggetto “credenziali di autenticazione” dati e dispositivi in possesso di una persona da questi conosciuti e ad essa univocamente correlati utilizzati per l’autenticazione informatica

50. Adempimenti strutturaliObblighi di sicurezza Le misure minime sono descritte dall’art.33,34 e 36 e dall’allegato B. Il rispetto delle misure minime è sufficiente per adempiere agli obblighi di sicurezza? Art. 31 I dati personali sono custoditi e controllati anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati, alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l’adozione di idonee e preventive misure di sicurezza, i rischi di distruzione e perdita, di accesso non autorizzato di trattamento non consentito o non conforme Aggiornamento costante + valutazione rispetto al rischio Cosa manca? Costo- opportunità ovvero valutazione degli oneri economici in relazione al rischio. Tale valutazione era presente nell’art.17 direttiva 95/46/CE ma non è stata ripresa dal codice