1 / 72

LA NUOVA REGOLAMENTAZIONE SULLA PRIVACY

LA NUOVA REGOLAMENTAZIONE SULLA PRIVACY. Il nuovo Codice in materia di protezione dei dati personali Decreto Legislativo 30 Giugno 2003 n.196. Indice. Il trattamento I soggetti del trattamento La notificazione La comunicazione L’informativa Il consenso L’autorizzazione

adam-york
Télécharger la présentation

LA NUOVA REGOLAMENTAZIONE SULLA PRIVACY

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. LA NUOVA REGOLAMENTAZIONE SULLA PRIVACY Il nuovo Codice in materia di protezione dei dati personali Decreto Legislativo 30 Giugno 2003 n.196

  2. Indice • Il trattamento • I soggetti del trattamento • La notificazione • La comunicazione • L’informativa • Il consenso • L’autorizzazione • Gli obblighi di sicurezza • La tutela amministrativa e giurisdizionale

  3. Articolo 1 “Chiunque ha diritto alla protezione dei dati personali che lo riguardano”

  4. Il nuovo Codice in materia di protezione dei dati personali garantisce che il trattamento dei dati personali si svolga nel rispetto dei diritti e delle libertà fondamentali, nonchè della dignità dell'interessato, con particolare riferimento alla riservatezza, all'identità personale e al diritto alla protezione dei dati personali;

  5. Esso si basa sul principio di necessità (Art. 3), secondo cui i sistemi informativi ed i programmi informatici dovranno essere configurati riducendo al minimo l’utilizzazione di dati personali e di dati identificativi al fine di escludere il trattamento quando le finalità perseguite potranno essere realizzate mediante dati anonimi o tecniche di identificazione del soggetto solo in caso di necessità.

  6. TRATTAMENTO (Art. 4) Qualunque operazione o complesso di operazioni, effettuati anche senza l'ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati.

  7. I SOGGETTI DEL TRATTAMENTO • Il titolare • Il responsabile • L’incaricato

  8. I SOGGETTI DEL TRATTAMENTO • Il titolare (Art. 28) E’ il soggetto che esercita un potere decisionale del tutto autonomo sulle finalità e modalità del trattamento; può essere una persona fisica, giuridica o un ente.

  9. I SOGGETTI DEL TRATTAMENTO • Il responsabile (Art. 29) E’ la persona fisica o giuridica che può essere facoltativamente designata da parte del titolare del trattamento. Dovrà sempre essere scelto tra persone che per esperienza o capacità forniscano idonea garanzia sul pieno rispetto delle norme in materia di trattamento dei dati, compreso il profilo della sicurezza. -Modello n. 10 per nomina del responsabile -Modello n. 12 per nomina del medico

  10. I SOGGETTI DEL TRATTAMENTO • L’incaricato(Art. 30) Chiunque compie operazioni di trattamento. Può essere individuato solamente tra le persone fisiche. La designazione degli incaricati deve ritenersi valida anche se sussiste la documentata preposizione della persona fisica a una unità per la quale è individuato l’ambito del trattamento consentito agli addetti all’unità medesima. -Modello n. 11 per la nomina dell’incaricato -Modello n. 15 per ordine di servizio

  11. LA NOTIFICAZIONE  (Art. 37)

  12. La notificazione è una dichiarazione con la quale un soggetto pubblico o privato rende nota al Garante per la protezione dei dati personali l’esistenza di un’attività di raccolta e di utilizzazione dei dati personali. La notificazione va effettuata prima che inizi il trattamento medesimo.

  13. Come si notifica (Art. 38)

  14. La notifica si effettua una sola volta, on-line al sito www.garanteprivacy.it e riguarda l’attività di trattamento di dati personali. La procedura prevede, oltre alla compilazione per via telematica, il pagamento dei Diritti di segreteria, il cui importo è fissato in Euro 150.00, e la sottoscrizione con firma digitale (art. 10, comma 3, d.P.R. n. 445/2000). A tal fine, il titolare del trattamento deve utilizzare un dispositivo di firma digitale disponibile presso uno dei certificatori accreditati ai sensi dell’art. 2, comma 1, lettera c, d. lgs. n. 10/2002.

  15. A cosa serve

  16. La finalità della notificazione è quella di essere inserita in un registro pubblico consultabile gratuitamente da tutti on-line. Il cittadino può così acquisire notizie e può utilizzarle per le finalità di applicazione della disciplina in materia di protezione dei dati personali (ad esempio, per esercitare il diritto di accesso ai dati o altri diritti riconosciuti dal Codice in materia di protezione dei dati personali).Mediante il registro possono essere effettuati controlli sui trattamenti oggetto di notificazione, verificando le notizie in essa contenute.

  17. Chi deve notificare

  18. Titolare del trattamento Secondo la nuova procedura, solo i titolari dei trattamenti indicati dalla legge (art. 37 del Codice) o dal Garante con appositi provvedimenti (allo stato non adottati), sono obbligati a notificare i trattamenti al Garante. • Contitolare del trattamento In caso di contitolarità del trattamento, ciascun contitolare è tenuto ad effettuare un'autonoma notificazione,  nella quale indicherà tutti gli altri contitolari.

  19. Quali dati vanno notificati (Art. 5)

  20. Vanno notificati esclusivamente dati personali che riguardano: a) dati genetici, biometrici o dati che indicano la posizione geografica di persone od oggetti mediante una rete di comunicazione elettronica; b) dati idonei a rivelare lo stato di salute e la vita sessuale, trattati a fini di procreazione assistita, prestazione di servizi sanitari per via telematica relativi a banche di dati o alla fornitura di beni, indagini epidemiologiche, rilevazione di malattie mentali, infettive e diffusive, sieropositività, trapianto di organi e tessuti e monitoraggio della spesa sanitaria; c) dati idonei a rivelare la vita sessuale o la sfera psichica trattati da associazioni, enti od organismi senza scopo di lucro, anche non riconosciuti, a carattere politico, filosofico, religioso o sindacale; d) dati trattati con l'ausilio di strumenti elettronici volti a definire il profilo o la personalità dell'interessato, o ad analizzare abitudini o scelte di consumo, ovvero a monitorare l'utilizzo di servizi di comunicazione elettronica con esclusione dei trattamenti tecnicamente indispensabili per fornire i servizi medesimi agli utenti; e) dati sensibili registrati in banche di dati a fini di selezione del personale per conto terzi, nonchè dati sensibili utilizzati per sondaggi di opinione, ricerche di mercato e altre ricerche campionarie; f) dati registrati in apposite banche di dati gestite con strumenti elettronici e relative al rischio sulla solvibilità economica, alla situazione patrimoniale, al corretto adempimento di obbligazioni, a comportamenti illeciti o fraudolenti.

  21. Sanzioni

  22. Se la notificazione si omette oppure si presenta in ritardo o incompleta, il titolare è punito con una sanzione pecuniaria (da diecimila euro a sessantamila euro) e con la pena accessoria della pubblicazione dell’ordinanza che applica la sanzione stessa in uno o più giornali, per intero o per estratto, mentre se la notificazione risulta falsa, il titolare viene punito con la reclusione (da sei mesi a tre anni e salvo che il fatto configuri un reato più grave).

  23. LA COMUNICAZIONE (Art. 39)

  24. La comunicazione al Garante da parte del titolare del trattamento è obbligatoria nei casi in cui si ha comunicazione di dati personali da parte di un soggetto pubblico (a un altro soggetto pubblico), qualora non prevista da una norma di legge o di regolamento, ed effettuata in qualunque forma anche mediante convenzione, oppure il trattamento di dati idonei a rilevare lo stato di salute previsto dall’ Articolo 110 del programma di ricerca biomedica o sanitaria.

  25. La  comunicazione deve essere effettuata anche quando si richiede la cancellazione dei propri dati contenuti in un archivio e deve essere portata a conoscenza di coloro i quali quei dati erano stati precedentemente comunicati. (Art. 39 Comma 3)

  26. L’INFORMATIVA (Art. 13)

  27. L’ informativa è una dichiarazione che il titolare o il responsabile fa all’ interessato in forma scritta od orale circa l’utilizzo delle informazioni che lo riguardano. Grazie all’informativa l’interessato è consapevole della circolazione delle informazioni che lo riguardano e può quindi riappropriarsene esercitando il diritto alla autodeterminazione informativa. Sono pertanto tenuti al rilascio dell’informativa sia soggetti pubblici che soggetti privati. Il rilascio dell’informativa costituisce una condizione di validità del consenso.

  28. Quali informazioni riguarda: • a) le finalità e le modalità del trattamento cui sono destinati i dati; • b) la natura obbligatoria o facoltativa del conferimento dei dati; • c) le conseguenze di un eventuale rifiuto di rispondere; • d) i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati, e l'ambito di diffusione dei dati medesimi; • e) i diritti di cui all'articolo 7; • f) gli estremi identificativi del titolare e, se designati, del rappresentante nel territorio dello Stato ai sensi dell'articolo 5 e del responsabile. Quando il titolare ha designato più responsabili è indicato almeno uno di essi, indicando il sito della rete di comunicazione o le modalità attraverso le quali è conoscibile in modo agevole l'elenco aggiornato dei responsabili. Quando è stato designato un responsabile per il riscontro all'interessato in caso di esercizio dei diritti di cui all'articolo 7, è indicato tale responsabile. -Modelli n. 1, n. 2 e n. 3

  29. Eccezioni L’informativa non si applica quando: • a) I dati sono trattati in base ad un obbligo previsto dalla legge, da un regolamento o dalla normativa comunitaria; • b) I dati sono trattati ai fini dello svolgimento di investigazioni difensive, o per far valere un diritto in sede giudiziaria, per il periodo strettamente necessario al loro perseguimento; • c) L’informativa all’interessato comporta un impiego di mezzi che il Garante dichiari manifestamente sproporzionati rispetto al diritto tutelato, ovvero si riveli impossibile a giudizio del Garante.

  30. IL CONSENSO Artt. da 23 a 26

  31. Il trattamento di dati personali da parte di privati o di enti pubblici economici è ammesso solo con il consenso espresso dell'interessato. Il consenso è una libera ed esplicita manifestazione di volontà dell’interessato in relazione all’utilizzo dei propri dati personali da parte di terzi, che in qualità di “titolari” del trattamento dei dati ne decidono le finalità e le modalità. Il consenso rappresenta, assieme all’esercizio del diritto di accesso e di opposizione al trattamento, il potere dell’interessato di autodeterminare il proprio patrimonio informativo.

  32. Quando richiedere il consenso Va richiesto all’interessato prima della raccolta dei dati, salvo particolari situazioni in cui il legislatore ammette la possibilità di richiedere e rilasciare il consenso da parte di un soggetto diverso da quello cui si riferiscono le informazioni. Il consenso costituisce una condizione di liceità del trattamento dei dati posto in essere da parte dei privati e degli enti pubblici economici. Detto obbligo non sussiste nei casi espressamente individuati dal legislatore. -Modelli n. 4 e n. 5

  33. La forma del consenso Il consenso deve essere manifestato in forma scritta nel caso in cui il trattamento abbia ad oggetto dati sensibili, mentre il legislatore per il legittimo trattamento dei dati comuni richiede semplicemente che il consenso sia esplicito. Per alcuni dati sensibili infine, il nuovo codice ha disposto che il trattamento possa avvenire senza consenso, previa autorizzazione del Garante.

  34. Eccezioni Il consenso non è richiesto quando: a) è necessario per adempiere ad un obbligo previsto dalla legge, da un regolamento o dalla normativa comunitaria; b) è necessario per eseguire obblighi derivanti da un contratto del quale è parte l’interessato o per adempiere a specifiche richieste dell‘interessato; c) riguarda dati provenienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque fermo restando i limiti e le modalità che le leggi, i regolamenti o la normativa comunitaria stabiliscono per la conoscibilità e pubblicità dei dati; d) riguarda dati relativi allo svolgimento di attività economiche; e) è necessario per la salvaguardia della vita o dell’incolumità fisica di un terzo. f) è necessario ai fini dello svolgimento delle investigazioni difensive; g) è necessario nei casi individuati dal Garante sulla base dei principi sanciti dalla legge per perseguire un legittimo interesse del titolare o di un terzo destinatario dei dati; h) è effettuato da associazioni enti o organismi senza scopo di lucro, in riferimento a soggetti o ad aderenti che hanno con essi contatti regolari per il perseguimento di scopi determinati e individuati dall’atto costitutivo

  35. L’AUTORIZZAZIONE (Art. 40)

  36. L’autorizzazione costituisce una condizione di liceità del trattamento dei dati sensibili e giudiziari. Per quanto riguarda i primi, l’articolo 26 prevede che se un soggetto privato intende utilizzare dati sensibili deve soddisfare 2 condizioni di legittimità e cioè: a)Che l’interessato abbia acconsentito per iscritto, b) Che sia stata ottenuta l’autorizzazione del garante.

  37. Le autorizzazioni possono distinguersi in: • Autorizzazioni generali Con esse l’autorità acconsente a operazioni di trattamento di dati sensibili e giudiziari a determinate categorie di titolari o di trattamenti e sono pubblicate sulla Gazzetta Ufficiale della Repubblica italiana. • Autorizzazioni specifiche Quando il trattamento che il titolare pone in essere non è regolamentato, e quindi non contemplato nelle autorizzazioni generali ma sarà lo stesso titolare a sottoporre una dettagliata richiesta di autorizzazione al Garante tramite la compilazione di un modulo specifico rilasciato dall’autorità (Art. 41).

  38. Dati sensibili e Dati giudiziari (Art. 4)

  39. Per dato sensibile si intendono tutti quei dati personali idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché lo stato di salute (solo se indicano patologie), e la vita sessuale.

  40. Garanzie per i dati sensibili (Art. 26). I dati sensibili possono essere oggetto di trattamento solo con il consenso scritto dell'interessato e previa autorizzazione del Garante, nell'osservanza dei presupposti e dei limiti stabiliti dal presente codice, nonchè dalla legge e dai regolamenti. I dati sensibili possono essere oggetto di trattamento anche senza consenso, previa autorizzazione del Garantequando il trattamento è effettuato da associazioni, per il perseguimento di scopi determinati e legittimi individuati dall'atto costitutivo, dallo statuto o dal contratto collettivo, relativamente ai dati personali degli aderenti, sempre che i dati non siano comunicati all'esterno o diffusi e l'ente, associazione od organismo determini idonee garanzie relativamente ai trattamenti effettuati, prevedendo espressamente le modalità di utilizzo dei dati con determinazione resa nota agli interessati all'atto dell'informativa ai sensi dell'articolo 13; quando è necessario per adempiere a specifici obblighi o compiti previsti dalla legge, da un regolamento o dalla normativa comunitaria per la gestione del rapporto di lavoro, anche in materia di igiene e sicurezza del lavoro e della popolazione e di previdenza e assistenza, nei limiti previsti dall'autorizzazione e ferme restando le disposizioni del codice di deontologia e di buonacondotta di cui all'articolo 111. I dati idonei a rivelare lo stato di salute non possono essere diffusi. -Modello n. 5 per consenso dati sensibili

  41. Per dato giudiziario si intendono tutti quei dati personali idonei a rivelare provvedimenti in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualità di imputato o di indagato ai sensi degli Articoli 60 e 61 del codice di procedura penale.

  42. Garanzie per i dati giudiziari (Art.27). Il trattamento di dati giudiziari da parte di privati o di enti pubblici economici è consentito soltanto se autorizzato da espressa disposizione di legge o provvedimento del Garante che specifichino le rilevanti finalità di interesse pubblico del trattamento, i tipi di dati trattati e di operazioni eseguibili.

  43. OBBLIGHI DI SICUREZZA E DOCUMENTO PROGRAMMATICO (Artt. da 31 a 36)

  44. Il Codice entrato in vigore il 1° gennaio 2004 ha confermato e aggiornato la disciplina in materia di sicurezza dei dati personali e dei sistemi informatici e telematici introdotta nel 1996.

  45. Obblighi di sicurezza. I dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta (Art. 31 d.lg. n.196/2003).

  46. Nel quadro dei più generali obblighi di sicurezza di cui all'articolo 31, o previsti da speciali disposizioni, i titolari del trattamento sono comunque tenuti ad adottare le misure minime individuate dal Codice ai sensi dell'articolo 58, comma 3, volte ad assicurare un livello minimo di protezione dei dati personali.

  47. Il Codice, come dovrà avvenire periodicamente in base all’evoluzione tecnologica (art. 36 del Codice), ha aggiornato l’elenco delle misure minime le cui modalità di applicazione, sulla base di alcune prescrizioni di ordine generale (artt. 33-35 del Codice), sono indicate analiticamente nelle 29 regole incluse nell’Allegato B del medesimo Codice. Analogamente a quanto avveniva in passato, le misure minimesono diverse a seconda che il trattamento sia effettuato o meno con strumenti elettronici, oppure riguardi dati sensibili o giudiziari.

  48. A)Trattamento con strumenti elettronici (Art. 34) • 1. Il sistema deve disporre di un sistema di autenticazione degli utenti (password, firma digitale e impronte digitali). • 2. Il titolare deve adottare delle appropriate procedure di gestione delle credenziali di autenticazione. • 3. Deve essere definito un sistema di autorizzazione per abilitare gli utenti all’accesso ai dati e/o trattamenti. • 4. Adozione di appropriate procedure a cadenza periodica per aggiornare le utenze e i relativi profili. • 5.  Gli strumenti elettronici devono essere protetti da accessi non autorizzati da parte di utenti, programmi informatiti e da trattamenti illeciti. • 6. Il titolare deve adottare procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi. • 7.  Il titolare deve adottare un Documento Programmatico sulla Sicurezza. • 8.  E’ obbligatorio adottare tecniche di cifratura per i trattamenti atti a rivelare lo stato di salute o la vita sessuale rilevati da organismi sanitari.

  49. B)Trattamento senza l’ausilio di strumenti elettronici (Art.35) • 1. Bisogna aggiornare periodicamente l'individuazione dell'ambito del trattamento consentito ai singoli incaricati o alle unità organizzative. • 2. Devono essere previste delle procedure per un'idonea custodia di atti e documenti affidati agli incaricati per lo svolgimento dei relativi compiti. • 3. Devono essere previste procedure per la conservazione di determinati atti in archivi ad accesso selezionato e disciplina delle modalità di accesso finalizzata all'identificazione degli incaricati.

  50. Il disciplinare tecnico in materia di misure minime di sicurezza (cosiddetto Allegato B, Artt. da 33 a 36 del Codice). E’ un documento articolato in 29 punti nel quale vengono specificate le modalità tecniche da adottare a cura del titolare, del responsabile ove designato e dell’incaricato, in caso di trattamento con o senza strumenti elettronici. -ALLEGATO B

More Related