1 / 79

Avv. Riccardo Imperiali

IL NUOVO CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI Scuola di Formazione ed Aggiornamento del Personale dell’Amministrazione Giudiziaria. Avv. Riccardo Imperiali. LA TUTELA DELLA PRIVACY: PRECEDENTI NORMATIVI. LEGGI COMUNITARIE. Convenzione Europea sui diritti dell’uomo (art. 8);

dillon-prince
Télécharger la présentation

Avv. Riccardo Imperiali

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. IL NUOVO CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALIScuola di Formazione ed Aggiornamento del Personale dell’Amministrazione Giudiziaria Avv. Riccardo Imperiali

  2. LA TUTELA DELLA PRIVACY: PRECEDENTI NORMATIVI

  3. LEGGI COMUNITARIE • Convenzione Europea sui diritti dell’uomo (art. 8); • Linee guida OCSE del 1980; • Convenzione di Strasburgo del 1981; • La Direttiva 95/46/CE.

  4. DISCIPLINA NAZIONALE sulla tutela dei dati personali • 1 legge organica (L. 675/1996) • 1 delega e più rinnovi (L. 676/1996) • 9 integrazioni o modificazioni, da ultimo, D.Lgs. 467/2001 • 1 D.P.R. sulla sicurezza • 7 autorizzazioni generali • 3 codici deontologici

  5. L’ATTUALE NORMATIVA In vigore da Gennaio 2004 • Il D.Lgs. 196 del 30/06/2003 (Testo Unico) • Futuri codici deontologici

  6. IL D.LGS. 196/2003 “Chiunque ha diritto alla protezione dei dati personali che lo riguardano” (art.1 TU). Il nuovo Codice intende garantire che “il trattamento dei dati personali si svolga nel rispetto dei diritti, delle libertà fondamentali, nonché della dignità dell’interessato, con particolare riferimento alla riservatezza, all’identità personale ed al diritto alla protezione dei dati personali” (art.2 TU).

  7. Entriamo nella Legge:I CONCETTI ESSENZIALI (1/4) Il Trattamento dei dati • una o più tipologie di operazioni • raccolta, elaborazione, custodia, trasmissione, ecc. • su categorie di dati • nominativi, indirizzari, anagrafiche, ecc. • individuato secondo • scopi perseguiti • modalità seguite

  8. I CONCETTI ESSENZIALI (2/4) • Dato personale • qualsiasi informazione • linguaggio, suono o immagine • su qualunque supporto • carta, floppy, nastro, etere • in grado di individuare direttamente o meno • cifrature, codici, aggregazioni elementari incluse • persone fisiche o enti

  9. I CONCETTI ESSENZIALI (3/4) GLI INTERESSATI SONO… ... i soggetti cui si riferiscono i dati personali trattati

  10. DATI SENSIBILIe GIUDIZIARI DATI COMUNI I CONCETTI ESSENZIALI (4/4) • Definizione tassativa • Razza ed etnia • Fede religiosa • Credo politico sindacale e filosofico • Stato di salute • Vita sessuale • Casellario giudiziale • Condizione di indagato • Condizione di imputato Categoria residuale

  11. I PRINCIPI DELL’ART.11 TU:le modalità di raccolta... • Liceità e Trasparenza del trattamento: • il Titolare deve far conoscere all’interessato l’intenzione di raccogliere e registrare i suoi dati • Il trattamento secondo Correttezza: • L’interessato non deve essere fuorviato da indicazioni parziali o incomprensibili

  12. I PRINCIPI DELL’ART.11 T.U.:le modalità di conservazione... • Il principio di Finalità : • legittima • manifesta • determinata • Il principio di Qualità dei dati: • esattezza delle informazioni conservate • monitoraggio e aggiornamento costante dei dati • pertinenza e non eccedenza rispetto alle finalità • temporaneità della conservazione

  13. LA PRIVACY PER GLI ENTI PUBBLICI

  14. I PRINCIPI DI LICEITÀ IN AMBITO PUBBLICO • Il trattamento da parte della P.A. è lecito solo se necessario per il raggiungimento delle funzioni istituzionali dell’ente e nel rispetto di presupposti e limiti previsti dal T.U., nonché da leggi o regolamenti (art. 18 T.U.) • Il trattamento da parte dei soggetti privati e dagli enti pubblici economici è lecito solo se l’interessato ha dato il suo consenso (art. 23 T.U.)

  15. REGOLEE … • Ilcorretto trattamento (art. 22 TU) dei dati sensibili implica: • l’indicazione della norma di legge nell’informativa da rilasciare all’interessato; • il rispetto del principio di essenzialità da valutare in relazione alla funzione istituzionale; • la verifica periodica dell’esattezza e dell’aggiornamento dei dati (procedure); • la cifratura e l’uso di codici identificativi; • la conservazione separata dei dati inerenti lo stato di salute e la vita sessuale (dati ultrasensibili).

  16. DIVIETI • La P.A. non può (art. 22 TU): • diffondere i dati sanitari; • utilizzare i dati sanitari nell’ambito di test psicoattitudinali volti a definire il profilo o la personalità dell’interessato; • effettuare operazioni di raffronto tra dati sensibili e giudiziari (salvo annotazione scritta dei motivi); • non può adottare provvedimenti amministrativi basati su valutazioni o profili dell’interessato ottenuti in via esclusivamente automatizzata (art. 14 TU).

  17. LA COMUNICAZIONE DEI DATI La comunicazione o diffusione a SOGGETTI PUBBLICI sono lecite solo se: - previste da legge, regolamento o comunque se necessarie per lo svolgimento di funzioni istituzionali, previa comunicazione al Garante. La comunicazione o diffusione a SOGGETTI PRIVATI sono lecite solo se: - previste da un’espressa norma di legge o da regolamento.

  18. IL TRATTAMENTO DEI DATI COMUNI Le condizioni di liceità previste per il trattamento dei dati comuni da parte della P. A. sono costituite da: • rispetto delle funzioni istituzionali; • rispetto di presupposti e limiti previsti dal T.U., nonché da leggi o regolamenti.

  19. IL TRATTAMENTO DEI DATI SENSIBILI • E’ legittimo solo se: • C’è una legge che individua la rilevante finalità di interesse pubblico, i tipi di dati e le operazioni eseguibili; • Se una legge individua solo la rilevante finalità di interesse pubblico, i tipi di dati e le operazioni eseguibili devono essere identificati e resi pubblici dall’ente con REGOLAMENTO; • In mancanza di una legge, la rilevante finalità può essere indicata dal Garante, e l’ente deve identificare e rendere pubblici dati ed operazioni con REGOLAMENTO.

  20. IL REGOLAMENTO DEI DATI SENSIBILI

  21. Previsione di legge Tipi di dati Tipi di operazioni Rilevante interesse Dati sensibili giudiziari TRATTAMENTO DATI SENSIBILI E GIUDIZIARI DA ENTI PUBBLICI (ART. 20 E 21 T.U.) Solo se previsto da specifica disposizione di legge che dettagli anche i tipi di dati e di operazioni eseguibili. Detta soluzione consente di trattare legittimamente anche i dati giudiziari (art. 21 TU)

  22. Previsione di legge Tipi di dati Rilevanteinteresse Ente individua Tipi di operazioni Dati sensibili giudiziari TRATTAMENTO DATI SENSIBILI E GIUDIZIARI DA ENTI PUBBLICI (ART. 20 E 21 T.U.) Con regolamento Solo se previsto da specifica disposizione di legge con l’ente che dettagli i tipi di dati e di operazioni eseguibili Aggiornamento e integrazioni periodici

  23. Previsione di legge Garante individua Tipi di dati Rilevante interesse Ente individua Tipi di operazioni Dati sensibili TRATTAMENTO DATI SENSIBILI DA ENTI PUBBLICI (ART. 20 T.U.) Con regolamento Solo se previsto dal Garante con l’ente che dettagli anche i tipi di dati e di operazioni eseguibili Aggiornamento e integrazioni periodici

  24. ELEMENTI DEL REGOLAMENTO • Il Regolamento deve indicare: • la denominazione o il tipo di trattamento; • la fonte normativa; • le rilevanti finalità di interesse pubblico perseguite dal trattamento; • i tipi di dati trattati; • le operazioni eseguite; • una sintetica descrizione del trattamento e del flusso informativo.

  25. TERMINE PER L’ADOZIONE DEL REGOLAMENTO Termine ultimo per l’adozione del Regolamento – fissato al 30 settembre del 2004 dal Testo Unico – è stato eccezionalmente prorogato al 28 FEBBRAIO 2007

  26. GLI ADEMPIMENTI FORMALI

  27. L’INFORMATIVA (art. 13 TU) 1) Finalità del trattamento; 2) Modalità del trattamento; 3) Conferimento dei dati - facoltativo o - obbligatorio; 4) Comunicazione dei dati; 5) Diffusione e trasferimento all’estero; 6) Diritti dell’interessato; 7) Indicazione del Titolare (e del Responsabile)

  28. 3 eventi Dati sensibili per ricerca di personale per conto terzi Trattamento Inizio Profili elettronici Cessazione e Cessione Trasferimento Servizi sanitari telematici Estero NOTIFICAZIONE AL GARANTE (artt. 37 ss TU) Nuovo sistema “in negativo” Centrali rischi o antifrode Il Garante può specificare, estendere e circoscrivere queste casistiche 5 casi Dati biometrici Dati genetici

  29. GLI ADEMPIMENTI ORGANIZZATIVI

  30. IL TITOLARE (art. 28 TU) • Il Titolare è colui che decide le modalità e le finalità del trattamento, compreso il profilo della sicurezza (art. 4 co. 1 lett. f) T.U.); • In caso di trattamento in ambito pubblico, tale figura coincide con l’Ente stesso; • E’ possibile delegare l’esercizio della titolarità ad una persona fisica.

  31. IL RESPONSABILE (art. 29 TU) • E’ nominato dal Titolare e deve coincidere con persone fisiche, persone giuridiche, pubbliche o private, e pubbliche amministrazioni; • Deve essere scelto tra persone che per capacità, esperienza ed affidabilità, forniscono garanzia del rispetto della Legge compreso il profilo sulla sicurezza; • Deve essere designato con uno specifico atto di nomina; • Può essere nominato anche un soggetto esterno.

  32. L’INCARICATO (art. 30 TU) • Può essere solo una persona fisica ed è individuato dal Titolare oppure dal Responsabile, operando sotto la loro diretta responsabilità; • E’ colui che materialmente compie operazioni sui dati. • La designazione è effettuata per iscritto ed individua l’ambito di trattamento consentito.

  33. LA VISIONE D’INSIEME CENTRO DI COMPETENZA TITOLARE RESPONSABILE RESPONSABILE RESPONSABILE RESPONSABILE INTERNO INTERNO GESTIONE ISTANZE INTERNO INCARICATO INCARICATO INCARICATO INCARICATO RESPONSABILE RESPONSABILE ESTERNO ESTERNO INCARICATO INCARICATO

  34. DIRITTI DELL’INTERESSATO

  35. ESERCIZIO DEI DIRITTI(1/2) Diritti che l’Interessato può esercitare: • avere conferma dell’esistenza di dati personali che lo riguardano; • ricevere la comunicazione in forma intelleggibile dei medesimi dati, della loro origine, della logica e delle finalità del trattamento … e degli altri elementi elencati per l’informativa; • ottenere l’aggiornamento, la rettifica, l’integrazione se vi ha interesse; • la cancellazione ed il blocco dei dati trattati in violazione di legge; • opporsi al trattamento per motivi legittimi; • avere l’attestazione che le variazioni richieste siano state trasmesse a coloro ai quali i dati erano stati comunicati.

  36. ESERCIZIO DEI DIRITTI(2/2) L’esercizio del diritto: - in caso di accesso non è richiesta alcuna formalità - spetta al diretto interessato; oppure • alla persona cui l’interessato abbia fornito delega con firma autenticata o procura per iscritto. L’identificazione: • l’Interessato deve inviare copia di un documento d’identità La soddisfazione della richiesta: - la richiesta deve essere soddisfatta entro 15 gg o 30, nei casi di maggiore complessità e previo avviso all’interessato • l’Incaricato informa – senza ritardo – l’organo preposto e collabora con esso nel processing dell’istanza

  37. DIRITTO DI ACCESSO E PRIVACY

  38. PRIVACY E TRASPARENZA DELLA P.A. • PER LA NORMATIVA A TUTELA DEI DATI PERSONALI: L’interessato del trattamento ha diritto di ottenere le informazioni relative all’esistenza o meno di trattamenti rispetto ai propri dati personali (art. 7 T.U); • PER ASSICURARE LA TRASPARENZA DELL’ATTIVITÀ AMMINISTRATIVA: Chiunque vi abbia interesse per la tutela di situazioni giuridicamente rilevanti ha diritto di accedere ai documenti amministrativi (art. 22 l. 241/90 – art. 15 l. 15/05).

  39. PRIVACY E TRASPARENZA DELLA P.A. • PER LA NORMATIVA A TUTELA DEI DATI PERSONALI (art. 8 T.U.) I dati sono estratti a cura del Responsabile o degli Incaricati e possono essere comunicati al richiedente anche oralmente, ovvero offerti in visione tramite strumenti elettronici. Solo in caso di estrazione difficoltosa, è possibile l’esibizione o la consegna in copia di atti e documenti contenenti i dati personali richiesti.

  40. PRIVACY E TRASPARENZA DELLA P.A. • PER ASSICURARE LA TRASPARENZA DELL’ATTIVITÀ AMMINISTRATIVA (Legge 15/2005 e 241/90): Il diritto di accesso nei confronti delle pubbliche amministrazioni si esercita mediante esame ed estrazione di copia dei documenti amministrativi. Ildiritto di accesso può essere ESCLUSO per tutelare la riservatezza di terzi, garantendo però la visione degli atti relativi ai procedimenti amministrativi la cui conoscenza è necessaria per la difesa degli interessi giuridici. Il diritto di accesso può essere DIFFERITO sino a quando la conoscenza dei documenti può ostacolare lo svolgimento dell’azione amministrativa.

  41. RISERVATEZZA E ACCESSOA CONFRONTO • Il diritto di accesso resta regolamentato dalla Legge 15/2005 (l. 241/90) e relativi regolamenti, anche per i documenti contenenti dati sensibili e giudiziari. • Le attività relative all’esercizio del diritto di accesso sono considerate di RILEVANTE INTERESSE PUBBLICO • Ma occorre un REGOLAMENTO … • i trattamenti sono ammessi nel rispetto delle condizioni previste dagli art. 20 e 21 T.U.

  42. L’ACCESSO A DOCUMENTI CON DATI SENSIBILI • Quando il trattamento riguarda dati idonei a rivelare lo stato di salute o la vita sessuale, la richiesta di accesso ai documenti amministrativi da parte di soggetti terzi è ammessa se si intende tutelare una situazione giuridicamente rilevante di rango almeno pari ai diritti dell’interessato.

  43. L’ACCESSO A DOCUMENTI CON DATI SENSIBILI • L’accesso è consentito • se la situazione giuridicamente rilevante che si intende tutelare è di rango almeno pari ai diritti dell’interessato, ovvero consiste in un diritto della personalità o in un altro diritto o libertà fondamentale e inviolabile (art. 60 TU); • se sono rispettate le linee guida indicate dal Garante con il provvedimento del 9 luglio del 2003.

  44. LE LINEE GUIDA DELL’AUTHORITY... • Si riferiscono alle ipotesi di accesso ai soli dati ultrasensibili (salute e vita sessuale): • l’ente che riceve la richiesta di accesso deve effettuare la valutazione del “pari rango” considerando il diritto sottostante che il richiedente intende far valere; • di regola non sono considerati di pari rango i diritti di credito; • occorre una verifica del rispetto del principio di pertinenza; • può anche esserci il contraddittorio con l’interessato, il quale può opporsi al trattamento.

  45. I TRATTAMENTI IN AMBITO GIUDIZIARIO

  46. PROFILI GENERALI Gli uffici dell’Amministrazione della Giustizia sono Titolari dei trattamenti svolti nell’esercizio dei loro poteri. Un decreto del Ministero della Giustizia indica i trattamenti non occasionali ed automatizzati che riguardano le banche dati centralizzati o interconnesse (art. 46).

  47. TRATTAMENTI PER RAGIONI DI GIUSTIZIA I trattamenti svolti per ragioni di giustizia - decisione di controversie, attribuzione dei magistrati, ispezioni - sono esonerati da una parte delle norme del codice privacy. Non sussistono ragioni di giustizia per l’attività di amministrazione del personale e delle risorse (art. 47).

  48. DEROGHE Gli esoneri riguardano: • Diritti dell’interessato • Perché prevale l’interesse pubblico • Adempimenti: • Gli uffici giudiziari sono esonerati da informativa, notificazione, richieste di autorizzazione, obblighi di comunicazione al Garante.

  49. DISCIPLINA APPLICABILE (1/3) • Principio di necessità: • Sistemi operativi e programmi informatici specifici configurati in modo da ridurre al minimo l’uso di dati personali. • Diritti privacy: • L’interessato può sollecitare un accertamento del Garante sulla liceità dei trattamenti, presentando una segnalazione o un reclamo. • Principi privacy: • Pertinenza ed essenzialità delle informazioni raccolte.

  50. DISCIPLINA APPLICABILE (2/3) • Sicurezza e responsabilità per danno: • Applicazione delle misure di sicurezza minime ed adeguate • obbligo di risarcimento in caso di violazione della sicurezza e • sanzioni penali per l’omissione totale o parziale delle misure minime. • Trasparenza dei dati di notificazione: • Chiunque può richiedere al Titolare di conoscere il contenuto delle informazioni che avrebbero formato oggetto di notificazione, anche in assenza dell’obbligo di notifica al Garante.

More Related