UNIVERSITA’ STUDI DI ROMA “FORO ITALICO”

1. UNIVERSITA’ STUDI DI ROMA“FORO ITALICO” Corso di Laurea Triennale INFORMATICA Lez.9 Prof. Stefano Razzicchia

2. Esigenza di tutela 2003 - DL 196/2003, Testo Unico . . . . . . . . . t 1985 1995 1996 Anni ‘70 1981 1997 2000 2003 2002 privacy : storia 2002 - DL 467/2001, verso il Testo Unico 2000-DL 318/99 1997 - Nasce la figura di Garante 1996 - Legge 675/96 1995 - Direttiva 95/46/CE dell’UE 2002 - Entra in vigore il DL 467/2001, che apre la strada verso la definizione di un Testo Unico sulla privacy. 2000-Viene emanato il DL 318/99. 1981: Convenzione di Strasburgo sullaprotezione delle persone in relazione alla elaborazione automatica dei dati a carattere personale. Nasce il concetto di dato sensibile e si riflette sulla necessità di tutelarsi dalla distruzione accidentale dei dati. 1997 - Si insedia in Italia, l’autorità Garante per la Protezione dei dati personali. Anni ’70: dal nord Europa arrivano le prime considerazioni sulla relazione tra la crescita dell’utilizzo degli strumenti informatici e la garanzia delle libertà dell’individuo. 1995 - Direttiva 95/46/CE sulla protezione dei dati personali dell’UE pone gli stati membri ancora non in regola, come l’Italia, davanti alle proprie responsabilità. 1985 - Convenzione di Shengen per la soppressione delle frontiere comuni introduce un sistema comune di informazione automatizzata allo scopo di reprimere e prevenire i reati.Il trattato esclude il trattamento dei dati di carattere personale che indicano origine razziale, opinioni politiche, convinzioni religiose, … 1996 - L’Italia promulga la Legge 675/96, una delle più rigorose in ambito UE. 1985 - Convenzione di Shengen 1981 - Convenzione di Strasburgo Anni ’70 - prime considerazioni Prof. Stefano Razzicchia

3. privacy : obiettivi Tutelare le persone rispetto al trattamento dei propri dati personali effettuato da terzi. Porre le informazioni riguardanti le persone fisiche e giuridiche sotto il “controllo” del proprietario dei dati. Prevedere il consenso esplicito del proprietario dei dati per la finalità dell’utilizzo delle informazioni. Prevedere che chi dispone dei dati ne garantisca riservatezza e correttezza. Prevedere la determinazione e la comunicazione al proprietario dei dati dello scopo per cui i dati sono raccolti e registrati. Prevedere la conservazione e l’aggiornamento dei dati solo per il periodo necessario ad effettuare il trattamento. Prof. Stefano Razzicchia

4. privacy: campo di applicazione La Legge si applica a: • trattamenti di dati personali nel territorio dello stato italiano, svolti con o senza l’ausilio di mezzi elettronici o comunque automatizzati • trattamenti di dati personali nel territorio dello stato italiano, anche se i dati sono normalmente detenuti all’estero La Legge non si applica a: • soggetti stabiliti in un paese non UE e che usano mezzi situati nel territorio dello stato italiano solo ed esclusivamente per il transito dei dati attraverso la UE Alle persone fisiche che effettuano trattamento, esclusa la comunicazione e la diffusione dei dati, per fini esclusivamente personali, si applicano solo le norme inerenti la sicurezza dei dati ed i danni cagionati per effetto del trattamento. Prof. Stefano Razzicchia

5. privacy: definizioni Banca dati: qualsiasi complesso di dati personali, ripartito in una o più unità dislocate in uno o più siti, organizzato secondo una pluralità di criteri determinati tali da facilitarne il trattamento. Dato anonimo: il dato che in origine, o a seguito di trattamento, non può essere associato ad un interessato identificato o identificabile. Dato personale: qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale. Prof. Stefano Razzicchia

6. privacy: definizioni Dato sensibile: il dato personale idoneo a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale. Dato giudiziario: il dato personale idoneo a rivelare i provvedimenti di cui all’articolo 686, comma 1, lettera a) e d), 2 e 3 del codice di procedura penale. Dato particolare: il dato sensibile o il dato giudiziario. Altri dati particolari (dati quasi sensibili): sono i dati personali il cui trattamento presenta rischi specifici per i diritti e le libertà fondamentali, nonché per la dignità dell’interessato. Prof. Stefano Razzicchia

7. privacy: trattamenti Trattamento dei dati: qualunque operazione o complesso di operazioni, svolti con o senza l'ausilio di mezzi elettronici o comunque automatizzati, concernenti: la raccolta, la registrazione, l'organizzazione, la conservazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione dei dati. Blocco dei dati: la conservazione dei dati, con sospensione temporanea di ogni altra operazione del trattamento. Prof. Stefano Razzicchia

8. privacy: trattamenti Comunicazione dei dati: il dare conoscenza dei dati a uno o più soggetti determinati diversi dall'interessato, in qualunque forma, anche mediante la loro messa a disposizione o consultazione. Diffusione dei dati: il dare conoscenza dei dati a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione. Prof. Stefano Razzicchia

9. privacy: ruoli Titolare: è la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono le decisioni in ordine alle finalità ed alle modalità del trattamento di dati personali, ivi compreso il profilo della sicurezza. Responsabile: è la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal Titolare al trattamento di dati personali, ivi compreso il profilo della sicurezza. Incaricati: sono le persone che effettuano le operazioni elementari di trattamento sotto la diretta autorità del Titolare o del Responsabile. Prof. Stefano Razzicchia

10. privacy: ruoli Amministratore di sistema: è il soggetto cui è conferito il compito di sovrintendere alle risorse del sistema operativo di un elaboratore o di un sistema di base dati e di consentirne l’utilizzazione. Custode delle parole chiave: è il soggetto preposto alla custodia delle password di accesso ai sistemi informatici o che ha accesso ad informazioni che concernono le medesime. Rappresentante nel territorio dello Stato: è il soggetto designato da quel Titolare che effettua trattamento mediante mezzi situati sul territorio dello Stato, ma è stabilito nel territorio di un paese non appartenente alla UE. Prof. Stefano Razzicchia

11. privacy: ruoli Interessato: è la persona fisica, la persona giuridica, l'ente o l'associazione cui si riferiscono i dati personali. È il proprietario dei dati. Garante per la protezione dei dati personali: autorità che rappresenta un organo collegiale, formato da quattro membri eletti in pari numero dalla Camera dei deputati e dal Senato della Repubblica. Il collegio dei membri elegge, nel suo ambito, un presidente. • Gestire il registro dei trattamenti • Controllare la legittimità dei trattamenti • Gestire i reclami degli interessati • Denunciare e perseguire le violazioni alla Legge • Promuovere la conoscenza della Legge • Bloccare i trattamenti illegali • Effettuare accertamenti e controlli • Irrogare sanzioni amministrative Il Garante ha, tra gli altri, i seguenti compiti: Prof. Stefano Razzicchia

12. Informativa privacy: informativa La Legge prevede che l’Interessato, o proprietario dei dati, sia preventivamente informato dell’uso che sarà fatto dei suoi dati da parte del Titolare che si accinge ad effettuare un trattamento. • L’informativa all’Interessato deve contenere almeno le seguenti informazioni: • finalità e modalità del trattamento cui sono destinati i dati • natura obbligatoria o facoltativa del conferimento dei dati • conseguenze di un eventuale rifiuto di fornire i dati • soggetti o le categorie di soggetti ai quali i dati possono essere comunicati nonche’ l'ambito di diffusione dei dati medesimi • diritti di cui all'articolo 13 della Legge • il nome, la denominazione o la ragione sociale e il domicilio, la residenza o la sede del titolare, del suo rappresentante nel territorio dello Stato e di almeno un responsabile, se nominato • L’informativa è sempre obbligatoria e non sono previsti casi di esclusione. È prevista la possibilità di fornire oralmente l’informativa o di escludere da questa gli elementi già a conoscenza dell’Interessato. Prof. Stefano Razzicchia

13. privacy: consenso In generale, la Legge prevede che il Titolare che si accinge ad effettuare un trattamento, chieda, preventivamente, il consenso all’Interessato dell’uso che sarà fatto dei suoi dati. • Il consenso può essere necessario per i seguenti trattamenti: • comunicazione e diffusione dei dati (art.20) • trasferimento dei dati all’estero (art.28) • Il consenso è necessario per i seguenti trattamenti: • trattamento a fini commerciali (art.13) • trattamento dei dati sensibili (art.22) Prof. Stefano Razzicchia

14. Casi di esclusione dal consenso Il trattamento riguarda dati raccolti e detenuti in base ad un obbligo previsto dalla Legge, da un regolamento o dalla normativa comunitaria. Il trattamento è necessario per l'esecuzione di obblighi derivanti da un contratto del quale è parte l'interessato. Il trattamento riguarda dati provenienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque. Il trattamento è finalizzato unicamente a scopi di ricerca scientifica o di statistica ed è effettuato nel rispetto dei codici di deontologia e di buona condotta. Il trattamento è effettuato nell'esercizio della professione di giornalista e per l'esclusivo perseguimento delle relative finalità. Il trattamento riguarda dati relativi allo svolgimento di attività economiche raccolti nel rispetto della vigente normativa in materia di segreto aziendale e industriale. privacy: consenso La Legge individua particolari casi di trattamento, nei quali non è obbligatorio ottenere il consenso dell’Interessato. Ognuno di questi casi deve essere valutato attentamente di volta in volta, a seconda della tipologia di trattamento effettuato. Prof. Stefano Razzicchia

15. Casi di esclusione dal consenso Il trattamento è necessario per la salvaguardia della vita o dell'incolumità fisica dell'interessato o di un terzo, nel caso in cui l'interessato non può prestare il proprio consenso per impossibilità fisica, per incapacità di agire o per incapacità di intendere o di volere. Il trattamento è necessario ai fini dello svolgimento delle investigazioni o per far valere o difendere un diritto in sede giudiziaria. Il trattamento è relativo a comunicazione effettuata nell'ambito dei gruppi bancari nonché tra società controllate e società collegate. Il trattamento è necessario per la salvaguardia di un interesse pubblico rilevante individuato mediante Legge o Regolamento. Il trattamento è effettuato in accoglimento di una richiesta di accesso ai documenti amministrativi. Il trattamento è autorizzato dal Garante sulla base di adeguate garanzie per i diritti dell'interessato, prestate anche con un contratto. privacy: consenso IUSM - Prof. S. Razzicchia Prof. Stefano Razzicchia

16. Notificazione privacy: notificazione Il Titolare che intenda procedere ad un trattamento di dati personali è tenuto a darne notificazione al Garante. Il Garante ha predisposto un modello standard sul sito www.garanteprivacy.it. Il DL 467/2001 prevede che il Titolare effettui la notificazione solamente se il trattamento reca pregiudizio ai diritti ed alle libertà dell’interessato, secondo una casistica individuata da un successivo Regolamento emanato a cura del Presidente della Repubblica. Prof. Stefano Razzicchia

17. privacy: diritti La Legge stabilisce precisi diritti dell’Interessato o proprietario dei dati. Conoscere dal Garante l’esistenza di trattamenti di dati che possono riguardarlo mediante accesso al registro delle notificazioni, nonché le caratteristiche del trattamento dichiarate nella notificazione. Ottenere dal Titolare o dal Responsabile informazioni sull’esistenza di dati che lo riguardano, la cancellazione, la trasformazione in forma anonima o il blocco dei dati, l’aggiornamento e la rettifica. Il Garante ha predisposto un modello standard di istanza per chiedere l'accesso ai dati personali ai sensi dell'art. 13 della Legge sul sito www.garanteprivacy.it. Prof. Stefano Razzicchia

18. privacy: diritti Opporsi, in tutto o in parte, per motivi legittimi, al trattamento dei dati personali che lo riguardano, ancorché pertinenti allo scopo della raccolta. Opporsi, in tutto o in parte, al trattamento di dati personali che lo riguardano, previsto a fini di informazioni commerciali o di invio di materiale pubblicitario o di vendita diretta ovvero per il compimento di ricerche di mercato o di comunicazione commerciale interattiva e di essere informato dal titolare, non oltre il momento in cui i dati sono comunicati o diffusi. Essere informato dal Titolare della possibilità di esercitare gratuitamente il diritto precedente. Prof. Stefano Razzicchia

19. privacy: sanzioni La Legge prevede sanzioni di tipo amministrativo o penale, a seconda del tipo di violazione e del danno causato, a seguito dell’inottemperanza del Titolare, del Responsabile o dell’Incaricato, alle disposizioni contenute nella Legge stessa. Prof. Stefano Razzicchia

20. privacy: sanzioni Prof. Stefano Razzicchia