La sicurezza informatica - La protezione dei dati personali nella PA
La protezione dei dati personali e le
soluzioni organizzative per la sicurezza
nel nuovo Codice sulla privacy
La sicurezza informatica - La protezione dei dati personali nella PA
Agenda
Sessione 1
D.Lgs. 196/03 - Contenuti della disciplina
Sessione 2
Metodologia attuativa
Sessione 3
Rischi di inadempienza e sanzioni
1
La sicurezza informatica - La protezione dei dati personali nella PA
Sessione 1
D.Lgs. 196/03 - Contenuti della disciplina
La sicurezza informatica - La protezione dei dati personali nella PA
La Privacy
•D.Lgs. 196/03 composto da 186 articoli
•Disciplinare Tecnico - All. B)
•Codici deontologici – All. A)
•Autorizzazioni
Dal 1 gennaio 2004, data di entrata in vigore del nuovo codice, sono abrogati :
•La Legge 675/96 (tavola di corrispondenza in allegato al nuovo testo)
•Il decreto del Presidente della Repubblica 28 luglio 1999, n° 318
•Il decreto legislativo 28 dicembre 2001, n°467
•L’insieme di decreti e articoli specifici per settore (circa 20)
Viene, nel contempo, data attuazione alle direttive del Parlamento Europeo:
•96/45/CE e del Consiglio del 24 ott. 95
•2002/58/CE e del Consiglio del 12 lug. 2002
2
La sicurezza informatica - La protezione dei dati personali nella PA
Il Codice
Il testo unico, che è stato approvato dal Governo italiano il 27 Giugno
2003 e che è entrato in vigore il 1 Gennaio 2004, raccoglie e rende
omogenee tutte le norme esistenti in materia di Privacy. Si prevede un
forte impatto sulle modalità di trattamento dei dati, ampio quanto quello
che la 626 ha avuto nel campo della sicurezza fisica e personale.
Il D.Lgs. 196 introduce meccanismi più rigorosi di autoregolamentazione. In particolare :
- Consultazione on-line delle notificazioni;
- Menzione, nella relazione di bilancio, dell’avvenuta redazione del Documento
Programmatico sulla Sicurezza (DPS).
La sicurezza informatica - La protezione dei dati personali nella PA
I Contenuti della Normativa
Parte I
Disposizioni Generali
individua le regole sostanziali per il
trattamento dei dati personali che si
applicano a tutti i trattamenti, salvo
quanto previsto dalle disposizioni
della Parte II
Parte II
Disposizioni relative a
specifici Settori
individua le regole applicabili a specifici
settori, quali: sanitario, istruzione,
lavoro, bancario, comunicazioni
elettroniche, etc.;
Parte III
Tutela dell’interessato e
sanzioni.
3
La sicurezza informatica - La protezione dei dati personali nella PA
Principio di Necessità
Il Principio di necessità rappresenta un potenziamento dei principi di
pertinenza e non eccedenza dei dati rispetto alle finalità del trattamento
già individuati con la previgente legge 675/96.
Il Titolare dovrà preventivamente adottare procedure organizzative ed
informatiche che permettano all’incaricato del trattamento l’accesso ai soli
files necessari alla sua attività lavorativa.
Il Titolare, pertanto, dovrà implementare procedure e sistemi al fine di:
• inibire il trattamento di dati personali a quei soggetti che non hanno
necessità di conoscerli;
• rendere anonimi i dati personali accessibili a tali soggetti.
La sicurezza informatica - La protezione dei dati personali nella PA
Definizioni
• Dati Personali: definizione invariata rispetto alla precedente norma
• Dati Identificabili: definizione invariata; dato non associato a un
determinato soggetto e che necessita di un “ragionevole sforzo” per
esservi ricondotto e abbinato
• Dati Identificativi: definizione nuova; è il dato immediatamente
associato ad un determinato soggetto
• Dati Particolari: definizione invariata rispetto al decreto 467/2001
• Trattamento: definizione leggermente modificata rispetto alla
precedente norma; rientra nella nozione anche la consultazione
4
La sicurezza informatica - La protezione dei dati personali nella PA
Dato Personale
Dato comune
Dato sensibile
Tutte le informazioni
relative a persona
fisica o giuridica.
A metà strada
Dati Particolari
Diversi dai sensibili e giudiziari, presentano, per la loro natura o per
la modalità del trattamento, RISCHI SPECIFICI. Il trattamento di tali
dati è ammesso nel rispetto delle misure e degli accorgimenti a
garanzia dell’interessato, ove prescritti.
(Es. solvibilità, centrali rischi)
•l’origine razziale ed etnica,
•le convinzioni religiose,
filosofiche o di altro genere,
•le opinioni politiche,
•l’adesione a partiti,
sindacati, associazioni od
organizzazioni a carattere
religioso, filosofico, politico o
sindacale,
•lo stato di salute e la vita
sessuale.
La sicurezza informatica - La protezione dei dati personali nella PA
Trattamento
qualunque operazione effettuata anche senza l’ausilio di strumenti elettronici, concernenti:
la raccolta
la registrazione
la modificazione
la selezione
l’estrazione
il raffronto
la consultazione e/o l’utilizzo
l’interconnessione
il blocco
la comunicazione
la diffusione
la cancellazione e distruzione
attraverso strumenti elettronici o cartacei
su qualsiasi supporto e in qualsiasi modo
delle caratteristiche originarie ed integrazioni
ordinamento, classificazione, categorizzazione
secondo criteri di selezione e ordinamento
accertamento dell’identità, statistiche, ricerche
secondo i fini dichiarati nell’informativa di cui art.13
con altre fonti informative
la sospensione temporanea del trattamento
a uno o più soggetti individuabili
a soggetti indeterminati
logica ovvero fisica dei dati
Anche se non registrati in una banca dati
Es. Strumenti elettronici: Elaboratori, Video registratori, Audio Registratori, Rilevatori biometrici (impronte digitali)
5
La sicurezza informatica - La protezione dei dati personali nella PA
Definizioni
• Titolare: definizione ampliata
• al Titolare competono anche le decisioni relative agli strumenti da
utilizzare per il trattamento stesso; ne consegue che, con riferimento
agli strumenti elettronici, è tenuto a:
• adottare tecnologie e soluzioni applicative atte a ridurre al minimo
qualsiasi tipo di rischio,
• organizzarsi, anche sotto il profilo tecnologico, al fine di consentire
una adeguata attuazione della normativa.
• Responsabile: definizione invariata
• Incaricato: definizione invariata
• Interessato: definizione invariata
La sicurezza informatica - La protezione dei dati personali nella PA
I soggetti del trattamento
Titolare del trattamento
TITOLARE
Responsabile
Esterno
Responsabile
Incaricato
Incaricato
Interessato
Incaricato
Interessato
Incaricato
Interessato
Incaricato
Interessato
Incaricato
Interessato
E’ la persona fisica o il soggetto giuridico,
nel suo complesso, o l'unità od
organismo periferico che esercita un
potere decisionale del tutto autonomo
sulle finalità e sulle modalità del
trattamento, ivi compreso il profilo della
sicurezza.
Interessato
Responsabile del trattamento
Incaricati del trattamento
• è designato dal titolare facoltativamente.
• è individuato tra soggetti che per esperienza,
capacità ed affidabilità forniscono idonea garanzia
del pieno rispetto delle vigenti disposizioni in materia
di trattamento, ivi compreso il profilo relativo alla
sicurezza.
• possono essere designati responsabili più soggetti,
anche mediante suddivisione di compiti.
• I compiti affidati al responsabile sono analiticamente
specificati per iscritto dal titolare.
• Persone fisiche autorizzate a compiere
operazioni di trattamento; operano sotto
la diretta autorità del titolare o del
responsabile, attenendosi alle istruzioni
loro impartite.
• La designazione è effettuata per iscritto
e individua puntualmente l'ambito del
trattamento consentito.
Rif. Artt.28,29,30 D.Lgs 196/03
6
La sicurezza informatica - La protezione dei dati personali nella PA
Ipotesi di schema organizzativo
Titolare del
trattamento
Delegato del
Titolare
Funzioni di staff
Azienda nel suo complesso
Direttore Generale o altra funzione delegata
Incaricati del
trattamento
Comitato interdisciplinare
UFFICIO
PRIVACY
Responsabile
Del trattamento
Responsabile
del trattamento
Responsabili di Funzione/Area
Responsabile
Del trattamento
Incaricati del trattamento
Tutti coloro che
trattano dati
Figure previste dalla legge
Figure a supporto operativo/organizzativo
La sicurezza informatica - La protezione dei dati personali nella PA
Gli atti di Nomina
Delegato del Titolare
Responsabile
Incaricato
Il Codice considera una ‘’corretta designazione ad incaricato’’, anche la
documentata preposizione di una persona fisica ad una unità per la quale
venga indicato il preciso ambito del trattamento (per es. operatori di sportello di
una banca o di un Ente Pubblico)
7
La sicurezza informatica - La protezione dei dati personali nella PA
Adempimenti Obbligatori
Notifica
Comunicazione preventiva al Garante relativa a particolari trattamenti svolti da
alcuni Titolari.
• Il Codice individua chiaramente le categorie di trattamenti soggetti all’obbligo
della notificazione e le elenca nell’Art. 37.
• Il Garante, con proprio comunicato del 7 Aprile 2004 sottrae a tale obbligo alcuni
trattamenti non continuativi.
La notificazione va resa in presenza di trattamenti relativi a:
• dati relativi alla posizione geografica di un soggetto;
• dati idonei a definire un profilo o la personalità dell’interessato;
• dati volti a monitorare l’utilizzo di servizi di comunicazione elettronica;
• dati sensibili utilizzati per fini di selezione del personale per conto terzi;
• dati personali e sensibili utilizzati per sondaggi e ricerche di mercato;
• dati relativi al rischio della solvibilità – c.d. centrali rischi;
• dati genetici e biometrici;
• etc.
La sicurezza informatica - La protezione dei dati personali nella PA
Adempimenti Obbligatori
Informativa
Va sempre resa, anche oralmente, agli interessati e deve contenere:
• finalità e modalità del trattamento
• natura obbligatoria o facoltativa del conferimento
• conseguenze dell’eventuale rifiuto
• ambito di comunicazione e diffusione dei dati
• diritti dell’interessato
• estremi identificativi del titolare e, se designato, del responsabile
Il contenuto delle informazioni obbligatorie è stato ampliato.
Il Titolare ora è tenuto ad informare l’interessato circa l’ambito di
comunicazione dei dati, citando, oltre i Titolari e i Responsabili (come nella
normativa previgente) anche quei soggetti che possono venirne a conoscenza
in qualità di incaricati.
8
La sicurezza informatica - La protezione dei dati personali nella PA
Adempimenti Obbligatori
Consenso
Il consenso, quando necessario, deve essere fornito dagli interessati in
forma scritta ed in riferimento ad un trattamento chiaramente individuato.
Non è più necessaria la raccolta del consenso dei dipendenti, nel caso in cui si
trattino i dati sensibili solo in adempimento di un obbligo di legge (es.: gestione
del rapporto di lavoro, anche in materia di igiene e sicurezza, ecc.)
La sicurezza informatica - La protezione dei dati personali nella PA
I Diritti degli Interessati
Art.7 (Diritto di accesso ai dati personali ed altri diritti)
L’interessato ha diritto di ottenere la conferma dell’esistenza o meno di dati personali che lo riguardano,
anche se ancora non registrati, e la loro comunicazione in forma intelligibile.
Ha diritto di conoscere
• l’origine dei dati personali
• le finalità e le modalità del trattamento
• la logica applicata nel trattamento effettuato con l’ausilio di strumenti elettronici
• gli estremi identificativi del titolare, dei responsabili e dell’eventuale rappresentante designato ai sensi
dell’art. 5
• le categorie di soggetti ai quali i dati personali possono essere comunicati
Ha diritto di ottenere
• l’aggiornamento, la rettifica, l’integrazione dei dati che lo riguardano
• La cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge,
compresi quelli di cui non è necessaria la conservazione in relazione agli scopi per i quali sono stati
raccolti o successivamente trattati.
• L’attestazione che le operazioni di cui ai punti precedenti sono state portate a conoscenza di coloro ai
quali i dati sono stati comunicati o diffusi
Ha diritto di opporsi
• Al trattamento dei dati che lo riguardano per motivi legittimi ancorché pertinenti allo scopo della
raccolta
• Al trattamento ai fini di invio di materiale pubblicitario o di vendita diretta o per il compimento di
ricerche di mercato o di comunicazione commerciale
9
La sicurezza informatica - La protezione dei dati personali nella PA
I Diritti degli Interessati
Art.8 (Esercizio dei Diritti)
I diritti di cui all’art. 7 sono esercitati con richiesta rivolta senza formalità al Titolare o al
Responsabile, anche per il tramite di un incaricato, alla quale è fornito idoneo riscontro
senza ritardo.
• Il riscontro alla richiesta da parte del titolare o del responsabile è fornito entro quindici giorni dal
suo ricevimento.
• Entro il termine di cui sopra, se le operazioni necessarie per un integrale riscontro alla richiesta sono
di particolare complessità, ovvero ricorre altro giustificato motivo, il titolare o il responsabile ne danno
comunicazione all'interessato. In tal caso,il termine per l'integrale riscontro è di trenta giorni dal
ricevimento della richiesta medesima.
La sicurezza informatica - La protezione dei dati personali nella PA
Sessione 2
Metodologia attuativa
10
La sicurezza informatica - La protezione dei dati personali nella PA
Documento Programmatico sulla Sicurezza
Dovrà contenere
Il DPSS deve essere redatto obbligatoriamente da tutti i soggetti che
trattano dati con strumenti elettronici entro il 31 marzo di ogni anno,
mantenuto costantemente aggiornato e allegato alla relazione di
accompagnamento al bilancio d’esercizio.
•
•
•
•
l’elenco dei trattamenti dei dati personali
la distribuzione di compiti e responsabilità nella struttura del titolare
l’analisi dei rischi sui dati
le misure da adottare per garantire l’integrità e la disponibilità dei dati, la
protezione delle aree e dei locali
• la descrizione dei criteri da adottare per il ripristino della disponibilità dei
dati a seguito di danneggiamento e/o distruzione
• la previsione della formazione sugli incaricati
• la descrizione dei criteri da adottare per garantire l’attuazione delle
misure di sicurezza in caso di trattamenti svolti all’esterno della struttura
del titolare
La sicurezza informatica - La protezione dei dati personali nella PA
Il Disciplinare tecnico
Dovrà contenere
Il Disciplinare Tecnico individua ulteriori misure minime per il
trattamento di dati sensibili e giudiziari
• Istruzioni organizzative e tecniche per la custodia e l’uso di supporti
rimovibili (floppy, cd-rom)
• Istruzioni per la distruzione controllata dei supporti e per la cancellazione
delle informazioni contenute (non tecnicamente ricostruibili)
• Adozione di idonee misure per il ripristino dei dati in caso di
danneggiamento dei dati e/o degli strumenti
11
La sicurezza informatica - La protezione dei dati personali nella PA
Il Disciplinare tecnico
Regola 19
19.
Entro il 31 marzo di ogni anno, il titolare di un trattamento di dati sensibili o di dati giudiziari redige anche
attraverso il responsabile, se designato, un documento programmatico sulla sicurezza contenente idonee
informazioni riguardo:
19.1. l'elenco dei trattamenti di dati personali;
19.2. la distribuzione dei compiti e delle responsabilità nell'ambito delle strutture preposte al trattamento dei
dati;
19.3. l'analisi dei rischi che incombono sui dati;
19.4. le misure da adottare per garantire l'integrità e la disponibilità dei dati, nonchè la protezione delle aree e
dei locali, rilevanti ai fini della loro custodia e accessibilità;
19.5. la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione
o
danneggiamento di cui al successivo punto 23;
19.6. la previsione di interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che
incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla
protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne
derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare. La formazione è
programmata già al momento dell'ingresso in servizio, nonchè in occasione di cambiamenti di mansioni, o
di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati personali;
19.7. la descrizione dei criteri da adottare per garantire l'adozione delle misure minime di sicurezza in caso di
trattamenti di dati personali affidati, in conformità al codice, all'esterno della struttura del titolare;
19.8. per i dati personali idonei a rivelare lo stato di salute e la vita sessuale di cui al punto 24, l'individuazione
dei criteri da adottare per la cifratura o per la separazione di tali dati dagli altri dati personali
dell'interessato.
La sicurezza informatica - La protezione dei dati personali nella PA
Elenco dei trattamenti di dati personali
Vanno individuati i trattamenti effettuati dal titolare, direttamente
direttamente o attraverso
collaborazioni esterne, con l’
l’indicazione della natura dei dati e della struttura
(ufficio, funzione, ecc.) interna od esterna operativamente preposta,
preposta, nonché
nonché degli
strumenti elettronici impiegati.
Descrizione sintetica del
trattamento
Natura dei dati trattati
Finalità
perseguita
o attività
svolta
Sensibile
Categorie
di
interessati
Giudiziario
Struttura di
riferimento
Altre
strutture
(anche
esterne) che
concorrono
al
trattamento
Descrizione
degli strumenti
utilizzati
12
La sicurezza informatica - La protezione dei dati personali nella PA
Distribuzione di compiti e responsabilità
Sulla base dell’
dell’organizzazione e delle relative strutture di riferimento, vanno
correttamente individuati i compiti e le relative responsabilità
responsabilità, in relazione ai
trattamenti effettuati.
Struttura
Trattamenti effettuati dalla
struttura
Descrizione dei compiti e
delle responsabilità della
struttura
•Sulla base dell’organizzazione interna vengono individuati i ruoli e le funzioni secondo quanto
indicato dagli articoli 28, 29, 30 del D.Lgs 196/03:
•Titolare ed eventuali co-titolari
•Responsabili
•Incaricati
La sicurezza informatica - La protezione dei dati personali nella PA
Analisi del Rischio
Le specifiche attività
attività sono finalizzate all’
all’individuazione dei rischi che incombono
sui dati (All.
(All. B 19.3):
• analisi di tutte le modalità
modalità di acquisizione dei dati pervenuti:
– Per via elettronica (rete tlc,
tlc, terminali, web, supporti multimediali, etc.)
etc.)
– Su supporto cartaceo (modulistica, posta ordinaria, etc.)
etc.)
• analisi di tutte le modalità
modalità di protezione dei dati immagazzinati (elettronici e
cartacei) da possibilità
possibilità di accessi illeciti o non pertinenti, da manipolazioni,
contraffazioni e distruzioni.
Analisi dei rischi (fasi principali):
¾
¾
¾
¾
Identificazione degli asset (dati, hardware, software,
ubicazione);
Identificazione delle minacce che insistono su ciascun asset;
Identificazione delle vulnerabilità che possono essere sfruttate
dalle minacce;
Identificazione degli impatti che potrebbero derivare dalla
perdita di riservatezza, integrità e disponibilità.
13
La sicurezza informatica - La protezione dei dati personali nella PA
Misure da adottare
Le vulnerabilità
vulnerabilità rilevate devono essere affrontate con opportune misure atte a
ridurre al minimo i rischi.
Tutte le misure di protezione, le modalità
modalità di acquisizione e di adozione dei dati e le
relative fasi di aggiornamento annuale, devono confluire nel Documento
Documento
Programmatico sulla Sicurezza.
Tra gli interventi principali:
¾
Predisposizione di soluzioni di protezione fisica e logica (codice
identificativo, password, registrazione accessi logici e/o fisici,
antivirus, videosorveglianza, armadi blindati, etc.)
¾
Aggiornamenti alle soluzioni tecniche e organizzative in essere
effettuati tenendo conto anche della letteratura specifica in materia.
La sicurezza informatica - La protezione dei dati personali nella PA
Misure di tutela e di garanzia
IlIltitolare
titolareche
chesisiavvale
avvaledidisoggetti
soggettiesterni
esterniper
perl’installazione
l’installazioneee
l’adozione
l’adozionedelle
dellemisure
misuredidisicurezza
sicurezzadeve
devefarsi
farsirilasciare
rilasciareda
da
questi
una
descrizione
scritta
dell’
’
intervento
effettuato
dell
questi una descrizione scritta dell’intervento effettuato
Attestato
Attestato di
di conformità
conformità alle
alle Disposizioni
Disposizioni
del
del
Disciplinare
Disciplinare Tecnico
Tecnico
14
La sicurezza informatica - La protezione dei dati personali nella PA
Interventi formativi
Vanno previsti interventi formativi degli incaricati del trattamento,
trattamento, per informarli:
• dei rischi che incombono sui dati,
• delle misure disponibili per prevenire eventi dannosi,
• dei profili della disciplina sulla protezione dei dati personali più
più rilevanti in
rapporto alle relative attività
attività,
• delle responsabilità
responsabilità che ne derivano,
• delle modalità
modalità per aggiornarsi sulle misure minime adottate dal titolare.
La formazione è programmata già al momento dell'ingresso in servizio,
nonchè in occasione di cambiamenti di mansioni, o di introduzione di nuovi
significativi strumenti, rilevanti rispetto al trattamento di dati personali;
La sicurezza informatica - La protezione dei dati personali nella PA
Inadempienza temporanea
Nel caso in cui gli strumenti non consentono (per limiti tecnologici
e/o obsolescenza) l’immediata applicazione delle misure di
sicurezza previste dal Codice e dal Disciplinare Tecnico
Il titolare è tenuto a descrivere, in un documento avente data certa e
da custodire presso la propria struttura, gli impedimenti tecnici che non
hanno consentito la puntuale attuazione del dettato normativo.
Detti titolari avranno un anno di tempo per adeguare i propri sistemi
informatici ed implementare le misure di sicurezza.
15
La sicurezza informatica - La protezione dei dati personali nella PA
Sessione 3
Rischi di inadempienza e sanzioni
La sicurezza informatica - La protezione dei dati personali nella PA
Rischi di inadempienza e sanzioni
Il d.lgs 196/03 ha inasprito le sanzioni da applicare in
caso di inadempienza del Titolare, il quale è
responsabile civilmente e penalmente.
Particolare rilevanza viene data all’adozione delle
idonee e preventive misure di sicurezza e
soprattutto alla mancanza delle misure minime
per le quali sono previste sanzioni penali anche se
commutabili in rilevanti ammende.
16
La sicurezza informatica - La protezione dei dati personali nella PA
Mancata adozione delle Misure di Sicurezza
“I dati personali oggetto di trattamento
sono custoditi e controllati, anche in
relazione alle conoscenze acquisite in
base al progresso tecnico, alla natura
dei dati e alle specifiche caratteristiche
del trattamento, in modo da ridurre al
minimo, mediante l’adozione di
idonee e preventive misure di
sicurezza, i rischi di distruzione o
perdita, anche accidentale, dei dati
stessi, di accesso non autorizzato o di
trattamento non consentito e non
conforme alle finalità della raccolta”
(cfr. art. 31)
“Nel quadro dei più generali
obblighi di sicurezza di cui all’art.
31,
o
previsti
da
speciali
disposizioni,
i
titolari
del
trattamento sono comunque tenuti
ad adottare le misure minime
individuate nel presente capo o ai
sensi dell’articolo 58, comma 3,
volte ad assicurare un livello
minimo di protezione dei dati
personali.”
Responsabilità civile
Responsabilità penale
(cfr. art. 33)
La sicurezza informatica - La protezione dei dati personali nella PA
Il Sistema Sanzionatorio
Violazioni Amministrative
Art. 161 (Omessa o inidonea informativa all’interessato )
1.
La violazione delle disposizioni di cui all’art. 13 è punita con la sanzione amministrativa del pagamento di una
somma da tremila euro a diciottomila euro, o nei casi di dati sensibili o giudiziali o di trattamenti che presentano
rischi specifici ai sensi dell’art.17 o comunque, di maggiore rilevanza del pregiudizio per uno o più interessati, da
cinquemila euro a trentamila euro. La somma può essere aumentata sino al triplo quando risulta inefficace in
ragione delle condizioni economiche del contravventore.
Art. 162 (Altre fattispecie )
1.
2.
La cessione dei dati in violazione di quanto previsto dall’Art.16 comm. 1, lett. b) – cessazione del trattamento- o di
altre disposizioni in materia di disciplina del trattamento dei dati personali, è punita con la sanzione amministrativa
del pagamento di una somma amministrativa da cinque mila euro a trenta mila euro.
La violazione della disposizione di cui all’Art. 84 (comunicazione dei dati sanitari – settore specifico)….. È punita
con la sanzione amministrativa del pagamento di una somma da cinquecento euro a tremila euro.
Art. 163 (Omessa o incompleta notificazione )
1.
Chiunque, essendovi tenuto non provvede tempestivamente alla notificazione di cui agli artt. 37 e 38, ovvero indica
in essa notizie incomplete, è punito con la sanzione amministrativa del pagamento di una somma da diecimila
euro a sessantamila euro e con la sanzione amministrativa accessoria della pubblicazione dell’ordinanzaingiunzione, per intero o per estratto, in uno o più giornali indicati nel provvedimento che la applica.
Art. 164 (Omessa informazione o esibizione al Garante )
1.
Chiunque, omette di fornire le informazioni o di esibire i documenti richiesti dal Garante ai sensi degli artt. 150,
comma 2 e 157, è punito con la sanzione amministrativa del pagamento di una somma da quattromila euro a
ventiquattro mila euro.
Art. 165 (Pubblicazione del provvedimento del Garante )
1.
Nei casi previsti (artt. 161, 162 e 164) può essere applicata la sanzione amministrativa accessoria della
pubblicazione dell’ordinanza-ingiunzione, per intero o per estratto, in uno o più giornali.
17
La sicurezza informatica - La protezione dei dati personali nella PA
Responsabilità Civile
Chiunque cagiona ad altri un danno per effetto del trattamento di dati personali è tenuto al
risarcimento se non prova di avere adottato tutte le misure idonee ad evitarlo.
La legge ha parificato il trattamento di dati personali, all’esercizio di attività pericolose, ex art. 2050
c.c., con conseguente presunzione di colpa del gestore e relativa inversione dell’onere della prova.
Tipologia
Importo Codice
Omessa, inidonea informativa
Dato Personale € 3.000 a 18.000
Dato Sensibile € .5.000 a 30.000
Aumento triplo
Omessa, incompleta Notificazione
€ 10.000 a 60.000
Pubblicaz.ordinanza
Omessa informazione o esibizione al Garante
€ 4.000 a 24.000
Cessione Dati in violazione alle disposizioni
Codice
€ 5.000 a 30.000
Errata o non conforme comunicazione dei dati
sanitari all’interessato
€ 500 a 3.000
D.P.= Dati Personali D.S.= Dati Sensibili
La sicurezza informatica - La protezione dei dati personali nella PA
Il Sistema Sanzionatorio
Il blocco
Art. 143. Procedimento per i reclami
1.
Esaurita l'istruttoria preliminare, se il reclamo non è manifestamente infondato e
sussistono i presupposti per adottare un provvedimento, il Garante, anche prima della
definizione del procedimento:
a) …..
b) …..
c) dispone il blocco o vieta, in tutto o in parte, il trattamento che risulta illecito o non
corretto anche per effetto della mancata adozione delle misure necessarie di cui alla
lettera b), oppure quando, in considerazione della natura dei dati o, comunque, delle
modalità del trattamento o degli effetti che esso può determinare,vi è il concreto
rischio del verificarsi di un pregiudizio rilevante per uno o più interessati;
d) …..
2.
I provvedimenti di cui al comma 1 sono pubblicati nella Gazzetta Ufficiale della Repubblica
italiana se i relativi destinatari non sono facilmente identificabili per il numero o per la
complessità degli accertamenti.
Art. 4 – Definizioni
Comma 1, lettera o) "blocco", la conservazione di dati personali con sospensione temporanea di ogni
altra operazione del trattamento;
18
La sicurezza informatica - La protezione dei dati personali nella PA
Il Sistema Sanzionatorio
Illeciti Penali
Art. 167 (Trattamento illecito dei dati )
1.
2.
Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sé o per altri profitto o di
recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli
artt. 18, 19, (soggetti pubblici) 23 (consenso), 123 (dati relativi al traffico), 126 (dati relativi all’ubicazione),
e 130 (comunicazioni indesiderate), ovvero in applicazione dell’art. 129 (elenco abbonati), è punito, se
dal fatto deriva nocumento, con la reclusione sino a due anni o, se il fatto consiste nella comunicazione
o diffusione, con la reclusione da sei mesi a tre anni.
Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per se o per altri profitto o di
recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli
artt.
17 (trattamento che presenta rischi specifici)
20 (principi applicabili al trattamento dei dati sensibili)
21 (principi applicabili al trattamento dei dati giudiziari)
22 (principi applicabili al trattamento dei dati sensibili e giudiziari)
25 (divieto di comunicazione e diffuzione)
26 (garanzie per i dati sensibili)
27 (garanzie per i dati giudiziari)
45 (trasferimenti vietati)
È punito, se dal fatto deriva nocumento, con la reclusione da uno a quattro anni
Art. 168 (Falsità nelle dichiarazioni e notificazioni al Garante )
1.
Chiunque, nella notificazione di cui all’Art. 37 o in comunicazioni, atti, documenti o dichiarazioni resi o
esibiti in un procedimento dinanzi al Garante o nel corso di accertamenti, dichiara o attesta falsamente
notizie o circostanze o procedure atti o documenti falsi, è punito, salvo che il fatto costituisca più grave
reato, con la reclusione da sei mesi a tre anni.
La sicurezza informatica - La protezione dei dati personali nella PA
Il Sistema Sanzionatorio
Illeciti Penali
Art. 169 (Misure di Sicurezza )
1.
2.
Chiunque, essendovi tenuto, omette di adottare le misure minime di sicurezza previste dall’Art. 33 è
punito con l’arresto sino a due anni o con l’ammenda da diecimila euro a cinquanta mila euro.
L’autore del reato, all’atto dell’accertamento o, nei casi complessi, anche con successivo atto del
Garante, è impartita una prescrizione fissando un termine per la regolarizzazione non eccedente il
periodo di tempo tecnicamente necessario, prorogabile in caso
di particolare complessità o per
l’oggettiva difficoltà dell’adempimento e comunque non superiore a sei mesi. Nei sessanta giorni
successivi allo scadere del termine, se risulta l’adempimento alla prescrizione, l’autore del reato è
ammesso dal Garante a pagare una somma pari al quarto del massimo dell’ammenda stabilita per la
contravvenzione. L’adempimento e il pagamento estinguono il reato.
Art. 170 (Inosservanza di provvedimenti del Garante )
1.
Chiunque, essendovi tenuto, non osserva il provvedimento adottato dal Garante ai sensi dell’Art. 26
(garanzie per i dati sensibili) 90 (dati genetici), 150 (provvedimento a seguito di ricorso), 143
(procedimenti per i reclami), è punito con la reclusione da tre a due anni
Art. 171 (Altre Fattispecie)
1.
Le violazioni delle disposizioni di cui agli artt. 113 (raccolta di dati e pertinenza –Lavoratori-) e 114
(controllo a distanza) è punibile con le sanzioni dell’art. 38 della legge 20 maggio 1970 n 300. (diritti dei
lavoratori)
Art. 172 (Pene accessorie)
1.
La condanna per uno dei delitti previsti dal presente codice comporta la pubblicazione della sentenza
19
La sicurezza informatica - La protezione dei dati personali nella PA
Il Sistema Sanzionatorio
Responsabilità Penale
Sono previste pene detentive sino ad un massimo di
quattro anni di reclusione
oltre
la pubblicazione della sentenza
quale pena accessoria
Gli illeciti penali si riferiscono a:
• falsa notifica o false informazioni al Garante
• inosservanza di provvedimenti del Garante
• trattamento illecito di dati (illecita comunicazione o diffusione dei dati; trattamento non
consentito; trattamento illecito di dati sensibili)
• omessa adozione delle misure minime di sicurezza
20