Privacy: rischi e novità
Le nuove norme
ecc. ecc. ecc…
Il diritto alla protezione
dei dati personali
Art. 1
(Diritto alla protezione dei dati personali
“Chiunque ha diritto alla
protezione dei dati personali
che lo riguardano”
(cfr. art. 8 Carta diritti fondamentali UE)
Nuova Costituzione Europea
Le 2 anime della
“Privacy”
PRIVACY
diritto alla
autodeterminazione
informativa; “Right to be
let alone”; controllo
sulla circolazione dei miei
dati; “I dati sono miei e li
gestisco io”; fatti gli
affari tuoi……
Notificazione
Informativa
Consenso
…….
SICUREZZA
Sicurezza dei dati e dei sistemi;
Misure finalizzate
Alla conservazione dei dati
personali; backup; il dato
come un bene prezioso e
“pericoloso” da
proteggere
DPS
Misure minime sicurezza
Amministratori di sistema
…….
Principi e regole sulla sicurezza dei
trattamenti dei dati personali
Nel quadro dei
più generali obblighi di
sicurezza
di cui all’articolo 31, o previsti da
speciali disposizioni, i titolari del
trattamento sono comunque tenuti ad
adottare le misure minime individuate
nel presente capo o ai sensi dell’articolo
58, comma 3, volte ad assicurare un
livello minimo
di protezione dei dati personali.
DOWNGRADE
La semplificazione
delle norme privacy
Provvedimento Garante 19 giugno 2008
Semplificazioni: in quali casi si applicano?
trattamenti effettuati in ambito pubblico
e privato a fini amministrativo-contabili
gestione di informazioni attinenti ad altre
imprese, amministrazioni, clienti, fornitori e
dipendenti utilizzate, anche in relazione a
obblighi contrattuali e normativi, per
correnti finalità amministrative e contabili
La semplificazione dell’ Informativa – Provv. 19 giugno 2008
a) fornire un'unica informativa per il complesso
dei trattamenti, anziché per singoli aspetti del
rapporto con gli interessati;
b) fornire a questi ultimi una ricostruzione
organica dei trattamenti e con linguaggio
semplice, senza frammentarla o reiterarla
inutilmente;
c) indicare le informazioni essenziali in un
quadro adeguato di lealtà e correttezza;
d) redigere, per quanto possibile, una prima
informativa breve. All'interessato, anche
oralmente,
andrebbero
indicate
sinteticamente alcune prime notizie chiarendo
subito, con immediatezza, le principali
caratteristiche del trattamento.
La semplificazione dell’ Informativa – Provv. 19 giugno 2008
e) per l'informativa, specie per quella breve, si possono
utilizzare gli spazi utili nel materiale cartaceo e nella
corrispondenza che si impiegano già, ordinariamente, per
finalità amministrative e contabili;
f) l'informativa breve può rinviare a un testo più articolato,
disponibile agevolmente senza oneri per gli interessati, in
luoghi e con modalità facilmente accessibili anche con
strumenti informatici e telematici (in particolare, tramite reti
Intranet o siti Internet, affissioni in bacheche o locali, avvisi
e cartelli agli sportelli per la clientela, messaggi
preregistrati disponibili digitando un numero telefonico
gratuito).
Le notizie da indicare per legge (art. 13, comma 1) devono
essere aggiornate, specificando la data dell'ultimo
aggiornamento;
La semplificazione dell’ Informativa – Provv. 19 giugno 2008
g) è possibile non inserire nell'informativa più articolata gli
elementi noti all'interessato (art. 13, commi 2 e 4). E'
opportuno omettere riferimenti meramente burocratici o
circostanze ovvie, per esempio quando alcune informazioni,
compresi gli estremi identificativi del titolare, risultano da
altre parti del documento in cui è presente l'informativa;
i) è invece necessario fornire un'informativa specifica o ad
hoc quando il trattamento ha caratteristiche del tutto
particolari perché coinvolge, ad esempio, peculiari
informazioni (es. dati genetici) o prevede forme inusuali di
utilizzazione di dati, specie sensibili, rispetto alle ordinarie
esigenze amministrative e contabili, o può comportare
rischi specifici per gli interessati (ad esempio, rispetto a
determinate forme di uso di dati biometrici o di controllo delle
attività dei lavoratori).
La semplificazione del consenso- Ordinarie finalità
Provv. 19 giugno 2008
Il Garante invita tutti i titolari del trattamento
pubblici e privati a non chiedere il
consenso degli interessati quando il
trattamento dei dati è svolto, anche in
relazione all'adempimento di obblighi
contrattuali, precontrattuali o normativi,
esclusivamente per correnti finalità
amministrative
e
contabili,
nonché
quando i dati provengono da pubblici
registri ed elenchi pubblici conoscibili da
chiunque, o sono relativi allo svolgimento
di attività economiche o sono trattati da
un soggetto pubblico
La semplificazione del consenso- Marketing vs. cliente
Provv. 19 giugno 2008
i titolari del trattamento in ambito privato che hanno venduto un prodotto o prestato
un servizio, nel quadro del perseguimento di ordinarie finalità amministrative e contabili,
possono utilizzare senza il consenso i recapiti (oltre che di posta elettronica come già
previsto per legge) di posta cartacea forniti dall'interessato, ai fini dell'invio diretto di
proprio materiale pubblicitario o di propria vendita diretta o per il compimento di proprie
ricerche di mercato o di comunicazione commerciale. Ciò a condizione che: a) tale attività
promozionale riguardi beni e servizi del medesimo titolare e analoghi a quelli oggetto
della vendita; b) l'interessato, al momento della raccolta e in occasione dell'invio di
ogni comunicazione effettuata per le menzionate finalità, sia informato della possibilità
di opporsi in ogni momento al trattamento, in maniera agevole e gratuitamente, anche
mediante l'utilizzo della posta elettronica o del fax o del telefono e di ottenere un
immediato riscontro che confermi l'interruzione di tale trattamento (art. 7, comma 4); c)
l'interessato medesimo, così adeguatamente informato già prima dell'instaurazione del
rapporto, non si opponga a tale uso, inizialmente o in occasione di successive
comunicazioni >>> ESTENSIONE DELL’AMBITO DI APPLICAZIONE
DELL’ART. 130
TRADIZIONALE
c.
4
ALLE
COMUNICAZIONI
PER
POSTA
La semplificazione degli incarichi – Provv. 19 giugno 2008
Gli incaricati
Operano sotto la
diretta autorità del
titolare o del
responsabile
Sono persone fisiche
da designare per
iscritto
Devono attenersi alle
istruzioni del titolare
o del responsabile
La loro nomina è
“obbligatoria”
Il Garante richiama l'attenzione dei
titolari del trattamento sulla circostanza
che la designazione degli incaricati del
trattamento può avvenire in modo
semplificato evitando singoli atti
circostanziati relativi distintamente
a ciascun incaricato, individuando i
trattamenti di dati e le relative
modalità che sono consentiti
all'unità cui sono addetti gli incaricati
stessi (art. 30)
La semplificazione del DPS e delle misure minime- L. 133/2008 e Provv. 27 novembre 2008
1. All'articolo 34 del codice in materia di protezione dei dati personali,
di cui al decreto legislativo 30 giugno 2003, n. 196, dopo il comma 1
e' aggiunto il seguente:
« 1-bis. Per i soggetti che trattano soltanto dati personali non sensibili e che
trattano come unici dati sensibili quelli costituiti dallo stato di salute o
malattia dei propri dipendenti e collaboratori anche a progetto, senza
indicazione
della relativa
diagnosi, ovvero dall'adesione
ad
organizzazioni sindacali o a carattere sindacale, la tenuta di un
aggiornato documento programmatico sulla sicurezza e' sostituita dall'obbligo
di autocertificazione, resa dal titolare del trattamento ai sensi dell'articolo 47 del
testo unico di cui al decreto del Presidente della Repubblica 28 dicembre 2000, n.
445, di trattare soltanto tali dati in osservanza delle altre misure di sicurezza
prescritte. In relazione a tali trattamenti, nonché a trattamenti
comunque effettuati per correnti finalità amministrative e contabili,
in particolare presso piccole e medie imprese, liberi professionisti e artigiani, il
Garante, sentito il Ministro per la semplificazione normativa, individua con proprio
provvedimento, da aggiornare periodicamente, modalità semplificate di
applicazione del disciplinare tecnico di cui all'Allegato B) in
ordine all'adozione delle misure minime di cui al comma 1».
La semplificazione del DPS e delle misure minime- L. 133/2008 e Provv. 27 novembre 2008
Bisogna distinguere tra due aspetti differenti:
•La non obbligatorietà della redazione del
DPS e la sostituzione della stessa con un
documento di autocertificazione.
di
misure
minime
semplificate relativamente al trattamento di
determinati dati.
•L’applicazione
I due punti chiave…
La non obbligatorietà della redazione del
DPS e la sostituzione della stessa con un
documento di autocertificazione si applica ai
Titolari
“…che trattano come unici dati sensibili
quelli costituiti dallo stato di salute o
malattia dei propri dipendenti e collaboratori
anche a progetto, senza indicazione della
relativa diagnosi, ovvero dall'adesione ad
organizzazioni
sindacali
carattere sindacale…”.
o
a
I due punti chiave…
L’applicazione di misure minime semplificate
si applica non solamente ai soggetti di cui al
punto precedente, ma a qualunque tipo di
soggetto limitatamente però ai trattamenti di
cui sopra (stato di salute o malattia senza
indicazione della diagnosi, iscrizione a sindacati)
nonché ai trattamenti
“…effettuati per correnti finalità amministrative
e contabili, in particolare presso piccole e medie
imprese, liberi professionisti e artigiani…”
Per il dettaglio delle misure minime
semplificate >>> Provv. 27 novembre
2008 in GU n. 287 del 9 dicembre 2008
La semplificazione della notificazione al Garante – L. 133/2008
PRIMA
La
notificazione
è
validamente effettuata
solo se è trasmessa
per via telematica
utilizzando il modello
predisposto dal Garante
e
osservando
le
prescrizioni da questi
impartite, anche per
quanto
riguarda
le
modalità
di
sottoscrizione
con
firma digitale e di
conferma
del
ricevimento
della
notificazione
DOPO
La notificazione e' validamente effettuata solo se e'
trasmessa attraverso il sito del Garante, utilizzando
l'apposito modello, che contiene la richiesta di fornire
tutte e soltanto le seguenti informazioni:
a) le coordinate identificative del titolare del trattamento
e, eventualmente, del suo rappresentante, nonche’ le
modalita' per individuare il responsabile del trattamento
se designato;
b) la o le finalita' del trattamento;
c) una descrizione della o delle categorie di persone
interessate e dei dati o delle categorie di dati relativi alle
medesime;
d) i destinatari o le categorie di destinatari a cui i dati
possono essere comunicati;
e) i trasferimenti di dati previsti verso Paesi terzi;
f) una descrizione generale che permetta di valutare in
via preliminare l'adeguatezza delle misure adottate per
garantire la sicurezza del trattamento
Con Del. 22 ottobre 2008 (Gazz. Uff. 9 dicembre 2008, n. 287) sono
state introdotte alcune semplificazioni al modello di notificazione
UPGRADE
Nuovi provvedimenti
Nuove sanzioni
Nuovi rischi
La “rottamazione” degli hard disk– Comunicato del 5 dicembre 2008
La “rottamazione” degli hard disk– Provv. del 13 ottobre 2008
VISTI gli atti d’ufficio relativi alla problematica del rinvenimento di dati
personali all’interno di apparecchiature elettriche ed elettroniche cedute
a un rivenditore per la dismissione o la vendita o a seguito di riparazioni
e sostituzioni; viste, altresì, le recenti notizie di stampa in ordine al
rinvenimento da parte dell’acquirente di un disco rigido usato,
commercializzato attraverso un sito Internet, di dati bancari relativi a
oltre un milione di individui contenuti nel disco medesimo (…)
RILEVATA la necessità di richiamare l’attenzione su tali rischi di persone
giuridiche, pubbliche amministrazioni, altri enti e persone fisiche che,
avendone fatto uso nello svolgimento delle proprie attività, in particolare quelle
industriali, commerciali, professionali o istituzionali (di seguito sinteticamente
individuati con la locuzione “titolari del trattamento”: art. 4, comma 1, lett. f) del
Codice), dismettono sistemi informatici o, più in generale,
apparecchiature elettriche ed elettroniche contenenti dati personali (come
pure dei soggetti che, su base individuale o collettiva, provvedono al
reimpiego, al riciclaggio o allo smaltimento dei rifiuti di dette apparecchiature);
La “rottamazione” degli hard disk– Provv. del 13 ottobre 2008
RILEVATO che ogni titolare del trattamento deve quindi adottare appropriate
misure organizzative e tecniche volte a garantire la sicurezza dei dati personali
trattati e la loro protezione anche nei confronti di accessi non autorizzati che
possono verificarsi in occasione della dismissione dei menzionati apparati elettrici
ed elettronici (artt. 31 ss. del Codice); ciò, considerato anche che, impregiudicati
eventuali accordi che prevedano diversamente, produttori, distributori e centri di
assistenza di apparecchiature elettriche ed elettroniche non risultano essere soggetti, in
base alla particolare disciplina di settore, a specifici obblighi di distruzione dei dati
personali eventualmente memorizzati nelle apparecchiature elettriche ed elettroniche a
essi consegnate
(…)
RILEVATO che le misure da adottare in occasione della dismissione di componenti
elettrici ed elettronici suscettibili di memorizzare dati personali devono consistere
nell’effettiva cancellazione o trasformazione in forma non intelligibile dei dati
personali negli stessi contenute, sì da impedire a soggetti non autorizzati che
abbiano a vario titolo la disponibilità materiale dei supporti di venirne a
conoscenza non avendone diritto (si pensi, ad esempio, ai dati personali memorizzati
sul disco rigido dei personal computer o nelle cartelle di posta elettronica, oppure
custoditi nelle rubriche dei terminali di comunicazione elettronica)
La “rottamazione” degli hard disk– Provv. del 13 ottobre 2008
CONSIDERATO che tali misure risultano allo stato già previste quali misure minime
di sicurezza per i trattamenti di dati sensibili o giudiziari, sulla base delle regole 21
e 22 del disciplinare tecnico in materia di misure minime di sicurezza che
disciplinano la custodia e l’uso dei supporti rimovibili sui quali sono memorizzati i dati,
che vincolano il riutilizzo dei supporti alla cancellazione effettiva dei dati o alla loro
trasformazione in forma non intelligibile;
RITENUTO che i titolari del trattamento, in occasione della dismissione delle menzionate
apparecchiature elettriche ed elettroniche, qualora siano sprovvisti delle necessarie
competenze e strumentazioni tecniche per la cancellazione dei dati personali,
possono ricorrere all’ausilio o conferendo incarico a soggetti tecnicamente
qualificati in grado di porre in essere le misure idonee a cancellare effettivamente
o rendere non intelligibili i dati, quali centri di assistenza, produttori e distributori
di apparecchiature che attestino l’esecuzione di tali operazioni o si impegnino ad
effettuarle;
RITENUTO che chi procede al reimpiego o al riciclaggio di rifiuti di apparecchiature
elettriche ed elettroniche o di loro componenti debba comunque assicurarsi
dell’inesistenza o della non intelligibilità di dati personali sui supporti, acquisendo, ove
possibile, l’autorizzazione a cancellarli o a renderli non intelligibili;
La “rottamazione” degli hard disk– Provv. del 13 ottobre 2008
TUTTO CIÒ PREMESSO IL GARANTE
1. ai sensi dell’art. 154, comma 1, lett. h) del Codice, richiama l’attenzione di persone
giuridiche, pubbliche amministrazioni, altri enti e persone fisiche che, avendone fatto uso
nello svolgimento delle proprie attività, in particolare quelle industriali, commerciali,
professionali o istituzionali, non distruggono, ma dismettono supporti che contengono
dati personali, sulla necessità di adottare idonei accorgimenti e misure, anche con
l’ausilio di terzi tecnicamente qualificati, volti a prevenire accessi non consentiti ai dati
personali memorizzati nelle apparecchiature elettriche ed elettroniche destinate a
essere:
a.reimpiegate o riciclate, anche seguendo le procedure di cui all’allegato A);
b. smaltite, anche seguendo le procedure di cui all’allegato B).
Tali misure e accorgimenti possono essere attuate anche con l’ausilio o conferendo
incarico a terzi tecnicamente qualificati, quali centri di assistenza, produttori e distributori
di apparecchiature che attestino l’esecuzione delle operazioni effettuate o che si
impegnino ad effettuarle.
Chi procede al reimpiego o al riciclaggio di rifiuti di apparecchiature elettriche ed
elettroniche o di loro componenti è comunque tenuto ad assicurarsi dell’inesistenza o
della non intelligibilità di dati personali sui supporti, acquisendo, ove possibile,
l’autorizzazione a cancellarli o a renderli non intelligibili;
Le novità sugli Amministratori di Sistema
Provv. 27 novembre 2008
Gli "amministratori di sistema" sono figure essenziali per
la sicurezza delle banche dati e la corretta gestione delle
reti telematiche. Sono esperti chiamati a svolgere delicate
funzioni che comportano la concreta capacità di accedere a
tutti i dati che transitano sulle reti aziendali ed istituzionali. Ad
essi viene affidato spesso anche il compito di vigilare sul
corretto utilizzo dei sistemi informatici di un'azienda o di una
pubblica amministrazione. Le ispezioni effettuate in questi
anni dall'Autorità hanno permesso di mettere in luce in diversi
casi una scarsa consapevolezza da parte di
organizzazioni grandi e piccole del ruolo svolto dagli
amministratori di sistema. I gravi casi verificatisi negli ultimi
anni hanno evidenziato una preoccupante sottovalutazione
dei rischi che possono derivare quando l'attività di questi
esperti sia svolta senza il necessario controllo.
Le novità sugli Amministratori di Sistema
Provv. 27 novembre 2008
CONSTATATO che lo svolgimento delle mansioni di un amministratore
di sistema, anche a seguito di una sua formale designazione quale
responsabile o incaricato del trattamento, comporta di regola la
concreta capacità, per atto intenzionale, ma anche per caso
fortuito, di accedere in modo privilegiato a risorse del sistema
informativo e a dati personali cui non si è legittimati ad accedere
rispetto ai profili di autorizzazione attribuiti;
CONSTATATO che l'individuazione dei soggetti idonei a svolgere le
mansioni di amministratore di sistema riveste una notevole
importanza, costituendo una delle scelte fondamentali che, unitamente
a quelle relative alle tecnologie, contribuiscono a incrementare la
complessiva sicurezza dei trattamenti svolti, e va perciò curata in
modo particolare evitando incauti affidamenti;
Le novità sugli Amministratori di Sistema
Provv. 27 novembre 2008
definizione di "amministratore di sistema"
figure professionali finalizzate alla gestione e alla manutenzione di
un impianto di elaborazione o di sue componenti.
Ai fini del presente provvedimento vengono però considerate tali anche
altre figure equiparabili dal punto di vista dei rischi relativi alla
protezione dei dati, quali gli amministratori di basi di dati, gli
amministratori di reti e di apparati di sicurezza e gli amministratori di
sistemi software complessi.
Attività tecniche quali il salvataggio dei dati (backup/recovery), l'organizzazione dei flussi di
rete, la gestione dei supporti di memorizzazione e la manutenzione hardware comportano
infatti, in molti casi, un'effettiva capacità di azione su informazioni che va considerata a tutti
gli effetti alla stregua di un trattamento di dati personali; ciò, anche quando l'amministratore
non consulti "in chiaro" le informazioni medesime.
Le novità sugli Amministratori di Sistema
Provv. 27 novembre 2008
Il Codice non ha incluso questa figura tra le proprie definizioni normative.
Tuttavia le funzioni tipiche dell'amministrazione di un sistema sono richiamate nel
menzionato Allegato B, nella parte in cui prevede l'obbligo per i titolari di assicurare la
custodia delle componenti riservate delle credenziali di autenticazione. Gran parte dei
compiti previsti nel medesimo Allegato B spettano tipicamente all'amministratore di
sistema: dalla realizzazione di copie di sicurezza (operazioni di backup e recovery dei
dati) alla custodia delle credenziali alla gestione dei sistemi di autenticazione e di
autorizzazione.
Nel loro complesso, le norme predette mettono in rilievo la particolare capacità di azione
propria degli amministratori di sistema e la natura fiduciaria delle relative mansioni,
analoga a quella che, in un contesto del tutto differente, caratterizza determinati
incarichi di custodia e altre attività per il cui svolgimento è previsto il possesso di
particolari requisiti tecnico-organizzativi, di onorabilità, professionali, morali o di
condotta, a oggi non contemplati per lo svolgimento di uno dei ruoli più delicati
della "Società dell'informazione"
Le novità sugli Amministratori di Sistema
Provv. 27 novembre 2008
Segnalazione ai titolari di trattamenti relativa alle funzioni di
amministratore di sistema > si applica a tutti!
Ai sensi del menzionato art. 154, comma 1, lett. h) il Garante, nel segnalare a tutti i
titolari di trattamenti di dati personali soggetti all'ambito applicativo del Codice ed
effettuati con strumenti elettronici la particolare criticità del ruolo degli
amministratori di sistema, richiama l'attenzione dei medesimi titolari sulla necessità di
adottare idonee cautele volte a prevenire e ad accertare eventuali accessi non consentiti
ai dati personali, in specie quelli realizzati con abuso della qualità di amministratore di
sistema; richiama inoltre l'attenzione sull'esigenza di valutare con particolare cura
l'attribuzione di funzioni tecniche propriamente corrispondenti o assimilabili a quelle di
amministratore di sistema, laddove queste siano esercitate in un contesto che renda ad
essi tecnicamente possibile l'accesso, anche fortuito, a dati personali. Ciò, tenendo in
considerazione l'opportunità o meno di tale attribuzione e le concrete modalità sulla
base delle quali si svolge l'incarico, unitamente alle qualità tecniche, professionali e
di condotta del soggetto individuato
Le novità sugli Amministratori di Sistema
Provv. 27 novembre 2008
Le novità sugli Amministratori di Sistema
Provv. 27 novembre 2008
MISURE E ACCORGIMENTI PRESCRITTI AI TITOLARI DEI TRATTAMENTI
EFFETTUATI CON STRUMENTI ELETTRONICI ai sensi dell'art. 154, comma 1, lett.
c) del Codice esclusi, allo stato, quelli effettuati in ambito pubblico e privato a fini
amministrativo-contabili che, ponendo minori rischi per gli interessati, sono stati oggetto
delle recenti misure di semplificazione
1-Valutazione delle caratteristiche soggettive
L'attribuzione delle funzioni di amministratore di sistema deve avvenire previa
valutazione dell'esperienza, della capacità e dell'affidabilità del soggetto designato, il
quale deve fornire idonea garanzia del pieno rispetto delle vigenti disposizioni in
materia di trattamento ivi compreso il profilo relativo alla sicurezza.
2-Designazioni individuali
La designazione quale amministratore di sistema deve essere in ogni caso individuale
e recare l'elencazione analitica degli ambiti di operatività consentiti in base al
profilo di autorizzazione assegnato.
Le novità sugli Amministratori di Sistema
Provv. 27 novembre 2008
MISURE E ACCORGIMENTI PRESCRITTI AI TITOLARI DEI TRATTAMENTI
EFFETTUATI CON STRUMENTI ELETTRONICI ai sensi dell'art. 154, comma 1, lett.
c) del Codice esclusi, allo stato, quelli effettuati in ambito pubblico e privato a fini
amministrativo-contabili che, ponendo minori rischi per gli interessati, sono stati oggetto
delle recenti misure di semplificazione
NB: UNICA ESCLUSIONE
i titolari di alcuni trattamenti effettuati in ambito
pubblico e privato a fini amministrativo-contabili, i
quali pongono minori rischi per gli interessati e sono
stati pertanto oggetto di recenti misure di
semplificazione (art. 29 d.l. 25 giugno 2008, n. 112,
conv., con mod., con l. 6 agosto 2008, n. 133; art. 34
del Codice; Provv. Garante 6 novembre 2008),
debbano essere allo stato esclusi dall'ambito
applicativo del presente provvedimento.
gestione di informazioni
attinenti ad altre imprese,
amministrazioni,
clienti,
fornitori
e
dipendenti
utilizzate,
anche
in
relazione
a
obblighi
contrattuali e normativi,
per
correnti
finalità
amministrative e contabili
Le novità sugli Amministratori di Sistema
Provv. 27 novembre 2008
3- Redazione, conservazione ed aggiornamento di un “elenco degli
amministratori di sistema” (anche per i casi di outsourcing)
Gli estremi identificativi delle persone fisiche amministratori di sistema, con
l'elenco delle funzioni ad essi attribuite, devono essere riportati nel
documento programmatico sulla sicurezza. Nel caso di servizi di
amministrazione di sistema affidati in outsourcing il Titolare deve conservare
direttamente e specificamente, per ogni eventuale evenienza, gli estremi
identificativi delle persone fisiche preposte quali amministratori di sistema.
4- Informazione ai lavoratori
Qualora l'attività degli amministratori di sistema riguardi anche indirettamente
servizi o sistemi che trattano o che permettono il trattamento di informazioni di
carattere personale di lavoratori, il Titolare deve rendere nota o conoscibile
l'identità degli amministratori di sistema nell'ambito delle proprie
organizzazioni, in relazione ai diversi servizi informatici cui questi sono
preposti.
Le novità sugli Amministratori di Sistema
Provv. 27 novembre 2008
5- Verifica delle attività
L'operato degli amministratori di sistema deve essere oggetto, con cadenza
almeno annuale, di un'attività di verifica da parte del Titolare, in modo da
controllare la sua rispondenza alle misure organizzative, tecniche e di
sicurezza rispetto ai trattamenti dei dati personali previste dalle norme vigenti.
6- Registrazione degli accessi
Devono essere adottati sistemi idonei alla registrazione degli accessi logici
(autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici da
parte degli amministratori di sistema. Le registrazioni (access log) devono avere
caratteristiche di completezza, inalterabilità e possibilità di verifica della loro
integrità adeguate al raggiungimento dello scopo di verifica per cui sono richieste.
Le registrazioni devono comprendere i riferimenti temporali e la descrizione
dell'evento che le ha generate e devono essere conservate per un congruo periodo,
non inferiore a sei mesi.
LE NUOVE SANZIONI
Il quadro delle sanzioni
•Omessa o inidonea informativa
•Cessione dei dati con finalità non omogenee
Inosservanza delle modalità di comunicazione al
paziente del proprio stato di salute
•Omissione delle misure minime
•Trattamento illecito di dati
•Inosservanza di prescrizione di misure o di divieti del
Garante
•Violazione dei termini di conservazione dei dati di
traffico
•Omessa, incompleta o intempestiva notificazione
•Omessa informazione e esibizione di documenti
Linee di fondo
IN ESTREMA SINTESI
Maggiori poteri al Garante
1
Aumento sanzioni pecuniarie preesistenti
2
Riduzione dei min. e max. per violazioni di minore gravità
3
Introduzione nuove sanzioni pecuniarie
4
Maggiore “scalabilità” (!) delle sanzioni
5
Valorizzazione ruolo “normativo” del Garante
1 Aumento sanzioni pecuniarie preesistenti
Omessa o inidonea informativa (art. 161)
PRIMA
pagamento di una somma da
tremila euro a diciottomila euro
o, nei casi di dati sensibili o
giudiziari o di trattamenti che
presentano rischi specifici ai
sensi dell'articolo 17 o,
comunque, di maggiore rilevanza
del pregiudizio per uno o più
interessati, da cinquemila euro a
trentamila euro. La somma può
essere aumentata sino al triplo
quando risulta inefficace in
ragione delle condizioni
economiche del contravventore
DOPO
pagamento di una somma da
seimila euro a trentaseimila euro
1 Aumento sanzioni pecuniarie preesistenti
Cessione dei dati con finalità non omogenee (art. 162, c. 1)
PRIMA
pagamento di una somma da
cinque mila euro a trentamila
euro
DOPO
pagamento di una somma da
diecimila euro a sessantamila
euro
Inosservanza delle modalità di comunicazione al
paziente del proprio stato di salute (art. 162, c. 2)
PRIMA
pagamento di una somma da
cinquecento euro a tremila euro
DOPO
pagamento di una somma da mille
euro a seimila euro
1 Aumento sanzioni pecuniarie preesistenti
Omessa o incompleta notificazione (art. 163)
PRIMA
pagamento di una somma da
diecimila euro a sessantamila
euro
DOPO
pagamento di una somma da
ventimila euro a centoventimila
euro
Omessa informazione o esibizione al Garante (art. 164)
PRIMA
pagamento di una somma da
quattromila euro a ventiquattro
mila euro
DOPO
pagamento di una somma da
diecimila euro a sessantamila
euro
2 Riduzione dei min. e max. per violazioni di minore gravità
Se taluna delle violazioni di cui agli articoli 161, 162, 163
e 164 è di minore gravità, avuto altresì riguardo alla
natura anche economica o sociale dell'attività svolta,
i limiti minimi e massimi stabiliti dai medesimi
articoli sono applicati in misura pari a due quinti.
Esempio
per l’omessa informativa
Min ord
Max ord
Min rid
Max rid
6000
36000
1200
7200
3 Introduzione nuove sanzioni pecuniarie
Omissione misure minime di sicurezza ex art. 33
sanzione del pagamento di una somma da ventimila euro a
centoventimila euro, con esclusione del pagamento in misura
ridotta
>>> correlativamente, scompare dal reato ex art. 169 “l'ammenda
da diecimila euro a cinquantamila euro”>> si applica la sanzione
suddetta
Violazione delle disposizioni indicate nell'articolo 167
sanzione del pagamento di una somma da ventimila euro a
centoventimila euro, con possibilità del pagamento in misura
ridotta
3 Introduzione nuove sanzioni pecuniarie
5 Valorizzazione ruolo “normativo” del Garante
Inosservanza dei provvedimenti di prescrizione di
misure necessarie o di divieto ex art. 154, comma 1,
lettere c) e d)
in ogni caso, pagamento di una somma da trentamila
euro a centottantamila euro
Art. 154 Il Garante ha il compito di:
c) prescrivere anche d'ufficio ai titolari del trattamento le misure necessarie o
opportune al fine di rendere il trattamento conforme alle disposizioni vigenti, ai sensi
dell'articolo 143;
d) vietare anche d'ufficio, in tutto o in parte, il trattamento illecito o non corretto dei dati o
disporne il blocco ai sensi dell'articolo 143, e di adottare gli altri provvedimenti previsti
dalla disciplina applicabile al trattamento dei dati personali
3 Introduzione nuove sanzioni pecuniarie
5 Valorizzazione ruolo “normativo” del Garante
ESEMPI DI PROVVEDIMENTI DEL GARANTE SANZIONABILI
- Provv. 27/11/2008 Amministratori di sistema
- Provv. 19/6/2008 Semplificazioni tratt. amministrativi e contabili
- Provv. 1/3/2007 Controlli su internet ed e-mail (in parte: “prescrive ai datori
di lavoro privati e pubblici, ai sensi dell'art. 154, comma 1, lett. c), del Codice, di adottare la misura
necessaria a garanzia degli interessati, nei termini di cui in motivazione, riguardante l'onere di
specificare le modalità di utilizzo della posta elettronica e della rete Internet da parte dei lavoratori
(punto 3.1.), indicando chiaramente le modalità di uso degli strumenti messi a disposizione e se, in
che misura e con quali modalità vengano effettuati controlli”)
- Provv. 29/4/2004 Videosorveglianza
ESEMPI DI PROVVEDIMENTI DEL GARANTE NON SANZIONABILI
- Provv. 13/10/2008 Rottamazione HD
- Provv. 26/06/2008 Linee Guida per consulenti e periti
Linee guida per
posta elettronica e internet
(Deliberazione n. 13 del 1° marzo 2007)
Struttura fondamentale4 punti
Con il provvedimento n. 13/2007 il Garante:
1. prescrive alcuni adempimenti obbligatori
2. adotta numerose Linee Guida a garanzia degli interessati
3. vieta alcuni comportamenti che integrano il controllo a distanza
4. stabilisce una nuova ipotesi di “bilanciamento di
interessi” relativamente a talune forme di controllo
Prescrizioni
Linee Guida
Divieto
“Balance”
Linee guida per
posta elettronica e internet
(Deliberazione n. 13 del 1° marzo 2007)
Decisione su modalità utilizzo
Azione obbligatoria!!!
Il datore di lavoro deve indicare in ogni caso, chiaramente e in modo
particolareggiato, quali siano le modalità di utilizzo degli strumenti
messi a disposizione ritenute corrette e se, in che misura e con quali
modalità vengano effettuati controlli.
Prescrizioni
Linee Guida
Divieto
“Balance”
Pubblicità: a seconda del genere e della complessità delle attività
svolte, informando il personale con mezzi diverse anche a seconda
delle dimensioni della struttura (tenendo conto, ad esempio, di piccole realtà
dove vi è una continua condivisione interpersonale di risorse informative).
Linee guida per
posta elettronica e internet
(Deliberazione n. 13 del 1° marzo 2007)
Informativa ex art. 13
Azione obbligatoria!!!
Informare comunque gli interessati ai sensi dell'art. 13 del Codice rispetto
alle policy stabilite
Quanto ai controlli, diritto di essere informati preventivamente, e in modo
chiaro, sui
trattamenti di dati che possono riguardarli.
Devono essere tra l'altro indicate le principali caratteristiche dei
trattamenti, nonché il
soggetto o l'unità organizzativa ai quali i
lavoratori possono rivolgersi per esercitare i
propri diritti.
Prescrizioni
Linee Guida
Divieto
“Balance”
Linee guida per
posta elettronica e internet
(Deliberazione n. 13 del 1° marzo 2007)
No a sistemi preordinati ai controlli (controlli intenzionali)
Principio di fondo: “divieto di installare "apparecchiature per finalità di controllo a
distanza dell'attività dei lavoratori" (art. 4, primo comma, l. n. 300/1970), tra cui sono
certamente comprese strumentazioni hardware e software mirate al controllo dell'utente
di un sistema di comunicazione elettronica”
ERGO non si può procedere a (NB:,
Limite rigoroso
neppure quando i singoli lavoratori ne siano consapevoli)
Prescrizioni
Linee Guida
Divieto
“Balance”
1. lettura e registrazione sistematica dei messaggi di posta elettronica ovvero dei
relativi dati esteriori, al di là di quanto tecnicamente necessario per svolgere il servizio
e-mail;
2. riproduzione ed eventuale memorizzazione sistematica delle pagine web
visualizzate dal lavoratore;
3. lettura e registrazione dei caratteri inseriti tramite la tastiera o analogo dispositivo;
4. analisi occulta di computer portatili affidati in uso.
Linee guida per
posta elettronica e internet
(Deliberazione n. 13 del 1° marzo 2007)
4 Maggiore scalabilità (!) delle sanzioni
In caso di più violazioni di un'unica o di più
disposizioni di cui al presente Capo, a eccezione di
quelle previste dagli articoli 162, comma 2
(comunicazione all’interessato di dati sulla sua salute), 162-bis
(conservazione dati di traffico) e 164 (omessa informazione o esibizione al
Garante), commesse anche in tempi diversi in relazione a
banche di dati di particolare rilevanza o dimensioni,
si applica la sanzione amministrativa del pagamento di
una somma da cinquantamila euro a trecentomila
euro.
Non è ammesso il pagamento in misura ridotta.
4 Maggiore scalabilità (!) delle sanzioni
In altri casi di maggiore gravità e, in particolare, di
maggiore rilevanza del pregiudizio per uno o più
interessati, ovvero quando la violazione coinvolge
numerosi interessati, i limiti minimo e massimo delle
sanzioni di cui al presente Capo sono applicati in misura
pari al doppio.
Le sanzioni di cui al presente Capo possono essere
aumentate fino al quadruplo quando possono risultare
inefficaci in ragione delle condizioni economiche del
contravventore