Privacy Le misure minime di sicurezza da adottare entro il 30 giugno 2004 Avv. Carlo Alberto Marchi Studio Associato - Padova - 15 giugno 2004 [[[[Studio Associato Agenda I. Le novità del Codice e le principali scadenze II. I destinatari della normativa: Titolare, Responsabile e Incaricato III. Adempimenti IV. Le tipologie di dati V. Le misure di sicurezza VI. Responsabilità e organizzazione aziendale VII. Le sanzioni I. Principali scadenze previste dal D.Lgs. 196/2003 Entrata in vigore 1 gennaio 2004 Misure di sicurezza e DPS 1 gennaio 2004 Misure minime Aggiornamento e/o redazione del Documento 30 giugno 2004 Programmatico sulla sicurezza (DPSS) Nuove misure 30 giugno 2004 Adeguamento posticipato e successivamente entro il 31 marzo di ogni anno 1 gennaio 2005 Notificazione dei trattamenti 30 aprile 2004 1 gennaio 2005 Prescrizioni mediche II. I destinatari della normativa I destinatari della normativa sulla privacy sono: Titolare: persona fisica, giuridica, pubblica amministrazione od organismo a cui competono le decisioni in ordine alle modalità del trattamento di dati personali, compreso il profilo della sicurezza. Responsabile: persona fisica o giuridica, pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal Titolare al trattamento dei dati. Incaricato: la persona fisica autorizzata a compiere operazioni di trattamento dal Titolare o dal Responsabile. III. Adempimenti: nei confronti dell’interessato Prima di procedere al trattamento dei dati personali dell’interessato (persona fisica, persona giuridica, ente o associazione) il Titolare del trattamento deve: ai sensi dell’art. 13 del D.Lgs. 196/2003 fornire all’interessato l’INFORMATIVA ai sensi dell’art. 23 del D.Lgs. 196/2003 raccogliere il CONSENSO dell’interessato Adempimenti: nei confronti del Garante I principali adempimenti che il titolare deve porre in essere nei confronti del Garante sono: la NOTIFICAZIONE al Garante (art. 37) la COMUNICAZIONE di particolari trattamenti (art. 39) la RICHIESTA DI AUTORIZZAZIONE al trattamento di dati sensibili e giudiziari, qualora il trattamento non rientri tra quelli oggetto delle Autorizzazioni Generali (art. 41) IV. Le tipologie di dati Esempi di dati personali e sensibili Nominativi personale dipendente Fatture clienti Elenco fornitori Dati Personali Particolari regimi alimentari delle mense Corrispondenza Cedolini paga (ritenute sindacali, ecc.) Curriculum Vitae Liste di distribuzione marketing Fatture fornitori Certificati medici Matricole dipendenti Elenco clienti Dati Sensibili Le tipologie di dati (segue) Dati personali: qualunque informazione relativa a persona fisica, persona giuridica, ente o associazione identificati o identificabili, anche indirettamente mediante riferimento a qualsiasi altra informazione ivi compreso un numero di identificazione, personale (art. 4, co. 1, lett. b). Dati identificativi: i dati personali che permettono l’identificazione diretta dell’interessato (art. 4, co. 1, lett. c). Le tipologie di dati (segue) Dati diversi da quelli sensibili o giudiziari il cui trattamento presenta rischi specifici: dati diversi da quelli sensibili o giudiziari il cui trattamento presenta rischi specifici per la dignità dell’interessato, in relazione alla natura dei dati o alle modalità di trattamento o agli effetti che può determinare. Il trattamento di tali dati è ammesso nel rispetto di misure ed accorgimenti prescritti dal Garante a garanzia dell’interessato. Dati sensibili: dati idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso ecc., nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale (art. 4 co. 1 lett. d). Dati giudiziari: dati personali idonei a rivelare provvedimenti in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualità di imputato o di indagato (art. 4 co. 1 lett. e). Le tipologie di dati (segue) Identificazione dei dati personali I dati personali durante il proprio ciclo di vita possono assumere formati differenti: STAMPATI SCRITTI SU CARTA TRASMESSI ELETTRONICAMENTE Ne consegue che prerequisito fondamentale per l’adozione delle misure di sicurezza, in ottemperanza a quanto indicato nell’Allegato B del Codice in materia di protezione dei dati personali, è l’identificazione degli archivi cartacei e delle banche dati elettroniche contenenti dati personali. Infatti, le misure di sicurezza variano in funzione della tipologia di dato (personale o particolare) e del supporto fisico su cui è custodito (cartaceo o elettronico). V. Le misure di sicurezza Rischi relativi alla sicurezza dei dati I sistemi informativi aziendali sono sottoposti ad un numero sempre più crescente e sofisticato di minacce (frodi telematiche, virus, accessi abusivi, ecc.). La dipendenza sempre maggiore delle aziende dai propri sistemi informativi comporta una maggior vulnerabilità rispetto alle minacce alla sicurezza. La connessione tra sistemi differenti, pubblici e privati, per condividere informazioni accresce la difficoltà di eseguire uno stretto controllo sugli accessi: la tendenza verso sistemi di elaborazione distribuiti rende meno efficaci i sistemi di controllo centralizzati. Un gran numero di sistemi informativi non sono stati progettati considerando gli aspetti relativi alla sicurezza delle informazioni: le misure di sicurezza risultano molto più costose ed inefficienti se non vengono implementate durante le fasi di progettazione e definizione dei requisiti. I meccanismi di sicurezza tecnici non sono in grado di garantire l’eliminazione completa dei rischi: occorrono perciò anche strumenti organizzativi e procedurali. Le misure di sicurezza (segue) Rischi relativi alla sicurezza dei dati La sicurezza nel trattamento dei dati si caratterizza nella salvaguardia di tre parametri fondamentali delle informazioni: Riservatezza Disponibilità Garantire che i dati siano disponibili agli utenti autorizzati Garantire che i dati siano protetti da accessi non autorizzati Integrità Garantire che i dati siano aggiornati ed integri Le misure di sicurezza (segue) Il Codice ha trattato in modo completo, anche prevedendo costanti aggiornamenti, il tema delle misure di sicurezza. L’art. 31 dispone l’obbligo in capo al Titolare di custodire e controllare i dati mediante l’adozione di misure di sicurezza idonee e preventive che riducano al minimo il rischio di: distruzione o perdita, anche accidentale, dei dati; accesso non autorizzato; trattamento non consentito o non conforme alle finalità della raccolta. Le misure di sicurezza (segue) Nell’ambito del più generico obbligo di adottare misure di sicurezza imposto dall’art. 31, l’art. 33 individua le c.d. misure minime di sicurezza, definite come “il complesso delle misure tecniche, informatiche, organizzative, logistiche e procedurali di sicurezza che configurano il livello minimo di protezione richiesto in relazione ai rischi previsti nell’art. 31”. Il Codice ha individuato: - all’art. 34 le misure minime da adottarsi nel caso di trattamento di dati con strumenti elettronici con le modalità previste dal disciplinare tecnico contenuto nell’All. B al Codice; - all’art. 35 le misure minime da adottarsi nel caso di trattamento di dati senza l’ausilio di strumenti elettronici, con le modalità previste dal disciplinare tecnico contenuto nell’All. B al Codice. Le misure minime di sicurezza, di cui agli artt. 33-35 e All.B che non erano previste nel D.P.R. n. 318/99, devono essere adottate entro il 30 giugno 2004. Novità del Codice Privacy in tema di sicurezza Introduzione del concetto di credenziale approfondimento sulla parola chiave. di autenticazione e Nuove istruzioni per garantire la segretezza della credenziale e la custodia degli elaboratori. Estensione a tutti i dati personali e non solo a quelli sensibili dell’individuazione dei profili autorizzativi per l’accesso ai dati. Individuazione di ulteriori misure di sicurezza per la prevenzione della vulnerabilità degli strumenti elettronici, il salvataggio dei dati ed il ripristino in caso di danneggiamento. Maggior enfasi sul documento programmatico sulla sicurezza, da predisporre entro il 31 marzo di ogni anno e da citare nella relazione accompagnatoria del bilancio di esercizio. Le misure di sicurezza: art. 34 Autenticazione informatica Aggiornamento periodico dell’individuazione dell’ambito di trattamento consentito agli incaricati e agli addetti alla gestione/manutenzione degli strumenti elettronici Adozione procedure di gestione delle credenziali di autenticazione Utilizzazione di un sistema di autorizzazione, (nel caso in cui per gli incaricati siano individuati profili di autorizzazione di ambito diverso) Trattamento con strumenti elettronici Protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti, ad accessi non consentiti e a determinati programmi informatici Tenuta di un aggiornato DPS Adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi Adozione di tecniche di cifratura o codici identificativi per trattamenti relativi a dati idonei a rivelare stato di salute, vita sessuale effettuati da organismi sanitari Le misure di sicurezza (All. B.) Trattamenti con strumenti elettronici Rinvio. Le misure di sicurezza: art. 35 Aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito agli incaricati e alle unità organizzative Trattamento senza l’ausilio di strumenti elettronici Previsione di procedure per un’idonea custodia di atti e documenti affidati agli incaricati per lo svolgimento dei relativi compiti Previsione di procedure per la conservazione di determinati atti in archivi ad accesso selezionato e disciplina delle modalità di accesso Le misure di sicurezza (All. B). Trattamenti senza l’ausilio di strumenti elettronici Devono essere impartite agli incaricati istruzioni scritte, finalizzate al controllo e alla custodia, per l’intero ciclo necessario allo svolgimento delle operazioni di trattamento, degli atti e dei documenti contenenti dati personali. Nell’ambito dell’aggiornamento periodico con cadenza almeno annuale dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati, la lista degli incaricati può essere redatta anche per classi omogenee di incarico e dei relativi profili di autorizzazione. Trattamento senza l’ausilio di strumenti elettronici Gli atti e i documenti contenenti dati personali sensibili o giudiziari che sono affidati agli incaricati del trattamento per lo svolgimento dei relativi compiti, devono essere controllati e custoditi dagli incaricati fino alla restituzione in maniera che ad essi non accedano persone prive di autorizzazione, e sono restituiti al termine delle operazioni affidate. L’accesso agli archivi contenenti dati sensibili o giudiziari è controllato. Le persone ammesse, a qualunque titolo, dopo l’orario di chiusura, sono identificate e registrate. Quando gli archivi non sono dotati di strumenti elettronici per il controllo degli accessi o di incaricati della vigilanza, le persone che vi accedono sono preventivamente autorizzate. Le misure di sicurezza (segue) Trattamenti senza l’ausilio di strumenti elettronici La conservazione dei documenti cartacei impone di garantire: accettabili rischi di deperimento / non accessibilità delle informazioni sufficienti livelli di sicurezza per garantire l’autenticità e la validità giuridica delle informazioni conservate ragionevole rapporto costi-benefici dei processi di supporto al reperimento delle informazioni Le misure di sicurezza (segue) Gestione e conservazione dei dati in formato cartaceo Reperimento delle informazioni: aggregazione fisica dei documenti secondo criteri che aumentano la probabilità di trovare le informazioni che si stanno cercando uso di strumenti di classificazione Rischi di deperimento / non accessibilità: locali adeguati alla conservazione, carta e inchiostri non deperibili Autenticità e validità giuridica: firme autografe, sigilli, carta intestata VI. Responsabilità e organizzazione aziendale Il Responsabile La nomina del Responsabile non è obbligatoria, ma, se nominato, esso deve essere scelto tra i soggetti che forniscano idonea garanzia del rispetto delle vigenti disposizioni in materia di trattamento dei dati personali, ivi compreso il profilo della sicurezza. I compiti del Responsabile devono essere analiticamente individuati per iscritto. Il Responsabile opera secondo le istruzioni del Titolare, il quale vigila sulla puntuale osservanza delle disposizioni (es. verifiche). Responsabilità e organizzazione aziendale Il Responsabile (segue) Modalità di nomina: nel caso di Titolare persona giuridica, suggeriamo la nomina diretta da parte del CDA dei Responsabili del trattamento, al fine di consentire, per quanto possibile, che questi ultimi rispondano in prima persona per le eventuali violazioni poste in essere nell'esercizio dei compiti agli stessi affidati in tale veste. Anche secondo il legislatore del 2003, il trattamento di dati personali è un'attività pericolosa ex art. 2050 c.c. (con conseguente inversione dell'onere della prova): in sostanza, ai fini della responsabilità civile, se l'interessato dimostra di aver subito un danno a causa di un trattamento, sarà il Titolare a dover dimostrare di aver adottato tutte le misure previste dalla legge per evitare quel danno, altrimenti ne risponde. Naturalmente tanto più accuratamente viene effettuata la nomina del Responsabile, maggiori sono le probabilità di ancorare la responsabilità solo in capo a quest'ultimo. Responsabilità e organizzazione aziendale Il Responsabile (segue) L’impegno di ogni Responsabile, formalizzato nella lettera di nomina, dovrebbe consistere nei seguenti compiti ed ambiti di responsabilità, tra i quali: sovrintendere a tutte le operazioni di trattamento di dati personali, comuni e sensibili, effettuati all’interno della propria funzione; curare le operazioni di classificazione analitica delle banche dati e dei processi aziendali; nominare gli incaricati al trattamento dei dati personali, impartendo loro dettagliate istruzioni; curare l’attuazione delle misure di sicurezza e del loro periodico aggiornamento; collaborare con il Titolare, ai sensi dell’art. 19.1 dell’All.B, per predisporre il DPS ed eventualmente la notificazione ai sensi dell’art.37; Responsabilità e organizzazione aziendale Il Responsabile (segue) predisporre idonee procedure interne finalizzate alla verifica periodica della corretta applicazione del Codice; mantenere un costante aggiornamento sull’evoluzione tecnologica di strumenti e dispositivi di sicurezza; procedere alla cessazione del trattamento dei dati personali ai sensi dell’art. 16 del Codice; comunicare al Titolare qualsiasi elemento che possa compromettere il corretto trattamento dei dati; curare la formazione e l’aggiornamento degli incaricati del trattamento dei dati personali. Responsabilità e organizzazione aziendale Gli Incaricati L’INCARICATO, designato per iscritto, deve attenersi alle istruzioni ricevute dal titolare o dal responsabile, i quali hanno un costante obbligo di vigilanza sul suo operato. L’ambito di operatività dell’Incaricato è predeterminato per iscritto, risulta dalla nomina, ovvero dall’assegnazione dell’incaricato alla funzione o al reparto. L’incaricato opera sotto la diretta autorità del Titolare o del Responsabile. Nella pratica gli Incaricati sono coloro che: Raccolgon o i dati Elaborano i dati con procedure informatiche o manuali Li comunican o Li diffondono Li archivian o Responsabilità e organizzazione aziendale Gli Incaricati (segue) Gli Incaricati al trattamento dei dati possono essere anche enti/agenzie/personale esterno o devono necessariamente essere personale interno? Premesso che sicuramente l’Incaricato deve essere una persona fisica, come previsto dall’art. 4, co. 1 lett. h) del Codice, si precisa che: il soggetto che viene nominato Incaricato deve godere della fiducia di colui che gli affida l’incarico, deve operare sotto la sua “diretta autorità” e deve essere legato da un rapporto di “dipendenza” con il titolare o con il responsabile; secondo l’interpretazione (non univoca) del Garante, il concetto di “dipendenza” non presuppone necessariamente un rapporto di lavoro subordinato; nel parere al CSM di data 2.12.1997, interpretando estensivamente l’art. 19 L. 675/96, è stato precisato che possono essere nominati “incaricati” lavoratori dipendenti o autonomi, collaboratori esterni o soggetti “comunque autorizzati”. Responsabilità e organizzazione aziendale Gli Incaricati (segue) Gli Incaricati del trattamento dei dati personali, nell’ambito del trattamento assegnato, hanno le seguenti responsabilità: • svolgere le attività conformi al D.Lgs. 196/03; • svolgere le attività previste dai trattamenti secondo le direttive del Responsabile; • non modificare i trattamenti esistenti o introdurre nuovi trattamenti senza l’esplicita autorizzazione del responsabile del trattamento; • rispettare le norme di sicurezza per la protezione dei dati personali; • informare il Responsabile o l’amministratore dei sistemi informatici in caso di incidente di sicurezza che coinvolga dati personali o informazioni in genere. VII. Le sanzioni Responsabilità penale Trattamento illecito di dati personali (art. 167, c.1) trattamento dei dati personali in violazione degli artt. 18 (trattamenti effettuati da soggetti pubblici), 19 (trattamento di dati diversi da quelli sensibili o giudiziari); 23 (consenso); 123 (trattamento di dati relativi ad abbonati e utenti con riferimento a comunicazione elettronica); 126 (trattamento di dati relativi all’ubicazione con riferimento a comunicazione elettronica); 130 (comunicazioni indesiderate), ovvero in applicazione dell’art. 129, da parte di chiunque, al fine di trarne per sé o per gli altri profitto o di recare ad altri un danno, salvo che il fatto costituisca più grave reato. Sanzione: reclusione da 6 a 18 mesi. Se il fatto consiste nella comunicazione o nella diffusione reclusione da 6 a 24 mesi. Trattamento illecito di dati personali (art. 167, co. 2) trattamento di dati personali in violazione degli artt. 17 (trattamento che presenta rischi specifici), 20 (trattamento dei dati sensibili), 21 (trattamento dei dati giudiziari), 22 co. 8 e 11 (trattamento dei dati idonei a rivelare lo stato di salute), 25 (dati sensibili e giudiziari nell’ambito di test psico-attitudinali), 26 (garanzie per i dati sensibili); 27 (garanzie per i dati giudiziari) e 45 (trasferimenti vietati) al fine di trarne per sé o per altri profitto o di recare ad altri un danno. Sanzione: reclusione da 1 a 3 anni se dai fatti deriva nocumento. Le sanzioni Responsabilità penale (segue) Omessa adozione di misure necessarie alla sicurezza dei dati (art. 169) omessa adozione delle misure minime di sicurezza previste dall’art. 33 Ammenda da Euro 10.000,00 a Euro 50.000,00 ovvero arresto sino a 2 anni. Ravvedimento operoso: l’ammenda è preceduta dal cd. “termine per la regolarizzazione” concesso dal Garante, non superiore a sei mesi, entro cui chi ha violato la norma può adempiere alla prescrizione normativa e così essere ammesso al pagamento di una somma, decisa sempre dal Garante, pari al quarto del massimo dell’ammenda stabilita dalla contravvenzione Le sanzioni Responsabilità penale (segue) Falsità nelle dichiarazioni e nelle notificazioni al Garante (art. 168) chi, nelle notificazioni ex art. 37 o in comunicazioni, atti, documenti resi o esibiti in un procedimento dinanzi al Garante dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi. Sanzione: reclusione, salvo che il fatto costituisca più grave reato, da sei mesi a tre anni Inosservanza dei provvedimenti del Garante (art.170) inosservanza dei provvedimenti adottati dal garante ai sensi degli artt. 26, co. 2 (dati sensibili), 90 (dati genetici), 150 co. 1 e 2, (provvedimenti a seguito di ricorso), 143 co. 1 lett. c) (blocco o divieto di trattamento di dati personali). Sanzione: reclusione da tre mesi a due anni Le sanzioni Responsabilità amministrativa Omessa o inidonea informativa all’interessato (art. 161) per le violazioni di cui all’art. 13 (informativa). Sanzione: da Euro 3.000,00 ad Euro 18.000,00 Nei casi di dati sensibili o giudiziari o di trattamenti che presentano rischi specifici ex art. 17, la sanzione è da Euro 5.000,00 ad Euro 30.000,00 (tale somma può anche essere aumentata sino al triplo quando la sanzione risulta inefficace in ragione delle condizioni economiche del contravventore). Altre fattispecie (art. 162) cessione di dati in violazione dell’art. 16 co. 1 lett. b) o di altre disposizioni in materia di trattamento dei dati personali Sanzione: da Euro 5.000,00 ad Euro 30.000,00 In caso di violazione dell’art. 84, co. 1, sanzione: da Euro 500,00 ad Euro 3.000,00 Le sanzioni Responsabilità amministrativa (segue) Omessa o incompleta notificazione (art. 163) chiunque, essendovi tenuto, non provvede tempestivamente alla notificazione ex artt. 37 e 38 ovvero indica notizie incomplete Sanzione amministrativa da Euro 10.000,00 a 60.000,00 Sanzione accessoria: pubblicazione ordinanza – ingiunzione. Omessa informazione o esibizione al Garante (art. 164) chiunque omette di fornire informazioni o esibire documenti richiesti dal Garante ex artt. 150, co. 2 (tutela) e 157 (accertamenti e controlli) Sanzione: da Euro 4.000,00 ad Euro 24.000,00 Le sanzioni Responsabilità civile Danno cagionato per effetto del trattamento (art. 15) Il Codice ha confermato la sussistenza di una responsabilità per esercizio di attività pericolose (art. 2050 c.c.) in capo al soggetto che cagiona ad altri un danno per effetto del trattamento di dati personali, disponendo che il danno non patrimoniale è risarcibile anche in caso di violazione dell’art. 11 (Modalità del trattamento e requisiti dei dati). Attenzione: la norma non distingue tra misure di sicurezza e misure minime di sicurezza.