UNIVERSITA’ DEGLI STUDI DI TRIESTE Ripartizione Sistema documentale e procedurale LA DISCIPLINA IN MATERIA DI PROTEZIONE DEI DATI PERSONALI dott.ssa Serena Bussani Origine del diritto alla privacy e quadro normativo di riferimento Un po’ di storia…. • Le origini al diritto alla privacy risalgono a due giuristi statunitensi, S. Warren e Louis Brandeis, che nel 1890 diedero alle stampe il saggio “The right of privacy” . • Secondo questi autori privacy diritto ad essere lasciati soli (“the right to be let alone”), diritto alla riservatezza della propria sfera privata, a non subire intrusioni indesiderate nella propria vita intima. . • Pretesa dell’individuo di essere il solo a determinare in che misura egli desidera condividere parte di sé con altri • diritto di controllare la diffusione dell’informazione circa se stessi Panorama normativo • Il primo esplicito riconoscimento normativo del diritto alla privacy si rinviene nella Convenzione Europea dei diritti dell’Uomo (1950), la quale, all’art. 8, riconosce fra i diritti fondamentali dell’uomo quello “al rispetto della propria vita privata e familiare, del proprio domicilio e della propria corrispondenza.” . • Attorno al 1970, sono comparse le prime leggi nazionali in materia (Svezia, Rep. Federale tedesca, Danimarca, Norvegia, Francia e Austria). • Normative però, molto disomogenee, il che ha spinto il legislatore Europeo ad intervenire. . • Convenzione Europea sulla protezione dei dati (1981) enuclea dei principi fondamentali che ciascun paese contraente si impegna a garantire. • Strumento però astratto e privo di efficacia vincolante . • Direttiva 95/46/CEE “Tutela delle persone fisiche con riguardo al trattamento dei dati personali nonché alla libera circolazione di tali dati” dd. 24/10/1995. • Sotto la spinta del legislatore comunitario, nonché al fine di permettere l’ingresso nel “sistema Schengen”, finalmente anche l’Italia approva una circa il trattamento dei dati personali. . • Legge 31 dicembre 1996 n. 675 “Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali” garantisce “che il trattamento dei dati personali si svolga nel rispetto dei diritti, delle libertà fondamentali nonché della dignità delle persone fisiche, con particolare riferimento alla riservatezza ed all’identità personale.” (art. 1) La Privacy in Italia • Prima della l. 675/96 nessuna normativa generale ma accenni alle riservatezza in normative particolari • Statuto dei lavoratori (1970) E’ fatto divieto al datore di lavoro effettuare indagini sulle opinioni politiche, religiose e sindacali dei lavoratori. La l. 675/1996 • Dalla segretezza al controllo: ciò che viene tutelato,nella l. 675/96, non è più il “diritto a essere lasciato in pace” (privacy “statica”) bensì il diritto al controllo sulla circolazione (ormai inevitabile) dei propri dati personali (privacy “dinamica”). . Pertanto non più protezione di un indifferenziato e approssimativo interesse all’isolamento, bensì potere di controllo sulla circolazione delle informazioni che ci riguardano. . • Scopo della normativa è la protezione dei dati personali, intesi quali informazioni relative ad una persona (fisica o giuridica). • La protezione del dato personale (cioè dell’informazione relativa ad una persona) è riconosciuta quale “diritto della personalità”. . • In questo senso la legge 675/96 individua un complesso di diritti riguardanti specificamente il trattamento dei dati personali, ossia: a) il diritto di informazione b) il diritto ad intervenire sul trattamento c) il diritto di opposizione al trattamento stesso Successivamente alla l. 675/96….. In Europa • Carta dei diritti fondamentali dell’Unione Europea dd. 7/12/2000 Rispetto della vita privata e familiare e diritto alla protezione dei dati di caratteri personale • Direttiva n. 2002/58/CE - trattamento dei dati personali e tutela della vita privata nel settore delle comunicazioni elettroniche Successivamente alla l. 675/96….. In Italia • D.Lgs. 135/99 (per l’utilizzo dei dati sensibili da parte della PA) • D. Lgs 281/99 (finalità storiche, statistiche e ricerca) • DPR 318/99 (misure minime di sicurezza) • L. 127/2001 (delega al Governo di fare un TU) • D. Lgs 467/2001 (semplificazione adempimenti, notifica, ecc.) Il Codice sulla protezione dei dati personali (D.lg. 196/2003): applicazioni ed adempimenti per la P.A. Il nuovo codice….. • Il 29 luglio 2003 è stato pubblicato sulla Gazzetta Ufficiale Serie generale n. 174, Supplemento ordinario n. 123/L il nuovo Codice in materia di protezione dei dati personali E’ un testo unico • Il testo unico in materia di protezione dei dati personali denominato "Codice" della privacy è ispirato all' introduzione di nuove garanzie per i cittadini, alla razionalizzazione delle norme esistenti e alla semplificazione Raccoglie sei anni di esperienza • Il provvedimento, sulla base dell'esperienza di 6 anni, riunisce in unico contesto la legge 675/96 e gli altri decreti legislativi, regolamenti e codici deontologici che si sono succeduti in questi anni, e contiene anche importanti innovazioni tenendo conto della "giurisprudenza" del Garante e della direttiva Ue 2000/58 sulla riservatezza nelle comunicazioni elettroniche Unifica le normative • Il Codice, che rappresenta il primo tentativo in Europa di conformare le innumerevoli disposizioni relative anche in via indiretta alla privacy, è entrato in vigore quasi integralmente il 1 gennaio 2004 Gli adempimenti e le scadenze per la P.A. • 30 aprile 2004: Notificazione al Garante del trattamento dei dati di cui all’art. 37 (dati genetici, biometrici, dati trattati ai fini di procreazione assistita, ecc.) • 31 dicembre 2005: Adozione delle “nuove” misure minime di sicurezza (artt. da 33 a 35 TU e ALL. B non previste dal DPR 318/99 allegato B) Redazione del Documento Programmatico sulla sicurezza Adozione dei Regolamenti sul trattamento dei dati sensibili Le norme in soffitta…. DALL’1 GENNAIO 2004 SONO ABROGATE CON L’ENTRATA IN VIGORE DEL NUOVO CODICE VARIE NORME DI LEGGE FRA CUI: L. 675/96 D.L.VO 135/99 D.L.VO 281/99 eccetto artt. 8 comma 1, 11 e 12 D.L.VO 282/99 DPR 318/99 Il futuro del codice... • Primo esperimento di un Testo Unico sulla Privacy. • Compito non facile, considerato che il tema della riservatezza attraversa tutti gli ambiti del vivere (privacy nei luoghi di lavoro, negli ambulatori, nelle conversazioni telefoniche) • Non tutto può essere messo “dentro un codice” (rischio di gigantismo legislativo) • Integrabile con strumenti più snelli come le spiegazioni del garante o i codici deontologici Il Garante per la protezione dei dati personali • E’ un’autorità amministrativa indipendente istituita dalla l. 675/96 e riconfermata dal TU (artt. 153-160) In Italia come in Europa….. • L'istituzione di analoghe autorità è prevista in tutti gli altri Paesi membri dell'Unione Europea (direttiva comunitaria 95/46/CE). Composizione • E’ organo collegiale costituito da quattro componenti eletti dal Parlamento, scelti fra persone, esperte di diritto ed informatica, che assicurino indipendenza. (art. 153 TU) • Alle sue dipendenze è posto l’Ufficio del Garante, diretto da un Segretario generale scelto tra magistrati ordinari o amministrativi. Compiti • Controlla che i trattamenti dei dati personali siano effettuati nel rispetto della disciplina applicabile ed in conformità alla notificazione; • Esamina reclami e segnalazioni e provvede sui ricorsi presentati dagli interessati; • segnala al Parlamento e al Governo l’opportunità di interventi normativi nel settore . • Compie ispezioni e può comminare sanzioni amministrative pecuniarie in caso di violazione delle disposizioni in materia di tutela dei dati personali; • Denuncia i fatti configurabili come reati perseguibili d’ufficio dei quali viene a conoscenza nell’esercizio o a causa delle sue funzioni; . • Promuove la sottoscrizione dei codici di deontologia e buona condotta • Cura la diffusione della conoscenza della normativa in materia di protezione dei dati personali. Le regole generali per il trattamento dei dati personali e le misure minime di sicurezza DIRITTO ALLA PROTEZIONE DEI DATI PERSONALI ART. 1 TU CHIUNQUE ha diritto alla protezione dei dati personali che lo riguardano Principio di necessità ART. 3 TU I sistemi informativi e i programmi informatici sono configurati riducendo al minimo l’utilizzazione di dati personali e di dati identificativi, in modo da escludere il trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante, rispettivamente, dati anonimi o opportune modalità che permettano di identificare l’interessato solo in caso di necessità . I diritti dell’interessato . • Diritti di informazione tesi a procurare all’interessato la conoscenza di determinate situazioni. Sono riassumibili nel figura più ampia del diritto di accesso ai propri dati, il cui contenuto va dal - diritto di ottenere la conferma dell’esistenza o meno di dati che lo riguardano al - diritto di avere la loro comunicazione in forma intelligibile . • La conformità del trattamento alla volontà dell’interessato diritti tesi ad ottenere: - l’aggiornamento, la rettifica ovvero, quando vi sia interesse, l’integrazione dei dati - la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge • L’opposizione diritto ad opporsi: - per motivi leciti e documentati al trattamento, anche qualora effettuato in modo legittimo - al trattamento qualora effettuato al fine di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato. In tale caso non occorre motivazione. Come si esercitano i diritti? • Richiesta rivolta senza formalità al titolare o al responsabile, anche tramite un incaricato • Alla richiesta deve essere fornito idoneo riscontro “senza ritardo” • I dati richiesti sono comunicati: - oralmente - offrendoli in visione mediante strumenti elettronici - trasponendoli su supporto cartaceo o informatico o trasmettendoli per via telematica, semprechè simili modalità siano state espressamente richieste - quando l’estrazione dei dati risulti difficoltosa, mediante esibizione o consegna in copia degli atti o documenti che li contengono. . Alcune definizioni …….. Dato personale Qualsiasi informazione, di ogni tipo (non solo dati anagrafici o economici ma anche immagini, suoni, codici identificativi), relativa ad un soggetto, che possa consentire l’identificazione diretta o indiretta del soggetto cui il dato si riferisce. E’ dato personale, in buona sostanza, ciò che permette di differenziare un soggetto da tutti gli altri . Trattamento dei dati personali QUALUNQUE operazione o complesso di operazioni effettuati anche senza l’ausilio di strumenti elettronici concernente: raccolta, registrazione, organizzazione, conservazione, consultazione, eleborazione, modificazione, selezione, estrazione, raffronto, utilizzo, interconnessione, blocco, comunicazione, diffusione, cancellazione, distruzione di dati anche se non registrati in una banca dati Banca dati • Insieme di dati (e quindi di informazioni personali), raccolti in una o più unità di supporto (cartacee o informatiche), ed organizzati secondo un criterio determinato tale da facilitarne il trattamento. Tipologie di dati • Dati identificativi: dati personali che permettono l’identificazione diretta dell’interessato (nome e cognome, data di nascita, codice fiscale, ecc.) • Dati anonimi: dati che in origine o a seguito di trattamento non possono essere associati ad un interessato identificato od identificabile. . • Dati sensibili: dati personali, attinenti alla sfera più intima di ciascun soggetto, per i quali l’ordinamento appresta una tutela rafforzata. E’ considerato dato sensibile ogni dato personale idoneo a rivelare: - l’origine razziale ed etnica - le convinzioni religiose, filosofiche o di altro genere - le opinioni politiche - l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale. - lo stato di salute e la vita sessuale. . • Dati giudiziari: dati personali idonei a rivelare procedimenti in materia di casellario giudiziale, anagrafe delle sanzioni amministrative da reato, carichi pendenti, qualità di imputato o di indagato. Soggetti del trattamento • TITOLARE PERSONA FISICA, GIURIDICA, PA, ENTE, ASSOCIAZIONE, CUI COMPETONO LE DECISIONI IN ORDINE ALLE FINALITA’, ALLE MODALITA’ DI TRATTAMENTO DI DATI PERSONALI ED AGLI STRUMENTI UTILIZZATI COMPRESO IL PROFILO INERENTE LA SICUREZZA. • RESPONSABILE PERSONA FISICA, GIURIDICA, PA, ENTE, ASSOCIAZIONE PREPOSTO DAL TITOLARE AL TRATTAMENTO DI DATI PERSONALI • INCARICATO PERSONA FISICA AUTORIZZATA A COMPIERE OPERAZIONI DI TRATTAMENTO DAL TITOLARE O DAL RESPONSABILE • INTERESSATO PERSONA FISICA, GIURIDICA, ENTE O ASSOCIAZIONE CUI SI RIFERISCONO I DATI PERSONALI Più specificamente... • Il titolare del trattamento, nel caso degli enti pubblici, è quindi l’amministrazione nel suo complesso, non chi la rappresenta. • Il responsabile del trattamento viene designato facoltativamente. Può essere più d’uno (soggetti di diverso livello gerarchico, per aree materie di interesse, per competenza tecnica) I suoi compiti devono essere analiticamente specificati per iscritto . • Gli incaricati del trattamento sono solo e soltanto persone fisiche, autorizzate a compiere operazioni di trattamento operanti sotto la diretta autorità del titolare o del responsabile. • Devono essere designati per iscritto con individuazione dell’ambito di trattamento consentito. • La designazione può essere anche fatta in maniera “riassuntiva”, mediante individuazione dell’ambito di trattamento consentito agli addetti ad una unità organizzativa e la documentata preposizione della persona fisica alla stessa. . Le regole per tutti i trattamenti . I dati personali oggetto di trattamento devono essere: • trattati in modo lecito e secondo correttezza • raccolti e registrati per scopi determinati, espliciti e legittimi • esatti e, se necessario, aggiornati • pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono raccolti e trattati • conservati in una forma che consenta l’identificazione dell’interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali sono stati raccolti . Sanzione per il mancato rispetto di queste norme inutilizzabilità dei dati. L’informativa all’interessato Deve essere effettuata, oralmente o per iscritto, all’interessato, e deve comunicare: – le finalità e le modalità di trattamento – la natura obbligatoria o facoltativa del conferimento dei dati – le conseguenze del rifiuto di rispondere – i soggetti ai quali i dati personali possono essere comunicati e l’ambito di diffusione dei dati stessi – gli estremi identificativi del titolare, o se designato, del responsabile Non deve essere fornita se.. • i dati sono trattati in base ad un obbligo previsto dalla legge, da un regolamento, o dalla normativa comunitaria • i dati sono trattati ai fini dello svolgimento delle investigazioni difensive o per far valere o difendere un diritto in sede giudiziaria • comporta un dispiego di mezzi che il Garante dichiari manifestamente sproporzionati rispetto al diritto tutelato, ovvero si riveli, a giudizio del Garante, impossibile Il consenso al trattamento dei dati personali • Deve essere richiesto (e manifestato in forma scritta se il trattamento riguarda dati sensibili) qualora il titolare sia un privato o un ente pubblico economico • I soggetti pubblici non devono richiedere il consenso all’interessato (art. 18 TU), salvo quanto previsto per gli esercenti le professioni sanitarie e gli organismi sanitari pubblici (consenso per il trattamento dei dati idonei a rivelare lo stato di salute) Le regole per i trattamenti in ambito pubblico Il TU disciplina espressamente le attività di trattamento da parte della Pubblica Amministrazione, dettando delle regole particolari ed ulteriori rispetto a quelle previste per la generalità dei soggetti. I principi per il trattamento dei dati nella PA • Qualunque trattamento di dati personali da parte di soggetti pubblici è consentito soltanto per lo svolgimento di funzioni istituzionali • I soggetti pubblici non devono richiedere il consenso degli interessati • Possono comunicare o diffondere i dati solamente . - ad altri soggetti pubblici, se ciò e previsto da norme di legge o regolamento ovvero, nello svolgimento di funzioni istituzionali, se è decorso il termine di 45 giorni dalla “comunicazione” di cui all’art. 39 TU al Garante, senza che lo stesso abbia assunto una specifica determinazione - a privati o Enti pubblici economici solo se prevista da norme di legge o di regolamento Il trattamento dei dati nelle università (titolo VII TU trattamento per scopi storici, statistici o scientifici) • Al fine di promuovere e sostenere la ricerca e la collaborazione in campo scientifico e tecnologico i soggetti pubblici, ivi comprese le università e gli enti di ricerca, possono con autonome determinazioni comunicare e diffondere, anche a privati e per via telematica, dati relativi ad attività di studio e di ricerca, a laureati, dottori di ricerca, tecnici e tecnologi, ricercatori, docenti, esperti e studiosi, con esclusione di quelli sensibili o giudiziari. . • Resta fermo il diritto dell’interessato di opporsi per motivi legittimi. • I dati di cui al presente articolo possono essere successivamente trattati per i soli scopi in base ai quali sono comunicati o diffusi. Nessuna novità rispetto a quanto già previsto dal D.lgs.297/1994 “Testo Unico delle disposizioni legislative in materia di istruzione” .. Le misure di sicurezza nel trattamento dei dati personali Sicurezza. Perché? Per garantire che: • i dati non vadano distrutti o persi anche in modo accidentale • che solo le persone autorizzate possano avere accesso ai dati • che non siano effettuati trattamenti contrari alle norme di legge o diversi da quelli per cui i dati erano stati raccolti. Le prescrizioni del TU Titolo V parte I e Disciplinare tecnico Previsti due tipi di misure di sicurezza: Misure “minime”: • Sono previste in via generale dagli artt. 33 e ss TU ed individuate dal disciplinare tecnico di cui al cd. Allegato “B” (che sostituisce l’abrogato DPR 318/99) • Assicurano un livello minimo di protezione dei dati personali, il cui mancato rispetto costituisce reato. Non esonerano però da responsabilità civile (risarcimento del danno), qualora l’evoluzione tecnologica renda disponibili accorgimenti ulteriori. . Misure “idonee”: • Sono previste dall’ art. 31 TU, idonee al fine di ridurre al minimo i rischi di distruzione e perdita, anche accidentale, dei dati, di accesso non autorizzato o di trattamento non consentito. • Esonerano anche da responsabilità civile. Le misure minime di sicurezza Trattamento effettuato mediante strumenti elettronici: Sono suddivisibili in tre grandi aree: • Autenticazione informatica • Il sistema di autorizzazione • La protezione di dati e sistemi a) Autenticazione informatica Il sistema deve essere dotato di mezzi deputati alla verifica ed alla convalidazione dell’identità di un soggetto (login) Garantisce il controllo di chi accede agli elaboratori. Si realizza tramite le c.d. credenziali di autenticazione:dati e dispositivi, in possesso di una persona, da questa conosciuti e ad essa univocamente correlati, utilizzati per l’autenticazione informatica. (codici d’accesso e parole chiave o dispositivi non mnemonici es codici biometrici) Le credenziali sono costituite da qualcosa che il soggetto : - conosce (es. parola chiave) - possiede (es. smart card) - è (caratteristica biometrica, es. impronta di un dito, del volto, della retina). Ad ogni incaricato devono essere assegnate o associate una o più credenziali per l’autenticazione. Istruzioni agli incaricati per assicurare la segretezza delle credenziali B)Sistema di autorizzazione: successivamente all’autorizzazione permette al soggetto di trattare effettivamente i dati. E’ distinto per profili di autorizzazione, i quali definiscano in dettaglio le azioni consentite ad ogni classe di incaricati. La verifica della definizione dei profili deve essere fatta almeno una volta all’anno. C)Protezione di dati e sistemi: i dati e i sistemi elettronici devono essere protetti da accessi non consentiti e finalizzati alla compromissione della loro sicurezza. Il TU in proposito impone: - Adozione di software che contrastino i virus informatici e le altre tipologie di malware (antivirus), aggiornati almeno semestralmente - Adozione di misure che prevedano il salvataggio dei dati con cadenza settimanale (back up) Qualora il trattamento riguardi dati sensibili e/o giudiziari anche - Adozione di strumenti che blocchino i tentativi di intrusione (firewall) - Messa a punto di strategie di disaster recovery, ossia di un processo che consenta di ripristinare il funzionamento dei dati in seguito ad un’inaspettata interruzione del trattamento - Tecniche di cifratura e separazione dei dati, qualora vengano trattati dati idonei a rivelare lo stato d salute e la vita sessuale da parte di organismi sanitari o esercenti le professioni sanitarie. Il Documento Programmatico sulla sicurezza: • deve essere redatto da ogni titolare che effettui il trattamento di dati sensibili e/o giudiziari con strumenti automatizzati. • Evidenzia i rischi che incombono sui dati e le contromisure procedurali, organizzative, logistiche e tecniche che si intende adottare per minimizzare questi rischi. • Delinea la strategia di sicurezza dell’Ente. • Deve contenere,tra l’altro: - l’elenco dei trattamenti dei dati personali - la distribuzione dei compiti e delle responsabilità nell’ambito delle strutture preposte al trattamento - l’analisi dei rischi - le misure da adottare per garantire l’integrità e la disponibilità dei dati Trattamento effettuato senza l’uso di strumenti elettronici: Misure di natura procedurale, organizzativa e logistica. • Istruzioni scritte agli incaricati finalizzate al controllo e alla custodia degli atti e dei documenti • Redazione ed aggiornamento annuale della lista degli incaricati, con individuazione dell’ambito di trattamento consentito agli stessi • Controllo degli accessi agli archivi contenenti dati sensibili e/o giudiziari. • Manuale per la Sicurezza ed il corretto trattamento dei dati nell’Università di Trieste • Strumento riassuntivo che individua e precisa il complesso delle misure organizzative, logistiche, tecniche ed informatiche adottate nel nostro Ateneo al fine di assicurare il rispetto delle misure di sicurezza. • Composto da una parte più specificamente organizzativa ed una tecnico/pratica ad uso degli incaricati Le misure organizzative • Sono responsabili del trattamento dei dati nell’Università di Trieste i responsabili “pro tempore” delle strutture didattiche, scientifiche e di servizio in cui si articola l’Università (Divisioni, Sezioni, Facoltà, Dipartimenti, Centri Servizi autonomi), con riferimento ai dati trattati nell’ambito delle unità organizzative alla cui direzione sono preposti. Le misure organizzative Compiti • assicurarsi che nell’Unità Organizzativa vengano rispettate le misure minime di sicurezza previste dalla normativa vigente, nonché le altre misure di sicurezza previste dall’Ateneo e riassunte nel Manuale • procedere all’aggiornamento dell’”anagrafe elettronica dei trattamenti dei dati personali” ogniqualvolta si verifichi l’esistenza di un nuovo trattamento, la cessazione di uno precedente, la modifica delle caratteristiche di un trattamento, ovvero il nuovo ingresso, la cessazione o il cambiamento di mansioni di uno degli incaricati. Le misure organizzative • comunicare alla Rip. Sistema documentale e procedurale l’eventuale “esternalizzazione” (affidamento all’esterno) di trattamenti di dati personali al fine della predisposizione della nomina a responsabili di tali soggetti. • comunicare alla Rip. Sistema documentale e procedurale ogni comunicazione di dati personali ad altri soggetti pubblici, effettuata in qualsiasi modo anche tramite convenzione, non prevista da norme di legge o di regolamento ai fini delle necessarie comunicazioni in merito al Garante Le misure organizzative • procedere alla richiesta di rilascio e revoca delle autorizzazioni all’accesso a banche dati elettroniche automatizzate. • impartire istruzioni agli incaricati circa il corretto trattamento dei dati personali, dando idonea divulgazione presso gli stessi del presente Manuale per la sicurezza, con particolare riferimento all’appendice relativa alle istruzioni operative per gli incaricati. Le misure organizzative • dare idonea diffusione presso i soggetti impegnati in attività di ricerca del “Codice di deontologia e buona condotta per i trattamenti di dati personali per scopi statistici e scientifici”, affinchè le attività medesime siano svolte nel rispetto dei principi e con l’osservanza dei criteri ivi indicati. • fornire, al momento dell’acquisizione dei dati, per il tramite degli incaricati, ovvero mediante affissione nei locali aperti al pubblico o ancora mediante l’inserimento in moduli o formulari, l’informativa di cui all’art. 13 del Codice agli interessati Le istruzioni operative Trattamenti senza l’ausilio di strumenti elettronici • Utilizzate le chiavi • Non comunicate dati personali a soggetti non legittimati • Fate attenzione a come distruggete i documenti • Raddoppiate le attenzioni se i documenti contengono dati sensibili o giudiziari Le istruzioni operative Trattamenti con strumenti elettronici •Conservate i dischetti o i compact disk in un luogo sicuro •Utilizzate le password •Attenzione alle stampe di documenti riservati •Non fatevi sbirciare quando digitate le password •Custodite le password in un luogo sicuro •Non utilizzate apparecchi non autorizzati •Non installate programmi non autorizzati •Applicate con cura le linee guida per la prevenzione da infezioni di virus – Linee guida per la prevenzione dei virus – Usate soltanto programmi provenienti da fonti fidate – Assicuratevi di non far partire accidentalmente il Vostro computer da dischetto – Assicuratevi che il vostro software antivirus sia aggiornato – Non diffondete messaggi di provenienza dubbia – Non partecipate a “catene di S. Antonio” e simili – Scelta delle password – Cosa NON fare – NON dite a nessuno la Vostra password. Ricordate che lo scopo principale per cui usate una password è assicurare che nessun altro possa utilizzare le Vostre risorse o possa farlo a Vostro nome. – NON scrivete la password da nessuna parte che possa essere letta facilmente, soprattutto vicino al computer. – Quando immettete la password NON fate sbirciare a nessuno quello che state battendo sulla tastiera.. – NON usate il Vostro nome utente. È la password più semplice da indovinare – NON usate password che possano in qualche modo essere legate a Voi come, ad esempio, il Vostro nome, quello di Vostra moglie/marito, dei figli, del cane, date di nascita, numeri di telefono etc – Scelta delle password – Cosa fare – Cambiare la password a intervalli regolari – Usare password lunghe almeno sei caratteri con un misto di lettere, numeri e segni di interpunzione – Le migliori password sono quelle facili da ricordare ma, allo stesso tempo, difficili da indovinare, come quelle che si possono ottenere comprimendo frasi lunghe. La frase “C’era una volta una gatta che aveva una macchia nera sul muso” può ad esempio fornire, tra le tante possibilità, “Cr1Vlt1Gtt” IL TRATTAMENTO DI DATI PARTICOLARI : I DATI SENSIBILI E GIUDIZIARI Tre sono le ipotesi in cui i soggetti pubblici possono trattare legittimamente dati sensibili e giudiziari a) se il trattamento risulta autorizzato da una espressa disposizione di legge nella quale siano specificati •i tipi di dati che possono essere trattati •i tipi di operazioni eseguibili su tali dati •le finalità di rilevante interesse pubblico perseguite da questi trattamenti. Leggi così specifiche sono molto rare b) se il trattamento risulta autorizzato da una espressa disposizione di legge •che specifica le rilevanti finalità di interesse pubblico perseguite dal trattamento ma non specifica quali tipi di dati possono essere trattati e quali operazioni possono essere eseguite •l’Ente pubblico deve provvedere a individuare e rendere pubblici i tipi di dati e di operazioni oggetto del trattamento tramite un apposito regolamento. c) se il trattamento non risulta contemplato da alcuna norma primaria •l’Ente pubblico può chiedere al Garante di individuare, fra le attività svolte, quelle che, ad avviso dell’Autorità, perseguono “finalità di rilevante interesse pubblico”. •Anche in questo caso l’Ente dovrà provvedere a individuare e rendere pubblici i tipi di dati e di operazioni oggetto del trattamento tramite regolamento. Il regolamento per il trattamento dei dati sensibili e giudiziari deve essere adottato entro il 31 dicembre 2005. Gruppo di lavoro CRUI/Università ha elaborato uno schema tipo, approvato dal Garante. I I principi cui deve ispirarsi il trattamento di dati sensibili e giudiziari nella PA • I trattamenti devono essere effettuati con modalità volte a prevenire violazioni dei diritti, delle libertà fondamentali e della dignità dell’interessato •possono essere trattati solo i dati sensibili o giudiziari indispensabili per svolgere attività istituzionali che non possono essere adempiute mediante il trattamento di dati comuni •nell’informativa è necessario fare esplicito riferimento alla normativa che autorizza il trattamento I •deve essere verificata periodicamente l’esattezza, l’aggiornamento, la pertinenza e l’indispensabilità dei dati •è necessario adottare tecniche di cifratura per i dati sensibili o giudiziari contenuti in elenchi o banche dati gestiti con strumenti elettronici • i dati sensibili o giudiziari non possono essere trattati nell’ambito di test psicoattitudinali volti a definire il profilo o la personalità dell’interessato. Sono i dati idonei a rivelare lo stato di salute la vita sessuale. Essi devono: •essere conservati separatamente dagli altri dati personali •essere trattati con tecniche di cifratura •non possono essere diffusi I I dati “sensibilissimi” I I rapporti fra il diritto alla riservatezza ed il diritto di accesso nella PA I L. 241/90 Principi di economicità, efficacia, imparzialità e trasparenza a fondamento del corretto agire della PA. Art. 22: E’ riconosciuto a chiunque vi abbia interesse, per la tutela di situazioni giuridicamente rilevante il diritto di accesso ai documenti amministrativi Ma l’interesse del soggetto a conoscere determinate informazioni confligge con l’interesse del soggetto cui le informazioni si riferiscono a tenerle riservate. Comparazione fra due valori in competizione (trasparenza e riservatezza) entrambi garantiti dalla Carta Costituzionale I La necessità di un equilibrio Alcuni punti fermi: • La legge sulla privacy non può essere invocata aprioristicamente per negare o limitare in via assoluta il diritto di accesso •Piuttosto la legge sulla privacy si pone come fattore “delimitativo” dell’esercizio dell’accesso sotto il profilo delle modalità tecniche di esercizio •E’ necessario effettuare una ponderazione fra i valori in gioco •La PA è chiamata a verificare se l’interesse giuridico di chi chiede l’accesso sia “personale” e “concreto”, e l’ostensione del documento sia veramente necessaria per la cura di interessi giuridici del richiedente. •E’ possibile, per tutelare la riservatezza di terzi, concedere la visione del documento ma non l’estrazione di copia. I Il principio del “pari rango” Art. 60 TU: qualora la richiesta di accesso riguardi documenti contenenti dati idonei a rilevare lo stato di salute o la vita sessuale l’accesso deve essere consentito solo quando la situazione giuridica che si intende tutelare con la richiesta è di rango almeno pari ai diritti dell’interessato ovvero consiste in un diritto della personalità ovvero in un altro diritto o libertà fondamentale e inviolabile. Nel caso di documenti contenenti dati sensibili e giudiziari l’accesso è consentito nei casi in cui sia strettamente indispensabile e nei casi previsti dall’art. 60 del d.lvo 196/2003, in caso di dati idonei a rivelare lo stato di salute o la vita sessuale. I Art. 24 l. 241/90 (così come modificata dalla l. 15/2005)