UNIVERSITA’ DEGLI STUDI DI TRIESTE
Ripartizione Sistema documentale e procedurale
LA DISCIPLINA
IN MATERIA DI
PROTEZIONE
DEI DATI PERSONALI
dott.ssa Serena Bussani
Origine del diritto alla privacy e
quadro normativo di riferimento
Un po’ di storia….
• Le origini al diritto alla privacy risalgono a
due giuristi statunitensi, S. Warren e Louis
Brandeis, che nel 1890 diedero alle stampe
il saggio “The right of privacy” .
• Secondo questi autori privacy
diritto
ad essere lasciati soli (“the right to be let
alone”), diritto alla riservatezza della
propria sfera privata, a non subire intrusioni
indesiderate nella propria vita intima.
.
• Pretesa dell’individuo di essere il solo a
determinare in che misura egli desidera
condividere parte di sé con altri
• diritto di controllare la diffusione
dell’informazione circa se stessi
Panorama normativo
• Il primo esplicito riconoscimento
normativo del diritto alla privacy si
rinviene nella Convenzione Europea dei
diritti dell’Uomo (1950), la quale, all’art.
8, riconosce fra i diritti fondamentali
dell’uomo quello “al rispetto della propria
vita privata e familiare, del proprio
domicilio e della propria corrispondenza.”
.
• Attorno al 1970, sono comparse le prime
leggi nazionali in materia (Svezia, Rep.
Federale tedesca, Danimarca, Norvegia,
Francia e Austria).
• Normative però, molto disomogenee, il che
ha spinto il legislatore Europeo ad
intervenire.
.
• Convenzione Europea sulla protezione
dei dati (1981)
enuclea dei principi fondamentali
che ciascun paese contraente si impegna a
garantire.
• Strumento però astratto e privo di efficacia
vincolante
.
• Direttiva 95/46/CEE “Tutela delle persone
fisiche con riguardo al trattamento dei dati
personali nonché alla libera circolazione di
tali dati” dd. 24/10/1995.
• Sotto la spinta del legislatore comunitario,
nonché al fine di permettere l’ingresso nel
“sistema Schengen”, finalmente anche
l’Italia approva una circa il trattamento dei
dati personali.
.
• Legge 31 dicembre 1996 n. 675 “Tutela
delle persone e di altri soggetti rispetto al
trattamento dei dati personali”
garantisce “che il trattamento dei dati
personali si svolga nel rispetto dei diritti,
delle libertà fondamentali nonché della
dignità delle persone fisiche, con particolare
riferimento alla riservatezza ed all’identità
personale.” (art. 1)
La Privacy in Italia
• Prima della l. 675/96 nessuna normativa
generale ma accenni alle riservatezza in
normative particolari
• Statuto dei lavoratori (1970)
E’ fatto divieto al datore di lavoro effettuare
indagini sulle opinioni politiche, religiose e
sindacali dei lavoratori.
La l. 675/1996
• Dalla segretezza al controllo:
ciò che viene tutelato,nella l. 675/96, non è
più il “diritto a essere lasciato in pace”
(privacy “statica”) bensì il diritto al
controllo sulla circolazione (ormai
inevitabile) dei propri dati personali
(privacy “dinamica”).
.
Pertanto
non più protezione di un
indifferenziato e approssimativo interesse
all’isolamento, bensì potere di controllo
sulla circolazione delle informazioni che ci
riguardano.
.
• Scopo della normativa è la protezione dei
dati personali, intesi quali informazioni
relative ad una persona (fisica o
giuridica).
• La protezione del dato personale (cioè
dell’informazione relativa ad una persona) è
riconosciuta quale “diritto della
personalità”.
.
• In questo senso la legge 675/96 individua
un complesso di diritti riguardanti
specificamente il trattamento dei dati
personali, ossia:
a) il diritto di informazione
b) il diritto ad intervenire sul trattamento
c) il diritto di opposizione al trattamento
stesso
Successivamente alla l. 675/96…..
In Europa
• Carta dei diritti fondamentali dell’Unione Europea dd.
7/12/2000
Rispetto della vita privata e
familiare e diritto alla protezione dei dati di caratteri
personale
• Direttiva n. 2002/58/CE - trattamento dei dati
personali e tutela della vita privata nel settore delle
comunicazioni elettroniche
Successivamente alla l. 675/96…..
In Italia
• D.Lgs. 135/99 (per l’utilizzo dei dati sensibili da parte
della PA)
• D. Lgs 281/99 (finalità storiche, statistiche e ricerca)
• DPR 318/99 (misure minime di sicurezza)
• L. 127/2001 (delega al Governo di fare un TU)
• D. Lgs 467/2001 (semplificazione adempimenti,
notifica, ecc.)
Il Codice sulla protezione dei dati
personali (D.lg. 196/2003):
applicazioni ed adempimenti per la
P.A.
Il nuovo codice…..
• Il 29 luglio 2003 è stato pubblicato sulla
Gazzetta Ufficiale Serie generale n. 174,
Supplemento ordinario n. 123/L il nuovo
Codice in materia di protezione dei dati
personali
E’ un testo unico
• Il testo unico in materia di protezione dei
dati personali denominato "Codice" della
privacy è ispirato all' introduzione di
nuove garanzie per i cittadini, alla
razionalizzazione delle norme esistenti e
alla semplificazione
Raccoglie sei anni di esperienza
• Il provvedimento, sulla base dell'esperienza
di 6 anni, riunisce in unico contesto la legge
675/96 e gli altri decreti legislativi,
regolamenti e codici deontologici che si
sono succeduti in questi anni, e contiene
anche importanti innovazioni tenendo conto
della "giurisprudenza" del Garante e della
direttiva Ue 2000/58 sulla riservatezza nelle
comunicazioni elettroniche
Unifica le normative
• Il Codice, che rappresenta il primo
tentativo in Europa di conformare le
innumerevoli disposizioni relative anche in
via indiretta alla privacy, è entrato in vigore
quasi integralmente il 1 gennaio 2004
Gli adempimenti e le scadenze per la P.A.
• 30 aprile 2004: Notificazione al Garante del trattamento
dei dati di cui all’art. 37 (dati genetici, biometrici, dati trattati
ai fini di procreazione assistita, ecc.)
• 31 dicembre 2005:
Adozione delle “nuove” misure minime di sicurezza (artt.
da 33 a 35 TU e ALL. B non previste dal DPR 318/99
allegato B)
Redazione del Documento Programmatico sulla sicurezza
Adozione dei Regolamenti sul trattamento dei dati sensibili
Le norme in soffitta….
DALL’1 GENNAIO 2004 SONO ABROGATE
CON L’ENTRATA IN VIGORE DEL NUOVO CODICE
VARIE NORME DI LEGGE FRA CUI:
L. 675/96
D.L.VO 135/99
D.L.VO 281/99 eccetto artt. 8 comma 1, 11 e 12
D.L.VO 282/99
DPR 318/99
Il futuro del codice...
• Primo esperimento di un Testo Unico sulla Privacy.
• Compito non facile, considerato che il tema della riservatezza
attraversa tutti gli ambiti del vivere (privacy nei luoghi di
lavoro, negli ambulatori, nelle conversazioni telefoniche)
• Non tutto può essere messo “dentro un codice” (rischio di
gigantismo legislativo)
• Integrabile con strumenti più snelli come le spiegazioni del
garante o i codici deontologici
Il Garante per la protezione dei dati
personali
• E’ un’autorità amministrativa indipendente
istituita dalla l. 675/96 e riconfermata dal TU
(artt. 153-160)
In Italia come in Europa…..
• L'istituzione di analoghe autorità è prevista
in tutti gli altri Paesi membri dell'Unione
Europea (direttiva comunitaria 95/46/CE).
Composizione
• E’ organo collegiale costituito da quattro
componenti eletti dal Parlamento, scelti fra
persone, esperte di diritto ed informatica, che
assicurino indipendenza. (art. 153 TU)
• Alle sue dipendenze è posto l’Ufficio del
Garante, diretto da un Segretario generale
scelto tra magistrati ordinari o amministrativi.
Compiti
• Controlla che i trattamenti dei dati
personali siano effettuati nel rispetto della
disciplina applicabile ed in conformità alla
notificazione;
• Esamina reclami e segnalazioni e provvede
sui ricorsi presentati dagli interessati;
• segnala al Parlamento e al Governo
l’opportunità di interventi normativi nel
settore
.
• Compie ispezioni e può comminare
sanzioni amministrative pecuniarie in caso
di violazione delle disposizioni in materia di
tutela dei dati personali;
• Denuncia i fatti configurabili come reati
perseguibili d’ufficio dei quali viene a
conoscenza nell’esercizio o a causa delle sue
funzioni;
.
• Promuove la sottoscrizione dei codici di
deontologia e buona condotta
• Cura la diffusione della conoscenza della
normativa in materia di protezione dei dati
personali.
Le regole generali per il trattamento
dei dati personali e le misure minime
di sicurezza
DIRITTO ALLA
PROTEZIONE DEI DATI PERSONALI
ART. 1 TU
CHIUNQUE
ha diritto alla protezione
dei dati personali che lo riguardano
Principio di necessità
ART. 3 TU
I sistemi informativi e i programmi informatici sono configurati
riducendo al minimo l’utilizzazione di dati personali e di
dati identificativi, in modo da escludere il trattamento
quando le finalità perseguite nei singoli casi possono essere
realizzate mediante, rispettivamente, dati anonimi o
opportune modalità che permettano di identificare
l’interessato solo in caso di necessità
.
I diritti dell’interessato
.
• Diritti di informazione
tesi a procurare
all’interessato la conoscenza di determinate situazioni.
Sono riassumibili nel figura più ampia del diritto di accesso ai
propri dati, il cui contenuto va dal
- diritto di ottenere la conferma dell’esistenza o meno di dati che lo
riguardano
al
- diritto di avere la loro comunicazione in forma intelligibile
.
• La conformità del trattamento alla volontà dell’interessato
diritti tesi ad ottenere:
- l’aggiornamento, la rettifica ovvero, quando vi sia interesse,
l’integrazione dei dati
- la cancellazione, la trasformazione in forma anonima o il blocco
dei dati trattati in violazione di legge
• L’opposizione
diritto ad opporsi:
- per motivi leciti e documentati al trattamento, anche qualora
effettuato in modo legittimo
- al trattamento qualora effettuato al fine di invio di materiale
pubblicitario o di vendita diretta o per il compimento di ricerche di
mercato. In tale caso non occorre motivazione.
Come si esercitano i diritti?
• Richiesta rivolta senza formalità al titolare o al responsabile, anche
tramite un incaricato
• Alla richiesta deve essere fornito idoneo riscontro “senza ritardo”
• I dati richiesti sono comunicati:
- oralmente
- offrendoli in visione mediante strumenti elettronici
- trasponendoli su supporto cartaceo o informatico o trasmettendoli
per via telematica, semprechè simili modalità siano state
espressamente richieste
- quando l’estrazione dei dati risulti difficoltosa, mediante
esibizione o consegna in copia degli atti o documenti che li
contengono.
.
Alcune definizioni ……..
Dato personale
Qualsiasi informazione, di ogni tipo (non solo dati
anagrafici o economici ma anche immagini, suoni,
codici identificativi), relativa ad un soggetto, che
possa consentire l’identificazione diretta o indiretta
del soggetto cui il dato si riferisce.
E’ dato personale, in buona sostanza, ciò che
permette di differenziare un soggetto da tutti gli
altri .
Trattamento dei dati personali
QUALUNQUE operazione o complesso di operazioni
effettuati anche senza l’ausilio di strumenti elettronici
concernente:
raccolta, registrazione, organizzazione, conservazione,
consultazione, eleborazione, modificazione, selezione,
estrazione, raffronto, utilizzo, interconnessione, blocco,
comunicazione, diffusione, cancellazione,
distruzione di dati
anche se non registrati in una banca dati
Banca dati
• Insieme di dati (e quindi di informazioni
personali), raccolti in una o più unità di
supporto (cartacee o informatiche), ed
organizzati secondo un criterio determinato
tale da facilitarne il trattamento.
Tipologie di dati
• Dati identificativi: dati personali che
permettono l’identificazione diretta
dell’interessato (nome e cognome, data di
nascita, codice fiscale, ecc.)
• Dati anonimi: dati che in origine o a
seguito di trattamento non possono essere
associati ad un interessato identificato od
identificabile.
.
• Dati sensibili: dati personali, attinenti alla sfera
più intima di ciascun soggetto, per i quali
l’ordinamento appresta una tutela rafforzata.
E’ considerato dato sensibile ogni dato personale idoneo a
rivelare:
- l’origine razziale ed etnica
- le convinzioni religiose, filosofiche o di altro genere
- le opinioni politiche
- l’adesione a partiti, sindacati, associazioni od
organizzazioni a carattere religioso, filosofico, politico o
sindacale.
- lo stato di salute e la vita sessuale.
.
• Dati giudiziari: dati personali idonei a
rivelare procedimenti in materia di
casellario giudiziale, anagrafe delle sanzioni
amministrative da reato, carichi pendenti,
qualità di imputato o di indagato.
Soggetti del trattamento
• TITOLARE
PERSONA FISICA, GIURIDICA, PA, ENTE, ASSOCIAZIONE, CUI COMPETONO
LE DECISIONI IN ORDINE ALLE FINALITA’, ALLE MODALITA’ DI
TRATTAMENTO DI DATI PERSONALI ED AGLI STRUMENTI UTILIZZATI
COMPRESO IL PROFILO INERENTE LA SICUREZZA.
• RESPONSABILE
PERSONA FISICA, GIURIDICA, PA, ENTE, ASSOCIAZIONE PREPOSTO DAL
TITOLARE AL TRATTAMENTO DI DATI PERSONALI
• INCARICATO
PERSONA FISICA AUTORIZZATA A COMPIERE OPERAZIONI DI
TRATTAMENTO DAL TITOLARE O DAL RESPONSABILE
• INTERESSATO
PERSONA FISICA, GIURIDICA, ENTE O ASSOCIAZIONE CUI SI
RIFERISCONO I DATI PERSONALI
Più specificamente...
• Il titolare del trattamento, nel caso degli enti
pubblici, è quindi l’amministrazione nel suo
complesso, non chi la rappresenta.
• Il responsabile del trattamento viene designato
facoltativamente.
Può essere più d’uno (soggetti di diverso livello
gerarchico, per aree materie di interesse, per
competenza tecnica)
I suoi compiti devono essere analiticamente
specificati per iscritto
.
• Gli incaricati del trattamento sono solo e
soltanto persone fisiche, autorizzate a compiere
operazioni di trattamento operanti sotto la diretta
autorità del titolare o del responsabile.
• Devono essere designati per iscritto con
individuazione dell’ambito di trattamento
consentito.
• La designazione può essere anche fatta in maniera
“riassuntiva”, mediante individuazione
dell’ambito di trattamento consentito agli addetti
ad una unità organizzativa e la documentata
preposizione della persona fisica alla stessa.
.
Le regole per tutti i trattamenti
.
I dati personali oggetto di trattamento devono essere:
• trattati in modo lecito e secondo correttezza
• raccolti e registrati per scopi determinati, espliciti e
legittimi
• esatti e, se necessario, aggiornati
• pertinenti, completi e non eccedenti rispetto alle finalità
per le quali sono raccolti e trattati
• conservati in una forma che consenta l’identificazione
dell’interessato per un periodo di tempo non superiore a
quello necessario agli scopi per i quali sono stati raccolti
.
Sanzione per il mancato rispetto di queste
norme
inutilizzabilità dei dati.
L’informativa all’interessato
Deve essere effettuata, oralmente o per iscritto,
all’interessato, e deve comunicare:
– le finalità e le modalità di trattamento
– la natura obbligatoria o facoltativa del conferimento dei
dati
– le conseguenze del rifiuto di rispondere
– i soggetti ai quali i dati personali possono essere
comunicati e l’ambito di diffusione dei dati stessi
– gli estremi identificativi del titolare, o se designato, del
responsabile
Non deve essere fornita se..
• i dati sono trattati in base ad un obbligo previsto
dalla legge, da un regolamento, o dalla
normativa comunitaria
• i dati sono trattati ai fini dello svolgimento delle
investigazioni difensive o per far valere o
difendere un diritto in sede giudiziaria
• comporta un dispiego di mezzi che il Garante
dichiari manifestamente sproporzionati rispetto al
diritto tutelato, ovvero si riveli, a giudizio del
Garante, impossibile
Il consenso al trattamento dei dati
personali
• Deve essere richiesto (e manifestato in forma
scritta se il trattamento riguarda dati sensibili)
qualora il titolare sia un privato o un ente
pubblico economico
• I soggetti pubblici non devono richiedere il
consenso all’interessato (art. 18 TU), salvo
quanto previsto per gli esercenti le professioni
sanitarie e gli organismi sanitari pubblici
(consenso per il trattamento dei dati idonei a
rivelare lo stato di salute)
Le regole per i trattamenti in ambito
pubblico
Il TU disciplina espressamente le attività di
trattamento da parte della Pubblica
Amministrazione, dettando delle regole
particolari ed ulteriori rispetto a quelle previste
per la generalità dei soggetti.
I principi per il trattamento dei dati
nella PA
• Qualunque trattamento di dati personali da parte di
soggetti pubblici è consentito soltanto per lo
svolgimento di funzioni istituzionali
• I soggetti pubblici non devono richiedere il
consenso degli interessati
• Possono comunicare o diffondere i dati
solamente
.
- ad altri soggetti pubblici, se ciò e previsto da
norme di legge o regolamento ovvero, nello
svolgimento di funzioni istituzionali, se è decorso
il termine di 45 giorni dalla “comunicazione” di
cui all’art. 39 TU al Garante, senza che lo stesso
abbia assunto una specifica determinazione
- a privati o Enti pubblici economici solo se
prevista da norme di legge o di regolamento
Il trattamento dei dati nelle università
(titolo VII TU trattamento per scopi storici,
statistici o scientifici)
• Al fine di promuovere e sostenere la ricerca e la
collaborazione in campo scientifico e tecnologico i soggetti
pubblici, ivi comprese le università e gli enti di ricerca,
possono con autonome determinazioni comunicare e
diffondere, anche a privati e per via telematica, dati
relativi ad attività di studio e di ricerca, a laureati,
dottori di ricerca, tecnici e tecnologi, ricercatori, docenti,
esperti e studiosi, con esclusione di quelli sensibili o
giudiziari.
.
• Resta fermo il diritto dell’interessato di opporsi per
motivi legittimi.
• I dati di cui al presente articolo possono essere
successivamente trattati per i soli scopi in base ai quali
sono comunicati o diffusi.
Nessuna novità rispetto a quanto già previsto dal
D.lgs.297/1994 “Testo Unico delle disposizioni legislative
in materia di istruzione”
..
Le misure di sicurezza nel
trattamento dei dati personali
Sicurezza. Perché?
Per garantire che:
• i dati non vadano distrutti o persi anche in
modo accidentale
• che solo le persone autorizzate possano avere
accesso ai dati
• che non siano effettuati trattamenti contrari
alle norme di legge o diversi da quelli per cui i
dati erano stati raccolti.
Le prescrizioni del TU
Titolo V parte I e Disciplinare tecnico
Previsti due tipi di misure di sicurezza:
Misure “minime”:
• Sono previste in via generale dagli artt. 33 e ss TU ed
individuate dal disciplinare tecnico di cui al cd. Allegato
“B” (che sostituisce l’abrogato DPR 318/99)
• Assicurano un livello minimo di protezione dei dati
personali, il cui mancato rispetto costituisce reato.
Non esonerano però da responsabilità civile (risarcimento
del danno), qualora l’evoluzione tecnologica renda
disponibili accorgimenti ulteriori.
.
Misure “idonee”:
• Sono previste dall’ art. 31 TU, idonee al fine di ridurre al
minimo i rischi di distruzione e perdita, anche accidentale,
dei dati, di accesso non autorizzato o di trattamento non
consentito.
• Esonerano anche da responsabilità civile.
Le misure minime di sicurezza
Trattamento effettuato mediante strumenti elettronici:
Sono suddivisibili in tre grandi aree:
• Autenticazione informatica
• Il sistema di autorizzazione
• La protezione di dati e sistemi
a) Autenticazione informatica
Il sistema deve essere dotato di mezzi deputati alla verifica
ed alla convalidazione dell’identità di un soggetto (login)
Garantisce il controllo di chi accede agli elaboratori.
Si realizza tramite le c.d. credenziali di autenticazione:dati
e dispositivi, in possesso di una persona, da questa
conosciuti e ad essa univocamente correlati, utilizzati per
l’autenticazione informatica. (codici d’accesso e parole
chiave o dispositivi non mnemonici es codici biometrici)
Le credenziali sono costituite da qualcosa che
il soggetto :
- conosce (es. parola chiave)
- possiede (es. smart card)
- è (caratteristica biometrica, es. impronta di un dito, del
volto, della retina).
Ad ogni incaricato devono essere assegnate o
associate una o più credenziali per l’autenticazione.
Istruzioni agli incaricati per assicurare la segretezza delle
credenziali
B)Sistema di autorizzazione: successivamente
all’autorizzazione permette al soggetto di trattare
effettivamente i dati.
E’ distinto per profili di autorizzazione, i quali definiscano
in dettaglio le azioni consentite ad ogni classe di incaricati.
La verifica della definizione dei profili deve essere fatta
almeno una volta all’anno.
C)Protezione di dati e sistemi: i dati e i sistemi elettronici
devono essere protetti da accessi non consentiti e
finalizzati alla compromissione della loro sicurezza.
Il TU in proposito impone:
- Adozione di software che contrastino i virus informatici e le altre
tipologie di malware (antivirus), aggiornati almeno semestralmente
- Adozione di misure che prevedano il salvataggio dei dati con cadenza
settimanale (back up)
Qualora il trattamento riguardi dati sensibili e/o giudiziari anche
- Adozione di strumenti che blocchino i tentativi di intrusione
(firewall)
- Messa a punto di strategie di disaster recovery, ossia di un processo
che consenta di ripristinare il funzionamento dei dati in seguito ad
un’inaspettata interruzione del trattamento
- Tecniche di cifratura e separazione dei dati, qualora vengano trattati
dati idonei a rivelare lo stato d salute e la vita sessuale da parte di
organismi sanitari o esercenti le professioni sanitarie.
Il Documento Programmatico sulla sicurezza:
• deve essere redatto da ogni titolare che effettui il
trattamento di dati sensibili e/o giudiziari con
strumenti automatizzati.
• Evidenzia i rischi che incombono sui dati e le
contromisure procedurali, organizzative, logistiche e
tecniche che si intende adottare per minimizzare questi
rischi.
• Delinea la strategia di sicurezza dell’Ente.
• Deve contenere,tra l’altro:
- l’elenco dei trattamenti dei dati personali
- la distribuzione dei compiti e delle responsabilità nell’ambito delle
strutture preposte al trattamento
- l’analisi dei rischi
- le misure da adottare per garantire l’integrità e la disponibilità dei dati
Trattamento effettuato senza l’uso di strumenti
elettronici:
Misure di natura procedurale, organizzativa e logistica.
• Istruzioni scritte agli incaricati finalizzate al controllo e
alla custodia degli atti e dei documenti
• Redazione ed aggiornamento annuale della lista degli
incaricati, con individuazione dell’ambito di trattamento
consentito agli stessi
• Controllo degli accessi agli archivi contenenti dati
sensibili e/o giudiziari.
• Manuale per la Sicurezza ed il corretto
trattamento dei dati nell’Università di
Trieste
• Strumento riassuntivo che individua e precisa il complesso
delle misure organizzative, logistiche, tecniche ed
informatiche adottate nel nostro Ateneo al fine di
assicurare il rispetto delle misure di sicurezza.
• Composto da una parte più specificamente organizzativa
ed una tecnico/pratica ad uso degli incaricati
Le misure organizzative
• Sono responsabili del trattamento dei dati nell’Università
di Trieste i responsabili “pro tempore” delle strutture
didattiche, scientifiche e di servizio in cui si articola
l’Università (Divisioni, Sezioni, Facoltà, Dipartimenti,
Centri Servizi autonomi), con riferimento ai dati trattati
nell’ambito delle unità organizzative alla cui direzione
sono preposti.
Le misure organizzative
Compiti
• assicurarsi che nell’Unità Organizzativa vengano rispettate
le misure minime di sicurezza previste dalla normativa
vigente, nonché le altre misure di sicurezza previste
dall’Ateneo e riassunte nel Manuale
• procedere all’aggiornamento dell’”anagrafe elettronica dei
trattamenti dei dati personali” ogniqualvolta si verifichi
l’esistenza di un nuovo trattamento, la cessazione di uno
precedente, la modifica delle caratteristiche di un
trattamento, ovvero il nuovo ingresso, la cessazione o il
cambiamento di mansioni di uno degli incaricati.
Le misure organizzative
• comunicare alla Rip. Sistema documentale e procedurale
l’eventuale “esternalizzazione” (affidamento all’esterno) di
trattamenti di dati personali al fine della predisposizione
della nomina a responsabili di tali soggetti.
• comunicare alla Rip. Sistema documentale e procedurale
ogni comunicazione di dati personali ad altri soggetti
pubblici, effettuata in qualsiasi modo anche tramite
convenzione, non prevista da norme di legge o di
regolamento ai fini delle necessarie comunicazioni in
merito al Garante
Le misure organizzative
• procedere alla richiesta di rilascio e revoca delle
autorizzazioni all’accesso a banche dati elettroniche
automatizzate.
• impartire istruzioni agli incaricati circa il corretto
trattamento dei dati personali, dando idonea
divulgazione presso gli stessi del presente Manuale
per la sicurezza, con particolare riferimento
all’appendice relativa alle istruzioni operative per gli
incaricati.
Le misure organizzative
• dare idonea diffusione presso i soggetti impegnati in
attività di ricerca del “Codice di deontologia e buona
condotta per i trattamenti di dati personali per scopi
statistici e scientifici”, affinchè le attività medesime
siano svolte nel rispetto dei principi e con
l’osservanza dei criteri ivi indicati.
• fornire, al momento dell’acquisizione dei dati, per il
tramite degli incaricati, ovvero mediante affissione nei
locali aperti al pubblico o ancora mediante l’inserimento in
moduli o formulari, l’informativa di cui all’art. 13 del
Codice agli interessati
Le istruzioni operative
Trattamenti senza l’ausilio di strumenti elettronici
• Utilizzate le chiavi
• Non comunicate dati personali a soggetti non legittimati
• Fate attenzione a come distruggete i documenti
• Raddoppiate le attenzioni se i documenti contengono
dati sensibili o giudiziari
Le istruzioni operative
Trattamenti con strumenti elettronici
•Conservate i dischetti o i compact disk in un luogo sicuro
•Utilizzate le password
•Attenzione alle stampe di documenti riservati
•Non fatevi sbirciare quando digitate le password
•Custodite le password in un luogo sicuro
•Non utilizzate apparecchi non autorizzati
•Non installate programmi non autorizzati
•Applicate con cura le linee guida per la prevenzione da
infezioni di virus
– Linee guida per la prevenzione dei virus
– Usate soltanto programmi provenienti da fonti fidate
– Assicuratevi di non far partire accidentalmente il Vostro
computer da dischetto
– Assicuratevi che il vostro software antivirus sia
aggiornato
– Non diffondete messaggi di provenienza dubbia
– Non partecipate a “catene di S. Antonio” e simili
– Scelta delle password
– Cosa NON fare
– NON dite a nessuno la Vostra password. Ricordate che lo
scopo principale per cui usate una password è assicurare che
nessun altro possa utilizzare le Vostre risorse o possa farlo a
Vostro nome.
– NON scrivete la password da nessuna parte che possa
essere letta facilmente, soprattutto vicino al computer.
– Quando immettete la password NON fate sbirciare a nessuno
quello che state battendo sulla tastiera..
– NON usate il Vostro nome utente. È la password più semplice
da indovinare
– NON usate password che possano in qualche modo essere
legate a Voi come, ad esempio, il Vostro nome, quello di
Vostra moglie/marito, dei figli, del cane, date di nascita,
numeri di telefono etc
– Scelta delle password
– Cosa fare
– Cambiare la password a intervalli regolari
– Usare password lunghe almeno sei caratteri con un misto di lettere,
numeri e segni di interpunzione
– Le migliori password sono quelle facili da ricordare ma, allo stesso
tempo, difficili da indovinare, come quelle che si possono ottenere
comprimendo frasi lunghe. La frase “C’era una volta una gatta che
aveva una macchia nera sul muso” può ad esempio fornire, tra le
tante possibilità, “Cr1Vlt1Gtt”
IL TRATTAMENTO DI DATI PARTICOLARI :
I DATI SENSIBILI E GIUDIZIARI
Tre sono le ipotesi in cui i soggetti pubblici possono trattare
legittimamente dati sensibili e giudiziari
a) se il trattamento risulta autorizzato da una espressa
disposizione di legge nella quale siano specificati
•i tipi di dati che possono essere trattati
•i tipi di operazioni eseguibili su tali dati
•le finalità di rilevante interesse pubblico perseguite da questi
trattamenti.
Leggi così specifiche sono molto rare
b) se il trattamento risulta autorizzato da una espressa
disposizione di legge
•che specifica le rilevanti finalità di interesse pubblico
perseguite dal trattamento ma non specifica quali tipi di dati
possono essere trattati e quali operazioni possono essere
eseguite
•l’Ente pubblico deve provvedere a individuare e rendere
pubblici i tipi di dati e di operazioni oggetto del trattamento
tramite un apposito regolamento.
c) se il trattamento non risulta contemplato da alcuna
norma primaria
•l’Ente pubblico può chiedere al Garante di individuare, fra
le attività svolte, quelle che, ad avviso dell’Autorità,
perseguono “finalità di rilevante interesse pubblico”.
•Anche in questo caso l’Ente dovrà provvedere a individuare
e rendere pubblici i tipi di dati e di operazioni oggetto del
trattamento tramite regolamento.
Il regolamento per il trattamento dei dati sensibili e giudiziari
deve essere adottato entro il 31 dicembre 2005.
Gruppo di lavoro CRUI/Università ha elaborato uno
schema tipo, approvato dal Garante.
I
I principi cui deve ispirarsi il trattamento di dati
sensibili e giudiziari nella PA
• I trattamenti devono essere effettuati con modalità volte a
prevenire violazioni dei diritti, delle libertà fondamentali e
della dignità dell’interessato
•possono essere trattati solo i dati sensibili o giudiziari
indispensabili per svolgere attività istituzionali che non
possono essere adempiute mediante il trattamento di dati
comuni
•nell’informativa è necessario fare esplicito riferimento alla
normativa che autorizza il trattamento
I
•deve essere verificata periodicamente l’esattezza,
l’aggiornamento, la pertinenza e l’indispensabilità dei dati
•è necessario adottare tecniche di cifratura per i dati
sensibili o giudiziari contenuti in elenchi o banche dati gestiti
con strumenti elettronici
• i dati sensibili o giudiziari non possono essere trattati
nell’ambito di test psicoattitudinali volti a definire il profilo
o la personalità dell’interessato.
Sono i dati idonei a rivelare lo stato di salute la vita
sessuale.
Essi devono:
•essere conservati separatamente dagli altri dati personali
•essere trattati con tecniche di cifratura
•non possono essere diffusi
I
I dati “sensibilissimi”
I
I rapporti fra il diritto alla riservatezza ed
il diritto di accesso nella PA
I
L. 241/90
Principi di economicità, efficacia,
imparzialità e trasparenza a fondamento del corretto agire
della PA.
Art. 22: E’ riconosciuto a chiunque vi abbia interesse, per la
tutela di situazioni giuridicamente rilevante il diritto di
accesso ai documenti amministrativi
Ma
l’interesse del soggetto a conoscere
determinate informazioni confligge con l’interesse del
soggetto cui le informazioni si riferiscono a tenerle riservate.
Comparazione fra due valori in competizione (trasparenza
e riservatezza) entrambi garantiti dalla Carta
Costituzionale
I
La necessità di un equilibrio
Alcuni punti fermi:
• La legge sulla privacy non può essere invocata
aprioristicamente per negare o limitare in via assoluta il
diritto di accesso
•Piuttosto la legge sulla privacy si pone come fattore
“delimitativo” dell’esercizio dell’accesso sotto il profilo delle
modalità tecniche di esercizio
•E’ necessario effettuare una ponderazione fra i valori in
gioco
•La PA è chiamata a verificare se l’interesse giuridico di chi
chiede l’accesso sia “personale” e “concreto”, e l’ostensione
del documento sia veramente necessaria per la cura di
interessi giuridici del richiedente.
•E’ possibile, per tutelare la riservatezza di terzi, concedere la
visione del documento ma non l’estrazione di copia.
I
Il principio del “pari rango”
Art. 60 TU: qualora la richiesta di accesso riguardi documenti
contenenti dati idonei a rilevare lo stato di salute o la vita
sessuale l’accesso deve essere consentito solo quando la
situazione giuridica che si intende tutelare con la richiesta è
di rango almeno pari ai diritti dell’interessato ovvero
consiste in un diritto della personalità ovvero in un altro
diritto o libertà fondamentale e inviolabile.
Nel caso di documenti contenenti dati sensibili e giudiziari
l’accesso è consentito nei casi in cui sia strettamente
indispensabile e nei casi previsti dall’art. 60 del d.lvo
196/2003, in caso di dati idonei a rivelare lo stato di salute o
la vita sessuale.
I
Art. 24 l. 241/90 (così come modificata dalla l. 15/2005)
Scarica

Dato personale - Università degli Studi di Trieste