CONI Servizi S.p.A.
D. Lgs 196/2003 - Codice in materia di protezione
dei dati personali
Pagina 1
D. Lgs 196/2003 - overview
Indice
►
Concetti generali
►
Principi generali per il trattamento dei dati
►
Adempimenti per la legittimità del trattamento
►
Adempimenti formali
►
Adempimenti strutturali
►
Responsabilita’ e sanzioni
►
allegati
Pagina 2
D. Lgs 196/2003 - overview
Concetti generali
A decorrere dal 1° gennaio 2004 è entrato in vigore il decreto legislativo 30 giugno 2003,
n. 196, definito "Codice in materia di protezione dei dati personali ".
Il nuovo Testo unico ha inteso accorpare ed armonizzare tutte le disposizioni che, a partire dalla
"normativa madre", data dalla legge 31 dicembre 1996, n. 675, avevano dapprima introdotto,
poi modificato e integrato, il principio del diritto alla tutela dei dati personali.
Il codice racchiude in sé, infatti, ciò che in precedenza era contenuto in circa una decina tra
leggi e decreti e un numero considerevole di direttive comunitarie.
Pagina 3
D. Lgs 196/2003 - overview
Concetti generali
Il codice è diviso in tre parti
La prima parte è dedicata alle disposizioni generali, ordinate in modo
da trattare tutti gli adempimenti e le regole del trattamento con
riferimento ai settori pubblico e privato
La seconda parte è dedicata a settori specifici. Essa, oltre a
disciplinare aspetti specifici, introduce la disciplina per il settore
sanitario e quella dei controlli sui lavoratori
La terza parte affronta la materia della tutela amministrativa e
giurisdizionale con il consolidamento delle sanzioni amministrative e
penali e con le disposizioni sull’ufficio del garante
Pagina 4
4
D. Lgs 196/2003 - overview
Concetti generali
Il codice disciplina il trattamento dei dati personali effettuato da
chiunque è stabilito nel territorio dello Stato.
Il trattamento di dati personali effettuato da persone fisiche per fini
esclusivamente personali è soggetto all’applicazione del codice solo se i
dati sono destinati a comunicazione sistematica o a diffusione.
Si applicano in ogni caso le disposizioni in tema di responsabilità e
sicurezza dei dati di cui agli art. 15 e 31
Pagina 5
5
D. Lgs 196/2003 - overview
Concetti generali
“dato personale”
è qualunque informazione relativa a persona fisica, (prima del d.l.201/2011 art 40
c.2 : persona giuridica, ente od associazione), identificata o identificabile, anche in
modo indiretto, mediante riferimento a qualsiasi altra informazione, compreso il
numero di identificazione personale
(Art. 2 Direttiva 95/46/CE “qualsiasi informazione concernente una persona fisica
identificata o identificabile; si considera identificabile la persona che può essere
identificata, direttamente o indirettamente, in particolare mediante riferimento ad un
numero di identificazione o ad uno o più elementi specifici caratteristici della sua
identità fisica, fisiologica, psichica, economica, culturale o sociale”)
Pagina 6
6
D. Lgs 196/2003 - overview
Concetti generali
“dato personale”
(Art. 2 Direttiva 95/46/CE “qualsiasi informazione concernente una persona fisica identificata o identificabile; si
considera identificabile la persona che può essere identificata, direttamente o indirettamente, in particolare mediante
riferimento ad un numero di identificazione o ad uno o più elementi specifici caratteristici della sua identità fisica,
fisiologica, psichica, economica, culturale o sociale”)
Informazioni di natura oggettiva o soggettiva (valutazioni),
Non necessariamente un dato testuale (può trattarsi di un immagine , di registrazione
della voce).
Nei servizi di phone banking la voce del cliente che impartisce istruzioni alla banca è
un dato personale.
I disegni di un bambino riferiti ai genitori possono essere dati personali.
Pagina 7
7
D. Lgs 196/2003 - overview
Concetti generali
“dato personale”
(Art. 2 Direttiva 95/46/CE “qualsiasi informazione concernente una persona fisica identificata o identificabile; si
considera identificabile la persona che può essere identificata, direttamente o indirettamente, in particolare mediante
riferimento ad un numero di identificazione o ad uno o più elementi specifici caratteristici della sua identità fisica,
fisiologica, psichica, economica, culturale o sociale”)
a. Per contenuto: il dato riguarda direttamente una persona (dati contenuti in un
referto medico).
b. Per finalità: il dato è usato per valutare o condizionare i comportamenti (registro
con chiamate effettuate e ricevute).
c. Per risultato: l’uso del dato impatta sui diritti della persona (rilevazione delle
posizione di una persona).
Pagina 8
8
D. Lgs 196/2003 - overview
Concetti generali
“dato personale”
(Art. 2 Direttiva 95/46/CE “qualsiasi informazione concernente una persona fisica identificata o identificabile; si
considera identificabile la persona che può essere identificata, direttamente o indirettamente, in particolare mediante
riferimento ad un numero di identificazione o ad uno o più elementi specifici caratteristici della sua identità fisica,
fisiologica, psichica, economica, culturale o sociale”)
Il parere 4/2007 del Gruppo art.29 evidenzia che la direttiva si riferisce alle persone
fisiche ma che gli stati membri possono estendere la protezione alle persone giuridiche
come è accaduto in Italia fino al d.l.201/2011
Il dato personale non fa riferimento alla riservatezza (diritto di escludere altri dalla
conoscenza di vicende personali e familiari). I diritti sono distinti. Il dato personale non
è necessariamente riservato (numero di telefono, indirizzo di posta elettronica)
Qualsiasi informazione, riferibile anche indirettamente a qualsiasi soggetto?
Oggetto della legge non è la riservatezza ma il trattamento delle informazioni
Pagina 9
9
D. Lgs 196/2003 - overview
Concetti generali
“dato identificativo e dato anonimo”
Dato identificativo: informazione che permette una identificazione diretta del
soggetto a cui i dati si riferiscono (nome e cognome, ma non il codice fiscale).
Dato anonimo:dato che in origine o a seguito di trattamento non può essere riferito
ad un soggetto identificato o identificabile. Un dato è anonimo se riguarda una persona
fisica che non può essere identificata dal responsabile del trattamento o da altri
prendendo in considerazione i mezzi e gli strumenti che possono essere
ragionevolmente usati (parere 4/2007)
Tale dato è fuori dall’ambito di protezione, tuttavia il parere 2/2010 del Gruppo di
lavoro art.29 sulla pubblicità comportamentale on line ovvero sul monitoraggio del
comportamento degli utenti al fine di realizzare un profilo che prescinde
dall’identificazione dell’utente (tracciamento della navigazione web).
Il Gruppo esprime necessità di tutelare anche il dato anonimo di tracciamento
attraverso informativa e consenso.
Si tutela il trattamento delle informazioni non solo dei dati personali.
Pagina 10
10
D. Lgs 196/2003 - overview
Concetti generali
“dati sensibili”
sono i dati personali idonei a rilevare:
l’origine razziale ed etnica,
le convinzioni religiose, filosofiche o di altro genere,
le opinioni politiche, l’adesione a partiti, sindacati,
l’appartenenza a associazioni od organizzazioni a carattere religioso, filosofico,
politico o sindacale,
lo stato di salute e la vita sessuale
L’elencazione è tassativa, ma elastica (dati idonei a…).
Collegamento potenziale non diretto e attuale: dati che possono consentire di
rivelare, ma che non necessariamente individuano…(es scelte alimentari in mensa
per allergie o religione)
Pagina 11
11
D. Lgs 196/2003 - overview
Concetti generali
“dati sensibili”
I dati atti a rilevare la personalità etico sociale e le caratteristiche psico-sanitarie
sono oggetto di regole particolare nel Codice.
Il concetto è la riferibilità, non la diretta connessione: dati idonei a rilevare…
Per esempio,
Per i privati: la forma scritta per il consenso è richiesto non solo per la sua prova ma
anche per la sua validità e ci si deve attenere alle autorizzazioni generali del Garante
(art.26 c1)
Per i soggetti pubblici: non si richiede il consenso, ma il trattamento deve essere
previsto e autorizzato dalla legge (art.20 c1)
Le sanzioni sono più dure: trattamento di dati illeciti se dati sensibili reclusione da 1
a 3 anni, dati personali da 6 mesi a 2 anni (art167)
Pagina 12
12
D. Lgs 196/2003 - overview
Concetti generali
“dati sensibilissimi”
I dati atti a rilevare lo stato di salute e la vita sessuale (parte II, titolo V)
Dati sanitari:quelli che rivelano la malattia o quelli che non rivelano la malattia ma
che rivelano che esiste un problema di salute?
MATERIA RICCA DI ATTI DEL GARANTE
“Linee guida in materia di trattamento di dati personali dei lavoratori per finalità di
gestione del rapporto di lavoro
”Autorizzazione 1/2011 al trattamento dei dati sensibili nei rapporti di lavoro”
“Autorizzazione al trattamento di dati sanitari”
Es. provv 18/06/09. ricorso del dipendente che lamentava che la busta paga recava
in forma esplicita la dicitura “appartenente a categorie svantaggiate”. Accolto.
provv 25/06/09 sul sito web della Prov. di Foggia due determinazioni delle
Risorse Umane su richiesta di riconoscimento di infermità da causa di servizio di
dipendente. Diffusione di dati sensibili è vietata (art 26c.5).
Prescrizione 29/04/09. lo scontrino di acquisto di medicinali emesso a fini fiscali
deve riportare in luogo della denominazione del farmaco il numero di autorizzazione
di messa in commercio
Pagina 13
13
D. Lgs 196/2003 - overview
Concetti generali
“dati giudiziari”
I provvedimenti giudiziari penali di condanna, i provvedimenti giudiziari concernenti
le pene e la riabilitazione, la qualità di imputato e la qualità di indagato.
Equiparati ai dati sensibili.
Il trattamento è consentito solo se autorizzato da legge o provvedimento del garante
che specifici le finalità di rilevante interesse pubblico , i tipi di dati trattati e le
operazioni eseguibili
Pagina 14
14
D. Lgs 196/2003 - overview
Concetti generali
Regime alimentare
mensa
Certificati
medici con
diagnosi
Pagina 15
D. Lgs 196/2003 - overview
Concetti generali
“trattamento”
qualunque operazione o insieme di operazioni, compiute anche senza il supporto
di strumenti elettronici, concernenti la raccolta, la registrazione, l’organizzazione,
la conservazione, la consultazione, l’elaborazione, la modificazione, la selezione,
l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione,
la diffusione, la cancellazione e la distruzione di dati, anche se non sono registrati
in una banca dati
►
Registrazione fatture;
►
Catalogazione dati (anagrafici, fiscali, ecc.);
►
Consultazione e archiviazione fascicoli cartacei;
►
Elaborazione buste paga;
►
Aggiornamento denunce infortuni;
►
Comunicazione dati all’INPS, all’INAIL, a banche, ecc.;
►
Esame e conservazione certificati medici (idoneità al lavoro, malattia);
►
Raccolta dati ai fini della partecipazione a concorsi a premi;
►
Raccolta dati inerenti informazioni commerciali.
Pagina 16
16
D. Lgs 196/2003 - overview
Concetti generali
Per “trattamento” si intende una delle seguenti operazioni, automatizzate o manuali:
Pagina 17
D. Lgs 196/2003 - overview
Concetti generali
I trattamenti di comunicazione e diffusione
A differenza degli altri trattamenti, hanno ricevuto apposite disposizioni normative, per i maggiori rischi in
cui incorrere l’interessato.
Art 19
un soggetto pubblico può comunicare dati ad altro soggetto pubblico solo se previsto da norma di legge o
regolamento o se comunicato al Garante il trattamento (45 gg per la risposta) in caso di finalità istituzionali.
un soggetto pubblico può comunicare dati a soggetto privato o fare diffusione solo se previsto da norma di
legge o regolamento
La comunicazione da parte di un titolare privato deve avvenire sempre attraverso la raccolta del consenso
informato dell’interessato a meno delle circostanze art.24 (obblighi derivanti da un contratto, obbligo di
legge, …)
Art 26
I dati idonei a rilevare lo stato di salute non possono essere diffusi
Art.84
I dati idonei a rivelare lo stato di salute possono essere resi noti all’interessato solo dal medico designato
Linee guida in materia di pubblicazione sul web di atti e documenti amministrativi
es
L’università può comunicare i nominativi dei neolaureati alle imprese solo se previsto da regolamento
Pagina 18
D. Lgs 196/2003 - overview
Concetti generali
La conservazione
Art.11 i dati sono conservati in modo da consentire l’identificazione dell’interessato per un
periodo di tempo non superiore al periodo necessario agli scopi per cui i dati sono raccolti.
Successivamente possono essere conservati con le adeguate garanzie per scopi storici,
statistici o scientifici. Es: “codice di deontologia per trattamenti per scopi statistici o
scientifici” allegato a4, i dati identificativi se possibile devono essere conservati
separatamente dagli altri.
A volte normativa detta limiti specifici:
Provvedimento sulla videosorveglianza, da poche ore a max una settimana , se attività
rischiosa.
Circolare n.61 Ministero Sanità 1986, le cartelle cliniche vanno conservate nella struttura
sanitaria per 40 anni, poi ancora conservate in archivio
………..
Pagina 19
D. Lgs 196/2003 - overview
Concetti generali
“Banca Dati “
Qualsiasi insieme organizzato e finalizzato di dati personali, ripartito in una o più unità
fisiche o logiche, in uno o più siti logistici, finalizzato ad uno o più trattamenti.
Ad es: archivio cartaceo risorse umane, database delle anagrafiche dei dipendenti, registro
visitatori, archivio fatture ufficio amministrazione, ecc.
Archivio cartaceo
Pagina 20
D. Lgs 196/2003 - overview
Archivio elettronico
Concetti generali
“titolare”
è la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi
altro ente, associazione od organismo cui competono, anche unitamente ad altro
titolare, le decisioni relative alle finalità, alle modalità del trattamento dei dati
personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza
L’art. 28 specifica che per titolare deve intendersi l’entità nel suo complesso o l’unità od
organismo periferico che esercita un potere decisionale del tutto autonomo sulle
finalità e modalità del trattamento.
CONI Servizi S.p.A. è Titolare del trattamento dei dati dei propri dipendenti,
fornitori, clienti, ecc.
Pagina 21
21
D. Lgs 196/2003 - overview
Concetti generali
“responsabile”
è la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi
altro ente, associazione od organismo preposti dal titolare al trattamento di dati
personali
La nomina del responsabile non è obbligatoria, ma se effettuata, essa deve
concernere soggetti che forniscano idonea garanzia del rispetto delle disposizioni
in materia di trattamento dei dati personali. Il responsabile opera attenendosi
alle istruzioni impartite dal titolare il quale, anche mediante verifiche, vigila sulla
puntuale osservanza delle disposizioni;
E’ individuato tra i soggetti che per esperienza, capacità e affidabilità
garantiscono la capacità di sovrintendere alle operazioni di trattamento dei dati.
Tale figura non è prevista dalla direttiva europea 95/46/CE
Pagina 22
22
D. Lgs 196/2003 - overview
Concetti generali
“incaricati”
sono le persone fisiche autorizzate ad effettuare operazioni di trattamento dal
titolare dei dati o dal responsabile
Pagina 23
23
D. Lgs 196/2003 - overview
Concetti generali
Incaricato
 La persona fisica autorizzata a compiere operazioni di trattamento dal titolare o dal
responsabile. L’incaricato, designato per iscritto, deve attenersi alle istruzioni ricevute
dal titolare o dal responsabile, i quali hanno un obbligo di vigilanza sul loro operato;

L’ambito di operatività dell’Incaricato è predeterminato per iscritto, risulta dalla nomina,
ovvero dall’assegnazione dell’Incaricato alla funzione;

L’Incaricato opera sotto la diretta autorità del Titolare (CONI Servizi S.p.A.) o del
Responsabile.

Tutti i dipendenti di CONI Servizi S.p.A. che trattano dati personali di terzi (con
strumenti elettronici o cartacei), sono incaricati;

Gli incaricati sono i soggetti che, nella pratica:
Raccolgono i
dati
Pagina 24
Elaborano i dati con procedure
informatiche o manuali
Li comunicano
D. Lgs 196/2003 - overview
Li diffondono
Li archiviano
Concetti generali
“interessato”
è la persona fisica (prima del d.l.201/2011 art 40 c.2: la persona giuridica,
l’ente o l’associazione) cui si riferiscono i dati personali
Pagina 25
25
D. Lgs 196/2003 - overview
Concetti generali
“comunicazione”
portare a conoscenza dei dati personali ,in qualsiasi forma, anche attraverso la loro
messa a disposizione o consultazione, uno o più soggetti determinati anche nella
specie diversi da:
l’interessato,
il titolare,
il responsabile,
gli incaricati.
Esempi:
►
►
Costituisce comunicazione l’invio di dati personali all’I.N.P.S. per gli adempimenti previdenziali;
Costituisce comunicazione l’invio alla banca delle coordinate bancarie del dipendente per l’accredito
dello stipendio.
non costituisce comunicazione la trasmissione di dati personali ai colleghi del proprio o di altri
settori per operazioni attinenti a finalità strettamente lavorative.
Pagina 26
26
D. Lgs 196/2003 - overview
Concetti generali
“diffusione”
consiste nel portare a conoscenza dei dati personali soggetti indeterminati nel
numero e nella specie, in qualunque forma, anche attraverso la loro messa a
disposizione o consultazione
Pagina 27
27
D. Lgs 196/2003 - overview
Principi per il trattamento dei dati
Tali principi sono descritti dall’art 11 del codice:
•Liceità
•Correttezza
•Necessità
•Esattezza
•Pertinenza e non eccedenza
•Aggiornamento e completezza
In caso di violazione dei principi il trattamento si qualifica illecito e:
I dati non possono essere utilizzati (art.11 c2)
Il danno non patrimoniale è risarcibile anche in caso di violazione dell’art 11 (art.15
c2)
Giurisprudenza non univoca: a volte danno in re ipsa ovvero danno nel momento in cui si
realizza la violazione del principio a prescindere dalla prova del danno.
Ciò soprattutto nei casi di danni da informazioni inesatte come quelle che generano segnalazioni
alla centrale rischi della banca d’Italia.
O Se si lede un diritto (es dignità) dell’interessato a prescindere dalla concreta conoscenza di
terzi. Diffusione incontrollata di cartelle cliniche o loro mancata custodia
Pagina 28
28
D. Lgs 196/2003 - overview
Principi per il trattamento dei dati
Liceità
Il trattamento è lecito quando è conforme alla legge ovvero al codice
Correttezza
Richiamo al principio di buona fede. Si preclude la possibilità di acquisire e gestire
dati mediante violenza o frode e richiedendo un dovere di trasparenza
Finalità
Assicurare la rispondenza del trattamento dei dati a finalità individuate specifiche
legittime e rese note all’interessato
La finalità deve essere resa nota nell’informativa
Per i soggetti pubblici, diversamente dai privati, presupposto di legittimità non è il consenso bensi la finalità
istituzionale del trattamento.
Il trattamento per scopi storici, statistici o scientifici è considerato compatibile con le finalità per cui tali dati
erano stati precedentemente raccolti e può essere effettuato anche oltre il periodo di tempo necessario alle finalità
originarie (ci sono codici deontologici al riguardo, allegato A2, A3, A4 al Codice)
Lo stesso dato può essere usato per finalità differenti. Se raccolgo indirizzi di posta elettronica immessi on line
da utenti per finalità relative ad hobby, discussioni su temi specifici e li uso per mandare comunicazioni politiche sto
violando il principio di finalità.
Se un utente pubblica un indirizzo non significa che sia utilizzabile per scopi diversi da quelli per cui è stato
pubblicato
Pagina 29
29
D. Lgs 196/2003 - overview
Principi per il trattamento dei dati
Necessità
Il trattamento informatizzato ovvero i programmi informatici devono essere configurati in modo
tale da preferire dati anonimi e ridurre al minimo l’utilizzo di dati personali e dati identificativi.
Identificazione solo se necessaria.
Raggiunti gli scopi del trattamento i dati devono essere cancellati o resi anonimi
I dati devono essere raccolti solo se necessari per le finalità del trattamento e conservati per il
periodo di tempo indispensabile
Esattezza
Il titolare deve verificare che i dati trattati siano esatti, corretti e completi (qualità
dell’informazione).
Il trattamento di dati inesatti può comportare una rappresentazione falsa e pregiudizievole
dell’interessato.
L’interessato ha il diritto di richiedere aggiornamento, rettifica e integrazione (art.7)
Pagina 30
30
D. Lgs 196/2003 - overview
Principi per il trattamento dei dati
Pertinenza e non eccedenza
I dati raccolti e trattati devono essere sufficienti per le finalità dichiarate e non eccedenti.
Es. esposizione in bacheca condominiale accessibile anche ad esterni al condominio della
situazione debitoria dei condomini (diffusione)
Es. Test attitudinali nominativi per i dipendenti di un comune ove veniva richiesto giudizio su
azione politica dell’ente e sull’operato dei dirigenti.(più art.8 statuto lavoratori divieto al datore di
lavoro di svolgere indagini sulle opinioni politico sindacali del lavoratore)
Es. i contrassegni comunali per la sosta rilasciate a persone invalide devono contenere i dati
indispensabili ad individuare l’autorizzazione rilasciata e non altre informazioni
Es. diffusione delle delibere su internet. Operare selezione informazioni (2011“Linee guida per
il trattamento dei dati personali contenuti in atti e documenti amministrativi pubblicati
sul web”) art 22 (stato di salute mai diffuso)
ES. Conservazione dei dati. Solo per il periodo di tempo necessario alla finalità.
Ma, “Codice di deontologia per scopi scientifici, statistici…”(allegato A4)
Ma, normative specifiche (circolare Ministero sanità 19 dicembre 1986: cartelle cliniche
conservate a tempo indeterminato, dati traffico abbonati e utenti max 6 mesi da fornitore rete
pubblica di comunicazioni)
Pagina 31
31
D. Lgs 196/2003 - overview
Principi per il trattamento dei dati
Art.11 I dati personali oggetto di trattamento devono essere:
►
trattati in modo lecito e secondo correttezza;
►
raccolti e registrati per scopi determinati, espliciti e legittimi, ed utilizzati in altre operazioni del
trattamento in termini non incompatibili con tali scopi;
►
esatti e, se necessario, aggiornati;
►
pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono stati raccolti o
successivamente trattati;
►
conservati in una forma che consenta l’identificazione dell’interessato per un periodo di tempo
non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente
trattati.
Pagina 32
D. Lgs 196/2003 - overview
Adempimenti per la legittimità del trattamento
Pagina 33
D. Lgs 196/2003 - overview
Adempimenti formali per la legittimità del trattamento
Art.13 “Informativa”
L’interessato o la persona presso la quale sono raccolti i dati personali sono sempre
previamente informati oralmente o per iscritto circa:
1. Le finalità e le modalità del trattamento
2. La natura obbligatoria o facoltativa del conferimento dei dati
3. Le conseguenze di un eventuale rifiuto a rispondere
4. I soggetti o le categorie di soggetti ai quali i dati possono essere comunicati o che possono
venirne a conoscenza come responsabili o incaricati
5. L’ambito e i modi di diffusione
6. I diritti di cui all’art.7
7. Gli estremi identificativi del titolare e almeno un responsabile, se individuato
d.l. 70/2011
Chi riceve cv inviato da chi cerca lavoro non deve più inviare informativa. L’obbligo di fornire
informativa anche oralmente ed in via semplificata (1, 4, 7) scatta in caso di contatto per
colloquio
Pagina 34
34
D. Lgs 196/2003 - overview
Adempimenti formali per la legittimità del trattamento
L’interessato ha diritto di ottenere:





la conferma dell'esistenza o meno di dati personali che lo riguardano;
l'indicazione dell’origine dei dati delle finalità e delle modalità di trattamento, della logica applicata al
trattamento, degli estremi identificativi di responsabili e titolare, dei soggetti a cui i dati possono
essere comunicati;
l'aggiornamento, la rettificazione e l'integrazione dei dati;
la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge;
l'attestazione che queste operazioni sono state portate a conoscenza, anche per quanto riguarda il
loro contenuto.
L’interessato ha diritto di opporsi, in tutto o in parte:

per motivi legittimi al trattamento dei dati personali che lo riguardano, anche se pertinenti allo scopo
della raccolta;

al trattamento di dati personali che lo riguardano a fini di invio di materiale pubblicitario, di vendita
diretta, per il compimento di ricerche di mercato, di comunicazione commerciale.
Pagina 35
D. Lgs 196/2003 - overview
Adempimenti formali per la legittimità del trattamento
Diritti dell’interessato
Come si risponde all’interessato?

Previa verifica della sua identità

Previa verifica dei poteri di rappresentanza della persona delegata

Riscontrando la richiesta senza ritardo e comunque riducendo i tempi di risposta per quanto possibile

Semplificando le modalità di riscontro e agevolando le modalità di accesso ai dati per quanto possibile

Comunicando i dati in forma comprensibile

Evitando la comunicazione di dati di altri Interessati

Rispettando il segreto aziendale
Pagina 36
D. Lgs 196/2003 - overview
Adempimenti formali per la legittimità del trattamento
CONSENSO PER I DATI PERSONALI
Art.23 Il trattamento di dati personali …è ammesso solo con il consenso
dell’interessato
……
Il consenso è validamente prestato solo se:
1.
è espresso liberamente e specificatamente
2.
in riferimento ad un trattamento individuato
3.
è documentato per iscritto
4.
sono state rese le informazioni di cui all’art.13
Per i dati sensibili deve essere manifestato in forma scritta
TUTTAVIA
Pagina 37
37
D. Lgs 196/2003 - overview
Adempimenti formali per la legittimità del trattamento
CONSENSO PER I DATI PERSONALI
Art.24 “casi in cui può essere effettuato trattamento senza consenso”
Il consenso non è richiesto quando il trattamento:
a. è necessario per adempiere ad un obbligo previsto dalla legge, da un regolamento o
dalla normativa comunitaria;
b. è necessario per eseguire obblighi derivanti da un contratto del quale è parte
l’interessato…
c. Riguarda dati provenienti da pubblici registri, elenchi…conoscibili da chiunque…
d. ……
e. è necessario per la salvaguardia della vita o dell’incolumità fisica dell’interessato
f. …è necessario per far valere un diritto in sede giudiziaria…
g. …..
h. è effettuato (ma non comunicazione ne diffusione) da associazioni, enti o organismi senza
scopo di lucro …in riferimento a…aderenti, per il perseguimento di scopi determinati e legittimi
individuati dall’atto costitutivo, lo statuto….con modalità rese note all’atto dell’informativa di
cui all’art.13
INOLTRE
Pagina 38
38
D. Lgs 196/2003 - overview
Adempimenti formali per la legittimità del trattamento
CONSENSO PER I DATI SENSIBILI
Art.26 “garanzie per i dati sensibili”
I dati sensibili possono essere oggetto di trattamento solo:
a. con il consenso scritto dell’interessato;
b. previa autorizzazione del Garante.
……..
I dati sensibili possono essere oggetto di trattamento senza consenso ma previa
autorizzazione del Garante se il trattamento:
a. è effettuato da associazioni, enti…a carattere politico, religioso, filosofico,sindacale…
b. è necessario per la salvaguardia della vita …
c. è necessario per far valere un diritto in sede giudiziaria…(se i dati sono sanitari o sessuali deve
essere un diritto di pari rango)
d. è necessario per adempiere ad obblighi o compiti previsti dalla legge … per la
gestione del rapporto di lavoro, in materia di igiene e sicurezza sul
lavoro..previdenza e assistenza…
I dati idonei a rilevare lo stato di salute non possono essere diffusi.
INOLTRE
Pagina 39
39
D. Lgs 196/2003 - overview
Adempimenti formali per la legittimità del trattamento
CONSENSO PER I DATI SENSIBILI
Le autorizzazioni generali del Garante
1/2012 autorizzazione al trattamento dei dati sensibili nei rapporti di lavoro
2/2012 autorizzazione al trattamento dei dati sullo stato di salute e vita sessuale da
parte di soggetti esercenti le professioni sanitarie
…..
7/2012 autorizzazione al trattamento dei dati giudiziari
Pagina 40
40
D. Lgs 196/2003 - overview
Adempimenti formali per la legittimità del trattamento
CONSENSO PER GLI ENTI PUBBLICI
Art.18“trattamenti effettuati da soggetti pubblici”
Salvo che la Sanità, gli enti pubblici non devono richiedere il consenso, ma il trattamento
è consentito solo per le finalità e le funzioni istituzionali
Se il trattamento riguarda dati sensibili deve essere previsto dalla legge (art.20)
Pagina 41
41
D. Lgs 196/2003 - overview
Adempimenti formali per la legittimità del trattamento
CONSENSO PER DATI GIUDIZIARI
Art.27 “garanzie per i dati giudiziari”
Il trattamento dei dati giudiziari…è consentito solo se autorizzato da espressa disposizione di
legge o provvedimento del garante che specifica le rilevanti finalità di interesse pubblico, i tipi di
dati trattati e le operazioni eseguibili
Pagina 42
42
D. Lgs 196/2003 - overview
Adempimenti formali per la legittimità del trattamento
CONSENSO PER TRASFERIMENTO DEI DATI
Trasferimenti all’interno dell’UE
La circolazione dei dati dentro UE è libera ed è sempre possibile con esclusione dei casi volti ad eludere le
disposizioni in materia di trattamento dei dati personali.
Abuso di diritto ovvero un soggetto esercita un proprio diritto per uno scopo in contrasto con quello per
cui il diritto è riconosciuto.
Trasferimenti in Paesi terzi
Solo se garantiscono adeguato livello di sicurezza (direttiva 95/46/CE e art.45 codice).
L’adeguatezza è valutata in riferimento alla natura dei dati, tecniche utilizzate, misure di sicurezza
adottate, finalità del trattamento.
Il giudizio di adeguatezza è emesso dal Garante del paese da cui i dati provengono (art.44):
A. sulla base di decisioni della Commissione Europea che constatano che:
I. il paese terzo garantisce un livello di protezione adeguato per effetto della sua legislazione o di
accordi e impegni internazionali;
II. alcune clausole contrattuali tipo offrano garanzie sufficienti in caso di inserimento in un
contratto
(la Commissione si è espressa sull’adeguatezza dei trasferimenti verso Svizzera, Ungheria, Canada,
Argentina, Israele,…I trasferimenti verso USA solo se imprese si conformano al ”Safe Harbour”,
un insieme di principi a garanzia del trasferimento.
B. Sulla base di adeguate garanzie individuate con un contratto o mediante regola di condotta nell’ambito
di società appartenenti a medesimo gruppo. Binding Corporate Rules: il garante inglese e francese
hanno approvato le BCR per alcune multinazionali (Accenture, Spencer Stuart, Michelin,..)
Pagina 43
D. Lgs 196/2003 - overview
Adempimenti formali per la legittimità del trattamento
CONSENSO PER TRASFERIMENTO DEI DATI
Trasferimenti in Paesi terzi
E’ possibile inoltre nei seguenti casi (art.43) :
►
►
►
►
►
►
►
►
►
espresso consenso dell’interessato;
esecuzione di obblighi derivanti da un contratto;
salvaguardia di un interesse pubblico rilevante a norma di legge o regolamento;
salvaguardia dell’incolumità fisica o della vita di un terzo;
difesa di un diritto in sede giudiziaria;
accesso a documenti amministrativi o dati riconducibili a pubblico registro;
espressa previsione nei codici di deontologia;
dati riguardanti persone giuridiche, enti o associazioni;
espressa autorizzazione del Garante.
Il trasferimento dei dati verso paesi extra UE è quindi possibile in molteplicità di principi alternativi
tra loro.
Pagina 44
D. Lgs 196/2003 - overview
Adempimenti formali per la legittimità del trattamento
In caso di cessazione, per qualsiasi causa, di un trattamento i dati sono:
►
Distrutti;
►
Ceduti ad altro titolare, purché destinati ad un trattamento in termini compatibili agli scopi per i
quali i dati sono raccolti;
►
Conservati per fini esclusivamente personali e non destinati ad una comunicazione sistematica o alla
diffusione;
►
Conservati o ceduti ad altro titolare, per scopi storici, statistici o scientifici, in conformità alla legge,
ai regolamenti, alla normativa comunitaria e ai codici di deontologia e di buona condotta sottoscritti
ai sensi dell'articolo 12.
Pagina 45
D. Lgs 196/2003 - overview
Adempimenti strutturali
Misure di sicurezza
I dati personali possono assumere formati differenti:
Ne consegue che prerequisito fondamentale per l’adozione delle misure di sicurezza, in
ottemperanza a quanto indicato nell’Allegato B del codice in materia di protezione dei dati
personali, è l’identificazione degli archivi cartacei e delle banche dati elettroniche
contenenti dati personali.
Infatti, le misure di sicurezza variano in funzione della tipologia di dato (personale o
sensibile) e del supporto fisico su cui è custodito (cartaceo o elettronico).
Pagina 46
D. Lgs 196/2003 - overview
Adempimenti strutturali
Obblighi di sicurezza
La sicurezza dei dati personali deve essere affrontata con un approccio integrato:
Giuridico
Organizzativo e procedurale
Tecnico-informatico
Gli obblighi di sicurezza riguardano il titolare, i responsabili e gli incaricati.
Pagina 47
D. Lgs 196/2003 - overview
Adempimenti strutturali
Obblighi di sicurezza
I rischi individuati dal Codice (art 31) sono i seguenti:
Distruzione o perdita
Accesso non autorizzato
Trattamento non conforme alle finalità di raccolta
Trattamento non consentito
I rischi sono relativi sia ai trattamenti cartacei che informatici
Es: accesso non autorizzato degli hackers al sistema informatico ovvero accesso non
autorizzato del personale di pulizia ai fascicoli lasciati sulla scrivania dal dipendente, ma
anche accesso del dipendente al sistema informativo per raccogliere dati per finalità non
collegate o dati estranei alle ragioni di servizio.
Pagina 48
D. Lgs 196/2003 - overview
Adempimenti strutturali
Obblighi di sicurezza
Le definizioni circa la sicurezza si trovano all’art 4 c3
“misure minime” complesso delle misure tecniche, informatiche, organizzative logistiche
e procedurali che configurano il livello minimo di protezione richiesto in relazione ai rischi
individuati dall’art.31
“autenticazione informatica” strumenti informatici o hardware finalizzati a verificare
l’identità del soggetto
“credenziali di autenticazione” dati e dispositivi in possesso di una persona da questi
conosciuti e ad essa univocamente correlati utilizzati per l’autenticazione informatica
Pagina 49
D. Lgs 196/2003 - overview
Adempimenti strutturali
Obblighi di sicurezza
Le misure minime sono descritte dall’art.33,34 e 36 e dall’allegato B.
Il rispetto delle misure minime è sufficiente per adempiere agli obblighi di
sicurezza?
Art. 31
I dati personali sono custoditi e controllati anche in relazione alle conoscenze acquisite in
base al progresso tecnico, alla natura dei dati, alle specifiche caratteristiche del
trattamento, in modo da ridurre al minimo, mediante l’adozione di idonee e preventive
misure di sicurezza, i rischi di distruzione e perdita, di accesso non autorizzato di
trattamento non consentito o non conforme
Aggiornamento costante + valutazione rispetto al rischio
Cosa manca?
Costo- opportunità ovvero valutazione degli oneri economici in relazione al rischio.
Tale valutazione era presente nell’art.17 direttiva 95/46/CE ma non è stata ripresa dal
codice
Pagina 50
D. Lgs 196/2003 - overview
Adempimenti strutturali
Obblighi di sicurezza
Due livelli di sicurezza:
Misure minime (art.33), la cui mancata adozione comporta profili penali (art 169)
Misure idonee (art.31), la cui mancata adozione comporta profili civili ai sensi
dell’art 15 e 2050 cc
Pagina 51
D. Lgs 196/2003 - overview
Adempimenti strutturali
Obblighi di sicurezza
Quali sono le misure minime?
Art.34 strumenti elettronici
Art.35 strumenti non elettronici
Art.34
Autenticazione informatica (attraverso codici, impronte digitali).
Procedure di gestione delle credenziali di autenticazione (password, smart card, token,…) All.b 11
un codice non può essere assegnato ad altri incaricati neppure in tempi diversi.
Le credenziali di autenticazione non utilizzate da almeno 6 mesi vanno disattivate.
Lunghezza password non inferiore a 8 caratteri
Non contiene riferimenti riconducibili facilmente all’incaricato
E’ modificata al primo utilizzo e poi ogni 3/6 mesi (sensibili/personali)
Non è ammessa la parola chiave di gruppo. La password è segreta.
In caso di prolungata assenza dell’incaricato devono essere presenti procedure per assicurare la disponibilità dei dati in
caso di necessità di operatività e sicurezza del sistema. La custodia delle copie delle credenziali è organizzata garantendo
la segretezza e individuando i soggetti incaricati della custodia.
Sistema di autorizzazione All.b 12
Insieme delle informazioni univocamente associate ad una persona che individua i dati a cui essa può accedere e i
trattamenti ad essa consentiti. Quando per gli incaricati sono individuati profili di autorizzazione di ambito differente è
presente un sistema di autorizzazione.
È l’insieme delle procedure e degli strumenti che abilitano l’accesso ai dati in relazione al profilo dell’incaricato.
Almeno annualmente è verificata la necessità di conservazione dei profili
Aggiornamento periodico dell’ambito del trattamento consentito agli incaricati
Protezione degli strumenti e dei dati rispetto a trattamenti illeciti, accessi non consentiti e a
determinati programmi informatici
Aggiornamento semestrale dei software di protezione e degli strumenti elettronici
Custodia copie di sicurezza e ripristino disponibilità
Salvataggio almeno settimanale di dati e conservazione copia in luogo differente
Dps (abrogato d.l. 5/2012)
Pagina 52
D. Lgs 196/2003 - overview
Adempimenti strutturali
Obblighi di sicurezza
La Corte di Cassazione ha affermato la legittimità del licenziamento del dipendente che aveva ceduto a
soggetto estraneo la propria password consentendo accesso alla rete aziendale
Paziente ricoverato ha denunciato con successo struttura sanitaria che aveva lasciato il termosifone
presso la sala infermieri la cartella clinica che conteneva informazioni molto delicate su proprio stato
di salute. Corte di appello aveva respinto perché sala chiusa al pubblico. Cassazione ha ribadito
accesso non selettivo.
Una coppia ha avuto risarcimento del danno (25.000 euro) perché recatasi in banca per un mutuo aveva
notato che i fascicoli dei clienti erano stati lasciati sul davanzale di una finestra accessibile al pubblico
Condomino ha citato l’amministratore perché in bacheca accessibile anche ad esterni erano stati esposti
dati sulla propria situazione debitoria
Sms promozionali sul cellulare senza consenso: condannato l’operatore a 1.000 euro per ciascuno dei 9
sms (danno non patrimoniale, art.11).
Pagina 53
D. Lgs 196/2003 - overview
Documento programmatico sulla
sicurezza
La redazione del DPS era una misura minima prevista dall’Allegato B. Era un documento
che viene redatto dal titolare solo nel caso di trattamenti di dati sensibili e giudiziari
effettuato con strumenti elettronici, entro il 31 marzo di ogni anno e contiene
informazioni riguardo:
Pagina 54
D. Lgs 196/2003 - overview
Adempimenti strutturali
Obblighi di sicurezza
Dati sensibili?
Protezione da accesso abusivo con idonei strumenti elettronici (20)
Istruzioni organizzative e tecniche per la custodia e l’uso di supporti rimovibili
Ripristino dell’accesso ai dati in caso di danneggiamento in tempi compatibili con i diritti degli interessati e
non superiore a 7 giorni
Organismi sanitari devono trattare i dati sensibili in modo disgiunto dagli altri personali.
Accesso limitato agli stessi operatori per quanto necessario
Gli interessati non devono essere identificabili da parte degli operatori che svolgono un trattamento sui
dati tale che non è necessario conoscere l’identità del soggetto, che è conoscibile solo dal ristretto novero
di soggetti per cui è necessario e a cui si è dato un profilo di autorizzazione in tal senso.
Tracciabilità degli accessi e dei logs
Art 22 c 6 e 7
Art 34 c1 lett. H
Allegato B
Autorizzazione generale del Garante n.2
Pagina 55
D. Lgs 196/2003 - overview
Adempimenti strutturali
Obblighi di sicurezza
Art. 35 strumenti non elettronici
Aggiornamento periodico dell’ambito consentito agli incaricati
Procedure di custodia di atti e documenti
Procedura di accesso autorizzato, selettivo e tracciabile agli archivi (soprattutto dati sensibili)
Carattere procedurale delle misure minime
Pagina 56
D. Lgs 196/2003 - overview
Adempimenti strutturali
Obblighi di sicurezza
Art. 35 strumenti non elettronici
Aggiornamento periodico dell’ambito consentito agli incaricati
Procedure di custodia di atti e documenti
Procedura di accesso autorizzato, selettivo e tracciabile agli archivi (soprattutto dati sensibili)
Carattere procedurale delle misure minime
Pagina 57
D. Lgs 196/2003 - overview
Reclamo dell’interessato
Per far valere i suoi diritti l’interessato può rivolgersi al Garante:
 con un reclamo per rappresentare una violazione della disciplina in materia di trattamento dei dati;
 mediante segnalazione per sollecitare un controllo da parte del Garante;
 mediante ricorso.
Il reclamo:
► contiene indicazioni dettagliate dei fatti su cui si fonda e le generalità identificative del titolare, del
responsabile e dell’istante;
► è sottoscritto dall’interessato;
► è presentato al Garante senza formalità e reca in allegato la documentazione utile per la sua
valutazione;
► il garante può predisporre un modello per il reclamo da pubblicare nel Bollettino.
Pagina 58
D. Lgs 196/2003 - overview
Responsabilita’ e Sanzioni
IL GARANTE
Il Garante è un’autorità indipendente prevista nella direttiva 95/46/CE.
E’ un organo collegiale costituito da 4 membri (due eletti dalla Camera e due dal Senato), che eleggono
nel loro ambito il Presidente.
Durano in carica 7 anni e non sono rinnovabili.
Ha un potere generale di controllo e si può avvalere della collaborazione di altri organi dello Stato (GdF)
Esamina i reclami e le segnalazioni e decide sui ricorsi, può prescrivere anche d’ufficio misure
necessarie o opportune per rendere il trattamento conforme e lo può vietare in tutto o in parte se
illecito o non corretto, esprime pareri.
E’ l’organo competente ad irrogare le sanzioni amministrative
Pagina 59
D. Lgs 196/2003 - overview
Responsabilita’ e Sanzioni
ILLECITI AMMINISTRATIVI
REATI PENALI
RESPONSABILITA’ CIVILE
Pagina 60
D. Lgs 196/2003 - overview
Responsabilita’ e Sanzioni
Gli illeciti amministrativi
Omessa o inidonea informativa (art.161)
sanzione: da 6.000 a 36.000 euro
Es: informativa mancante; informativa presente ma poi dati riutilizzati per finalità non prevista; informativa mancante degli
elementi essenziali come il titolare o i soggetti cui possono essere comunicati i dati; informativa poco comprensibile
Cessione dei dati in violazione
art.16 c1 lett.b o di altre disposizioni (art.162)
sanzione: da 10.000 a 60.000 euro
Ai sensi art.16 la cessione è lecita se i dati sono destinati ad un trattamento che abbia finalità compatibili agli scopi per cui
sono stati raccolti.
Violazione dell’art.84 (art.162c2 )
sanzione: da 1.000 a 6.000 euro
Caso in cui non sia un medico a comunicare all’interessato informazioni sanitarie
Trattamento effettuato senza l’adozione delle misure
minime di sicurezza dell’art.33 (art 162 c2 bis)
sanzione: da 10.000 a 120.000 euro
Sanzione può integrare reato penale di cui all’art. 169, ma pare riferirsi alla violazione di misure adottate o alla loro
adozione non conforme
Pagina 61
D. Lgs 196/2003 - overview
Responsabilita’ e Sanzioni
Gli illeciti amministrativi
Violazione art.167
sanzione: da 10.000 a 120.000 euro
Sanzione può integrare reato penale di cui all’art. 167. Trattamento illecito dei dati:
Art.167 Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sè o per altri profitto o
di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli
articoli
18, Principi applicabili a tutti i trattamenti effettuati da soggetti pubblici (Qualunque trattamento di dati personali da parte di
soggetti pubblici è consentito soltanto per lo svolgimento delle funzioni istituzionali….)
19, Principi applicabili al trattamento di dati diversi da quelli sensibili e giudiziari soggetti pubblici
23. Consenso (Il trattamento di dati personali da parte di privati o di enti pubblici economici è ammesso solo con il consenso
espresso dell'interessato)
123 Dati relativi al traffico (fornitori servizi)
126 Dati relativi all’ubicazione (fornitori di servizi)
130. Comunicazioni indesiderate (l'uso di sistemi automatizzati di chiamata o di comunicazione di chiamata senza
l'intervento di un operatore per l'invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di
comunicazione commerciale è consentito con il consenso del contraente o utente)
129. Elenchi di contraenti
……..
segue
Pagina 62
D. Lgs 196/2003 - overview
Responsabilita’ e Sanzioni
Gli illeciti amministrativi
Violazione art.167
sanzione: da 10.000 a 120.000 euro
Sanzione può integrare reato penale di cui all’art. 167. Trattamento illecito dei dati:
Art.167 Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sè o per altri profitto o
di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli
articoli
17. Trattamento che presenta rischi specifici. Il trattamento dei dati diversi da quelli sensibili e giudiziari che presenta rischi
specifici per i diritti e le libertà fondamentali, nonché per la dignità dell'interessato, …è ammesso nel rispetto di misure ed
accorgimenti a garanzia dell'interessato, ove prescritti. 2. Le misure e gli accorgimenti di cui al comma 1 sono prescritti dal Garante …
nell'ambito di una verifica preliminare all'inizio del trattamento, effettuata …anche a seguito di un interpello del titolare.
20. Principi applicabili al trattamento di dati sensibili l trattamento dei dati sensibili da parte di soggetti pubblici è consentito
solo se autorizzato da espressa disposizione di legge
21, Principi applicabili al trattamento di dati giudiziari (soggetti pubblici)
22, soggetti pubblici, commi 8 (i dati idonei a rivelare lo stato di salute non possono essere diffusi) e 11
25. Divieti di comunicazione e diffusione 1. La comunicazione e la diffusione sono vietate, oltre che in caso di divieto disposto dal
Garante o dall'autorità giudiziaria:
a) in riferimento a dati personali dei quali è stata ordinata la cancellazione, ovvero quando è decorso il periodo di tempo indicato
nell'articolo 11, comma 1, lettera e);
b) per finalità diverse da quelle indicate nella notificazione del trattamento, ove prescritta.
2. È fatta salva la comunicazione o diffusione di dati richieste, in conformità alla legge, da forze di polizia, dall'autorità giudiziaria, da
organismi di informazione e sicurezza o da altri soggetti pubblici ai sensi dell'articolo 58, comma 2, per finalità di difesa o di sicurezza
dello Stato o di prevenzione, accertamento o repressione di reati.
26, Garanzie dati sensibili (consenso + autorizzazione, no diffusione dati sensibili)
27 Garanzie dati giudiziari . Il trattamento di dati giudiziari da parte di privati o di enti pubblici economici è consentito soltanto se
autorizzato da espressa disposizione di legge o provvedimento del Garante che specifichino le rilevanti finalità di interesse pubblico del
trattamento, i tipi di dati trattati e di operazioni eseguibili.
45. Trasferimenti vietati
1. Fuori dei casi di cui agli articoli 43 e 44, il trasferimento anche temporaneo fuori del territorio dello Stato, con qualsiasi forma o
mezzo, di dati personali oggetto di trattamento, diretto verso un Paese non appartenente all'Unione europea, è vietato quando
l'ordinamento del Paese di destinazione o di transito dei dati non assicura un livello di tutela delle persone adeguato. Sono valutate
anche le modalità del trasferimento e dei trattamenti previsti, le relative finalità, la natura dei dati e le misure di sicurezza.
….
Pagina 63
D. Lgs 196/2003 - overview
Responsabilita’ e Sanzioni
Gli illeciti amministrativi
Violazione art. 154 c1 lett c e d (art.162 ter)
sanzione: da 30.000 a 180.000 euro
Inosservanza prescrizione sulle misure necessarie o opportune al fine di rendere il trattamento conforme alle disposizioni vigenti, ai
sensi dell'articolo 143 (reclami);
Inosservazione prescrizione divieto di utilizzo o blocco
Integra reato penale (art.170)
Omessa informazione al Garante
o mancata esibizione documenti richiesti(art.164)
sanzione: da 10.000 a 60.000 euro
…..
Se la violazione degli art da 161 a 164 è di minore gravità limiti sanzione diminuiti in misura
pari a 2/5
Se più violazioni della stessa norma o di più norme …sanzione da 50.000 a 300.000 euro
Le sanzioni possono essere aumentate fino al quadruplo se inefficaci in ragione delle
condizioni economiche del contravventore
Se violazione coinvolge numerosi interessati o grave pregiudizio le sanzioni sono pari al
doppio
Pagina 64
D. Lgs 196/2003 - overview
Responsabilita’ e Sanzioni
I reati penali
Trattamento illecito dei dati (art.167)
Dolo specifico di trarre profitto, deve essere cagionato nocumento, violazione articoli richiamati
La giurisprudenza esclude le semplici violazioni formali che producono un vulnus minimo alla privacy del soggetto e non
determinano un danno patrimoniale e non apprezzabile.
Un associato ha preso i dati degli altri associati dal database dell’associazione per invio materiale
pubblicitario senza consenso. La Cassazione ha ritenuto che non si realizzi il nocumento richiesto.
Il direttore di banca ha rilevato all’acquirente di un immobile dati su situazione debitoria dei
venditori.....
Un soggetto ha diffuso via chat il numero di cellullare di un altro soggetto senza consenso. La condotta
è stata posta in essere volontariamente per arrecare un danno e il danno è stato prodotto
Un soggetto ha pubblicato senza consenso su internet le immagini intime di una donna su sito
pornografico, creando danno all’immagine e alla tranquillità della donna
Spamming per scopi commerciali..
Pena: reclusione da 6 a 18 mesi se mero trattamento illecito. Se comunicazione o diffusione da 6 a 24 mesi. D 1 a 3 anni
per casi più gravi (dati sensibili, dati giudiziari, trasferimento vietato all’estero,..)
Falsità nelle dichiarazioni o notificazioni al Garante (art.168)
Chiunque attesta notizie false o produce documenti falsi in un procedimento o nel corso di accertamenti
Pena: da 6 mesi a 3 anni
Omessa adozione delle misure di sicurezza (art.169)
Autori del reato possono essere il titolare (dovere di vigilanza e controllo), il responsabile e l’incaricato (es:custodia
password)
Ravvedimento operoso: Garante da termine per regolarizzare non superiore a 6 mesi. Se ok, si paga un quarto del massimo
della sanzione amministrativa. Adempimento e pagamento estinguono il reato.
Pena: arresto sino a 2 anni
Pagina 65
D. Lgs 196/2003 - overview
Responsabilita’ e Sanzioni
I reati penali
Inosservanza dei provvedimenti del Garante (art.170)
(autorizzazione al trattamento dati sensibili, blocco al trattamento)
Violazioni dell’art.4 e 8 dello Statuto dei Lavoratori (art.171)
Capo II - Annunci di lavoro e dati riguardanti prestatori di lavoro
Art. 113. Raccolta di dati e pertinenza
1. Resta fermo quanto disposto dall'articolo 8 della legge 20 maggio 1970, n. 300.
Capo III - Divieto di controllo a distanza e telelavoro
Art. 114. Controllo a distanza
1. Resta fermo quanto disposto dall'articolo 4 della legge 20 maggio 1970, n. 300.
Pagina 66
D. Lgs 196/2003 - overview
RESPONSABILITA E SANZIONI
Divieto di controllo a distanza dell’attività dei
lavoratori (art.4 Statuto lavoratori)
E’ vietato l’uso di impianti audiovisivi e di altre apparecchiature per finalità di controllo a
distanza dell’attività dei lavoratori (comma 1).
Gli impianti e le apparecchiature di controllo che siano richieste da esigenze
organizzative e produttive ovvero dalla sicurezza del lavoro, ma dai quali derivi anche la
possibilità di controllo a distanza dell’attività dei lavoratori, possono essere installati
soltanto previo accordo con le RSA, oppure con la Commissione Interna. In difetto su
istanza del datore di lavoro, provvede l’Ispettorato del lavoro, dettando, ove occorra, le
modalità per l’uso di tali impianti (comma 2).
Giurisprudenza: controllo a distanza in senso spaziale/temporale, anche mera possibilità
di controllo e ove apparecchiature solo installate ma non ancora funzionanti, anche se
discontinuo e lavoratori preavvertiti (Cass.9211/1997)
Pagina 67
D. Lgs 196/2003 - overview
RESPONSABILITA E SANZIONI
DIVETO DI INDAGINI SULLE OPINIONI
(art. 8 st. lav. – legge 20 maggio 1970, n.300)
E’ fatto divieto al datore di lavoro, ai fini dell’assunzione, come nel corso dello
svolgimento del rapporto di lavoro, di effettuare indagini, anche a mezzo terzi, sulle
opinioni politiche, religiose, sindacali del lavoratore, nonché su fatti non rilevanti
ai fini della valutazione dell’attitudine professionale del lavoratore.
Pagina 68
D. Lgs 196/2003 - overview
Responsabilita’ e Sanzioni
art. 615 ter C.P. accesso abusivo al sistema informatico
Si ha accesso abusivo quando un soggetto si introduce abusivamente in un sistema
informatico protetto da misure di sicurezza o quando un soggetto si mantiene all’interno
del sistema contro la volontà espressa o tacita di chi ha il diritto di escluderlo.
Reclusione fino a 3 anni
Reato di mera condotta
Riguarda sia soggetti estranei all’organizzazione che interni
Ad un lavoratore è stato contestato di aver compiuto un illecito accesso ad una cartella
contenente dati archiviati nel computer di un collega.
Corte Cassazione sezione lavoro – il licenziamento del lavoratore è legittimo poiché
configura responsabilità contrattuale ovvero violazione obbligo di fedeltà (art.2105cc)
Corte Cassazione sezione penale – non si configura accesso abusivo quando si accede a
sistema informatico non protetto
Pagina 69
D. Lgs 196/2003 - overview
Responsabilita’ e Sanzioni
La responsabilità civile
Art. 15. Danni cagionati per effetto del trattamento
1. Chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento
ai sensi dell'articolo 2050 del codice civile.
2. Il danno non patrimoniale è risarcibile anche in caso di violazione dell'articolo 11.
Art. 11. Modalità del trattamento e requisiti dei dati
1. I dati personali oggetto di trattamento sono:
a) trattati in modo lecito e secondo correttezza;
b) raccolti e registrati per scopi determinati, espliciti e legittimi, ed utilizzati in altre operazioni del
trattamento in termini compatibili con tali scopi;
c) esatti e, se necessario, aggiornati;
d) pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono raccolti o
successivamente trattati;
e) conservati in una forma che consenta l'identificazione dell'interessato per un periodo di tempo
non superiore a quello necessario agli scopi per i quali essi sono
stati raccolti o successivamente trattati.
2. I dati personali trattati in violazione della disciplina rilevante in materia di trattamento dei dati
personali non possono essere utilizzati
Art. 2050 Responsabilità per l'esercizio di attività pericolose
Chiunque cagiona danno ad altri nello svolgimento di un'attività pericolosa, per sua natura o per la natura dei
mezzi adoperati, è tenuto al risarcimento, se non prova di avere adottato tutte le misure idonee a evitare il
danno.
L’interessato dimostra l’evento, il danno e il nesso di causa
Al titolare è richiesta prova di misure idonee non minime
Pagina 70
D. Lgs 196/2003 - overview
Allegato:
TRATTAMENTI IN AMBITO SANITARIO
A questi dati è dedicato il Titolo V del codice.
La disciplina si applica al trattamento dei dati inerenti la salute trattati per finalità di cura, diagnosi e
terapia.
La disciplina si basa su tre principi: consenso, informativa e sicurezza
CONSENSO (art.76): è obbligatorio, ancorchè in forma semplificata + autorizzazione del garante ma
a) senza autorizzazione, con il consenso se trattamento indispensabile per finalità
di tutela salute o incolumità interessato (ipotesi di scuola, c’è autorizzazione
generale)
b)senza consenso (ma con autorizzazione garante) e addirittura col rifiuto se la
finalità di tutela della salute e incolumità riguarda un terzo o la collettività
Es: un soggetto si oppone alla comunicazione al partner della notizia riguardante
malattia sessualmente trasmissibile. Tra il bene guridico della tutela della salute e
la riservatezza, il legislatore sceglie il primo.
Caso della “prostituta di Ravenna”, aveva infettato molti clienti ignari. Il giudice
aveva ordinato di rendere pubbliche foto e generalità. Il Garante ha obiettato che la
finalità avrebbe potuto essere perseguita con modalità differenti e più selettive.
Ma legge 135/90 in materia di AIDS, per la comunicazione è necessario consenso
interessato CONTRADDIZIONE LEGISLATIVA
può essere manifestato una volta sola per il complesso dei trattamenti
Anche oralmente, ma con annotazione standard della struttura sanitaria di averlo
ricevuto.
Onere della prova di non averlo dato stà all’interessato
Pagina 71
D. Lgs 196/2003 - overview
LA DIRETTIVA EUROPEA NON PREVEDEVA CONSENSO OBBLIGATORIO PER DIAGNOSTICA E CURE
Allegato:
TRATTAMENTI IN AMBITO SANITARIO
INFORMATIVA:
.
semplificazioni, può essere data per il complesso dei trattamenti di prevenzione,
diagnosi, cura, riabilitazione
può riguardare anche dati raccolti presso terzi
.....
può essere data anche tramite affissione di un cartello
può essere integrata verbalmente se necessario
Si annota l’avvenuta informativa
IL GARANTE HA PRODOTTO UNO SCHEMA DI INFORMATIVA
LA SEMPLIFICAZIONE NON RIGUARDA I CONTENUTI DI CUI ALL’ART 13
Pagina 72
D. Lgs 196/2003 - overview
Allegato:
TRATTAMENTI IN AMBITO SANITARIO
SICUREZZA (art.83):
(no medici generali, no studi medici)
distanze di cortesia
evitare indebita conoscenza da parte di terzi di informazioni su stato di
salute durante colloqui
evitare situazioni promiscuità per le prestazioni sanitarie compresa
documentazione di anamnesi
eliminazione chiamata nominativa
.......
Acceso selettivo ai dati sensibili + separazione tra dati amministrativi personali e dati sensibili
COMUNICAZIONE ART.84 i dati sanitari possono essere comunicati solo da medico designato da
interessato o titolare. Titolare può autorizzare per iscritto personale non medico a
comunicare, che abbia nei propri compiti i rapporti con i pazienti. La ratio non è
tutela privacy ma adeguata rappresentazione al fine di evitare contraccolpi emotivi
REFERTI ON LINE:
linee guida. Deve essere facoltativa e mantenuto accesso tradizionale cartaceo.
informativa + consenso
possibilità di revoca anche in relazione a singoli esami
se comunicazione tramite posta elettronica deve essere convalidato ogni volta
l’indirizzo
SE DATI VALUTATI CRITICI O ELEMENTI DI PREOCCUPAZIONE A GIUDIZIO MEDICO VA PREFERITA
COMUNICAZIOME PERSONALE E DIRETTA
Vanno usati protocolli di comunicazione sicuri (https) , disponibilità max on line 45 gg, sistemi di
autenticazione dell’interessato, se posta elettronica, no body part del messaggio ma file protetto con
password
Pagina 73
D. Lgs 196/2003 - overview
Allegato:
TRATTAMENTI IN AMBITO SANITARIO
Conservazione dati:
Principio finalità
Art.11, non oltre tempo necessario
Circolare Ministero Sanità per cartelle cliniche (40 anni e oltre archivio)
Art.99 “il trattamento dei dati per scopi storici, statistici, scientifici è considerato compatibile con le
finalità per cui sono stati raccolti”, ma adeguate garanzie
Codice Deontologia scopi statistici e scientifici, allegato a4:
finalità deve essere indicata nell’informativa, fin dalla raccolta del dato
Se necessario, va preso consenso
Se possibile dati identificativi separati dagli altri
L’interessato ha diritto a cancellazione, rettifica, integrazione
Criterio soggettivo per applicazione Codice deontologia
la finalità di ricerca deve risultare nello statuto dell’ente.
Il codice non si applica ai trattamenti per scopi statistici e scientifici connessi con attività di
tutela della salute svolte da esercenti professioni sanitarie od organismi sanitari, ovvero con attività
comparabili in termini di significativa ricaduta personalizzata sull'interessato, che restano regolati dalle
pertinenti disposizioni.
Pagina 74
D. Lgs 196/2003 - overview
Allegato:
LAVORO
ESTRATTO DAL PARERE 8/2001 DEL GRUPPO ART.29:
Il controllo e la sorveglianza dei lavoratori rispetto all’uso della posta
elettronica, all’accesso a Internet, alle riprese televisive o ai dati sulla localizzazione
sono soggetti alle norme che tutelano i dati
•Ogni
controllo deve essere una risposta proporzionata del datore di lavoro ai rischi
che corre nel tener conto della riservatezza e di altri interessi legittimi dei lavoratori.
•Tutti
i dati personali detenuti o utilizzati durante i controlli devono essere adeguati,
pertinenti e non eccedenti rispetto alle finalità che giustificano il controllo.
•I
controlli devono essere eseguiti nel modo meno intrusivo possibile
Pagina 75
D. Lgs 196/2003 - overview
Allegato:
LAVORO
Principi base per il controllo degli strumenti
elettronici sul luogo di lavoro
•
Principio di necessità (art. 11.1.b):
i trattamenti devono essere effettuati per finalità determinate, esplicite e legittime
•
Principio di pertinenza e non eccedenza (art.11.1.d):
I dati trattati devono essere pertinenti e non eccedenti rispetto alle finalità per le quali
sono stati raccolti
•Principio
di necessità (art.3 del Codice):
configurazione dei sistemi informativi e programmi informatici in modo da non utilizzare
dati relativi a persone identificabili, quando le finalità del trattamento possono essere
realizzate impiegando solo dati anonimi
•
Principio di correttezza (art.11.1.a):
Trasparenza dei potenziali trattamenti (automatici, invisibili o occulti), le cui caratteristiche
essenziali devono essere rese note ai lavoratori
Pagina 76
D. Lgs 196/2003 - overview