IL NUOVO CODICE IN MATERIA DI PROTEZIONE DEI DATI
PERSONALI
Scuola di Formazione ed Aggiornamento del Personale
dell’Amministrazione Giudiziaria
Avv. Riccardo Imperiali
LA TUTELA DELLA PRIVACY:
PRECEDENTI NORMATIVI
LEGGI COMUNITARIE
 Convenzione Europea sui diritti dell’uomo (art. 8);
 Linee guida OCSE del 1980;
 Convenzione di Strasburgo del 1981;
 La Direttiva 95/46/CE.
DISCIPLINA NAZIONALE
sulla tutela dei dati personali
 1 legge organica (L. 675/1996)
 1 delega e più rinnovi (L. 676/1996)
 9 integrazioni o modificazioni, da ultimo,
D.Lgs. 467/2001
 1 D.P.R. sulla sicurezza
 7 autorizzazioni generali
 3 codici deontologici
L’ATTUALE NORMATIVA
• Il D.Lgs. 196 del
30/06/2003 (Testo Unico)
• Futuri codici deontologici
In vigore da
Gennaio 2004
IL D.LGS. 196/2003
“Chiunque ha diritto alla protezione dei dati
personali che lo riguardano” (art.1 TU).
Il nuovo Codice intende garantire che “il
trattamento dei dati personali si svolga nel
rispetto dei diritti, delle libertà
fondamentali, nonché della dignità
dell’interessato, con particolare riferimento
alla riservatezza, all’identità personale ed al
diritto alla protezione dei dati personali”
(art.2 TU).
Entriamo nella Legge:
I CONCETTI ESSENZIALI (1/4)
Il Trattamento dei dati
 una o più tipologie di operazioni
 raccolta, elaborazione, custodia, trasmissione, ecc.
 su categorie di dati
 nominativi, indirizzari, anagrafiche, ecc.
 individuato secondo
 scopi perseguiti
 modalità seguite
I CONCETTI ESSENZIALI (2/4)
 Dato personale
 qualsiasi informazione
 linguaggio, suono o immagine
 su qualunque supporto
 carta, floppy, nastro, etere
 in grado di individuare direttamente o meno
 cifrature, codici, aggregazioni elementari incluse
 persone fisiche o enti
I CONCETTI ESSENZIALI (3/4)
GLI INTERESSATI SONO…
... i soggetti cui si riferiscono i dati
personali trattati
I CONCETTI ESSENZIALI (4/4)
DATI SENSIBILI
e GIUDIZIARI
Definizione tassativa
•Razza ed etnia
•Fede religiosa
•Credo politico
sindacale e filosofico
•Stato di salute
•Vita sessuale
•Casellario giudiziale
•Condizione di indagato
•Condizione di imputato
DATI COMUNI
Categoria residuale
I PRINCIPI DELL’ART.11 TU:
le modalità di raccolta...
 Liceità e Trasparenza del trattamento:
 il Titolare deve far conoscere all’interessato l’intenzione di raccogliere e
registrare i suoi dati
 Il trattamento secondo Correttezza:
 L’interessato non deve essere fuorviato da indicazioni parziali o incomprensibili
I PRINCIPI DELL’ART.11 T.U.:
le modalità di conservazione...
 Il principio di Finalità :
 legittima
 manifesta
 determinata
 Il principio di Qualità dei dati:
 esattezza delle informazioni conservate
 monitoraggio e aggiornamento costante dei
dati
 pertinenza e non eccedenza rispetto alle
finalità
 temporaneità della conservazione
LA PRIVACY PER GLI ENTI PUBBLICI
I PRINCIPI DI LICEITÀ IN AMBITO PUBBLICO
 Il trattamento da parte della P.A. è lecito solo se necessario per il raggiungimento delle
funzioni istituzionali dell’ente e nel rispetto di presupposti e limiti previsti dal T.U.,
nonché da leggi o regolamenti (art. 18 T.U.)
 Il trattamento da parte dei soggetti privati e dagli enti pubblici economici è lecito solo se
l’interessato ha dato il suo consenso (art. 23 T.U.)
REGOLE E …
Il corretto trattamento (art. 22 TU) dei dati sensibili implica:
• l’indicazione della norma di legge nell’informativa da rilasciare
all’interessato;
• il rispetto del principio di essenzialità da valutare in relazione alla
funzione istituzionale;
• la verifica periodica dell’esattezza e dell’aggiornamento dei dati
(procedure);
• la cifratura e l’uso di codici identificativi;
• la conservazione separata dei dati inerenti lo stato di salute e la vita
sessuale (dati ultrasensibili).
DIVIETI
La P.A. non può (art. 22 TU):
• diffondere i dati sanitari;
•utilizzare i dati sanitari nell’ambito di test psicoattitudinali volti a definire il
profilo o la personalità dell’interessato;
• effettuare operazioni di raffronto tra dati sensibili e giudiziari (salvo
annotazione scritta dei motivi);
•non può adottare provvedimenti amministrativi basati su valutazioni o profi
dell’interessato ottenuti in via esclusivamente automatizzata (art. 14 TU).
LA COMUNICAZIONE DEI DATI
La comunicazione o diffusione a SOGGETTI PUBBLICI sono lecite solo se:
- previste da legge, regolamento o comunque se necessarie per lo svolgimento di
funzioni istituzionali, previa comunicazione al Garante.
La comunicazione o diffusione a SOGGETTI PRIVATI sono lecite solo se:
- previste da un’espressa norma di legge o da
regolamento.
IL TRATTAMENTO DEI DATI COMUNI
Le condizioni di liceità previste per il trattamento dei dati comuni da parte
della P. A. sono costituite da:
 rispetto delle funzioni istituzionali;
 rispetto di presupposti e limiti previsti dal T.U., nonché da leggi o
regolamenti.
IL TRATTAMENTO DEI DATI SENSIBILI
E’ legittimo solo se:
 C’è una legge che individua la rilevante finalità di interesse pubblico, i
tipi di dati e le operazioni eseguibili;
 Se una legge individua solo la rilevante finalità di interesse pubblico, i
tipi di dati e le operazioni eseguibili devono essere identificati e resi
pubblici dall’ente con REGOLAMENTO;
 In mancanza di una legge, la rilevante finalità può essere indicata dal
Garante, e l’ente deve identificare e rendere pubblici dati ed operazioni
con REGOLAMENTO.
IL REGOLAMENTO DEI DATI SENSIBILI
TRATTAMENTO DATI SENSIBILI E GIUDIZIARI DA ENTI PUBBLICI
(ART. 20 E 21 T.U.)
Rilevante
interesse
Dati
sensibili
giudiziari
Previsione
di legge
Solo se previsto da specifica disposizione di legge
che dettagli anche i tipi di dati e di operazioni
eseguibili. Detta soluzione consente di trattare
legittimamente anche i dati giudiziari (art. 21 TU)
Tipi di dati
Tipi di
operazioni
TRATTAMENTO DATI SENSIBILI E GIUDIZIARI DA ENTI PUBBLICI
(ART. 20 E 21 T.U.)
Previsione di
legge
Rilevante
interesse
Dati sensibili
giudiziari
Tipi di dati
Con regolamento
Ente individua
Solo se previsto da specifica disposizione di legge con l’ente
che dettagli i tipi di dati e di operazioni eseguibili
Tipi di
operazioni
Aggiornamento e
integrazioni periodici
TRATTAMENTO DATI SENSIBILI DA ENTI PUBBLICI (ART. 20
T.U.)
Previsione di
legge
Dati
sensibili
Con regolamento
Garante
individua
Rilevante
interesse
Ente individua
Tipi di dati
Solo se previsto dal Garante con l’ente che dettagli
anche i tipi di dati e di operazioni eseguibili
Tipi di operazioni
Aggiornamento e
integrazioni periodici
ELEMENTI DEL REGOLAMENTO
Il Regolamento deve indicare:
a)
b)
c)
d)
e)
f)
la denominazione o il tipo di trattamento;
la fonte normativa;
le rilevanti finalità di interesse pubblico perseguite dal trattamento;
i tipi di dati trattati;
le operazioni eseguite;
una sintetica descrizione del trattamento e del flusso informativo.
TERMINE PER L’ADOZIONE DEL REGOLAMENTO
Termine ultimo per l’adozione del Regolamento
– fissato al 30 settembre del 2004 dal Testo Unico – è stato eccezionalmente prorogato al
28 FEBBRAIO 2007
GLI ADEMPIMENTI FORMALI
L’INFORMATIVA (art. 13 TU)
1) Finalità del trattamento;
2) Modalità del trattamento;
3) Conferimento dei dati
- facoltativo o
- obbligatorio;
4) Comunicazione dei dati;
5) Diffusione e trasferimento all’estero;
6) Diritti dell’interessato;
7) Indicazione del Titolare (e del Responsabile)
NOTIFICAZIONE AL GARANTE (artt. 37 ss TU)
Nuovo sistema “in
negativo”
Inizio
Cessazione
3 eventi
e Cessione
Trasferimento
Centrali rischi o
antifrode
Profili
elettronici
5 casi
Dati biometrici
Dati genetici
Servizi sanitari
telematici
Dati sensibili
per ricerca di
personale per
conto terzi
Il Garante può
specificare,
estendere e
circoscrivere
queste casistiche
GLI ADEMPIMENTI ORGANIZZATIVI
IL TITOLARE (art. 28 TU)
• Il Titolare è colui che decide le modalità e le
finalità del trattamento, compreso il profilo
della sicurezza (art. 4 co. 1 lett. f) T.U.);
• In caso di trattamento in ambito pubblico, tale
figura coincide con l’Ente stesso;
• E’ possibile delegare l’esercizio della titolarità
ad una persona fisica.
IL RESPONSABILE (art. 29 TU)
 E’ nominato dal Titolare e deve coincidere con persone fisiche, persone giuridiche, pubbliche o
private, e pubbliche amministrazioni;
 Deve essere scelto tra persone che per capacità, esperienza ed affidabilità, forniscono garanzia
del rispetto della Legge compreso il profilo sulla sicurezza;
 Deve essere designato con uno specifico atto di nomina;
 Può essere nominato anche un soggetto esterno.
L’INCARICATO (art. 30 TU)
 Può essere solo una persona fisica ed è individuato dal Titolare
oppure dal Responsabile, operando sotto la loro diretta
responsabilità;
 E’ colui che materialmente compie operazioni sui dati.
 La designazione è effettuata per iscritto ed individua l’ambito
di trattamento consentito.
LA VISIONE D’INSIEME
CENTRO
DI COMPETENZA
TITOLARE
RESPONSABILE
INTERNO
RESPONSABILE
INTERNO
INCARICATO
INCARICATO
RESPONSABILE
ESTERNO
RESPONSABILE
ESTERNO
INCARICATO
INCARICATO
RESPONSABILE
GESTIONE ISTANZE
INCARICATO
RESPONSABILE
INTERNO
INCARICATO
DIRITTI DELL’INTERESSATO
ESERCIZIO DEI DIRITTI (1/2)
Diritti che l’Interessato può esercitare:
 avere conferma dell’esistenza di dati personali che lo riguardano;
 ricevere la comunicazione in forma intelleggibile dei medesimi dati, della loro origine, della
logica e delle finalità del trattamento … e degli altri elementi elencati per l’informativa;
 ottenere l’aggiornamento, la rettifica, l’integrazione se vi ha interesse;
 la cancellazione ed il blocco dei dati trattati in violazione di legge;
 opporsi al trattamento per motivi legittimi;
 avere l’attestazione che le variazioni richieste siano state trasmesse a coloro ai quali i dati
erano stati comunicati.
ESERCIZIO DEI DIRITTI (2/2)
L’esercizio del diritto:
- in caso di accesso non è richiesta alcuna formalità
- spetta al diretto interessato; oppure
- alla persona cui l’interessato abbia fornito delega con firma autenticata o procura per iscritto.
L’identificazione:
- l’Interessato deve inviare copia di un documento d’identità
La soddisfazione della richiesta:
- la richiesta deve essere soddisfatta entro 15 gg o 30, nei casi di maggiore complessità e previo
avviso all’interessato
- l’Incaricato informa – senza ritardo – l’organo preposto e collabora con esso nel processing
dell’istanza
DIRITTO DI ACCESSO E PRIVACY
PRIVACY E TRASPARENZA DELLA P.A.
 PER LA NORMATIVA A TUTELA DEI DATI PERSONALI:
L’interessato del trattamento ha diritto di ottenere le informazioni relative all’esistenza o
meno di trattamenti rispetto ai propri dati personali (art. 7 T.U);
 PER ASSICURARE LA TRASPARENZA DELL’ATTIVITÀ AMMINISTRATIVA:
Chiunque vi abbia interesse per la tutela di situazioni giuridicamente rilevanti ha diritto di
accedere ai documenti amministrativi (art. 22 l. 241/90 – art. 15 l. 15/05).
PRIVACY E TRASPARENZA DELLA P.A.
 PER LA NORMATIVA A TUTELA DEI DATI PERSONALI (art. 8 T.U.)
I dati sono estratti a cura del Responsabile o degli Incaricati e possono essere
comunicati al richiedente anche oralmente, ovvero offerti in visione tramite
strumenti elettronici.
Solo in caso di estrazione difficoltosa, è possibile l’esibizione o la
consegna in copia di atti e documenti contenenti i dati personali
richiesti.
PRIVACY E TRASPARENZA DELLA P.A.
 PER ASSICURARE LA TRASPARENZA DELL’ATTIVITÀ AMMINISTRATIVA (Legge 15/2005 e
241/90):
Il diritto di accesso nei confronti delle pubbliche amministrazioni si esercita mediante
esame ed estrazione di copia dei documenti amministrativi.
Il diritto di accesso può essere ESCLUSO per tutelare la riservatezza di terzi, garantendo
però la visione degli atti relativi ai procedimenti amministrativi la cui conoscenza è
necessaria per la difesa degli interessi giuridici.
Il diritto di accesso può essere DIFFERITO sino a quando la conoscenza dei documenti
può ostacolare lo svolgimento dell’azione amministrativa.
RISERVATEZZA E ACCESSO
A CONFRONTO
 Il diritto di accesso resta regolamentato dalla Legge 15/2005 (l. 241/90) e relativi
regolamenti, anche per i documenti contenenti dati sensibili e giudiziari.
 Le attività relative all’esercizio del diritto di accesso sono considerate di RILEVANTE
INTERESSE PUBBLICO
 Ma occorre un REGOLAMENTO …
 i trattamenti sono ammessi nel rispetto delle condizioni previste dagli art. 20 e
21 T.U.
L’ACCESSO A DOCUMENTI CON DATI SENSIBILI
 Quando il trattamento riguarda dati idonei a rivelare lo stato di salute o la vita sessuale, la
richiesta di accesso ai documenti amministrativi da parte di soggetti terzi è ammessa se si
intende tutelare una situazione giuridicamente rilevante di rango almeno pari ai diritti
dell’interessato.
L’ACCESSO A DOCUMENTI CON DATI SENSIBILI
• L’accesso è consentito
• se la situazione giuridicamente rilevante che si intende tutelare è di rango
almeno pari ai diritti dell’interessato, ovvero consiste in un diritto della
personalità o in un altro diritto o libertà fondamentale e inviolabile (art. 60
TU);
• se sono rispettate le linee guida indicate dal Garante con il provvedimento
del 9 luglio del 2003.
LE LINEE GUIDA DELL’AUTHORITY...
Si riferiscono alle ipotesi di accesso ai soli dati ultrasensibili (salute e vita
sessuale):
• l’ente che riceve la richiesta di accesso deve effettuare la valutazione del
“pari rango” considerando il diritto sottostante che il richiedente intende far
valere;
• di regola non sono considerati di pari rango i diritti di credito;
• occorre una verifica del rispetto del principio di pertinenza;
• può anche esserci il contraddittorio con l’interessato, il quale può opporsi al
trattamento.
I TRATTAMENTI IN AMBITO GIUDIZIARIO
PROFILI GENERALI
Gli uffici dell’Amministrazione della Giustizia sono Titolari dei trattamenti svolti
nell’esercizio dei loro poteri.
Un decreto del Ministero della Giustizia indica i trattamenti non occasionali ed
automatizzati che riguardano le banche dati centralizzati o interconnesse (art.
46).
TRATTAMENTI PER RAGIONI DI GIUSTIZIA
I trattamenti svolti per ragioni di giustizia - decisione di controversie,
attribuzione dei magistrati, ispezioni - sono esonerati da una parte delle
norme del codice privacy.
Non sussistono ragioni di giustizia per l’attività di amministrazione del personale
e delle risorse (art. 47).
DEROGHE
Gli esoneri riguardano:
 Diritti dell’interessato
 Perché prevale l’interesse pubblico
 Adempimenti:
 Gli uffici giudiziari sono esonerati da informativa, notificazione, richieste di
autorizzazione, obblighi di comunicazione al Garante.
DISCIPLINA APPLICABILE (1/3)
 Principio di necessità:
 Sistemi operativi e programmi informatici specifici configurati in modo da
ridurre al minimo l’uso di dati personali.
 Diritti privacy:
 L’interessato può sollecitare un accertamento del Garante sulla liceità dei
trattamenti, presentando una segnalazione o un reclamo.
 Principi privacy:
 Pertinenza ed essenzialità delle informazioni raccolte.
DISCIPLINA APPLICABILE (2/3)
 Sicurezza e responsabilità per danno:
 Applicazione delle misure di sicurezza minime ed adeguate
 obbligo di risarcimento in caso di violazione della sicurezza e
 sanzioni penali per l’omissione totale o parziale delle misure minime.
 Trasparenza dei dati di notificazione:
 Chiunque può richiedere al Titolare di conoscere il contenuto delle informazioni
che avrebbero formato oggetto di notificazione, anche in assenza dell’obbligo di
notifica al Garante.
DISCIPLINA APPLICABILE (3/3)
 Segnalazioni e reclami al Garante:
 L’interessato deve ricevere un riscontro in relazione all’esito degli
accertamenti promossi.
 Tutela giudiziaria ordinaria e sanzioni:
 E’ possibile adire l’autorità giudiziaria ordinaria avvalendosi del regime
speciale previsto all’art. 152 del Codice Privacy.
BANCHE DATI DI UFFICI GIUDIZIARI
Gli uffici dell’Amministrazione della Giustizia, se la legge lo consente,
 possono accedere via Internet a banche dati di pubblici registri, avvalendosi di
apposite convenzioni, purché nel rispetto del principio di necessità (art. 48)
 E’ il caso, ad esempio, della banca dati degli adottabili (L. 149/01)
NOTIZIE O IMMAGINI RELATIVE A MINORI
È vietato pubblicare o divulgare dati identificativi e immagini di un minore
coinvolto in un procedimento giudiziario, civile o penale (art. 50).
Tale divieto opera per il processo penale, nei procedimenti nel settore famiglia e
delle successioni, nei procedimenti di volontaria giurisdizione del processo
civile (adozione, riconoscimento paternità).
I dati dei minori vanno sempre omessi in sentenza.
ACCESSIBILITA’ ATTI GIUDIZIARI
L’Autorità giudiziaria mette a disposizione di chiunque vi abbia interesse i dati
identificativi dei procedimenti giudiziari seguiti, inserendoli nel proprio sito
Internet (art. 51).
In tal modo è incoraggiato l’inserimento dei dati identificati delle controversie parti, numero del procedimento, giudice - nei siti istituzionali delle Autorità
giudiziarie.
DIFFUSIONE SENTENZE IN INTERNET
È favorita la diffusione dei provvedimenti e delle sentenze via Internet.
Per la pubblicazione occorre tenere presente le regole in tema di omissione delle
generalità, richiesta dall’interessato o applicata d’ufficio.
DATI IDENTIFICATIVI DEGLI INTERESSATI
Su richiesta dell’interessato o per decisione del giudice, si può impedire la
pubblicazione o la divulgazione dei dati identificativi dell’interessato riportati
nella sentenza (art. 52).
Ciò può essere ottenuto mediante deposito di una specifica richiesta nella
cancelleria o nella segreteria dell’ufficio giudiziario che cura il procedimento.
In ogni caso, va impedita l’identificazione di minori o delle parti nelle cause di
famiglia o di stato delle persone.
NOTIFICHE DI ATTI E VENDITE GIUDIZIARIE
Sia nel processo civile sia nel processo penale, la comunicazione di atti
processuali deve avvenire nel pieno rispetto della riservatezza della
persona coinvolta nel procedimento (art. 174).
Tale norma modifica la disciplina prevista nel codice di procedura civile
e penale.
NOTIFICHE IN MATERIA CIVILE
 Consegna in “mani proprie” del destinatario:
 principio prioritario.
 Consegna a terzi:
 la copia è consegnata in busta chiusa e sigillata;
 se ne da atto nella relazione in calce all’originale ed alla copia;
 non devono esservi segni da cui possa desumersi il contenuto dell’atto;
 chi la riceve deve sottoscrivere una ricevuta (non più l’originale).
 Affissione:
 l’avviso è affisso in busta chiusa e sigillata e se ne dà notizia al destinatario con
raccomandata A/R.
ALTRI CASI DI APPLICAZIONE DELLA DISCIPLINA SULLE
NOTIFICAZIONI
 Le descritte modalità di consegna dell’atto a terzi si applicano anche:
 Comunicazioni effettuate con biglietto di cancelleria;
 Intimazione a testi;
 Ingiunzioni e verbali relativi ad illeciti amministrativi e relative sanzioni
pecuniarie;
 Verbali relativi a contravvenzioni al codice della strada;
 Atti del processo amministrativo;
 Atti provenienti da uffici fiscali.
PUBBLICITA’ DEGLI AVVISI ESECUTIVI
In base alle modifiche apportate dal Codice Privacy, quando la legge dispone che
di un atto esecutivo sia data pubblica notizia, è omessa l’indicazione del
debitore.
Nella vendita senza incanto, il cancelliere dà avviso dell’ordine di vendita con
l’avvertimento che maggiori informazioni, anche relative alle generalità del
debitore, possono essere fornite dalla cancelleria del Tribunale a chiunque vi
abbia interesse.
NOTIFICHE IN MATERIA PENALE
 Sostanziale simmetria della disciplina prevista in ambito civile:
 Consegna “in mani proprie” o a terzi.
 Le stesse modalità in caso di consegna del decreto di perquisizione.
 Biglietti o avvisi non in busta chiusa:
 Se a persona diversa dal destinatario recano le informazioni strettamente
necessarie.
 Prima notificazione all’imputato non detenuto:
 Consegna di copia alla persona, in mancanza la disciplina è meno rigorosa di quella
prevista in ambito civile.
LE MISURE DI SICUREZZA
Una questione
certamente attuale
DUE CASI ALLARMANTI!
PROFILI GENERALI DI SICUREZZA
PROTEZIONE
MINIMA
Elenco tassativo basato su
natura dei dati e su 2
scenari:
• trattamenti con strumenti
elettronici
• trattamenti senza
strumenti elettronici
ADEGUATA
Valutazione basata
su:
• progresso tecnico
• natura dei dati
• caratteristiche del
trattamento
MISURE DI SICUREZZA ADEGUATE
• Sono le Misure tecniche, informatiche, organizzative, logistiche e
procedurali di sicurezza che garantiscono un IDONEO LIVELLO DI
PROTEZIONE richiesto in relazione ai rischi.
I dati personali devono essere custoditi e controllati ANCHE in relazione:
• alle conoscenze acquisite in base al progresso tecnico
• alla natura dei dati
• alle specifiche caratteristiche del trattamento
MISURE MINIME DI SICUREZZA
Sono le Misure tecniche, informatiche, organizzative, logistiche e
procedurali di sicurezza che
configurano il LIVELLO MINIMO DI PROTEZIONE
richiesto in relazione ai rischi:
• distruzione o perdita dei dati, anche accidentale
• accesso non autorizzato
• trattamento non consentito
• trattamento non conforme a finalità
Ciascun Titolare è tenuto ad adottare le misure minime individuate nel
Codice, secondo le modalità previste nel Disciplinare Tecnico.
MISURE MINIME DI SICUREZZA
Regole generali
L’indicazione
tassativa delle
misure minime
da adottare è
contenuta negli
artt.34 e 35 del
Codice
Regole di dettaglio
La descrizione
delle modalità
tecniche
richieste per
l’adozione delle
misure minime
è contenuta nel
Disciplinare
tecnico
Il Disciplinare tecnico deve essere aggiornato
periodicamente con Decreto del Ministro di
Giustizia di concerto con il Ministro per le
innovazioni tecnologiche IN RELAZIONE
ALL’EVOLUZIONE TECNICA ED ALL’ESPERIENZA
MATURATA NEL SETTORE
MISURE MINIME PER TRATTAMENTI CON STRUMENTI
ELETTRONICI (art. 34 T.U)
AUTENTICAZIONE INFORMATICA
PROCEDURE DI GESTIONE DELLE
CREDENZIALI DI AUTENTICAZIONE
UTILIZZAZIONE DI UN
SISTEMA DI AUTORIZZAZIONE
AGGIORNAMENTO PERIODICO DELL’AMBITO DI
TRATTAMENTO CONSENTITO AGLI INCARICATI
MISURE MINIME PER TRATTAMENTI CON STRUMENTI
ELETTRONICI (art. 34 T.U)
PROTEZIONE DEGLI STRUMENTI E DEI DATI
RISPETTO A TRATTAMENTI ILLECITI,
AD ACCESSI NON CONSENTITI,
A DETERMINATI PROGRAMMI INFORMATICI
ADOZIONE DI PROCEDURE PER LA CUSTODIA
DI COPIE DI BACKUP, PER IL RIPRISTINO
DEI DATI E DEI SISTEMI
TENUTA ED AGGIORNAMENTO DEL DPS
ADOZIONE DI TECNICHE DI CIFRATURA O
CODICI IDENTIFICATIVI PER DATI SANITARI
ALTRE MISURE DI SICUREZZA
(per trattamenti di dati sensibili e giudiziari)
• Devono essere previste istruzioni organizzative e tecniche per la custodia e
l’utilizzo dei supporti rimovibili (es. cd rom, floppy)
• I supporti, se non utilizzati, vanno distrutti o resi inutilizzabili
•Possono essere riutilizzati se le informazioni contenute non sono intelligibili
o tecnicamente ricostruibili
• In caso di dati o di strumenti elettronici danneggiati, il ripristino
dell’accesso ai dati deve essere garantito in un tempo massimo di 7 giorni
IN AGGIUNTA ALLE MISURE MINIME
(per trattamenti di dati sensibili e giudiziari)
Cifratura dei dati
sensibili e
giudiziari
automatizzati o
utilizzo di codici
identificativi o
soluzioni analoghe
per non consentire
la identificazione
immediata
Identiche
soluzioni per i
dati sulla
salute e vita
sessuale
anche non
automatizzati.
Conservazione
separata dei
dati sulla
salute e la vita
sessuale dai
restanti dati
DOCUMENTO PROGRAMMATICO
SULLA SICUREZZA
 E’ un documento da redigere obbligatoriamente da parte di ciascun
Titolare, in caso di Trattamenti su dati sensibili o giudiziari Effettuato
mediante elaboratori elettronici
 Deve essere predisposto entro il 31 marzo di ogni anno ed allegato alla
relazione di accompagnamento al bilancio di esercizio.
Il DPS ha lo scopo di indicare le misure di sicurezza che il
Titolare adotta a tutela del proprio patrimonio informativo.
SERVIZI DATI IN OUTSOURCING
rapporti tra Titolare e Outsourcer
Il Titolare che si avvale di un soggetto terzo per l’adozione
delle misure minime di sicurezza deve ricevere
dall’installatore una descrizione scritta dell’intervento
effettuato
L’installatore deve attestare la conformità di quanto
installato alle disposizioni del Disciplinare tecnico.
MISURE MINIME PER TRATTAMENTI CON STRUMENTI NON
ELETTRONICI (art. 35 T.U.)
PROCEDURE PER L’IDONEA CUSTODIA DI ATTI
AGGIORNAMENTO PERIODICO DELL’AMBITO DI
TRATTAMENTO CONSENTITO AGLI INCARICATI
PROCEDURE PER LA CONSERVAZIONE DI ATTI
IN ARCHIVI AD ACCESSO SELEZIONATO
INDIVIDUAZIONE MODALITA’ DI ACCESSO PER
L’IDENTIFICAZIONE DEGLI INCARICATI
I PROFILI SANZIONATORI
LE SANZIONI (1/2)
 SANZIONI PENALI da 3 mesi a 3 anni di reclusione a seconda del tipo di reato:
 Illecito trattamento dei dati comuni e dei dati sensibili (reato generico
a dolo specifico)
 Inosservanza dei provvedimenti del Garante
 Mancata adozione delle misure minime di sicurezza
 Falsità nelle notificazioni o nelle dichiarazioni rese al Garante
LE SANZIONI (2/2)
 SANZIONI AMMINISTRATIVE da € 500 a € 60.000 a seconda del tipo di
illecito:
 Omessa o incompleta notificazione
 Omessa o inidonea informativa all’interessato
 Mancato rilascio di informazioni o esibizione della documentazione
richiesta dal Garante
RISARCIMENTO DEL DANNO
 Sia patrimoniale
 Sia non patrimoniale
Grazie per l’attenzione.
Avv. Riccardo Imperiali