UNIVERSITA’ STUDI DI ROMA
“FORO ITALICO”
Corso di Laurea Triennale
INFORMATICA
Lez.9
Univ. Studi di Roma
FORO ITALICO
Prof. Stefano Razzicchia
1
privacy : storia
Esigenza di tutela
2003 - DL 196/2003, Testo Unico
2002 - DL 467/2001, verso il Testo Unico
2000 - DL 318/99
1997 - Nasce la figura di Garante
1996 - Legge 675/96
1995 - Direttiva 95/46/CE dell’UE
2002 - Entra in vigore il DL
1981:
Anni
1985
1995
1997
1996 ’70:
-Convenzione
Convenzione
Direttiva
L’Italia
insedia
dal nord
promulga
95/46/CE
inEuropa
di
Italia,
diStrasburgo
Shengen
sulla
arrivano
2000
- Si
Viene
emanato
illaDL
318/99
1985 - Convenzione di Shengen
467/2001,
che apre
la strada
sulla
le
per
protezione
l’autorità
Legge
prime
laprotezione
soppressione
675/96,
considerazioni
Garante
dei dati
una
delle
per
personali
delle
delle
persone
lasulla
più
frontiere
in
1981 - Convenzione di Strasburgo
verso la definizione di un
relazione
relazione
comuni
dell’UE
Protezione
rigorosepone
introduce
in
alla
tra
ambito
dei
la
gli
elaborazione
dati
crescita
stati
un
UE.
personali.
sistema
membri
dell’utilizzo
Testo Unico sulla privacy.
Anni ’70 - prime considerazioni
automatica
degli strumenti
comune
ancora
non
di informazione
dei
in regola,
dati
informatici
a carattere
come
e la
personale.
garanzia
automatizzata
l’Italia,
davanti
delle
Nasce
libertà
allo
alleilscopo
proprie
concetto
dell’individuo.
di di
dato
reprimere
responsabilità.
sensibile
e prevenire
e si riflette
i reati.Il
sulla
t
1995 1996 1997
Anni ‘70 1981 1985
2000 2002 2003
necessità
trattato esclude
di tutelarsi
il trattamento
dalla
dei
distruzione
dati di carattere
accidentale
personale
dei che
dati.
indicano origine razziale, opinioni
politiche, convinzioni religiose, …
Univ. Studi di Roma
. . . . . . . . .
FORO ITALICO
Prof. Stefano Razzicchia
2
privacy : obiettivi
Tutelare le persone rispetto al trattamento dei propri dati
personali effettuato da terzi.
Porre le informazioni riguardanti le persone fisiche e giuridiche
sotto il “controllo” del proprietario dei dati.
Prevedere il consenso esplicito del proprietario dei dati per la
finalità dell’utilizzo delle informazioni.
Prevedere che chi dispone dei dati ne garantisca riservatezza e
correttezza.
Prevedere la determinazione e la comunicazione al proprietario
dei dati dello scopo per cui i dati sono raccolti e registrati.
Prevedere la conservazione e l’aggiornamento dei dati solo
per il periodo necessario ad effettuare il trattamento.
Univ. Studi di Roma
FORO ITALICO
Prof. Stefano Razzicchia
3
privacy: campo di applicazione
La Legge si applica a:
• trattamenti di dati personali nel territorio dello stato italiano, svolti con o
senza l’ausilio di mezzi elettronici o comunque automatizzati
• trattamenti di dati personali nel territorio dello stato italiano, anche se i dati
sono normalmente detenuti all’estero
La Legge non si applica a:
• soggetti stabiliti in un paese non UE e che usano mezzi situati nel territorio
dello stato italiano solo ed esclusivamente per il transito dei dati attraverso la
UE
Alle persone fisiche che effettuano trattamento, esclusa la comunicazione e la
diffusione dei dati, per fini esclusivamente personali, si applicano solo le norme
inerenti la sicurezza dei dati ed i danni cagionati per effetto del trattamento.
Univ. Studi di Roma
FORO ITALICO
Prof. Stefano Razzicchia
4
privacy: definizioni
Banca dati: qualsiasi complesso di dati personali, ripartito in
una o più unità dislocate in uno o più siti, organizzato secondo
una pluralità di criteri determinati tali da facilitarne il trattamento.
Dato anonimo: il dato che in origine, o a seguito di trattamento,
non può essere associato ad un interessato identificato o
identificabile.
Dato personale: qualunque informazione relativa a persona
fisica, persona giuridica, ente od associazione, identificati o
identificabili, anche indirettamente, mediante riferimento a
qualsiasi altra informazione, ivi compreso un numero di
identificazione personale.
Univ. Studi di Roma
FORO ITALICO
Prof. Stefano Razzicchia
5
privacy: definizioni
Dato sensibile: il dato personale idoneo a rivelare l’origine razziale ed
etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni
politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a
carattere religioso, filosofico, politico o sindacale, nonché i dati
personali idonei a rivelare lo stato di salute e la vita sessuale.
Dato giudiziario: il dato personale idoneo a rivelare i provvedimenti
di cui all’articolo 686, comma 1, lettera a) e d), 2 e 3 del codice di
procedura penale.
Dato particolare: il dato sensibile o il dato giudiziario.
Altri dati particolari (dati quasi sensibili): sono i dati personali il cui
trattamento presenta rischi specifici per i diritti e le libertà fondamentali,
nonché per la dignità dell’interessato.
Univ. Studi di Roma
FORO ITALICO
Prof. Stefano Razzicchia
6
privacy: trattamenti
Trattamento dei dati: qualunque operazione o complesso di
operazioni, svolti con o senza l'ausilio di mezzi elettronici o
comunque automatizzati, concernenti: la raccolta, la registrazione,
l'organizzazione, la conservazione, l'elaborazione, la modificazione,
la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il
blocco, la comunicazione, la diffusione, la cancellazione e la
distruzione dei dati.
Blocco dei dati: la conservazione dei dati, con sospensione
temporanea di ogni altra operazione del trattamento.
Univ. Studi di Roma
FORO ITALICO
Prof. Stefano Razzicchia
7
privacy: trattamenti
Comunicazione dei dati: il dare conoscenza dei dati a uno o più soggetti
determinati diversi dall'interessato, in qualunque forma, anche mediante la
loro messa a disposizione o consultazione.
Diffusione dei dati: il dare conoscenza dei dati a soggetti
indeterminati, in qualunque forma, anche mediante la loro messa a
disposizione o consultazione.
Univ. Studi di Roma
FORO ITALICO
Prof. Stefano Razzicchia
8
privacy: ruoli
Titolare: è la persona fisica, la persona giuridica, la pubblica
amministrazione e qualsiasi altro ente, associazione od
organismo cui competono le decisioni in ordine alle finalità ed alle
modalità del trattamento di dati personali, ivi compreso il profilo
della sicurezza.
Responsabile: è la persona fisica, la persona giuridica, la pubblica
amministrazione e qualsiasi altro ente, associazione od organismo
preposti dal Titolare al trattamento di dati personali, ivi compreso il
profilo della sicurezza.
Incaricati: sono le persone che effettuano le operazioni elementari
di trattamento sotto la diretta autorità del Titolare o del
Responsabile.
Univ. Studi di Roma
FORO ITALICO
Prof. Stefano Razzicchia
9
privacy: ruoli
Amministratore di sistema: è il soggetto cui è conferito il compito
di sovrintendere alle risorse del sistema operativo di un elaboratore
o di un sistema di base dati e di consentirne l’utilizzazione.
Custode delle parole chiave: è il soggetto preposto alla custodia
delle password di accesso ai sistemi informatici o che ha accesso
ad informazioni che concernono le medesime.
Rappresentante nel territorio dello Stato: è il soggetto designato da
quel Titolare che effettua trattamento mediante mezzi situati sul
territorio dello Stato, ma è stabilito nel territorio di un paese non
appartenente alla UE.
Univ. Studi di Roma
FORO ITALICO
Prof. Stefano Razzicchia
10
privacy: ruoli
Interessato: è la persona fisica, la persona giuridica, l'ente o
l'associazione cui si riferiscono i dati personali. È il proprietario dei dati.
Garante per la protezione dei dati personali: autorità che rappresenta
un organo collegiale, formato da quattro membri eletti in pari numero
dalla Camera dei deputati e dal Senato della Repubblica. Il collegio dei
membri elegge, nel suo ambito, un presidente.
• Gestire il registro dei trattamenti
Il Garante ha,
tra gli altri,
i seguenti compiti:
• Controllare la legittimità dei trattamenti
• Gestire i reclami degli interessati
• Denunciare e perseguire le violazioni alla Legge
• Promuovere la conoscenza della Legge
• Bloccare i trattamenti illegali
• Effettuare accertamenti e controlli
• Irrogare sanzioni amministrative
Univ. Studi di Roma
FORO ITALICO
Prof. Stefano Razzicchia
11
privacy: informativa
La Legge prevede che l’Interessato, o proprietario dei dati, sia
preventivamente informato dell’uso che sarà fatto dei suoi dati da parte
del Titolare che si accinge ad effettuare un trattamento.
L’informativa all’Interessato deve contenere almeno le seguenti informazioni:
• finalità e modalità del trattamento cui sono destinati i dati
• natura obbligatoria o facoltativa del conferimento dei dati
• conseguenze di un eventuale rifiuto di fornire i dati
• soggetti o le categorie di soggetti ai quali i dati possono essere comunicati nonche’
l'ambito di diffusione dei dati medesimi
• diritti di cui all'articolo 13 della Legge
• il nome, la denominazione o la ragione sociale e il domicilio, la residenza o la sede del
titolare, del suo rappresentante nel territorio dello Stato e di almeno un responsabile, se
nominato
L’informativa è sempre obbligatoria e non sono previsti casi di
esclusione. È prevista la possibilità di fornire oralmente
l’informativa o di escludere da questa gli elementi già a conoscenza
dell’Interessato.
Univ. Studi di Roma
FORO ITALICO
Prof. Stefano Razzicchia
12
privacy: consenso
In generale, la Legge prevede che il Titolare che si accinge ad effettuare
un trattamento, chieda, preventivamente, il consenso all’Interessato dell’uso
che sarà fatto dei suoi dati.
Il consenso può essere necessario per i seguenti trattamenti:
• comunicazione e diffusione dei dati (art.20)
• trasferimento dei dati all’estero (art.28)
Il consenso è necessario per i seguenti trattamenti:
• trattamento a fini commerciali (art.13)
• trattamento dei dati sensibili (art.22)
Univ. Studi di Roma
FORO ITALICO
Prof. Stefano Razzicchia
13
privacy: consenso
La Legge individua particolari casi di trattamento, nei quali non è obbligatorio
ottenere il consenso dell’Interessato. Ognuno di questi casi deve essere valutato
attentamente di volta in volta, a seconda della tipologia di trattamento effettuato.
Casi di esclusione dal consenso
Il trattamento riguarda dati raccolti e detenuti in base ad un obbligo previsto dalla Legge, da un
regolamento o dalla normativa comunitaria.
Il trattamento è necessario per l'esecuzione di obblighi derivanti da un contratto del quale è parte
l'interessato.
Il trattamento riguarda dati provenienti da pubblici registri, elenchi, atti o documenti conoscibili da
chiunque.
Il trattamento è finalizzato unicamente a scopi di ricerca scientifica o di statistica ed è effettuato nel
rispetto dei codici di deontologia e di buona condotta.
Il trattamento è effettuato nell'esercizio della professione di giornalista e per l'esclusivo perseguimento
delle relative finalità.
Il trattamento riguarda dati relativi allo svolgimento di attività economiche raccolti nel rispetto della
vigente normativa in materia di segreto aziendale e industriale.
Univ. Studi di Roma
FORO ITALICO
Prof. Stefano Razzicchia
14
privacy: consenso
Casi di esclusione dal consenso
IUSM - Prof. S. Razzicchia
Il trattamento è necessario per la salvaguardia della vita o dell'incolumità fisica dell'interessato o di
un terzo, nel caso in cui l'interessato non può prestare il proprio consenso per impossibilità fisica,
per incapacità di agire o per incapacità di intendere o di volere.
Il trattamento è necessario ai fini dello svolgimento delle investigazioni o per far valere o difendere
un diritto in sede giudiziaria.
Il trattamento è relativo a comunicazione effettuata nell'ambito dei gruppi bancari nonché tra
società controllate e società collegate.
Il trattamento è necessario per la salvaguardia di un interesse pubblico rilevante individuato
mediante Legge o Regolamento.
Il trattamento è effettuato in accoglimento di una richiesta di accesso ai documenti amministrativi.
Il trattamento è autorizzato dal Garante sulla base di adeguate garanzie per i diritti dell'interessato,
prestate anche con un contratto.
Univ. Studi di Roma
FORO ITALICO
Prof. Stefano Razzicchia
15
privacy: notificazione
Il Titolare che intenda procedere ad un trattamento di dati personali è
tenuto a darne notificazione al Garante.
Il Garante ha predisposto un modello standard sul sito www.garanteprivacy.it.
Il DL 467/2001 prevede che il Titolare effettui la notificazione solamente
se il trattamento reca pregiudizio ai diritti ed alle libertà dell’interessato,
secondo una casistica individuata da un successivo Regolamento
emanato a cura del Presidente della Repubblica.
Univ. Studi di Roma
FORO ITALICO
Prof. Stefano Razzicchia
16
privacy: diritti
La Legge stabilisce precisi diritti dell’Interessato o proprietario dei dati.
Conoscere dal Garante l’esistenza di trattamenti di dati che
possono riguardarlo mediante accesso al registro delle
notificazioni, nonché le caratteristiche del trattamento dichiarate
nella notificazione.
Ottenere dal Titolare o dal Responsabile informazioni
sull’esistenza di dati che lo riguardano, la cancellazione, la
trasformazione in forma anonima o il blocco dei dati,
l’aggiornamento e la rettifica.
Il Garante ha predisposto un modello standard di istanza per
chiedere l'accesso ai dati personali ai sensi dell'art. 13 della Legge
sul sito www.garanteprivacy.it.
Univ. Studi di Roma
FORO ITALICO
Prof. Stefano Razzicchia
17
privacy: diritti
Opporsi, in tutto o in parte, per motivi legittimi, al trattamento dei
dati personali che lo riguardano, ancorché pertinenti allo scopo
della raccolta.
Opporsi, in tutto o in parte, al trattamento di dati personali che lo
riguardano, previsto a fini di informazioni commerciali o di invio di
materiale pubblicitario o di vendita diretta ovvero per il
compimento di ricerche di mercato o di comunicazione
commerciale interattiva e di essere informato dal titolare, non oltre
il momento in cui i dati sono comunicati o diffusi.
Essere informato dal Titolare della possibilità di esercitare gratuitamente il
diritto precedente.
Univ. Studi di Roma
FORO ITALICO
Prof. Stefano Razzicchia
18
privacy: sanzioni
La Legge prevede sanzioni di tipo amministrativo o penale, a seconda del
tipo di violazione e del danno causato, a seguito dell’inottemperanza del
Titolare, del Responsabile o dell’Incaricato, alle disposizioni contenute
nella Legge stessa.
Art.
Violazione
18
Danni cagionati per effetto del trattamento
di dati personali
Risarcimento dei danni
34
Omessa o incompleta notificazione
Sanzione amministrativa da € 5164,60 a €
30987,40
Pubblicazione ordinanza ingiunzione
35
Mancato consenso
Reclusione sino a due anni, da uno a tre
anni se dal fatto deriva nocumento
35
Comunicazione o diffusione non consentita
Reclusione da tre mesi a due anni, da uno
a tre anni se dal fatto deriva nocumento
36
Omessa adozione delle "misure minime" di
sicurezza (DPR 318/99)
Reclusione sino a due anni oppure
sanzione amministrativa da € 5164,60 a €
41316,60
36
Regolarizzazione della omessa adozione
delle "misure minime" entro un termine
fissato non superiore a sei mesi
Sanzione amministrativa di € 10329,20
Univ. Studi di Roma
FORO ITALICO
Pena
Prof. Stefano Razzicchia
19
privacy: sanzioni
Art.
Violazione
Pena
37
Inosservanza dei provvedimenti del Garante
Reclusione da tre mesi a due anni
37 bis
False dichiarazioni o notificazioni al Garante
Reclusione da sei mesi a tre anni
38
Pena accessoria
Pubblicazione della sentenza
39
Omissione di informazioni o documenti richiesti
dal Garante
Sanzione amministrativa da € 2582,30 a €
15493,70
39
Mancata informativa
Sanzione amministrativa da € 1549,40 a €
9296,20, aumentata fino a tre volte in ragione
delle condizioni economiche del contravventore
39
Mancata informativa per dati particolari
Sanzione amministrativa da € 2582,30 a €
15493,70, aumentata fino a tre volte in ragione
delle condizioni economiche del contravventore
39
Violazione della disposizione dell’interessato
riguardo la comunicazione dei dati inerenti la
salute
Sanzione amministrativa da € 258,20 a € 1549,40
Univ. Studi di Roma
FORO ITALICO
Prof. Stefano Razzicchia
20