UNIVERSITA’ STUDI DI ROMA “FORO ITALICO” Corso di Laurea Triennale INFORMATICA Lez.9 Univ. Studi di Roma FORO ITALICO Prof. Stefano Razzicchia 1 privacy : storia Esigenza di tutela 2003 - DL 196/2003, Testo Unico 2002 - DL 467/2001, verso il Testo Unico 2000 - DL 318/99 1997 - Nasce la figura di Garante 1996 - Legge 675/96 1995 - Direttiva 95/46/CE dell’UE 2002 - Entra in vigore il DL 1981: Anni 1985 1995 1997 1996 ’70: -Convenzione Convenzione Direttiva L’Italia insedia dal nord promulga 95/46/CE inEuropa di Italia, diStrasburgo Shengen sulla arrivano 2000 - Si Viene emanato illaDL 318/99 1985 - Convenzione di Shengen 467/2001, che apre la strada sulla le per protezione l’autorità Legge prime laprotezione soppressione 675/96, considerazioni Garante dei dati una delle per personali delle delle persone lasulla più frontiere in 1981 - Convenzione di Strasburgo verso la definizione di un relazione relazione comuni dell’UE Protezione rigorosepone introduce in alla tra ambito dei la gli elaborazione dati crescita stati un UE. personali. sistema membri dell’utilizzo Testo Unico sulla privacy. Anni ’70 - prime considerazioni automatica degli strumenti comune ancora non di informazione dei in regola, dati informatici a carattere come e la personale. garanzia automatizzata l’Italia, davanti delle Nasce libertà allo alleilscopo proprie concetto dell’individuo. di di dato reprimere responsabilità. sensibile e prevenire e si riflette i reati.Il sulla t 1995 1996 1997 Anni ‘70 1981 1985 2000 2002 2003 necessità trattato esclude di tutelarsi il trattamento dalla dei distruzione dati di carattere accidentale personale dei che dati. indicano origine razziale, opinioni politiche, convinzioni religiose, … Univ. Studi di Roma . . . . . . . . . FORO ITALICO Prof. Stefano Razzicchia 2 privacy : obiettivi Tutelare le persone rispetto al trattamento dei propri dati personali effettuato da terzi. Porre le informazioni riguardanti le persone fisiche e giuridiche sotto il “controllo” del proprietario dei dati. Prevedere il consenso esplicito del proprietario dei dati per la finalità dell’utilizzo delle informazioni. Prevedere che chi dispone dei dati ne garantisca riservatezza e correttezza. Prevedere la determinazione e la comunicazione al proprietario dei dati dello scopo per cui i dati sono raccolti e registrati. Prevedere la conservazione e l’aggiornamento dei dati solo per il periodo necessario ad effettuare il trattamento. Univ. Studi di Roma FORO ITALICO Prof. Stefano Razzicchia 3 privacy: campo di applicazione La Legge si applica a: • trattamenti di dati personali nel territorio dello stato italiano, svolti con o senza l’ausilio di mezzi elettronici o comunque automatizzati • trattamenti di dati personali nel territorio dello stato italiano, anche se i dati sono normalmente detenuti all’estero La Legge non si applica a: • soggetti stabiliti in un paese non UE e che usano mezzi situati nel territorio dello stato italiano solo ed esclusivamente per il transito dei dati attraverso la UE Alle persone fisiche che effettuano trattamento, esclusa la comunicazione e la diffusione dei dati, per fini esclusivamente personali, si applicano solo le norme inerenti la sicurezza dei dati ed i danni cagionati per effetto del trattamento. Univ. Studi di Roma FORO ITALICO Prof. Stefano Razzicchia 4 privacy: definizioni Banca dati: qualsiasi complesso di dati personali, ripartito in una o più unità dislocate in uno o più siti, organizzato secondo una pluralità di criteri determinati tali da facilitarne il trattamento. Dato anonimo: il dato che in origine, o a seguito di trattamento, non può essere associato ad un interessato identificato o identificabile. Dato personale: qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale. Univ. Studi di Roma FORO ITALICO Prof. Stefano Razzicchia 5 privacy: definizioni Dato sensibile: il dato personale idoneo a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale. Dato giudiziario: il dato personale idoneo a rivelare i provvedimenti di cui all’articolo 686, comma 1, lettera a) e d), 2 e 3 del codice di procedura penale. Dato particolare: il dato sensibile o il dato giudiziario. Altri dati particolari (dati quasi sensibili): sono i dati personali il cui trattamento presenta rischi specifici per i diritti e le libertà fondamentali, nonché per la dignità dell’interessato. Univ. Studi di Roma FORO ITALICO Prof. Stefano Razzicchia 6 privacy: trattamenti Trattamento dei dati: qualunque operazione o complesso di operazioni, svolti con o senza l'ausilio di mezzi elettronici o comunque automatizzati, concernenti: la raccolta, la registrazione, l'organizzazione, la conservazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione dei dati. Blocco dei dati: la conservazione dei dati, con sospensione temporanea di ogni altra operazione del trattamento. Univ. Studi di Roma FORO ITALICO Prof. Stefano Razzicchia 7 privacy: trattamenti Comunicazione dei dati: il dare conoscenza dei dati a uno o più soggetti determinati diversi dall'interessato, in qualunque forma, anche mediante la loro messa a disposizione o consultazione. Diffusione dei dati: il dare conoscenza dei dati a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione. Univ. Studi di Roma FORO ITALICO Prof. Stefano Razzicchia 8 privacy: ruoli Titolare: è la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono le decisioni in ordine alle finalità ed alle modalità del trattamento di dati personali, ivi compreso il profilo della sicurezza. Responsabile: è la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal Titolare al trattamento di dati personali, ivi compreso il profilo della sicurezza. Incaricati: sono le persone che effettuano le operazioni elementari di trattamento sotto la diretta autorità del Titolare o del Responsabile. Univ. Studi di Roma FORO ITALICO Prof. Stefano Razzicchia 9 privacy: ruoli Amministratore di sistema: è il soggetto cui è conferito il compito di sovrintendere alle risorse del sistema operativo di un elaboratore o di un sistema di base dati e di consentirne l’utilizzazione. Custode delle parole chiave: è il soggetto preposto alla custodia delle password di accesso ai sistemi informatici o che ha accesso ad informazioni che concernono le medesime. Rappresentante nel territorio dello Stato: è il soggetto designato da quel Titolare che effettua trattamento mediante mezzi situati sul territorio dello Stato, ma è stabilito nel territorio di un paese non appartenente alla UE. Univ. Studi di Roma FORO ITALICO Prof. Stefano Razzicchia 10 privacy: ruoli Interessato: è la persona fisica, la persona giuridica, l'ente o l'associazione cui si riferiscono i dati personali. È il proprietario dei dati. Garante per la protezione dei dati personali: autorità che rappresenta un organo collegiale, formato da quattro membri eletti in pari numero dalla Camera dei deputati e dal Senato della Repubblica. Il collegio dei membri elegge, nel suo ambito, un presidente. • Gestire il registro dei trattamenti Il Garante ha, tra gli altri, i seguenti compiti: • Controllare la legittimità dei trattamenti • Gestire i reclami degli interessati • Denunciare e perseguire le violazioni alla Legge • Promuovere la conoscenza della Legge • Bloccare i trattamenti illegali • Effettuare accertamenti e controlli • Irrogare sanzioni amministrative Univ. Studi di Roma FORO ITALICO Prof. Stefano Razzicchia 11 privacy: informativa La Legge prevede che l’Interessato, o proprietario dei dati, sia preventivamente informato dell’uso che sarà fatto dei suoi dati da parte del Titolare che si accinge ad effettuare un trattamento. L’informativa all’Interessato deve contenere almeno le seguenti informazioni: • finalità e modalità del trattamento cui sono destinati i dati • natura obbligatoria o facoltativa del conferimento dei dati • conseguenze di un eventuale rifiuto di fornire i dati • soggetti o le categorie di soggetti ai quali i dati possono essere comunicati nonche’ l'ambito di diffusione dei dati medesimi • diritti di cui all'articolo 13 della Legge • il nome, la denominazione o la ragione sociale e il domicilio, la residenza o la sede del titolare, del suo rappresentante nel territorio dello Stato e di almeno un responsabile, se nominato L’informativa è sempre obbligatoria e non sono previsti casi di esclusione. È prevista la possibilità di fornire oralmente l’informativa o di escludere da questa gli elementi già a conoscenza dell’Interessato. Univ. Studi di Roma FORO ITALICO Prof. Stefano Razzicchia 12 privacy: consenso In generale, la Legge prevede che il Titolare che si accinge ad effettuare un trattamento, chieda, preventivamente, il consenso all’Interessato dell’uso che sarà fatto dei suoi dati. Il consenso può essere necessario per i seguenti trattamenti: • comunicazione e diffusione dei dati (art.20) • trasferimento dei dati all’estero (art.28) Il consenso è necessario per i seguenti trattamenti: • trattamento a fini commerciali (art.13) • trattamento dei dati sensibili (art.22) Univ. Studi di Roma FORO ITALICO Prof. Stefano Razzicchia 13 privacy: consenso La Legge individua particolari casi di trattamento, nei quali non è obbligatorio ottenere il consenso dell’Interessato. Ognuno di questi casi deve essere valutato attentamente di volta in volta, a seconda della tipologia di trattamento effettuato. Casi di esclusione dal consenso Il trattamento riguarda dati raccolti e detenuti in base ad un obbligo previsto dalla Legge, da un regolamento o dalla normativa comunitaria. Il trattamento è necessario per l'esecuzione di obblighi derivanti da un contratto del quale è parte l'interessato. Il trattamento riguarda dati provenienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque. Il trattamento è finalizzato unicamente a scopi di ricerca scientifica o di statistica ed è effettuato nel rispetto dei codici di deontologia e di buona condotta. Il trattamento è effettuato nell'esercizio della professione di giornalista e per l'esclusivo perseguimento delle relative finalità. Il trattamento riguarda dati relativi allo svolgimento di attività economiche raccolti nel rispetto della vigente normativa in materia di segreto aziendale e industriale. Univ. Studi di Roma FORO ITALICO Prof. Stefano Razzicchia 14 privacy: consenso Casi di esclusione dal consenso IUSM - Prof. S. Razzicchia Il trattamento è necessario per la salvaguardia della vita o dell'incolumità fisica dell'interessato o di un terzo, nel caso in cui l'interessato non può prestare il proprio consenso per impossibilità fisica, per incapacità di agire o per incapacità di intendere o di volere. Il trattamento è necessario ai fini dello svolgimento delle investigazioni o per far valere o difendere un diritto in sede giudiziaria. Il trattamento è relativo a comunicazione effettuata nell'ambito dei gruppi bancari nonché tra società controllate e società collegate. Il trattamento è necessario per la salvaguardia di un interesse pubblico rilevante individuato mediante Legge o Regolamento. Il trattamento è effettuato in accoglimento di una richiesta di accesso ai documenti amministrativi. Il trattamento è autorizzato dal Garante sulla base di adeguate garanzie per i diritti dell'interessato, prestate anche con un contratto. Univ. Studi di Roma FORO ITALICO Prof. Stefano Razzicchia 15 privacy: notificazione Il Titolare che intenda procedere ad un trattamento di dati personali è tenuto a darne notificazione al Garante. Il Garante ha predisposto un modello standard sul sito www.garanteprivacy.it. Il DL 467/2001 prevede che il Titolare effettui la notificazione solamente se il trattamento reca pregiudizio ai diritti ed alle libertà dell’interessato, secondo una casistica individuata da un successivo Regolamento emanato a cura del Presidente della Repubblica. Univ. Studi di Roma FORO ITALICO Prof. Stefano Razzicchia 16 privacy: diritti La Legge stabilisce precisi diritti dell’Interessato o proprietario dei dati. Conoscere dal Garante l’esistenza di trattamenti di dati che possono riguardarlo mediante accesso al registro delle notificazioni, nonché le caratteristiche del trattamento dichiarate nella notificazione. Ottenere dal Titolare o dal Responsabile informazioni sull’esistenza di dati che lo riguardano, la cancellazione, la trasformazione in forma anonima o il blocco dei dati, l’aggiornamento e la rettifica. Il Garante ha predisposto un modello standard di istanza per chiedere l'accesso ai dati personali ai sensi dell'art. 13 della Legge sul sito www.garanteprivacy.it. Univ. Studi di Roma FORO ITALICO Prof. Stefano Razzicchia 17 privacy: diritti Opporsi, in tutto o in parte, per motivi legittimi, al trattamento dei dati personali che lo riguardano, ancorché pertinenti allo scopo della raccolta. Opporsi, in tutto o in parte, al trattamento di dati personali che lo riguardano, previsto a fini di informazioni commerciali o di invio di materiale pubblicitario o di vendita diretta ovvero per il compimento di ricerche di mercato o di comunicazione commerciale interattiva e di essere informato dal titolare, non oltre il momento in cui i dati sono comunicati o diffusi. Essere informato dal Titolare della possibilità di esercitare gratuitamente il diritto precedente. Univ. Studi di Roma FORO ITALICO Prof. Stefano Razzicchia 18 privacy: sanzioni La Legge prevede sanzioni di tipo amministrativo o penale, a seconda del tipo di violazione e del danno causato, a seguito dell’inottemperanza del Titolare, del Responsabile o dell’Incaricato, alle disposizioni contenute nella Legge stessa. Art. Violazione 18 Danni cagionati per effetto del trattamento di dati personali Risarcimento dei danni 34 Omessa o incompleta notificazione Sanzione amministrativa da € 5164,60 a € 30987,40 Pubblicazione ordinanza ingiunzione 35 Mancato consenso Reclusione sino a due anni, da uno a tre anni se dal fatto deriva nocumento 35 Comunicazione o diffusione non consentita Reclusione da tre mesi a due anni, da uno a tre anni se dal fatto deriva nocumento 36 Omessa adozione delle "misure minime" di sicurezza (DPR 318/99) Reclusione sino a due anni oppure sanzione amministrativa da € 5164,60 a € 41316,60 36 Regolarizzazione della omessa adozione delle "misure minime" entro un termine fissato non superiore a sei mesi Sanzione amministrativa di € 10329,20 Univ. Studi di Roma FORO ITALICO Pena Prof. Stefano Razzicchia 19 privacy: sanzioni Art. Violazione Pena 37 Inosservanza dei provvedimenti del Garante Reclusione da tre mesi a due anni 37 bis False dichiarazioni o notificazioni al Garante Reclusione da sei mesi a tre anni 38 Pena accessoria Pubblicazione della sentenza 39 Omissione di informazioni o documenti richiesti dal Garante Sanzione amministrativa da € 2582,30 a € 15493,70 39 Mancata informativa Sanzione amministrativa da € 1549,40 a € 9296,20, aumentata fino a tre volte in ragione delle condizioni economiche del contravventore 39 Mancata informativa per dati particolari Sanzione amministrativa da € 2582,30 a € 15493,70, aumentata fino a tre volte in ragione delle condizioni economiche del contravventore 39 Violazione della disposizione dell’interessato riguardo la comunicazione dei dati inerenti la salute Sanzione amministrativa da € 258,20 a € 1549,40 Univ. Studi di Roma FORO ITALICO Prof. Stefano Razzicchia 20