PRIVACY E SICUREZZA
Normativa e adempimenti
Roma, 25 maggio 2004
Piazza Rondanini, 48 - 00186 Roma
Tel. +39 06 68 44 11
Fax +39 06 68 44 13 99
www.crui.it
Privacy e Sicurezza
Normative e adempimenti
Struttura dell’intervento
• Riferimenti normativi
• Il Codice in materia di protezione dei dati personali
• Struttura e definizioni
• Adempimenti/scadenze
• Il codice di deontologia e buona condotta per i trattamenti di dati personali per scopi statistici e
scientifici
Privacy e Sicurezza
Normative e adempimenti
RIFERIMENTI NORMATIVI
Privacy e Sicurezza
Normative e adempimenti
Normative di riferimento antecedenti al codice (1/2)
Normativa
Oggetto
A
Direttiva 95/46/CE del
Parlamento europeo e del
Consiglio, del 24 ottobre
1995
Tutela delle persone fisiche con riguardo al trattamento dei dati
personali, nonché alla libera circolazione di tali dati
B
Legge 31 dicembre 1996, n.
675
Tutela delle persone e di altri soggetti rispetto al trattamento dei
dati personali
C
DPR 28 luglio 1999, n. 318
Regolamento recante norme per l’individuazione delle misure
minime di sicurezza per il trattamento dei dati personali, a norma
dell’art. 15, comma 2, della L. 675/96
Privacy e Sicurezza
Normative e adempimenti
Normative di riferimento antecedenti al codice (2/2)
Normativa
D
Direttiva 97/66/CE del
Parlamento europeo e del
Consiglio, del 15 dicembre
1997
E
D.Lgs. 13 maggio 1998, n.
171
Oggetto
Trattamento dei dati personali e tutela della vita privata nel settore
delle telecomunicazioni
Disposizioni in materia di tutela della vita privata nel settore delle
telecomunicazioni, in attuazione della Direttiva 97/66/CE del
Parlamento europeo e del Consiglio, ed in tema di attività
giornalistica
F
Direttiva 2002/58/CE del
Parlamento europeo e del
Consiglio, del 12 luglio
2002
Trattamento dei dati personali e tutela della vita privata nel
settore delle comunicazioni elettroniche
Privacy e Sicurezza
Normative e adempimenti
Testo Unico
D.Lgs 30 giugno 2003, n. 196 “Codice in materia di protezione dei dati personali”
1
Allegato A – CODICE DI DEONTOLOGIA
a.1 Codice di deontologia relativo al trattamento dei dati personali
nell’esercizio dell’attività giornalistica
a.2 Trattamento dei dati personali per scopi storici
a.3 Trattamento dei dati personali a scopi statistici in ambito sistan
Trattamento dei dati personali a scopi scientifici e statistici (in corso di
pubblicazione)
2
Allegato B – DISCIPLINARE TECNICO
•
3
in materia di misure minime di sicurezza
TAVOLA DI CORRISPONDENZA
•
riferimenti previgenti al Codice in materia di protezione dei dati personali
Privacy e Sicurezza
Normative e adempimenti
ll Garante per la protezione della privacy
Il Garante per la protezione dei dati personali è un’autorità indipendente istituita dalla legge sulla
privacy (legge 31 dicembre 1996 n. 675) per assicurare la tutela dei diritti e delle libertà fondamentali
ed il rispetto della dignità nel trattamento dei dati personali. Da quando è stata istituita,l’autorità ha
emanato diverse deliberazioni tra le quali si segnala:
DELIBERAZIONE DEL 31 MARZO 2004, n.1
Chiarimenti sugli obblighi di notificazione
Opportunità di interlocuzione con il Garante
Sito: www.garanteprivacy.it
Privacy e Sicurezza
Normative e adempimenti
Principi fondamentali 1/2
1
Il Codice in materia di protezione dei dati personali ha un impianto nel quale assume specifica
rilevanza la trama dei principi, da adattare poi alla molteplicità delle situazioni concrete.
Irrobustisce il sistema della protezione dei dati personali, ormai solidamente collocata nel
quadro dei diritti fondamentali. Fa così crescere le garanzie per la libertà delle persone.
Rappresenta il primo esempio, su scala internazionale, di riordino generale di una materia
complessa e mutevole.
2
L’innovazione sul piano dei principi si coglie fin dal primo articolo del Codice, che riproduce il
primo comma dell’art. 8 della Carta dei diritti fondamentali dell’Unione Europea (ora presente
anche nell’articolo 50 del Progetto di Trattato che istituisce una Costituzione per l’Europa):
“Chiunque ha diritto alla protezione dei dati personali che lo riguardano”
3
Il trasferimento di questa norma nel sistema italiano rende non più proponibili interpretazioni
riduttive della protezione dei dati personali, e stabilisce un legame solido tra ordinamento
italiano e ordinamento europeo. E il Legislatore ha voluto ulteriormente ribadire la sua volontà
di considerare la protezione dei dati come un diritto fondamentale, nominandola
esplicitamente nell’art. 2 del Codice
Privacy e Sicurezza
Normative e adempimenti
Testo Unico - principi fondamentali 2/2
1
• Occorre dimensionarsi per assicurare un “elevato
livello di tutela” (art. 2.2 - Testo Unico)
2
• Le modalità adottate devono perseguire la
semplificazione e l’efficacia (art. 2.2 - Testo Unico)
- per l’esercizio dei diritti dell’interessato
- per gli obblighi del titolare
Principi
fondamentali
3
• Adottare sistemi informativi che minimizzino l’uso
di dati personali e identifichino l’interessato solo
quando necessario (art. 3.1 - Testo Unico)
Privacy e Sicurezza
Normative e adempimenti
Testo Unico – definizioni: notificazione 1/2
La notificazione: è una dichiarazione ufficiale mediante la quale, un soggetto pubblico o privato
rende note al Garante per la protezione della privacy le caratteristiche principali dell’utilizzo dei dati
personali da parte del titolare del trattamento dei dp, ovvero del soggetto cui competono le decisioni
in ordine alle finalità e modalità del trattamento dp, inclusa la sicurezza
La notificazione va trasmessa al Garante, tramite il sito internet del medesimo e utilizzando la
procedura indicata nelle istruzioni.
Per perfezionare la notificazione è necessario sottoscriverla con firma digitale (art. 10, comma 3,
d.P.R. n. 445/2000). A tal fine, il titolare del trattamento deve utilizzare un dispositivo di firma digitale
disponibile presso uno dei certificatori accreditati ai sensi dell’art. 2, comma 1, lett. c), d. lg. n.
10/2002. L’elenco dei certificatori è rinvenibile sul sito http://www.cnipa.gov.it/.
Per le attività di trattamento dei dati che non esistevano prima del 1° gennaio 2004, la
notificazione va effettuata prima che inizi il trattamento medesimo. Per le attività che erano già in
essere prima del 1° gennaio 2004, la notificazione si poteva effettuare entro il 30 aprile 2004.
La notificazione va effettuata una sola volta, indipendentemente dalla durata, dal tipo e dal
numero delle operazioni di trattamento, sia che si effettui un solo trattamento, sia che si curino
più attività di trattamento con finalità correlate tra loro.
Privacy e Sicurezza
Normative e adempimenti
Testo Unico. Definizioni principali: notificazione 2/2
•A partire dal 1°gennaio 2004 sono tenuti a notificare solo alcuni soggetti, ossia solo i titolari che effettuano
una o più attività di trattamento tra quelle specificamente indicate dal Codice (la precedente normativa,
invece, prevedeva per tutti i titolari l’obbligo di effettuare la notificazione, a meno che potessero avvalersi dei
casi di esonero o di possibile utilizzazione di una notificazione semplificata). I casi espressamente previsti
dal codice (art.37) riguardano:
•Dati genetici e biometrici,
•Posizione geografica di persone od oggetti,
•Dati sulla salute o sulla vita sessuale utilizzati per prestare servizi sanitari per via telematica,
• Dati sulla vita sessuale o sulla sfera psichica trattati da organismi no-profit,
•Strumenti elettronici per profilare interessati o utenti di servizi di comunicazione elettronica
• Rilevazione del rischio sulla solvibilità economica o di comportamenti illeciti o fraudolenti.
• Il Garante potrà individuare, con un proprio provvedimento, nell’ambito dei trattamenti che devono essere
notificati, alcuni trattamenti che presentano minori rischi per i diritti degli interessati e che possono pertanto
essere esonerati dalla notificazione; potrà, al contrario, anche indicare altri trattamenti al momento non
indicati espressamente dalla legge, che dovranno essere notificati. Le notificazioni sono inserite in un
registro pubblico che sarà consultabile gratuitamente da tutti on-line.
• Il titolare che non è tenuto alla notificazione deve comunque fornire le notizie contenute nel modello di
notificazione a chi ne fa richiesta (nell’esercizio del diritto di accesso e degli altri diritti riconosciuti
all’interessato), a meno che il trattamento riguardi pubblici registri, elenchi, atti o documenti conoscibili da
chiunque.
Privacy e Sicurezza
Normative e adempimenti
Testo Unico – definizioni principali: dati sensibili
I dati sensibili (art. 22 l. 675/96):”I dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni
religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od
organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a
rivelare lo stato di salute e la vita sessuale…”
I dati giudiziari, “i dati personali idonei a rivelare provvedimenti di cui all'articolo 3, comma 1, lettere da a) a
o) e da r) a u), del d.P.R. 14 novembre 2002, n. 313, in materia di casellario giudiziale, di anagrafe
delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualità di imputato
o di indagato ai sensi degli articoli 60 e 61 del codice di procedura penale”;
Privacy e Sicurezza
Normative e adempimenti
Testo Unico – definizioni principali: il Titolare dei dp
Il titolare dei dati personali può essere la persona fisica, la persona giuridica, la pubblica amministrazione
e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le
decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati,
ivi compreso il profilo della sicurezza;
Compiti:
- ha il potere decisionale sulle maggiori scelte relative all’utilizzo dei dati personali e sulla loro protezione
- determina le competenze dei responsabili
Privacy e Sicurezza
Normative e adempimenti
Testo Unico – definizioni principali: il responsabile dei dp
Il responsabile è “la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente,
associazione od organismo preposti dal titolare al trattamento di dati personali;
I compiti del responsabile devono essere analiticamente precisati per iscritto. L’atto di nomina può essere
qualificato, in termini giuridici, come un contratto di mandato, in virtù del quale il mandante (titolare)
incarica il mandatario (responsabile) dello svolgimento di determinate attività rilevanti in materia di
protezione e sicurezza dei dati
Privacy e Sicurezza
Normative e adempimenti
Testo Unico. Definizioni: Il Documento Programmatico sulla Sicurezza 1/2
D.P.S.
Il Documento Programmatico della Sicurezza è un documento aziendale con valore ufficiale che deve
obbligatoriamente essere redatto entro il 31 marzo di ogni anno dai Titolar dei dp che trattano con
strumenti elettronici dati sensibili o giudiziari.
Deve contenere:
Piano d’interventi per:
• l’ elenco dei trattamenti
• assunzione
• la distribuzione di compiti e responsabilità
• cambiamenti di mansione
• l’analisi dei rischi
• introduzione di strumenti significativi per il
trattamento di dati personali
• la descrizione delle misure per l’integrità e la
disponibilità dei dati
• misure per la protezione di aree e locali dove si
effettuano i trattamenti
• la descrizione di criteri e modalità per il
ripristino di disponibilità dei dati in caso di
smarrimento o danneggiamento
• la descrizione di criteri atti a garantire
l’adozione delle misure minime in caso di
trattamenti affidati all’esterno
• i criteri per la cifratura o la separazione dei dati
sulla salute o sulla vita sessuale, utilizzati da
organismi o professionisti sanitari.
Privacy e Sicurezza
Normative e adempimenti
Testo Unico. Definizioni: Il Documento Programmatico della sicurezza 2/2
In base al nuovo Codice, la misura minima del DPS deve essere ora adottata dal titolare
di un trattamento di dati sensibili o giudiziari effettuato con strumenti elettronici, attraverso
l’organo, ufficio o persona fisica a ciò legittimata in base all’ordinamento aziendale o della
pubblica amministrazione interessata (art. 34, comma 1, lett. g), del Codice; regola 19
dell’Allegato B)).
Privacy e Sicurezza
Normative e adempimenti
Testo Unico. Definizioni: Misure minime
Artt. 33, 34, 35, 36 T.U. e Disciplinare (allegato B)
Trattamento con strumenti elettronici
a) autenticazione informatica;
b) adozione di procedure di gestione delle credenziali
di autenticazione;
c) utilizzazione di un sistema di autorizzazione;
d)
aggiornamento periodico dell'individuazione
dell'ambito del trattamento consentito ai singoli
incaricati e addetti alla gestione o alla
manutenzione degli strumenti elettronici;
e) protezione degli strumenti elettronici e dei dati
rispetto a trattamenti illeciti di dati, ad accessi non
consentiti e a determinati programmi informatici;
Trattamento senza strumenti elettronici
a) aggiornamento periodico dell'individuazione
dell'ambito del trattamento consentito ai
singoli incaricati o alle unità organizzative;
b) previsione di procedure per un'idonea
custodia di atti e documenti affidati agli
incaricati per lo svolgimento dei relativi
compiti;
c) previsione di procedure per la
conservazione di determinati atti in archivi
ad accesso selezionato e disciplina delle
modalità di accesso finalizzata
all'identificazione degli incaricati.
f) adozione di procedure per la custodia di copie di
sicurezza, il ripristino della disponibilità dei dati e
dei sistemi;
g) tenuta di un aggiornato documento programmatico
sulla sicurezza;
h) adozione di tecniche di cifratura o di codici
identificativi per determinati trattamenti di dati
idonei a rivelare lo stato di salute o la vita sessuale
effettuati da organismi sanitari.
La violazione di tali misure comporta sanzioni penali (art. 169, T.U.)
Privacy e Sicurezza
Normative e adempimenti
Testo Unico. Definizioni: Misure adeguate
ART. 31 T.U.
MISURE ADEGUATE
Hanno come parametro non
più la legge, ma la miglior
tecnologia del momento
storico
I dati personali oggetto di trattamento sono custoditi
e controllati, anche in relazione alle conoscenze
acquisite in base al progresso tecnico, alla natura
dei dati e alle specifiche caratteristiche del
trattamento, in modo da ridurre al minimo, mediante
l'adozione di idonee e preventive misure di
sicurezza, i rischi di distruzione o perdita, anche
accidentale, dei dati stessi, di accesso non
autorizzato o di trattamento non consentito o non
conforme alle finalità della raccolta.
La violazione di tali misure comporta responsabilità civile (art. 31, T.U.)
Privacy e Sicurezza
Normative e adempimenti
Le scadenze 1/2
In base a quanto previsto dal codice, entro il 31 marzo di ogni anno e, in sede di prima applicazione,
entro il 30 giugno 2004, Pubbliche Amministrazioni ed aziende private dovranno provvedere
all’adozione di nuove misure minime di sicurezza e, fra queste, alla redazione del Documento
Programmatico per la Sicurezza (DPS)
La mancata applicazione espone il Titolare del trattamento dei dati personali a sanzione penale (art.169)
– mitigata dal principio della prescrizione
ART. 169 – Testo Unico
1.
Chiunque, essendovi tenuto, omette di adottare le misure minime previste dall'articolo 33 è
punito con l'arresto sino a due anni o con l'ammenda da diecimila euro a cinquantamila euro.
2.
All'autore del reato, all'atto dell'accertamento o, nei casi complessi, anche con successivo atto
del Garante, è impartita una prescrizione fissando un termine per la regolarizzazione non
eccedente il periodo di tempo tecnicamente necessario, prorogabile in caso di particolare
complessità o per l'oggettiva difficoltà dell'adempimento e comunque non superiore a sei mesi.
Nei sessanta giorni successivi allo scadere del termine, se risulta l'adempimento alla
prescrizione, l'autore del reato è ammesso dal Garante a pagare una somma pari al quarto del
massimo dell'ammenda stabilita per la contravvenzione. L'adempimento e il pagamento
estinguono il reato. L'organo che impartisce la prescrizione e il pubblico ministero provvedono
nei modi di cui agli articoli 21, 22, 23 e 24 del decreto legislativo 19 dicembre 1994, n. 758, e
successive modificazioni, in quanto applicabili.
Privacy e Sicurezza
Normative e adempimenti
Le scadenze 2/2
30 giugno 2004
Data certa per descrivere le obiettive ragioni tecniche che non consentono di applicare
immediatamente alcune nuove misure minime (documento utilizzabile unicamente nel caso del
tutto particolare previsto dall’art. 180, comma 2, del Codice per i soli strumenti elettronici).
1° gennaio 2005
Adozione nuove misure minime su strumenti elettronici non previste in base alla precedente
disciplina (solo per i soggetti legittimati a predisporre il predetto documento a data certa).
Privacy e Sicurezza
Normative e adempimenti
Vantaggi assicurati dalla normativa
1
• La distribuzione delle responsabilità,
anche penali, legate alle operazioni di
trattamento
Vantaggi
L’articolazione dei ruoli DP (dati
personali)
con
la
nomina
a
Responsabile e l’individuazione degli
Incaricati al trattamento (art. 29 e art.
30 T.U.) assicura:
2
• Una più corretta osservanza della Legge
Privacy e Sicurezza
Normative e adempimenti
La sicurezza 1/2
1
• Minimizzazione dei rischi di sicurezza in relazione a:
- Distruzione e perdita di dati
- Accesso non autorizzato
- Trattamento non consentito o non conforme a
finalità (art.31, T.U.)
La sicurezza
2
• Adozione di un livello minimo di sicurezza, in ogni
caso (art. 33, T.U.)
Privacy e Sicurezza
Normative e adempimenti
La sicurezza 2/2
Sicurezza minima e adeguata
SICUREZZA MINIMA
Elenco tassativo basato su
natura dei dati (comuni e/o
sensibili) e sui seguenti scenari:
•
•
Trattamento con strumenti
elettronici
Trattamento senza strumenti
elettronici
SICUREZZA
ADEGUATA
Valutazione basata su:
LIVELLO DI
PROTEZIONE
•
Progresso tecnico
•
Natura dei dati
•
Caratteristiche del trattamento
Privacy e Sicurezza
Normative e adempimenti
Gestione dei curricula
Gestione curricula:
1
I curricula devono essere
conservati
in
archivi
controllati periodicamente, se
valutati “interessanti”. In caso
contrario
devono
essere
distrutti
Arrivo
Curriculum
2
Valutazione
3
Distruzione o
Conservazione
4
Adempimenti
5
Controllo
Archivi
Privacy e Sicurezza
Normative e adempimenti
Accesso alla valutazioni
1
2
3
4
• Il fascicolo personale del dipendente, contenente le anagrafiche ma
anche giudizi e note di merito, costituisce “Dato Personale”
• Il lavoratore può esercitare i diritti di cui all’art. 7 T.U.
• L’azienda deve rispondere entro 15 giorni
• La procedura di valutazione deve essere terminata
Privacy e Sicurezza
Normative e adempimenti
Il PC aziendale
Principi data protection
• Trasparenza
PC aziendale
• Proporzionalità
• Non eccedenza
• Il controllo del PC del dipendente può
integrare una violazione degli artt. 4 e 8
della Legge 300/70 (Statuto dei
Lavoratori)
• Occorre bilanciare i vantaggi ed i rischi
connessi all’uso degli strumenti
elettronici
Adempimenti
• Informativa
in aiuto
• Nomina a Incaricato o
Responsabile
Privacy e Sicurezza
Normative e adempimenti
E-mail aziendale
Secondo il Garante
•
La posta elettronica è equiparata alla posta
cartacea
- Principio di segretezza
- Divieto di intercettazione
Secondo un’isolata giurisprudenza
•
La posta elettronica aziendale è un bene
aziendale e sono leciti i controlli sulla stessa
Privacy e Sicurezza
Normative e adempimenti
Policy Privacy
Policy Privacy
Sono le norme di comportamento
interne per limitare l’uso privato di email o internet in azienda
Linee Guida – Policy Privacy
•
I lavoratori non hanno facoltà di
utilizzare gli strumenti telematici di
lavoro per fini meramente personali, se
non espressamente autorizzati
•
Il collegamento telematico non può
essere usato per scaricare software
gratuiti presenti su siti internet
•
La
casella
di
posta
elettronica
assegnata
deve
essere
utilizzata
unicamente per le attività inerenti la
propria mansione
•
Il datore di lavoro si impegna a
rispettare
la
riservatezza
del
dipendente, nella piena osservanza dei
principi dello Statuto dei Lavoratori e
della normativa privacy
Privacy e Sicurezza
Normative e adempimenti
Misure di sicurezza sui dati personali
Privacy e Sicurezza
Normative e adempimenti
D. P. S. (Documento Programmatico sulla Sicurezza)
MISURE MINIME
MISURE SPECIFICHE
RIFERIMENTI NORMATIVI
T.U.
ALL.B
Redazione del documento
34.1, g)
19.
Elenco dei trattamenti
34.1, g)
19.1
Distribuzione di compiti e responsabilità
34.1, g)
19.2
6.1
34.1, g)
19.3
6.1
Misure per l’integrità e la disponibilità dei dati
34.1, g)
19.4
1° parte
6.1, b)
Misure per la protezione di aree e locali dove si effettuano i
trattamenti
34.1, g)
19.4
2° parte
6.1, a)
34.1, g)
19.5
Piano interventi formativi in occasione di: a) assunzione b)
cambiamenti di mansione; c) introduzione di strumenti
significativi per il trattamento dei dati
34.1, g)
19.6
Descrizione di criteri atti a garantire l’adozione delle misure
minime in caso di trattamenti affidati all’esterno
34.1, g)
19,7
Criteri per la cifratura o separazione di dati sulla vita
sessuale o la salute, utilizzati da organismi o prof. sanitari
34.1, g)
19,8
34.1, g)
26.
Analisi dei rischi
Descrizione di criteri per il ripristino di disponibilità dei dati
in caso di distruzione o danneggiamento
Attestazione dell’avvenuta redazione o aggiornamento del
DPS nella relazione al bilancio di esercizio
FREQUENZA
In prima
applicazione
entro il 30.06.04
Entro il 31.03 di
ogni anno
In fase di approv.
del bilancio
DPR. 318
6.1
6.1, d)
(6.1)
Privacy e Sicurezza
Normative e adempimenti
Sistema di autorizzazione
MISURE MINIME
MISURE SPECIFICHE
RIFERIMENTI NORMATIVI
T.U.
ALL.B
Adozione di un sistema di autorizzazione in presenza di
più profili diversi
34.1, c)
12.
5.1, 1°
per
Individuazione e configurazione dei profili di
autorizzazione, prima del trattamento e secondo le
necessità d’uso dei dati
34.1, c)
14.
5.4
34.1, c)
14.
5.3, ul
per
Verifica esistenza dei requisiti per la conservazione dei
profili
FREQUENZA
Almeno ogni
anno
DPR. 318
Privacy e Sicurezza
Normative e adempimenti
Sistema di autenticazione 1/2
MISURE MINIME
MISURE SPECIFICHE
RIFERIMENTI NORMATIVI
T.U.
ALL.B
Incaricati con credenziali di autenticazione che abilitino ad
effettuare trattamenti individuati
34.1, a)
1.
Codice identificativo e parola chiave esclusivi oppure
dispositivo di autenticazione esclusivo
34.1, a)
2.
Assegnazione di una o più credenziali di autenticazione per
ciascun incaricato
34.1, a)
3.
pr. parte
Istruzioni in merito alla segretezza della parola chiave o
equivalente, e corretta custodia dei dispositivi
34.1, a)
4.
2.1, b)
Parola chiave di almeno 8 caratteri o del massimo di quelli
consentiti dalla applicazione e non facilmente ricostruibile
34.1, a)
5.
Parola chiave da modificare dopo il primo uso
34.1, f)
5.
34.1, a)
5.
34.1, a)
6.
Aggiornamento della parola chiave
Codice identificativo non riassegnabile, nemmeno in tempi
diversi
FREQUENZA
DPR. 318
4.1, a)
2.1, a)
4.1,a)
4.1, a)
Almeno ogni 6
mesi
2.1, a)
4.1, a),
sec. parte
Privacy e Sicurezza
Normative e adempimenti
Sistema di autenticazione 2/2
MISURE MINIME
MISURE SPECIFICHE
RIFERIMENTI NORMATIVI
FREQUENZA
T.U.
ALL.B
DPR. 318
Disattivazione delle credenziali di autenticazione per
disuso, salvo che per scopi di gestione tecnica
Ogni 6 mesi in
caso di disuso
34.1, b)
7.
4.1, b)
Disattivazione delle credenziali di autenticazione per
perdita delle qualità del profilo di accesso
Immediata
34.1, b)
8.
4.1, b)
Istruzioni in merito al presidio ed alla non accessibilità dello
strumento elettronico da parte di terzi, durante le sessioni
di lavoro
34.1, b)
9.
Disposizioni scritte in merito alla custodia di copia delle
credenziali, per assicurare la disponibilità dei dati o di
strumenti, in caso di prolungata assenza o impedimento
dell'interessato
34.1, b)
10.
Esenzione dall'obbligo del sistema di autenticazione per
dati destinati alla diffusione
34.1, b)
11.
34.1, b)
5. ult.
per.
Aggiornamento della parola chiave
Almeno ogni 3
mesi
4.1 e 5.7
Privacy e Sicurezza
Normative e adempimenti
Altre Misure – Trattamento con strumenti elettronici (1/2)
MISURE MINIME
MISURE SPECIFICHE
Aggiornamento della determinazione dell’ambito di
autorizzazione, per incaricato o per classi omogenee
RIFERIMENTI NORMATIVI
FREQUENZA
T.U.
ALL.B
34.1, d)
15.
34.1, e)
16.
1° parte
4.1, c)
Almeno ogni 6
mesi
34.1, e)
16.
2° parte
4.1, c)
Almeno ogni
anno
34.1, e)
17.
Almeno ogni
anno
Attivazione di strumenti contro il rischio di intrusione o di
programmi pericolosi (art. 615-quinquies c.p.)
Aggiornamento degli strumenti anti-intrusione e antiprogrammi pericolosi
Aggiornamento del software per la prevenzione contro la
vulnerabilità dei sistemi e per la correzione dei difetti
Rilascio di attestazione scritta di quanto fatto e attestazione
di conformità all'Allegato B del Codice, in caso di
esecuzione di misure minime ad opera di terzi per conto del
titolare
Istruzioni per il salvataggio dei dati
Aggiornamento del software per la prevenzione contro la
vulnerabilità dei sistemi e per la correzione dei difetti
Protezione contro l'accesso abusivo mediante idonei
strumenti elettronici (art.615-ter c.p.)
DPR. 318
25.
Ogni 7 giorni
34.1, f)
18.
Almeno ogni 6
mesi
34.1, e)
17. Ult
per
34.1, e)
20
(6.1, b)
(6.1 c) 2°
parte
Privacy e Sicurezza
Normative e adempimenti
Altre Misure – Trattamento con strumenti elettronici (2/2)
MISURE MINIME
MISURE SPECIFICHE
RIFERIMENTI NORMATIVI
T.U.
ALL.B
Istruzioni per custodia ed uso dei supporti contenenti dati
per evitare accessi non autorizzati o trattamenti non
consentiti
34.1, e)
21.
10
Distruzione o inutilizzabilità per i supporti non più utilizzati o
provocarne tecnicamente la non ricostruibilità delle
informazioni in essi memorizzate
34.1, e)
22.
(7.1)
34.1, f)
23.
34.1, h)
24.
Adozione di idonee misure per il ripristino dei dati
Per dati sanitari e sulla vita sessuale da parte di organismi
ed operatori sanitari, cifratura e codici identificativi
Per dati genetici, trattamento in locali protetti accessibili ai
soli incaricati autorizzati. Trasporto fisico dei dati all'esterno
in contenitori con serratura o dispositivi analoghi.
Trasmissione elettronica cifrata.
FREQUENZA
Entro 7 giorni
34.1, h)
24. u. p.
DPR. 318
9.2, a)
9.2, b)
6.1, c)
Privacy e Sicurezza
Normative e adempimenti
Altre Misure – Trattamento senza strumenti elettronici
MISURE MINIME
MISURE SPECIFICHE
RIFERIMENTI NORMATIVI
FREQUENZA
Controllo e custodia, da parte degli incaricati, di atti e
documenti adoperati per lo svolgimento del lavoro
T.U.
ALL.B
DPR. 318
35.1, b)
28.
9.2, b)
Accesso agli archivi controllato
35.1, c)
29.
9.2, b)
Identificazione e registrazione del personale ammesso
agli archivi dopo l'orario di lavoro
35.1, c)
29. 2°
per
9.2, b)
Preventiva autorizzazione di chi accede agli archivi, in
assenza o di strumenti elettronici per il controllo degli
accessi, o di incaricati alla vigilanza
35.1, c)
29.
Ult per
Istruzioni scritte agli incaricati per controllo e custodia
di atti e documenti
35.1, a)
27.
Aggiornamento della determinazione dell'ambito di
autorizzazione, per incaricato o per classi omogenee
Almeno ogni
anno
35.1, c)
27.
Ult per
9.1, a) e
b)
9.1, a)
Privacy e Sicurezza
Normative e adempimenti
CODICE DI DEONTOLOGIA E DI BUONA CONDOTTA PER I
TRATTAMENTI DI DATI PERSONALI PER SCOPI STATISTICI
E SCIENTIFICI
Privacy e Sicurezza
Normative e adempimenti
CODICE DI DEONTOLOGIA E DI BUONA CONDOTTA PER I TRATTAMENTI DI DATI
PERSONALI PER SCOPI STATISTICI E SCIENTIFICI
il Codice di deontologia e buona condotta per il trattamento dei dati personali utilizzati per
scopi statistici e scientifici è stato sottoscritto in via preliminare, presso il Garante della privacy,
dai rappresentanti della Conferenza dei Rettori delle Università Italiane (CRUI) e di dieci
società scientifiche:Associazione italiana di epidemiologia, Associazione italiana di
sociologia, Consiglio italiano per le scienze sociali, Società italiana degli economisti,
Società italiana di biometria, Società italiana di demografia storica, Società italiana di
igiene medicina preventiva e sanità pubblica, Società italiana di statistica, Società italiana
di statistica medica ed epidemiologia clinica, Assirm (l’Associazione tra istituti di ricerche
di mercato, sondaggi di opinione, ricerca sociale).
Privacy e Sicurezza
Normative e adempimenti
CODICE DI DEONTOLOGIA E DI BUONA CONDOTTA PER I TRATTAMENTI DI DATI
PERSONALI PER SCOPI STATISTICI E SCIENTIFICI
Il codice si collega alle garanzie già previste dalla disciplina sui trattamenti effettuati nell’ambito del Sistema
statistico nazionale, individuando le cautele da adottare per il trattamento di dati sensibili e giudiziari anche per
attività di ricerca medica, biomedica ed epidemiologica e per le ricerche di mercato che non siano connesse alle
attività commerciali e di informazione commerciale. Le ricerche dovranno essere effettuate conformemente agli
standard metodologici del pertinente settore disciplinare sulla base di un progetto che potrà essere consultato
per verificare la corretta applicazione della normativa sulla privacy.
Sono previste, inoltre, specifiche regole di condotta e misure di sicurezza soprattutto in relazione alla
conservazione dei dati identificativi.
Il codice deontologico per la statistica privata verrà pubblicato sulla Gazzetta Ufficiale ed entrerà in vigore il 1
ottobre 2004.
Prima di verificare la conformità del codice alle leggi ed ai regolamenti e curarne la pubblicazione in Gazzetta
Ufficiale, l’Autorità ha comunque deciso di renderlo pubblico sul proprio sito, allo scopo di sollecitare i soggetti
interessati a formulare osservazioni (ai sensi dell’art. 12 del Codice in materia di protezione dei dati personali).
Tali osservazioni dovranno pervenire entro il 31 maggio: l’avviso è pubblicato sulla Gazzetta Ufficiale.
Privacy e Sicurezza
Normative e adempimenti
CODICE DI DEONTOLOGIA E DI BUONA CONDOTTA PER I TRATTAMENTI DI DATI
PERSONALI PER SCOPI STATISTICI E SCIENTIFICI
Principi di riferimento
Adeguate basi di dati individuali – se necessario personali (riferiti cioè a persone identificate o
identificabili) – costituiscono l’indispensabile supporto informativo per rispondere a importanti interrogativi
conoscitivi e per valutare, e indirettamente per elaborare teorie scentifiche.
La ricerca scientifica ha sì bisogno di trattare dati individuali, ma mira a risultati generali, che non hanno
ricadute dirette sui singoli e non ne mettono a rischio la privacy .
La funzione del codice è individuata nel contemperamento di "valori" e "diritti" diversi. A fronte del diritto
alla privacy, sono messe in luce le necessità della ricerca scientifica e le ragioni che ne sono alla base: il
principio della libertà della ricerca, costituzionalmente garantito, e le esigenze di sviluppo della ricerca
per migliorare le condizioni della società.
Privacy e Sicurezza
Normative e adempimenti
CODICE DI DEONTOLOGIA E DI BUONA CONDOTTA PER I TRATTAMENTI DI DATI
PERSONALI PER SCOPI STATISTICI E SCIENTIFICI
L’ambito di applicazione
Debbono valere due presupposti:
▪ In ragione del soggetto: deve trattarsi di un’università o altro ente di ricerca o società scientifica, oppure di
un singolo ricercatore che operi in un’università o ente di ricerca o sia socio di una società scientifica.
▪ In ragione della materia, si richiede al ricercatore responsabile di predisporre un progetto di ricerca, redatto
secondo gli standard dei protocolli di ricerca del pertinente settore disciplinare.
Privacy e Sicurezza
Normative e adempimenti
CODICE DI DEONTOLOGIA E DI BUONA CONDOTTA PER I TRATTAMENTI DI DATI
PERSONALI PER SCOPI STATISTICI E SCIENTIFICI
il codice deontologico traccia una chiara distinzione fra dati personali e dati anonimi. La nozione di dato
personale è circoscritta: sono considerati tali solo i dati che consentono l’identificazione di una persona con
l’utilizzo di "mezzi ragionevoli".
Buona parte delle basi di dati utilizzate nella ricerca scientifica sono dunque da considerarsi anonime; quindi,
non interessate dalla normativa sulla privacy, che si applica solo ai dati personali.
Inoltre, si stabilisce, ad integrazione di quanto disposto dal TU, quando siano sufficienti per gli scopi di una
ricerca, saranno utilizzati dati anonimi. Altrimenti, si utilizzeranno in maniera oculata dati personali: senza
eccessive bardature burocratiche e, insieme, assicurando un’adeguata protezione della privacy.