La sicurezza informatica - La protezione dei dati personali nella PA La protezione dei dati personali e le soluzioni organizzative per la sicurezza nel nuovo Codice sulla privacy La sicurezza informatica - La protezione dei dati personali nella PA Agenda Sessione 1 D.Lgs. 196/03 - Contenuti della disciplina Sessione 2 Metodologia attuativa Sessione 3 Rischi di inadempienza e sanzioni 1 La sicurezza informatica - La protezione dei dati personali nella PA Sessione 1 D.Lgs. 196/03 - Contenuti della disciplina La sicurezza informatica - La protezione dei dati personali nella PA La Privacy •D.Lgs. 196/03 composto da 186 articoli •Disciplinare Tecnico - All. B) •Codici deontologici – All. A) •Autorizzazioni Dal 1 gennaio 2004, data di entrata in vigore del nuovo codice, sono abrogati : •La Legge 675/96 (tavola di corrispondenza in allegato al nuovo testo) •Il decreto del Presidente della Repubblica 28 luglio 1999, n° 318 •Il decreto legislativo 28 dicembre 2001, n°467 •L’insieme di decreti e articoli specifici per settore (circa 20) Viene, nel contempo, data attuazione alle direttive del Parlamento Europeo: •96/45/CE e del Consiglio del 24 ott. 95 •2002/58/CE e del Consiglio del 12 lug. 2002 2 La sicurezza informatica - La protezione dei dati personali nella PA Il Codice Il testo unico, che è stato approvato dal Governo italiano il 27 Giugno 2003 e che è entrato in vigore il 1 Gennaio 2004, raccoglie e rende omogenee tutte le norme esistenti in materia di Privacy. Si prevede un forte impatto sulle modalità di trattamento dei dati, ampio quanto quello che la 626 ha avuto nel campo della sicurezza fisica e personale. Il D.Lgs. 196 introduce meccanismi più rigorosi di autoregolamentazione. In particolare : - Consultazione on-line delle notificazioni; - Menzione, nella relazione di bilancio, dell’avvenuta redazione del Documento Programmatico sulla Sicurezza (DPS). La sicurezza informatica - La protezione dei dati personali nella PA I Contenuti della Normativa Parte I Disposizioni Generali individua le regole sostanziali per il trattamento dei dati personali che si applicano a tutti i trattamenti, salvo quanto previsto dalle disposizioni della Parte II Parte II Disposizioni relative a specifici Settori individua le regole applicabili a specifici settori, quali: sanitario, istruzione, lavoro, bancario, comunicazioni elettroniche, etc.; Parte III Tutela dell’interessato e sanzioni. 3 La sicurezza informatica - La protezione dei dati personali nella PA Principio di Necessità Il Principio di necessità rappresenta un potenziamento dei principi di pertinenza e non eccedenza dei dati rispetto alle finalità del trattamento già individuati con la previgente legge 675/96. Il Titolare dovrà preventivamente adottare procedure organizzative ed informatiche che permettano all’incaricato del trattamento l’accesso ai soli files necessari alla sua attività lavorativa. Il Titolare, pertanto, dovrà implementare procedure e sistemi al fine di: • inibire il trattamento di dati personali a quei soggetti che non hanno necessità di conoscerli; • rendere anonimi i dati personali accessibili a tali soggetti. La sicurezza informatica - La protezione dei dati personali nella PA Definizioni • Dati Personali: definizione invariata rispetto alla precedente norma • Dati Identificabili: definizione invariata; dato non associato a un determinato soggetto e che necessita di un “ragionevole sforzo” per esservi ricondotto e abbinato • Dati Identificativi: definizione nuova; è il dato immediatamente associato ad un determinato soggetto • Dati Particolari: definizione invariata rispetto al decreto 467/2001 • Trattamento: definizione leggermente modificata rispetto alla precedente norma; rientra nella nozione anche la consultazione 4 La sicurezza informatica - La protezione dei dati personali nella PA Dato Personale Dato comune Dato sensibile Tutte le informazioni relative a persona fisica o giuridica. A metà strada Dati Particolari Diversi dai sensibili e giudiziari, presentano, per la loro natura o per la modalità del trattamento, RISCHI SPECIFICI. Il trattamento di tali dati è ammesso nel rispetto delle misure e degli accorgimenti a garanzia dell’interessato, ove prescritti. (Es. solvibilità, centrali rischi) •l’origine razziale ed etnica, •le convinzioni religiose, filosofiche o di altro genere, •le opinioni politiche, •l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, •lo stato di salute e la vita sessuale. La sicurezza informatica - La protezione dei dati personali nella PA Trattamento qualunque operazione effettuata anche senza l’ausilio di strumenti elettronici, concernenti: la raccolta la registrazione la modificazione la selezione l’estrazione il raffronto la consultazione e/o l’utilizzo l’interconnessione il blocco la comunicazione la diffusione la cancellazione e distruzione attraverso strumenti elettronici o cartacei su qualsiasi supporto e in qualsiasi modo delle caratteristiche originarie ed integrazioni ordinamento, classificazione, categorizzazione secondo criteri di selezione e ordinamento accertamento dell’identità, statistiche, ricerche secondo i fini dichiarati nell’informativa di cui art.13 con altre fonti informative la sospensione temporanea del trattamento a uno o più soggetti individuabili a soggetti indeterminati logica ovvero fisica dei dati Anche se non registrati in una banca dati Es. Strumenti elettronici: Elaboratori, Video registratori, Audio Registratori, Rilevatori biometrici (impronte digitali) 5 La sicurezza informatica - La protezione dei dati personali nella PA Definizioni • Titolare: definizione ampliata • al Titolare competono anche le decisioni relative agli strumenti da utilizzare per il trattamento stesso; ne consegue che, con riferimento agli strumenti elettronici, è tenuto a: • adottare tecnologie e soluzioni applicative atte a ridurre al minimo qualsiasi tipo di rischio, • organizzarsi, anche sotto il profilo tecnologico, al fine di consentire una adeguata attuazione della normativa. • Responsabile: definizione invariata • Incaricato: definizione invariata • Interessato: definizione invariata La sicurezza informatica - La protezione dei dati personali nella PA I soggetti del trattamento Titolare del trattamento TITOLARE Responsabile Esterno Responsabile Incaricato Incaricato Interessato Incaricato Interessato Incaricato Interessato Incaricato Interessato Incaricato Interessato E’ la persona fisica o il soggetto giuridico, nel suo complesso, o l'unità od organismo periferico che esercita un potere decisionale del tutto autonomo sulle finalità e sulle modalità del trattamento, ivi compreso il profilo della sicurezza. Interessato Responsabile del trattamento Incaricati del trattamento • è designato dal titolare facoltativamente. • è individuato tra soggetti che per esperienza, capacità ed affidabilità forniscono idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza. • possono essere designati responsabili più soggetti, anche mediante suddivisione di compiti. • I compiti affidati al responsabile sono analiticamente specificati per iscritto dal titolare. • Persone fisiche autorizzate a compiere operazioni di trattamento; operano sotto la diretta autorità del titolare o del responsabile, attenendosi alle istruzioni loro impartite. • La designazione è effettuata per iscritto e individua puntualmente l'ambito del trattamento consentito. Rif. Artt.28,29,30 D.Lgs 196/03 6 La sicurezza informatica - La protezione dei dati personali nella PA Ipotesi di schema organizzativo Titolare del trattamento Delegato del Titolare Funzioni di staff Azienda nel suo complesso Direttore Generale o altra funzione delegata Incaricati del trattamento Comitato interdisciplinare UFFICIO PRIVACY Responsabile Del trattamento Responsabile del trattamento Responsabili di Funzione/Area Responsabile Del trattamento Incaricati del trattamento Tutti coloro che trattano dati Figure previste dalla legge Figure a supporto operativo/organizzativo La sicurezza informatica - La protezione dei dati personali nella PA Gli atti di Nomina Delegato del Titolare Responsabile Incaricato Il Codice considera una ‘’corretta designazione ad incaricato’’, anche la documentata preposizione di una persona fisica ad una unità per la quale venga indicato il preciso ambito del trattamento (per es. operatori di sportello di una banca o di un Ente Pubblico) 7 La sicurezza informatica - La protezione dei dati personali nella PA Adempimenti Obbligatori Notifica Comunicazione preventiva al Garante relativa a particolari trattamenti svolti da alcuni Titolari. • Il Codice individua chiaramente le categorie di trattamenti soggetti all’obbligo della notificazione e le elenca nell’Art. 37. • Il Garante, con proprio comunicato del 7 Aprile 2004 sottrae a tale obbligo alcuni trattamenti non continuativi. La notificazione va resa in presenza di trattamenti relativi a: • dati relativi alla posizione geografica di un soggetto; • dati idonei a definire un profilo o la personalità dell’interessato; • dati volti a monitorare l’utilizzo di servizi di comunicazione elettronica; • dati sensibili utilizzati per fini di selezione del personale per conto terzi; • dati personali e sensibili utilizzati per sondaggi e ricerche di mercato; • dati relativi al rischio della solvibilità – c.d. centrali rischi; • dati genetici e biometrici; • etc. La sicurezza informatica - La protezione dei dati personali nella PA Adempimenti Obbligatori Informativa Va sempre resa, anche oralmente, agli interessati e deve contenere: • finalità e modalità del trattamento • natura obbligatoria o facoltativa del conferimento • conseguenze dell’eventuale rifiuto • ambito di comunicazione e diffusione dei dati • diritti dell’interessato • estremi identificativi del titolare e, se designato, del responsabile Il contenuto delle informazioni obbligatorie è stato ampliato. Il Titolare ora è tenuto ad informare l’interessato circa l’ambito di comunicazione dei dati, citando, oltre i Titolari e i Responsabili (come nella normativa previgente) anche quei soggetti che possono venirne a conoscenza in qualità di incaricati. 8 La sicurezza informatica - La protezione dei dati personali nella PA Adempimenti Obbligatori Consenso Il consenso, quando necessario, deve essere fornito dagli interessati in forma scritta ed in riferimento ad un trattamento chiaramente individuato. Non è più necessaria la raccolta del consenso dei dipendenti, nel caso in cui si trattino i dati sensibili solo in adempimento di un obbligo di legge (es.: gestione del rapporto di lavoro, anche in materia di igiene e sicurezza, ecc.) La sicurezza informatica - La protezione dei dati personali nella PA I Diritti degli Interessati Art.7 (Diritto di accesso ai dati personali ed altri diritti) L’interessato ha diritto di ottenere la conferma dell’esistenza o meno di dati personali che lo riguardano, anche se ancora non registrati, e la loro comunicazione in forma intelligibile. Ha diritto di conoscere • l’origine dei dati personali • le finalità e le modalità del trattamento • la logica applicata nel trattamento effettuato con l’ausilio di strumenti elettronici • gli estremi identificativi del titolare, dei responsabili e dell’eventuale rappresentante designato ai sensi dell’art. 5 • le categorie di soggetti ai quali i dati personali possono essere comunicati Ha diritto di ottenere • l’aggiornamento, la rettifica, l’integrazione dei dati che lo riguardano • La cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge, compresi quelli di cui non è necessaria la conservazione in relazione agli scopi per i quali sono stati raccolti o successivamente trattati. • L’attestazione che le operazioni di cui ai punti precedenti sono state portate a conoscenza di coloro ai quali i dati sono stati comunicati o diffusi Ha diritto di opporsi • Al trattamento dei dati che lo riguardano per motivi legittimi ancorché pertinenti allo scopo della raccolta • Al trattamento ai fini di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale 9 La sicurezza informatica - La protezione dei dati personali nella PA I Diritti degli Interessati Art.8 (Esercizio dei Diritti) I diritti di cui all’art. 7 sono esercitati con richiesta rivolta senza formalità al Titolare o al Responsabile, anche per il tramite di un incaricato, alla quale è fornito idoneo riscontro senza ritardo. • Il riscontro alla richiesta da parte del titolare o del responsabile è fornito entro quindici giorni dal suo ricevimento. • Entro il termine di cui sopra, se le operazioni necessarie per un integrale riscontro alla richiesta sono di particolare complessità, ovvero ricorre altro giustificato motivo, il titolare o il responsabile ne danno comunicazione all'interessato. In tal caso,il termine per l'integrale riscontro è di trenta giorni dal ricevimento della richiesta medesima. La sicurezza informatica - La protezione dei dati personali nella PA Sessione 2 Metodologia attuativa 10 La sicurezza informatica - La protezione dei dati personali nella PA Documento Programmatico sulla Sicurezza Dovrà contenere Il DPSS deve essere redatto obbligatoriamente da tutti i soggetti che trattano dati con strumenti elettronici entro il 31 marzo di ogni anno, mantenuto costantemente aggiornato e allegato alla relazione di accompagnamento al bilancio d’esercizio. • • • • l’elenco dei trattamenti dei dati personali la distribuzione di compiti e responsabilità nella struttura del titolare l’analisi dei rischi sui dati le misure da adottare per garantire l’integrità e la disponibilità dei dati, la protezione delle aree e dei locali • la descrizione dei criteri da adottare per il ripristino della disponibilità dei dati a seguito di danneggiamento e/o distruzione • la previsione della formazione sugli incaricati • la descrizione dei criteri da adottare per garantire l’attuazione delle misure di sicurezza in caso di trattamenti svolti all’esterno della struttura del titolare La sicurezza informatica - La protezione dei dati personali nella PA Il Disciplinare tecnico Dovrà contenere Il Disciplinare Tecnico individua ulteriori misure minime per il trattamento di dati sensibili e giudiziari • Istruzioni organizzative e tecniche per la custodia e l’uso di supporti rimovibili (floppy, cd-rom) • Istruzioni per la distruzione controllata dei supporti e per la cancellazione delle informazioni contenute (non tecnicamente ricostruibili) • Adozione di idonee misure per il ripristino dei dati in caso di danneggiamento dei dati e/o degli strumenti 11 La sicurezza informatica - La protezione dei dati personali nella PA Il Disciplinare tecnico Regola 19 19. Entro il 31 marzo di ogni anno, il titolare di un trattamento di dati sensibili o di dati giudiziari redige anche attraverso il responsabile, se designato, un documento programmatico sulla sicurezza contenente idonee informazioni riguardo: 19.1. l'elenco dei trattamenti di dati personali; 19.2. la distribuzione dei compiti e delle responsabilità nell'ambito delle strutture preposte al trattamento dei dati; 19.3. l'analisi dei rischi che incombono sui dati; 19.4. le misure da adottare per garantire l'integrità e la disponibilità dei dati, nonchè la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità; 19.5. la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento di cui al successivo punto 23; 19.6. la previsione di interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare. La formazione è programmata già al momento dell'ingresso in servizio, nonchè in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati personali; 19.7. la descrizione dei criteri da adottare per garantire l'adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformità al codice, all'esterno della struttura del titolare; 19.8. per i dati personali idonei a rivelare lo stato di salute e la vita sessuale di cui al punto 24, l'individuazione dei criteri da adottare per la cifratura o per la separazione di tali dati dagli altri dati personali dell'interessato. La sicurezza informatica - La protezione dei dati personali nella PA Elenco dei trattamenti di dati personali Vanno individuati i trattamenti effettuati dal titolare, direttamente direttamente o attraverso collaborazioni esterne, con l’ l’indicazione della natura dei dati e della struttura (ufficio, funzione, ecc.) interna od esterna operativamente preposta, preposta, nonché nonché degli strumenti elettronici impiegati. Descrizione sintetica del trattamento Natura dei dati trattati Finalità perseguita o attività svolta Sensibile Categorie di interessati Giudiziario Struttura di riferimento Altre strutture (anche esterne) che concorrono al trattamento Descrizione degli strumenti utilizzati 12 La sicurezza informatica - La protezione dei dati personali nella PA Distribuzione di compiti e responsabilità Sulla base dell’ dell’organizzazione e delle relative strutture di riferimento, vanno correttamente individuati i compiti e le relative responsabilità responsabilità, in relazione ai trattamenti effettuati. Struttura Trattamenti effettuati dalla struttura Descrizione dei compiti e delle responsabilità della struttura •Sulla base dell’organizzazione interna vengono individuati i ruoli e le funzioni secondo quanto indicato dagli articoli 28, 29, 30 del D.Lgs 196/03: •Titolare ed eventuali co-titolari •Responsabili •Incaricati La sicurezza informatica - La protezione dei dati personali nella PA Analisi del Rischio Le specifiche attività attività sono finalizzate all’ all’individuazione dei rischi che incombono sui dati (All. (All. B 19.3): • analisi di tutte le modalità modalità di acquisizione dei dati pervenuti: – Per via elettronica (rete tlc, tlc, terminali, web, supporti multimediali, etc.) etc.) – Su supporto cartaceo (modulistica, posta ordinaria, etc.) etc.) • analisi di tutte le modalità modalità di protezione dei dati immagazzinati (elettronici e cartacei) da possibilità possibilità di accessi illeciti o non pertinenti, da manipolazioni, contraffazioni e distruzioni. Analisi dei rischi (fasi principali): ¾ ¾ ¾ ¾ Identificazione degli asset (dati, hardware, software, ubicazione); Identificazione delle minacce che insistono su ciascun asset; Identificazione delle vulnerabilità che possono essere sfruttate dalle minacce; Identificazione degli impatti che potrebbero derivare dalla perdita di riservatezza, integrità e disponibilità. 13 La sicurezza informatica - La protezione dei dati personali nella PA Misure da adottare Le vulnerabilità vulnerabilità rilevate devono essere affrontate con opportune misure atte a ridurre al minimo i rischi. Tutte le misure di protezione, le modalità modalità di acquisizione e di adozione dei dati e le relative fasi di aggiornamento annuale, devono confluire nel Documento Documento Programmatico sulla Sicurezza. Tra gli interventi principali: ¾ Predisposizione di soluzioni di protezione fisica e logica (codice identificativo, password, registrazione accessi logici e/o fisici, antivirus, videosorveglianza, armadi blindati, etc.) ¾ Aggiornamenti alle soluzioni tecniche e organizzative in essere effettuati tenendo conto anche della letteratura specifica in materia. La sicurezza informatica - La protezione dei dati personali nella PA Misure di tutela e di garanzia IlIltitolare titolareche chesisiavvale avvaledidisoggetti soggettiesterni esterniper perl’installazione l’installazioneee l’adozione l’adozionedelle dellemisure misuredidisicurezza sicurezzadeve devefarsi farsirilasciare rilasciareda da questi una descrizione scritta dell’ ’ intervento effettuato dell questi una descrizione scritta dell’intervento effettuato Attestato Attestato di di conformità conformità alle alle Disposizioni Disposizioni del del Disciplinare Disciplinare Tecnico Tecnico 14 La sicurezza informatica - La protezione dei dati personali nella PA Interventi formativi Vanno previsti interventi formativi degli incaricati del trattamento, trattamento, per informarli: • dei rischi che incombono sui dati, • delle misure disponibili per prevenire eventi dannosi, • dei profili della disciplina sulla protezione dei dati personali più più rilevanti in rapporto alle relative attività attività, • delle responsabilità responsabilità che ne derivano, • delle modalità modalità per aggiornarsi sulle misure minime adottate dal titolare. La formazione è programmata già al momento dell'ingresso in servizio, nonchè in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati personali; La sicurezza informatica - La protezione dei dati personali nella PA Inadempienza temporanea Nel caso in cui gli strumenti non consentono (per limiti tecnologici e/o obsolescenza) l’immediata applicazione delle misure di sicurezza previste dal Codice e dal Disciplinare Tecnico Il titolare è tenuto a descrivere, in un documento avente data certa e da custodire presso la propria struttura, gli impedimenti tecnici che non hanno consentito la puntuale attuazione del dettato normativo. Detti titolari avranno un anno di tempo per adeguare i propri sistemi informatici ed implementare le misure di sicurezza. 15 La sicurezza informatica - La protezione dei dati personali nella PA Sessione 3 Rischi di inadempienza e sanzioni La sicurezza informatica - La protezione dei dati personali nella PA Rischi di inadempienza e sanzioni Il d.lgs 196/03 ha inasprito le sanzioni da applicare in caso di inadempienza del Titolare, il quale è responsabile civilmente e penalmente. Particolare rilevanza viene data all’adozione delle idonee e preventive misure di sicurezza e soprattutto alla mancanza delle misure minime per le quali sono previste sanzioni penali anche se commutabili in rilevanti ammende. 16 La sicurezza informatica - La protezione dei dati personali nella PA Mancata adozione delle Misure di Sicurezza “I dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l’adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito e non conforme alle finalità della raccolta” (cfr. art. 31) “Nel quadro dei più generali obblighi di sicurezza di cui all’art. 31, o previsti da speciali disposizioni, i titolari del trattamento sono comunque tenuti ad adottare le misure minime individuate nel presente capo o ai sensi dell’articolo 58, comma 3, volte ad assicurare un livello minimo di protezione dei dati personali.” Responsabilità civile Responsabilità penale (cfr. art. 33) La sicurezza informatica - La protezione dei dati personali nella PA Il Sistema Sanzionatorio Violazioni Amministrative Art. 161 (Omessa o inidonea informativa all’interessato ) 1. La violazione delle disposizioni di cui all’art. 13 è punita con la sanzione amministrativa del pagamento di una somma da tremila euro a diciottomila euro, o nei casi di dati sensibili o giudiziali o di trattamenti che presentano rischi specifici ai sensi dell’art.17 o comunque, di maggiore rilevanza del pregiudizio per uno o più interessati, da cinquemila euro a trentamila euro. La somma può essere aumentata sino al triplo quando risulta inefficace in ragione delle condizioni economiche del contravventore. Art. 162 (Altre fattispecie ) 1. 2. La cessione dei dati in violazione di quanto previsto dall’Art.16 comm. 1, lett. b) – cessazione del trattamento- o di altre disposizioni in materia di disciplina del trattamento dei dati personali, è punita con la sanzione amministrativa del pagamento di una somma amministrativa da cinque mila euro a trenta mila euro. La violazione della disposizione di cui all’Art. 84 (comunicazione dei dati sanitari – settore specifico)….. È punita con la sanzione amministrativa del pagamento di una somma da cinquecento euro a tremila euro. Art. 163 (Omessa o incompleta notificazione ) 1. Chiunque, essendovi tenuto non provvede tempestivamente alla notificazione di cui agli artt. 37 e 38, ovvero indica in essa notizie incomplete, è punito con la sanzione amministrativa del pagamento di una somma da diecimila euro a sessantamila euro e con la sanzione amministrativa accessoria della pubblicazione dell’ordinanzaingiunzione, per intero o per estratto, in uno o più giornali indicati nel provvedimento che la applica. Art. 164 (Omessa informazione o esibizione al Garante ) 1. Chiunque, omette di fornire le informazioni o di esibire i documenti richiesti dal Garante ai sensi degli artt. 150, comma 2 e 157, è punito con la sanzione amministrativa del pagamento di una somma da quattromila euro a ventiquattro mila euro. Art. 165 (Pubblicazione del provvedimento del Garante ) 1. Nei casi previsti (artt. 161, 162 e 164) può essere applicata la sanzione amministrativa accessoria della pubblicazione dell’ordinanza-ingiunzione, per intero o per estratto, in uno o più giornali. 17 La sicurezza informatica - La protezione dei dati personali nella PA Responsabilità Civile Chiunque cagiona ad altri un danno per effetto del trattamento di dati personali è tenuto al risarcimento se non prova di avere adottato tutte le misure idonee ad evitarlo. La legge ha parificato il trattamento di dati personali, all’esercizio di attività pericolose, ex art. 2050 c.c., con conseguente presunzione di colpa del gestore e relativa inversione dell’onere della prova. Tipologia Importo Codice Omessa, inidonea informativa Dato Personale € 3.000 a 18.000 Dato Sensibile € .5.000 a 30.000 Aumento triplo Omessa, incompleta Notificazione € 10.000 a 60.000 Pubblicaz.ordinanza Omessa informazione o esibizione al Garante € 4.000 a 24.000 Cessione Dati in violazione alle disposizioni Codice € 5.000 a 30.000 Errata o non conforme comunicazione dei dati sanitari all’interessato € 500 a 3.000 D.P.= Dati Personali D.S.= Dati Sensibili La sicurezza informatica - La protezione dei dati personali nella PA Il Sistema Sanzionatorio Il blocco Art. 143. Procedimento per i reclami 1. Esaurita l'istruttoria preliminare, se il reclamo non è manifestamente infondato e sussistono i presupposti per adottare un provvedimento, il Garante, anche prima della definizione del procedimento: a) ….. b) ….. c) dispone il blocco o vieta, in tutto o in parte, il trattamento che risulta illecito o non corretto anche per effetto della mancata adozione delle misure necessarie di cui alla lettera b), oppure quando, in considerazione della natura dei dati o, comunque, delle modalità del trattamento o degli effetti che esso può determinare,vi è il concreto rischio del verificarsi di un pregiudizio rilevante per uno o più interessati; d) ….. 2. I provvedimenti di cui al comma 1 sono pubblicati nella Gazzetta Ufficiale della Repubblica italiana se i relativi destinatari non sono facilmente identificabili per il numero o per la complessità degli accertamenti. Art. 4 – Definizioni Comma 1, lettera o) "blocco", la conservazione di dati personali con sospensione temporanea di ogni altra operazione del trattamento; 18 La sicurezza informatica - La protezione dei dati personali nella PA Il Sistema Sanzionatorio Illeciti Penali Art. 167 (Trattamento illecito dei dati ) 1. 2. Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sé o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli artt. 18, 19, (soggetti pubblici) 23 (consenso), 123 (dati relativi al traffico), 126 (dati relativi all’ubicazione), e 130 (comunicazioni indesiderate), ovvero in applicazione dell’art. 129 (elenco abbonati), è punito, se dal fatto deriva nocumento, con la reclusione sino a due anni o, se il fatto consiste nella comunicazione o diffusione, con la reclusione da sei mesi a tre anni. Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per se o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli artt. 17 (trattamento che presenta rischi specifici) 20 (principi applicabili al trattamento dei dati sensibili) 21 (principi applicabili al trattamento dei dati giudiziari) 22 (principi applicabili al trattamento dei dati sensibili e giudiziari) 25 (divieto di comunicazione e diffuzione) 26 (garanzie per i dati sensibili) 27 (garanzie per i dati giudiziari) 45 (trasferimenti vietati) È punito, se dal fatto deriva nocumento, con la reclusione da uno a quattro anni Art. 168 (Falsità nelle dichiarazioni e notificazioni al Garante ) 1. Chiunque, nella notificazione di cui all’Art. 37 o in comunicazioni, atti, documenti o dichiarazioni resi o esibiti in un procedimento dinanzi al Garante o nel corso di accertamenti, dichiara o attesta falsamente notizie o circostanze o procedure atti o documenti falsi, è punito, salvo che il fatto costituisca più grave reato, con la reclusione da sei mesi a tre anni. La sicurezza informatica - La protezione dei dati personali nella PA Il Sistema Sanzionatorio Illeciti Penali Art. 169 (Misure di Sicurezza ) 1. 2. Chiunque, essendovi tenuto, omette di adottare le misure minime di sicurezza previste dall’Art. 33 è punito con l’arresto sino a due anni o con l’ammenda da diecimila euro a cinquanta mila euro. L’autore del reato, all’atto dell’accertamento o, nei casi complessi, anche con successivo atto del Garante, è impartita una prescrizione fissando un termine per la regolarizzazione non eccedente il periodo di tempo tecnicamente necessario, prorogabile in caso di particolare complessità o per l’oggettiva difficoltà dell’adempimento e comunque non superiore a sei mesi. Nei sessanta giorni successivi allo scadere del termine, se risulta l’adempimento alla prescrizione, l’autore del reato è ammesso dal Garante a pagare una somma pari al quarto del massimo dell’ammenda stabilita per la contravvenzione. L’adempimento e il pagamento estinguono il reato. Art. 170 (Inosservanza di provvedimenti del Garante ) 1. Chiunque, essendovi tenuto, non osserva il provvedimento adottato dal Garante ai sensi dell’Art. 26 (garanzie per i dati sensibili) 90 (dati genetici), 150 (provvedimento a seguito di ricorso), 143 (procedimenti per i reclami), è punito con la reclusione da tre a due anni Art. 171 (Altre Fattispecie) 1. Le violazioni delle disposizioni di cui agli artt. 113 (raccolta di dati e pertinenza –Lavoratori-) e 114 (controllo a distanza) è punibile con le sanzioni dell’art. 38 della legge 20 maggio 1970 n 300. (diritti dei lavoratori) Art. 172 (Pene accessorie) 1. La condanna per uno dei delitti previsti dal presente codice comporta la pubblicazione della sentenza 19 La sicurezza informatica - La protezione dei dati personali nella PA Il Sistema Sanzionatorio Responsabilità Penale Sono previste pene detentive sino ad un massimo di quattro anni di reclusione oltre la pubblicazione della sentenza quale pena accessoria Gli illeciti penali si riferiscono a: • falsa notifica o false informazioni al Garante • inosservanza di provvedimenti del Garante • trattamento illecito di dati (illecita comunicazione o diffusione dei dati; trattamento non consentito; trattamento illecito di dati sensibili) • omessa adozione delle misure minime di sicurezza 20