IL NUOVO CODICE DELLA
PRIVACY
DECRETO LEGISLATIVO
N. 196 DEL 2003
D.Lgs. n. 196 – Codice in materia
di protezione dei dati personali
• Convenzione di Strasburgo del 28.01.1981
(Consiglio d’Europa):
“Protezione delle persone rispetto al
trattamento automatizzato di dati di
carattere personale”
• Direttive comunitarie:
1995/46/Ce e 2002/58/Ce
Categorie di dati
• Dati personali non sensibili:
Esempio: dati anagrafici (nome, cognome, indirizzo,
codice fiscale)
• Dati sensibili:
Esempio: razza, stato di salute, opinioni
• Dati giudiziari:
• Esempio: condanne, procedimenti in corso, fallimenti,
etc.
Dati personali
Informazioni esatte e aggiornate
riferite a persone fisiche o giuridiche
identificate o identificabili
che il titolare del trattamento deve utilizzare
per finalità legittime
limitate e pertinenti all’uso dovuto.
Esempio:
anagrafiche clienti, fornitori, dipendenti
I soggetti coinvolti
• Titolare del trattamento:
(impresa o organizzazione)
• Responsabile del trattamento:
(persona fisica)
• Incaricati del trattamento:
(persone fisiche)
• Interessati al trattamento
• Terzi destinatari o fornitori dei dati
Il titolare del trattamento
acquisisce, utilizza e conserva i dati
decide le finalità di utilizzo (e i dati necessari)
decide le modalità di trattamento:
Raccolta
Registrazione
Comunicazione
Diffusione
decide le misure di sicurezza
vigila sull’operato del responsabile
Responsabile del trattamento
E’ designato a discrezione dal titolare
Può essere persona fisica o giuridica
La nomina è facoltativa
Va nominato per iscritto
Vanno indicati i compiti affidati con l’incarico
Deve essere esperto, capace e affidabile
Può essere anche esterno all’organizzazione del titolare
(esempio: commercialista per i dati contabili)
Incaricati del trattamento
Sono solo persone fisiche
Sono nominati dal titolare del trattamento
La nomina è obbligatoria
Effettuano materialmente le operazioni
Operano sotto l’autorità del responsabile
(o del titolare in mancanza del responsabile)
Devono attenersi ad istruzioni scritte
sui dati da trattare (quali, come, perché, etc.)
Notificazione di trattamento
Denuncia preventiva al Garante, via web,
sull’esistenza di un’attività di trattamento di
dati personali
Comporta l’inserimento nel Registro
Pubblico dei trattamenti (internet)
non tutti i trattamenti vanno notificati (quelli
ordinari su clienti, fornitori e dipendenti
non sono soggetti a notifica)
Trattamenti soggetti a notifica
• Banche dati elettroniche sui rischi di
solvibilità economica, frodi, illeciti,
situazione patrimoniale, inadempimento
generale di obbligazioni
• dati genetici e biometrici
• dati GPS o altra localizzazione geografica
• Profilo dell’interessato (personalità)
• Dati sensibili per indagini per conto terzi
Informativa sul trattamento
Va comunicata dal titolare del trattamento
al soggetto trattato (interessato)
Può essere anche informale, purchè
chiara, completa ed essenziale
Riguarda sia i dati raccolti direttamente
presso l’interessato che presso terzi
Contenuto dell’informativa
•
•
•
•
•
•
(è sufficiente solo la prima volta)
Estremi del titolare e dell’ev. responsabile
Finalità del trattamento (perché)
Modalità del trattamento (come)
Eventuale obbligatorietà del trattamento e
conseguenze del rifiuto
Terzi (o categorie) destinatari dei dati
Diritti dell’interessato
Quando sorge l’obbligo?
Una sola volta all’inizio del rapporto (esempio:
clienti, fornitori, dipendenti)
Quando si modificano in modo sostanziale i dati
trattati (categorie) e le modalità di trattamento
Come redigere l’informativa?
• Anche orale, sintetica e colloquiale
• Si può utilizzare uno spazio nell’ordinaria
corrispondenza (lettere, fatture, etc.)
Quando comunicare l’informativa?
• In caso di dati raccolti presso l’interessato:
prima dell’inizio del trattamento, anche in
forma orale
• In caso di dati raccolti presso terzi:
prima della registrazione
• In caso di dati da destinare a terzi:
entro la prima comunicazione
Quando non è necessaria?
• In caso di dati raccolti presso terzi in
ottemperanza a obblighi di legge
• Per far valere un diritto in sede giudiziaria
• Quando l’onere informativo è troppo
elevato rispetto al diritto alla privacy in
discussione (previa apposita istanza al
Garante)
Il consenso dell’interessato
Non è necessario quando i dati trattati non
sono “sensibili” e, inoltre:
• sono connessi all’esecuzione di un
contratto (o alla trattativa precedente)
• sono conseguenti a obblighi di legge
• provengono da elenchi pubblici
• Sono relativi allo svolgimento di attività
economiche rese pubbliche
dall’interessato
Il consenso dell’interessato
Quando è necessario chiederlo, il consenso
deve essere
• Libero
• Specifico rispetto ai dati trattati
• Informato rispetto al trattamento
• Documentato per iscritto e sottoscritto
I dati sensibili
• Origine razziale o etnica
• Convinzioni religiose o filosofiche
• Opinioni politiche (comprese adesioni a
partiti, sindacati, movimenti, etc.)
• Stato di salute
• Comportamento sessuale.
I dati sensibili
Necessitano sempre, per essere trattati:
• Del consenso scritto dell’interessato
• Dell’autorizzazione del Garante
Vi sono tuttavia 7 autorizzazioni “generali”
preventive, rilasciate dal Garante per i dati
sensibili da trattare in alcuni casi tipici.
Esempio: rapporto di lavoro (malattia)
associazioni (opinioni politiche)
Il trasferimento dati fuori dall’UE
All’interno dell’UE vigono le stesse regole
Fuori dall’UE il trasferimento è consentito
se:
• l’interessato ha dato consenso espresso
• è necessario per l’esecuzione di un
contratto
• è necessario per un pubblico interesse o
attività difensive in sede giudiziaria
• riguarda persone giuridiche, enti o assoc.
Il trasferimento dati fuori dall’UE
Quando non è consentito a priori, il
trasferimento può essere autorizzato se:
• vi sono idonee garanzie per l’interessato
(autorizzazione caso per caso)
• vi sono autorizzazioni generali del Garante
(esempio: “Safe Harbor” con gli USA)
• il trasferimento avviene con modalità
standard già autorizzate preventiv. dall’UE
Il diritto d’accesso
• L’interessato ha diritto di accedere ai dati
che lo riguardano, trattati presso terzi
• Il titolare del trattamento deve rispondere
alla richiesta entro 15 giorni dal
ricevimento
• In caso di mancata o incompleta risposta,
l’interessato può rivolgersi all’a.g. o
ricorrere al Garante
Il diritto d’accesso
L’interessato ha diritto di ottenere informazioni su:
•
•
•
•
•
•
•
esistenza o meno di dati personali che lo riguardano
origine dei dati
finalità del trattamento
modalità del trattamento
metodi elettronici per il trattamento
estremi del titolare, responsabili e incaricati
terzi destinatari
Il diritto d’accesso
L’interessato ha diritto di ottenere:
• l’aggiornamento o rettifica dei dati
• l’integrazione dei dati
• la cancellazione dei dati trattati in
violazione della legge o del consenso
• L’attestazione ai terzi destinatari
dell’avvenuto aggiornamento, rettifica,
integrazione o cancellazione
La sicurezza dei sistemi
• I soggetti coinvolti
• Le misure di sicurezza (e le “minime”)
• Il DPS (documento programmatico per la s)
I soggetti coinvolti
•
•
•
•
•
Titolare del trattamento
Eventuale responsabile designato
Incaricati
Interessato al trattamento
Terzi
Contenuto dell’obbligo
Il titolare deve adottare tutte le misure
idonee, alla luce del progresso tecnico,
per ridurre i rischi di:
• Distruzione
• Perdita
• Accesso non autorizzato o non consentito
Le misure minime
Trattamenti effettuati con sistemi elettronici:
• Autenticazione informatica con credenziali
(User-ID e password)
• Programmi anti-vulnerabilità (antivirus,
firewall, anti-trojan, etc.)
• Procedure di salvataggio periodico (backup)
Le misure minime
Trattamenti effettuati con strumenti non elettronici:
• Istruzioni scritte agli incaricati (controllo e
custodia)
• Uso di contenitori e locali sottoposti a
“credenziali” (chiave, serratura, etc.)
• Sistemi di protezione e sicurezza (facoltativo):
– Impianto antincendio (segnalazione e/o estinzione)
– Misure di prevenzione e protezione incendi
– Impianto anti-effrazione
Il DPS
• E’ obbligatorio in caso di trattamento di dati
sensibili e/o giudiziari
• E’ comunque opportuno per evidenziare le
misure “minime”
• Va redatto e aggiornato entro il 31 marzo di ogni
anno
• Va conservato dal titolare presso la propria
struttura (senza comunicarlo al Garante)
• Va esibito in caso di controlli ispettivi
Il DPS per le misure “minime”
•
•
•
•
•
•
•
•
•
Indice:
Dati del titolare del trattamento
Elenco dei trattamenti di dati personali
Distribuzione compiti e responsabilità
Analisi dei rischi
Misure di protezione preventiva
Misure di ripristino
Interventi formativi
Criteri minimi per l’affidamento dati a terzi
Nomina responsabile, incaricati e custode credenziali
Dati del titolare
•
•
•
•
•
Nome o denominazione
Sede o residenza
Codice fiscale e/o partita IVA
Telefono, fax, e-mail
Dati del legale rappresentante
Elenco dei trattamenti dati
• Categoria di trattamento:
(esempio: gestione clienti, fornitori, dipendenti)
• Finalità:
(esempio: contabilità generale e paghe)
• Tipo di dati:
(esempio: personali non sensibili)
• Gestione:
(esempio: interna o esterna)
• Eventuale responsabile
• Banche dati utilizzate
(esempio: archivio cartaceo, cartelle elettroniche MS Access, etc.)
• Dispositivi utilizzati
(esempio: PC Desktop Marca HP……….)
Distribuzione compiti
• Responsabile: ……………..
• Incaricato 1…..Compito:……..
• Incaricato 2…..Compito:…….
Esempio: sig. Rossi – Addetto paghe
sig. Bianchi – Addetto contabilità
…………..
Analisi dei rischi
Alto / Medio / Basso per:
• Furto credenziali autenticazione
• Incuria
• Frode
• Errore materiale
• Virus informatici
• Spamming
• Malfunzionamento strumenti
• Accessi esterni ai locali non autorizzati
• Intercettazione informazioni informatiche
• Furto
• Eventi dolosi o accidentali, guasti, etc.
Misure di protezione preventiva
Responsabile, trattamento interessato, rischio protetto,
stato attuale (attivo o meno), controlli periodici
(settimana, mese, etc.) per:
•
•
•
•
•
•
•
Aggiornamenti software
Antivirus
Firewall hardware o software
Cifratura (su floppy, smart card, etc.)
Gruppo continuità
Allarme e serrature di sicurezza
Impianto antincendio
Misure minime strumenti elettronici
• Credenziali autenticazione (User-ID e password) di almeno 8
caratteri di cui almeno 2 numerici e almeno 2 alfabetici
• Modificazione obbligatoria al primo utilizzo
• Modificazione obbligatoria ogni 6 mesi (dati personali non sensibili)
o 3 mesi (dati sensibili o giudiziari)
• Il codice è strettamente personale
• I codici aziendali sono affidati a un custode delle credenziali che le
conserva in luogo sicuro e, in sua assenza, nomina un sostituto
sotto propria responsabilità
• In caso di mancato utilizzo per 6 mesi, le credenziali sono
automaticamente disattivate
• In caso di intervento tecnico, al termine va modificata nuovamente la
password
• Le credenziali su supporti (floppy, smart card, etc.) vanno
conservate sotto chiave dal custode delle credenziali
Misure di ripristino
Procedure di back-up:
• Copie informatiche
• Copie cartacee (eventuali)
Responsabile, frequenze salvataggio,
frequenze verifica, luogo e modalità di
conservazione archivi
Procedura di ripristino
Interventi formativi
•
•
•
•
•
•
•
Normativa
Responsabilità
Rischi
Misure di sicurezza
Aggiornamenti tecnici
Aggiornamenti di procedura
Quando e come si effettuano (esempio:
neo assunti, periodici, etc.)
Criteri per l’affidamento dati a terzi
Chiarire le procedure in caso che alcuni dati
formalmente trattati dal titolare siano
affidati in trattamento a terzi
Esempio: il commercialista che tratta i dati
contabili dell’impresa (clienti, fornitori e
dipendenti)
Come si trasferiscono, con che periodicità,
su che supporti, chi è responsabile, etc.