Il pericolo non viene da ciò che non sappiamo, ma da quello che crediamo sia vero, e invece non lo è.” (Mark Twain) Nascita ed evoluzione del diritto alla privacy Privacy – concetto prevalentemente non giuridico. Nozione variabile, dinamica, culturale. 1889 – Inizia formalmente la lunga storia della privacy moderna. 1889 – Esce lo studio di Samuel Warren e Louis Brandeis: “The right to privacy” Nascita e evoluzione del diritto alla privacy Warren e Brandeis e il “let to be alone”. Caso Sullivan (1964). Tra il 1905 e il 1995 ci sono state 305 decisioni della Corte Suprema USA. Affermazione del potere attraverso il controllo. G. Orwell, 1984. Nascita e evoluzione del diritto alla privacy Avvento delle nuove tecnologie. Società dell’informazione. Circolazione delle informazioni. Mutamento del concetto tradizionale di privacy. Dal diritto ad essere lasciato da solo al diritto di mantenere il controllo sulla circolazione delle informazioni che riguardano l’interessato. Nascita e evoluzione del diritto alla privacy Diritto di controllare l’uso che altri fanno delle informazioni che mi riguardano; Diritto di effettuare le proprie scelte di vita al riparo dal controllo pubblico e dalla stigmatizzazione sociale; Diritto alla libertà delle proprie scelte esistenziali; Diritto di mantenere il controllo delle proprie informazioni e di determinare liberamente le modalità di costruzione della propria sfera privata; Nascita e evoluzione del diritto alla privacy Diritto a non essere semplificato, trasformato in oggetto, valutato fuori dal contesto. Si accentua il ruolo della privacy come forma di libertà. La garanzia giuridica accompagna la trasformazione, e su questa si modula. La privacy in Italia Difficoltà iniziali nel riconoscere giuridicamente una tutela alla vita privata. Primi casi giurisprudenziali negli anni 50. Caso Caruso (Cass. 22.12.56, n. 4487). Caso Petacci (Cass. 20.4.63, n. 990). Caso Soraya (Cass. 27.5.75, n. 2129). La privacy in Italia Diffusione degli elaboratori elettronici. Studi di Vittorio Frosini, Stefano Rodotà. Statuto dei lavoratori (artt. 4 e 8). Caso schedature Fiat. Primi disegni e progetti di legge. Commissione Mirabelli. Prima legge italiana a tutela dei dati personali • Legge 31 dicembre 1996, n. 675 intitolata “Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali”. • L’art. 1 della Direttiva n. 95/46/CE prevede che ciascuno Stato membro deve garantire la tutela dei diritti e delle libertà fondamentali delle persone fisiche e particolarmente del diritto alla vita privata, con il riguardo al trattamento dei dati personali, senza tuttavia restringere o vietare, per motivi connessi alla predetta tutela, la libera circolazione dei dati personali tra gli Stati membri. Il Codice in materia di protezione dei dati personali • Codice in materia di protezione dei dati personali (D. Lgs. 30 giugno 2003, n. 196). • Diviso in tre parti: 1. disposizioni generali 2. disposizioni relative a specifici settori 3. tutela dell’interessato e sanzioni • Composto da 186 articoli e 7 allegati. Il diritto alla privacy come costellazione di diritti Diritto alla riservatezza. Diritto alla protezione dei dati personali. Diritto all’identità personale. Diritto all’oblio. Tutela dell’anonimato. Art. 1 Chiunque ha diritto alla protezione dei dati personali che lo riguardano. Il diritto alla protezione dei dati personali è riconosciuto anche dalla Carta dei diritti fondamentali dell’Unione Europea (art. 8). Finalità Il Codice (art. 2) garantisce che il trattamento dei dati si svolga nel rispetto dei diritti e delle libertà fondamentali della persona, nonché della dignità dell’interessato, con particolare riferimento alla riservatezza, all’identità personale e al diritto alla protezione dei dati personali. Art. 8 Carta dei diritti fondamentali U.E. • 1. Ogni individuo ha diritto alla protezione dei dati di carattere personale che lo riguardano. • 2. Tali dati devono essere trattati secondo il principio di lealtà, per finalità determinate e in base al consenso della persona interessata o a un altro fondamento legittimo previsto dalla legge. Ogni individuo ha il diritto di accedere ai dati raccolti che lo riguardano e di ottenerne la rettifica. • 3. Il rispetto di tali regole è soggetto al controllo di un’autorità indipendente. Principio di necessità nel trattamento dei dati I sistemi informativi e i programmi informatici sono configurati riducendo al minimo l’utilizzazione di dati personali e di dati identificativi, in modo da escluderne il trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante, rispettivamente, dati anonimi od opportune modalità che permettano di identificare l’interessato solo in caso di necessità (art. 3). Il corpo elettronico Nasce una concezione integrale della persona. Diritto di non perdere mai il potere di mantenere il pieno controllo sul proprio corpo: - CORPO FISICO - CORPO ELETTRONICO Dati D.Lgs. 30 giugno 2003, n. 196 Trattamenti Ruoli DATI Personale Identificativo Sensibile Giudiziario Anonimo Dato personale qualunque informazione relativa a persona fisica, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale. Dato personale “La legge, in armonia con gli atti internazionali e comunitari che ha attuato, considera come «dato personale» qualunque informazione che consenta l’identificazione dei soggetti interessati, anche se derivante da suoni o da immagini (come appunto una registrazione sonora, una foto od un filmato); un’intervista o un colloquio, come qualsiasi altra dichiarazione, opinione o manifestazione del pensiero proveniente dall’interessato (uno scritto, un saggio, un articolo, ecc.), costituiscono senz’altro informazioni che riguardano la sua persona e come tali «dati personali», essendo del tutto irrilevante la forma in cui esse sono trattate oppure gli eventuali supporti che le contengono (nel caso di specie, una audiocassetta)” (Garante Privacy, 26 novembre 1998). Dati identificativi I dati personali che permettono l’identificazione diretta dell’interessato (ad. es. nome e cognome, recapiti telefonici, codice fiscale, dati bancari, etc.) Dati sensibili I dati personali idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale. Dati giudiziari I dati personali idonei a rivelare provvedimenti di cui all’articolo 3, comma 1, lettere da a) a o) e da r) a u), del d.P.R. 14 novembre 2002, n. 313, in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualità di imputato o di indagato ai sensi degli articoli 60 e 61 del codice di procedura penale. Dato anonimo “Il dato che in origine, o a seguito di trattamento, non può essere associato ad un interessato identificato o identificabile”. Trattamenti … c’è qualcosa che non sia considerabile “Trattamento”? “…s’intende per “trattamento”, qualunque operazione o complesso di operazioni, effettuati anche senza l'ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati…” (art. 4 – D.Lg 196/03) Comunicazione “Il dare conoscenza dei dati personali a uno o più soggetti determinati diversi dall’interessato, dal rappresentante del titolare nel territorio dello Stato, dal responsabile e dagli incaricati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione”. Diffusione “Il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione”. Ruoli L’interessato Il titolare del trattamento Il responsabile del trattamento L’incaricato Il titolare del trattamento La persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza. Il titolare Quando il trattamento è effettuato da una P.A., il titolare deve essere individuato nella P.A. stessa (es. il ministero) e non nella persona fisica che l’amministra o rappresenta (es. il ministro). Nel caso di strutture articolate in direzioni generali, ovvero in sedi centrali, decentrate o periferiche, il titolare è di regola la struttura nel suo complesso. Se, però, la singola direzione generale esercita un potere decisionale autonomo su finalità e modalità del trattamento, il titolare è la medesima direzione o sede. Il responsabile del trattamento La persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali. Il responsabile del trattamento È facoltà delle amministrazioni designare alcuni soggetti (persone fisiche o giuridiche, enti od organismi) quali "responsabili" del trattamento, delineandone analiticamente e per iscritto i compiti attribuiti, e individuando al loro interno, se del caso, ulteriori livelli di responsabilità in base all'organizzazione delle divisioni e degli uffici o alle tipologie di trattamenti, di archivi e di dati, sempre che ciascuno di questi dimostri l'esperienza, la capacità e l'affidabilità richieste dalla legge (art. 29 del Codice). Il responsabile del trattamento 1 . Il responsabile è designato dal titolare facoltativamente. 2. Se designato, il responsabile è individuato tra soggetti che per esperienza, capacità ed affidabilità forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza. 3. Ove necessario per esigenze organizzative, possono essere designati responsabili più soggetti, anche mediante suddivisione di compiti. 4. I compiti affidati al responsabile sono analiticamente specificati per iscritto dal titolare. 5. Il responsabile effettua il trattamento attenendosi alle istruzioni impartite dal titolare il quale, anche tramite verifiche periodiche, vigila sulla puntuale osservanza delle disposizioni di cui al comma 2 e delle proprie istruzioni. Gli incaricati Le persone fisiche autorizzate a compiere operazioni di trattamento dal titolare o dal responsabile. Gli incaricati E’ necessario invece che ogni lavoratore sia preposto per iscritto, in qualità di "incaricato", alle operazioni di trattamento e sia debitamente istruito in ordine all'accesso e all'utilizzo delle informazioni personali di cui può venire a conoscenza nello svolgimento della propria prestazione lavorativa. La designazione degli incaricati può essere effettuata nominativamente o, specie nell'ambito di strutture organizzative complesse, mediante atti di preposizione del lavoratore a unità organizzative per le quali venga altresì previamente individuato, per iscritto, l'ambito del trattamento consentito (art. 30 del Codice). Designazione degli incaricati “In assenza di una formale designazione come incaricati, i dipendenti che, per lo svolgimento di propri compiti, vengono a conoscenza di dati personali, devono essere considerati come soggetti terzi rispetto all’amministrazione stessa. Con conseguenti limiti per la comunicazione e l’utilizzazione dei dati e quindi per la liceità del trattamento” (Garante, 23 maggio 2000). L’interessato La persona fisica, la persona giuridica, l’ente o l’associazione cui si riferiscono i dati personali. I diritti dell’interessato 1. 2. 3. I diritti riconosciuti dall’art. 7 possono essere classificati in tre categorie principali: il diritto a conoscere se un trattamento è stato iniziato; l’ esercizio di un controllo sulla qualità dei dati; il diritto di opposizione. Modalità del trattamento e requisiti dei dati - I dati personali oggetto di trattamento sono: a) trattati in modo lecito e secondo correttezza; b) raccolti e registrati per scopi determinati, espliciti e legittimi, ed utilizzati in altre operazioni del trattamento in termini compatibili con tali scopi; c) esatti e, se necessario, aggiornati; d) pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono raccolti o successivamente trattati; e) conservati in una forma che consenta l’identificazione dell’interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati. - I dati trattati in violazione della normativa in materia non possono essere utilizzati. L’informativa L’informativa ha la finalità di attuare i principi della correttezza, lealtà e trasparenza del trattamento mettendo gli interessati in condizioni di esercitare il diritto di accesso, rettifica, aggiornamento dei dati nei confronti del titolare del trattamento. Permette, inoltre, agli interessati, nei casi in cui è richiesto, un consenso valido al trattamento dati. L’Informativa L’informativa costituisce un adempimento, posto a carico di soggetti, sia pubblici sia privati, che il titolare del trattamento deve di regola porre in essere anche quando la raccolta dei dati sia prevista da una disposizione normativa (Garante, 21 ottobre 1998). Omessa o inidonea informativa all'interessato (art. 161) La violazione delle disposizioni di cui all'articolo 13 (Informativa) è punita con la sanzione amministrativa del pagamento di una somma da seimila euro a trentaseimila euro. L’informativa e il consenso Il consenso può ritenersi validamente prestato solo ove fondato su un’informativa adeguata, sicché i vizi attinenti alla mancanza, all’incompletezza o all’inesattezza dell’informativa si riflettono inevitabilmente sulla validità della sua manifestazione (Garante, 13 gennaio 2000). Il consenso Natura autorizzatoria del consenso. Espressione della libertà di autodeterminazione informativa. Requisiti del consenso. Il consenso deve essere espresso liberamente, in forma specifica e documentato Soggetti che effettuano il trattamento Soggetti pubblici – principio di legalità Soggetti privati – principio del consenso Nozione di soggetto pubblico: - amministrazioni dello Stato, anche a ordinamento autonomo; - gli enti pubblici non economici nazionali e locali; - regioni; - enti locali territoriali. Principi applicabili ai trattamenti effettuati da soggetti pubblici Qualunque trattamento di dati è consentito soltanto per lo svolgimento delle funzioni istituzionali (principio funzionale). Nel trattare i dati il soggetto pubblico osserva i presupposti e i limiti stabiliti dal codice privacy nonché dalla legge e dai regolamenti. Non necessità del consenso Principi applicabili al trattamento di dati diversi da quelli sensibili e giudiziari 1. Il trattamento da parte di un soggetto pubblico riguardante dati diversi da quelli sensibili e giudiziari è consentito, fermo restando quanto previsto dall'articolo 18, comma 2, anche in mancanza di una norma di legge o di regolamento che lo preveda espressamente. 2. La comunicazione da parte di un soggetto pubblico ad altri soggetti pubblici è ammessa quando è prevista da una norma di legge o di regolamento. In mancanza di tale norma la comunicazione è ammessa quando è comunque necessaria per lo svolgimento di funzioni istituzionali. 3. La comunicazione da parte di un soggetto pubblico a privati o a enti pubblici economici e la diffusione da parte di un soggetto pubblico sono ammesse unicamente quando sono previste da una norma di legge o di regolamento. Il trattamento dei dati sensibili da parte di soggetti pubblici I dati sensibili possono essere trattati solo se autorizzati da espressa disposizione di legge che specifichi: - tipi di dati trattati; - operazioni eseguibili; - finalità di rilevante interesse pubblico perseguite. - I dati idonei a rivelare lo stato di salute non possono essere diffusi. Art. 19, comma 3 bis Le notizie concernenti lo svolgimento delle prestazioni di chiunque sia addetto a una funzione pubblica e la relativa valutazione sono rese accessibili dall'amministrazione di appartenenza. Non sono invece ostensibili, se non nei casi previsti dalla legge, le notizie concernenti la natura delle infermità e degli impedimenti personali o familiari che causino l'astensione dal lavoro, nonché le componenti della valutazione o le notizie concernenti il rapporto di lavoro tra il predetto dipendente e l'amministrazione, idonee a rivelare taluna delle informazioni di cui all'art. 4, comma 1, lettera d). Il trattamento dei dati sensibili da parte di soggetti pubblici Se il trattamento non è previsto espressamente da una disposizione di legge i soggetti pubblici possono richiedere al Garante l'individuazione delle attività, tra quelle demandate ai medesimi soggetti dalla legge, che perseguono finalità di rilevante interesse pubblico e per le quali è conseguentemente autorizzato, ai sensi dell'articolo 26, comma 2, il trattamento dei dati sensibili (Garanzie per i dati sensibili). Il trattamento dei dati sensibili da parte di soggetti pubblici Utilizzo di tecniche di cifratura e codici identificativi (art. 22, comma 6) Conservati separatamente da altri dati personali trattati per finalità che non richiedono il loro utilizzo. I dati idonei a rivelare lo stato di salute non possono essere diffusi. I regolamenti per trattare i dati sensibili Nel solo 2006 il Garante ha fornito il parere su 106 regolamenti presentati da soggetti pubblici. Sicurezza dei dati e dei sistemi Le misure di sicurezza hanno una importanza fondamentale nella tutela dei dati personali. Obblighi di sicurezza. Gli obblighi di sicurezza gravano sul titolare e sul responsabile, che devono selezionare, modulare e diversificare le varie misure di protezione disponibili, in modo da renderle efficaci allo scopo nel caso concreto. Sicurezza dei dati e dei sistemi L’art. 31 (Obblighi di sicurezza) prevede una tutela generale per tutti i dati oggetto di trattamento da parte di aziende private e pubbliche amministrazioni. Precauzioni di carattere generale che investono tutte le tipologie di dati trattati per i quali è sempre richiesta l’adozione di idonee e preventive misure di sicurezza. Sicurezza dei dati e dei sistemi La sicurezza dei dati è essenzialmente fondata: a) Sulla riduzione del rischio informatico; b) Sull’obbligo di custodia e di controllo. Art. 31 Obblighi di sicurezza I dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l’adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta. Responsabilità civile Il titolare è civilmente responsabile qualora ometta di adottare le misure di sicurezza idonee e preventive che riducono al minimo i rischi indicati nell’art. 31. L’art. 15 del Codice prevede le ipotesi di responsabilità civile nell’attività di trattamento dei dati personali. Chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell’art. 2050 c.c. Misure minime di sicurezza Le misure minime di sicurezza, ossia le misure tecniche, informatiche, organizzative, logistiche e procedurali di sicurezza che configurano il livello minimo di protezione trovano un duplice riferimento normativo: 1. Le norme di rango legislativo presenti nel Codice privacy; 2. le 29 regole inserite nell’Allegato B al Codice. Misure minime di sicurezza 1. 2. Livello minimo di protezione dei dati. Misure minime a due vie: trattamento con strumenti elettronici; trattamento senza strumenti elettronici. Misure minime di sicurezza Art. 33 - Nel quadro dei più generali obblighi di sicurezza di cui all’articolo 31, o previsti da speciali disposizioni, i titolari del trattamento sono comunque tenuti ad adottare le misure minime individuate nel presente capo o ai sensi dell’articolo 58, comma 3, volte ad assicurare un livello minimo di protezione dei dati personali. Trattamenti effettuati con strumenti elettronici Il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate modi previsti dal disciplinare tecnico contenuto nell’allegato B), le seguenti misure minime: a) autenticazione informatica; b) adozione di procedure di gestione delle credenziali di autenticazione; c) utilizzazione di un sistema di autorizzazione; d) aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici; Trattamenti con strumenti elettronici e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici; f) adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi; g) tenuta di un aggiornato documento programmatico sulla sicurezza; h) adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari. Autenticazione informatica È la procedura di riconoscimento di un qualsiasi utente che accede a un sistema informatico predisposto in tal senso. Ogni soggetto che accede deve essere identificato. Identificazione tramite una credenziale di autenticazione. Autenticazione informatica Credenziali di autenticazione: i dati e i dispositivi, in possesso di una persona, da questa conosciuti o ad essa univocamente correlati, utilizzati per l’autenticazione informatica (art. 4, c.3, lett. d, Codice). Tre sistemi differenti: 1) codice per l’identificazione dell’incaricato associato a una parola chiave (password); 2) dispositivo di autenticazione in possesso e uso esclusivo dell’incaricato (badge, pass); 3) una caratteristica biometrica dell’incaricato (impronte digitali, impronta retinica, ecc.), eventualmente associata ad una parola chiave o a un codice identificativo Misure biometriche Ogni tecnica biometrica, che sia utilizzata a scopo di autenticazione/verifica o di identificazione, dipende, in misura maggiore o minore, dall'elemento biometrico considerato: universale: l'elemento biometrico è presente in tutte le persone; unico: l'elemento biometrico deve essere distintivo per ogni persona; permanente: ogni persona conserva il proprio elemento biometrico nel corso del tempo. Misure biometriche Un sistema biometrico è un dispositivo automatico per la verifica di identità o l’identificazione di unatria si occupa di valutare e corpo umano; di queste verranno considerate solo quelle che permettono un’identificazione univoca dell’ individuo (caratteristiche biometriche). Misure biometriche Tecniche di tipo fisico o fisiologico: misurano le caratteristiche fisiologiche di una persona. Esse comprendono: la verifica delle impronte digitali, l'analisi dell'immagine delle dita, il riconoscimento dell'iride, l'analisi della retina, il riconoscimento del volto, la geometria della mano, il riconoscimento della forma dell'orecchio, il rilevamento dell'odore del corpo, il riconoscimento vocale, l'analisi della struttura del DNA, l'analisi dei pori della pelle ecc.. Misure biometriche Di tipo comportamentale: misurano il comportamento di una persona. Esse comprendono la verifica della firma manoscritta, l'analisi della battitura su tastiera, l'analisi dell'andatura Autenticazione informatica La parola chiave deve rispettare le seguenti caratteristiche: - deve essere composta da 8 caratteri; - non contenere riferimenti agevolmente riconducibili all’incaricato (nome proprio, nome dei familiari, data di nascita…); - deve essere modificata al primo utilizzo dall’incaricato a cui è affidata; - deve essere modificata almeno ogni 6 mesi (per i sistemi che gestiscono dati sensibili e giudiziari almeno ogni 3 mesi). Credenziali di autenticazione Quando non vengono utilizzate per almeno 6 mesi vengono disattivate. Vengono disattivate anche in caso di perdita della qualità che consente all’incaricato l’accesso ai dati. Il codice per l’identificazione, laddove utilizzato, non può essere assegnato ad altri incaricati, neppure in tempi diversi. Gli incaricati devono adottare opportune cautele per assicurare la segretezza della componente riservata della credenziale e la diligente custodia dei dispositivi in possesso. Sono impartite istruzioni agli incaricati per non lasciare incustodito e accessibile lo strumento elettronico durante una sessione di lavoro. Sistemi di autorizzazione Quando per gli incaricati sono individuati profili di autorizzazione di ambito diverso è utilizzato un sistema di autorizzazione. Prevedere un sistema di gestione delle autorizzazioni. I profili di autorizzazione, per ciascun incaricato o per classi omogenee di incaricati, sono individuati e configurati anteriormente all’inizio del trattamento, in modo da limitare l’accesso ai soli dati necessari per effettuare le operazioni di trattamento. Periodicamente, e comunque almeno annualmente, è verificata la sussistenza delle condizioni per la conservazione dei profili di autorizzazione. Protezione degli strumenti informatici e dei dati I dati personali sono protetti contro il rischio di intrusione e dell’azione di programmi di cui all’art. 615-quinquies c.p., mediante: - attivazione di strumenti elettronici da aggiornare con cadenza almeno semestrale (i programmi antivirus); - aggiornamento periodico dei programmi per elaboratore volti a prevenire la vulnerabilità di strumenti elettronici e a correggerne difetti (i c.d. patch); - per i dati sensibili e giudiziari sono richiesti anche idonei sistemi elettronici volti a proteggere il sistema da accessi abusivi (i c.d. firewall). Back up e ripristino della disponibilità dei dati Sono impartite istruzioni organizzative e tecniche che prevedono il salvataggio dei dati con frequenza almeno settimanale. Si devono predisporre e implementare procedure per il ripristino della configurazione di sistema. Piano di disaster recovery obbligatorio se si trattano dati sensibili e giudiziari. Ulteriori misure in caso di trattamento di dati sensibili o giudiziari I dati sensibili o giudiziari sono protetti contro l’accesso abusivo, di cui all’art. 615-ter c.p., mediante l’utilizzo di idonei strumenti elettronici. Sono impartite istruzioni organizzative e tecniche per la custodia e l’uso dei supporti rimovibili su cui sono memorizzati i dati al fine di evitare accessi non autorizzati e trattamenti non consentiti. I supporti rimovibili contenenti dati sensibili o giudiziari se non utilizzati sono distrutti o resi inutilizzabili. Ulteriori misure in caso di trattamento di dati sensibili o giudiziari Sono adottate idonee misure per garantire il ripristino dell’accesso ai dati in caso di danneggiamento degli stessi o degli strumenti elettronici, in tempi certi compatibili con i diritti degli interessati e non superiori a sette giorni. Ulteriori misure in caso di trattamento di dati sensibili o giudiziari I dati relativi all’identità genetica sono trattati esclusivamente all’interno di locali protetti accessibili ai soli incaricati dei trattamenti ed ai soggetti specificatamente autorizzati ad accedervi; il trasporto dei dati all’esterno dei locali riservati al loro trattamento deve avvenire in contenitori muniti di serratura o dispositivi equipollenti; il trasferimento dei dati in formato elettronico è cifrato. Trattamenti senza ausilio di strumenti elettronici Il trattamento di dati personali effettuato senza l’ausilio di strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell’allegato B), le seguenti misure minime: a) aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati o alle unità organizzative; b) previsione di procedure per un’idonea custodia di atti e documenti affidati agli incaricati per lo svolgimento dei relativi compiti; c) previsione di procedure per la conservazione di determinati atti in archivi ad accesso selezionato e disciplina delle modalità di accesso finalizzata all’identificazione degli incaricati. Omessa adozione di misure minime di sicurezza Chiunque, essendovi tenuto, omette di adottare le misure minime previste all’articolo 33 è punito con l’arresto sino a due anni o con l’ammenda da diecimila euro a cinquantamila euro (art. 169, comma 1). Omessa adozione di misure minime di sicurezza All’autore del reato, all’atto dell’accertamento o, nei casi complessi, anche con successivo atto del Garante, è impartita una prescrizione fissando un termine per la regolarizzazione non eccedente il periodo di tempo tecnicamente necessario, prorogabile in caso di particolare complessità o per l’oggettiva difficoltà dell’adempimento e comunque non superiore a sei mesi. Nei sessanta giorni successivi allo scadere del termine, se risulta l’adempimento alla prescrizione, l’autore del reato è ammesso dal Garante a pagare una somma pari al quarto del massimo dell’ammenda stabilita per la contravvenzione. L’adempimento e il pagamento estinguono il reato (art. 169, comma 2). Le sanzioni Sanzioni amministrative Sanzioni penali Le sanzioni amministrative Omessa o inidonea informativa all'interessato. Sanzioni in materia di conservazione dei dati di traffico. Omessa o incompleta notificazione al Garante. Omessa informazione o esibizione al Garante. Pubblicazione del provvedimento del Garante (sanzione accessoria). Altre fattispecie ex art. 162 del Codice. Casi di minore gravità e ipotesi aggravate ex art. 164 bis del Codice. Omessa o inidonea informativa all'interessato (art. 161) La violazione delle disposizioni di cui all'articolo 13 (Informativa) è punita con la sanzione amministrativa del pagamento di una somma da seimila euro a trentaseimila euro. Sanzioni in materia di conservazione dei dati di traffico (art. 162 bis) Salvo che il fatto costituisca reato e salvo quanto previsto dall'articolo 5, comma 2, del decreto legislativo di recepimento della direttiva 2006/24/Ce del Parlamento europeo e del Consiglio del 15 marzo 2006, nel caso di violazione delle disposizioni di cui all'art. 132, commi 1 e 1bis, si applica la sanzione amministrativa pecuniaria da 10.000 euro a 50.000 euro. Omessa o incompleta notificazione al Garante (art. 163) Chiunque, essendovi tenuto, non provvede tempestivamente alla notificazione ai sensi degli articoli 37 e 38, ovvero indica in essa notizie incomplete, è punito con la sanzione amministrativa del pagamento di una somma da ventimila euro a centoventimila euro. Omessa informazione o esibizione al Garante (art. 164) Chiunque omette di fornire le informazioni o di esibire i documenti richiesti dal Garante ai sensi degli articoli 150, comma 2, e 157 è punito con la sanzione amministrativa del pagamento di una somma da diecimila euro a sessantamila euro. Pubblicazione del provvedimento del Garante Nei casi di cui agli articoli del presente Capo può essere applicata la sanzione amministrativa accessoria della pubblicazione dell'ordinanza-ingiunzione, per intero o per estratto, in uno o più giornali indicati nel provvedimento che la applica. La pubblicazione ha luogo a cura e spese del contravventore. Illeciti penali Trattamento illecito di dati Falsità nelle dichiarazioni e notificazioni al Garante Misure di sicurezza. Inosservanza di provvedimenti del Garante. Pene accessorie. Trattamento illecito di dati (art. 167) 1. Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sè o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli articoli 18, 19, 23, 123, 126 e 130, ovvero in applicazione dell'articolo 129, è punito, se dal fatto deriva nocumento, con la reclusione da sei a diciotto mesi o, se il fatto consiste nella comunicazione o diffusione, con la reclusione da sei a ventiquattro mesi. 2. Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sè o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli articoli 17, 20, 21, 22, commi 8 e 11, 25, 26, 27 e 45, è punito, se dal fatto deriva nocumento, con la reclusione da uno a tre anni Falsità nelle dichiarazioni e notificazioni al Garante (art. 168) Chiunque, nella notificazione di cui all'articolo 37 o in comunicazioni, atti, documenti o dichiarazioni resi o esibiti in un procedimento dinanzi al Garante o nel corso di accertamenti, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi, è punito, salvo che il fatto costituisca più grave reato, con la reclusione da sei mesi a tre anni. Misure di sicurezza (art. 169) 1. Chiunque, essendovi tenuto, omette di adottare le misure minime previste dall'articolo 33 è punito con l'arresto sino a due anni. 2. All'autore del reato, all'atto dell'accertamento o, nei casi complessi, anche con successivo atto del Garante, è impartita una prescrizione fissando un termine per la regolarizzazione non eccedente il periodo di tempo tecnicamente necessario, prorogabile in caso di particolare complessità o per l'oggettiva difficoltà dell'adempimento e comunque non superiore a sei mesi. Nei sessanta giorni successivi allo scadere del termine, se risulta l'adempimento alla prescrizione, l'autore del reato è ammesso dal Garante a pagare una somma pari al quarto del massimo della sanzione stabilita per la violazione amministrativa. L'adempimento e il pagamento estinguono il reato. L'organo che impartisce la prescrizione e il pubblico ministero provvedono nei modi di cui agli articoli 21, 22, 23 e 24 del decreto legislativo 19 dicembre 1994, n. 758, e successive modificazioni, in quanto applicabili. Inosservanza di provvedimenti del Garante (art. 170) Chiunque, essendovi tenuto, non osserva il provvedimento adottato dal Garante ai sensi degli articoli 26, comma 2, 90, 150, commi 1 e 2, e 143, comma 1, lettera c), è punito con la reclusione da tre mesi a due anni. Pene accessorie (art. 172) La condanna per uno dei delitti previsti dal presente codice importa la pubblicazione della sentenza. Responsabilità civile Art. 15. Danni cagionati per effetto del trattamento 1. Chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell'articolo 2050 del codice civile. 2. Il danno non patrimoniale è risarcibile anche in caso di violazione dell'articolo 11.