Codice Privacy: gli adempimenti per i professionisti D.Lgs 30 giugno 2003, n. 196 di Elena Clarke Fondazione Luca Pacioli Riproduzione riservata Codice in materia di protezione dei dati personali D. Lgs. 30 giugno 2003, n. 196 IN VIGORE DAL 1° GENNAIO 2004 Il Codice riunisce in un unico contesto tutta la normativa in tema di privacy: la l. 675/96 e gli altri decreti legislativi e regolamenti che si sono succeduti negli ultimi anni Riproduzione riservata Codice in materia di protezione dei dati personali D. Lgs. 30 giugno 2003, n. 196 PRINCIPALI INNOVAZIONI • SEMPLIFICAZIONE DEGLI ADEMPIMENTI • NUOVE GARANZIE A TUTELA DEI DATI Riproduzione riservata Codice in materia di protezione dei dati personali D. Lgs. 30 giugno 2003, n. 196 SOGGETTI TENUTI ALL’ADEGUAMENTO Sono tenuti ad adeguarsi alle disposizioni del Codice tutti coloro che trattano dati personali: •Aziende •Pubbliche Amministrazioni •Professionisti Riproduzione riservata Codice in materia di protezione dei dati personali DEFINIZIONI INDIVIDUAZIONE DATI OGGETTO DI TRATTAMENTO •Dati personali qualunque informazione relativa a persone fisiche, giuridiche, enti ed associazioni •Dati sensibili dati idonei a rivelare razza, religione, opinioni politiche o filosofiche, salute, abitudini sessuali •Dati giudiziari dati idonei a rivelare provvedimenti iscritti nel casellario giudiziario o relativi a qualità di imputato o indagato Riproduzione riservata Codice in materia di protezione dei dati personali SOGGETTI CHE EFFETTUANO IL TRATTAMENTO INDIVIDUAZIONE SOGGETTI CHE EFFETTUANO IL TRATTAMENTO •Titolare direttamente individuato dalla legge Esercita un potere autonomo sulle modalità e finalità del trattamento •Responsabile facoltativo Designato dal titolare con compiti stabiliti per iscritto •Incaricato/i facoltativo Effettua il trattamento sotto la diretta autorità del titolare e responsabile con istruzioni scritte Riproduzione riservata Codice in materia di protezione dei dati personali REGOLE PER TUTTI I TRATTAMENTI INFORMATIVA E CONSENSO (artt. 13 e 23) Prima di procedere al trattamento dei dati personali è necessario fornire l’informativa privacy e richiedere il consenso ai soggetti interessati Riproduzione riservata Codice in materia di protezione dei dati personali ADEMPIMENTI NOTIFICAZIONE ART. 37 • La notificazione è l’atto con cui l’impresa, il professionista o la PA segnala al Garante i trattamenti dati che si intendono effettuare • Con il Codice ed il provvedimento del 31 marzo 2004 il Garante ha semplificato notevolmente tale adempimento • Deve essere effettuata entro il 30 aprile Riproduzione riservata Codice in materia di protezione dei dati personali ADEMPIMENTI AUTORIZZAZIONI ART. 40 • Per il trattamento di dati sensibili e giudiziari è necessario richiedere l’Autorizzazione al Garante (artt. 26 e 27) • Sono previste Autorizzazioni generali rilasciate dal Garante (art. 40) • L’Autorizzazione n. 4/2002 al trattamento dei dati sensibili da parte dei liberi professionisti è stata prorogata fino al 30 giugno 2004 Riproduzione riservata Codice in materia di protezione dei dati personali MISURE DI SICUREZZA OBBLIGHI DI SICUREZZA (art. 31) Previsione di un obbligo generale di ridurre al minimo i rischi di distruzione o dispersione dei dati personali L’inosservanza dell’obbligo rende il trattamento illecito ed espone a responsabilità civile per danno Riproduzione riservata Codice in materia di protezione dei dati personali MISURE DI SICUREZZA MISURE MINIME DI SICUREZZA Previsione di misure minime di protezione dei dati differenziate a seconda che il trattamento sia effettuato con o senza l’ausilio di strumenti informatici e della tipologia di dati trattati L’omessa adozione costituisce reato (art. 169, arresto sino a due anni o ammenda da 10.000 € a 50.000 €) Riproduzione riservata Codice in materia di protezione dei dati personali MISURE DI SICUREZZA MISURE MINIME DI SICUREZZA TERMINI PER L’ADOZIONE • 1° gennaio 2004 per le misure minime già previste dalla precedente normativa • 30 giugno 2004 per le nuove misure minime di sicurezza • Fino al 1° gennaio 2005 nel caso in cui ricorrano obiettive ragioni di natura tecnica Riproduzione riservata Codice in materia di protezione dei dati personali MISURE DI SICUREZZA MISURE MINIME DI SICUREZZA CON L’AUSILIO DI STRUMENTI INFORMATICI (art. 34) I Misure minime di sicurezza per il trattamento dati personali con il supporto di strumenti informatici: • Autenticazione informatica • Adozione di procedure di gestione delle credenziali di autenticazione • Utilizzazione di un sistema di autorizzazione • Aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici Riproduzione riservata Codice in materia di protezione dei dati personali MISURE DI SICUREZZA MISURE MINIME DI SICUREZZA CON L’AUSILIO DI STRUMENTI INFORMATICI (art. 34) II • Protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici • Adozione di procedure per la custodia di copie di sicurezza • Tenuta di un aggiornato Documento Programmatico sulla Sicurezza • Adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da orgnanismi sanitari Riproduzione riservata Codice in materia di protezione dei dati personali MISURE DI SICUREZZA MISURE MINIME DI SICUREZZA SENZA L’AUSILIO DI STRUMENTI INFORMATICI (art. 35) Misure minime di sicurezza per il trattamento dati personali senza il supporto di strumenti informatici: • Aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati • Previsione di procedure per un’idonea custodia degli atti e documenti affidati agli incaricati • Previsione di procedure per la conservazione di determinati atti in archivi ad accesso selezionato e disciplina delle modalità di accesso finalizzata all’identificazione degli incaricati Riproduzione riservata Codice della Privacy MISURE DI SICUREZZA DOCUMENTO PROGRAMMATICO SULLA SICUREZZA (DPS) • Deve essere redatto da chiunque tratti dati sensibili e giudiziari con l’ausilio di strumenti informatici • Elenca i rischi in materia di sicurezza e le contromisure da adottare • Deve essere redatto entro il 30 giugno 2004, • a partire dal 2005 dovrà essere redatto o aggiornato entro il 31 marzo di ogni anno Riproduzione riservata Codice in materia di protezione dei dati personali MISURE DI SICUREZZA DPS - CONTENUTI • Elenco dei trattamenti personali • Distribuzione dei compiti e responsabilità • Misure per garantire integrità e disponibilità dei dati, protezione delle aree e locali • Criteri e modalità per il recupero dati distrutti o danneggiati • Previsione di interventi formativi per gli incaricati • Criteri da adottare per garantire l’adozione delle misure minime di sicurezza in caso di trattamento dati affidato all’esterno • Adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari Riproduzione riservata Codice in materia di protezione dei dati personali D. Lgs. 30 giugno 2003, n. 196 RELAZIONE ACCOMPAGNATORIA AL BILANCIO DI ESERCIZIO Art. 26, all. B “Il titolare riferisce, nella relazione accompagnatoria del bilancio di esercizio, se dovuta, dell’avvenuta redazione o aggiornamento del DPS” Riproduzione riservata