Codice Privacy: gli adempimenti per i
professionisti
D.Lgs 30 giugno 2003, n. 196
di Elena Clarke
Fondazione Luca Pacioli
Riproduzione riservata
Codice in materia di protezione dei dati personali
D. Lgs. 30 giugno 2003, n. 196
IN VIGORE DAL 1° GENNAIO 2004
Il Codice riunisce in un unico contesto tutta la normativa in
tema di privacy: la l. 675/96 e gli altri decreti legislativi e
regolamenti che si sono succeduti negli ultimi anni
Riproduzione riservata
Codice in materia di protezione dei dati personali
D. Lgs. 30 giugno 2003, n. 196
PRINCIPALI INNOVAZIONI
• SEMPLIFICAZIONE DEGLI ADEMPIMENTI
• NUOVE GARANZIE A TUTELA DEI DATI
Riproduzione riservata
Codice in materia di protezione dei dati personali
D. Lgs. 30 giugno 2003, n. 196
SOGGETTI TENUTI ALL’ADEGUAMENTO
Sono tenuti ad adeguarsi alle disposizioni del Codice tutti
coloro che trattano dati personali:
•Aziende
•Pubbliche Amministrazioni
•Professionisti
Riproduzione riservata
Codice in materia di protezione dei dati personali
DEFINIZIONI
INDIVIDUAZIONE DATI OGGETTO DI
TRATTAMENTO
•Dati personali qualunque informazione relativa a persone fisiche,
giuridiche, enti ed associazioni
•Dati sensibili dati idonei a rivelare razza, religione, opinioni politiche
o filosofiche, salute, abitudini sessuali
•Dati giudiziari dati idonei a rivelare provvedimenti iscritti nel
casellario giudiziario o relativi a qualità di imputato o indagato
Riproduzione riservata
Codice in materia di protezione dei dati personali
SOGGETTI CHE EFFETTUANO IL TRATTAMENTO
INDIVIDUAZIONE SOGGETTI CHE
EFFETTUANO IL TRATTAMENTO
•Titolare
direttamente individuato dalla legge
Esercita un potere autonomo sulle modalità e finalità del trattamento
•Responsabile
facoltativo
Designato dal titolare con compiti stabiliti per iscritto
•Incaricato/i
facoltativo
Effettua il trattamento sotto la diretta autorità del titolare e
responsabile con istruzioni scritte
Riproduzione riservata
Codice in materia di protezione dei dati personali
REGOLE PER TUTTI I TRATTAMENTI
INFORMATIVA E CONSENSO (artt. 13 e 23)
Prima di procedere al trattamento dei dati personali
è necessario fornire l’informativa privacy e
richiedere il consenso ai soggetti interessati
Riproduzione riservata
Codice in materia di protezione dei dati personali
ADEMPIMENTI
NOTIFICAZIONE ART. 37
• La notificazione è l’atto con cui l’impresa, il professionista
o la PA
segnala al Garante i trattamenti dati che si
intendono effettuare
• Con il Codice ed il provvedimento del 31 marzo 2004 il
Garante ha semplificato notevolmente tale adempimento
• Deve essere effettuata entro il 30 aprile
Riproduzione riservata
Codice in materia di protezione dei dati personali
ADEMPIMENTI
AUTORIZZAZIONI ART. 40
• Per il trattamento di dati sensibili e giudiziari è necessario
richiedere l’Autorizzazione al Garante (artt. 26 e 27)
• Sono previste Autorizzazioni generali rilasciate dal
Garante (art. 40)
• L’Autorizzazione n. 4/2002 al trattamento dei dati sensibili
da parte dei liberi professionisti è stata prorogata fino al
30 giugno 2004
Riproduzione riservata
Codice in materia di protezione dei dati personali
MISURE DI SICUREZZA
OBBLIGHI DI SICUREZZA (art. 31)
Previsione di un obbligo generale di ridurre al minimo i
rischi di distruzione o dispersione dei dati personali
L’inosservanza dell’obbligo rende il trattamento illecito ed
espone a responsabilità civile per danno
Riproduzione riservata
Codice in materia di protezione dei dati personali
MISURE DI SICUREZZA
MISURE MINIME DI SICUREZZA
Previsione di misure minime di protezione dei dati
differenziate a seconda che il trattamento sia effettuato
con o senza l’ausilio di strumenti informatici e della
tipologia di dati trattati
L’omessa adozione costituisce reato (art. 169, arresto sino
a due anni o ammenda da 10.000 € a 50.000 €)
Riproduzione riservata
Codice in materia di protezione dei dati personali
MISURE DI SICUREZZA
MISURE MINIME DI SICUREZZA
TERMINI PER L’ADOZIONE
• 1° gennaio 2004 per le misure minime già previste dalla
precedente normativa
• 30 giugno 2004 per le nuove misure minime di sicurezza
• Fino al 1° gennaio 2005 nel caso in cui ricorrano obiettive
ragioni di natura tecnica
Riproduzione riservata
Codice in materia di protezione dei dati personali
MISURE DI SICUREZZA
MISURE MINIME DI SICUREZZA CON
L’AUSILIO DI STRUMENTI INFORMATICI
(art. 34) I
Misure minime di sicurezza per il trattamento dati personali con il
supporto di strumenti informatici:
• Autenticazione informatica
• Adozione
di
procedure
di
gestione
delle
credenziali
di
autenticazione
• Utilizzazione di un sistema di autorizzazione
• Aggiornamento
periodico
dell’individuazione
dell’ambito
del
trattamento consentito ai singoli incaricati e addetti alla gestione o
alla manutenzione degli strumenti elettronici
Riproduzione riservata
Codice in materia di protezione dei dati personali
MISURE DI SICUREZZA
MISURE MINIME DI SICUREZZA CON
L’AUSILIO DI STRUMENTI INFORMATICI
(art. 34) II
• Protezione degli strumenti elettronici e dei dati rispetto a
trattamenti illeciti di dati, ad accessi non consentiti e a determinati
programmi informatici
• Adozione di procedure per la custodia di copie di sicurezza
• Tenuta
di
un
aggiornato
Documento
Programmatico
sulla
Sicurezza
• Adozione di tecniche di cifratura o di codici identificativi per
determinati trattamenti di dati idonei a rivelare lo stato di salute o
la vita sessuale effettuati da orgnanismi sanitari
Riproduzione riservata
Codice in materia di protezione dei dati personali
MISURE DI SICUREZZA
MISURE MINIME DI SICUREZZA SENZA
L’AUSILIO DI STRUMENTI INFORMATICI
(art. 35)
Misure minime di sicurezza per il trattamento dati personali senza il
supporto di strumenti informatici:
• Aggiornamento
periodico
dell’individuazione
dell’ambito
del
trattamento consentito ai singoli incaricati
• Previsione di procedure per un’idonea custodia degli atti e
documenti affidati agli incaricati
• Previsione di procedure per la conservazione di determinati atti in
archivi ad accesso selezionato e disciplina delle modalità di
accesso finalizzata all’identificazione degli incaricati
Riproduzione riservata
Codice della Privacy
MISURE DI SICUREZZA
DOCUMENTO PROGRAMMATICO SULLA
SICUREZZA (DPS)
• Deve essere redatto da chiunque tratti dati sensibili e giudiziari con
l’ausilio di strumenti informatici
• Elenca i rischi in materia di sicurezza e le contromisure da adottare
• Deve essere redatto entro il 30 giugno 2004,
• a partire dal 2005 dovrà essere redatto o aggiornato entro il 31
marzo di ogni anno
Riproduzione riservata
Codice in materia di protezione dei dati personali
MISURE DI SICUREZZA
DPS - CONTENUTI
• Elenco dei trattamenti personali
• Distribuzione dei compiti e responsabilità
• Misure per garantire integrità e disponibilità dei dati, protezione delle aree e locali
• Criteri e modalità per il recupero dati distrutti o danneggiati
• Previsione di interventi formativi per gli incaricati
• Criteri da adottare per garantire l’adozione delle misure minime di sicurezza in
caso di trattamento dati affidato all’esterno
• Adozione di tecniche di cifratura o di codici identificativi per determinati
trattamenti dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da
organismi sanitari
Riproduzione riservata
Codice in materia di protezione dei dati personali
D. Lgs. 30 giugno 2003, n. 196
RELAZIONE ACCOMPAGNATORIA AL
BILANCIO DI ESERCIZIO
Art. 26, all. B “Il titolare riferisce, nella relazione
accompagnatoria del bilancio di esercizio, se dovuta,
dell’avvenuta redazione o aggiornamento del DPS”
Riproduzione riservata
Scarica

Codice della Privacy