Novità in materia di
PRIVACY
23 febbraio 2012
Relatore: Gianni Festi
Abolizione
dell’obbligo di redazione e
aggiornamento del Documento
programmatico sulla sicurezza
L’opportunità di
un documento programmatico
privacy
Volontà e necessità
di semplificazione
D.l. 70/2011
(convertito in legge 12 luglio 2011 n. 106)
D.l. 201/2011
(convertito in legge 22 dicembre 2011 n. 214)
D.l. 5/2012
D.l. 70/2011 – art. 6
1. Il trattamento di dati relativo a persone
giuridiche, imprese e enti effettuato nell’ambito
di rapporti tra gli stessi per finalità
amministrativo – contabili non è soggetto alla
normativa privacy
2. L’informativa non è dovuta in caso di
ricezione di curricula spontaneamente trasmessi
dagli interessati
D.l. 70/2011 – art. 6
3. DPS sostituito da una autocertificazione
per i soggetti che trattano soltanto dati personali
non sensibili e che trattano come unici dati
sensibili e giudiziari quelli relativi ai propri
dipendenti e collaboratori, anche se
extracomunitari…
4. Rinvio ad un provvedimento del Garante per
l’individuazione di modalità semplificate di
applicazione delle misure minime di sicurezza
D.l. 201/2011 – art. 40
Il codice in materia di protezione dei dati
personali non si applica più ai dati delle
persone giuridiche, enti e associazioni
Ambito di applicazione
SOLO PERSONE FISICHE
Decreto legge 9 febbraio 2012 n. 5
(in G.U. n. 33 del 9 febbraio 2012
in vigore dal 10 febbraio 2012)
Disposizioni urgenti in materia di
semplificazione e di sviluppo
D.l. 5/2012 – art. 45
Al decreto legislativo 30 giugno 2003 n. 196
sono apportate le seguenti modificazioni:
omissis
c) all’art. 34 è soppressa la lettera g) del
comma 1 ed è abrogato il comma 1 bis
D.l. 5/2012 – art. 45
Al decreto legislativo 30 giugno 2003 n. 196
sono apportate le seguenti modificazioni:
omissis
d) nel disciplinare tecnico in materia di
misure minime di sicurezza di cui
all’allegato B sono soppressi i paragrafi da
19 a 19.8 e 26
Abolito il DPS,
COSA RESTA DA FARE
per il rispetto della privacy?
Misure giuridico organizzative
Nomine responsabili e incaricati
art. 162 co. 2 bis sanzione amministrativa
da € 20.000,00 a € 120.000,00
art. 169 sanzione penale
arresto fini a 2 anni e € 30.000,00 oblazione per ravvedimento
operoso
Misure giuridico organizzative
Nomine amministratori di sistema
art. 162 co. 2 bis sanzione amministrativa
da € 20.000,00 a € 120.000,00
art. 162 co. 2 ter sanzione amministrativa
da € 30.000,00 a € 180.000,00
art. 169 sanzione penale
arresto fini a 2 anni
€ 30.000,00 oblazione per ravvedimento operoso
Misure giuridico organizzative
Informativa ai sensi
art. 13 e art. 22 d.lgs 196/2003
art. 161 sanzione amministrativa
da € 6.000,00 a € 36.000,00
Misure giuridico organizzative
Regolamento per il trattamento dei
dati sensibili e giudiziari
art. 162 co 1 sanzione amministrativa
da € 10.000,00 a € 60.000,00
Misure giuridico organizzative
Regolamento dell'informazione
sull'attività comunale attraverso la
Rete Civica
art. 162 co. 2 ter sanzione amministrativa
da € 30.000,00 a € 180.000,00
Misure giuridico organizzative
Disciplinare per l’utilizzo di
internet e della posta elettronica
art. 162 co. 2 ter sanzione amministrativa
da € 30.000,00 a € 180.000,00
Misure giuridico organizzative
Videosorveglianza
art. 162 co. 2 ter sanzione amministrativa
da € 30.000,00 a € 180.000,00
Sicurezza dei dati e dei sistemi
Sicurezza dei dati e dei sistemi – art. 31
I dati personali oggetto di trattamento sono
custoditi e controllati, anche in relazione alle
conoscenze acquisite in base al progresso tecnico,
alla natura dei dati e alle specifiche
caratteristiche del trattamento, in modo da
ridurre al minimo, mediante l’adozione di idonee
e preventive misure di sicurezza, i rischi di
distruzione o perdita, anche accidentale, dei dati
stessi, di accesso non autorizzato o di trattamento
non consentito o non conforme alle finalità della
raccolta
Misure minime di sicurezza – art. 33
…I titolari del trattamento sono
comunque tenuti ad adottare le misure
minime volte ad assicurare un livello
minimo di protezione dei dati
art. 162 co. 2 bis sanzione amministrativa
da € 20.000,00 a € 120.000,00
art. 169 sanzione penale
arresto fini a 2 anni
€ 30.000,00 oblazione per ravvedimento operoso
Misure minime di sicurezza – art. 34
a) Autenticazione informatica
b) Adozione di procedure di
gestione delle credenziali di
autenticazione
Misure minime di sicurezza – art. 34
c) Utilizzazione di un sistema di
autorizzazione
d) Aggiornamento periodico
dell’individuazione dell’ambito del
trattamento consentito ai singoli incaricati e
addetti alla gestione o alla manutenzione
degli strumenti elettronici
Misure minime di sicurezza – art. 34
e) Protezione degli strumenti elettronici e
dei dati rispetto a trattamenti illeciti di dati,
ad accessi non consentiti e a determinati
programmi informatici
f) Adozione di procedure per la custodia di
copie di sicurezza, il ripristino della
disponibilità dei dati e dei sistemi
Misure minime di sicurezza – art. 35
a) Aggiornamento periodico
dell’individuazione dell’ambito del
trattamento consentito ai singoli incaricati
o alle unità organizzative
b) Previsione di procedure per un’idonea
custodia di atti e documenti affidati agli
incaricati per lo svolgimento dei relativi
compiti
Misure minime di sicurezza – art. 35
c) Previsione di procedure per la
conservazione di determinati atti in archivi
ad accesso selezionato e disciplina delle
modalità di accesso finalizzata
all’identificazione degli incaricati
Misure minime di sicurezza
Modalità tecniche
Disciplinare tecnico in materia di
misure minime di sicurezza
Allegato b) d.lgs. 196/2003
Abolizione
dell’obbligo di redazione e
aggiornamento del Documento
programmatico sulla sicurezza
Perché è opportuno
un documento programmatico
privacy?
Documento programmatico privacy
Stato e programma
della misure organizzative,
informatiche e fisiche
Documento programmatico privacy
Attestazione di garanzia
dell’adozione delle misure
organizzative, informatiche e
fisiche
Documento programmatico privacy
Contiene altri documenti:
- elenco dei trattamenti e strutture organizzative
- profili di autorizzazione
- analisi rischi