Il nuovo Codice sulla Privacy
nella scuola
Adempimenti obbligatori e scadenze
Milano, 12/06/04
Ing. Luca Oldrini - Tecnochora Spa
I SOGGETTI INTERESSATI
• Le aziende
• I liberi professionisti
• Le Pubbliche Amministrazioni
• Le Scuole
• Le associazioni
La Legge
•
Il 1 gennaio 2004 è entrato in vigore il
Testo Unico Della Privacy, approvato
con il Decreto Legislativo n.196 del 30
giugno 2003 ed è quindi stata
abrogata la legge 675/1996 e tutti i
regolamenti ad essa collegati; è quindi
necessario l’adeguamento da parte
delle aziende alla nuova disciplina
normativa
Le innovazioni
• Notificazione
• Misure di sicurezza (Allegato B)
• DPSS - Documento Programmatico Sulla Sicurezza
• Sanzioni
La Legge
-
Gli obblighi
• La Notifica al Garante
ex art.37
• Informativa e richiesta del consenso ex art.77
• DPSS - Ex art. 34, comma 1, lett.g e Allegato B
• Formazione ex art. 83, comma 2, lett.h
• Misure minime di sicurezza ex artt. da 33 a 35 e all'allegato B
Le Scadenze
• Il DPSS – Documento Programmatico sulla sicurezza deve essere
aggiornato entro il 31 marzo di ogni anno
• Le misure minime di sicurezza che non erano previste dal D.P.R.
318/99, devono essere adottate entro il 30 giugno 2004
• La Notifica al Garante entro il 30 aprile 2004
La Legge
La notifica al Garante
L’art. 37 del Codice tratta nel dettaglio la notificazione ed i suoi
contenuti. Rovescia la precedente impostazione, tale per cui
tutti i soggetti non esplicitamente esentati dovevano notificare,
e indica solo i pochi casi nei quali la notifica va effettuata:
•
•
•
•
nel trattamento di dati sensibili, specie se sanitari
nella definizione della tipologia dei consumatori
nella selezione del personale
ricerche di marketing
la notifica va comunque effettuata solo per via telematica
Chi è il Garante ?
E’ un organo collegiale istituito allo scopo di:
•
provvedere a che i dati dell’interessato siano trattati secondo gli
obblighi di legge;
•
sorvegliare il regolare funzionamento del meccanismo;
•
farsi motore primo di informazione ed educazione dei cittadini
sui diritti e doveri di questa legge.
I dati personali
L’art. 4 definisce “dato personale” qualunque informazione
relativa a persona fisica, giuridica, ente od associazione,
identificati o identificabili, anche indirettamente, mediante
riferimento a qualsiasi altra informazione, ivi compreso un
numero di identificazione personale”
All’interno della categoria dati personali la legge introduce:
i dati sensibili afferenti alle convinzioni politiche e filosofiche,
alla salute, ad affiliazioni partitiche e sindacali
dell’interessato.
La legge pretende cautele di alto livello nel loro trattaemnto e
custodia
Obblighi legislativi minimi
Effettuazione e correttezza di informative e consenso
•
nella lettera di informativa e la richiesta di consenso vanno suddivise le varie
finalità del trattamento, richiedendo per ognuna di esse uno specifico
consenso. Vanno con chiarezza delineati:
1) quali dati possono essere trattati
2)per quali finalità possono essere trattati
3)se ed a quali enti possono eventualmente essere
comunicati
E SE IL CONSENSO VIENE NEGATO?
•
Nella lettera di informativa e richiesta di consenso, il titolare deve indicare
quali potrebbero essere le conseguenze di un eventuale rifiuto dell’interessato
a concedere il consenso al trattamento , nonché indicazioni in merito al fatto
che tale consenso possa essere facoltativo
Obblighi legislativi minimi
Consenso
Esistenza di trattamenti che non necessitano di
consenso
Acquisizione e correttezza del consenso:
•
Se i dati personali sono presenti in elenchi pubblici, come ad esempio un
elenco telefonico o gli archivi delle camere di commercio, il titolare non ha
obblighi particolare. Ma se il successivo trattamento diventa sgradito
all’interessato (come l’invio di materiale pubblicitario a domicilio), egli ha il
diritto di farsi cancellare
Obblighi legislativi minimi
Formazione ed informazione obbligatorie
Tra i vari adempimenti, che variano a seconda
della tipologia dei dati trattati dalle aziende, c’è la
previsione di interventi formativi degli incaricati del
trattamento: la formazione deve
essere programmata sia al momento dell’ingresso al
servizio, in occasione di cambio di mansioni e/o
all’introduzione di nuovi strumenti significativi
rispetto al trattamento dei dati.
Obblighi legislativi minimi
Formazione ed informazione obbligatorie
Gli attori del mondo PRIVACY:
•
l’interessato è il cittadino o l’entità, anche
aziendale o la persona giuridica, cui i dati
personali si riferiscono
•
il titolare del trattamento è chiunque
raccoglie, tratta e comunque gestisce dati
personali
•
Il responsabile del trattamento è colui che,
sotto il controllo diretto del titolare, può
provvedere all’ordinaria gestione ed
all’attuazione di tutte quelle precauzioni di
natura tecnica, procedurale ed organizzativa,
che possano meglio far rispettare la legge
•
gli Incaricati del trattamento sono tutti
coloro che contribuiscono al funzionamento
della macchina aziendale e pertanto hanno
obblighi e responsabilità precise nel trattare i
dati personali, che ricadono nel loro ambito
operativo…tutti questi operatori devono
ricevere una formazione e specifiche
istruzioni.
Le sanzioni
E’ quindi molto importante adeguarsi, in quanto le nuove sanzioni sono
molto pesanti:
•
multe da 3.000 a 50.000 Euro, triplicabili se la sanzione “risulta
inefficace in ragione delle condizioni economiche del contravventore”
•
reclusione fino a tre anni
•
risarcimento del danno patrimoniale e morale
Il termine ultimo per aggiornarsi è il 30 giugno 2004, entro tale
data occorre redigere il DPSS e pianificare gli adeguamenti
che varieranno a seconda delle dimensioni aziendali
L’intervento di Tecnochora
per l’adeguamento agli obblighi di legge
•
Organizzazione uffici
- organizzazione degli uffici, in maniera tale che nessuna persona esterna, o non
autorizzata, possa avere impropriamente accesso ad informazioni riservate, sia esse
cartacee, sia elettroniche
- verifica di tutta la modulistica cartacea diretta all’esterno, e protezione di
quest’ultima da usi impropri mediante appsosite diciture e modalità d’invio
- individuazione di una o più persone, responsabili del rispetto delle norme minime di
sicurezza
•
Organizzazione personal computer e reti
-
-
verifica dei pc per la conformità con la legislazione vigente
Configurazione con password di accesso per singoli utenti e per utente “master”
verifica della rete circa la dotazione delle misure previste per l’accesso riservato e
limitato
Verifiche sui software gestionali, screen saver
Verifica della corretta installazione dei software antivirus
Istruzione degli eventuali utenti che utilizzano Internet e/o la posta elettronica, per
un uso corretto di questi mezzi, atto a non violare la privacy delle persone che si
contattano
Organizzazione di backup dei dati, con cadenza e metodi da definire
L’intervento di Tecnochora
per l’adeguamento agli obblighi di legge
• Formazione ed istruzione utenti e titolari con consegna materiale
formativo e configurazioni pc/rete
- formazione del personale e dei responsabili per il trattamento
• Redazione DPSS, il Documento Programmatico sulla Sicurezza, che
deve aggiornato entro il 31 marzo di ogni anno, e che costituisce il
vademecum delle misure adottate per garantire un livello minimo di
protezione dei dati personali, unico documento che attesta
l’adeguamento dell’azienda alla normativa
• Manutenzione annuale
L’intervento Tecnochora
Modalità di esecuzione
•
Check up
conformità
sopralluogo e applicazione della “check list” di
•
Redazione e consegna
del “Report” con indicazione delle azioni
da intraprendere per l’adeguamento personalizzato alle specifiche aziendali
(dati trattati, tecnologia, personale, etc.)
Interazioni con Sistemi di gestione
Iso 9001:2001
d.Lgs 231/01
ISO 14001
BS 7799/2