Sei sulla pagina 1di 48

http://www.compliancenet.it/ http://www.cmaconsulting.

it/

Panfilo Marcelli

Sei lezioni sulla privacy


corso di formazione per le aziende
con casi pratici ed esercitazioni

Aggiornato ai nuovi
Aggiornato alle
adempimenti per le
funzioni di “semplificazioni”
amministratore di versione 1.0 del Garante del
sistema
12 gennaio 2009 dicembre 2008
(Introduzione e
Lezione 1)

Creative Commons Attribuzione - Non commerciale 2.5 Italia License


http://creativecommons.org/licenses/by-nc/2.5/it/
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
http://creativecommons.org/licenses/by-nc/2.5/it/

Commons Deed

Tu sei libero:

• di riprodurre, distribuire, comunicare al pubblico, esporre in pubblico,


rappresentare, eseguire e recitare quest'opera

• di modificare quest'opera

Alle seguenti condizioni:

• Attribuzione. Devi attribuire la paternità dell'opera nei modi indicati dall'autore


o da chi ti ha dato l'opera in licenza e in modo tale da non suggerire che essi
avallino te o il modo in cui tu usi l'opera.
• Non commerciale. Non puoi usare quest'opera per fini commerciali.

• Ogni volta che usi o distribuisci quest'opera, devi farlo secondo i termini di questa licenza,
che va comunicata con chiarezza.
• In ogni caso, puoi concordare col titolare dei diritti utilizzi di quest'opera non consentiti da
questa licenza (p.marcelli@cmaconsulting.it).
• Questa licenza lascia impregiudicati i diritti morali.

Limitazione di responsabilità
Le utilizzazioni consentite dalla legge sul diritto d'autore e gli altri diritti non sono in alcun modo
limitati da quanto sopra.
Questo è un riassunto in linguaggio accessibile a tutti del Codice Legale (la licenza integrale)1.

1
http://creativecommons.org/licenses/by-nc/2.5/it/legalcode
Indice

Indice
INDICE.........................................................................................................................I
INTRODUZIONE.......................................................................................................1
PERCORSI FORMATIVI.......................................................................................................2
ORGANIZZAZIONE DEI CONTENUTI......................................................................................4
IL SITO WEB COLLEGATO AL LIBRO.....................................................................................5
RINGRAZIAMENTI............................................................................................................5
LIMITAZIONE DI RESPONSABILITÀ.......................................................................................5
PANFILO MARCELLI SI PRESENTA.......................................................................................6
LEZIONE 1 – INTRODUZIONE ALLA PRIVACY...............................................7
UNITÀ DIDATTICA 1.1 – IL DIRITTO ALLA PROTEZIONE DEI DATI PERSONALI............................15
Modulo 1.1.1 – Mini glossario.............................................................................16
Modulo 1.1.2 – Sintesi delle norme sulla privacy................................................17
Modulo 1.1.3 – Quadro normativo.......................................................................18
DOMANDE DI VERIFICA 1.1............................................................................................19
UNITÀ DIDATTICA 1.2 – IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI......................21
Modulo 1.2.1 – L’ufficio del Garante...................................................................22
Modulo 1.2.2 – Ispezioni del Garante .................................................................24
Modulo 1.2.3 – Nucleo speciale funzione pubblica e privacy della guardia di
finanza..................................................................................................................25
DOMANDE DI VERIFICA 1.2............................................................................................26
UNITÀ DIDATTICA 1.3 – LE PRINCIPALI NORME SULLA PRIVACY...........................................27
Modulo 1.3.1 – Codice in materia di protezione dei dati personali....................28
Modulo 1.3.2 – Allegati al Codice ......................................................................31
Modulo 1.3.3 – Allegato B - Disciplinare tecnico in materia di misure minime di
sicurezza ..............................................................................................................32
Modulo 1.3.4 – Le “semplificazioni” del 2008 sulla sicurezza e la notificazione
..............................................................................................................................37
Modulo 1.3.5 – I nuovi adempimenti per le funzioni di “amministratore di
sistema” ...............................................................................................................39
DOMANDE DI VERIFICA 1.3............................................................................................41
RISPOSTE ALLE DOMANDE DI VERIFICA..............................................................................42

Creative Commons Attribuzione - Non commerciale 2.5 Italia License


Indice

Pagina lasciata intenzionalmente bianca

II

Creative Commons Attribuzione - Non commerciale 2.5 Italia License


Introduzione

Introduzione
Questo testo è un corso di formazione sulle tematiche della privacy rivolto a coloro che
lavorano in azienda.
Come è noto il “Codice in materia di protezione dei dati personali” 2 prevede, tra gli
obblighi di sicurezza, la programmazione di interventi formativi per “rendere edotti”
gli incaricati del trattamento di dati personali dei rischi che incombono sui dati e delle
relative contromisure di sicurezza; è inoltre necessario che la pianificazione della
formazione sia riportata nel Documento Programmatico sulla Sicurezza, se redatto.

Per rispondere anche a tali esigenze è stato realizzato questo corso che si articola in sei
lezioni.

1. Introduzione alla privacy.


2. Organizzazione aziendale per la privacy.
3. Protezione dei dati personali.
4. Diritto di accesso.
5. Videosorveglianza.
6. Marketing e comunicazioni commerciali.

Gli argomenti vengono proposti ed approfonditi attraverso casi pratici simulando di


operare all’interno di una media impresa manifatturiera, la Arcobaleni1963 srl.

2
http://www.garanteprivacy.it/garante/doc.jsp?ID=1311248
3
http://www.arcobaleni196.it
1

Creative Commons Attribuzione - Non commerciale 2.5 Italia License


Introduzione

Percorsi formativi

È opportuno che la formazione sulla privacy non venga svolta in maniera indifferenziata
per tutti gli incaricati ma che, viceversa, sia predisposta una “struttura formativa
modulare” in relazione alle tipologie di incarico al trattamento dei dati personali.

Le sei lezioni del testo si rivolgono, dunque, ad interlocutori diversi, come di seguito
specificato.

1. Introduzione alla privacy: illustra il quadro normativo della privacy


sottolineando i principi di base e gli adempimenti di maggior rilievo; la lezione
si rivolge a tutti gli incaricati dei trattamenti e a coloro che hanno necessità di
una overview generale.
2. Organizzazione aziendale per la privacy: descrive le misure organizzative
che occorre adottare, in azienda, per garantire il rispetto delle norme in ambito
privacy; la lezione si rivolge ai dirigenti e quadri aziendali e a coloro che hanno
responsabilità aziendali, anche non esclusive, in ambito privacy, controlli e
sicurezza.
3. Protezione dei dati personali: approfondisce il tema delle misure di sicurezza,
minime ed idonee, che devono essere applicate nel trattamento dei dati
personali; la lezione si rivolge ai Responsabili privacy aziendale e a coloro che
hanno responsabilità aziendali, anche non esclusive, in ambito privacy,
controlli e sicurezza.
4. Diritto di accesso: contiene le linee guida per la corretta gestione, in azienda,
dei diritti in relazione al trattamento dei dati personali; la lezione si rivolge ai
Responsabili privacy aziendali, ai responsabili ed incaricati dei trattamenti
degli uffici che si occupano di aspetti legali, contenzioso, reclami, customer
satisfaction.
5. Videosorveglianza: contiene le indicazioni per la corretta gestione, in azienda,
dei sistemi di videosorveglianza; la lezione si rivolge ai Responsabili privacy
aziendali ed ai responsabili dei trattamenti di videosorveglianza.
6. Marketing e comunicazioni commerciali: contiene il quadro di riferimento
per gli adempimenti privacy da rispettare nelle attività di commerciali; la
lezione si rivolge ai Responsabili privacy aziendali, ai responsabili ed incaricati
dei trattamenti di marketing, commerciale, vendite, comunicazione.

Creative Commons Attribuzione - Non commerciale 2.5 Italia License


Introduzione

Le sei lezioni possono essere combinate secondo veri e propri “percorsi formativi”
quali quelli di seguito proposti.

Corso per incaricati al trattamento dei dati personali


lezione 1 Introduzione alla privacy
Corso per Direzione
lezione 1 Introduzione alla privacy
lezione 2 Organizzazione aziendale per la privacy
Corso per Responsabile dei trattamenti
lezione 1 Introduzione alla privacy
lezione 2 Organizzazione aziendale per la privacy
lezione 3 Protezione dei dati personali
lezione 4 Diritto di accesso
Corso per Responsabile dei trattamenti con video
sorveglianza
lezione 1 Introduzione alla privacy
lezione 2 Organizzazione aziendale per la privacy
lezione 3 Protezione dei dati personali
lezione 4 Diritto di accesso
lezione 5 Videosorveglianza
Corso per Responsabile dei trattamenti di marketing
lezione 1 Introduzione alla privacy
lezione 2 Organizzazione aziendale per la privacy
lezione 3 Protezione dei dati personali
lezione 4 Diritto di accesso
lezione 6 Marketing e comunicazioni commerciali

È ovviamente possibile far svolgere a particolari classi di incaricati l’intero corso per
dare una formazione ed informazione più ampia.

Creative Commons Attribuzione - Non commerciale 2.5 Italia License


Introduzione

Organizzazione dei contenuti

Ogni lezione si compone di unità didattiche; ogni unità didattica è suddivisa in


moduli.
Lezioni, unità e moduli sono numerati così da facilitare sia i percorsi didattici sia il
reperimento delle informazioni.
Ogni lezione inizia con la descrizione di un “caso di studio” concreto che serve ad
introdurre gli argomenti di seguito trattati.
Dopo ogni unità didattica ci sono “domande di verifica” sugli argomenti trattati le cui
soluzioni sono fornite in allegato al testo.

L1
Introduzione alla privacy
Lezioni

Caso di CS1
Arcobaleni196
studio e la privacy

U11
U12
Il diritto
Il Garante per la
alla protezione ….
dei dati personali
protezione dei dati
personali
Unità
Didattiche
Domande DV11
Verifica
di verifica la tua comprensione

M111
M112
La privacy
in
Quadro
normativo

Moduli
Italia

Creative Commons Attribuzione - Non commerciale 2.5 Italia License


Introduzione

Il sito web collegato al libro

Questo testo viene diffuso attraverso i siti ComplianceNet4 e CMa Consulting5.

Al corso è inoltre collegato il sito Arcobaleni1966 dal nome (fittizio) della società che è
protagonista dei nostri casi di studio ed esercitazioni.

Ringraziamenti
Si ringrazia ComplianceNet e CMa Consulting per l’aiuto e l’assistenza nella
redazione di questo corso; in particolare:

• Cristina Cellucci per l’entusiasmo che mette in tutte le sue iniziative (questo
corso non avrebbe visto luce senza il suo aiuto); Cristina può essere contattata al
seguente indirizzo email: cristina.cellucci@compliancenet.it
• Manlio Torquato per la revisione, correzione, puntualizzazione dei contenuti
del testo (questo corso ha rischiato, per colpa sua, più di una volta di non vedere
la luce...); Manlio può essere contattato al seguente indirizzo email:
manlio.torquato@gmail.com

Limitazione di responsabilità
ComplianceNet, CMA Consulting, Panfilo Marcelli, Cristina Cellucci, Manlio Torquato
e tutti coloro che hanno contribuito a tale documento non forniscono nessuna
assicurazione né garanzia che l’uso di questo documento, delle relative linee guida, dei
suggerimenti, delle check list e degli strumenti indicati in questa pubblicazione possano
garantire di per sé la conformità alle norme.

4
http://www.compliancenet.it/
5
http://www.cmaconsulting.it/
6
http://www.arcobaleni196.it
5

Creative Commons Attribuzione - Non commerciale 2.5 Italia License


Introduzione

Panfilo Marcelli si presenta

Mi sono laureato in Ingegneria all’Università de


l’Aquila. Ho lavorato per oltre vent’anni presso
primarie aziende informatiche e di consulenza (IPACRI,
Euros Consulting, OASI) con incarichi, anche direttivi,
in ambito Information Technology, Privacy e
Protezione dei dati personali, Qualità e Certificazione
ISO9000 e ISO27001, Workflow Management e
Business Process Reengineering, Internet, Intranet e
gestione di siti con sistemi CMS. Attualmente sono
partner di CMa Consulting7 società specializzata in
servizi, consulenza e formazione in ambito Compliance,
Privacy, Qualità e Sicurezza. Se volete contattarmi la
mia email è p.marcelli@cmaconsulting.it

7
http://www.cmaconsulting.it/
6

Creative Commons Attribuzione - Non commerciale 2.5 Italia License


Lezione 1 – Introduzione alla privacy

Lezione 1 –
Introduzione alla
privacy

Caso di studio a – Arcobaleni196 e la privacy


Unità Didattica 1 - Il diritto alla protezione dei dati personali
Unità Didattica 2 - Il Garante per la protezione dei dati
personali
Unità Didattica 3 - Le principali norme sulla privacy
Risposte alle domande di verifica

Creative Commons Attribuzione - Non commerciale 2.5 Italia License


Lezione 1 – Introduzione alla privacy

Obiettivi di apprendimento

• Cos’è la Privacy?
• Quale sono le norme più importanti in ambito privacy?
• Cos’è il Garante per la protezione dei dati personali e che poteri ha?
• Cosa sono i provvedimenti del Garante?

A chi si rivolge questa lezione?


A tutti gli incaricati.

Percorsi formativi
• Corso per incaricati al trattamento dei dati personali.
• Corso per Direzione.
• Corso per Responsabile dei trattamenti.
• Corso per Responsabile dei trattamenti con video sorveglianza.
• Corso per Responsabile dei trattamenti di marketing.

Concetti chiave:
• Codice in materia di protezione dei dati personali.
• Allegati al Codice.
• Provvedimenti del Garante.

Creative Commons Attribuzione - Non commerciale 2.5 Italia License


Lezione 1 – Caso di studio a

Lezione 1 –
Caso di studio a –
Arcobaleni196 e la privacy

Creative Commons Attribuzione - Non commerciale 2.5 Italia License


Lezione 1 – Caso di studio a

Le lezioni di questo corso sono basate su un caso di studio concreto. Simuleremo di trovarci presso
Arcobaleni196 srl8 una società che produce e commercializza vernici speciali per la carrozzeria di
veicoli. Sono stato convocato dal cavalier Pinco Arcobaleni, fondatore e Direttore Generale
dell’azienda. “Ho bisogno di una consulenza sulla privacy” mi ha detto telefonicamente. E così
vado a trovarlo.

Primo incontro
con il cavalier
Arcobaleni

“Voglio mettere telecamere ovunque!” ha esordito il cavalier


Arcobaleni non appena mi sono accomodato nel suo ufficio.

“Come mai?” ho chiesto cercando di rimanere imperturbabile.

“Ieri è stato rubato un altro computer portatile! È il terzo dall’inizio dell’anno adesso basta! Voglio
sapere chi è che ruba in azienda. Inoltre il mese scorso, nonostante il divieto di fumo in tutti gli
uffici, qualcuno ha acceso una sigaretta in uno dei bagni facendo suonare l’allarme antincendio.”

“Le telecamere non sono vietate di per sé” gli ho spiegato “ma la legge sulla privacy impone di
seguire delle regole.”

“Regole, sempre regole! In Italia è diventato impossibile condurre un’azienda” ha sbuffato


Arcobaleni “l’ho chiamata proprio per questo, caro ingegnere. Il mio assistente, dottor Marroni, ha
letto su Internet i suoi articoli9 sulla privacy e ha consigliato di avere un suo parere prima di
installare le telecamere. Ma mi dica subito: cosa c’entra la legge sulla privacy con le telecamere?
Posso installarle sì o no?”

8
http://www.arcobaleni196.it/
9
http://www.compliancenet.it/category/compliancenet/privacy
10

Creative Commons Attribuzione - Non commerciale 2.5 Italia License


Lezione 1 – Caso di studio a

“In Italia esistono norme precise, ed in alcuni casi anche severe, sui trattamenti di dati personali. Le
riprese effettuate con sistemi di videosorveglianza sono considerati trattamenti di dati personali. Dal
primo gennaio 2004 l’intera materia è stata riordinata e precisata dal Codice in materia di
protezione dei dati personali” ho spiegato.

“Le dico subito che in azienda non trattiamo dati personali!” mi ha


interrotto con un sorriso trionfante Arcobaleni.

“Come fa ad esserne così sicuro?” gli ho chiesto non poco sorpreso.

“Legga qua” mi dice il cavaliere allungandomi un foglio.

Comunicazione del
Direttore Generale del 15
settembre 2008

Si comunica a tutto il
personale che a far data da
oggi è vietato il
trattamento di qualsiasi
dato personale in
azienda.

Firmato
Pinco Arcobaleni
Direttore Generale

Sono sempre più preoccupato.

“Perché ha scritto questa comunicazione?” gli chiedo.

“Me lo ha consigliato la dottoressa Rossetti. Mi ha detto che lo scorso giugno è stato abrogato
l’obbligo delle misure di sicurezza per le aziende che non trattano dati sensibili.”

11

Creative Commons Attribuzione - Non commerciale 2.5 Italia License


Lezione 1 – Caso di studio a

“Nessuno ha abrogato l’obbligo di adottare le misure di sicurezza” chiarisco “il Decreto Legge 25
giugno 2008 n.11210 del giugno 2008, poi tradotto in un provvedimento11 del Garante nel
dicembre 2008, ha semplicemente abrogato l’obbligo della redazione del Documento
Programmatico sulla sicurezza per tutte le aziende che non trattano dati sensibili o che trattano
solo dati sensibili inerenti salute e malattia dei propri dipendenti, senza indicazione della diagnosi”.

“Mi scusi mi sono espresso male. Intendevo dire che non trattiamo dati sensibili! Sa con tutte
queste definizioni … Adesso però dovrò rifare la comunicazione a tutto il personale… Non è che mi
darebbe una mano? Avrei bisogno che qualcuno mi chiarisse un po’ meglio le idee sulla privacy.
Ma mi dica subito: posso installare o no le telecamere?”

“Solo se segue le indicazioni del Garante”.

“Mi può riepilogare quali sono queste indicazioni?”

“Certamente cavaliere. Ma il mio consiglio è di fare un po’ di ordine sia sulle norme sia sugli
adempimenti privacy. Temo che ci siano numerosi obblighi che avete sottovalutato. Le posso fare
una proposta? Convochi i suoi principali collaboratori ed in un paio d’ore le farò un quadro
completo della normativa e di quello che serve per fare il censimento dei trattamenti.”

“Ingegnere, sarò franco: fino ad oggi non ci siamo curati di questi aspetti e non abbiamo mai avuto
problemi… Non siamo una grande azienda che può spendere migliaia di euro su questi temi. Io la
ringrazio per essere venuto a trovarmi ma vorrei essere onesto con lei: ho altre priorità!”

“Tocca a lei decidere, cavaliere. Le ricordo però che le sanzioni previste per il mancato rispetto
delle norme sulla privacy sono sia penali sia amministrative.”

“Ohibò, si rischia il carcere?”

“Le sanzioni penali possono comportare anche pene detentive oltre che pecuniarie. Le sanzioni
amministrative possono essere pecuniarie o a fronte di gravi irregolarità arrivare anche al blocco del
trattamento dei dati.”

“Che significa?”

“Significa che Arcobaleni196 non potrebbe più operare e sarebbe costretta a chiudere… Cavaliere
si fidi di me! Facciamo così: mi accordi due ore con i suoi collaboratori più stretti. E poi decida lei
se andare avanti con il mio aiuto o continuare a fare tutto da solo.”

10
http://www.camera.it/parlam/leggi/decreti/08112d.htm
11
http://www.garanteprivacy.it/garante/doc.jsp?ID=1571218
12

Creative Commons Attribuzione - Non commerciale 2.5 Italia License


Lezione 1 – Caso di studio a

Sanzioni per gli adempimenti privacy

Illeciti penali
Sanzioni amministrative
Trattamento illecito di dati Reclusione da 6 a 24 mesi
Omessa o inidonea informativa Da € 3.000,00 a € 18.000,00 Trattamento illecito di dati (dati sensibili,
giudiziari, trattamenti che presentano
rischi specifici) Reclusione da 1 a 3 anni
Omessa o inidonea informativa (dati
sensibili, giudiziari, trattamenti che Falsità nelle dichiarazioni e notificazioni
presentano rischi specifici) Da € 5.000,00 a € 30.000,00 al Garante Reclusione da 6 mesi a 3 anni
Arresto fino a 2 anni Sanzione
Cessione illecita di dati Da € 5.000,00 a € 30.000,00 Omessa adozione delle misure minime pecuniaria da € 10.000,00 a €
di sicurezza 50.000,00
Violazione relativa ai dati personali
idonei a rilevare lo stato di salute Da € 500,00 a € 3.000,00
Violazione da parte dei datori di lavoro
Omessa o incompleta notificazione Da € 10.000,00 a € 60.000,00 del divieto di Effettuare indagini su
opinioni politiche, Controllo attraverso
Omessa informazione o esibizione al luso di impianti audiovisivi, o altre
Garante dei documenti richiesti Da € 4.000,00 a € 24.000,00 apparecchiature art.4 Legge n.300/1970 Arresto da 15 giorni a 1 anno

“Okay ingegnere. Faccio venire immediatamente i miei principali collaboratori: Carmela Rossetti
della qualità e controlli, Giuseppina Nerucci delle risorse umane, Ercole Marroni della produzione,
Mariuccia Nerini della Contabilità.”

Introduzione
alla privacy

(Alcuni minuti dopo: presenti tutti i collaboratori.)

“Bene. Vi farò una breve introduzione alla privacy affrontando tre


argomenti:

1. Il diritto alla protezione dei dati personali


2. Il Garante per la protezione dei dati personali
3. Le principali norme sulla privacy”

13

Creative Commons Attribuzione - Non commerciale 2.5 Italia License


Lezione 1 – Caso di studio a

Inizia il corso…

14

Creative Commons Attribuzione - Non commerciale 2.5 Italia License


Lezione 1 – Unità didattica 1.1

Lezione 1 –
Unità didattica 1.1 – Il diritto
alla protezione dei dati
personali

Modulo 1.1.1 – Mini glossario

Modulo 1.1.2 – Sintesi delle norme sulla privacy

Modulo 1.1.3 – Quadro normativo

Domande di verifica 1.1

15

Creative Commons Attribuzione - Non commerciale 2.5 Italia License


Lezione 1 – Unità didattica 1.1

Modulo 1.1.1 – Mini glossario


Tratto dalla brochure del Garante per la protezione dei dati personali: “La tutela dei dati personali: il primo
Garante sei tu”12.

Dato personale: qualunque informazione relativa ad un individuo, ad una persona giuridica, ad un


ente o associazione, identificati o identificabili, anche indirettamente, mediante riferimento a
qualsiasi altra informazione, compreso un numero di identificazione personale.

Dato sensibile: qualunque dato che può rivelare l’origine razziale, l’appartenenza etnica, le
convinzioni religiose o di altra natura, le opinioni politiche, l’appartenenza a partiti o sindacati, lo
stato di salute e la vita sessuale.

Trattamento dei dati personali: qualunque operazione o complesso di operazioni, effettuate anche
senza mezzi elettronici o automatizzati (raccolta, registrazione, organizzazione, conservazione,
elaborazione, modificazione, selezione, estrazione, raffronto, utilizzo, interconnessione, blocco,
comunicazione, diffusione, cancellazione e distruzione).

Titolare del trattamento: la pubblica amministrazione, la persona giuridica o fisica cui competono
le decisioni in ordine alle finalità ed alle modalità del trattamento dei dati personali.

Interessato: la persona fisica, la persona giuridica, l’ente o l’associazione cui si riferiscono i dati.

Informativa: contiene le informazioni che il titolare del trattamento deve fornire all’interessato per
chiarire, in particolare, se quest’ultimo è obbligato o meno a rilasciare i dati, quali sono gli scopi e
le modalità del trattamento, come circolano i dati e in che modo esercitare i diritti riconosciuti dalla
legge.

Consenso: la libera manifestazione della volontà con la quale l’interessato accetta – in modo
espresso e, se vi sono dati sensibili, per iscritto - un determinato trattamento di dati che lo
riguardano, sul quale è stato preventivamente informato da chi utilizza i dati.

Il Garante: un’Autorità indipendente composta da quattro membri eletti dal Parlamento. È stata
istituita per la tutela dei diritti, delle libertà fondamentali e della dignità delle persone rispetto al
trattamento dei dati personali. Controlla se il trattamento di dati personali da parte di privati e
pubbliche amministrazioni è lecito e corretto. Esamina reclami, segnalazioni e ricorsi, svolge
accertamenti anche su richiesta del cittadino, esegue ispezioni e verifiche. Prescrive modifiche
necessarie od opportune per far adeguare i trattamenti alla disciplina vigente. Segnala al Parlamento
e al Governo l’opportunità di interventi normativi per tutelare gli interessati. Esprime pareri su
regolamenti e atti amministrativi di alcune amministrazioni pubbliche. Presenta al Parlamento e al
Governo una relazione annuale sullo stato di attuazione della normativa che regola la materia.

12
http://www.garanteprivacy.it/garante/document?ID=1382763
16

Creative Commons Attribuzione - Non commerciale 2.5 Italia License


Lezione 1 – Unità didattica 1.1

Modulo 1.1.2 – Sintesi delle norme sulla


privacy
Dal 1996 in Italia vige il “diritto alla protezione dei dati personali” a cui comunemente ci si riferisce
come “Legge sulla Privacy”: infatti il 31 dicembre 1996 è entrata in vigore la legge n. 675 “Tutela
delle persone e di altri soggetti rispetto al trattamento dei dati personali”. Nel 2003 tale legge è stata
abrogata e sostituita dal decreto legislativo 196/03 noto come “Codice in materia di protezione
dei dati personali” 13 entrato in vigore il primo gennaio 2004.
Il primo articolo del Codice chiarisce cosa si intende per privacy nell’ordinamento italiano; recita
infatti tale articolo: “chiunque ha diritto alla protezione dei dati personali che lo riguardano”.
Tale protezione consiste nella garanzia che il trattamento dei dati personali si svolga nel rispetto dei
diritti e delle libertà fondamentali, nonché della dignità dell'interessato, con particolare riferimento
alla riservatezza, all'identità personale ed al diritto alla protezione dei dati personali.
Va chiarito che lo spirito della legge non è di impedire il trattamento dei dati personali ma di evitare
che questo avvenga contro la volontà dell'avente diritto, ovvero secondo modalità pregiudizievoli. Il
Codice, in pratica, definisce la modalità di raccolta dei dati, gli obblighi di chi raccoglie, detiene o
tratta dati personali e le responsabilità e sanzioni in caso di danni.
Nel 1997 è stato costituito il “Garante per la protezione dei dati personali”, un organo collegiale
composto da quattro membri eletto dal Parlamento che ha il compito di vigilare sul rispetto delle
norme sulla privacy. Alle dipendenze del Garante è posto un Ufficio con un organico di circa 100
unità.
Il Garante ha sintetizzato14 i contenuti delle norme sulla privacy come segue.

• I dati personali sono una proiezione della persona. La legge tutela la riservatezza,
l’identità personale, la dignità e gli altri nostri diritti e libertà fondamentali.
• Il trattamento dei dati che ci riguardano deve rispettare le garanzie previste dalla legge.
• La prima garanzia è la trasparenza. Ognuno di noi ha il diritto di “sapere”. Il diritto di
conoscere se un soggetto detiene informazioni, di apprenderne il contenuto, di farle
rettificare se erronee, incomplete o non aggiornate.
• Conoscere i nostri diritti e il modo per farli valere è semplice.

13
http://www.garanteprivacy.it/garante/doc.jsp?ID=1311248
14
Brochure “La tutela dei dati personali: il primo Garante sei tu” http://www.garanteprivacy.it/garante/document?
ID=1382763
17

Creative Commons Attribuzione - Non commerciale 2.5 Italia License


Lezione 1 – Unità didattica 1.1

Modulo 1.1.3 – Quadro normativo


Il “Codice in materia di protezione dei dati personali” 15 è il testo principale di riferimento per la
privacy. Si tratta di una sorta di “testo unico” che a far data dal primo Gennaio 2004 sostituisce,
integra ed accorpa tutte le precedenti normative sul tema (in
particolare sostituisce la legge 675/96). Il Codice contiene le
definizioni ed i principi di riferimento. Le misure pratiche per
adempiere ai principi sono contenute negli allegati; tra questi
uno dei più importanti è l’allegato B sulle misure minime di
sicurezza.
Infine occorre tener presente i diversi provvedimenti16, con
valore di legge, che il garante ha emanato
Tutti i testi di legge sono disponibili sul sito del Garante17.

Codice
Obblighi
normativi Allegati

Provvedimenti

Best
Linee guida
practices
Modelli

15
http://www.garanteprivacy.it/garante/doc.jsp?ID=1311248
16
http://www.garanteprivacy.it/garante/navig/jsp/index.jsp?folderpath=Provvedimenti
17
http://www.garanteprivacy.it/garante/navig/jsp/index.jsp?folderpath=Normativa%2FItaliana%2FIl+Codice+in+materia+di+protezione+dei+dati+personali
18

Creative Commons Attribuzione - Non commerciale 2.5 Italia License


Lezione 1 – Unità didattica 1.1

Domande di verifica 1.1


Domanda Prima risposta Seconda risposta Terza risposta
Il Codice in materia di Falso, il Codice in Falso. Dal 2001 è in Vero. Il primo gennaio
protezione dei dati materia di protezione vigore la legge n.675 2001 è entrato il
personali è in vigore dei dati personali è in sulla privacy poi vigore il nuovo Codice
dal primo gennaio vigore dal primo abrogata dal Codice che ha abrogato la
2001 gennaio 2004 e nel 2003 legge n.675 sulla
sostituisce la privacy.
precedente legge n.675
del 1996
Quando è stata Non è stata abrogata. Non è stata abrogata. Nel 2004 dal Codice in
abrogata la legge sulla Dal 2003 è stata È ancora in vigore materia di protezione
privacy del 1996? integrata dal Codice in dei dati personali
materia di protezione
dei dati personali
La legge sulla privacy Vero. Le aziende però Vero. Le aziende Falso. Le norme sulla
riguarda solo le possono appellarsi al fanno riferimento ad privacy si applicano
persone fisiche e non Garante per la altre norme sia a persone fisiche
le aziende protezione dei dati che ad aziende
personali

19

Creative Commons Attribuzione - Non commerciale 2.5 Italia License


Lezione 1 – Unità didattica 1.1

Pagina lasciata intenzionalmente bianca

20

Creative Commons Attribuzione - Non commerciale 2.5 Italia License


Lezione 1 – Unità didattica 1.2

Lezione 1 –
Unità didattica 1.2 – Il
Garante per la protezione dei
dati personali
Modulo 1.2.1 – l’Ufficio del Garante

Modulo 1.2.2 – Ispezioni del Garante

Modulo 1.2.3 – Nucleo speciale funzione pubblica e


privacy della guardia di finanza

Domande di verifica 1.2

21

Creative Commons Attribuzione - Non commerciale 2.5 Italia License


Lezione 1 – Unità didattica 1.2

Modulo 1.2.1 – L’ufficio del Garante

Il Garante per la protezione dei dati personali è


un’autorità indipendente, istituita dalla legge sulla privacy
del 31 dicembre 1996 per assicurare la tutela dei diritti e
delle libertà fondamentali ed il rispetto della dignità nel
trattamento dei dati personali. Si tratta di un organo
collegiale, composto da quattro membri eletti dal Parlamento, i quali rimangono in carica per un
mandato di quattro anni rinnovabile una volta sola. Il Codice del 2003 ha confermato ruoli e
compiti di tale authority.

L’attuale collegio si è insediato il 18 aprile 2005 ed è così composto:

Presidente

Francesco Pizzetti
Vicepresidente

Giuseppe Chiaravalloti
Componenti

Mauro Paissan

Giuseppe Fortunato

Fonte immagini18

18
http://www.garanteprivacy.it/garante/doc.jsp?ID=1116178
22

Creative Commons Attribuzione - Non commerciale 2.5 Italia License


Lezione 1 – Unità didattica 1.2

Il primo Presidente dell’Ufficio del Garante è stato il professor Stefano Rodotà19


considerato il “padre” fondatore della legge.
Rodotà è stato “Garante” della privacy dal 2000 al 2004.

Fonte immagine20

Il Segretario generale dell’Ufficio del Garante è, dalla sua fondazione, Giovanni


Buttarelli21 che il 23 dicembre 2008 è stato nominato Garante europeo aggiunto
dei dati personali22 (EDPS).

Fonte immagine23

I principali compiti del Garante sono:


• controllo della conformità dei trattamenti di dati personali a leggi e regolamenti e la
segnalazione ai titolari o ai responsabili dei trattamenti delle modifiche da adottare per
conseguire tale conformità;
• esame delle segnalazioni, dei ricorsi e dei reclami degli interessati;
• adozione dei provvedimenti previsti dalla normativa in materia tra cui, in particolare, le
autorizzazioni generali per il trattamento dei dati sensibili;
• promozione, nell’ambito delle categorie interessate, della sottoscrizione dei codici di
deontologia e di buona condotta;
• divieto, in tutto od in parte, ovvero il blocco del trattamento di dati personali quando per la
loro natura, oppure per le modalità o gli effetti di tale trattamento, vi sia il rischio concreto
di un rilevante pregiudizio per l’interessato.

Per rivolgersi al Garante ci si può recare presso l’Autorità, Ufficio per le


relazioni con il pubblico, Piazza di Monte Citorio, 123, Lunedì - Venerdì
ore 10.00 - 13.00, e-mail: urp@garanteprivacy.it

Immagine tratta da Google Maps24

19
http://it.wikipedia.org/wiki/Stefano_Rodot%C3%A0
20
http://commons.wikimedia.org/wiki/Image:Stefano_Rodot%C3%A0_Trento_2007.jpg?uselang=it
21
http://www.garanteprivacy.it/garante/doc.jsp?ID=1127990
22
http://europa.eu/institutions/others/edps/index_it.htm
23
http://www.garanteprivacy.it/garante/doc.jsp?ID=1127990
24
http://maps.google.it/
23

Creative Commons Attribuzione - Non commerciale 2.5 Italia License


Lezione 1 – Unità didattica 1.2

Modulo 1.2.2 – Ispezioni del Garante

Ogni anno, attraverso il proprio sito web e la sua newsletter25, il Garante rende noto il piano
ispettivo previsto per i successivi mesi.
Nella newsletter del 7 aprile 200826 il Garante ha comunicato che nel corso dei rimanenti mesi del
2008, nell'ambito dell'attività ispettiva programmata, una particolare attenzione sarebbe stata posta
ai sistemi di videosorveglianza e che sarebbero state effettuate ispezioni su tutto il territorio
nazionale sia per verificare il rispetto delle regole fissate dal Garante con il provvedimento del 2004
sull'uso delle telecamere, sia per poter disporre di un quadro aggiornato sull'attuale impiego dei
sistemi di videosorveglianza da parte di soggetti pubblici e privati.
Altri controlli, ha annunciato il Garante, avrebbero riguardato il rispetto dell'obbligo
dell'informativa da fornire agli interessati al momento della raccolta dei dati personali, la libertà e
validità del consenso, la durata della conservazione dei dati; infine sarebbero state effettuate
verifiche sull'adozione delle misure minime di sicurezza da parte di soggetti, pubblici e privati,
che effettuano trattamenti di dati sensibili.
Ovviamente, oltre agli accertamenti previsti nel programma varato, l'Ufficio del Garante svolge
anche le ordinarie ulteriori attività istruttorie di carattere ispettivo relative a segnalazioni, reclami e
ricorsi presentati all'Autorità.

25
http://www.garanteprivacy.it/garante/navig/jsp/index.jsp?folderpath=Newsletter
26
http://www.garanteprivacy.it/garante/doc.jsp?ID=1504209
24

Creative Commons Attribuzione - Non commerciale 2.5 Italia License


Lezione 1 – Unità didattica 1.2

Modulo 1.2.3 – Nucleo speciale funzione


pubblica e privacy della guardia di finanza
Per le attività ispettive il Garante si avvale di un reparto speciale della Guardia di Finanza noto
“Nucleo Speciale Funzione Pubblica e Privacy27” che collabora all'attività ispettiva attraverso:

• il reperimento di dati ed informazioni sui soggetti da controllare;


• l'assistenza nei rapporti con le Autorità Giudiziarie;
• la partecipazione di proprio personale agli accessi alle banche dati, ispezioni, verifiche e alle
altre rilevazioni nei luoghi ove si svolge il trattamento;
• lo sviluppo delle attività delegate o sub-delegate per l'accertamento delle violazioni di natura
penale o amministrativa;
• la contestazione delle sanzioni amministrative rilevate nell'ambito delle
attività delegate;
• l'esecuzione di indagini conoscitive sullo stato di attuazione della citata
Legge in settori specifici;
• la segnalazione all'Autorità di tutte le situazioni rilevanti ai fini
dell'applicazione del Codice, di cui venga a conoscenza nel corso
dell'esecuzione delle ordinarie attività di servizio.

Fonte immagine28

27
http://www.gdf.it/reparti/reparto.asp?idreparto=RM083&idcomune=&provincia=&denominazione=&catastale=
28
http://www.gdf.it/organizzazione/dove_siamo/comando_dei_reparti_speciali/info-407534563.html
25

Creative Commons Attribuzione - Non commerciale 2.5 Italia License


Lezione 1 – Unità didattica 1.2

Domande di verifica 1.2


Domanda Prima risposta Seconda risposta Terza risposta
L’Autorità Garante per Vero. Falso. Falso.
la protezione dei dati Il garante può solo Pur non avendo reali Il Garante può
personali non ha reali effettuare una “moral poteri può richiedere infliggere sanzioni ed
poteri ma può suasion” l’intervento della imporre le proprie
semplicemente magistratura o delle decisioni fino al
“consigliare” i forze di polizia per blocco dei trattamenti
comportamenti corretti imporre i propri
provvedimenti.
La nomina dei Falso Vero. Vero.
componenti I membri dell’autorità I membri dell’autorità I membri dell’autorità
dell’Autorità Garante sono nominati dai sono nominati dal sono nominati dal
per la privacy è di tipo rappresentanti delle Governo. Parlamento
“politica” associazioni di
categoria.
I cittadini, e le Vero. Vero. Falso.
imprese, possono Solo però dopo aver Sul sito del Garante Occorre fare ricorso
appellarsi direttamente fatto prima ricorso sono disponibili anche alla magistratura per
al garante per far attraverso la suggerimenti e modelli far valere i propri
valere i propri diritti magistratura. per esercitare tale diritti in ambito
diritto privacy.
Tra gli incarichi del Vero. Vero. Falso.
Garante vi sono le Ogni anno il Garante Il Garante può fare Solo le forse di polizia
ispezioni nelle aziende presenta ispezioni solo in possono fare ispezioni
per valutare il rispetto pubblicamente il piano seguito a denunce o nelle aziende.
degli adempimenti di delle ispezioni ricorsi da parte di
legge previste. cittadini o imprese.

26

Creative Commons Attribuzione - Non commerciale 2.5 Italia License


Lezione 1 – Unità didattica 1.3

Lezione 1 –
Unità didattica 1.3 – Le
principali norme sulla privacy
Modulo 1.3.1 – Codice in materia di protezione dei dati personali

Modulo 1.3.2 – Allegati al Codice

Modulo 1.3.3 – Allegato B - Disciplinare tecnico in materia di


misure minime di sicurezza

Modulo 1.3.4 – Le “semplificazioni” del 2008 sulla sicurezza e la


notificazione

Modulo 1.3.5 – I nuovi adempimenti per le funzioni di


“amministratore di sistema”

Domande di verifica 1.3

27

Creative Commons Attribuzione - Non commerciale 2.5 Italia License


Lezione 1 – Unità didattica 1.3

Modulo 1.3.1 – Codice in materia di


protezione dei dati personali
Il primo gennaio 2004 è entrato in vigore il “Codice in materia di protezione dei dati personali29”
che ha abrogato e sostituito la precedente legge n. 675/96 sulla privacy e successive modifiche.
Il Codice è diviso in tre parti:

1. disposizioni generali;
2. disposizioni relative a specifici settori;
3. norme relative alle forme di tutela, alle sanzioni ed all’ufficio del Garante per la protezione
dei dati personali.

Diritti fondamentali
L’articolo 1 spiega chiaramente lo spirito della norma: “chiunque ha diritto alla protezione dei dati
personali che lo riguardano”.
L’articolo 2 recita che il Codice “garantisce che il trattamento dei dati personali si svolga nel
rispetto dei diritti e delle libertà fondamentali, nonché della dignità dell’interessato, con particolare
riferimento alla riservatezza, all’identità personale e al diritto alla protezione dei dati personali”.

Trattamenti e dati
Le disposizioni del Codice si applicano al trattamento di dati personali cioè a “qualunque
operazione o complesso di operazioni, effettuati anche senza l’ausilio di strumenti elettronici,
concernenti:
• la raccolta,
• la registrazione,
• l’organizzazione,
• la conservazione,
• la consultazione,
• l’elaborazione,
• la modificazione,
• la selezione,
• l’estrazione,
• il raffronto,
• l’utilizzo,
• l’interconnessione,
• il blocco,
• la comunicazione,
• la diffusione,
• la cancellazione,
• la distruzione di dati
anche se non registrati in una banca di dati”.
29
http://www.garanteprivacy.it/garante/doc.jsp?ID=1311248
28

Creative Commons Attribuzione - Non commerciale 2.5 Italia License


Lezione 1 – Unità didattica 1.3

L’articolo 4 definisce i dati personali come “qualunque informazione relativa a persona fisica,
persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante
riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale”.
I dati personali si dividono in:
• dati identificativi, ossia “dati personali che permettono l’identificazione diretta
dell'interessato”;
• dati sensibili,ossia “dati personali idonei a rivelare l’origine razziale ed etnica, le
convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti,
sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o
sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale”.

I soggetti che effettuano il trattamento


Gli obblighi in materia di Privacy sono a carico del “titolare del trattamento” cioè di norma la
persona fisica (si pensi all’imprenditore individuale) o giuridica (ad esempio, la società) che tratta i
dati personali (con la raccolta, la registrazione, la comunicazione o la diffusione).
Il “responsabile del trattamento” (ma possono essere più d’uno) è una figura che può essere
designata a propria discrezione dal titolare del trattamento con un atto scritto nel quale vanno
indicati i compiti affidati. Occorre scegliere persone fisiche od organismi che per esperienza,
capacità ed affidabilità, forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in
materia di trattamento, ivi compreso il profilo relativo alla sicurezza (art. 29 del Codice). La nomina
del responsabile è utile o in presenza di imprese con organizzazione articolata (ad es., possono
essere designati responsabili del trattamento i dirigenti di funzioni aziendali, quali quelle del
personale o del settore marketing) o rispetto a soggetti esterni all’impresa, per svariate forme di
outsourcing che comportino un trattamento di dati personali (ad es., per i centri di elaborazione dati
contabili, per i servizi di postalizzazione, per le società di recupero crediti, etc.)
Gli “incaricati del trattamento” sono soggetti (solo persone fisiche) che effettuano materialmente
le operazioni di trattamento dei dati personali e operano sotto la diretta autorità del titolare (o del
responsabile) attenendosi a istruzioni scritte (art. 30 del Codice); in pratica sono i dipendenti o
collaboratori dell'azienda. Il "titolare del trattamento" è tenuto a designarli cioè a nominarli per
iscritto incaricati specificando quali dati può trattare. In pratica è sufficiente "assegnare un
dipendente ad una unità organizzativa, a condizione che risultino per iscritto le categorie di dati cui
può avere accesso e gli ambiti del trattamento. Così, in un’azienda nella quale ad una unità
organizzativa sono stati assegnati un determinato numero di dipendenti, si potrà ovviare ad una
formale designazione (ad esempio, mediante consegna di apposita comunicazione scritta), qualora
si individuino gli ambiti di competenza (in ordine ai trattamenti di dati consentiti) di quella unità
mediante una previsione scritta (ad es. nell’organigramma, nel contratto, nei mansionari, ecc.) e
risulti inoltre che tali dipendenti sono stati assegnati stabilmente a tale unità".

Principi
Il Codice fissa alcuni principi generali che devono esser seguiti nel trattamento di dati personali; in
particolare:
• in applicazione del principio di necessità (articolo 3), i sistemi informativi e i programmi
informatici devono essere configurati, già in origine, in modo da ridurre al minimo l'utilizzo
di informazioni relative a clienti identificabili. Il trattamento di dati personali relativi a
clienti non è lecito se le finalità del trattamento, in particolare di profilazione, possono
essere perseguite con dati anonimi o solo indirettamente identificativi;

29

Creative Commons Attribuzione - Non commerciale 2.5 Italia License


Lezione 1 – Unità didattica 1.3

• nel rispetto del principio di proporzionalità nel trattamento (articolo 11, comma 1, lett. d),
tutti i dati personali e le varie modalità del loro trattamento devono essere pertinenti e non
eccedenti rispetto alle finalità perseguite;
• il trattamento dei dati è possibile solo se è fondato su uno dei presupposti di liceità che il
Codice prevede espressamente per gli organi pubblici da un lato (svolgimento di funzioni
istituzionali: articoli 18-22) e, dall’altro, per soggetti privati ed enti pubblici economici
(adempimento ad un obbligo di legge, provvedimento del Garante di c.d. “bilanciamento di
interessi” o consenso libero ed espresso: articoli 23-27);
• le finalità perseguite dal trattamento devono essere determinati, espliciti e legittimi (articolo
11, comma 1, lett. b); ciò comporta che il titolare possa perseguire solo finalità di sua
pertinenza.

Diritti degli interessati


La disciplina di protezione dei dati personali attribuisce a ciascun interessato il diritto di accedere ai
dati personali a sé riferiti e di esercitare gli altri diritti previsti dall'art. 7 del Codice.

Se l'interessato esercita il proprio diritto d'accesso ai dati che lo riguardano o uno degli altri diritti
che gli sono riconosciuti, il titolare del trattamento (o il responsabile) deve fornire riscontro (di
regola) entro quindici giorni dal ricevimento dell'istanza (art. 146 del Codice).

In caso di omesso o incompleto riscontro, i predetti diritti possono essere fatti valere dinanzi
all'autorità giudiziaria o con ricorso al Garante (art. 145 del Codice).

L’inversione dell’onere della prova


L’articolo 15 del Codice recita “chiunque cagiona danno ad altri per effetto del trattamento di dati
personali è tenuto al risarcimento ai sensi dell’art. 2050 del codice civile”, il quale a sua volta
dispone che “chiunque cagiona danno ad altri nello svolgimento di un’attività pericolosa, per sua
natura o per la natura dei mezzi adoperati, è tenuto al risarcimento, se non prova di avere adottato
tutte le misure idonee a evitare il danno”.
Nella pratica, l’art. 2050 del Codice Civile obbliga, in caso di contenzioso, il titolare a dimostrare di
aver adottato tutte le misure idonee ad evitare il possibile danno.

Sanzioni
Il Codice prevede sia sanzioni di carattere amministrativo sia illeciti penali.
Le sanzioni di carattere amministrativo sono causate da:
• omessa o inidonea informativa all’interessato (articolo 161);
• illecita cessione di dati personali (articolo 162);
• omessa o incompleta notificazione (articolo 163);
• omessa informazione o esibizione al Garante (articolo 164).
Gli illeciti penali sono causati da:
• trattamento illecito di dati (articolo 167);
• falsità nelle dichiarazioni e notificazioni al Garante (articolo 168);
• omissione delle misure minime di sicurezza (articolo 169);
• inosservanza di provvedimenti del Garante (articolo 170).

30

Creative Commons Attribuzione - Non commerciale 2.5 Italia License


Lezione 1 – Unità didattica 1.3

Modulo 1.3.2 – Allegati al Codice

Gli allegati sono:


• Allegato A.6. Codice di deontologia e di buona condotta per i trattamenti di dati personali
effettuati per svolgere investigazioni difensive30
• Allegato A.5. Codice di deontologia e di buona condotta per i sistemi informativi gestiti da
soggetti privati in tema di crediti al consumo, affidabilità e puntualità nei pagamenti31
• Allegato A.4. Codice di deontologia e di buona condotta per i trattamenti di dati personali
per scopi statistici e scientifici32
• Allegato A.1. Codice di deontologia - Trattamento dei dati personali nell'esercizio
dell'attività giornalistica33
• Allegato A.2. Codici di deontologia - Trattamento dei dati personali per scopi storici34
• Allegato A.3. Codice di deontologia - Trattamento dei dati personali a scopi statistici in
ambito Sistan35
• Allegato B. Disciplinare tecnico in materia di misure minime di sicurezza36
• Allegato C. Trattamenti non occasionali effettuati in ambito giudiziario o per fini di polizia37

30
http://www.garanteprivacy.it/garante/doc.jsp?ID=1565171
31
http://www.garanteprivacy.it/garante/doc.jsp?ID=1556693
32
http://www.garanteprivacy.it/garante/doc.jsp?ID=1556635
33
http://www.garanteprivacy.it/garante/doc.jsp?ID=1556386
34
http://www.garanteprivacy.it/garante/doc.jsp?ID=1556419
35
http://www.garanteprivacy.it/garante/doc.jsp?ID=1556573
36
http://www.garanteprivacy.it/garante/doc.jsp?ID=1557184
37
http://www.garanteprivacy.it/garante/doc.jsp?ID=1557209
31

Creative Commons Attribuzione - Non commerciale 2.5 Italia License


Lezione 1 – Unità didattica 1.3

Modulo 1.3.3 – Allegato B - Disciplinare


tecnico in materia di misure minime di
sicurezza
Il “Disciplinare tecnico in materia di misure minime di sicurezza” (allegato B38) specifica le
modalità tecniche da adottare a cura del titolare, del responsabile ove designato e dell'incaricato, in
caso di trattamenti di dati con strumenti elettronici o senza strumenti elettronici. Tali modalità
vanno “lette” a partire da quanto indicato negli articoli da 33 a 36 del “Codice in materia di
protezione dei dati personali” relative alla cosiddette “Misure minime di sicurezza” che indicano
che “nel quadro dei più generali obblighi di sicurezza” i titolari del trattamento sono comunque
tenuti ad adottare le seguenti misure minime.

Trattamenti con strumenti elettronici (articolo 34 del Codice)

Il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate,
nei modi previsti dal disciplinare tecnico contenuto nell'allegato B), le seguenti misure minime:

a) autenticazione informatica;
b) adozione di procedure di gestione delle credenziali di autenticazione;
c) utilizzazione di un sistema di autorizzazione;
d) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai
singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici;
e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad
accessi non consentiti e a determinati programmi informatici;
f) adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità
dei dati e dei sistemi;
g) tenuta di un aggiornato documento programmatico sulla sicurezza;
h) adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati
idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari.

Con le semplificazioni adottate nel dicembre 2008 è stato aggiunto all’articolo 34 il comma 1-bis di
seguito riportato.

Per i soggetti che trattano soltanto dati personali non sensibili e che trattano come
unici dati sensibili quelli costituiti dallo stato di salute o malattia dei propri
dipendenti e collaboratori anche a progetto, senza indicazione della relativa diagnosi,
ovvero dall'adesione ad organizzazioni sindacali o a carattere sindacale, la tenuta di un
aggiornato documento programmatico sulla sicurezza è sostituita dall'obbligo di
autocertificazione, resa dal titolare del trattamento ai sensi dell'articolo 47 del testo unico
di cui al decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, di trattare

38
http://www.garanteprivacy.it/garante/doc.jsp?ID=1557184
32

Creative Commons Attribuzione - Non commerciale 2.5 Italia License


Lezione 1 – Unità didattica 1.3

soltanto tali dati in osservanza delle altre misure di sicurezza prescritte. In relazione a tali
trattamenti, nonché a trattamenti comunque effettuati per correnti finalità amministrative e
contabili, in particolare presso piccole e medie imprese, liberi professionisti e artigiani, il
Garante, sentito il Ministro per la semplificazione normativa, individua con proprio
provvedimento, da aggiornare periodicamente, modalità semplificate di applicazione del
disciplinare tecnico di cui all'Allegato B) in ordine all'adozione delle misure minime di cui
al comma 1.

Trattamenti senza l'ausilio di strumenti elettronici (articolo 35 del Codice)

Il trattamento di dati personali effettuato senza l'ausilio di strumenti elettronici è consentito solo se
sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell'allegato B), le seguenti
misure minime:
a) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai
singoli incaricati o alle unità organizzative;
b) previsione di procedure per un'idonea custodia di atti e documenti affidati agli incaricati per
lo svolgimento dei relativi compiti;
c) previsione di procedure per la conservazione di determinati atti in archivi ad accesso
selezionato e disciplina delle modalità di accesso finalizzata all'identificazione degli
incaricati.

Allegato B
Il “Disciplinare tecnico in materia di misure minime di sicurezza” (allegato B39) specifica le
modalità con cui attuare le misure minime di sicurezza indicate nel Codice.

Sistema di autenticazione informatica


1. Il trattamento di dati personali con strumenti elettronici è consentito agli incaricati dotati di
credenziali di autenticazione che consentano il superamento di una procedura di
autenticazione relativa a uno specifico trattamento o a un insieme di trattamenti.
2. Le credenziali di autenticazione consistono in un codice per l'identificazione dell'incaricato
associato a una parola chiave riservata conosciuta solamente dal medesimo oppure in un
dispositivo di autenticazione in possesso e uso esclusivo dell'incaricato, eventualmente
associato a un codice identificativo o a una parola chiave, oppure in una caratteristica
biometrica dell'incaricato, eventualmente associata a un codice identificativo o a una parola
chiave.
3. Ad ogni incaricato sono assegnate o associate individualmente una o più credenziali per
l'autenticazione.
4. Con le istruzioni impartite agli incaricati è prescritto di adottare le necessarie cautele per
assicurare la segretezza della componente riservata della credenziale e la diligente custodia
dei dispositivi in possesso ed uso esclusivo dell'incaricato.
5. La parola chiave, quando è prevista dal sistema di autenticazione, è composta da almeno
otto caratteri oppure, nel caso in cui lo strumento elettronico non lo permetta, da un numero
di caratteri pari al massimo consentito; essa non contiene riferimenti agevolmente
riconducibili all'incaricato ed è modificata da quest'ultimo al primo utilizzo e,
successivamente, almeno ogni sei mesi. In caso di trattamento di dati sensibili e di dati
giudiziari la parola chiave è modificata almeno ogni tre mesi.
6. Il codice per l'identificazione, laddove utilizzato, non può essere assegnato ad altri incaricati,
neppure in tempi diversi.
39
http://www.garanteprivacy.it/garante/doc.jsp?ID=1557184
33

Creative Commons Attribuzione - Non commerciale 2.5 Italia License


Lezione 1 – Unità didattica 1.3

7. Le credenziali di autenticazione non utilizzate da almeno sei mesi sono disattivate, salvo
quelle preventivamente autorizzate per soli scopi di gestione tecnica.
8. Le credenziali sono disattivate anche in caso di perdita della qualità che consente
all'incaricato l'accesso ai dati personali.
9. Sono impartite istruzioni agli incaricati per non lasciare incustodito e accessibile lo
strumento elettronico durante una sessione di trattamento.
10. Quando l'accesso ai dati e agli strumenti elettronici è consentito esclusivamente mediante
uso della componente riservata della credenziale per l'autenticazione, sono impartite idonee
e preventive disposizioni scritte volte a individuare chiaramente le modalità con le quali il
titolare può assicurare la disponibilità di dati o strumenti elettronici in caso di prolungata
assenza o impedimento dell'incaricato che renda indispensabile e indifferibile intervenire per
esclusive necessità di operatività e di sicurezza del sistema. In tal caso la custodia delle
copie delle credenziali è organizzata garantendo la relativa segretezza e individuando
preventivamente per iscritto i soggetti incaricati della loro custodia, i quali devono
informare tempestivamente l'incaricato dell'intervento effettuato.
11. Le disposizioni sul sistema di autenticazione di cui ai precedenti punti e quelle sul sistema di
autorizzazione non si applicano ai trattamenti dei dati personali destinati alla diffusione.

Sistema di autorizzazione
12. Quando per gli incaricati sono individuati profili di autorizzazione di ambito diverso è
utilizzato un sistema di autorizzazione.
13. I profili di autorizzazione, per ciascun incaricato o per classi omogenee di incaricati, sono
individuati e configurati anteriormente all'inizio del trattamento, in modo da limitare
l'accesso ai soli dati necessari per effettuare le operazioni di trattamento.
14. Periodicamente, e comunque almeno annualmente, è verificata la sussistenza delle
condizioni per la conservazione dei profili di autorizzazione.

Altre misure di sicurezza


15. Nell'ambito dell'aggiornamento periodico con cadenza almeno annuale dell'individuazione
dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla
manutenzione degli strumenti elettronici, la lista degli incaricati può essere redatta anche per
classi omogenee di incarico e dei relativi profili di autorizzazione.
16. I dati personali sono protetti contro il rischio di intrusione e dell'azione di programmi di cui
all'art. 615-quinquies del codice penale, mediante l'attivazione di idonei strumenti elettronici
da aggiornare con cadenza almeno semestrale.
17. Gli aggiornamenti periodici dei programmi per elaboratore volti a prevenire la vulnerabilità
di strumenti elettronici e a correggerne difetti sono effettuati almeno annualmente. In caso di
trattamento di dati sensibili o giudiziari l'aggiornamento è almeno semestrale.
18. Sono impartite istruzioni organizzative e tecniche che prevedono il salvataggio dei dati con
frequenza almeno settimanale.

34

Creative Commons Attribuzione - Non commerciale 2.5 Italia License


Lezione 1 – Unità didattica 1.3

Documento programmatico sulla sicurezza

19. Entro il 31 marzo di ogni anno, il titolare di un trattamento di dati sensibili o di dati
giudiziari40 redige anche attraverso il responsabile, se designato, un documento
programmatico sulla sicurezza contenente idonee informazioni riguardo:
19.1.l'elenco dei trattamenti di dati personali;
19.2.la distribuzione dei compiti e delle responsabilità nell'ambito delle strutture preposte
al trattamento dei dati;
19.3.l'analisi dei rischi che incombono sui dati;
19.4.le misure da adottare per garantire l'integrità e la disponibilità dei dati, nonchè la
protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità;
19.5.la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in
seguito a distruzione o danneggiamento di cui al successivo punto 23;
19.6.la previsione di interventi formativi degli incaricati del trattamento, per renderli
edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi
dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in
rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità
per aggiornarsi sulle misure minime adottate dal titolare. La formazione è
programmata già al momento dell'ingresso in servizio, nonchè in occasione di
cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti
rispetto al trattamento di dati personali;
19.7.la descrizione dei criteri da adottare per garantire l'adozione delle misure minime di
sicurezza in caso di trattamenti di dati personali affidati, in conformità al codice,
all'esterno della struttura del titolare;
19.8.per i dati personali idonei a rivelare lo stato di salute e la vita sessuale di cui al punto
24, l'individuazione dei criteri da adottare per la cifratura o per la separazione di tali
dati dagli altri dati personali dell'interessato.

Ulteriori misure in caso di trattamento di dati sensibili o giudiziari


20. I dati sensibili o giudiziari sono protetti contro l'accesso abusivo, di cui all'art. 615-ter del
codice penale, mediante l'utilizzo di idonei strumenti elettronici.
21. Sono impartite istruzioni organizzative e tecniche per la custodia e l'uso dei supporti
rimovibili su cui sono memorizzati i dati al fine di evitare accessi non autorizzati e
trattamenti non consentiti.
22. I supporti rimovibili contenenti dati sensibili o giudiziari se non utilizzati sono distrutti o
resi inutilizzabili, ovvero possono essere riutilizzati da altri incaricati, non autorizzati al
trattamento degli stessi dati, se le informazioni precedentemente in essi contenute non sono
intelligibili e tecnicamente in alcun modo ricostruibili.
23. Sono adottate idonee misure per garantire il ripristino dell'accesso ai dati in caso di
danneggiamento degli stessi o degli strumenti elettronici, in tempi certi compatibili con i
diritti degli interessati e non superiori a sette giorni.
24. Gli organismi sanitari e gli esercenti le professioni sanitarie effettuano il trattamento dei dati
idonei a rivelare lo stato di salute e la vita sessuale contenuti in elenchi, registri o banche di

40
Con le semplificazioni adottate nel dicembre 2008 per i titolari che trattano soltanto dati personali non sensibili e che
trattano come unici dati sensibili quelli costituiti dallo stato di salute o malattia dei propri dipendenti e collaboratori
anche a progetto, senza indicazione della relativa diagnosi, ovvero dall'adesione ad organizzazioni sindacali o a
carattere sindacale, la tenuta di un aggiornato documento programmatico sulla sicurezza è sostituita dall'obbligo di
autocertificazione

35

Creative Commons Attribuzione - Non commerciale 2.5 Italia License


Lezione 1 – Unità didattica 1.3

dati con le modalità di cui all'articolo 22, comma 6, del codice, anche al fine di consentire il
trattamento disgiunto dei medesimi dati dagli altri dati personali che permettono di
identificare direttamente gli interessati. I dati relativi all'identità genetica sono trattati
esclusivamente all'interno di locali protetti accessibili ai soli incaricati dei trattamenti ed ai
soggetti specificatamente autorizzati ad accedervi; il trasporto dei dati all'esterno dei locali
riservati al loro trattamento deve avvenire in contenitori muniti di serratura o dispositivi
equipollenti; il trasferimento dei dati in formato elettronico è cifrato.

Misure di tutela e garanzia


25. Il titolare che adotta misure minime di sicurezza avvalendosi di soggetti esterni alla propria
struttura, per provvedere alla esecuzione riceve dall'installatore una descrizione scritta
dell'intervento effettuato che ne attesta la conformità alle disposizioni del presente
disciplinare tecnico.
26. Il titolare riferisce, nella relazione accompagnatoria del bilancio d'esercizio, se dovuta,
dell'avvenuta redazione o aggiornamento del documento programmatico sulla sicurezza.

Trattamenti senza l'ausilio di strumenti elettronici


Modalità tecniche da adottare a cura del titolare, del responsabile, ove designato, e dell'incaricato,
in caso di trattamento con strumenti diversi da quelli elettronici:

27. Agli incaricati sono impartite istruzioni scritte finalizzate al controllo ed alla custodia, per
l'intero ciclo necessario allo svolgimento delle operazioni di trattamento, degli atti e dei
documenti contenenti dati personali. Nell'ambito dell'aggiornamento periodico con cadenza
almeno annuale dell'individuazione dell'ambito del trattamento consentito ai singoli
incaricati, la lista degli incaricati può essere redatta anche per classi omogenee di incarico e
dei relativi profili di autorizzazione.
28. Quando gli atti e i documenti contenenti dati personali sensibili o giudiziari sono affidati
agli incaricati del trattamento per lo svolgimento dei relativi compiti, i medesimi atti e
documenti sono controllati e custoditi dagli incaricati fino alla restituzione in maniera che ad
essi non accedano persone prive di autorizzazione, e sono restituiti al termine delle
operazioni affidate.
29. L'accesso agli archivi contenenti dati sensibili o giudiziari è controllato. Le persone
ammesse, a qualunque titolo, dopo l'orario di chiusura, sono identificate e registrate. Quando
gli archivi non sono dotati di strumenti elettronici per il controllo degli accessi o di incaricati
della vigilanza, le persone che vi accedono sono preventivamente autorizzate.

36

Creative Commons Attribuzione - Non commerciale 2.5 Italia License


Lezione 1 – Unità didattica 1.3

Modulo 1.3.4 – Le “semplificazioni” del


2008 sulla sicurezza e la notificazione
Il 9 dicembre 2008 il Garante per la protezione dei dati personali ha reso noto41 un
provvedimento42 sulla semplificazione di alcuni adempimenti in materia di protezione dei dati
personali. Le nuove garanzie, adottate sentito il Ministro per la semplificazione normativa,
interessano:

• amministrazioni pubbliche e società private che utilizzano dati personali non sensibili
(nome, cognome, indirizzo, codice fiscale, numero di telefono) o che trattano come unici
dati sensibili dei dipendenti quelli relativi allo stato di salute o all'adesione a organizzazioni
sindacali;
• piccole e medie imprese, liberi professionisti o artigiani che trattano dati solo per fini
amministrativi e contabili.

Obiettivo dell'Autorità è quello di mantenere un adeguato livello per le misure minime di sicurezza
venendo però incontro alle esigenze prospettate da imprese, soprattutto di piccole dimensioni,
volte a snellire le procedure, graduare le cautele a seconda della delicatezza dei trattamenti e a
contenere i costi.

In base al provvedimento del Garante, le categorie interessate:

• possono impartire agli incaricati le istruzioni in materia di misure minime anche oralmente;
• possono utilizzare per l'accesso ai sistemi informatici un qualsiasi sistema di
autenticazione basato su un username e una password; lo username deve essere disattivato
quando viene meno il diritto di accesso ai dati (es. non si opera più all'interno
dell'organizzazione);
• in caso di assenze prolungate o di impedimenti del dipendente possono mettere in atto
procedure o modalità che consentano comunque l'operatività e la sicurezza del sistema ( ad
es. l'invio automatico delle mail ad un altro recapito accessibile);
• devono aggiornare i programmi di sicurezza (antivirus) almeno una volta l'anno, e
effettuare backup dei dati almeno una volta al mese.

Con il provvedimento, inoltre, il Garante ha fornito a piccole e medie imprese, artigiani, liberi
professioni, soggetti pubblici e privati che trattano dati solo a fini amministrativi e contabili, alcune
indicazioni per la redazione di un documento programmatico per la sicurezza semplificato.
Procedure semplificate sono state indicate anche per chi tratta dati senza l'impiego di sistemi
informatici.
Insieme a quello sulle misure minime di sicurezza, il Garante ha adottato anche un provvedimento
che semplifica il modello utilizzato per effettuare le notificazioni, ossia le dichiarazioni da fare

41
http://www.garanteprivacy.it/garante/doc.jsp?ID=1573203
42
http://www.garanteprivacy.it/garante/doc.jsp?ID=1571218
37

Creative Commons Attribuzione - Non commerciale 2.5 Italia License


Lezione 1 – Unità didattica 1.3

all'Autorità quando si avvia un trattamento di particolari tipi di dati (genetici, biometrici,


procreazione assistita, ecc.).
Il provvedimento sulle misure di sicurezza è immediatamente applicabile senza necessità di istanze
o comunicazioni al Garante, mentre quello sulla notificazione sarà operativo entro 60 giorni dalla
pubblicazione in Gazzetta e non comporterà l'obbligo di notificare di nuovo o modificare le
notificazioni a carico di chi lo abbia già fatto.

38

Creative Commons Attribuzione - Non commerciale 2.5 Italia License


Lezione 1 – Unità didattica 1.3

Modulo 1.3.5 – I nuovi adempimenti per


le funzioni di “amministratore di sistema”
Sulla Gazzetta Ufficiale n. 300 del 24 dicembre 200843 è stato pubblicato il testo del
provvedimento del 27 novembre 2008 del Garante per la protezione dei dati personali dal titolo
"Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici
relativamente alle attribuzioni delle funzioni di amministratore di sistema".
Il Garante ha rilevata l'esigenza di intraprendere una specifica attività rispetto ai soggetti preposti ad
attività riconducibili alle mansioni tipiche dei cosiddetti “amministratori di sistema” nonché di
coloro che svolgono mansioni analoghe in rapporto a sistemi di elaborazione e banche di dati,
evidenziandone la rilevanza rispetto ai trattamenti di dati personali anche allo scopo di promuovere
presso i relativi titolari e nel pubblico la consapevolezza della delicatezza di tali peculiari mansioni
nella "Società dell'informazione" e dei rischi a esse associati.
Di conseguenza il Garante impone nuovi adempimenti ai titolari di trattamenti effettuati (anche
parzialmente) con strumenti elettronici. I nuovi adempimenti non riguardano i titolari destinatari
delle recenti “semplificazioni” sugli obblighi privacy.

Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici

1. Valutazione delle caratteristiche soggettive. L'attribuzione delle funzioni di


amministratore di sistema deve avvenire previa valutazione dell'esperienza, della capacità e
dell'affidabilità del soggetto designato, il quale deve fornire idonea garanzia del pieno
rispetto delle vigenti disposizioni in materia di trattamento ivi compreso il profilo relativo
alla sicurezza. Anche quando le funzioni di amministratore di sistema o assimilate sono
attribuite solo nel quadro di una designazione quale incaricato del trattamento ai sensi
dell'art. 30 del Codice, il titolare e il responsabile devono attenersi comunque a criteri di
valutazione equipollenti a quelli richiesti per la designazione dei responsabili ai sensi
dell'art. 29.
2. Designazioni individuali. La designazione quale amministratore di sistema deve essere in
ogni caso individuale e recare l'elencazione analitica degli ambiti di operatività consentiti in
base al profilo di autorizzazione assegnato.
3. Elenco degli amministratori di sistema. Gli estremi identificativi delle persone fisiche
amministratori di sistema, con l'elenco delle funzioni ad essi attribuite, devono essere
riportati nel Documento Programmatico sulla Sicurezza, oppure, nei casi in cui il titolare
non è tenuto a redigerlo, annotati comunque in un documento interno da mantenere
aggiornato e disponibile in caso di accertamenti anche da parte del Garante. Qualora
l'attività degli amministratori di sistema riguardi anche indirettamente servizi o sistemi che
trattano o che permettono il trattamento di informazioni di carattere personale di lavoratori, i
titolari pubblici e privati nella qualità di datori di lavoro sono tenuti a rendere nota o
conoscibile l'identità degli amministratori di sistema nell'ambito delle proprie
organizzazioni, secondo le caratteristiche dell'azienda o del servizio, in relazione ai diversi
servizi informatici cui questi sono preposti. Ciò, avvalendosi dell'informativa resa agli
43
http://www.gazzettaufficiale.it/guridb/dispatcher?service=1&datagu=2008-12-
24&task=dettaglio&numgu=300&redaz=08A09816&tmstp=1230659946972
39

Creative Commons Attribuzione - Non commerciale 2.5 Italia License


Lezione 1 – Unità didattica 1.3

interessati ai sensi dell'art. 13 del Codice nell'ambito del rapporto di lavoro che li lega al
titolare, oppure tramite il disciplinare tecnico la cui adozione è prevista dal provvedimento
del Garante n. 13 del 1° marzo 2007 (in Gazzetta Ufficiale 10 marzo 2007, n. 58); in
alternativa si possono anche utilizzare strumenti di comunicazione interna (a es., intranet
aziendale, ordini di servizio a circolazione interna o bollettini). Ciò, salvi i casi in cui tale
forma di pubblicità o di conoscibilità non sia esclusa in forza di un'eventuale disposizione di
legge che disciplini in modo difforme uno specifico settore. Nel caso di servizi di
amministrazione di sistema affidati in outsourcing il titolare deve conservare direttamente e
specificamente, per ogni eventuale evenienza, gli estremi identificativi delle persone fisiche
preposte quali amministratori di sistema.
4. Verifica delle attività. L'operato degli amministratori di sistema deve essere oggetto, con
cadenza almeno annuale, di un'attività di verifica da parte dei titolari del trattamento, in
modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza
rispetto ai trattamenti dei dati personali previste dalle norme vigenti.
5. Registrazione degli accessi. Devono essere adottati sistemi idonei alla registrazione degli
accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici
da parte degli amministratori di sistema. Le registrazioni (access log) devono avere
caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità
adeguate al raggiungimento dello scopo di verifica per cui sono richieste. Le registrazioni
devono comprendere i riferimenti temporali e la descrizione dell'evento che le ha generate e
devono essere conservate per un congruo periodo, non inferiore a sei mesi.
6. Tempi di adozione delle misure e degli accorgimenti. Per tutti i titolari dei trattamenti già
iniziati o che avranno inizio entro trenta giorni dalla data di pubblicazione nella Gazzetta
Ufficiale del presente provvedimento, le misure e gli accorgimenti (…) dovranno essere
introdotti al più presto e comunque entro, e non oltre, il termine che è congruo stabilire, in
centoventi giorni dalla medesima data. Per tutti gli altri trattamenti che avranno inizio dopo
il predetto termine di trenta giorni dalla pubblicazione, gli accorgimenti e le misure
dovranno essere introdotti anteriormente all'inizio del trattamento dei dati.

40

Creative Commons Attribuzione - Non commerciale 2.5 Italia License


Lezione 1 – Unità didattica 1.3

Domande di verifica 1.3


Domanda Prima risposta Seconda risposta Terza risposta
L’allegato B al Codice Vero. Falso. Parzialmente vero
contiene l’elenco delleL’allegato contiene le L’allegato B indica L’allegato B faceva
misure minime di disposizioni tecniche come garantire i diritti parte della precedente
sicurezza da adottare relative alla misure dei cittadini in ambito legge 675 sulla
per i trattamenti di dati
minime di sicurezza privacy. privacy. Oggi è in
personali già enunciate nel vigore il d.lgs. 231/01
Codice
L’allegato A5 riguarda Vero. Questo allegato Vero. L’allegato Falso. L’allegato
le centrali rischi fissa le regole su come contiene anche un contiene le modalità
private trattare i dati delle codice di condotta da per inviare la
persone ed aziende far sottoscrivere al notificazione dei
registrate come cattivi consumatore. trattamenti al Garante
(o buoni) pagatori
L’allegato A3 contiene Vero. Parzialmente vero. Falso.
il codice deontologico Il codice deontologico È l’allegato A4 che Il codice deontologico
sul marketing fissa le regole da contiene il codice sul marketing non è
adottare nel deontologico sul ancora stato emanato.
trattamento di dati marketing.
personali per finalità
di marketing e
commerciali.

41

Creative Commons Attribuzione - Non commerciale 2.5 Italia License


Lezione 1 – Unità didattica 1.3

Risposte alle domande di


verifica
Domande di verifica 1.1 e risposte corrette

Domanda
Il Codice in materia di Falso, il Codice in
protezione dei dati materia di protezione
personali è in vigore dei dati personali è in
dal primo gennaio vigore dal primo
2001 gennaio 2004 e
sostituisce la
precedente legge
n.675 del 1996
Quando è stata Nel 2004 dal Codice
abrogata la legge sulla in materia di
privacy del 1996? protezione dei dati
personali
La legge sulla privacy Falso. Le norme sulla
riguarda solo le privacy si applicano
persone fisiche e non sia a persone fisiche
le aziende che ad aziende

Domande di verifica 1.2 e risposte corrette

Domanda
L’Autorità Garante per Falso.
la protezione dei dati Il Garante può
personali non ha reali infliggere sanzioni ed
poteri ma può imporre le proprie
semplicemente decisioni fino al
“consigliare” i blocco dei
comportamenti corretti trattamenti
La nomina dei Vero.
componenti I membri
dell’Autorità Garante dell’autorità sono
per la privacy è di tipo nominati dal
“politica” Parlamento
I cittadini, e le Vero.
imprese, possono Sul sito del Garante sono
disponibili anche
appellarsi direttamente suggerimenti e modelli
al garante per far per esercitare tale diritto
valere i propri diritti

42

Creative Commons Attribuzione - Non commerciale 2.5 Italia License


Lezione 1 – Unità didattica 1.3

Tra gli incarichi del Vero.


Garante vi sono le Ogni anno il Garante
ispezioni nelle aziende presenta
per valutare il rispetto pubblicamente il
degli adempimenti di piano delle ispezioni
legge previste.

Domande di verifica 1.3 e risposte corrette

Domanda
L’allegato B al Codice Vero.
contiene l’elenco delle L’allegato contiene le
misure minime di disposizioni tecniche
sicurezza da adottare relative alla misure
per i trattamenti di dati minime di sicurezza
personali già enunciate nel
Codice
L’allegato A5 riguarda Vero. Questo allegato
le centrali rischi fissa le regole su
private come trattare i dati
delle persone ed
aziende registrate
come cattivi (o buoni)
pagatori
L’allegato A3 contiene Falso.
il codice deontologico Il codice deontologico
sul marketing sul marketing non è
ancora stato
emanato.

43

Creative Commons Attribuzione - Non commerciale 2.5 Italia License


Lezione 1 – Unità didattica 1.3

Fine del documento

Le successive lezioni saranno pubblicate attraverso i siti ComplianceNet44, CMa Consulting45 ed


Arcobaleni19646 nelle prossime settimane.

Roma, 12 gennaio 2009

44
http://www.compliancenet.it/
45
http://www.cmaconsulting.it/
46
http://www.arcobaleni196.it
44

Creative Commons Attribuzione - Non commerciale 2.5 Italia License