Sei sulla pagina 1di 48
<a href=http://www.compliancenet.it/ http://www.cmaconsulting.it/ Panfilo Marcelli Sei lezioni sulla privacy corso di formazione per le aziende con casi pratici ed esercitazioni Aggiornato ai nuovi adempimenti per le funzioni di amministratore di sistema versione 1.0 12 gennaio 2009 ( Introduzione e Lezione 1 ) Aggiornato alle “semplificazioni” del Garante del dicembre 2008 Creative Commons Attribuzione - Non commerciale 2.5 Italia License http://creativecommons.org/licenses/by-nc/2.5/it/ " id="pdf-obj-0-2" src="pdf-obj-0-2.jpg">
<a href=http://www.compliancenet.it/ http://www.cmaconsulting.it/ Panfilo Marcelli Sei lezioni sulla privacy corso di formazione per le aziende con casi pratici ed esercitazioni Aggiornato ai nuovi adempimenti per le funzioni di amministratore di sistema versione 1.0 12 gennaio 2009 ( Introduzione e Lezione 1 ) Aggiornato alle “semplificazioni” del Garante del dicembre 2008 Creative Commons Attribuzione - Non commerciale 2.5 Italia License http://creativecommons.org/licenses/by-nc/2.5/it/ " id="pdf-obj-0-6" src="pdf-obj-0-6.jpg">

Panfilo Marcelli

Sei lezioni sulla privacy

corso di formazione per le aziende con casi pratici ed esercitazioni

Aggiornato ai nuovi adempimenti per le funzioni di amministratore di sistema
Aggiornato ai nuovi
adempimenti per le
funzioni di
amministratore di
sistema

versione 1.0

12 gennaio 2009

(Introduzione e Lezione 1)

Aggiornato alle “semplificazioni” del Garante del dicembre 2008
Aggiornato alle
“semplificazioni”
del Garante del
dicembre 2008
<a href=http://www.compliancenet.it/ http://www.cmaconsulting.it/ Panfilo Marcelli Sei lezioni sulla privacy corso di formazione per le aziende con casi pratici ed esercitazioni Aggiornato ai nuovi adempimenti per le funzioni di amministratore di sistema versione 1.0 12 gennaio 2009 ( Introduzione e Lezione 1 ) Aggiornato alle “semplificazioni” del Garante del dicembre 2008 Creative Commons Attribuzione - Non commerciale 2.5 Italia License http://creativecommons.org/licenses/by-nc/2.5/it/ " id="pdf-obj-0-29" src="pdf-obj-0-29.jpg">

Creative Commons Attribuzione - Non commerciale 2.5 Italia License

Creative Commons Attribuzione - Non commerciale 2.5 Italia License <a href=http://creativecommons.org/licenses/by-nc/2.5/it/ Commons Deed Tu sei libero: ∑ di riprodurre, distribuire, comunicare al pubblico, esporre in pubblico, rappresentare, eseguire e recitare quest'opera ∑ di modificare quest'opera Alle seguenti condizioni: ∑ Attribuzione . Devi attribuire la paternità dell'opera nei modi indicati dall'autore o da chi ti ha dato l'opera in licenza e in modo tale da non suggerire che essi avallino te o il modo in cui tu usi l'opera. ∑ Non commerciale . Non puoi usare quest'opera per fini commerciali. ∑ Ogni volta che usi o distribuisci quest'opera, devi farlo secondo i termini di questa licenza, che va comunicata con chiarezza. ∑ In ogni caso, puoi concordare col titolare dei diritti utilizzi di quest'opera non consentiti da questa licenza ( p.marcelli@cmaconsulting.it ) . ∑ Questa licenza lascia impregiudicati i diritti morali. Limitazione di responsabilità Le utilizzazioni consentite dalla legge sul diritto d'autore e gli altri diritti non sono in alcun modo limitati da quanto sopra. Questo è un riassunto in linguaggio accessibile a tutti del Codice Legale (la licenza integrale) . http://creativecommons.org/licenses/by-nc/2.5/it/legalcode " id="pdf-obj-1-2" src="pdf-obj-1-2.jpg">

Creative Commons Attribuzione - Non commerciale 2.5 Italia License

Commons Deed

Creative Commons Attribuzione - Non commerciale 2.5 Italia License <a href=http://creativecommons.org/licenses/by-nc/2.5/it/ Commons Deed Tu sei libero: ∑ di riprodurre, distribuire, comunicare al pubblico, esporre in pubblico, rappresentare, eseguire e recitare quest'opera ∑ di modificare quest'opera Alle seguenti condizioni: ∑ Attribuzione . Devi attribuire la paternità dell'opera nei modi indicati dall'autore o da chi ti ha dato l'opera in licenza e in modo tale da non suggerire che essi avallino te o il modo in cui tu usi l'opera. ∑ Non commerciale . Non puoi usare quest'opera per fini commerciali. ∑ Ogni volta che usi o distribuisci quest'opera, devi farlo secondo i termini di questa licenza, che va comunicata con chiarezza. ∑ In ogni caso, puoi concordare col titolare dei diritti utilizzi di quest'opera non consentiti da questa licenza ( p.marcelli@cmaconsulting.it ) . ∑ Questa licenza lascia impregiudicati i diritti morali. Limitazione di responsabilità Le utilizzazioni consentite dalla legge sul diritto d'autore e gli altri diritti non sono in alcun modo limitati da quanto sopra. Questo è un riassunto in linguaggio accessibile a tutti del Codice Legale (la licenza integrale) . http://creativecommons.org/licenses/by-nc/2.5/it/legalcode " id="pdf-obj-1-10" src="pdf-obj-1-10.jpg">

Tu sei libero:

Creative Commons Attribuzione - Non commerciale 2.5 Italia License <a href=http://creativecommons.org/licenses/by-nc/2.5/it/ Commons Deed Tu sei libero: ∑ di riprodurre, distribuire, comunicare al pubblico, esporre in pubblico, rappresentare, eseguire e recitare quest'opera ∑ di modificare quest'opera Alle seguenti condizioni: ∑ Attribuzione . Devi attribuire la paternità dell'opera nei modi indicati dall'autore o da chi ti ha dato l'opera in licenza e in modo tale da non suggerire che essi avallino te o il modo in cui tu usi l'opera. ∑ Non commerciale . Non puoi usare quest'opera per fini commerciali. ∑ Ogni volta che usi o distribuisci quest'opera, devi farlo secondo i termini di questa licenza, che va comunicata con chiarezza. ∑ In ogni caso, puoi concordare col titolare dei diritti utilizzi di quest'opera non consentiti da questa licenza ( p.marcelli@cmaconsulting.it ) . ∑ Questa licenza lascia impregiudicati i diritti morali. Limitazione di responsabilità Le utilizzazioni consentite dalla legge sul diritto d'autore e gli altri diritti non sono in alcun modo limitati da quanto sopra. Questo è un riassunto in linguaggio accessibile a tutti del Codice Legale (la licenza integrale) . http://creativecommons.org/licenses/by-nc/2.5/it/legalcode " id="pdf-obj-1-14" src="pdf-obj-1-14.jpg">

di riprodurre, distribuire, comunicare al pubblico, esporre in pubblico, rappresentare, eseguire e recitare quest'opera

di modificare quest'opera

Alle seguenti condizioni:

Creative Commons Attribuzione - Non commerciale 2.5 Italia License <a href=http://creativecommons.org/licenses/by-nc/2.5/it/ Commons Deed Tu sei libero: ∑ di riprodurre, distribuire, comunicare al pubblico, esporre in pubblico, rappresentare, eseguire e recitare quest'opera ∑ di modificare quest'opera Alle seguenti condizioni: ∑ Attribuzione . Devi attribuire la paternità dell'opera nei modi indicati dall'autore o da chi ti ha dato l'opera in licenza e in modo tale da non suggerire che essi avallino te o il modo in cui tu usi l'opera. ∑ Non commerciale . Non puoi usare quest'opera per fini commerciali. ∑ Ogni volta che usi o distribuisci quest'opera, devi farlo secondo i termini di questa licenza, che va comunicata con chiarezza. ∑ In ogni caso, puoi concordare col titolare dei diritti utilizzi di quest'opera non consentiti da questa licenza ( p.marcelli@cmaconsulting.it ) . ∑ Questa licenza lascia impregiudicati i diritti morali. Limitazione di responsabilità Le utilizzazioni consentite dalla legge sul diritto d'autore e gli altri diritti non sono in alcun modo limitati da quanto sopra. Questo è un riassunto in linguaggio accessibile a tutti del Codice Legale (la licenza integrale) . http://creativecommons.org/licenses/by-nc/2.5/it/legalcode " id="pdf-obj-1-25" src="pdf-obj-1-25.jpg">

Attribuzione. Devi attribuire la paternità dell'opera nei modi indicati dall'autore o da chi ti ha dato l'opera in licenza e in modo tale da non suggerire che essi avallino te o il modo in cui tu usi l'opera.

Non commerciale. Non puoi usare quest'opera per fini commerciali.

Ogni volta che usi o distribuisci quest'opera, devi farlo secondo i termini di questa licenza, che va comunicata con chiarezza. In ogni caso, puoi concordare col titolare dei diritti utilizzi di quest'opera non consentiti da questa licenza (p.marcelli@cmaconsulting.it). Questa licenza lascia impregiudicati i diritti morali.

Limitazione di responsabilità Le utilizzazioni consentite dalla legge sul diritto d'autore e gli altri diritti non sono in alcun modo limitati da quanto sopra. Questo è un riassunto in linguaggio accessibile a tutti del Codice Legale (la licenza integrale) 1 .

Indice

Indice

INDICE.........................................................................................................................I

INTRODUZIONE.......................................................................................................1

PERCORSI FORMATIVI.......................................................................................................2 ORGANIZZAZIONE DEI CONTENUTI......................................................................................4 IL SITO WEB COLLEGATO AL LIBRO.....................................................................................5

RINGRAZIAMENTI............................................................................................................5

LIMITAZIONE DI RESPONSABILITÀ.......................................................................................5 PANFILO MARCELLI SI PRESENTA.......................................................................................6 LEZIONE 1 – INTRODUZIONE ALLA PRIVACY...............................................7

UNITÀ DIDATTICA 1.1 – IL DIRITTO ALLA PROTEZIONE DEI DATI PERSONALI............................15

Modulo 1.1.1 – Mini glossario.............................................................................16 Modulo 1.1.2 – Sintesi delle norme sulla privacy................................................17 Modulo 1.1.3 – Quadro normativo.......................................................................18 DOMANDE DI VERIFICA 1.1............................................................................................19

UNITÀ DIDATTICA 1.2 – IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI......................21

Modulo 1.2.1 – L’ufficio del Garante...................................................................22 Modulo 1.2.2 – Ispezioni del Garante .................................................................24 Modulo 1.2.3 – Nucleo speciale funzione pubblica e privacy della guardia di

finanza..................................................................................................................25

DOMANDE DI VERIFICA 1.2............................................................................................26 UNITÀ DIDATTICA 1.3 – LE PRINCIPALI NORME SULLA PRIVACY...........................................27 Modulo 1.3.1 – Codice in materia di protezione dei dati personali....................28 Modulo 1.3.2 – Allegati al Codice ......................................................................31 Modulo 1.3.3 – Allegato B - Disciplinare tecnico in materia di misure minime di sicurezza ..............................................................................................................32 Modulo 1.3.4 – Le “semplificazioni” del 2008 sulla sicurezza e la notificazione

..............................................................................................................................37

Modulo 1.3.5 – I nuovi adempimenti per le funzioni di “amministratore di sistema” ...............................................................................................................39 DOMANDE DI VERIFICA 1.3............................................................................................41 RISPOSTE ALLE DOMANDE DI VERIFICA..............................................................................42

I

Indice

Pagina lasciata intenzionalmente bianca

II

Introduzione

Introduzione

Questo testo è un corso di formazione sulle tematiche della privacy rivolto a coloro che lavorano in azienda. Come è noto il Codice in materia di protezione dei dati personali2 prevede, tra gli obblighi di sicurezza, la programmazione di interventi formativi per “rendere edotti” gli incaricati del trattamento di dati personali dei rischi che incombono sui dati e delle relative contromisure di sicurezza; è inoltre necessario che la pianificazione della formazione sia riportata nel Documento Programmatico sulla Sicurezza, se redatto.

Per rispondere anche a tali esigenze è stato realizzato questo corso che si articola in sei lezioni.

  • 1. Introduzione alla privacy.

  • 2. Organizzazione aziendale per la privacy.

  • 3. Protezione dei dati personali.

  • 4. Diritto di accesso.

  • 5. Videosorveglianza.

  • 6. Marketing e comunicazioni commerciali.

Gli argomenti vengono proposti ed approfonditi attraverso casi pratici simulando di operare all’interno di una media impresa manifatturiera, la Arcobaleni196 3 srl.

1

Percorsi formativi

Introduzione

È opportuno che la formazione sulla privacy non venga svolta in maniera indifferenziata per tutti gli incaricati ma che, viceversa, sia predisposta una “struttura formativa modulare” in relazione alle tipologie di incarico al trattamento dei dati personali.

Le sei lezioni del testo si rivolgono, dunque, ad interlocutori diversi, come di seguito specificato.

  • 1. Introduzione alla privacy: illustra il quadro normativo della privacy sottolineando i principi di base e gli adempimenti di maggior rilievo; la lezione si rivolge a tutti gli incaricati dei trattamenti e a coloro che hanno necessità di una overview generale.

  • 2. Organizzazione aziendale per la privacy: descrive le misure organizzative che occorre adottare, in azienda, per garantire il rispetto delle norme in ambito privacy; la lezione si rivolge ai dirigenti e quadri aziendali e a coloro che hanno responsabilità aziendali, anche non esclusive, in ambito privacy, controlli e sicurezza.

  • 3. Protezione dei dati personali: approfondisce il tema delle misure di sicurezza, minime ed idonee, che devono essere applicate nel trattamento dei dati personali; la lezione si rivolge ai Responsabili privacy aziendale e a coloro che hanno responsabilità aziendali, anche non esclusive, in ambito privacy, controlli e sicurezza.

  • 4. Diritto di accesso: contiene le linee guida per la corretta gestione, in azienda, dei diritti in relazione al trattamento dei dati personali; la lezione si rivolge ai Responsabili privacy aziendali, ai responsabili ed incaricati dei trattamenti degli uffici che si occupano di aspetti legali, contenzioso, reclami, customer satisfaction.

  • 5. Videosorveglianza: contiene le indicazioni per la corretta gestione, in azienda, dei sistemi di videosorveglianza; la lezione si rivolge ai Responsabili privacy aziendali ed ai responsabili dei trattamenti di videosorveglianza.

  • 6. Marketing e comunicazioni commerciali: contiene il quadro di riferimento per gli adempimenti privacy da rispettare nelle attività di commerciali; la lezione si rivolge ai Responsabili privacy aziendali, ai responsabili ed incaricati dei trattamenti di marketing, commerciale, vendite, comunicazione.

2

Introduzione

Le sei lezioni possono essere combinate secondo veri e propri “percorsi formativi” quali quelli di seguito proposti.

Corso per incaricati al trattamento dei dati personali

 

lezione 1

Introduzione alla privacy

Corso per Direzione

 
 

lezione 1

 
 

lezione 2

Introduzione alla privacy Organizzazione aziendale per la privacy

Corso per Responsabile dei trattamenti

 

lezione 1

Introduzione alla privacy

 

lezione 2

 
 

lezione 3

Organizzazione aziendale per la privacy Protezione dei dati personali

 

lezione 4

Diritto di accesso

Corso per Responsabile dei trattamenti con video sorveglianza

 

lezione 1

Introduzione alla privacy

 

lezione 2

Organizzazione aziendale per la privacy

 

lezione 3

 
 

lezione 4

Protezione dei dati personali Diritto di accesso

 

lezione 5

Videosorveglianza

Corso per Responsabile dei trattamenti di marketing

 

lezione 1

Introduzione alla privacy

 

lezione 2

Organizzazione aziendale per la privacy

 

lezione 3

 
 

lezione 4

Protezione dei dati personali Diritto di accesso

 

lezione 6

Marketing e comunicazioni commerciali

È ovviamente possibile far svolgere a particolari classi di incaricati l’intero corso per dare una formazione ed informazione più ampia.

3

Organizzazione dei contenuti

Introduzione

Ogni lezione si compone di unità didattiche; ogni unità didattica è suddivisa in moduli. Lezioni, unità e moduli sono numerati così da facilitare sia i percorsi didattici sia il reperimento delle informazioni. Ogni lezione inizia con la descrizione di un “caso di studio” concreto che serve ad introdurre gli argomenti di seguito trattati. Dopo ogni unità didattica ci sono “domande di verifica” sugli argomenti trattati le cui soluzioni sono fornite in allegato al testo.

L1 Introduzione alla privacy Lezioni CS1 Caso di Arcobaleni196 studio e la privacy U11 U12 Il
L1
Introduzione alla privacy
Lezioni
CS1
Caso di
Arcobaleni196
studio
e la privacy
U11
U12
Il diritto
alla protezione
dei dati personali
Il Garante per la
protezione dei dati
personali
….
Unità
Didattiche
Domande
DV11
di verifica
Verifica
la tua comprensione
M111
M112
La privacy
Quadro
Moduli
in
normativo
Italia

4

Il sito web collegato al libro

Introduzione

Questo testo viene diffuso attraverso i siti ComplianceNet 4 e CMa Consulting 5 .

Al corso è inoltre collegato il sito Arcobaleni196 6 dal nome (fittizio) della società che è protagonista dei nostri casi di studio ed esercitazioni.

Ringraziamenti

Si ringrazia ComplianceNet e CMa Consulting per l’aiuto e l’assistenza nella redazione di questo corso; in particolare:

Cristina Cellucci per l’entusiasmo che mette in tutte le sue iniziative (questo

corso non avrebbe visto luce senza il suo aiuto); Cristina può essere contattata al seguente indirizzo email: cristina.cellucci@compliancenet.it Manlio Torquato per la revisione, correzione, puntualizzazione dei contenuti

del testo (questo corso ha rischiato, per colpa sua, più di una volta di non vedere

la luce

...

);

Manlio può essere contattato al seguente indirizzo email:

Limitazione di responsabilità

ComplianceNet, CMA Consulting, Panfilo Marcelli, Cristina Cellucci, Manlio Torquato e tutti coloro che hanno contribuito a tale documento non forniscono nessuna assicurazione né garanzia che l’uso di questo documento, delle relative linee guida, dei suggerimenti, delle check list e degli strumenti indicati in questa pubblicazione possano garantire di per sé la conformità alle norme.

5

Introduzione

Panfilo Marcelli si presenta

Mi sono laureato in Ingegneria all’Università de l’Aquila. Ho lavorato per oltre vent’anni presso primarie aziende informatiche e di consulenza (IPACRI, Euros Consulting, OASI) con incarichi, anche direttivi, in ambito Information Technology, Privacy e Protezione dei dati personali, Qualità e Certificazione ISO9000 e ISO27001, Workflow Management e Business Process Reengineering, Internet, Intranet e gestione di siti con sistemi CMS. Attualmente sono

Introduzione Panfilo Marcelli si presenta Mi sono laureato in Ingegneria all’Università de l’Aquila. Ho lavorato perCMa Consulting società specializzata in servizi, consulenza e formazione in ambito Compliance, Privacy, Qualità e Sicurezza. Se volete contattarmi la mia email è p.marcelli@cmaconsulting.it http://www.cmaconsulting.it/ 6 Creative Commons Attribuzione - Non commerciale 2.5 Italia License " id="pdf-obj-9-8" src="pdf-obj-9-8.jpg">

partner di CMa Consulting 7 società specializzata in servizi, consulenza e formazione in ambito Compliance, Privacy, Qualità e Sicurezza. Se volete contattarmi la mia email è p.marcelli@cmaconsulting.it

6

Lezione 1 – Introduzione alla privacy

 

Lezione 1

 

Introduzione alla privacy

Caso di studio a – Arcobaleni196 e la privacy

Unità Didattica 1 - Il diritto alla protezione dei dati personali

Unità Didattica 2 - Il Garante per la protezione dei dati personali

Unità Didattica 3 - Le principali norme sulla privacy

Risposte alle domande di verifica

7

Lezione 1 – Introduzione alla privacy

Obiettivi di apprendimento

Cos’è la Privacy?

Quale sono le norme più importanti in ambito privacy?

Cos’è il Garante per la protezione dei dati personali e che poteri ha?

Cosa sono i provvedimenti del Garante?

A chi si rivolge questa lezione?

A tutti gli incaricati.

Percorsi formativi

Corso per incaricati al trattamento dei dati personali.

Corso per Direzione.

Corso per Responsabile dei trattamenti.

Corso per Responsabile dei trattamenti con video sorveglianza.

Corso per Responsabile dei trattamenti di marketing.

Concetti chiave:

Codice in materia di protezione dei dati personali.

Allegati al Codice.

Provvedimenti del Garante.

8

Lezione 1 – Caso di studio a

Lezione 1 – Caso di studio a – Arcobaleni196 e la privacy

9

Lezione 1 – Caso di studio a

Le lezioni di questo corso sono basate su un caso di studio concreto. Simuleremo di trovarci presso Arcobaleni196 srl 8 una società che produce e commercializza vernici speciali per la carrozzeria di veicoli. Sono stato convocato dal cavalier Pinco Arcobaleni, fondatore e Direttore Generale dell’azienda. “Ho bisogno di una consulenza sulla privacy” mi ha detto telefonicamente. E così vado a trovarlo.

Primo incontro con il cavalier Arcobaleni
Primo incontro
con il cavalier
Arcobaleni

Voglio mettere telecamere ovunque!” ha esordito il cavalier Arcobaleni non appena mi sono accomodato nel suo ufficio.

“Come mai?” ho chiesto cercando di rimanere imperturbabile.

“Ieri è stato rubato un altro computer portatile! È il terzo dall’inizio dell’anno adesso basta! Voglio sapere chi è che ruba in azienda. Inoltre il mese scorso, nonostante il divieto di fumo in tutti gli uffici, qualcuno ha acceso una sigaretta in uno dei bagni facendo suonare l’allarme antincendio.”

“Le telecamere non sono vietate di per sé” gli ho spiegato “ma la legge sulla privacy impone di seguire delle regole.”

“Regole, sempre regole! In Italia è diventato impossibile condurre un’azienda” ha sbuffato Arcobaleni “l’ho chiamata proprio per questo, caro ingegnere. Il mio assistente, dottor Marroni, ha letto su Internet i suoi articoli 9 sulla privacy e ha consigliato di avere un suo parere prima di installare le telecamere. Ma mi dica subito: cosa c’entra la legge sulla privacy con le telecamere? Posso installarle sì o no?”

10

Lezione 1 – Caso di studio a

“In Italia esistono norme precise, ed in alcuni casi anche severe, sui trattamenti di dati personali. Le riprese effettuate con sistemi di videosorveglianza sono considerati trattamenti di dati personali. Dal primo gennaio 2004 l’intera materia è stata riordinata e precisata dal Codice in materia di protezione dei dati personali” ho spiegato.

“Le dico subito che in azienda non trattiamo dati personali!” mi ha interrotto con un sorriso trionfante Arcobaleni.

“Come fa ad esserne così sicuro?” gli ho chiesto non poco sorpreso.

“Legga qua” mi dice il cavaliere allungandomi un foglio.

Comunicazione del Direttore Generale del 15 settembre 2008 Si comunica a tutto il personale che a
Comunicazione del
Direttore Generale del 15
settembre 2008
Si comunica a tutto il
personale che a far data da
oggi è vietato il
trattamento di qualsiasi
dato personale in
azienda.
Firmato
Pinco Arcobaleni
Direttore Generale

Sono sempre più preoccupato.

“Perché ha scritto questa comunicazione?” gli chiedo.

“Me lo ha consigliato la dottoressa Rossetti. Mi ha detto che lo scorso giugno è stato abrogato l’obbligo delle misure di sicurezza per le aziende che non trattano dati sensibili.”

11

Lezione 1 – Caso di studio a

“Nessuno ha abrogato l’obbligo di adottare le misure di sicurezza” chiarisco “il Decreto Legge 25 giugno 2008 n.112 10 del giugno 2008, poi tradotto in un provvedimento 11 del Garante nel dicembre 2008, ha semplicemente abrogato l’obbligo della redazione del Documento Programmatico sulla sicurezza per tutte le aziende che non trattano dati sensibili o che trattano solo dati sensibili inerenti salute e malattia dei propri dipendenti, senza indicazione della diagnosi”.

“Mi scusi mi sono espresso male. Intendevo dire che non trattiamo dati sensibili! Sa con tutte queste definizioni … Adesso però dovrò rifare la comunicazione a tutto il personale… Non è che mi darebbe una mano? Avrei bisogno che qualcuno mi chiarisse un po’ meglio le idee sulla privacy. Ma mi dica subito: posso installare o no le telecamere?”

“Solo se segue le indicazioni del Garante”.

“Mi può riepilogare quali sono queste indicazioni?”

“Certamente cavaliere. Ma il mio consiglio è di fare un po’ di ordine sia sulle norme sia sugli adempimenti privacy. Temo che ci siano numerosi obblighi che avete sottovalutato. Le posso fare una proposta? Convochi i suoi principali collaboratori ed in un paio d’ore le farò un quadro completo della normativa e di quello che serve per fare il censimento dei trattamenti.”

“Ingegnere, sarò franco: fino ad oggi non ci siamo curati di questi aspetti e non abbiamo mai avuto problemi… Non siamo una grande azienda che può spendere migliaia di euro su questi temi. Io la ringrazio per essere venuto a trovarmi ma vorrei essere onesto con lei: ho altre priorità!”

“Tocca a lei decidere, cavaliere. Le ricordo però che le sanzioni previste per il mancato rispetto delle norme sulla privacy sono sia penali sia amministrative.”

“Ohibò, si rischia il carcere?”

“Le sanzioni penali possono comportare anche pene detentive oltre che pecuniarie. Le sanzioni amministrative possono essere pecuniarie o a fronte di gravi irregolarità arrivare anche al blocco del trattamento dei dati.”

“Che significa?”

“Significa che Arcobaleni196 non potrebbe più operare e sarebbe costretta a chiudere… Cavaliere si fidi di me! Facciamo così: mi accordi due ore con i suoi collaboratori più stretti. E poi decida lei se andare avanti con il mio aiuto o continuare a fare tutto da solo.”

12

Lezione 1 – Caso di studio a

Sanzioni per gli adempimenti privacy

Sanzioni amministrative

Omessa o inidonea informativa

Da € 3.000,00 a € 18.000,00

Omessa o inidonea informativa (dati sensibili, giudiziari, trattamenti che presentano rischi specifici)

Da € 5.000,00 a € 30.000,00

Cessione illecita di dati

Da € 5.000,00 a € 30.000,00

Violazione relativa ai dati personali idonei a rilevare lo stato di salute

Da € 500,00 a € 3.000,00

Omessa o incompleta notificazione

Da € 10.000,00 a € 60.000,00

Omessa informazione o esibizione al Garante dei documenti richiesti

Da € 4.000,00 a € 24.000,00

Illeciti penali

Trattamento illecito di dati

Reclusione da 6 a 24 mesi

Trattamento illecito di dati (dati sensibili, giudiziari, trattamenti che presentano rischi specifici)

Reclusione da 1 a 3 anni

Falsità nelle dichiarazioni e notificazioni al Garante

Reclusione da 6 mesi a 3 anni

Omessa adozione delle misure minime

Arresto fino a 2 anni Sanzione pecuniaria da € 10.000,00 a €

di sicurezza

50.000,00

Violazione da parte dei datori di lavoro del divieto di Effettuare indagini su opinioni politiche, Controllo attraverso luso di impianti audiovisivi, o altre apparecchiature art.4 Legge n.300/1970

Arresto da 15 giorni a 1 anno

“Okay ingegnere. Faccio venire immediatamente i miei principali collaboratori: Carmela Rossetti della qualità e controlli, Giuseppina Nerucci delle risorse umane, Ercole Marroni della produzione, Mariuccia Nerini della Contabilità.”

Introduzione alla privacy
Introduzione
alla privacy

(Alcuni minuti dopo: presenti tutti i collaboratori.)

“Bene. Vi farò una breve introduzione alla privacy affrontando tre argomenti:

  • 1. Il diritto alla protezione dei dati personali

  • 2. Il Garante per la protezione dei dati personali

  • 3. Le principali norme sulla privacy”

13

Lezione 1 – Caso di studio a

Inizia il corso…
Inizia il corso…

14

Lezione 1 – Unità didattica 1.1

Lezione 1 – Unità didattica 1.1 – Il diritto alla protezione dei dati personali

Modulo 1.1.1 – Mini glossario

Modulo 1.1.2 – Sintesi delle norme sulla privacy

Modulo 1.1.3 – Quadro normativo

Domande di verifica 1.1

15

Lezione 1 – Unità didattica 1.1

Modulo 1.1.1 – Mini glossario

Tratto dalla brochure del Garante per la protezione dei dati personali: La tutela dei dati personali: il primo Garante sei tu12 .

Dato personale: qualunque informazione relativa ad un individuo, ad una persona giuridica, ad un ente o associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, compreso un numero di identificazione personale.

Dato sensibile: qualunque dato che può rivelare l’origine razziale, l’appartenenza etnica, le convinzioni religiose o di altra natura, le opinioni politiche, l’appartenenza a partiti o sindacati, lo stato di salute e la vita sessuale.

Trattamento dei dati personali: qualunque operazione o complesso di operazioni, effettuate anche senza mezzi elettronici o automatizzati (raccolta, registrazione, organizzazione, conservazione, elaborazione, modificazione, selezione, estrazione, raffronto, utilizzo, interconnessione, blocco, comunicazione, diffusione, cancellazione e distruzione).

Titolare del trattamento: la pubblica amministrazione, la persona giuridica o fisica cui competono le decisioni in ordine alle finalità ed alle modalità del trattamento dei dati personali.

Interessato: la persona fisica, la persona giuridica, l’ente o l’associazione cui si riferiscono i dati.

Informativa: contiene le informazioni che il titolare del trattamento deve fornire all’interessato per chiarire, in particolare, se quest’ultimo è obbligato o meno a rilasciare i dati, quali sono gli scopi e le modalità del trattamento, come circolano i dati e in che modo esercitare i diritti riconosciuti dalla legge.

Consenso: la libera manifestazione della volontà con la quale l’interessato accetta – in modo espresso e, se vi sono dati sensibili, per iscritto - un determinato trattamento di dati che lo riguardano, sul quale è stato preventivamente informato da chi utilizza i dati.

Il Garante: un’Autorità indipendente composta da quattro membri eletti dal Parlamento. È stata istituita per la tutela dei diritti, delle libertà fondamentali e della dignità delle persone rispetto al trattamento dei dati personali. Controlla se il trattamento di dati personali da parte di privati e pubbliche amministrazioni è lecito e corretto. Esamina reclami, segnalazioni e ricorsi, svolge accertamenti anche su richiesta del cittadino, esegue ispezioni e verifiche. Prescrive modifiche necessarie od opportune per far adeguare i trattamenti alla disciplina vigente. Segnala al Parlamento e al Governo l’opportunità di interventi normativi per tutelare gli interessati. Esprime pareri su regolamenti e atti amministrativi di alcune amministrazioni pubbliche. Presenta al Parlamento e al Governo una relazione annuale sullo stato di attuazione della normativa che regola la materia.

16

Lezione 1 – Unità didattica 1.1

Modulo 1.1.2 – Sintesi delle norme sulla privacy

Dal 1996 in Italia vige il “diritto alla protezione dei dati personali” a cui comunemente ci si riferisce come “Legge sulla Privacy”: infatti il 31 dicembre 1996 è entrata in vigore la legge n. 675 “Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali”. Nel 2003 tale legge è stata abrogata e sostituita dal decreto legislativo 196/03 noto come Codice in materia di protezione dei dati personali13 entrato in vigore il primo gennaio 2004. Il primo articolo del Codice chiarisce cosa si intende per privacy nell’ordinamento italiano; recita infatti tale articolo: “chiunque ha diritto alla protezione dei dati personali che lo riguardano”. Tale protezione consiste nella garanzia che il trattamento dei dati personali si svolga nel rispetto dei diritti e delle libertà fondamentali, nonché della dignità dell'interessato, con particolare riferimento alla riservatezza, all'identità personale ed al diritto alla protezione dei dati personali. Va chiarito che lo spirito della legge non è di impedire il trattamento dei dati personali ma di evitare che questo avvenga contro la volontà dell'avente diritto, ovvero secondo modalità pregiudizievoli. Il Codice, in pratica, definisce la modalità di raccolta dei dati, gli obblighi di chi raccoglie, detiene o tratta dati personali e le responsabilità e sanzioni in caso di danni. Nel 1997 è stato costituito il “Garante per la protezione dei dati personali”, un organo collegiale composto da quattro membri eletto dal Parlamento che ha il compito di vigilare sul rispetto delle norme sulla privacy. Alle dipendenze del Garante è posto un Ufficio con un organico di circa 100 unità. Il Garante ha sintetizzato 14 i contenuti delle norme sulla privacy come segue.

I dati personali sono una proiezione della persona. La legge tutela la riservatezza,

l’identità personale, la dignità e gli altri nostri diritti e libertà fondamentali. Il trattamento dei dati che ci riguardano deve rispettare le garanzie previste dalla legge.

La prima garanzia è la trasparenza. Ognuno di noi ha il diritto di “sapere”. Il diritto di conoscere se un soggetto detiene informazioni, di apprenderne il contenuto, di farle rettificare se erronee, incomplete o non aggiornate.

Conoscere i nostri diritti e il modo per farli valere è semplice.

13 http://www.garanteprivacy.it/garante/doc.jsp?ID=1311248 14 Brochure “La tutela dei dati personali: il primo Garante sei tu” http://www.garanteprivacy.it/garante/document?

17

Lezione 1 – Unità didattica 1.1

Modulo 1.1.3 – Quadro normativo

Il Codice in materia di protezione dei dati personali15 è il testo principale di riferimento per la privacy. Si tratta di una sorta di “testo unico” che a far data dal primo Gennaio 2004 sostituisce, integra ed accorpa tutte le precedenti normative sul tema (in particolare sostituisce la legge 675/96). Il Codice contiene le definizioni ed i principi di riferimento. Le misure pratiche per adempiere ai principi sono contenute negli allegati; tra questi uno dei più importanti è l’allegato B sulle misure minime di sicurezza. Infine occorre tener presente i diversi provvedimenti 16 , con valore di legge, che il garante ha emanato Tutti i testi di legge sono disponibili sul sito del Garante 17 .

Lezione 1 – Unità didattica 1.1 Modulo 1.1.3 – Quadro normativo Il <a href=Codice in materia di protezione dei dati personali è il testo principale di riferimento per la privacy. Si tratta di una sorta di “testo unico” che a far data dal primo Gennaio 2004 sostituisce, integra ed accorpa tutte le precedenti normative sul tema (in particolare sostituisce la legge 675/96). Il Codice contiene le definizioni ed i principi di riferimento. Le misure pratiche per adempiere ai principi sono contenute negli allegati ; tra questi uno dei più importanti è l’allegato B sulle misure minime di sicurezza. Infine occorre tener presente i diversi provvedimenti , con valore di legge, che il garante ha emanato Tutti i testi di legge sono disponibili sul sito del Garante . Codice Obblighi normativi Allegati Provvedimenti Linee guida Best practices Modelli http://www.garanteprivacy.it/garante/doc.jsp?ID=1311248 http://www.garanteprivacy.it/garante/navig/jsp/index.jsp?folderpath=Provvedimenti http://www.garanteprivacy.it/garante/navig/jsp/index.jsp?folderpath=Normativa%2FItaliana%2FIl+Codice+in+materia+di+protezione+dei+dati+personali 18 Creative Commons Attribuzione - Non commerciale 2.5 Italia License " id="pdf-obj-21-24" src="pdf-obj-21-24.jpg">
Codice Obblighi normativi Allegati Provvedimenti Linee guida Best practices Modelli
Codice
Obblighi
normativi
Allegati
Provvedimenti
Linee guida
Best
practices
Modelli

18

Lezione 1 – Unità didattica 1.1

Domande di verifica 1.1

Domanda

Prima risposta

Seconda risposta

Terza risposta

Il Codice in materia di protezione dei dati personali è in vigore dal primo gennaio

Falso, il Codice in materia di protezione dei dati personali è in vigore dal primo

Falso. Dal 2001 è in vigore la legge n.675 sulla privacy poi abrogata dal Codice

Vero. Il primo gennaio 2001 è entrato il vigore il nuovo Codice che ha abrogato la

2001

gennaio 2004 e sostituisce la precedente legge n.675

nel 2003

legge n.675 sulla privacy.

del 1996

Quando è stata abrogata la legge sulla privacy del 1996?

Non è stata abrogata. Dal 2003 è stata integrata dal Codice in materia di protezione

Non è stata abrogata. È ancora in vigore

Nel 2004 dal Codice in materia di protezione dei dati personali

La legge sulla privacy riguarda solo le persone fisiche e non le aziende

dei dati personali Vero. Le aziende però possono appellarsi al Garante per la protezione dei dati

Vero. Le aziende fanno riferimento ad altre norme

Falso. Le norme sulla privacy si applicano sia a persone fisiche che ad aziende

personali

19

Lezione 1 – Unità didattica 1.1

Pagina lasciata intenzionalmente bianca

20

Lezione 1 – Unità didattica 1.2

Lezione 1 – Unità didattica 1.2 – Il Garante per la protezione dei dati personali

Modulo 1.2.1 – l’Ufficio del Garante

Modulo 1.2.2 – Ispezioni del Garante

Modulo 1.2.3 – Nucleo speciale funzione pubblica e privacy della guardia di finanza

Domande di verifica 1.2

21

Lezione 1 – Unità didattica 1.2

Modulo 1.2.1 – L’ufficio del Garante

Il Garante per la protezione dei dati personali è un’autorità indipendente, istituita dalla legge sulla privacy del 31 dicembre 1996 per assicurare la tutela dei diritti e delle libertà fondamentali ed il rispetto della dignità nel trattamento dei dati personali. Si tratta di un organo collegiale, composto da quattro membri eletti dal Parlamento, i quali rimangono in carica per un mandato di quattro anni rinnovabile una volta sola. Il Codice del 2003 ha confermato ruoli e compiti di tale authority.

L’attuale collegio si è insediato il 18 aprile 2005 ed è così composto:

Presidente

Vicepresidente

Componenti

  • Francesco Pizzetti

  • Giuseppe Chiaravalloti

Mauro Paissan Giuseppe Fortunato
Mauro Paissan
Giuseppe Fortunato

22

Lezione 1 – Unità didattica 1.2

Lezione 1 – Unità didattica 1.2 Il primo Presidente dell’Ufficio del Garante è stato il professorStefano Rodotà considerato il “padre” fondatore della legge. Rodotà è stato “Garante” della privacy dal 2000 al 2004. Fonte immagine Il Segretario generale dell’Ufficio del Garante è, dalla sua fondazione, Giovanni Buttarelli che il 23 dicembre 2008 è stato nominato Garante europeo aggiunto dei dati personali (EDPS). Fonte immagine I principali compiti del Garante sono: ∑ controllo della conformità dei trattamenti di dati personali a leggi e regolamenti e la ∑ segnalazione ai titolari o ai responsabili dei trattamenti delle modifiche da adottare per conseguire tale conformità; esame delle segnalazioni, dei ricorsi e dei reclami degli interessati; ∑ adozione dei provvedimenti previsti dalla normativa in materia tra cui, in particolare, le ∑ autorizzazioni generali per il trattamento dei dati sensibili; promozione, nell’ambito delle categorie interessate, della sottoscrizione dei codici di ∑ deontologia e di buona condotta; divieto, in tutto od in parte, ovvero il blocco del trattamento di dati personali quando per la loro natura, oppure per le modalità o gli effetti di tale trattamento, vi sia il rischio concreto di un rilevante pregiudizio per l’interessato. Per rivolgersi al Garante ci si può recare presso l’Autorità, Ufficio per le relazioni con il pubblico, Piazza di Monte Citorio, 123, Lunedì - Venerdì ore 10.00 - 13.00, e-mail: urp@garanteprivacy.it Immagine tratta da Google Maps http://it.wikipedia.org/wiki/Stefano_Rodot%C3%A0 http://commons.wikimedia.org/wiki/Image:Stefano_Rodot%C3%A0_Trento_2007.jpg?uselang=it http://www.garanteprivacy.it/garante/doc.jsp?ID=1127990 http://europa.eu/institutions/others/edps/index_it.htm http://www.garanteprivacy.it/garante/doc.jsp?ID=1127990 http://maps.google.it/ 23 Creative Commons Attribuzione - Non commerciale 2.5 Italia License " id="pdf-obj-26-5" src="pdf-obj-26-5.jpg">

Il primo Presidente dell’Ufficio del Garante è stato il professor Stefano Rodotà 19 considerato il “padre” fondatore della legge. Rodotà è stato “Garante” della privacy dal 2000 al 2004.

Lezione 1 – Unità didattica 1.2 Il primo Presidente dell’Ufficio del Garante è stato il professorStefano Rodotà considerato il “padre” fondatore della legge. Rodotà è stato “Garante” della privacy dal 2000 al 2004. Fonte immagine Il Segretario generale dell’Ufficio del Garante è, dalla sua fondazione, Giovanni Buttarelli che il 23 dicembre 2008 è stato nominato Garante europeo aggiunto dei dati personali (EDPS). Fonte immagine I principali compiti del Garante sono: ∑ controllo della conformità dei trattamenti di dati personali a leggi e regolamenti e la ∑ segnalazione ai titolari o ai responsabili dei trattamenti delle modifiche da adottare per conseguire tale conformità; esame delle segnalazioni, dei ricorsi e dei reclami degli interessati; ∑ adozione dei provvedimenti previsti dalla normativa in materia tra cui, in particolare, le ∑ autorizzazioni generali per il trattamento dei dati sensibili; promozione, nell’ambito delle categorie interessate, della sottoscrizione dei codici di ∑ deontologia e di buona condotta; divieto, in tutto od in parte, ovvero il blocco del trattamento di dati personali quando per la loro natura, oppure per le modalità o gli effetti di tale trattamento, vi sia il rischio concreto di un rilevante pregiudizio per l’interessato. Per rivolgersi al Garante ci si può recare presso l’Autorità, Ufficio per le relazioni con il pubblico, Piazza di Monte Citorio, 123, Lunedì - Venerdì ore 10.00 - 13.00, e-mail: urp@garanteprivacy.it Immagine tratta da Google Maps http://it.wikipedia.org/wiki/Stefano_Rodot%C3%A0 http://commons.wikimedia.org/wiki/Image:Stefano_Rodot%C3%A0_Trento_2007.jpg?uselang=it http://www.garanteprivacy.it/garante/doc.jsp?ID=1127990 http://europa.eu/institutions/others/edps/index_it.htm http://www.garanteprivacy.it/garante/doc.jsp?ID=1127990 http://maps.google.it/ 23 Creative Commons Attribuzione - Non commerciale 2.5 Italia License " id="pdf-obj-26-17" src="pdf-obj-26-17.jpg">

Il Segretario generale dell’Ufficio del Garante è, dalla sua fondazione, Giovanni Buttarelli 21 che il 23 dicembre 2008 è stato nominato Garante europeo aggiunto dei dati personali 22 (EDPS).

I principali compiti del Garante sono:

controllo della conformità dei trattamenti di dati personali a leggi e regolamenti e la

segnalazione ai titolari o ai responsabili dei trattamenti delle modifiche da adottare per conseguire tale conformità; esame delle segnalazioni, dei ricorsi e dei reclami degli interessati;

adozione dei provvedimenti previsti dalla normativa in materia tra cui, in particolare, le

autorizzazioni generali per il trattamento dei dati sensibili; promozione, nell’ambito delle categorie interessate, della sottoscrizione dei codici di

deontologia e di buona condotta; divieto, in tutto od in parte, ovvero il blocco del trattamento di dati personali quando per la loro natura, oppure per le modalità o gli effetti di tale trattamento, vi sia il rischio concreto di un rilevante pregiudizio per l’interessato.

Lezione 1 – Unità didattica 1.2 Il primo Presidente dell’Ufficio del Garante è stato il professorStefano Rodotà considerato il “padre” fondatore della legge. Rodotà è stato “Garante” della privacy dal 2000 al 2004. Fonte immagine Il Segretario generale dell’Ufficio del Garante è, dalla sua fondazione, Giovanni Buttarelli che il 23 dicembre 2008 è stato nominato Garante europeo aggiunto dei dati personali (EDPS). Fonte immagine I principali compiti del Garante sono: ∑ controllo della conformità dei trattamenti di dati personali a leggi e regolamenti e la ∑ segnalazione ai titolari o ai responsabili dei trattamenti delle modifiche da adottare per conseguire tale conformità; esame delle segnalazioni, dei ricorsi e dei reclami degli interessati; ∑ adozione dei provvedimenti previsti dalla normativa in materia tra cui, in particolare, le ∑ autorizzazioni generali per il trattamento dei dati sensibili; promozione, nell’ambito delle categorie interessate, della sottoscrizione dei codici di ∑ deontologia e di buona condotta; divieto, in tutto od in parte, ovvero il blocco del trattamento di dati personali quando per la loro natura, oppure per le modalità o gli effetti di tale trattamento, vi sia il rischio concreto di un rilevante pregiudizio per l’interessato. Per rivolgersi al Garante ci si può recare presso l’Autorità, Ufficio per le relazioni con il pubblico, Piazza di Monte Citorio, 123, Lunedì - Venerdì ore 10.00 - 13.00, e-mail: urp@garanteprivacy.it Immagine tratta da Google Maps http://it.wikipedia.org/wiki/Stefano_Rodot%C3%A0 http://commons.wikimedia.org/wiki/Image:Stefano_Rodot%C3%A0_Trento_2007.jpg?uselang=it http://www.garanteprivacy.it/garante/doc.jsp?ID=1127990 http://europa.eu/institutions/others/edps/index_it.htm http://www.garanteprivacy.it/garante/doc.jsp?ID=1127990 http://maps.google.it/ 23 Creative Commons Attribuzione - Non commerciale 2.5 Italia License " id="pdf-obj-26-65" src="pdf-obj-26-65.jpg">

Per rivolgersi al Garante ci si può recare presso l’Autorità, Ufficio per le relazioni con il pubblico, Piazza di Monte Citorio, 123, Lunedì - Venerdì ore 10.00 - 13.00, e-mail: urp@garanteprivacy.it

Immagine tratta da Google Maps 24

23

Lezione 1 – Unità didattica 1.2

Modulo 1.2.2 – Ispezioni del Garante

Ogni anno, attraverso il proprio sito web e la sua newsletter 25 , il Garante rende noto il piano ispettivo previsto per i successivi mesi. Nella newsletter del 7 aprile 2008 26 il Garante ha comunicato che nel corso dei rimanenti mesi del 2008, nell'ambito dell'attività ispettiva programmata, una particolare attenzione sarebbe stata posta ai sistemi di videosorveglianza e che sarebbero state effettuate ispezioni su tutto il territorio nazionale sia per verificare il rispetto delle regole fissate dal Garante con il provvedimento del 2004 sull'uso delle telecamere, sia per poter disporre di un quadro aggiornato sull'attuale impiego dei sistemi di videosorveglianza da parte di soggetti pubblici e privati. Altri controlli, ha annunciato il Garante, avrebbero riguardato il rispetto dell'obbligo dell'informativa da fornire agli interessati al momento della raccolta dei dati personali, la libertà e validità del consenso, la durata della conservazione dei dati; infine sarebbero state effettuate verifiche sull'adozione delle misure minime di sicurezza da parte di soggetti, pubblici e privati, che effettuano trattamenti di dati sensibili. Ovviamente, oltre agli accertamenti previsti nel programma varato, l'Ufficio del Garante svolge anche le ordinarie ulteriori attività istruttorie di carattere ispettivo relative a segnalazioni, reclami e ricorsi presentati all'Autorità.

24

Lezione 1 – Unità didattica 1.2

Modulo 1.2.3 – Nucleo speciale funzione pubblica e privacy della guardia di finanza

Per le attività ispettive il Garante si avvale di un reparto speciale della Guardia di Finanza noto Nucleo Speciale Funzione Pubblica e Privacy 27 ” che collabora all'attività ispettiva attraverso:

il reperimento di dati ed informazioni sui soggetti da controllare; l'assistenza nei rapporti con le Autorità Giudiziarie;

la partecipazione di proprio personale agli accessi alle banche dati, ispezioni, verifiche e alle altre rilevazioni nei luoghi ove si svolge il trattamento; lo sviluppo delle attività delegate o sub-delegate per l'accertamento delle violazioni di natura penale o amministrativa;

la contestazione delle sanzioni amministrative rilevate nell'ambito delle

attività delegate; l'esecuzione di indagini conoscitive sullo stato di attuazione della citata

Legge in settori specifici; la segnalazione all'Autorità di tutte le situazioni rilevanti ai fini dell'applicazione del Codice, di cui venga a conoscenza nel corso dell'esecuzione delle ordinarie attività di servizio.

Lezione 1 – Unità didattica 1.2 Modulo 1.2.3 – Nucleo speciale funzione pubblica e privacy dellaNucleo Speciale Funzione Pubblica e Privacy ” che collabora all'attività ispettiva attraverso: ∑ ∑ il reperimento di dati ed informazioni sui soggetti da controllare; l'assistenza nei rapporti con le Autorità Giudiziarie; ∑ ∑ la partecipazione di proprio personale agli accessi alle banche dati, ispezioni, verifiche e alle altre rilevazioni nei luoghi ove si svolge il trattamento; lo sviluppo delle attività delegate o sub-delegate per l'accertamento delle violazioni di natura penale o amministrativa; ∑ la contestazione delle sanzioni amministrative rilevate nell'ambito delle ∑ attività delegate; l'esecuzione di indagini conoscitive sullo stato di attuazione della citata ∑ Legge in settori specifici; la segnalazione all'Autorità di tutte le situazioni rilevanti ai fini dell'applicazione del Codice, di cui venga a conoscenza nel corso dell'esecuzione delle ordinarie attività di servizio. Fonte immagine http://www.gdf.it/reparti/reparto.asp?idreparto=RM083&idcomune=&provincia=&denominazione=&catastale = http://www.gdf.it/organizzazione/dove_siamo/comando_dei_reparti_speciali/info-407534563.html 25 Creative Commons Attribuzione - Non commerciale 2.5 Italia License " id="pdf-obj-28-44" src="pdf-obj-28-44.jpg">

25

Lezione 1 – Unità didattica 1.2

Domande di verifica 1.2

Domanda

 

Seconda risposta

Terza risposta

L’Autorità Garante per la protezione dei dati personali non ha reali poteri ma può semplicemente “consigliare” i comportamenti corretti

Prima risposta Vero. Il garante può solo effettuare una “moral suasion

Falso. Pur non avendo reali poteri può richiedere l’intervento della magistratura o delle forze di polizia per imporre i propri

Falso. Il Garante può infliggere sanzioni ed imporre le proprie decisioni fino al blocco dei trattamenti

La nomina dei componenti dell’Autorità Garante per la privacy è di tipo “politica”

Falso I membri dell’autorità sono nominati dai rappresentanti delle associazioni di

provvedimenti. Vero. I membri dell’autorità sono nominati dal Governo.

Vero. I membri dell’autorità sono nominati dal Parlamento

I cittadini, e le imprese, possono appellarsi direttamente al garante per far valere i propri diritti

categoria. Vero. Solo però dopo aver fatto prima ricorso attraverso la magistratura.

Vero. Sul sito del Garante sono disponibili anche suggerimenti e modelli per esercitare tale diritto

Falso. Occorre fare ricorso alla magistratura per far valere i propri diritti in ambito

Tra gli incarichi del Garante vi sono le ispezioni nelle aziende per valutare il rispetto degli adempimenti di

Vero. Ogni anno il Garante presenta pubblicamente il piano delle ispezioni

Vero. Il Garante può fare ispezioni solo in seguito a denunce o ricorsi da parte di

privacy. Falso. Solo le forse di polizia possono fare ispezioni nelle aziende.

legge

previste.

cittadini o imprese.

26

Lezione 1 – Unità didattica 1.3

Lezione 1 – Unità didattica 1.3 – Le principali norme sulla privacy

Modulo 1.3.1 – Codice in materia di protezione dei dati personali

Modulo 1.3.2 – Allegati al Codice

Modulo 1.3.3 – Allegato B - Disciplinare tecnico in materia di misure minime di sicurezza

Modulo 1.3.4 – Le “semplificazioni” del 2008 sulla sicurezza e la notificazione

Modulo 1.3.5 – I nuovi adempimenti per le funzioni di “amministratore di sistema”

Domande di verifica 1.3

27

Lezione 1 – Unità didattica 1.3

Modulo 1.3.1 – Codice in materia di protezione dei dati personali

Il primo gennaio 2004 è entrato in vigore il Codice in materia di protezione dei dati personali 29 ” che ha abrogato e sostituito la precedente legge n. 675/96 sulla privacy e successive modifiche. Il Codice è diviso in tre parti:

  • 1. disposizioni generali;

  • 2. disposizioni relative a specifici settori;

  • 3. norme relative alle forme di tutela, alle sanzioni ed all’ufficio del Garante per la protezione dei dati personali.

Diritti fondamentali

L’articolo 1 spiega chiaramente lo spirito della norma: “chiunque ha diritto alla protezione dei dati personali che lo riguardano”. L’articolo 2 recita che il Codice “garantisce che il trattamento dei dati personali si svolga nel rispetto dei diritti e delle libertà fondamentali, nonché della dignità dell’interessato, con particolare riferimento alla riservatezza, all’identità personale e al diritto alla protezione dei dati personali”.

Trattamenti e dati

Le disposizioni del Codice si applicano al trattamento di dati personali cioè a “qualunque operazione o complesso di operazioni, effettuati anche senza l’ausilio di strumenti elettronici, concernenti:

la raccolta,

la registrazione,

l’organizzazione,

la conservazione,

la consultazione,

l’elaborazione,

la modificazione,

la selezione,

l’estrazione,

il raffronto,

l’utilizzo,

l’interconnessione,

il blocco,

la comunicazione,

la diffusione,

la cancellazione,

la distruzione di dati

anche se non registrati in una banca di dati”.

28

Lezione 1 – Unità didattica 1.3

L’articolo 4 definisce i dati personali come “qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale”. I dati personali si dividono in:

dati identificativi, ossia “dati personali che permettono l’identificazione diretta

dell'interessato”; dati sensibili,ossia “dati personali idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale”.

I soggetti che effettuano il trattamento Gli obblighi in materia di Privacy sono a carico del “titolare del trattamento” cioè di norma la persona fisica (si pensi all’imprenditore individuale) o giuridica (ad esempio, la società) che tratta i dati personali (con la raccolta, la registrazione, la comunicazione o la diffusione). Il “responsabile del trattamento” (ma possono essere più d’uno) è una figura che può essere designata a propria discrezione dal titolare del trattamento con un atto scritto nel quale vanno indicati i compiti affidati. Occorre scegliere persone fisiche od organismi che per esperienza, capacità ed affidabilità, forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza (art. 29 del Codice). La nomina del responsabile è utile o in presenza di imprese con organizzazione articolata (ad es., possono essere designati responsabili del trattamento i dirigenti di funzioni aziendali, quali quelle del personale o del settore marketing) o rispetto a soggetti esterni all’impresa, per svariate forme di outsourcing che comportino un trattamento di dati personali (ad es., per i centri di elaborazione dati contabili, per i servizi di postalizzazione, per le società di recupero crediti, etc.) Gli “incaricati del trattamento” sono soggetti (solo persone fisiche) che effettuano materialmente le operazioni di trattamento dei dati personali e operano sotto la diretta autorità del titolare (o del responsabile) attenendosi a istruzioni scritte (art. 30 del Codice); in pratica sono i dipendenti o collaboratori dell'azienda. Il "titolare del trattamento" è tenuto a designarli cioè a nominarli per iscritto incaricati specificando quali dati può trattare. In pratica è sufficiente "assegnare un dipendente ad una unità organizzativa, a condizione che risultino per iscritto le categorie di dati cui può avere accesso e gli ambiti del trattamento. Così, in un’azienda nella quale ad una unità organizzativa sono stati assegnati un determinato numero di dipendenti, si potrà ovviare ad una formale designazione (ad esempio, mediante consegna di apposita comunicazione scritta), qualora si individuino gli ambiti di competenza (in ordine ai trattamenti di dati consentiti) di quella unità mediante una previsione scritta (ad es. nell’organigramma, nel contratto, nei mansionari, ecc.) e risulti inoltre che tali dipendenti sono stati assegnati stabilmente a tale unità".

Principi

Il Codice fissa alcuni principi generali che devono esser seguiti nel trattamento di dati personali; in particolare:

in applicazione del principio di necessità (articolo 3), i sistemi informativi e i programmi informatici devono essere configurati, già in origine, in modo da ridurre al minimo l'utilizzo di informazioni relative a clienti identificabili. Il trattamento di dati personali relativi a clienti non è lecito se le finalità del trattamento, in particolare di profilazione, possono essere perseguite con dati anonimi o solo indirettamente identificativi;

29

Lezione 1 – Unità didattica 1.3

nel rispetto del principio di proporzionalità nel trattamento (articolo 11, comma 1, lett. d),

tutti i dati personali e le varie modalità del loro trattamento devono essere pertinenti e non eccedenti rispetto alle finalità perseguite; il trattamento dei dati è possibile solo se è fondato su uno dei presupposti di liceità che il

Codice prevede espressamente per gli organi pubblici da un lato (svolgimento di funzioni istituzionali: articoli 18-22) e, dall’altro, per soggetti privati ed enti pubblici economici (adempimento ad un obbligo di legge, provvedimento del Garante di c.d. “bilanciamento di interessi” o consenso libero ed espresso: articoli 23-27); le finalità perseguite dal trattamento devono essere determinati, espliciti e legittimi (articolo 11, comma 1, lett. b); ciò comporta che il titolare possa perseguire solo finalità di sua pertinenza.

Diritti degli interessati

La disciplina di protezione dei dati personali attribuisce a ciascun interessato il diritto di accedere ai dati personali a sé riferiti e di esercitare gli altri diritti previsti dall'art. 7 del Codice.

Se l'interessato esercita il proprio diritto d'accesso ai dati che lo riguardano o uno degli altri diritti che gli sono riconosciuti, il titolare del trattamento (o il responsabile) deve fornire riscontro (di regola) entro quindici giorni dal ricevimento dell'istanza (art. 146 del Codice).

In caso di omesso o incompleto riscontro, i predetti diritti possono essere fatti valere dinanzi all'autorità giudiziaria o con ricorso al Garante (art. 145 del Codice).

L’inversione dell’onere della prova

L’articolo 15 del Codice recita “chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell’art. 2050 del codice civile”, il quale a sua volta dispone che “chiunque cagiona danno ad altri nello svolgimento di un’attività pericolosa, per sua natura o per la natura dei mezzi adoperati, è tenuto al risarcimento, se non prova di avere adottato tutte le misure idonee a evitare il danno”. Nella pratica, l’art. 2050 del Codice Civile obbliga, in caso di contenzioso, il titolare a dimostrare di aver adottato tutte le misure idonee ad evitare il possibile danno.

Sanzioni

Il Codice prevede sia sanzioni di carattere amministrativo sia illeciti penali. Le sanzioni di carattere amministrativo sono causate da:

omessa o inidonea informativa all’interessato (articolo 161);

illecita cessione di dati personali (articolo 162);

omessa o incompleta notificazione (articolo 163);

omessa informazione o esibizione al Garante (articolo 164).

Gli illeciti penali sono causati da:

trattamento illecito di dati (articolo 167);

falsità nelle dichiarazioni e notificazioni al Garante (articolo 168);

omissione delle misure minime di sicurezza (articolo 169);

inosservanza di provvedimenti del Garante (articolo 170).

30

Lezione 1 – Unità didattica 1.3

Modulo 1.3.2 – Allegati al Codice

Gli allegati sono:

Allegato A.6. Codice di deontologia e di buona condotta per i trattamenti di dati personali

effettuati per svolgere investigazioni difensive 30 Allegato A.5. Codice di deontologia e di buona condotta per i sistemi informativi gestiti da

soggetti privati in tema di crediti al consumo, affidabilità e puntualità nei pagamenti 31 Allegato A.4. Codice di deontologia e di buona condotta per i trattamenti di dati personali

per scopi statistici e scientifici 32 Allegato A.1. Codice di deontologia - Trattamento dei dati personali nell'esercizio

dell'attività giornalistica 33 Allegato A.2 . Codici di deontologia - Trattamento dei dati personali per scopi storici 34

Allegato A.3 . Codice di deontologia - Trattamento dei dati personali a scopi statistici in

ambito Sistan 35 Allegato B . Disciplinare tecnico in materia di misure minime di sicurezza 36

Allegato C . Trattamenti non occasionali effettuati in ambito giudiziario o per fini di polizia 37

31

Lezione 1 – Unità didattica 1.3

Modulo 1.3.3 – Allegato B - Disciplinare tecnico in materia di misure minime di sicurezza

Il “Disciplinare tecnico in materia di misure minime di sicurezza” (allegato B 38 ) specifica le modalità tecniche da adottare a cura del titolare, del responsabile ove designato e dell'incaricato, in caso di trattamenti di dati con strumenti elettronici o senza strumenti elettronici. Tali modalità vanno “lette” a partire da quanto indicato negli articoli da 33 a 36 del “Codice in materia di protezione dei dati personali” relative alla cosiddette “Misure minime di sicurezza” che indicano che “nel quadro dei più generali obblighi di sicurezza” i titolari del trattamento sono comunque tenuti ad adottare le seguenti misure minime.

Trattamenti con strumenti elettronici (articolo 34 del Codice)

Il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell'allegato B), le seguenti misure minime:

  • a) autenticazione informatica;

  • b) adozione di procedure di gestione delle credenziali di autenticazione;

  • c) utilizzazione di un sistema di autorizzazione;

  • d) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici;

  • e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici;

  • f) adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi;

  • g) tenuta di un aggiornato documento programmatico sulla sicurezza;

  • h) adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari.

Con le semplificazioni adottate nel dicembre 2008 è stato aggiunto all’articolo 34 il comma 1-bis di seguito riportato.

Per i soggetti che trattano soltanto dati personali non sensibili e che trattano come unici dati sensibili quelli costituiti dallo stato di salute o malattia dei propri

dipendenti e collaboratori anche a progetto, senza indicazione della relativa diagnosi, ovvero dall'adesione ad organizzazioni sindacali o a carattere sindacale, la tenuta di un aggiornato documento programmatico sulla sicurezza è sostituita dall'obbligo di autocertificazione, resa dal titolare del trattamento ai sensi dell'articolo 47 del testo unico di cui al decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, di trattare

32

Lezione 1 – Unità didattica 1.3

soltanto tali dati in osservanza delle altre misure di sicurezza prescritte. In relazione a tali trattamenti, nonché a trattamenti comunque effettuati per correnti finalità amministrative e contabili, in particolare presso piccole e medie imprese, liberi professionisti e artigiani, il Garante, sentito il Ministro per la semplificazione normativa, individua con proprio provvedimento, da aggiornare periodicamente, modalità semplificate di applicazione del disciplinare tecnico di cui all'Allegato B) in ordine all'adozione delle misure minime di cui al comma 1.

Trattamenti senza l'ausilio di strumenti elettronici (articolo 35 del Codice)

Il trattamento di dati personali effettuato senza l'ausilio di strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell'allegato B), le seguenti misure minime:

  • a) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati o alle unità organizzative;

  • b) previsione di procedure per un'idonea custodia di atti e documenti affidati agli incaricati per lo svolgimento dei relativi compiti;

  • c) previsione di procedure per la conservazione di determinati atti in archivi ad accesso selezionato e disciplina delle modalità di accesso finalizzata all'identificazione degli incaricati.

Allegato B

Il “Disciplinare tecnico in materia di misure minime di sicurezza” (allegato B 39 ) specifica le modalità con cui attuare le misure minime di sicurezza indicate nel Codice.

Sistema di autenticazione informatica

  • 1. Il trattamento di dati personali con strumenti elettronici è consentito agli incaricati dotati di credenziali di autenticazione che consentano il superamento di una procedura di autenticazione relativa a uno specifico trattamento o a un insieme di trattamenti.

  • 2. Le credenziali di autenticazione consistono in un codice per l'identificazione dell'incaricato associato a una parola chiave riservata conosciuta solamente dal medesimo oppure in un dispositivo di autenticazione in possesso e uso esclusivo dell'incaricato, eventualmente associato a un codice identificativo o a una parola chiave, oppure in una caratteristica biometrica dell'incaricato, eventualmente associata a un codice identificativo o a una parola chiave.

  • 3. Ad ogni incaricato sono assegnate o associate individualmente una o più credenziali per l'autenticazione.

  • 4. Con le istruzioni impartite agli incaricati è prescritto di adottare le necessarie cautele per assicurare la segretezza della componente riservata della credenziale e la diligente custodia dei dispositivi in possesso ed uso esclusivo dell'incaricato.

  • 5. La parola chiave, quando è prevista dal sistema di autenticazione, è composta da almeno otto caratteri oppure, nel caso in cui lo strumento elettronico non lo permetta, da un numero di caratteri pari al massimo consentito; essa non contiene riferimenti agevolmente riconducibili all'incaricato ed è modificata da quest'ultimo al primo utilizzo e, successivamente, almeno ogni sei mesi. In caso di trattamento di dati sensibili e di dati giudiziari la parola chiave è modificata almeno ogni tre mesi.

  • 6. Il codice per l'identificazione, laddove utilizzato, non può essere assegnato ad altri incaricati, neppure in tempi diversi.

33

Lezione 1 – Unità didattica 1.3

  • 7. Le credenziali di autenticazione non utilizzate da almeno sei mesi sono disattivate, salvo quelle preventivamente autorizzate per soli scopi di gestione tecnica.

  • 8. Le credenziali sono disattivate anche in caso di perdita della qualità che consente all'incaricato l'accesso ai dati personali.

  • 9. Sono impartite istruzioni agli incaricati per non lasciare incustodito e accessibile lo strumento elettronico durante una sessione di trattamento.

    • 10. Quando l'accesso ai dati e agli strumenti elettronici è consentito esclusivamente mediante uso della componente riservata della credenziale per l'autenticazione, sono impartite idonee e preventive disposizioni scritte volte a individuare chiaramente le modalità con le quali il titolare può assicurare la disponibilità di dati o strumenti elettronici in caso di prolungata assenza o impedimento dell'incaricato che renda indispensabile e indifferibile intervenire per esclusive necessità di operatività e di sicurezza del sistema. In tal caso la custodia delle copie delle credenziali è organizzata garantendo la relativa segretezza e individuando preventivamente per iscritto i soggetti incaricati della loro custodia, i quali devono informare tempestivamente l'incaricato dell'intervento effettuato.

    • 11. Le disposizioni sul sistema di autenticazione di cui ai precedenti punti e quelle sul sistema di autorizzazione non si applicano ai trattamenti dei dati personali destinati alla diffusione.

Sistema di autorizzazione

  • 12. Quando per gli incaricati sono individuati profili di autorizzazione di ambito diverso è utilizzato un sistema di autorizzazione.

  • 13. I profili di autorizzazione, per ciascun incaricato o per classi omogenee di incaricati, sono individuati e configurati anteriormente all'inizio del trattamento, in modo da limitare l'accesso ai soli dati necessari per effettuare le operazioni di trattamento.

  • 14. Periodicamente, e comunque almeno annualmente, è verificata la sussistenza delle condizioni per la conservazione dei profili di autorizzazione.

Altre misure di sicurezza

  • 15. Nell'ambito dell'aggiornamento periodico con cadenza almeno annuale dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici, la lista degli incaricati può essere redatta anche per classi omogenee di incarico e dei relativi profili di autorizzazione.

  • 16. I dati personali sono protetti contro il rischio di intrusione e dell'azione di programmi di cui all'art. 615-quinquies del codice penale, mediante l'attivazione di idonei strumenti elettronici da aggiornare con cadenza almeno semestrale.

  • 17. Gli aggiornamenti periodici dei programmi per elaboratore volti a prevenire la vulnerabilità di strumenti elettronici e a correggerne difetti sono effettuati almeno annualmente. In caso di trattamento di dati sensibili o giudiziari l'aggiornamento è almeno semestrale.

  • 18. Sono impartite istruzioni organizzative e tecniche che prevedono il salvataggio dei dati con frequenza almeno settimanale.

34

Lezione 1 – Unità didattica 1.3

Documento programmatico sulla sicurezza

19. Entro il 31 marzo di ogni anno, il titolare di un trattamento di dati sensibili o di dati giudiziari 40 redige anche attraverso il responsabile, se designato, un documento programmatico sulla sicurezza contenente idonee informazioni riguardo:

19.1.l'elenco dei trattamenti di dati personali; 19.2.la distribuzione dei compiti e delle responsabilità nell'ambito delle strutture preposte al trattamento dei dati; 19.3.l'analisi dei rischi che incombono sui dati; 19.4.le misure da adottare per garantire l'integrità e la disponibilità dei dati, nonchè la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità; 19.5.la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento di cui al successivo punto 23; 19.6.la previsione di interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare. La formazione è programmata già al momento dell'ingresso in servizio, nonchè in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati personali; 19.7.la descrizione dei criteri da adottare per garantire l'adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformità al codice, all'esterno della struttura del titolare; 19.8.per i dati personali idonei a rivelare lo stato di salute e la vita sessuale di cui al punto 24, l'individuazione dei criteri da adottare per la cifratura o per la separazione di tali dati dagli altri dati personali dell'interessato.

Ulteriori misure in caso di trattamento di dati sensibili o giudiziari

  • 20. I dati sensibili o giudiziari sono protetti contro l'accesso abusivo, di cui all'art. 615-ter del codice penale, mediante l'utilizzo di idonei strumenti elettronici.

  • 21. Sono impartite istruzioni organizzative e tecniche per la custodia e l'uso dei supporti rimovibili su cui sono memorizzati i dati al fine di evitare accessi non autorizzati e trattamenti non consentiti.

  • 22. I supporti rimovibili contenenti dati sensibili o giudiziari se non utilizzati sono distrutti o resi inutilizzabili, ovvero possono essere riutilizzati da altri incaricati, non autorizzati al trattamento degli stessi dati, se le informazioni precedentemente in essi contenute non sono intelligibili e tecnicamente in alcun modo ricostruibili.

  • 23. Sono adottate idonee misure per garantire il ripristino dell'accesso ai dati in caso di danneggiamento degli stessi o degli strumenti elettronici, in tempi certi compatibili con i diritti degli interessati e non superiori a sette giorni.

  • 24. Gli organismi sanitari e gli esercenti le professioni sanitarie effettuano il trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale contenuti in elenchi, registri o banche di

40 Con le semplificazioni adottate nel dicembre 2008 per i titolari che trattano soltanto dati personali non sensibili e che trattano come unici dati sensibili quelli costituiti dallo stato di salute o malattia dei propri dipendenti e collaboratori anche a progetto, senza indicazione della relativa diagnosi, ovvero dall'adesione ad organizzazioni sindacali o a carattere sindacale, la tenuta di un aggiornato documento programmatico sulla sicurezza è sostituita dall'obbligo di autocertificazione

35

Lezione 1 – Unità didattica 1.3

dati con le modalità di cui all'articolo 22, comma 6, del codice, anche al fine di consentire il trattamento disgiunto dei medesimi dati dagli altri dati personali che permettono di identificare direttamente gli interessati. I dati relativi all'identità genetica sono trattati esclusivamente all'interno di locali protetti accessibili ai soli incaricati dei trattamenti ed ai soggetti specificatamente autorizzati ad accedervi; il trasporto dei dati all'esterno dei locali riservati al loro trattamento deve avvenire in contenitori muniti di serratura o dispositivi equipollenti; il trasferimento dei dati in formato elettronico è cifrato.

Misure di tutela e garanzia

  • 25. Il titolare che adotta misure minime di sicurezza avvalendosi di soggetti esterni alla propria struttura, per provvedere alla esecuzione riceve dall'installatore una descrizione scritta dell'intervento effettuato che ne attesta la conformità alle disposizioni del presente disciplinare tecnico.

  • 26. Il titolare riferisce, nella relazione accompagnatoria del bilancio d'esercizio, se dovuta, dell'avvenuta redazione o aggiornamento del documento programmatico sulla sicurezza.

Trattamenti senza l'ausilio di strumenti elettronici

Modalità tecniche da adottare a cura del titolare, del responsabile, ove designato, e dell'incaricato,

in caso di trattamento con strumenti diversi da quelli elettronici:

  • 27. Agli incaricati sono impartite istruzioni scritte finalizzate al controllo ed alla custodia, per l'intero ciclo necessario allo svolgimento delle operazioni di trattamento, degli atti e dei documenti contenenti dati personali. Nell'ambito dell'aggiornamento periodico con cadenza almeno annuale dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati, la lista degli incaricati può essere redatta anche per classi omogenee di incarico e dei relativi profili di autorizzazione.

  • 28. Quando gli atti e i documenti contenenti dati personali sensibili o giudiziari sono affidati agli incaricati del trattamento per lo svolgimento dei relativi compiti, i medesimi atti e documenti sono controllati e custoditi dagli incaricati fino alla restituzione in maniera che ad essi non accedano persone prive di autorizzazione, e sono restituiti al termine delle operazioni affidate.

  • 29. L'accesso agli archivi contenenti dati sensibili o giudiziari è controllato. Le persone ammesse, a qualunque titolo, dopo l'orario di chiusura, sono identificate e registrate. Quando gli archivi non sono dotati di strumenti elettronici per il controllo degli accessi o di incaricati della vigilanza, le persone che vi accedono sono preventivamente autorizzate.

36

Lezione 1 – Unità didattica 1.3

Modulo 1.3.4 – Le “semplificazioni” del 2008 sulla sicurezza e la notificazione

Il 9 dicembre 2008 il Garante per la protezione dei dati personali ha reso noto 41 un provvedimento 42 sulla semplificazione di alcuni adempimenti in materia di protezione dei dati personali. Le nuove garanzie, adottate sentito il Ministro per la semplificazione normativa, interessano:

amministrazioni pubbliche e società private che utilizzano dati personali non sensibili

(nome, cognome, indirizzo, codice fiscale, numero di telefono) o che trattano come unici dati sensibili dei dipendenti quelli relativi allo stato di salute o all'adesione a organizzazioni sindacali; piccole e medie imprese, liberi professionisti o artigiani che trattano dati solo per fini amministrativi e contabili.

Obiettivo dell'Autorità è quello di mantenere un adeguato livello per le misure minime di sicurezza venendo però incontro alle esigenze prospettate da imprese, soprattutto di piccole dimensioni, volte a snellire le procedure, graduare le cautele a seconda della delicatezza dei trattamenti e a contenere i costi.

In base al provvedimento del Garante, le categorie interessate:

possono impartire agli incaricati le istruzioni in materia di misure minime anche oralmente;

possono utilizzare per l'accesso ai sistemi informatici un qualsiasi sistema di

autenticazione basato su un username e una password; lo username deve essere disattivato quando viene meno il diritto di accesso ai dati (es. non si opera più all'interno dell'organizzazione); in caso di assenze prolungate o di impedimenti del dipendente possono mettere in atto

procedure o modalità che consentano comunque l'operatività e la sicurezza del sistema ( ad es. l'invio automatico delle mail ad un altro recapito accessibile); devono aggiornare i programmi di sicurezza (antivirus) almeno una volta l'anno, e effettuare backup dei dati almeno una volta al mese.

Con il provvedimento, inoltre, il Garante ha fornito a piccole e medie imprese, artigiani, liberi professioni, soggetti pubblici e privati che trattano dati solo a fini amministrativi e contabili, alcune indicazioni per la redazione di un documento programmatico per la sicurezza semplificato. Procedure semplificate sono state indicate anche per chi tratta dati senza l'impiego di sistemi informatici. Insieme a quello sulle misure minime di sicurezza, il Garante ha adottato anche un provvedimento che semplifica il modello utilizzato per effettuare le notificazioni, ossia le dichiarazioni da fare

37

Lezione 1 – Unità didattica 1.3

all'Autorità quando si avvia un trattamento di particolari tipi di dati (genetici, biometrici, procreazione assistita, ecc.). Il provvedimento sulle misure di sicurezza è immediatamente applicabile senza necessità di istanze o comunicazioni al Garante, mentre quello sulla notificazione sarà operativo entro 60 giorni dalla pubblicazione in Gazzetta e non comporterà l'obbligo di notificare di nuovo o modificare le notificazioni a carico di chi lo abbia già fatto.

38

Lezione 1 – Unità didattica 1.3

Modulo 1.3.5 – I nuovi adempimenti per le funzioni di “amministratore di sistema”

Sulla Gazzetta Ufficiale n. 300 del 24 dicembre 2008 43 è stato pubblicato il testo del provvedimento del 27 novembre 2008 del Garante per la protezione dei dati personali dal titolo "Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema". Il Garante ha rilevata l'esigenza di intraprendere una specifica attività rispetto ai soggetti preposti ad attività riconducibili alle mansioni tipiche dei cosiddetti “amministratori di sistema” nonché di coloro che svolgono mansioni analoghe in rapporto a sistemi di elaborazione e banche di dati, evidenziandone la rilevanza rispetto ai trattamenti di dati personali anche allo scopo di promuovere presso i relativi titolari e nel pubblico la consapevolezza della delicatezza di tali peculiari mansioni nella "Società dell'informazione" e dei rischi a esse associati. Di conseguenza il Garante impone nuovi adempimenti ai titolari di trattamenti effettuati (anche parzialmente) con strumenti elettronici. I nuovi adempimenti non riguardano i titolari destinatari delle recenti “semplificazioni” sugli obblighi privacy.

Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici

  • 1. Valutazione delle caratteristiche soggettive. L'attribuzione delle funzioni di amministratore di sistema deve avvenire previa valutazione dell'esperienza, della capacità e dell'affidabilità del soggetto designato, il quale deve fornire idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento ivi compreso il profilo relativo alla sicurezza. Anche quando le funzioni di amministratore di sistema o assimilate sono attribuite solo nel quadro di una designazione quale incaricato del trattamento ai sensi dell'art. 30 del Codice, il titolare e il responsabile devono attenersi comunque a criteri di valutazione equipollenti a quelli richiesti per la designazione dei responsabili ai sensi dell'art. 29.

  • 2. Designazioni individuali. La designazione quale amministratore di sistema deve essere in ogni caso individuale e recare l'elencazione analitica degli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato.

  • 3. Elenco degli amministratori di sistema. Gli estremi identificativi delle persone fisiche amministratori di sistema, con l'elenco delle funzioni ad essi attribuite, devono essere riportati nel Documento Programmatico sulla Sicurezza, oppure, nei casi in cui il titolare non è tenuto a redigerlo, annotati comunque in un documento interno da mantenere aggiornato e disponibile in caso di accertamenti anche da parte del Garante. Qualora l'attività degli amministratori di sistema riguardi anche indirettamente servizi o sistemi che trattano o che permettono il trattamento di informazioni di carattere personale di lavoratori, i titolari pubblici e privati nella qualità di datori di lavoro sono tenuti a rendere nota o conoscibile l'identità degli amministratori di sistema nell'ambito delle proprie organizzazioni, secondo le caratteristiche dell'azienda o del servizio, in relazione ai diversi servizi informatici cui questi sono preposti. Ciò, avvalendosi dell'informativa resa agli

39

Lezione 1 – Unità didattica 1.3

interessati ai sensi dell'art. 13 del Codice nell'ambito del rapporto di lavoro che li lega al titolare, oppure tramite il disciplinare tecnico la cui adozione è prevista dal provvedimento del Garante n. 13 del 1° marzo 2007 (in Gazzetta Ufficiale 10 marzo 2007, n. 58); in alternativa si possono anche utilizzare strumenti di comunicazione interna (a es., intranet aziendale, ordini di servizio a circolazione interna o bollettini). Ciò, salvi i casi in cui tale forma di pubblicità o di conoscibilità non sia esclusa in forza di un'eventuale disposizione di legge che disciplini in modo difforme uno specifico settore. Nel caso di servizi di amministrazione di sistema affidati in outsourcing il titolare deve conservare direttamente e specificamente, per ogni eventuale evenienza, gli estremi identificativi delle persone fisiche preposte quali amministratori di sistema.

  • 4. Verifica delle attività. L'operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, di un'attività di verifica da parte dei titolari del trattamento, in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza rispetto ai trattamenti dei dati personali previste dalle norme vigenti.

  • 5. Registrazione degli accessi. Devono essere adottati sistemi idonei alla registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema. Le registrazioni (access log) devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo di verifica per cui sono richieste. Le registrazioni devono comprendere i riferimenti temporali e la descrizione dell'evento che le ha generate e devono essere conservate per un congruo periodo, non inferiore a sei mesi.

  • 6. Tempi di adozione delle misure e degli accorgimenti. Per tutti i titolari dei trattamenti già iniziati o che avranno inizio entro trenta giorni dalla data di pubblicazione nella Gazzetta Ufficiale del presente provvedimento, le misure e gli accorgimenti (…) dovranno essere introdotti al più presto e comunque entro, e non oltre, il termine che è congruo stabilire, in centoventi giorni dalla medesima data. Per tutti gli altri trattamenti che avranno inizio dopo il predetto termine di trenta giorni dalla pubblicazione, gli accorgimenti e le misure dovranno essere introdotti anteriormente all'inizio del trattamento dei dati.

40

Lezione 1 – Unità didattica 1.3

Domande di verifica 1.3

Domanda

Prima risposta

Seconda risposta

Terza risposta

L’allegato B al Codice contiene l’elenco delle misure minime di sicurezza da adottare per i trattamenti di dati personali

Vero. L’allegato contiene le disposizioni tecniche relative alla misure minime di sicurezza già enunciate nel

Falso. L’allegato B indica come garantire i diritti dei cittadini in ambito privacy.

Parzialmente vero L’allegato B faceva parte della precedente legge 675 sulla privacy. Oggi è in vigore il d.lgs. 231/01

Codice

L’allegato A5 riguarda le centrali rischi private

Vero. Questo allegato fissa le regole su come trattare i dati delle persone ed aziende registrate come cattivi

Vero. L’allegato contiene anche un codice di condotta da far sottoscrivere al consumatore.

Falso. L’allegato contiene le modalità per inviare la notificazione dei trattamenti al Garante

L’allegato A3 contiene il codice deontologico sul marketing

(o buoni) pagatori Vero. Il codice deontologico fissa le regole da adottare nel trattamento di dati personali per finalità di marketing e

Parzialmente vero. È l’allegato A4 che contiene il codice deontologico sul marketing.

Falso. Il codice deontologico sul marketing non è ancora stato emanato.

commerciali.

41

Lezione 1 – Unità didattica 1.3

Risposte alle domande di verifica

Domande di verifica 1.1 e risposte corrette

Domanda

     

Il Codice in materia di protezione dei dati personali è in vigore dal primo gennaio

Falso, il Codice in materia di protezione dei dati personali è in vigore dal primo

   

2001

gennaio 2004 e sostituisce la precedente legge

n.675 del 1996

Quando è stata abrogata la legge sulla privacy del 1996?

   

Nel 2004 dal Codice in materia di protezione dei dati

La legge sulla privacy riguarda solo le persone fisiche e non le aziende

   

personali Falso. Le norme sulla privacy si applicano sia a persone fisiche che ad aziende

Domande di verifica 1.2 e risposte corrette

Domanda

     

L’Autorità Garante per la protezione dei dati personali non ha reali poteri ma può semplicemente “consigliare” i comportamenti corretti

   

Falso. Il Garante può infliggere sanzioni ed imporre le proprie decisioni fino al blocco dei trattamenti

La nomina dei componenti dell’Autorità Garante per la privacy è di tipo “politica”

   

Vero. I membri dell’autorità sono nominati dal Parlamento

I cittadini, e le imprese, possono appellarsi direttamente al garante per far valere i propri diritti

 

Vero. Sul sito del Garante sono disponibili anche suggerimenti e modelli per esercitare tale diritto

 

42

Lezione 1 – Unità didattica 1.3

Tra gli incarichi del Garante vi sono le ispezioni nelle aziende per valutare il rispetto degli adempimenti di

Vero. Ogni anno il Garante presenta pubblicamente il piano delle ispezioni

   

legge

previste.

Domande di verifica 1.3 e risposte corrette

Domanda

     

L’allegato B al Codice contiene l’elenco delle misure minime di sicurezza da adottare per i trattamenti di dati personali

Vero. L’allegato contiene le disposizioni tecniche relative alla misure minime di sicurezza già enunciate nel

   

Codice

L’allegato A5 riguarda le centrali rischi private

Vero. Questo allegato fissa le regole su come trattare i dati delle persone ed aziende registrate come cattivi (o buoni)

   

pagatori

L’allegato A3 contiene il codice deontologico sul marketing

   

Falso. Il codice deontologico sul marketing non è ancora stato emanato.

43

Lezione 1 – Unità didattica 1.3

Fine del documento

Le successive lezioni saranno pubblicate attraverso i siti ComplianceNet 44 , CMa Consulting 45 ed Arcobaleni196 46 nelle prossime settimane.

Roma, 12 gennaio 2009

44