D. LGS.

196 DEL 30 GIUGNO 2003

"Codice in materia di protezione dei
dati personali"
 “Codice in materia di protezione
dei dati personali”

Il CODICE nasce dal desiderio dello stato moderno di

avviare una sorta di “guerra” alla burocrazia, introducendo
delle leggi capaci di semplificare la giungla di norme,
norme
nella quale si devono muovere cittadini e imprese.
I TESTI UNICI stanno lasciando il posto a veri e propri
codici, vale a dire raccolte organiche di norme che
possono riguardare vari settori.
settori
L'obbligatorietà dell'adeguamento alla nuova
normativa coinvolge tutti coloro che per
l'espletamento della loro attività trattano DATI
PERSONALI:
PERSONALI enti pubblici, liberi professionisti,
aziende, comuni, scuole, ospedali, cooperative e
associazioni.
Sono escluse dall'adeguamento alla nuova legge solo
le persone fisiche che intendano effettuare il
trattamento di dati personali per soli fini
personali e, in nessun caso, prevedano la cessione o
la comunicazione dei dati in loro possesso a terzi.
 COS’È UN DATO IDENTIFICATIVO?

Il dato identificativo è qualunque

informazione relativa a persona fisica,
persona giuridica, ente od associazione,
identificati o identificabili
 COS’È UN DATO SENSIBILE?

Il DATO SENSIBILE è un dato personale

idoneo a rivelare l'origine razziale ed
etnica, le convinzioni religiose,
filosofiche o di altro genere, le opinioni
politiche, l'adesione a partiti,
sindacati, associazioni od
organizzazioni a carattere religioso,
filosofico, politico o sindacale, nonché
un dato personale idoneo a rivelare lo
stato di salute e la vita sessuale.
 COS’È UN DATO GIUDIZIARIO?

Il DATO GIUDIZIARIO è un dato personale

idoneo a rivelare provvedimenti di cui
all'articolo 3, comma 1, lettere da a) a o) e
da r) a u), del D.P.R. 14 novembre 2002, n.
313, in materia di casellario giudiziale, di
anagrafe delle sanzioni amministrative
dipendenti da reato e dei relativi carichi
pendenti, o la qualità di imputato o di
indagato ai sensi degli articoli 60 e 61 del
codice di procedura penale.
 Obiettivo del nuovo codice
L’obiettivo del nuovo Codice è di spingere le aziende
ad una maggior sensibilità nella tutela dei dati
personali e regolamentare il trattamento degli stessi.
Per raggiungere questo obiettivo ogni azienda deve
provvedere a delineare una struttura che garantisca:

• Regole
• Sicurezza
• Controllo

NON C’È PRIVACY SENZA SICUREZZA !

 STRUTTURA
DEL NUOVO CODICE
 Struttura del Codice della Privacy

Il Codice si compone di

3 PARTI + ALLEGATI

In particolare:

Parte I – Disposizioni generali

Parte II – Disposizioni relative a specifici
settori
Parte III – Tutela dell’interessato e
sanzioni
 Struttura del Codice della Privacy

ALLEGATI

ALLEGATO A: A Codici di deontologia

A.1 Trattamento di dati personali nell’esercizio
dell’attività giornalistica
A.2 Trattamento di dati personali per scopi storici
A.3 Trattamento di dati personali per scopi
statistici
ALLEGATO B: DISCIPLINARE TECNICO IN
MATERIA DI MISURE MINIME DI SICUREZZA
ALLEGATO C: Trattamenti non occasionali
effettuati in ambito giudiziario o per fini di polizia
 NOVITÀ
Il nuovo Codice fa riferimento al termine “strumento
elettronico”,
elettronico” precedentemente sostituito col termine
“elaboratore elettronico”.
elettronico”

La dizione “strumento elettronico” può comprendere

macchine fotografiche digitali, memory stick, smart
card, apparati FAX, ecc.
 NOVITÀ
Documento Programmatico Sicurezza

Nel nuovo Codice non solo l’articolazione degli interventi è

illustrata in maggiore dettaglio,
dettaglio ma vengono anche
imposti degli interventi supplementari di protezione, che
rientrano nel dominio del buon senso.
Tra le nuove prescrizioni del DPS ne evidenziamo 2.

1. Effettuazione di copie regolari di salvataggio dei dati

personali (Backup).
Backup
2. Messa a punto di piani di Disaster Discovery,
Discovery in grado
di fronteggiare situazioni di emergenza e di garantire il
pronto ripristino delle attività di trattamento dei dati
personali.
IL CODICE IN AZIENDA
L’ORGANIGRAMMA PRIVACY

• Titolare

• Responsabile

• Incaricati
 Titolare del Trattamento (art. 28)

Per quanto riguarda i soggetti che effettuano il trattamento,

rispetto alla normativa previgente, l'art. 28 chiarisce che
nel caso in cui il trattamento è effettuato da una persona
giuridica, da una pubblica amministrazione o da altro
ente, “titolare” è l'entità nel suo complesso, oppure l'unità
periferica che esercita un potere decisionale autonomo sulle
finalità del trattamento, anziché la persona fisica
incardinata nell'organo o preposta all'ufficio.
all'ufficio
 Responsabile del Trattamento (art. 29)

• nomina facoltativa
• interni o esterni
• nomina necessaria in aziende con organizzazioni
complesse
• più nomine a seconda della complessità aziendale
• la nomina non è un esonero di responsabilità per il
titolare: ne costituisce un’attenuazione
(soprattutto in tema di responsabilità penale)
• il responsabile deve ricevere dal titolare precise
istruzioni
• il responsabile deve essere controllato
periodicamente dal titolare
 Incaricato del Trattamento
• persona fisica autorizzata, dal titolare o dal
responsabile, a compiere operazioni di
trattamento
• dipendente o collaboratore
• deve attenersi alle istruzioni impartite
• designazione effettuata per iscritto,
individuando puntualmente l’ambito del
trattamento consentito
• facoltà per l’azienda di documentare la
preposizione della persona fisica ad una unità
per la quale è individuato, per iscritto, l’ambito
del trattamento consentito agli addetti all’unità
medesima (es: mansionari)
Notificazione del trattamento (art. 37)

Mentre con l'originale impianto della legge

675/1996 e le successive modificazioni,
dovevano notificare tutti i soggetti non
esplicitamente esentati, nel codice si
rovescia l'impostazione e si indicano solo i
casi nei quali la notifica va effettuata.
 INFORMATIVA (Art.
13)

L'art. 13 riguarda l'informativa

all'interessato, il diritto di quest'ultimo di
venire a conoscenza dell'ambito di
comunicazione dei dati che lo riguardano.

La novità è costituita dal c.1 lett. d):

d) l’informativa
deve indicare “i soggetti o le categorie di soggetti
ai quali i dati personali possono essere
comunicati o che possono venire a conoscenza in
qualità di responsabili o incaricati e l’ambito di
diffusione dei dati medesimi”.
 CONSENSO (Art. 23)
L’art. 23 chiarisce meglio che il consenso al trattamento
dei dati personali deve essere "espresso liberamente
e specificamente in riferimento al trattamento
chiaramente individuato," e non solo reso "in forma
specifica“.
Coerentemente con l'esigenza di razionalizzare e
coordinare meglio dal punto di vista sistematico la
materia, le pertinenti disposizioni di questo capo, ove
possibile, sono state accorpate. In tal senso, nel
medesimo art. 23 è stato aggiunto un comma il quale
precisa che il consenso al trattamento dei dati sensibili e
giudiziari è manifestato in forma scritta,
scritta come già
previsto nella norma generale sul trattamento dei dati
sensibili (art. 26, comma 1).
 CONSENSO (Art. 23)

Il consenso:
1. può riguardare l'intero trattamento ovvero una o più
operazioni dello stesso;

2. è validamente prestato solo se è espresso

liberamente e specificamente in riferimento ad un
trattamento chiaramente individuato, se è documentato
per iscritto, e se sono state rese all'interessato le
informazioni di cui all'articolo 13;

3. è manifestato in forma scritta quando il trattamento

riguarda dati sensibili.
 MISURE MINIME DI SICUREZZA

ALLEGATO B
DISCIPLINARE TECNICO IN MATERIA DI
MISURE MINIME DI SICUREZZA
(Artt. da 33 a 36 del codice)

Definisce le modalità tecniche da adottare

a cura del titolare, del responsabile ove
designato e dell’incaricato, in caso di:
1. Trattamenti con strumenti elettronici
2. Trattamenti senza l’ausilio di
strumenti elettronici
 1. Sistema di autenticazione informatica
Verifica di identità
Esistono 3 tecniche di base grazie alle quali un individuo può
provare la sua identità:
• una informazione a lui nota (parola chiave, successione
numerica),
• un oggetto da lui posseduto (tessera magnetica, chiave di
una serratura),
• una caratteristica biometrica o comportamentale
(firma, impronta digitale)

La parola chiave è il sistema più frequentemente utilizzato.

utilizzato
Le altre due tecniche sono generalmente più costose,
costose anche
perché devono utilizzare degli specifici apparati, in grado di
catturare o leggere la specifica informazione, in possesso
dell’utente.
 2. Sistema di autorizzazione
Principio generale della progettazione e gestione di un sistema di
autorizzazione è legato al principio del minimo accesso, accesso
compatibile con le esigenze operative tipiche di uno specifico
incaricato.
È evidente che la riservatezza e l’integrità dei dati non possono
essere garantite, se ogni utente non è abilitato ad accedere
soltanto alle informazioni strettamente necessarie.
necessarie

La regola generale non è quella che tutti

accedono a tutto, salvo aree protette, ma che
tutti accedono a nulla, salvo alle aree
specificamente autorizzate e nei modi
specificamente autorizzati.
 2. Sistema di autorizzazione

Uno schema di autorizzazione permette al

titolare o al responsabile di controllare:

• chi potrà essere autorizzato

• con quale modalità di accesso
• a quali specifici oggetti e risorse
 3. Altre misure di sicurezza
Comma 16

• Sia i client che i server devono obbligatoriamente

essere protetti dalla minaccia dei virus informatici e
affini.
• La protezione deve essere estesa anche ai computer
non connessi alla rete o che non accedono ad
Internet
• Aggiornamento almeno semestrale

La protezione contro i virus perde di efficacia se non

estesa a tutto il sistema informatico ed è opportuno
l’aggiornamento periodico del software antivirus.
 3. Altre misure di sicurezza
Comma 17

Lo stesso discorso di aggiornamento fatto per

l’antivirus deve essere fatto anche per
l’aggiornamento dei programmi informatici.

Il Responsabile deve tenersi costantemente

aggiornato sulle debolezze dei principali sistemi
operativi ed applicativi,
applicativi in modo da individuare
tempestivamente possibili correzioni, disponibili ad
esempio via Internet.
 3. Altre misure di sicurezza
Comma 18
Quanti e quali dati copiare?
È importante saper decidere quali dati devono essere archiviati.
Ad oggi sono disponibili tre sistemi di back up:
up
• copia completa:
completa cattura tutti i file che si trovano sul disco o nella
cartella selezionata.
• copia incrementale:
incrementale cattura solo i file che sono stati creati o
modificati dall’ultima copia effettuata. Questo back up permette di
utilizzare in maniera più efficiente il supporto di archiviazione ed i
tempi di realizzazione delle copie vengono ridotti.
• copia differenziale:
differenziale archivia i file che sono stati creati o modificati
dall’ultima copia completa. Pertanto, se un file è stato modificato dopo
l’ultima copia completa, un back up differenziale salva il file ogni volta
che viene effettuata la nuova copia completa.
Il back up differenziale richiede più tempo rispetto al back up
incrementale, perché la quantità dei dati da archiviare cresce giorno
per giorno a partire dall’ultimo giorno in cui è stata effettuata una
copia completa.
Il Documento programmatico sulla sicurezza

E’ consigliabile in ogni caso perché:

• Riporta l’applicazione delle misure minime di
sicurezza
• E’ un documento utile al titolare del trattamento
per verificare le misure di sicurezza in essere
• Permette di conoscere meglio le procedure
aziendali in relazione al trattamento dei dati
personali ed è opportuno che venga
costantemente aggiornato

AUMENTA IL CONTROLLO E LA SICUREZZA DEI

DATI PERSONALI GESTITI DALL’AZIENDA
DOCUMENTO PROGRAMMATICO SULLA
SICUREZZA (DPS)
Il Documento Programmatico sulla
Sicurezza deve essere redatto entro il 31
MARZO di ogni anno.
Il titolare deve riferire, nella relazione
accompagnatoria del bilancio d’esercizio,
d’esercizio
dell’avvenuta redazione o aggiornamento
del Documento Programmatico sulla
Sicurezza.
FORMAZIONE DEGLI INCARICATI DEL TRATTAMENTO

• Deve diffondersi, all’interno dell’azienda, una

CULTURA DELLA PRIVACY
• Sensibilità da parte dei vertici
• Formazione ad hoc per i Responsabili
• Formazione ad hoc per gli Incaricati

Definizione di un
Piano di Formazione
 OSSERVAZIONI GENERALI CONCLUSIVE

• Non esiste un sistema completamente sicuro

• Non esiste un sistema sicuro per sempre
• La sicurezza è proporzionale all’investimento
• I virus non si propagano solo attraverso
Internet
• Un sistema non completamente protetto è
paragonabile ad un sistema senza alcuna
protezione
• La sicurezza deve essere una priorità che si
evolve nel tempo
 ALCUNI BUONI MOTIVI PER ATTIVARSI

•Il codice privacy è pienamente vigente ed i

termini in esso previsti rappresentano
l'ultima occasione concessa per mettersi in
regola.
•In caso di violazione accertata, sono
previste sanzioni di tipo amministrativo
(fino a quasi 124.000 Euro) e la reclusione
(fino a 3 anni), esclusione dalle gare
d’appalto, risarcimento danni. L'Autorità
Garante effettua ispezioni e sanziona gli
adempimenti, di recente insieme alla
Guardia di Finanza.
 ALCUNI BUONI MOTIVI PER ATTIVARSI
•Il rapporto tra rischio di perdita e costo
dell'adeguamento è inferiore al 2%.
•In ambito pubblico l'avanzare del governo
elettronico pone molteplici problematiche
da risolvere in materia di dati. La tutela
della privacy rientra nei progetti qualità e
negli accreditamenti istituzionali.
•Opportuno valutare, oltre alle perdite
economiche, anche i danni all'immagine. La
sicurezza non deve diventare importante
quando il danno si è prodotto.
 ALCUNI BUONI MOTIVI PER ATTIVARSI

• Le risorse immateriali (le informazioni in

generale) sono destinate a diventare sempre
più importanti. La legislazione sulla privacy,
considerato il vertiginoso sviluppo delle nuove
tecnologie, e' destinata a rivestire un ruolo
fondamentale.