D. Lgs 196/2003 - overview Pagina 1 CONI Servizi S.p.A. D. Lgs
196/2003 - Codice in materia di protezione dei dati personali
Slide 2
D. Lgs 196/2003 - overview Pagina 2 Indice Concetti generali
Principi generali per il trattamento dei dati Adempimenti per la
legittimit del trattamento Adempimenti formali Adempimenti
strutturali Responsabilita e sanzioni allegati
Slide 3
D. Lgs 196/2003 - overview Pagina 3 Concetti generali A
decorrere dal 1 gennaio 2004 entrato in vigore il decreto
legislativo 30 giugno 2003, n. 196, definito "Codice in materia di
protezione dei dati personali ". Il nuovo Testo unico ha inteso
accorpare ed armonizzare tutte le disposizioni che, a partire dalla
"normativa madre", data dalla legge 31 dicembre 1996, n. 675,
avevano dapprima introdotto, poi modificato e integrato, il
principio del diritto alla tutela dei dati personali. Il codice
racchiude in s, infatti, ci che in precedenza era contenuto in
circa una decina tra leggi e decreti e un numero considerevole di
direttive comunitarie.
Slide 4
D. Lgs 196/2003 - overview Pagina 4 4 Il codice diviso in tre
parti La prima parte dedicata alle disposizioni generali, ordinate
in modo da trattare tutti gli adempimenti e le regole del
trattamento con riferimento ai settori pubblico e privato La
seconda parte dedicata a settori specifici. Essa, oltre a
disciplinare aspetti specifici, introduce la disciplina per il
settore sanitario e quella dei controlli sui lavoratori La terza
parte affronta la materia della tutela amministrativa e
giurisdizionale con il consolidamento delle sanzioni amministrative
e penali e con le disposizioni sullufficio del garante Concetti
generali
Slide 5
D. Lgs 196/2003 - overview Pagina 5 5 Il codice disciplina il
trattamento dei dati personali effettuato da chiunque stabilito nel
territorio dello Stato. Il trattamento di dati personali effettuato
da persone fisiche per fini esclusivamente personali soggetto
allapplicazione del codice solo se i dati sono destinati a
comunicazione sistematica o a diffusione. Si applicano in ogni caso
le disposizioni in tema di responsabilit e sicurezza dei dati di
cui agli art. 15 e 31 Concetti generali
Slide 6
D. Lgs 196/2003 - overview Pagina 6 6 dato personale qualunque
informazione relativa a persona fisica, (prima del d.l.201/2011 art
40 c.2 : persona giuridica, ente od associazione), identificata o
identificabile, anche in modo indiretto, mediante riferimento a
qualsiasi altra informazione, compreso il numero di identificazione
personale (Art. 2 Direttiva 95/46/CE qualsiasi informazione
concernente una persona fisica identificata o identificabile; si
considera identificabile la persona che pu essere identificata,
direttamente o indirettamente, in particolare mediante riferimento
ad un numero di identificazione o ad uno o pi elementi specifici
caratteristici della sua identit fisica, fisiologica, psichica,
economica, culturale o sociale) Concetti generali
Slide 7
D. Lgs 196/2003 - overview Pagina 7 7 dato personale (Art. 2
Direttiva 95/46/CE qualsiasi informazione concernente una persona
fisica identificata o identificabile; si considera identificabile
la persona che pu essere identificata, direttamente o
indirettamente, in particolare mediante riferimento ad un numero di
identificazione o ad uno o pi elementi specifici caratteristici
della sua identit fisica, fisiologica, psichica, economica,
culturale o sociale) Informazioni di natura oggettiva o soggettiva
(valutazioni), Non necessariamente un dato testuale (pu trattarsi
di un immagine, di registrazione della voce). Nei servizi di phone
banking la voce del cliente che impartisce istruzioni alla banca un
dato personale. I disegni di un bambino riferiti ai genitori
possono essere dati personali. Concetti generali
Slide 8
D. Lgs 196/2003 - overview Pagina 8 8 dato personale (Art. 2
Direttiva 95/46/CE qualsiasi informazione concernente una persona
fisica identificata o identificabile; si considera identificabile
la persona che pu essere identificata, direttamente o
indirettamente, in particolare mediante riferimento ad un numero di
identificazione o ad uno o pi elementi specifici caratteristici
della sua identit fisica, fisiologica, psichica, economica,
culturale o sociale) a. Per contenuto: il dato riguarda
direttamente una persona (dati contenuti in un referto medico). b.
Per finalit: il dato usato per valutare o condizionare i
comportamenti (registro con chiamate effettuate e ricevute). c. Per
risultato: luso del dato impatta sui diritti della persona
(rilevazione delle posizione di una persona). Concetti
generali
Slide 9
D. Lgs 196/2003 - overview Pagina 9 9 dato personale (Art. 2
Direttiva 95/46/CE qualsiasi informazione concernente una persona
fisica identificata o identificabile; si considera identificabile
la persona che pu essere identificata, direttamente o
indirettamente, in particolare mediante riferimento ad un numero di
identificazione o ad uno o pi elementi specifici caratteristici
della sua identit fisica, fisiologica, psichica, economica,
culturale o sociale) Il parere 4/2007 del Gruppo art.29 evidenzia
che la direttiva si riferisce alle persone fisiche ma che gli stati
membri possono estendere la protezione alle persone giuridiche come
accaduto in Italia fino al d.l.201/2011 Il dato personale non fa
riferimento alla riservatezza (diritto di escludere altri dalla
conoscenza di vicende personali e familiari). I diritti sono
distinti. Il dato personale non necessariamente riservato (numero
di telefono, indirizzo di posta elettronica) Qualsiasi
informazione, riferibile anche indirettamente a qualsiasi soggetto?
Oggetto della legge non la riservatezza ma il trattamento delle
informazioni Concetti generali
Slide 10
D. Lgs 196/2003 - overview Pagina 10 10 dato identificativo e
dato anonimo Dato identificativo: informazione che permette una
identificazione diretta del soggetto a cui i dati si riferiscono
(nome e cognome, ma non il codice fiscale). Dato anonimo:dato che
in origine o a seguito di trattamento non pu essere riferito ad un
soggetto identificato o identificabile. Un dato anonimo se riguarda
una persona fisica che non pu essere identificata dal responsabile
del trattamento o da altri prendendo in considerazione i mezzi e
gli strumenti che possono essere ragionevolmente usati (parere
4/2007) Tale dato fuori dallambito di protezione, tuttavia il
parere 2/2010 del Gruppo di lavoro art.29 sulla pubblicit
comportamentale on line ovvero sul monitoraggio del comportamento
degli utenti al fine di realizzare un profilo che prescinde
dallidentificazione dellutente (tracciamento della navigazione
web). Il Gruppo esprime necessit di tutelare anche il dato anonimo
di tracciamento attraverso informativa e consenso. Si tutela il
trattamento delle informazioni non solo dei dati personali.
Concetti generali
Slide 11
D. Lgs 196/2003 - overview Pagina 11 11 dati sensibili sono i
dati personali idonei a rilevare: lorigine razziale ed etnica, le
convinzioni religiose, filosofiche o di altro genere, le opinioni
politiche, ladesione a partiti, sindacati, lappartenenza a
associazioni od organizzazioni a carattere religioso, filosofico,
politico o sindacale, lo stato di salute e la vita sessuale
Lelencazione tassativa, ma elastica (dati idonei a). Collegamento
potenziale non diretto e attuale: dati che possono consentire di
rivelare, ma che non necessariamente individuano(es scelte
alimentari in mensa per allergie o religione) Concetti
generali
Slide 12
D. Lgs 196/2003 - overview Pagina 12 12 dati sensibili I dati
atti a rilevare la personalit etico sociale e le caratteristiche
psico-sanitarie sono oggetto di regole particolare nel Codice. Il
concetto la riferibilit, non la diretta connessione: dati idonei a
rilevare Per esempio, Per i privati: la forma scritta per il
consenso richiesto non solo per la sua prova ma anche per la sua
validit e ci si deve attenere alle autorizzazioni generali del
Garante (art.26 c1) Per i soggetti pubblici: non si richiede il
consenso, ma il trattamento deve essere previsto e autorizzato
dalla legge (art.20 c1) Le sanzioni sono pi dure: trattamento di
dati illeciti se dati sensibili reclusione da 1 a 3 anni, dati
personali da 6 mesi a 2 anni (art167) Concetti generali
Slide 13
D. Lgs 196/2003 - overview Pagina 13 13 dati sensibilissimi I
dati atti a rilevare lo stato di salute e la vita sessuale (parte
II, titolo V) Dati sanitari:quelli che rivelano la malattia o
quelli che non rivelano la malattia ma che rivelano che esiste un
problema di salute? MATERIA RICCA DI ATTI DEL GARANTE Linee guida
in materia di trattamento di dati personali dei lavoratori per
finalit di gestione del rapporto di lavoro Autorizzazione 1/2011 al
trattamento dei dati sensibili nei rapporti di lavoro
Autorizzazione al trattamento di dati sanitari Es. provv 18/06/09.
ricorso del dipendente che lamentava che la busta paga recava in
forma esplicita la dicitura appartenente a categorie svantaggiate.
Accolto. provv 25/06/09 sul sito web della Prov. di Foggia due
determinazioni delle Risorse Umane su richiesta di riconoscimento
di infermit da causa di servizio di dipendente. Diffusione di dati
sensibili vietata (art 26c.5). Prescrizione 29/04/09. lo scontrino
di acquisto di medicinali emesso a fini fiscali deve riportare in
luogo della denominazione del farmaco il numero di autorizzazione
di messa in commercio Concetti generali
Slide 14
D. Lgs 196/2003 - overview Pagina 14 14 dati giudiziari I
provvedimenti giudiziari penali di condanna, i provvedimenti
giudiziari concernenti le pene e la riabilitazione, la qualit di
imputato e la qualit di indagato. Equiparati ai dati sensibili. Il
trattamento consentito solo se autorizzato da legge o provvedimento
del garante che specifici le finalit di rilevante interesse
pubblico, i tipi di dati trattati e le operazioni eseguibili
Concetti generali
Slide 15
D. Lgs 196/2003 - overview Pagina 15 Concetti generali
Certificati medici con diagnosi Regime alimentare mensa
Slide 16
D. Lgs 196/2003 - overview Pagina 16 16 trattamento qualunque
operazione o insieme di operazioni, compiute anche senza il
supporto di strumenti elettronici, concernenti la raccolta, la
registrazione, lorganizzazione, la conservazione, la consultazione,
lelaborazione, la modificazione, la selezione, lestrazione, il
raffronto, lutilizzo, linterconnessione, il blocco, la
comunicazione, la diffusione, la cancellazione e la distruzione di
dati, anche se non sono registrati in una banca dati Concetti
generali Registrazione fatture; Catalogazione dati (anagrafici,
fiscali, ecc.); Consultazione e archiviazione fascicoli cartacei;
Elaborazione buste paga; Aggiornamento denunce infortuni;
Comunicazione dati allINPS, allINAIL, a banche, ecc.; Esame e
conservazione certificati medici (idoneit al lavoro, malattia);
Raccolta dati ai fini della partecipazione a concorsi a premi;
Raccolta dati inerenti informazioni commerciali.
Slide 17
D. Lgs 196/2003 - overview Pagina 17 Per trattamento si intende
una delle seguenti operazioni, automatizzate o manuali: Concetti
generali
Slide 18
D. Lgs 196/2003 - overview Pagina 18 I trattamenti di
comunicazione e diffusione A differenza degli altri trattamenti,
hanno ricevuto apposite disposizioni normative, per i maggiori
rischi in cui incorrere linteressato. Art 19 un soggetto pubblico
pu comunicare dati ad altro soggetto pubblico solo se previsto da
norma di legge o regolamento o se comunicato al Garante il
trattamento (45 gg per la risposta) in caso di finalit
istituzionali. un soggetto pubblico pu comunicare dati a soggetto
privato o fare diffusione solo se previsto da norma di legge o
regolamento La comunicazione da parte di un titolare privato deve
avvenire sempre attraverso la raccolta del consenso informato
dellinteressato a meno delle circostanze art.24 (obblighi derivanti
da un contratto, obbligo di legge, ) Art 26 I dati idonei a
rilevare lo stato di salute non possono essere diffusi Art.84 I
dati idonei a rivelare lo stato di salute possono essere resi noti
allinteressato solo dal medico designato Linee guida in materia di
pubblicazione sul web di atti e documenti amministrativi es
Luniversit pu comunicare i nominativi dei neolaureati alle imprese
solo se previsto da regolamento Concetti generali
Slide 19
D. Lgs 196/2003 - overview Pagina 19 La conservazione Art.11 i
dati sono conservati in modo da consentire lidentificazione
dellinteressato per un periodo di tempo non superiore al periodo
necessario agli scopi per cui i dati sono raccolti. Successivamente
possono essere conservati con le adeguate garanzie per scopi
storici, statistici o scientifici. Es: codice di deontologia per
trattamenti per scopi statistici o scientifici allegato a4, i dati
identificativi se possibile devono essere conservati separatamente
dagli altri. A volte normativa detta limiti specifici:
Provvedimento sulla videosorveglianza, da poche ore a max una
settimana, se attivit rischiosa. Circolare n.61 Ministero Sanit
1986, le cartelle cliniche vanno conservate nella struttura
sanitaria per 40 anni, poi ancora conservate in archivio ..
Concetti generali
Slide 20
D. Lgs 196/2003 - overview Pagina 20 Banca Dati Qualsiasi
insieme organizzato e finalizzato di dati personali, ripartito in
una o pi unit fisiche o logiche, in uno o pi siti logistici,
finalizzato ad uno o pi trattamenti. Ad es: archivio cartaceo
risorse umane, database delle anagrafiche dei dipendenti, registro
visitatori, archivio fatture ufficio amministrazione, ecc. Archivio
cartaceoArchivio elettronico Concetti generali
Slide 21
D. Lgs 196/2003 - overview Pagina 21 21 titolare la persona
fisica, la persona giuridica, la pubblica amministrazione e
qualsiasi altro ente, associazione od organismo cui competono,
anche unitamente ad altro titolare, le decisioni relative alle
finalit, alle modalit del trattamento dei dati personali e agli
strumenti utilizzati, ivi compreso il profilo della sicurezza
Concetti generali Lart. 28 specifica che per titolare deve
intendersi lentit nel suo complesso o lunit od organismo periferico
che esercita un potere decisionale del tutto autonomo sulle finalit
e modalit del trattamento. CONI Servizi S.p.A. Titolare del
trattamento dei dati dei propri dipendenti, fornitori, clienti,
ecc.
Slide 22
D. Lgs 196/2003 - overview Pagina 22 22 responsabile la persona
fisica, la persona giuridica, la pubblica amministrazione e
qualsiasi altro ente, associazione od organismo preposti dal
titolare al trattamento di dati personali Concetti generali La
nomina del responsabile non obbligatoria, ma se effettuata, essa
deve concernere soggetti che forniscano idonea garanzia del
rispetto delle disposizioni in materia di trattamento dei dati
personali. Il responsabile opera attenendosi alle istruzioni
impartite dal titolare il quale, anche mediante verifiche, vigila
sulla puntuale osservanza delle disposizioni; E individuato tra i
soggetti che per esperienza, capacit e affidabilit garantiscono la
capacit di sovrintendere alle operazioni di trattamento dei dati.
Tale figura non prevista dalla direttiva europea 95/46/CE
Slide 23
D. Lgs 196/2003 - overview Pagina 23 23 incaricati sono le
persone fisiche autorizzate ad effettuare operazioni di trattamento
dal titolare dei dati o dal responsabile Concetti generali
Slide 24
D. Lgs 196/2003 - overview Pagina 24 Incaricato La persona
fisica autorizzata a compiere operazioni di trattamento dal
titolare o dal responsabile. Lincaricato, designato per iscritto,
deve attenersi alle istruzioni ricevute dal titolare o dal
responsabile, i quali hanno un obbligo di vigilanza sul loro
operato; Lambito di operativit dellIncaricato predeterminato per
iscritto, risulta dalla nomina, ovvero dallassegnazione
dellIncaricato alla funzione; LIncaricato opera sotto la diretta
autorit del Titolare (CONI Servizi S.p.A.) o del Responsabile.
Tutti i dipendenti di CONI Servizi S.p.A. che trattano dati
personali di terzi (con strumenti elettronici o cartacei), sono
incaricati; Gli incaricati sono i soggetti che, nella pratica:
Raccolgo no i dati Elaborano i dati con procedure informatiche o
manuali Li archiviano Li diffondono Li comunicano Concetti
generali
Slide 25
D. Lgs 196/2003 - overview Pagina 25 25 interessato la persona
fisica (prima del d.l.201/2011 art 40 c.2: la persona giuridica,
lente o lassociazione) cui si riferiscono i dati personali Concetti
generali
Slide 26
D. Lgs 196/2003 - overview Pagina 26 26 comunicazione portare a
conoscenza dei dati personali,in qualsiasi forma, anche attraverso
la loro messa a disposizione o consultazione, uno o pi soggetti
determinati anche nella specie diversi da: linteressato, il
titolare, il responsabile, gli incaricati. Concetti generali
Esempi: Costituisce comunicazione linvio di dati personali
allI.N.P.S. per gli adempimenti previdenziali; Costituisce
comunicazione linvio alla banca delle coordinate bancarie del
dipendente per laccredito dello stipendio. non costituisce
comunicazione la trasmissione di dati personali ai colleghi del
proprio o di altri settori per operazioni attinenti a finalit
strettamente lavorative.
Slide 27
D. Lgs 196/2003 - overview Pagina 27 27 diffusione consiste nel
portare a conoscenza dei dati personali soggetti indeterminati nel
numero e nella specie, in qualunque forma, anche attraverso la loro
messa a disposizione o consultazione Concetti generali
Slide 28
D. Lgs 196/2003 - overview Pagina 28 28 Tali principi sono
descritti dallart 11 del codice: Liceit Correttezza Necessit
Esattezza Pertinenza e non eccedenza Aggiornamento e completezza In
caso di violazione dei principi il trattamento si qualifica
illecito e: I dati non possono essere utilizzati (art.11 c2) Il
danno non patrimoniale risarcibile anche in caso di violazione
dellart 11 (art.15 c2) Giurisprudenza non univoca: a volte danno in
re ipsa ovvero danno nel momento in cui si realizza la violazione
del principio a prescindere dalla prova del danno. Ci soprattutto
nei casi di danni da informazioni inesatte come quelle che generano
segnalazioni alla centrale rischi della banca dItalia. O Se si lede
un diritto (es dignit) dellinteressato a prescindere dalla concreta
conoscenza di terzi. Diffusione incontrollata di cartelle cliniche
o loro mancata custodia Principi per il trattamento dei dati
Slide 29
D. Lgs 196/2003 - overview Pagina 29 29 Liceit Il trattamento
lecito quando conforme alla legge ovvero al codice Correttezza
Richiamo al principio di buona fede. Si preclude la possibilit di
acquisire e gestire dati mediante violenza o frode e richiedendo un
dovere di trasparenza Finalit Assicurare la rispondenza del
trattamento dei dati a finalit individuate specifiche legittime e
rese note allinteressato La finalit deve essere resa nota
nellinformativa Per i soggetti pubblici, diversamente dai privati,
presupposto di legittimit non il consenso bensi la finalit
istituzionale del trattamento. Il trattamento per scopi storici,
statistici o scientifici considerato compatibile con le finalit per
cui tali dati erano stati precedentemente raccolti e pu essere
effettuato anche oltre il periodo di tempo necessario alle finalit
originarie (ci sono codici deontologici al riguardo, allegato A2,
A3, A4 al Codice) Lo stesso dato pu essere usato per finalit
differenti. Se raccolgo indirizzi di posta elettronica immessi on
line da utenti per finalit relative ad hobby, discussioni su temi
specifici e li uso per mandare comunicazioni politiche sto violando
il principio di finalit. Se un utente pubblica un indirizzo non
significa che sia utilizzabile per scopi diversi da quelli per cui
stato pubblicato Principi per il trattamento dei dati
Slide 30
D. Lgs 196/2003 - overview Pagina 30 30 Necessit Il trattamento
informatizzato ovvero i programmi informatici devono essere
configurati in modo tale da preferire dati anonimi e ridurre al
minimo lutilizzo di dati personali e dati identificativi.
Identificazione solo se necessaria. Raggiunti gli scopi del
trattamento i dati devono essere cancellati o resi anonimi I dati
devono essere raccolti solo se necessari per le finalit del
trattamento e conservati per il periodo di tempo indispensabile
Esattezza Il titolare deve verificare che i dati trattati siano
esatti, corretti e completi (qualit dellinformazione). Il
trattamento di dati inesatti pu comportare una rappresentazione
falsa e pregiudizievole dellinteressato. Linteressato ha il diritto
di richiedere aggiornamento, rettifica e integrazione (art.7)
Principi per il trattamento dei dati
Slide 31
D. Lgs 196/2003 - overview Pagina 31 31 Pertinenza e non
eccedenza I dati raccolti e trattati devono essere sufficienti per
le finalit dichiarate e non eccedenti. Es. esposizione in bacheca
condominiale accessibile anche ad esterni al condominio della
situazione debitoria dei condomini (diffusione) Es. Test
attitudinali nominativi per i dipendenti di un comune ove veniva
richiesto giudizio su azione politica dellente e sulloperato dei
dirigenti.(pi art.8 statuto lavoratori divieto al datore di lavoro
di svolgere indagini sulle opinioni politico sindacali del
lavoratore) Es. i contrassegni comunali per la sosta rilasciate a
persone invalide devono contenere i dati indispensabili ad
individuare lautorizzazione rilasciata e non altre informazioni Es.
diffusione delle delibere su internet. Operare selezione
informazioni (2011Linee guida per il trattamento dei dati personali
contenuti in atti e documenti amministrativi pubblicati sul web)
art 22 (stato di salute mai diffuso) ES. Conservazione dei dati.
Solo per il periodo di tempo necessario alla finalit. Ma, Codice di
deontologia per scopi scientifici, statistici(allegato A4) Ma,
normative specifiche (circolare Ministero sanit 19 dicembre 1986:
cartelle cliniche conservate a tempo indeterminato, dati traffico
abbonati e utenti max 6 mesi da fornitore rete pubblica di
comunicazioni) Principi per il trattamento dei dati
Slide 32
D. Lgs 196/2003 - overview Pagina 32 Art.11 I dati personali
oggetto di trattamento devono essere: trattati in modo lecito e
secondo correttezza; raccolti e registrati per scopi determinati,
espliciti e legittimi, ed utilizzati in altre operazioni del
trattamento in termini non incompatibili con tali scopi; esatti e,
se necessario, aggiornati; pertinenti, completi e non eccedenti
rispetto alle finalit per le quali sono stati raccolti o
successivamente trattati; conservati in una forma che consenta
lidentificazione dellinteressato per un periodo di tempo non
superiore a quello necessario agli scopi per i quali essi sono
stati raccolti o successivamente trattati. Principi per il
trattamento dei dati
Slide 33
D. Lgs 196/2003 - overview Pagina 33 Adempimenti per la
legittimit del trattamento
Slide 34
D. Lgs 196/2003 - overview Pagina 34 34 Art.13 Informativa
Linteressato o la persona presso la quale sono raccolti i dati
personali sono sempre previamente informati oralmente o per
iscritto circa: 1.Le finalit e le modalit del trattamento 2.La
natura obbligatoria o facoltativa del conferimento dei dati 3.Le
conseguenze di un eventuale rifiuto a rispondere 4.I soggetti o le
categorie di soggetti ai quali i dati possono essere comunicati o
che possono venirne a conoscenza come responsabili o incaricati
5.Lambito e i modi di diffusione 6.I diritti di cui allart.7 7.Gli
estremi identificativi del titolare e almeno un responsabile, se
individuato d.l. 70/2011 Chi riceve cv inviato da chi cerca lavoro
non deve pi inviare informativa. Lobbligo di fornire informativa
anche oralmente ed in via semplificata (1, 4, 7) scatta in caso di
contatto per colloquio Adempimenti formali per la legittimit del
trattamento
Slide 35
D. Lgs 196/2003 - overview Pagina 35 Linteressato ha diritto di
ottenere: la conferma dell'esistenza o meno di dati personali che
lo riguardano; l'indicazione dellorigine dei dati delle finalit e
delle modalit di trattamento, della logica applicata al
trattamento, degli estremi identificativi di responsabili e
titolare, dei soggetti a cui i dati possono essere comunicati;
l'aggiornamento, la rettificazione e l'integrazione dei dati; la
cancellazione, la trasformazione in forma anonima o il blocco dei
dati trattati in violazione di legge; l'attestazione che queste
operazioni sono state portate a conoscenza, anche per quanto
riguarda il loro contenuto. Linteressato ha diritto di opporsi, in
tutto o in parte: per motivi legittimi al trattamento dei dati
personali che lo riguardano, anche se pertinenti allo scopo della
raccolta; al trattamento di dati personali che lo riguardano a fini
di invio di materiale pubblicitario, di vendita diretta, per il
compimento di ricerche di mercato, di comunicazione commerciale.
Adempimenti formali per la legittimit del trattamento
Slide 36
D. Lgs 196/2003 - overview Pagina 36 Come si risponde
allinteressato? Previa verifica della sua identit Previa verifica
dei poteri di rappresentanza della persona delegata Riscontrando la
richiesta senza ritardo e comunque riducendo i tempi di risposta
per quanto possibile Semplificando le modalit di riscontro e
agevolando le modalit di accesso ai dati per quanto possibile
Comunicando i dati in forma comprensibile Evitando la comunicazione
di dati di altri Interessati Rispettando il segreto aziendale
Adempimenti formali per la legittimit del trattamento Diritti
dellinteressato
Slide 37
D. Lgs 196/2003 - overview Pagina 37 37 CONSENSO PER I DATI
PERSONALI Art.23 Il trattamento di dati personali ammesso solo con
il consenso dellinteressato Il consenso validamente prestato solo
se: 1. espresso liberamente e specificatamente 2. in riferimento ad
un trattamento individuato 3. documentato per iscritto 4. sono
state rese le informazioni di cui allart.13 Per i dati sensibili
deve essere manifestato in forma scritta TUTTAVIA Adempimenti
formali per la legittimit del trattamento
Slide 38
D. Lgs 196/2003 - overview Pagina 38 38 CONSENSO PER I DATI
PERSONALI Art.24 casi in cui pu essere effettuato trattamento senza
consenso Il consenso non richiesto quando il trattamento: a.
necessario per adempiere ad un obbligo previsto dalla legge, da un
regolamento o dalla normativa comunitaria; b. necessario per
eseguire obblighi derivanti da un contratto del quale parte
linteressato c.Riguarda dati provenienti da pubblici registri,
elenchiconoscibili da chiunque d. e. necessario per la salvaguardia
della vita o dellincolumit fisica dellinteressato f. necessario per
far valere un diritto in sede giudiziaria g... h. effettuato (ma
non comunicazione ne diffusione) da associazioni, enti o organismi
senza scopo di lucro in riferimento aaderenti, per il perseguimento
di scopi determinati e legittimi individuati dallatto costitutivo,
lo statuto.con modalit rese note allatto dellinformativa di cui
allart.13 INOLTRE Adempimenti formali per la legittimit del
trattamento
Slide 39
D. Lgs 196/2003 - overview Pagina 39 39 CONSENSO PER I DATI
SENSIBILI Art.26 garanzie per i dati sensibili I dati sensibili
possono essere oggetto di trattamento solo: a. con il consenso
scritto dellinteressato; b. previa autorizzazione del Garante. .. I
dati sensibili possono essere oggetto di trattamento senza consenso
ma previa autorizzazione del Garante se il trattamento: a.
effettuato da associazioni, entia carattere politico, religioso,
filosofico,sindacale b. necessario per la salvaguardia della vita
c. necessario per far valere un diritto in sede giudiziaria(se i
dati sono sanitari o sessuali deve essere un diritto di pari rango)
d. necessario per adempiere ad obblighi o compiti previsti dalla
legge per la gestione del rapporto di lavoro, in materia di igiene
e sicurezza sul lavoro..previdenza e assistenza I dati idonei a
rilevare lo stato di salute non possono essere diffusi. INOLTRE
Adempimenti formali per la legittimit del trattamento
Slide 40
D. Lgs 196/2003 - overview Pagina 40 40 CONSENSO PER I DATI
SENSIBILI Le autorizzazioni generali del Garante 1/2012
autorizzazione al trattamento dei dati sensibili nei rapporti di
lavoro 2/2012 autorizzazione al trattamento dei dati sullo stato di
salute e vita sessuale da parte di soggetti esercenti le
professioni sanitarie .. 7/2012 autorizzazione al trattamento dei
dati giudiziari Adempimenti formali per la legittimit del
trattamento
Slide 41
D. Lgs 196/2003 - overview Pagina 41 41 CONSENSO PER GLI ENTI
PUBBLICI Art.18trattamenti effettuati da soggetti pubblici Salvo
che la Sanit, gli enti pubblici non devono richiedere il consenso,
ma il trattamento consentito solo per le finalit e le funzioni
istituzionali Se il trattamento riguarda dati sensibili deve essere
previsto dalla legge (art.20) Adempimenti formali per la legittimit
del trattamento
Slide 42
D. Lgs 196/2003 - overview Pagina 42 42 CONSENSO PER DATI
GIUDIZIARI Art.27 garanzie per i dati giudiziari Il trattamento dei
dati giudiziari consentito solo se autorizzato da espressa
disposizione di legge o provvedimento del garante che specifica le
rilevanti finalit di interesse pubblico, i tipi di dati trattati e
le operazioni eseguibili Adempimenti formali per la legittimit del
trattamento
Slide 43
D. Lgs 196/2003 - overview Pagina 43 Trasferimenti allinterno
dellUE La circolazione dei dati dentro UE libera ed sempre
possibile con esclusione dei casi volti ad eludere le disposizioni
in materia di trattamento dei dati personali. Abuso di diritto
ovvero un soggetto esercita un proprio diritto per uno scopo in
contrasto con quello per cui il diritto riconosciuto. Trasferimenti
in Paesi terzi Solo se garantiscono adeguato livello di sicurezza
(direttiva 95/46/CE e art.45 codice). Ladeguatezza valutata in
riferimento alla natura dei dati, tecniche utilizzate, misure di
sicurezza adottate, finalit del trattamento. Il giudizio di
adeguatezza emesso dal Garante del paese da cui i dati provengono
(art.44): A.sulla base di decisioni della Commissione Europea che
constatano che: I. il paese terzo garantisce un livello di
protezione adeguato per effetto della sua legislazione o di accordi
e impegni internazionali; II. alcune clausole contrattuali tipo
offrano garanzie sufficienti in caso di inserimento in un contratto
(la Commissione si espressa sulladeguatezza dei trasferimenti verso
Svizzera, Ungheria, Canada, Argentina, Israele,I trasferimenti
verso USA solo se imprese si conformano al Safe Harbour, un insieme
di principi a garanzia del trasferimento. B.Sulla base di adeguate
garanzie individuate con un contratto o mediante regola di condotta
nellambito di societ appartenenti a medesimo gruppo. Binding
Corporate Rules: il garante inglese e francese hanno approvato le
BCR per alcune multinazionali (Accenture, Spencer Stuart,
Michelin,..) CONSENSO PER TRASFERIMENTO DEI DATI Adempimenti
formali per la legittimit del trattamento
Slide 44
D. Lgs 196/2003 - overview Pagina 44 Trasferimenti in Paesi
terzi E possibile inoltre nei seguenti casi (art.43) : espresso
consenso dellinteressato; esecuzione di obblighi derivanti da un
contratto; salvaguardia di un interesse pubblico rilevante a norma
di legge o regolamento; salvaguardia dellincolumit fisica o della
vita di un terzo; difesa di un diritto in sede giudiziaria; accesso
a documenti amministrativi o dati riconducibili a pubblico
registro; espressa previsione nei codici di deontologia; dati
riguardanti persone giuridiche, enti o associazioni; espressa
autorizzazione del Garante. Il trasferimento dei dati verso paesi
extra UE quindi possibile in molteplicit di principi alternativi
tra loro. CONSENSO PER TRASFERIMENTO DEI DATI Adempimenti formali
per la legittimit del trattamento
Slide 45
D. Lgs 196/2003 - overview Pagina 45 In caso di cessazione, per
qualsiasi causa, di un trattamento i dati sono: Distrutti; Ceduti
ad altro titolare, purch destinati ad un trattamento in termini
compatibili agli scopi per i quali i dati sono raccolti; Conservati
per fini esclusivamente personali e non destinati ad una
comunicazione sistematica o alla diffusione; Conservati o ceduti ad
altro titolare, per scopi storici, statistici o scientifici, in
conformit alla legge, ai regolamenti, alla normativa comunitaria e
ai codici di deontologia e di buona condotta sottoscritti ai sensi
dell'articolo 12. Adempimenti formali per la legittimit del
trattamento
Slide 46
D. Lgs 196/2003 - overview Pagina 46 Adempimenti strutturali
Misure di sicurezza I dati personali possono assumere formati
differenti: Ne consegue che prerequisito fondamentale per ladozione
delle misure di sicurezza, in ottemperanza a quanto indicato
nellAllegato B del codice in materia di protezione dei dati
personali, lidentificazione degli archivi cartacei e delle banche
dati elettroniche contenenti dati personali. Infatti, le misure di
sicurezza variano in funzione della tipologia di dato (personale o
sensibile) e del supporto fisico su cui custodito (cartaceo o
elettronico).
Slide 47
D. Lgs 196/2003 - overview Pagina 47 Adempimenti strutturali
Obblighi di sicurezza La sicurezza dei dati personali deve essere
affrontata con un approccio integrato: Giuridico Organizzativo e
procedurale Tecnico-informatico Gli obblighi di sicurezza
riguardano il titolare, i responsabili e gli incaricati.
Slide 48
D. Lgs 196/2003 - overview Pagina 48 Adempimenti strutturali
Obblighi di sicurezza I rischi individuati dal Codice (art 31) sono
i seguenti: Distruzione o perdita Accesso non autorizzato
Trattamento non conforme alle finalit di raccolta Trattamento non
consentito I rischi sono relativi sia ai trattamenti cartacei che
informatici Es: accesso non autorizzato degli hackers al sistema
informatico ovvero accesso non autorizzato del personale di pulizia
ai fascicoli lasciati sulla scrivania dal dipendente, ma anche
accesso del dipendente al sistema informativo per raccogliere dati
per finalit non collegate o dati estranei alle ragioni di
servizio.
Slide 49
D. Lgs 196/2003 - overview Pagina 49 Adempimenti strutturali
Obblighi di sicurezza Le definizioni circa la sicurezza si trovano
allart 4 c3 misure minime complesso delle misure tecniche,
informatiche, organizzative logistiche e procedurali che
configurano il livello minimo di protezione richiesto in relazione
ai rischi individuati dallart.31 autenticazione informatica
strumenti informatici o hardware finalizzati a verificare lidentit
del soggetto credenziali di autenticazione dati e dispositivi in
possesso di una persona da questi conosciuti e ad essa univocamente
correlati utilizzati per lautenticazione informatica
Slide 50
D. Lgs 196/2003 - overview Pagina 50 Adempimenti strutturali
Obblighi di sicurezza Le misure minime sono descritte dallart.33,34
e 36 e dallallegato B. Il rispetto delle misure minime sufficiente
per adempiere agli obblighi di sicurezza? Art. 31 I dati personali
sono custoditi e controllati anche in relazione alle conoscenze
acquisite in base al progresso tecnico, alla natura dei dati, alle
specifiche caratteristiche del trattamento, in modo da ridurre al
minimo, mediante ladozione di idonee e preventive misure di
sicurezza, i rischi di distruzione e perdita, di accesso non
autorizzato di trattamento non consentito o non conforme
Aggiornamento costante + valutazione rispetto al rischio Cosa
manca? Costo- opportunit ovvero valutazione degli oneri economici
in relazione al rischio. Tale valutazione era presente nellart.17
direttiva 95/46/CE ma non stata ripresa dal codice
Slide 51
D. Lgs 196/2003 - overview Pagina 51 Adempimenti strutturali
Obblighi di sicurezza Due livelli di sicurezza: Misure minime
(art.33), la cui mancata adozione comporta profili penali (art 169)
Misure idonee (art.31), la cui mancata adozione comporta profili
civili ai sensi dellart 15 e 2050 cc
Slide 52
D. Lgs 196/2003 - overview Pagina 52 Adempimenti strutturali
Obblighi di sicurezza Quali sono le misure minime? Art.34 strumenti
elettronici Art.35 strumenti non elettronici Art.34 Autenticazione
informatica (attraverso codici, impronte digitali). Procedure di
gestione delle credenziali di autenticazione (password, smart card,
token,) All.b 11 un codice non pu essere assegnato ad altri
incaricati neppure in tempi diversi. Le credenziali di
autenticazione non utilizzate da almeno 6 mesi vanno disattivate.
Lunghezza password non inferiore a 8 caratteri Non contiene
riferimenti riconducibili facilmente allincaricato E modificata al
primo utilizzo e poi ogni 3/6 mesi (sensibili/personali) Non
ammessa la parola chiave di gruppo. La password segreta. In caso di
prolungata assenza dellincaricato devono essere presenti procedure
per assicurare la disponibilit dei dati in caso di necessit di
operativit e sicurezza del sistema. La custodia delle copie delle
credenziali organizzata garantendo la segretezza e individuando i
soggetti incaricati della custodia. Sistema di autorizzazione All.b
12 Insieme delle informazioni univocamente associate ad una persona
che individua i dati a cui essa pu accedere e i trattamenti ad essa
consentiti. Quando per gli incaricati sono individuati profili di
autorizzazione di ambito differente presente un sistema di
autorizzazione. linsieme delle procedure e degli strumenti che
abilitano laccesso ai dati in relazione al profilo dellincaricato.
Almeno annualmente verificata la necessit di conservazione dei
profili Aggiornamento periodico dellambito del trattamento
consentito agli incaricati Protezione degli strumenti e dei dati
rispetto a trattamenti illeciti, accessi non consentiti e a
determinati programmi informatici Aggiornamento semestrale dei
software di protezione e degli strumenti elettronici Custodia copie
di sicurezza e ripristino disponibilit Salvataggio almeno
settimanale di dati e conservazione copia in luogo differente Dps
(abrogato d.l. 5/2012)
Slide 53
D. Lgs 196/2003 - overview Pagina 53 La Corte di Cassazione ha
affermato la legittimit del licenziamento del dipendente che aveva
ceduto a soggetto estraneo la propria password consentendo accesso
alla rete aziendale Paziente ricoverato ha denunciato con successo
struttura sanitaria che aveva lasciato il termosifone presso la
sala infermieri la cartella clinica che conteneva informazioni
molto delicate su proprio stato di salute. Corte di appello aveva
respinto perch sala chiusa al pubblico. Cassazione ha ribadito
accesso non selettivo. Una coppia ha avuto risarcimento del danno
(25.000 euro) perch recatasi in banca per un mutuo aveva notato che
i fascicoli dei clienti erano stati lasciati sul davanzale di una
finestra accessibile al pubblico Condomino ha citato
lamministratore perch in bacheca accessibile anche ad esterni erano
stati esposti dati sulla propria situazione debitoria Sms
promozionali sul cellulare senza consenso: condannato loperatore a
1.000 euro per ciascuno dei 9 sms (danno non patrimoniale, art.11).
Adempimenti strutturali Obblighi di sicurezza
Slide 54
D. Lgs 196/2003 - overview Pagina 54 Documento programmatico
sulla sicurezza La redazione del DPS era una misura minima prevista
dallAllegato B. Era un documento che viene redatto dal titolare
solo nel caso di trattamenti di dati sensibili e giudiziari
effettuato con strumenti elettronici, entro il 31 marzo di ogni
anno e contiene informazioni riguardo:
Slide 55
D. Lgs 196/2003 - overview Pagina 55 Adempimenti strutturali
Obblighi di sicurezza Dati sensibili? Protezione da accesso abusivo
con idonei strumenti elettronici (20) Istruzioni organizzative e
tecniche per la custodia e luso di supporti rimovibili Ripristino
dellaccesso ai dati in caso di danneggiamento in tempi compatibili
con i diritti degli interessati e non superiore a 7 giorni
Organismi sanitari devono trattare i dati sensibili in modo
disgiunto dagli altri personali. Accesso limitato agli stessi
operatori per quanto necessario Gli interessati non devono essere
identificabili da parte degli operatori che svolgono un trattamento
sui dati tale che non necessario conoscere lidentit del soggetto,
che conoscibile solo dal ristretto novero di soggetti per cui
necessario e a cui si dato un profilo di autorizzazione in tal
senso. Tracciabilit degli accessi e dei logs Art 22 c 6 e 7 Art 34
c1 lett. H Allegato B Autorizzazione generale del Garante n.2
Slide 56
D. Lgs 196/2003 - overview Pagina 56 Adempimenti strutturali
Obblighi di sicurezza Art. 35 strumenti non elettronici
Aggiornamento periodico dellambito consentito agli incaricati
Procedure di custodia di atti e documenti Procedura di accesso
autorizzato, selettivo e tracciabile agli archivi (soprattutto dati
sensibili) Carattere procedurale delle misure minime
Slide 57
D. Lgs 196/2003 - overview Pagina 57 Art. 35 strumenti non
elettronici Aggiornamento periodico dellambito consentito agli
incaricati Procedure di custodia di atti e documenti Procedura di
accesso autorizzato, selettivo e tracciabile agli archivi
(soprattutto dati sensibili) Carattere procedurale delle misure
minime Adempimenti strutturali Obblighi di sicurezza
Slide 58
D. Lgs 196/2003 - overview Pagina 58 Per far valere i suoi
diritti linteressato pu rivolgersi al Garante: con un reclamo per
rappresentare una violazione della disciplina in materia di
trattamento dei dati; mediante segnalazione per sollecitare un
controllo da parte del Garante; mediante ricorso. Il reclamo:
contiene indicazioni dettagliate dei fatti su cui si fonda e le
generalit identificative del titolare, del responsabile e
dellistante; sottoscritto dallinteressato; presentato al Garante
senza formalit e reca in allegato la documentazione utile per la
sua valutazione; il garante pu predisporre un modello per il
reclamo da pubblicare nel Bollettino. Reclamo dellinteressato
Slide 59
D. Lgs 196/2003 - overview Pagina 59 Responsabilita e Sanzioni
IL GARANTE Il Garante unautorit indipendente prevista nella
direttiva 95/46/CE. E un organo collegiale costituito da 4 membri
(due eletti dalla Camera e due dal Senato), che eleggono nel loro
ambito il Presidente. Durano in carica 7 anni e non sono
rinnovabili. Ha un potere generale di controllo e si pu avvalere
della collaborazione di altri organi dello Stato (GdF) Esamina i
reclami e le segnalazioni e decide sui ricorsi, pu prescrivere
anche dufficio misure necessarie o opportune per rendere il
trattamento conforme e lo pu vietare in tutto o in parte se
illecito o non corretto, esprime pareri. E lorgano competente ad
irrogare le sanzioni amministrative
Slide 60
D. Lgs 196/2003 - overview Pagina 60 Responsabilita e Sanzioni
ILLECITI AMMINISTRATIVI REATI PENALI RESPONSABILITA CIVILE
Slide 61
D. Lgs 196/2003 - overview Pagina 61 Responsabilita e Sanzioni
Gli illeciti amministrativi Omessa o inidonea informativa
(art.161)sanzione: da 6.000 a 36.000 euro Es: informativa mancante;
informativa presente ma poi dati riutilizzati per finalit non
prevista; informativa mancante degli elementi essenziali come il
titolare o i soggetti cui possono essere comunicati i dati;
informativa poco comprensibile Cessione dei dati in violazione
art.16 c1 lett.b o di altre disposizioni (art.162)sanzione: da
10.000 a 60.000 euro Ai sensi art.16 la cessione lecita se i dati
sono destinati ad un trattamento che abbia finalit compatibili agli
scopi per cui sono stati raccolti. Violazione dellart.84 (art.162c2
)sanzione: da 1.000 a 6.000 euro Caso in cui non sia un medico a
comunicare allinteressato informazioni sanitarie Trattamento
effettuato senza ladozione delle misure minime di sicurezza
dellart.33 (art 162 c2 bis)sanzione: da 10.000 a 120.000 euro
Sanzione pu integrare reato penale di cui allart. 169, ma pare
riferirsi alla violazione di misure adottate o alla loro adozione
non conforme
Slide 62
D. Lgs 196/2003 - overview Pagina 62 Responsabilita e Sanzioni
Gli illeciti amministrativi Violazione art.167sanzione: da 10.000 a
120.000 euro Sanzione pu integrare reato penale di cui allart. 167.
Trattamento illecito dei dati: Art.167 Salvo che il fatto
costituisca pi grave reato, chiunque, al fine di trarne per s o per
altri profitto o di recare ad altri un danno, procede al
trattamento di dati personali in violazione di quanto disposto
dagli articoli 18, Principi applicabili a tutti i trattamenti
effettuati da soggetti pubblici (Qualunque trattamento di dati
personali da parte di soggetti pubblici consentito soltanto per lo
svolgimento delle funzioni istituzionali.) 19, Principi applicabili
al trattamento di dati diversi da quelli sensibili e giudiziari
soggetti pubblici 23. Consenso (Il trattamento di dati personali da
parte di privati o di enti pubblici economici ammesso solo con il
consenso espresso dell'interessato) 123 Dati relativi al traffico
(fornitori servizi) 126 Dati relativi allubicazione (fornitori di
servizi) 130. Comunicazioni indesiderate (l'uso di sistemi
automatizzati di chiamata o di comunicazione di chiamata senza
l'intervento di un operatore per l'invio di materiale pubblicitario
o di vendita diretta o per il compimento di ricerche di mercato o
di comunicazione commerciale consentito con il consenso del
contraente o utente) 129. Elenchi di contraenti .. segue
Slide 63
D. Lgs 196/2003 - overview Pagina 63 Responsabilita e Sanzioni
Gli illeciti amministrativi Violazione art.167sanzione: da 10.000 a
120.000 euro Sanzione pu integrare reato penale di cui allart. 167.
Trattamento illecito dei dati: Art.167 Salvo che il fatto
costituisca pi grave reato, chiunque, al fine di trarne per s o per
altri profitto o di recare ad altri un danno, procede al
trattamento di dati personali in violazione di quanto disposto
dagli articoli 17. Trattamento che presenta rischi specifici. Il
trattamento dei dati diversi da quelli sensibili e giudiziari che
presenta rischi specifici per i diritti e le libert fondamentali,
nonch per la dignit dell'interessato, ammesso nel rispetto di
misure ed accorgimenti a garanzia dell'interessato, ove prescritti.
2. Le misure e gli accorgimenti di cui al comma 1 sono prescritti
dal Garante nell'ambito di una verifica preliminare all'inizio del
trattamento, effettuata anche a seguito di un interpello del
titolare. 20. Principi applicabili al trattamento di dati sensibili
l trattamento dei dati sensibili da parte di soggetti pubblici
consentito solo se autorizzato da espressa disposizione di legge
21, Principi applicabili al trattamento di dati giudiziari
(soggetti pubblici) 22, soggetti pubblici, commi 8 (i dati idonei a
rivelare lo stato di salute non possono essere diffusi) e 11 25.
Divieti di comunicazione e diffusione 1. La comunicazione e la
diffusione sono vietate, oltre che in caso di divieto disposto dal
Garante o dall'autorit giudiziaria: a) in riferimento a dati
personali dei quali stata ordinata la cancellazione, ovvero quando
decorso il periodo di tempo indicato nell'articolo 11, comma 1,
lettera e); b) per finalit diverse da quelle indicate nella
notificazione del trattamento, ove prescritta. 2. fatta salva la
comunicazione o diffusione di dati richieste, in conformit alla
legge, da forze di polizia, dall'autorit giudiziaria, da organismi
di informazione e sicurezza o da altri soggetti pubblici ai sensi
dell'articolo 58, comma 2, per finalit di difesa o di sicurezza
dello Stato o di prevenzione, accertamento o repressione di reati.
26, Garanzie dati sensibili (consenso + autorizzazione, no
diffusione dati sensibili) 27 Garanzie dati giudiziari. Il
trattamento di dati giudiziari da parte di privati o di enti
pubblici economici consentito soltanto se autorizzato da espressa
disposizione di legge o provvedimento del Garante che specifichino
le rilevanti finalit di interesse pubblico del trattamento, i tipi
di dati trattati e di operazioni eseguibili. 45. Trasferimenti
vietati 1. Fuori dei casi di cui agli articoli 43 e 44, il
trasferimento anche temporaneo fuori del territorio dello Stato,
con qualsiasi forma o mezzo, di dati personali oggetto di
trattamento, diretto verso un Paese non appartenente all'Unione
europea, vietato quando l'ordinamento del Paese di destinazione o
di transito dei dati non assicura un livello di tutela delle
persone adeguato. Sono valutate anche le modalit del trasferimento
e dei trattamenti previsti, le relative finalit, la natura dei dati
e le misure di sicurezza. .
Slide 64
D. Lgs 196/2003 - overview Pagina 64 Responsabilita e Sanzioni
Gli illeciti amministrativi Violazione art. 154 c1 lett c e d
(art.162 ter)sanzione: da 30.000 a 180.000 euro Inosservanza
prescrizione sulle misure necessarie o opportune al fine di rendere
il trattamento conforme alle disposizioni vigenti, ai sensi
dell'articolo 143 (reclami); Inosservazione prescrizione divieto di
utilizzo o blocco Integra reato penale (art.170) Omessa
informazione al Garante o mancata esibizione documenti
richiesti(art.164)sanzione: da 10.000 a 60.000 euro .. Se la
violazione degli art da 161 a 164 di minore gravit limiti sanzione
diminuiti in misura pari a 2/5 Se pi violazioni della stessa norma
o di pi norme sanzione da 50.000 a 300.000 euro Le sanzioni possono
essere aumentate fino al quadruplo se inefficaci in ragione delle
condizioni economiche del contravventore Se violazione coinvolge
numerosi interessati o grave pregiudizio le sanzioni sono pari al
doppio
Slide 65
D. Lgs 196/2003 - overview Pagina 65 Responsabilita e Sanzioni
I reati penali Trattamento illecito dei dati (art.167) Dolo
specifico di trarre profitto, deve essere cagionato nocumento,
violazione articoli richiamati La giurisprudenza esclude le
semplici violazioni formali che producono un vulnus minimo alla
privacy del soggetto e non determinano un danno patrimoniale e non
apprezzabile. Un associato ha preso i dati degli altri associati
dal database dellassociazione per invio materiale pubblicitario
senza consenso. La Cassazione ha ritenuto che non si realizzi il
nocumento richiesto. Il direttore di banca ha rilevato
allacquirente di un immobile dati su situazione debitoria dei
venditori..... Un soggetto ha diffuso via chat il numero di
cellullare di un altro soggetto senza consenso. La condotta stata
posta in essere volontariamente per arrecare un danno e il danno
stato prodotto Un soggetto ha pubblicato senza consenso su internet
le immagini intime di una donna su sito pornografico, creando danno
allimmagine e alla tranquillit della donna Spamming per scopi
commerciali.. Pena: reclusione da 6 a 18 mesi se mero trattamento
illecito. Se comunicazione o diffusione da 6 a 24 mesi. D 1 a 3
anni per casi pi gravi (dati sensibili, dati giudiziari,
trasferimento vietato allestero,..) Falsit nelle dichiarazioni o
notificazioni al Garante (art.168) Chiunque attesta notizie false o
produce documenti falsi in un procedimento o nel corso di
accertamenti Pena: da 6 mesi a 3 anni Omessa adozione delle misure
di sicurezza (art.169) Autori del reato possono essere il titolare
(dovere di vigilanza e controllo), il responsabile e lincaricato
(es:custodia password) Ravvedimento operoso: Garante da termine per
regolarizzare non superiore a 6 mesi. Se ok, si paga un quarto del
massimo della sanzione amministrativa. Adempimento e pagamento
estinguono il reato. Pena: arresto sino a 2 anni
Slide 66
D. Lgs 196/2003 - overview Pagina 66 Responsabilita e Sanzioni
I reati penali Inosservanza dei provvedimenti del Garante (art.170)
(autorizzazione al trattamento dati sensibili, blocco al
trattamento) Violazioni dellart.4 e 8 dello Statuto dei Lavoratori
(art.171) Capo II - Annunci di lavoro e dati riguardanti prestatori
di lavoro Art. 113. Raccolta di dati e pertinenza 1. Resta fermo
quanto disposto dall'articolo 8 della legge 20 maggio 1970, n. 300.
Capo III - Divieto di controllo a distanza e telelavoro Art. 114.
Controllo a distanza 1. Resta fermo quanto disposto dall'articolo 4
della legge 20 maggio 1970, n. 300.
Slide 67
D. Lgs 196/2003 - overview Pagina 67 RESPONSABILITA E SANZIONI
Divieto di controllo a distanza dellattivit dei lavoratori (art.4
Statuto lavoratori) E vietato luso di impianti audiovisivi e di
altre apparecchiature per finalit di controllo a distanza
dellattivit dei lavoratori (comma 1). Gli impianti e le
apparecchiature di controllo che siano richieste da esigenze
organizzative e produttive ovvero dalla sicurezza del lavoro, ma
dai quali derivi anche la possibilit di controllo a distanza
dellattivit dei lavoratori, possono essere installati soltanto
previo accordo con le RSA, oppure con la Commissione Interna. In
difetto su istanza del datore di lavoro, provvede lIspettorato del
lavoro, dettando, ove occorra, le modalit per luso di tali impianti
(comma 2). Giurisprudenza: controllo a distanza in senso
spaziale/temporale, anche mera possibilit di controllo e ove
apparecchiature solo installate ma non ancora funzionanti, anche se
discontinuo e lavoratori preavvertiti (Cass.9211/1997)
Slide 68
D. Lgs 196/2003 - overview Pagina 68 RESPONSABILITA E SANZIONI
DIVETO DI INDAGINI SULLE OPINIONI (art. 8 st. lav. legge 20 maggio
1970, n.300) E fatto divieto al datore di lavoro, ai fini
dellassunzione, come nel corso dello svolgimento del rapporto di
lavoro, di effettuare indagini, anche a mezzo terzi, sulle opinioni
politiche, religiose, sindacali del lavoratore, nonch su fatti non
rilevanti ai fini della valutazione dellattitudine professionale
del lavoratore.
Slide 69
D. Lgs 196/2003 - overview Pagina 69 art. 615 ter C.P. accesso
abusivo al sistema informatico Si ha accesso abusivo quando un
soggetto si introduce abusivamente in un sistema informatico
protetto da misure di sicurezza o quando un soggetto si mantiene
allinterno del sistema contro la volont espressa o tacita di chi ha
il diritto di escluderlo. Reclusione fino a 3 anni Reato di mera
condotta Riguarda sia soggetti estranei allorganizzazione che
interni Ad un lavoratore stato contestato di aver compiuto un
illecito accesso ad una cartella contenente dati archiviati nel
computer di un collega. Corte Cassazione sezione lavoro il
licenziamento del lavoratore legittimo poich configura
responsabilit contrattuale ovvero violazione obbligo di fedelt
(art.2105cc) Corte Cassazione sezione penale non si configura
accesso abusivo quando si accede a sistema informatico non protetto
Responsabilita e Sanzioni
Slide 70
D. Lgs 196/2003 - overview Pagina 70 Responsabilita e Sanzioni
La responsabilit civile Art. 15. Danni cagionati per effetto del
trattamento 1. Chiunque cagiona danno ad altri per effetto del
trattamento di dati personali tenuto al risarcimento ai sensi
dell'articolo 2050 del codice civile. 2. Il danno non patrimoniale
risarcibile anche in caso di violazione dell'articolo 11. Art. 11.
Modalit del trattamento e requisiti dei dati 1. I dati personali
oggetto di trattamento sono: a) trattati in modo lecito e secondo
correttezza; b) raccolti e registrati per scopi determinati,
espliciti e legittimi, ed utilizzati in altre operazioni del
trattamento in termini compatibili con tali scopi; c) esatti e, se
necessario, aggiornati; d) pertinenti, completi e non eccedenti
rispetto alle finalit per le quali sono raccolti o successivamente
trattati; e) conservati in una forma che consenta l'identificazione
dell'interessato per un periodo di tempo non superiore a quello
necessario agli scopi per i quali essi sono stati raccolti o
successivamente trattati. 2. I dati personali trattati in
violazione della disciplina rilevante in materia di trattamento dei
dati personali non possono essere utilizzati Art. 2050
Responsabilit per l'esercizio di attivit pericolose Chiunque
cagiona danno ad altri nello svolgimento di un'attivit pericolosa,
per sua natura o per la natura dei mezzi adoperati, tenuto al
risarcimento, se non prova di avere adottato tutte le misure idonee
a evitare il danno. Linteressato dimostra levento, il danno e il
nesso di causa Al titolare richiesta prova di misure idonee non
minime
Slide 71
D. Lgs 196/2003 - overview Pagina 71 Allegato: TRATTAMENTI IN
AMBITO SANITARIO A questi dati dedicato il Titolo V del codice. La
disciplina si applica al trattamento dei dati inerenti la salute
trattati per finalit di cura, diagnosi e terapia. La disciplina si
basa su tre principi: consenso, informativa e sicurezza CONSENSO
(art.76): obbligatorio, ancorch in forma semplificata +
autorizzazione del garante ma a) senza autorizzazione, con il
consenso se trattamento indispensabile per finalit di tutela salute
o incolumit interessato (ipotesi di scuola, c autorizzazione
generale) b)senza consenso (ma con autorizzazione garante) e
addirittura col rifiuto se la finalit di tutela della salute e
incolumit riguarda un terzo o la collettivit Es: un soggetto si
oppone alla comunicazione al partner della notizia riguardante
malattia sessualmente trasmissibile. Tra il bene guridico della
tutela della salute e la riservatezza, il legislatore sceglie il
primo. Caso della prostituta di Ravenna, aveva infettato molti
clienti ignari. Il giudice aveva ordinato di rendere pubbliche foto
e generalit. Il Garante ha obiettato che la finalit avrebbe potuto
essere perseguita con modalit differenti e pi selettive. Ma legge
135/90 in materia di AIDS, per la comunicazione necessario consenso
interessato CONTRADDIZIONE LEGISLATIVA pu essere manifestato una
volta sola per il complesso dei trattamenti Anche oralmente, ma con
annotazione standard della struttura sanitaria di averlo ricevuto.
Onere della prova di non averlo dato st allinteressato LA DIRETTIVA
EUROPEA NON PREVEDEVA CONSENSO OBBLIGATORIO PER DIAGNOSTICA E
CURE
Slide 72
D. Lgs 196/2003 - overview Pagina 72 Allegato: TRATTAMENTI IN
AMBITO SANITARIO INFORMATIVA: semplificazioni, pu essere data per
il complesso dei trattamenti di prevenzione, diagnosi, cura,
riabilitazione pu riguardare anche dati raccolti presso terzi......
pu essere data anche tramite affissione di un cartello pu essere
integrata verbalmente se necessario Si annota lavvenuta informativa
IL GARANTE HA PRODOTTO UNO SCHEMA DI INFORMATIVA LA SEMPLIFICAZIONE
NON RIGUARDA I CONTENUTI DI CUI ALLART 13
Slide 73
D. Lgs 196/2003 - overview Pagina 73 Allegato: TRATTAMENTI IN
AMBITO SANITARIO SICUREZZA (art.83):(no medici generali, no studi
medici) distanze di cortesia evitare indebita conoscenza da parte
di terzi di informazioni su stato di salute durante colloqui
evitare situazioni promiscuit per le prestazioni sanitarie compresa
documentazione di anamnesi eliminazione chiamata nominativa.......
Acceso selettivo ai dati sensibili + separazione tra dati
amministrativi personali e dati sensibili COMUNICAZIONE ART.84 i
dati sanitari possono essere comunicati solo da medico designato da
interessato o titolare. Titolare pu autorizzare per iscritto
personale non medico a comunicare, che abbia nei propri compiti i
rapporti con i pazienti. La ratio non tutela privacy ma adeguata
rappresentazione al fine di evitare contraccolpi emotivi REFERTI ON
LINE: linee guida. Deve essere facoltativa e mantenuto accesso
tradizionale cartaceo. informativa + consenso possibilit di revoca
anche in relazione a singoli esami se comunicazione tramite posta
elettronica deve essere convalidato ogni volta lindirizzo SE DATI
VALUTATI CRITICI O ELEMENTI DI PREOCCUPAZIONE A GIUDIZIO MEDICO VA
PREFERITA COMUNICAZIOME PERSONALE E DIRETTA Vanno usati protocolli
di comunicazione sicuri (https), disponibilit max on line 45 gg,
sistemi di autenticazione dellinteressato, se posta elettronica, no
body part del messaggio ma file protetto con password
Slide 74
D. Lgs 196/2003 - overview Pagina 74 Allegato: TRATTAMENTI IN
AMBITO SANITARIO Conservazione dati: Principio finalit Art.11, non
oltre tempo necessario Circolare Ministero Sanit per cartelle
cliniche (40 anni e oltre archivio) Art.99 il trattamento dei dati
per scopi storici, statistici, scientifici considerato compatibile
con le finalit per cui sono stati raccolti, ma adeguate garanzie
Codice Deontologia scopi statistici e scientifici, allegato a4:
finalit deve essere indicata nellinformativa, fin dalla raccolta
del dato Se necessario, va preso consenso Se possibile dati
identificativi separati dagli altri Linteressato ha diritto a
cancellazione, rettifica, integrazione Criterio soggettivo per
applicazione Codice deontologia la finalit di ricerca deve
risultare nello statuto dellente. Il codice non si applica ai
trattamenti per scopi statistici e scientifici connessi con attivit
di tutela della salute svolte da esercenti professioni sanitarie od
organismi sanitari, ovvero con attivit comparabili in termini di
significativa ricaduta personalizzata sull'interessato, che restano
regolati dalle pertinenti disposizioni.
Slide 75
D. Lgs 196/2003 - overview Pagina 75 Allegato: LAVORO ESTRATTO
DAL PARERE 8/2001 DEL GRUPPO ART.29: Il controllo e la sorveglianza
dei lavoratori rispetto alluso della posta elettronica, allaccesso
a Internet, alle riprese televisive o ai dati sulla localizzazione
sono soggetti alle norme che tutelano i dati Ogni controllo deve
essere una risposta proporzionata del datore di lavoro ai rischi
che corre nel tener conto della riservatezza e di altri interessi
legittimi dei lavoratori. Tutti i dati personali detenuti o
utilizzati durante i controlli devono essere adeguati, pertinenti e
non eccedenti rispetto alle finalit che giustificano il controllo.
I controlli devono essere eseguiti nel modo meno intrusivo
possibile
Slide 76
D. Lgs 196/2003 - overview Pagina 76 Allegato: LAVORO Principi
base per il controllo degli strumenti elettronici sul luogo di
lavoro Principio di necessit (art. 11.1.b): i trattamenti devono
essere effettuati per finalit determinate, esplicite e legittime
Principio di pertinenza e non eccedenza (art.11.1.d): I dati
trattati devono essere pertinenti e non eccedenti rispetto alle
finalit per le quali sono stati raccolti Principio di necessit
(art.3 del Codice): configurazione dei sistemi informativi e
programmi informatici in modo da non utilizzare dati relativi a
persone identificabili, quando le finalit del trattamento possono
essere realizzate impiegando solo dati anonimi Principio di
correttezza (art.11.1.a): Trasparenza dei potenziali trattamenti
(automatici, invisibili o occulti), le cui caratteristiche
essenziali devono essere rese note ai lavoratori