D. Lgs 196/2003 - overview Pagina 1 CONI Servizi S.p.A. D. Lgs 196/2003 - Codice in materia di protezione dei dati personali

D. Lgs 196/2003 - overview Pagina 2 Indice Concetti generali Principi generali per il trattamento dei dati Adempimenti per la legittimit del trattamento Adempimenti formali Adempimenti strutturali Responsabilita e sanzioni allegati

D. Lgs 196/2003 - overview Pagina 3 Concetti generali A decorrere dal 1 gennaio 2004 entrato in vigore il decreto legislativo 30 giugno 2003, n. 196, definito "Codice in materia di protezione dei dati personali ". Il nuovo Testo unico ha inteso accorpare ed armonizzare tutte le disposizioni che, a partire dalla "normativa madre", data dalla legge 31 dicembre 1996, n. 675, avevano dapprima introdotto, poi modificato e integrato, il principio del diritto alla tutela dei dati personali. Il codice racchiude in s, infatti, ci che in precedenza era contenuto in circa una decina tra leggi e decreti e un numero considerevole di direttive comunitarie.

D. Lgs 196/2003 - overview Pagina 4 4 Il codice diviso in tre parti La prima parte dedicata alle disposizioni generali, ordinate in modo da trattare tutti gli adempimenti e le regole del trattamento con riferimento ai settori pubblico e privato La seconda parte dedicata a settori specifici. Essa, oltre a disciplinare aspetti specifici, introduce la disciplina per il settore sanitario e quella dei controlli sui lavoratori La terza parte affronta la materia della tutela amministrativa e giurisdizionale con il consolidamento delle sanzioni amministrative e penali e con le disposizioni sullufficio del garante Concetti generali

D. Lgs 196/2003 - overview Pagina 5 5 Il codice disciplina il trattamento dei dati personali effettuato da chiunque stabilito nel territorio dello Stato. Il trattamento di dati personali effettuato da persone fisiche per fini esclusivamente personali soggetto allapplicazione del codice solo se i dati sono destinati a comunicazione sistematica o a diffusione. Si applicano in ogni caso le disposizioni in tema di responsabilit e sicurezza dei dati di cui agli art. 15 e 31 Concetti generali

D. Lgs 196/2003 - overview Pagina 6 6 dato personale qualunque informazione relativa a persona fisica, (prima del d.l.201/2011 art 40 c.2 : persona giuridica, ente od associazione), identificata o identificabile, anche in modo indiretto, mediante riferimento a qualsiasi altra informazione, compreso il numero di identificazione personale (Art. 2 Direttiva 95/46/CE qualsiasi informazione concernente una persona fisica identificata o identificabile; si considera identificabile la persona che pu essere identificata, direttamente o indirettamente, in particolare mediante riferimento ad un numero di identificazione o ad uno o pi elementi specifici caratteristici della sua identit fisica, fisiologica, psichica, economica, culturale o sociale) Concetti generali

D. Lgs 196/2003 - overview Pagina 7 7 dato personale (Art. 2 Direttiva 95/46/CE qualsiasi informazione concernente una persona fisica identificata o identificabile; si considera identificabile la persona che pu essere identificata, direttamente o indirettamente, in particolare mediante riferimento ad un numero di identificazione o ad uno o pi elementi specifici caratteristici della sua identit fisica, fisiologica, psichica, economica, culturale o sociale) Informazioni di natura oggettiva o soggettiva (valutazioni), Non necessariamente un dato testuale (pu trattarsi di un immagine, di registrazione della voce). Nei servizi di phone banking la voce del cliente che impartisce istruzioni alla banca un dato personale. I disegni di un bambino riferiti ai genitori possono essere dati personali. Concetti generali

D. Lgs 196/2003 - overview Pagina 8 8 dato personale (Art. 2 Direttiva 95/46/CE qualsiasi informazione concernente una persona fisica identificata o identificabile; si considera identificabile la persona che pu essere identificata, direttamente o indirettamente, in particolare mediante riferimento ad un numero di identificazione o ad uno o pi elementi specifici caratteristici della sua identit fisica, fisiologica, psichica, economica, culturale o sociale) a. Per contenuto: il dato riguarda direttamente una persona (dati contenuti in un referto medico). b. Per finalit: il dato usato per valutare o condizionare i comportamenti (registro con chiamate effettuate e ricevute). c. Per risultato: luso del dato impatta sui diritti della persona (rilevazione delle posizione di una persona). Concetti generali

D. Lgs 196/2003 - overview Pagina 9 9 dato personale (Art. 2 Direttiva 95/46/CE qualsiasi informazione concernente una persona fisica identificata o identificabile; si considera identificabile la persona che pu essere identificata, direttamente o indirettamente, in particolare mediante riferimento ad un numero di identificazione o ad uno o pi elementi specifici caratteristici della sua identit fisica, fisiologica, psichica, economica, culturale o sociale) Il parere 4/2007 del Gruppo art.29 evidenzia che la direttiva si riferisce alle persone fisiche ma che gli stati membri possono estendere la protezione alle persone giuridiche come accaduto in Italia fino al d.l.201/2011 Il dato personale non fa riferimento alla riservatezza (diritto di escludere altri dalla conoscenza di vicende personali e familiari). I diritti sono distinti. Il dato personale non necessariamente riservato (numero di telefono, indirizzo di posta elettronica) Qualsiasi informazione, riferibile anche indirettamente a qualsiasi soggetto? Oggetto della legge non la riservatezza ma il trattamento delle informazioni Concetti generali

D. Lgs 196/2003 - overview Pagina 10 10 dato identificativo e dato anonimo Dato identificativo: informazione che permette una identificazione diretta del soggetto a cui i dati si riferiscono (nome e cognome, ma non il codice fiscale). Dato anonimo:dato che in origine o a seguito di trattamento non pu essere riferito ad un soggetto identificato o identificabile. Un dato anonimo se riguarda una persona fisica che non pu essere identificata dal responsabile del trattamento o da altri prendendo in considerazione i mezzi e gli strumenti che possono essere ragionevolmente usati (parere 4/2007) Tale dato fuori dallambito di protezione, tuttavia il parere 2/2010 del Gruppo di lavoro art.29 sulla pubblicit comportamentale on line ovvero sul monitoraggio del comportamento degli utenti al fine di realizzare un profilo che prescinde dallidentificazione dellutente (tracciamento della navigazione web). Il Gruppo esprime necessit di tutelare anche il dato anonimo di tracciamento attraverso informativa e consenso. Si tutela il trattamento delle informazioni non solo dei dati personali. Concetti generali

D. Lgs 196/2003 - overview Pagina 11 11 dati sensibili sono i dati personali idonei a rilevare: lorigine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, ladesione a partiti, sindacati, lappartenenza a associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, lo stato di salute e la vita sessuale Lelencazione tassativa, ma elastica (dati idonei a). Collegamento potenziale non diretto e attuale: dati che possono consentire di rivelare, ma che non necessariamente individuano(es scelte alimentari in mensa per allergie o religione) Concetti generali

D. Lgs 196/2003 - overview Pagina 12 12 dati sensibili I dati atti a rilevare la personalit etico sociale e le caratteristiche psico-sanitarie sono oggetto di regole particolare nel Codice. Il concetto la riferibilit, non la diretta connessione: dati idonei a rilevare Per esempio, Per i privati: la forma scritta per il consenso richiesto non solo per la sua prova ma anche per la sua validit e ci si deve attenere alle autorizzazioni generali del Garante (art.26 c1) Per i soggetti pubblici: non si richiede il consenso, ma il trattamento deve essere previsto e autorizzato dalla legge (art.20 c1) Le sanzioni sono pi dure: trattamento di dati illeciti se dati sensibili reclusione da 1 a 3 anni, dati personali da 6 mesi a 2 anni (art167) Concetti generali

D. Lgs 196/2003 - overview Pagina 13 13 dati sensibilissimi I dati atti a rilevare lo stato di salute e la vita sessuale (parte II, titolo V) Dati sanitari:quelli che rivelano la malattia o quelli che non rivelano la malattia ma che rivelano che esiste un problema di salute? MATERIA RICCA DI ATTI DEL GARANTE Linee guida in materia di trattamento di dati personali dei lavoratori per finalit di gestione del rapporto di lavoro Autorizzazione 1/2011 al trattamento dei dati sensibili nei rapporti di lavoro Autorizzazione al trattamento di dati sanitari Es. provv 18/06/09. ricorso del dipendente che lamentava che la busta paga recava in forma esplicita la dicitura appartenente a categorie svantaggiate. Accolto. provv 25/06/09 sul sito web della Prov. di Foggia due determinazioni delle Risorse Umane su richiesta di riconoscimento di infermit da causa di servizio di dipendente. Diffusione di dati sensibili vietata (art 26c.5). Prescrizione 29/04/09. lo scontrino di acquisto di medicinali emesso a fini fiscali deve riportare in luogo della denominazione del farmaco il numero di autorizzazione di messa in commercio Concetti generali

D. Lgs 196/2003 - overview Pagina 14 14 dati giudiziari I provvedimenti giudiziari penali di condanna, i provvedimenti giudiziari concernenti le pene e la riabilitazione, la qualit di imputato e la qualit di indagato. Equiparati ai dati sensibili. Il trattamento consentito solo se autorizzato da legge o provvedimento del garante che specifici le finalit di rilevante interesse pubblico, i tipi di dati trattati e le operazioni eseguibili Concetti generali

D. Lgs 196/2003 - overview Pagina 15 Concetti generali Certificati medici con diagnosi Regime alimentare mensa

D. Lgs 196/2003 - overview Pagina 16 16 trattamento qualunque operazione o insieme di operazioni, compiute anche senza il supporto di strumenti elettronici, concernenti la raccolta, la registrazione, lorganizzazione, la conservazione, la consultazione, lelaborazione, la modificazione, la selezione, lestrazione, il raffronto, lutilizzo, linterconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non sono registrati in una banca dati Concetti generali Registrazione fatture; Catalogazione dati (anagrafici, fiscali, ecc.); Consultazione e archiviazione fascicoli cartacei; Elaborazione buste paga; Aggiornamento denunce infortuni; Comunicazione dati allINPS, allINAIL, a banche, ecc.; Esame e conservazione certificati medici (idoneit al lavoro, malattia); Raccolta dati ai fini della partecipazione a concorsi a premi; Raccolta dati inerenti informazioni commerciali.

D. Lgs 196/2003 - overview Pagina 17 Per trattamento si intende una delle seguenti operazioni, automatizzate o manuali: Concetti generali

D. Lgs 196/2003 - overview Pagina 18 I trattamenti di comunicazione e diffusione A differenza degli altri trattamenti, hanno ricevuto apposite disposizioni normative, per i maggiori rischi in cui incorrere linteressato. Art 19 un soggetto pubblico pu comunicare dati ad altro soggetto pubblico solo se previsto da norma di legge o regolamento o se comunicato al Garante il trattamento (45 gg per la risposta) in caso di finalit istituzionali. un soggetto pubblico pu comunicare dati a soggetto privato o fare diffusione solo se previsto da norma di legge o regolamento La comunicazione da parte di un titolare privato deve avvenire sempre attraverso la raccolta del consenso informato dellinteressato a meno delle circostanze art.24 (obblighi derivanti da un contratto, obbligo di legge, ) Art 26 I dati idonei a rilevare lo stato di salute non possono essere diffusi Art.84 I dati idonei a rivelare lo stato di salute possono essere resi noti allinteressato solo dal medico designato Linee guida in materia di pubblicazione sul web di atti e documenti amministrativi es Luniversit pu comunicare i nominativi dei neolaureati alle imprese solo se previsto da regolamento Concetti generali

D. Lgs 196/2003 - overview Pagina 19 La conservazione Art.11 i dati sono conservati in modo da consentire lidentificazione dellinteressato per un periodo di tempo non superiore al periodo necessario agli scopi per cui i dati sono raccolti. Successivamente possono essere conservati con le adeguate garanzie per scopi storici, statistici o scientifici. Es: codice di deontologia per trattamenti per scopi statistici o scientifici allegato a4, i dati identificativi se possibile devono essere conservati separatamente dagli altri. A volte normativa detta limiti specifici: Provvedimento sulla videosorveglianza, da poche ore a max una settimana, se attivit rischiosa. Circolare n.61 Ministero Sanit 1986, le cartelle cliniche vanno conservate nella struttura sanitaria per 40 anni, poi ancora conservate in archivio .. Concetti generali

D. Lgs 196/2003 - overview Pagina 20 Banca Dati Qualsiasi insieme organizzato e finalizzato di dati personali, ripartito in una o pi unit fisiche o logiche, in uno o pi siti logistici, finalizzato ad uno o pi trattamenti. Ad es: archivio cartaceo risorse umane, database delle anagrafiche dei dipendenti, registro visitatori, archivio fatture ufficio amministrazione, ecc. Archivio cartaceoArchivio elettronico Concetti generali

D. Lgs 196/2003 - overview Pagina 21 21 titolare la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni relative alle finalit, alle modalit del trattamento dei dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza Concetti generali Lart. 28 specifica che per titolare deve intendersi lentit nel suo complesso o lunit od organismo periferico che esercita un potere decisionale del tutto autonomo sulle finalit e modalit del trattamento. CONI Servizi S.p.A. Titolare del trattamento dei dati dei propri dipendenti, fornitori, clienti, ecc.

D. Lgs 196/2003 - overview Pagina 22 22 responsabile la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali Concetti generali La nomina del responsabile non obbligatoria, ma se effettuata, essa deve concernere soggetti che forniscano idonea garanzia del rispetto delle disposizioni in materia di trattamento dei dati personali. Il responsabile opera attenendosi alle istruzioni impartite dal titolare il quale, anche mediante verifiche, vigila sulla puntuale osservanza delle disposizioni; E individuato tra i soggetti che per esperienza, capacit e affidabilit garantiscono la capacit di sovrintendere alle operazioni di trattamento dei dati. Tale figura non prevista dalla direttiva europea 95/46/CE

D. Lgs 196/2003 - overview Pagina 23 23 incaricati sono le persone fisiche autorizzate ad effettuare operazioni di trattamento dal titolare dei dati o dal responsabile Concetti generali

D. Lgs 196/2003 - overview Pagina 24 Incaricato La persona fisica autorizzata a compiere operazioni di trattamento dal titolare o dal responsabile. Lincaricato, designato per iscritto, deve attenersi alle istruzioni ricevute dal titolare o dal responsabile, i quali hanno un obbligo di vigilanza sul loro operato; Lambito di operativit dellIncaricato predeterminato per iscritto, risulta dalla nomina, ovvero dallassegnazione dellIncaricato alla funzione; LIncaricato opera sotto la diretta autorit del Titolare (CONI Servizi S.p.A.) o del Responsabile. Tutti i dipendenti di CONI Servizi S.p.A. che trattano dati personali di terzi (con strumenti elettronici o cartacei), sono incaricati; Gli incaricati sono i soggetti che, nella pratica: Raccolgo no i dati Elaborano i dati con procedure informatiche o manuali Li archiviano Li diffondono Li comunicano Concetti generali

D. Lgs 196/2003 - overview Pagina 25 25 interessato la persona fisica (prima del d.l.201/2011 art 40 c.2: la persona giuridica, lente o lassociazione) cui si riferiscono i dati personali Concetti generali

D. Lgs 196/2003 - overview Pagina 26 26 comunicazione portare a conoscenza dei dati personali,in qualsiasi forma, anche attraverso la loro messa a disposizione o consultazione, uno o pi soggetti determinati anche nella specie diversi da: linteressato, il titolare, il responsabile, gli incaricati. Concetti generali Esempi: Costituisce comunicazione linvio di dati personali allI.N.P.S. per gli adempimenti previdenziali; Costituisce comunicazione linvio alla banca delle coordinate bancarie del dipendente per laccredito dello stipendio. non costituisce comunicazione la trasmissione di dati personali ai colleghi del proprio o di altri settori per operazioni attinenti a finalit strettamente lavorative.

D. Lgs 196/2003 - overview Pagina 27 27 diffusione consiste nel portare a conoscenza dei dati personali soggetti indeterminati nel numero e nella specie, in qualunque forma, anche attraverso la loro messa a disposizione o consultazione Concetti generali

D. Lgs 196/2003 - overview Pagina 28 28 Tali principi sono descritti dallart 11 del codice: Liceit Correttezza Necessit Esattezza Pertinenza e non eccedenza Aggiornamento e completezza In caso di violazione dei principi il trattamento si qualifica illecito e: I dati non possono essere utilizzati (art.11 c2) Il danno non patrimoniale risarcibile anche in caso di violazione dellart 11 (art.15 c2) Giurisprudenza non univoca: a volte danno in re ipsa ovvero danno nel momento in cui si realizza la violazione del principio a prescindere dalla prova del danno. Ci soprattutto nei casi di danni da informazioni inesatte come quelle che generano segnalazioni alla centrale rischi della banca dItalia. O Se si lede un diritto (es dignit) dellinteressato a prescindere dalla concreta conoscenza di terzi. Diffusione incontrollata di cartelle cliniche o loro mancata custodia Principi per il trattamento dei dati

D. Lgs 196/2003 - overview Pagina 29 29 Liceit Il trattamento lecito quando conforme alla legge ovvero al codice Correttezza Richiamo al principio di buona fede. Si preclude la possibilit di acquisire e gestire dati mediante violenza o frode e richiedendo un dovere di trasparenza Finalit Assicurare la rispondenza del trattamento dei dati a finalit individuate specifiche legittime e rese note allinteressato La finalit deve essere resa nota nellinformativa Per i soggetti pubblici, diversamente dai privati, presupposto di legittimit non il consenso bensi la finalit istituzionale del trattamento. Il trattamento per scopi storici, statistici o scientifici considerato compatibile con le finalit per cui tali dati erano stati precedentemente raccolti e pu essere effettuato anche oltre il periodo di tempo necessario alle finalit originarie (ci sono codici deontologici al riguardo, allegato A2, A3, A4 al Codice) Lo stesso dato pu essere usato per finalit differenti. Se raccolgo indirizzi di posta elettronica immessi on line da utenti per finalit relative ad hobby, discussioni su temi specifici e li uso per mandare comunicazioni politiche sto violando il principio di finalit. Se un utente pubblica un indirizzo non significa che sia utilizzabile per scopi diversi da quelli per cui stato pubblicato Principi per il trattamento dei dati

D. Lgs 196/2003 - overview Pagina 30 30 Necessit Il trattamento informatizzato ovvero i programmi informatici devono essere configurati in modo tale da preferire dati anonimi e ridurre al minimo lutilizzo di dati personali e dati identificativi. Identificazione solo se necessaria. Raggiunti gli scopi del trattamento i dati devono essere cancellati o resi anonimi I dati devono essere raccolti solo se necessari per le finalit del trattamento e conservati per il periodo di tempo indispensabile Esattezza Il titolare deve verificare che i dati trattati siano esatti, corretti e completi (qualit dellinformazione). Il trattamento di dati inesatti pu comportare una rappresentazione falsa e pregiudizievole dellinteressato. Linteressato ha il diritto di richiedere aggiornamento, rettifica e integrazione (art.7) Principi per il trattamento dei dati

D. Lgs 196/2003 - overview Pagina 31 31 Pertinenza e non eccedenza I dati raccolti e trattati devono essere sufficienti per le finalit dichiarate e non eccedenti. Es. esposizione in bacheca condominiale accessibile anche ad esterni al condominio della situazione debitoria dei condomini (diffusione) Es. Test attitudinali nominativi per i dipendenti di un comune ove veniva richiesto giudizio su azione politica dellente e sulloperato dei dirigenti.(pi art.8 statuto lavoratori divieto al datore di lavoro di svolgere indagini sulle opinioni politico sindacali del lavoratore) Es. i contrassegni comunali per la sosta rilasciate a persone invalide devono contenere i dati indispensabili ad individuare lautorizzazione rilasciata e non altre informazioni Es. diffusione delle delibere su internet. Operare selezione informazioni (2011Linee guida per il trattamento dei dati personali contenuti in atti e documenti amministrativi pubblicati sul web) art 22 (stato di salute mai diffuso) ES. Conservazione dei dati. Solo per il periodo di tempo necessario alla finalit. Ma, Codice di deontologia per scopi scientifici, statistici(allegato A4) Ma, normative specifiche (circolare Ministero sanit 19 dicembre 1986: cartelle cliniche conservate a tempo indeterminato, dati traffico abbonati e utenti max 6 mesi da fornitore rete pubblica di comunicazioni) Principi per il trattamento dei dati

D. Lgs 196/2003 - overview Pagina 32 Art.11 I dati personali oggetto di trattamento devono essere: trattati in modo lecito e secondo correttezza; raccolti e registrati per scopi determinati, espliciti e legittimi, ed utilizzati in altre operazioni del trattamento in termini non incompatibili con tali scopi; esatti e, se necessario, aggiornati; pertinenti, completi e non eccedenti rispetto alle finalit per le quali sono stati raccolti o successivamente trattati; conservati in una forma che consenta lidentificazione dellinteressato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati. Principi per il trattamento dei dati

D. Lgs 196/2003 - overview Pagina 33 Adempimenti per la legittimit del trattamento

D. Lgs 196/2003 - overview Pagina 34 34 Art.13 Informativa Linteressato o la persona presso la quale sono raccolti i dati personali sono sempre previamente informati oralmente o per iscritto circa: 1.Le finalit e le modalit del trattamento 2.La natura obbligatoria o facoltativa del conferimento dei dati 3.Le conseguenze di un eventuale rifiuto a rispondere 4.I soggetti o le categorie di soggetti ai quali i dati possono essere comunicati o che possono venirne a conoscenza come responsabili o incaricati 5.Lambito e i modi di diffusione 6.I diritti di cui allart.7 7.Gli estremi identificativi del titolare e almeno un responsabile, se individuato d.l. 70/2011 Chi riceve cv inviato da chi cerca lavoro non deve pi inviare informativa. Lobbligo di fornire informativa anche oralmente ed in via semplificata (1, 4, 7) scatta in caso di contatto per colloquio Adempimenti formali per la legittimit del trattamento

D. Lgs 196/2003 - overview Pagina 35 Linteressato ha diritto di ottenere: la conferma dell'esistenza o meno di dati personali che lo riguardano; l'indicazione dellorigine dei dati delle finalit e delle modalit di trattamento, della logica applicata al trattamento, degli estremi identificativi di responsabili e titolare, dei soggetti a cui i dati possono essere comunicati; l'aggiornamento, la rettificazione e l'integrazione dei dati; la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge; l'attestazione che queste operazioni sono state portate a conoscenza, anche per quanto riguarda il loro contenuto. Linteressato ha diritto di opporsi, in tutto o in parte: per motivi legittimi al trattamento dei dati personali che lo riguardano, anche se pertinenti allo scopo della raccolta; al trattamento di dati personali che lo riguardano a fini di invio di materiale pubblicitario, di vendita diretta, per il compimento di ricerche di mercato, di comunicazione commerciale. Adempimenti formali per la legittimit del trattamento

D. Lgs 196/2003 - overview Pagina 36 Come si risponde allinteressato? Previa verifica della sua identit Previa verifica dei poteri di rappresentanza della persona delegata Riscontrando la richiesta senza ritardo e comunque riducendo i tempi di risposta per quanto possibile Semplificando le modalit di riscontro e agevolando le modalit di accesso ai dati per quanto possibile Comunicando i dati in forma comprensibile Evitando la comunicazione di dati di altri Interessati Rispettando il segreto aziendale Adempimenti formali per la legittimit del trattamento Diritti dellinteressato

D. Lgs 196/2003 - overview Pagina 37 37 CONSENSO PER I DATI PERSONALI Art.23 Il trattamento di dati personali ammesso solo con il consenso dellinteressato Il consenso validamente prestato solo se: 1. espresso liberamente e specificatamente 2. in riferimento ad un trattamento individuato 3. documentato per iscritto 4. sono state rese le informazioni di cui allart.13 Per i dati sensibili deve essere manifestato in forma scritta TUTTAVIA Adempimenti formali per la legittimit del trattamento

D. Lgs 196/2003 - overview Pagina 38 38 CONSENSO PER I DATI PERSONALI Art.24 casi in cui pu essere effettuato trattamento senza consenso Il consenso non richiesto quando il trattamento: a. necessario per adempiere ad un obbligo previsto dalla legge, da un regolamento o dalla normativa comunitaria; b. necessario per eseguire obblighi derivanti da un contratto del quale parte linteressato c.Riguarda dati provenienti da pubblici registri, elenchiconoscibili da chiunque d. e. necessario per la salvaguardia della vita o dellincolumit fisica dellinteressato f. necessario per far valere un diritto in sede giudiziaria g... h. effettuato (ma non comunicazione ne diffusione) da associazioni, enti o organismi senza scopo di lucro in riferimento aaderenti, per il perseguimento di scopi determinati e legittimi individuati dallatto costitutivo, lo statuto.con modalit rese note allatto dellinformativa di cui allart.13 INOLTRE Adempimenti formali per la legittimit del trattamento

D. Lgs 196/2003 - overview Pagina 39 39 CONSENSO PER I DATI SENSIBILI Art.26 garanzie per i dati sensibili I dati sensibili possono essere oggetto di trattamento solo: a. con il consenso scritto dellinteressato; b. previa autorizzazione del Garante. .. I dati sensibili possono essere oggetto di trattamento senza consenso ma previa autorizzazione del Garante se il trattamento: a. effettuato da associazioni, entia carattere politico, religioso, filosofico,sindacale b. necessario per la salvaguardia della vita c. necessario per far valere un diritto in sede giudiziaria(se i dati sono sanitari o sessuali deve essere un diritto di pari rango) d. necessario per adempiere ad obblighi o compiti previsti dalla legge per la gestione del rapporto di lavoro, in materia di igiene e sicurezza sul lavoro..previdenza e assistenza I dati idonei a rilevare lo stato di salute non possono essere diffusi. INOLTRE Adempimenti formali per la legittimit del trattamento

D. Lgs 196/2003 - overview Pagina 40 40 CONSENSO PER I DATI SENSIBILI Le autorizzazioni generali del Garante 1/2012 autorizzazione al trattamento dei dati sensibili nei rapporti di lavoro 2/2012 autorizzazione al trattamento dei dati sullo stato di salute e vita sessuale da parte di soggetti esercenti le professioni sanitarie .. 7/2012 autorizzazione al trattamento dei dati giudiziari Adempimenti formali per la legittimit del trattamento

D. Lgs 196/2003 - overview Pagina 41 41 CONSENSO PER GLI ENTI PUBBLICI Art.18trattamenti effettuati da soggetti pubblici Salvo che la Sanit, gli enti pubblici non devono richiedere il consenso, ma il trattamento consentito solo per le finalit e le funzioni istituzionali Se il trattamento riguarda dati sensibili deve essere previsto dalla legge (art.20) Adempimenti formali per la legittimit del trattamento

D. Lgs 196/2003 - overview Pagina 42 42 CONSENSO PER DATI GIUDIZIARI Art.27 garanzie per i dati giudiziari Il trattamento dei dati giudiziari consentito solo se autorizzato da espressa disposizione di legge o provvedimento del garante che specifica le rilevanti finalit di interesse pubblico, i tipi di dati trattati e le operazioni eseguibili Adempimenti formali per la legittimit del trattamento

D. Lgs 196/2003 - overview Pagina 43 Trasferimenti allinterno dellUE La circolazione dei dati dentro UE libera ed sempre possibile con esclusione dei casi volti ad eludere le disposizioni in materia di trattamento dei dati personali. Abuso di diritto ovvero un soggetto esercita un proprio diritto per uno scopo in contrasto con quello per cui il diritto riconosciuto. Trasferimenti in Paesi terzi Solo se garantiscono adeguato livello di sicurezza (direttiva 95/46/CE e art.45 codice). Ladeguatezza valutata in riferimento alla natura dei dati, tecniche utilizzate, misure di sicurezza adottate, finalit del trattamento. Il giudizio di adeguatezza emesso dal Garante del paese da cui i dati provengono (art.44): A.sulla base di decisioni della Commissione Europea che constatano che: I. il paese terzo garantisce un livello di protezione adeguato per effetto della sua legislazione o di accordi e impegni internazionali; II. alcune clausole contrattuali tipo offrano garanzie sufficienti in caso di inserimento in un contratto (la Commissione si espressa sulladeguatezza dei trasferimenti verso Svizzera, Ungheria, Canada, Argentina, Israele,I trasferimenti verso USA solo se imprese si conformano al Safe Harbour, un insieme di principi a garanzia del trasferimento. B.Sulla base di adeguate garanzie individuate con un contratto o mediante regola di condotta nellambito di societ appartenenti a medesimo gruppo. Binding Corporate Rules: il garante inglese e francese hanno approvato le BCR per alcune multinazionali (Accenture, Spencer Stuart, Michelin,..) CONSENSO PER TRASFERIMENTO DEI DATI Adempimenti formali per la legittimit del trattamento

D. Lgs 196/2003 - overview Pagina 44 Trasferimenti in Paesi terzi E possibile inoltre nei seguenti casi (art.43) : espresso consenso dellinteressato; esecuzione di obblighi derivanti da un contratto; salvaguardia di un interesse pubblico rilevante a norma di legge o regolamento; salvaguardia dellincolumit fisica o della vita di un terzo; difesa di un diritto in sede giudiziaria; accesso a documenti amministrativi o dati riconducibili a pubblico registro; espressa previsione nei codici di deontologia; dati riguardanti persone giuridiche, enti o associazioni; espressa autorizzazione del Garante. Il trasferimento dei dati verso paesi extra UE quindi possibile in molteplicit di principi alternativi tra loro. CONSENSO PER TRASFERIMENTO DEI DATI Adempimenti formali per la legittimit del trattamento

D. Lgs 196/2003 - overview Pagina 45 In caso di cessazione, per qualsiasi causa, di un trattamento i dati sono: Distrutti; Ceduti ad altro titolare, purch destinati ad un trattamento in termini compatibili agli scopi per i quali i dati sono raccolti; Conservati per fini esclusivamente personali e non destinati ad una comunicazione sistematica o alla diffusione; Conservati o ceduti ad altro titolare, per scopi storici, statistici o scientifici, in conformit alla legge, ai regolamenti, alla normativa comunitaria e ai codici di deontologia e di buona condotta sottoscritti ai sensi dell'articolo 12. Adempimenti formali per la legittimit del trattamento

D. Lgs 196/2003 - overview Pagina 46 Adempimenti strutturali Misure di sicurezza I dati personali possono assumere formati differenti: Ne consegue che prerequisito fondamentale per ladozione delle misure di sicurezza, in ottemperanza a quanto indicato nellAllegato B del codice in materia di protezione dei dati personali, lidentificazione degli archivi cartacei e delle banche dati elettroniche contenenti dati personali. Infatti, le misure di sicurezza variano in funzione della tipologia di dato (personale o sensibile) e del supporto fisico su cui custodito (cartaceo o elettronico).

D. Lgs 196/2003 - overview Pagina 47 Adempimenti strutturali Obblighi di sicurezza La sicurezza dei dati personali deve essere affrontata con un approccio integrato: Giuridico Organizzativo e procedurale Tecnico-informatico Gli obblighi di sicurezza riguardano il titolare, i responsabili e gli incaricati.

D. Lgs 196/2003 - overview Pagina 48 Adempimenti strutturali Obblighi di sicurezza I rischi individuati dal Codice (art 31) sono i seguenti: Distruzione o perdita Accesso non autorizzato Trattamento non conforme alle finalit di raccolta Trattamento non consentito I rischi sono relativi sia ai trattamenti cartacei che informatici Es: accesso non autorizzato degli hackers al sistema informatico ovvero accesso non autorizzato del personale di pulizia ai fascicoli lasciati sulla scrivania dal dipendente, ma anche accesso del dipendente al sistema informativo per raccogliere dati per finalit non collegate o dati estranei alle ragioni di servizio.

D. Lgs 196/2003 - overview Pagina 49 Adempimenti strutturali Obblighi di sicurezza Le definizioni circa la sicurezza si trovano allart 4 c3 misure minime complesso delle misure tecniche, informatiche, organizzative logistiche e procedurali che configurano il livello minimo di protezione richiesto in relazione ai rischi individuati dallart.31 autenticazione informatica strumenti informatici o hardware finalizzati a verificare lidentit del soggetto credenziali di autenticazione dati e dispositivi in possesso di una persona da questi conosciuti e ad essa univocamente correlati utilizzati per lautenticazione informatica

D. Lgs 196/2003 - overview Pagina 50 Adempimenti strutturali Obblighi di sicurezza Le misure minime sono descritte dallart.33,34 e 36 e dallallegato B. Il rispetto delle misure minime sufficiente per adempiere agli obblighi di sicurezza? Art. 31 I dati personali sono custoditi e controllati anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati, alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante ladozione di idonee e preventive misure di sicurezza, i rischi di distruzione e perdita, di accesso non autorizzato di trattamento non consentito o non conforme Aggiornamento costante + valutazione rispetto al rischio Cosa manca? Costo- opportunit ovvero valutazione degli oneri economici in relazione al rischio. Tale valutazione era presente nellart.17 direttiva 95/46/CE ma non stata ripresa dal codice

D. Lgs 196/2003 - overview Pagina 51 Adempimenti strutturali Obblighi di sicurezza Due livelli di sicurezza: Misure minime (art.33), la cui mancata adozione comporta profili penali (art 169) Misure idonee (art.31), la cui mancata adozione comporta profili civili ai sensi dellart 15 e 2050 cc

D. Lgs 196/2003 - overview Pagina 52 Adempimenti strutturali Obblighi di sicurezza Quali sono le misure minime? Art.34 strumenti elettronici Art.35 strumenti non elettronici Art.34 Autenticazione informatica (attraverso codici, impronte digitali). Procedure di gestione delle credenziali di autenticazione (password, smart card, token,) All.b 11 un codice non pu essere assegnato ad altri incaricati neppure in tempi diversi. Le credenziali di autenticazione non utilizzate da almeno 6 mesi vanno disattivate. Lunghezza password non inferiore a 8 caratteri Non contiene riferimenti riconducibili facilmente allincaricato E modificata al primo utilizzo e poi ogni 3/6 mesi (sensibili/personali) Non ammessa la parola chiave di gruppo. La password segreta. In caso di prolungata assenza dellincaricato devono essere presenti procedure per assicurare la disponibilit dei dati in caso di necessit di operativit e sicurezza del sistema. La custodia delle copie delle credenziali organizzata garantendo la segretezza e individuando i soggetti incaricati della custodia. Sistema di autorizzazione All.b 12 Insieme delle informazioni univocamente associate ad una persona che individua i dati a cui essa pu accedere e i trattamenti ad essa consentiti. Quando per gli incaricati sono individuati profili di autorizzazione di ambito differente presente un sistema di autorizzazione. linsieme delle procedure e degli strumenti che abilitano laccesso ai dati in relazione al profilo dellincaricato. Almeno annualmente verificata la necessit di conservazione dei profili Aggiornamento periodico dellambito del trattamento consentito agli incaricati Protezione degli strumenti e dei dati rispetto a trattamenti illeciti, accessi non consentiti e a determinati programmi informatici Aggiornamento semestrale dei software di protezione e degli strumenti elettronici Custodia copie di sicurezza e ripristino disponibilit Salvataggio almeno settimanale di dati e conservazione copia in luogo differente Dps (abrogato d.l. 5/2012)

D. Lgs 196/2003 - overview Pagina 53 La Corte di Cassazione ha affermato la legittimit del licenziamento del dipendente che aveva ceduto a soggetto estraneo la propria password consentendo accesso alla rete aziendale Paziente ricoverato ha denunciato con successo struttura sanitaria che aveva lasciato il termosifone presso la sala infermieri la cartella clinica che conteneva informazioni molto delicate su proprio stato di salute. Corte di appello aveva respinto perch sala chiusa al pubblico. Cassazione ha ribadito accesso non selettivo. Una coppia ha avuto risarcimento del danno (25.000 euro) perch recatasi in banca per un mutuo aveva notato che i fascicoli dei clienti erano stati lasciati sul davanzale di una finestra accessibile al pubblico Condomino ha citato lamministratore perch in bacheca accessibile anche ad esterni erano stati esposti dati sulla propria situazione debitoria Sms promozionali sul cellulare senza consenso: condannato loperatore a 1.000 euro per ciascuno dei 9 sms (danno non patrimoniale, art.11). Adempimenti strutturali Obblighi di sicurezza

D. Lgs 196/2003 - overview Pagina 54 Documento programmatico sulla sicurezza La redazione del DPS era una misura minima prevista dallAllegato B. Era un documento che viene redatto dal titolare solo nel caso di trattamenti di dati sensibili e giudiziari effettuato con strumenti elettronici, entro il 31 marzo di ogni anno e contiene informazioni riguardo:

D. Lgs 196/2003 - overview Pagina 55 Adempimenti strutturali Obblighi di sicurezza Dati sensibili? Protezione da accesso abusivo con idonei strumenti elettronici (20) Istruzioni organizzative e tecniche per la custodia e luso di supporti rimovibili Ripristino dellaccesso ai dati in caso di danneggiamento in tempi compatibili con i diritti degli interessati e non superiore a 7 giorni Organismi sanitari devono trattare i dati sensibili in modo disgiunto dagli altri personali. Accesso limitato agli stessi operatori per quanto necessario Gli interessati non devono essere identificabili da parte degli operatori che svolgono un trattamento sui dati tale che non necessario conoscere lidentit del soggetto, che conoscibile solo dal ristretto novero di soggetti per cui necessario e a cui si dato un profilo di autorizzazione in tal senso. Tracciabilit degli accessi e dei logs Art 22 c 6 e 7 Art 34 c1 lett. H Allegato B Autorizzazione generale del Garante n.2

D. Lgs 196/2003 - overview Pagina 56 Adempimenti strutturali Obblighi di sicurezza Art. 35 strumenti non elettronici Aggiornamento periodico dellambito consentito agli incaricati Procedure di custodia di atti e documenti Procedura di accesso autorizzato, selettivo e tracciabile agli archivi (soprattutto dati sensibili) Carattere procedurale delle misure minime

D. Lgs 196/2003 - overview Pagina 57 Art. 35 strumenti non elettronici Aggiornamento periodico dellambito consentito agli incaricati Procedure di custodia di atti e documenti Procedura di accesso autorizzato, selettivo e tracciabile agli archivi (soprattutto dati sensibili) Carattere procedurale delle misure minime Adempimenti strutturali Obblighi di sicurezza

D. Lgs 196/2003 - overview Pagina 58 Per far valere i suoi diritti linteressato pu rivolgersi al Garante: con un reclamo per rappresentare una violazione della disciplina in materia di trattamento dei dati; mediante segnalazione per sollecitare un controllo da parte del Garante; mediante ricorso. Il reclamo: contiene indicazioni dettagliate dei fatti su cui si fonda e le generalit identificative del titolare, del responsabile e dellistante; sottoscritto dallinteressato; presentato al Garante senza formalit e reca in allegato la documentazione utile per la sua valutazione; il garante pu predisporre un modello per il reclamo da pubblicare nel Bollettino. Reclamo dellinteressato

D. Lgs 196/2003 - overview Pagina 59 Responsabilita e Sanzioni IL GARANTE Il Garante unautorit indipendente prevista nella direttiva 95/46/CE. E un organo collegiale costituito da 4 membri (due eletti dalla Camera e due dal Senato), che eleggono nel loro ambito il Presidente. Durano in carica 7 anni e non sono rinnovabili. Ha un potere generale di controllo e si pu avvalere della collaborazione di altri organi dello Stato (GdF) Esamina i reclami e le segnalazioni e decide sui ricorsi, pu prescrivere anche dufficio misure necessarie o opportune per rendere il trattamento conforme e lo pu vietare in tutto o in parte se illecito o non corretto, esprime pareri. E lorgano competente ad irrogare le sanzioni amministrative

D. Lgs 196/2003 - overview Pagina 60 Responsabilita e Sanzioni ILLECITI AMMINISTRATIVI REATI PENALI RESPONSABILITA CIVILE

D. Lgs 196/2003 - overview Pagina 61 Responsabilita e Sanzioni Gli illeciti amministrativi Omessa o inidonea informativa (art.161)sanzione: da 6.000 a 36.000 euro Es: informativa mancante; informativa presente ma poi dati riutilizzati per finalit non prevista; informativa mancante degli elementi essenziali come il titolare o i soggetti cui possono essere comunicati i dati; informativa poco comprensibile Cessione dei dati in violazione art.16 c1 lett.b o di altre disposizioni (art.162)sanzione: da 10.000 a 60.000 euro Ai sensi art.16 la cessione lecita se i dati sono destinati ad un trattamento che abbia finalit compatibili agli scopi per cui sono stati raccolti. Violazione dellart.84 (art.162c2 )sanzione: da 1.000 a 6.000 euro Caso in cui non sia un medico a comunicare allinteressato informazioni sanitarie Trattamento effettuato senza ladozione delle misure minime di sicurezza dellart.33 (art 162 c2 bis)sanzione: da 10.000 a 120.000 euro Sanzione pu integrare reato penale di cui allart. 169, ma pare riferirsi alla violazione di misure adottate o alla loro adozione non conforme

D. Lgs 196/2003 - overview Pagina 62 Responsabilita e Sanzioni Gli illeciti amministrativi Violazione art.167sanzione: da 10.000 a 120.000 euro Sanzione pu integrare reato penale di cui allart. 167. Trattamento illecito dei dati: Art.167 Salvo che il fatto costituisca pi grave reato, chiunque, al fine di trarne per s o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli articoli 18, Principi applicabili a tutti i trattamenti effettuati da soggetti pubblici (Qualunque trattamento di dati personali da parte di soggetti pubblici consentito soltanto per lo svolgimento delle funzioni istituzionali.) 19, Principi applicabili al trattamento di dati diversi da quelli sensibili e giudiziari soggetti pubblici 23. Consenso (Il trattamento di dati personali da parte di privati o di enti pubblici economici ammesso solo con il consenso espresso dell'interessato) 123 Dati relativi al traffico (fornitori servizi) 126 Dati relativi allubicazione (fornitori di servizi) 130. Comunicazioni indesiderate (l'uso di sistemi automatizzati di chiamata o di comunicazione di chiamata senza l'intervento di un operatore per l'invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale consentito con il consenso del contraente o utente) 129. Elenchi di contraenti .. segue

D. Lgs 196/2003 - overview Pagina 63 Responsabilita e Sanzioni Gli illeciti amministrativi Violazione art.167sanzione: da 10.000 a 120.000 euro Sanzione pu integrare reato penale di cui allart. 167. Trattamento illecito dei dati: Art.167 Salvo che il fatto costituisca pi grave reato, chiunque, al fine di trarne per s o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli articoli 17. Trattamento che presenta rischi specifici. Il trattamento dei dati diversi da quelli sensibili e giudiziari che presenta rischi specifici per i diritti e le libert fondamentali, nonch per la dignit dell'interessato, ammesso nel rispetto di misure ed accorgimenti a garanzia dell'interessato, ove prescritti. 2. Le misure e gli accorgimenti di cui al comma 1 sono prescritti dal Garante nell'ambito di una verifica preliminare all'inizio del trattamento, effettuata anche a seguito di un interpello del titolare. 20. Principi applicabili al trattamento di dati sensibili l trattamento dei dati sensibili da parte di soggetti pubblici consentito solo se autorizzato da espressa disposizione di legge 21, Principi applicabili al trattamento di dati giudiziari (soggetti pubblici) 22, soggetti pubblici, commi 8 (i dati idonei a rivelare lo stato di salute non possono essere diffusi) e 11 25. Divieti di comunicazione e diffusione 1. La comunicazione e la diffusione sono vietate, oltre che in caso di divieto disposto dal Garante o dall'autorit giudiziaria: a) in riferimento a dati personali dei quali stata ordinata la cancellazione, ovvero quando decorso il periodo di tempo indicato nell'articolo 11, comma 1, lettera e); b) per finalit diverse da quelle indicate nella notificazione del trattamento, ove prescritta. 2. fatta salva la comunicazione o diffusione di dati richieste, in conformit alla legge, da forze di polizia, dall'autorit giudiziaria, da organismi di informazione e sicurezza o da altri soggetti pubblici ai sensi dell'articolo 58, comma 2, per finalit di difesa o di sicurezza dello Stato o di prevenzione, accertamento o repressione di reati. 26, Garanzie dati sensibili (consenso + autorizzazione, no diffusione dati sensibili) 27 Garanzie dati giudiziari. Il trattamento di dati giudiziari da parte di privati o di enti pubblici economici consentito soltanto se autorizzato da espressa disposizione di legge o provvedimento del Garante che specifichino le rilevanti finalit di interesse pubblico del trattamento, i tipi di dati trattati e di operazioni eseguibili. 45. Trasferimenti vietati 1. Fuori dei casi di cui agli articoli 43 e 44, il trasferimento anche temporaneo fuori del territorio dello Stato, con qualsiasi forma o mezzo, di dati personali oggetto di trattamento, diretto verso un Paese non appartenente all'Unione europea, vietato quando l'ordinamento del Paese di destinazione o di transito dei dati non assicura un livello di tutela delle persone adeguato. Sono valutate anche le modalit del trasferimento e dei trattamenti previsti, le relative finalit, la natura dei dati e le misure di sicurezza. .

D. Lgs 196/2003 - overview Pagina 64 Responsabilita e Sanzioni Gli illeciti amministrativi Violazione art. 154 c1 lett c e d (art.162 ter)sanzione: da 30.000 a 180.000 euro Inosservanza prescrizione sulle misure necessarie o opportune al fine di rendere il trattamento conforme alle disposizioni vigenti, ai sensi dell'articolo 143 (reclami); Inosservazione prescrizione divieto di utilizzo o blocco Integra reato penale (art.170) Omessa informazione al Garante o mancata esibizione documenti richiesti(art.164)sanzione: da 10.000 a 60.000 euro .. Se la violazione degli art da 161 a 164 di minore gravit limiti sanzione diminuiti in misura pari a 2/5 Se pi violazioni della stessa norma o di pi norme sanzione da 50.000 a 300.000 euro Le sanzioni possono essere aumentate fino al quadruplo se inefficaci in ragione delle condizioni economiche del contravventore Se violazione coinvolge numerosi interessati o grave pregiudizio le sanzioni sono pari al doppio

D. Lgs 196/2003 - overview Pagina 65 Responsabilita e Sanzioni I reati penali Trattamento illecito dei dati (art.167) Dolo specifico di trarre profitto, deve essere cagionato nocumento, violazione articoli richiamati La giurisprudenza esclude le semplici violazioni formali che producono un vulnus minimo alla privacy del soggetto e non determinano un danno patrimoniale e non apprezzabile. Un associato ha preso i dati degli altri associati dal database dellassociazione per invio materiale pubblicitario senza consenso. La Cassazione ha ritenuto che non si realizzi il nocumento richiesto. Il direttore di banca ha rilevato allacquirente di un immobile dati su situazione debitoria dei venditori..... Un soggetto ha diffuso via chat il numero di cellullare di un altro soggetto senza consenso. La condotta stata posta in essere volontariamente per arrecare un danno e il danno stato prodotto Un soggetto ha pubblicato senza consenso su internet le immagini intime di una donna su sito pornografico, creando danno allimmagine e alla tranquillit della donna Spamming per scopi commerciali.. Pena: reclusione da 6 a 18 mesi se mero trattamento illecito. Se comunicazione o diffusione da 6 a 24 mesi. D 1 a 3 anni per casi pi gravi (dati sensibili, dati giudiziari, trasferimento vietato allestero,..) Falsit nelle dichiarazioni o notificazioni al Garante (art.168) Chiunque attesta notizie false o produce documenti falsi in un procedimento o nel corso di accertamenti Pena: da 6 mesi a 3 anni Omessa adozione delle misure di sicurezza (art.169) Autori del reato possono essere il titolare (dovere di vigilanza e controllo), il responsabile e lincaricato (es:custodia password) Ravvedimento operoso: Garante da termine per regolarizzare non superiore a 6 mesi. Se ok, si paga un quarto del massimo della sanzione amministrativa. Adempimento e pagamento estinguono il reato. Pena: arresto sino a 2 anni

D. Lgs 196/2003 - overview Pagina 66 Responsabilita e Sanzioni I reati penali Inosservanza dei provvedimenti del Garante (art.170) (autorizzazione al trattamento dati sensibili, blocco al trattamento) Violazioni dellart.4 e 8 dello Statuto dei Lavoratori (art.171) Capo II - Annunci di lavoro e dati riguardanti prestatori di lavoro Art. 113. Raccolta di dati e pertinenza 1. Resta fermo quanto disposto dall'articolo 8 della legge 20 maggio 1970, n. 300. Capo III - Divieto di controllo a distanza e telelavoro Art. 114. Controllo a distanza 1. Resta fermo quanto disposto dall'articolo 4 della legge 20 maggio 1970, n. 300.

D. Lgs 196/2003 - overview Pagina 67 RESPONSABILITA E SANZIONI Divieto di controllo a distanza dellattivit dei lavoratori (art.4 Statuto lavoratori) E vietato luso di impianti audiovisivi e di altre apparecchiature per finalit di controllo a distanza dellattivit dei lavoratori (comma 1). Gli impianti e le apparecchiature di controllo che siano richieste da esigenze organizzative e produttive ovvero dalla sicurezza del lavoro, ma dai quali derivi anche la possibilit di controllo a distanza dellattivit dei lavoratori, possono essere installati soltanto previo accordo con le RSA, oppure con la Commissione Interna. In difetto su istanza del datore di lavoro, provvede lIspettorato del lavoro, dettando, ove occorra, le modalit per luso di tali impianti (comma 2). Giurisprudenza: controllo a distanza in senso spaziale/temporale, anche mera possibilit di controllo e ove apparecchiature solo installate ma non ancora funzionanti, anche se discontinuo e lavoratori preavvertiti (Cass.9211/1997)

D. Lgs 196/2003 - overview Pagina 68 RESPONSABILITA E SANZIONI DIVETO DI INDAGINI SULLE OPINIONI (art. 8 st. lav. legge 20 maggio 1970, n.300) E fatto divieto al datore di lavoro, ai fini dellassunzione, come nel corso dello svolgimento del rapporto di lavoro, di effettuare indagini, anche a mezzo terzi, sulle opinioni politiche, religiose, sindacali del lavoratore, nonch su fatti non rilevanti ai fini della valutazione dellattitudine professionale del lavoratore.

D. Lgs 196/2003 - overview Pagina 69 art. 615 ter C.P. accesso abusivo al sistema informatico Si ha accesso abusivo quando un soggetto si introduce abusivamente in un sistema informatico protetto da misure di sicurezza o quando un soggetto si mantiene allinterno del sistema contro la volont espressa o tacita di chi ha il diritto di escluderlo. Reclusione fino a 3 anni Reato di mera condotta Riguarda sia soggetti estranei allorganizzazione che interni Ad un lavoratore stato contestato di aver compiuto un illecito accesso ad una cartella contenente dati archiviati nel computer di un collega. Corte Cassazione sezione lavoro il licenziamento del lavoratore legittimo poich configura responsabilit contrattuale ovvero violazione obbligo di fedelt (art.2105cc) Corte Cassazione sezione penale non si configura accesso abusivo quando si accede a sistema informatico non protetto Responsabilita e Sanzioni

D. Lgs 196/2003 - overview Pagina 70 Responsabilita e Sanzioni La responsabilit civile Art. 15. Danni cagionati per effetto del trattamento 1. Chiunque cagiona danno ad altri per effetto del trattamento di dati personali tenuto al risarcimento ai sensi dell'articolo 2050 del codice civile. 2. Il danno non patrimoniale risarcibile anche in caso di violazione dell'articolo 11. Art. 11. Modalit del trattamento e requisiti dei dati 1. I dati personali oggetto di trattamento sono: a) trattati in modo lecito e secondo correttezza; b) raccolti e registrati per scopi determinati, espliciti e legittimi, ed utilizzati in altre operazioni del trattamento in termini compatibili con tali scopi; c) esatti e, se necessario, aggiornati; d) pertinenti, completi e non eccedenti rispetto alle finalit per le quali sono raccolti o successivamente trattati; e) conservati in una forma che consenta l'identificazione dell'interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati. 2. I dati personali trattati in violazione della disciplina rilevante in materia di trattamento dei dati personali non possono essere utilizzati Art. 2050 Responsabilit per l'esercizio di attivit pericolose Chiunque cagiona danno ad altri nello svolgimento di un'attivit pericolosa, per sua natura o per la natura dei mezzi adoperati, tenuto al risarcimento, se non prova di avere adottato tutte le misure idonee a evitare il danno. Linteressato dimostra levento, il danno e il nesso di causa Al titolare richiesta prova di misure idonee non minime

D. Lgs 196/2003 - overview Pagina 71 Allegato: TRATTAMENTI IN AMBITO SANITARIO A questi dati dedicato il Titolo V del codice. La disciplina si applica al trattamento dei dati inerenti la salute trattati per finalit di cura, diagnosi e terapia. La disciplina si basa su tre principi: consenso, informativa e sicurezza CONSENSO (art.76): obbligatorio, ancorch in forma semplificata + autorizzazione del garante ma a) senza autorizzazione, con il consenso se trattamento indispensabile per finalit di tutela salute o incolumit interessato (ipotesi di scuola, c autorizzazione generale) b)senza consenso (ma con autorizzazione garante) e addirittura col rifiuto se la finalit di tutela della salute e incolumit riguarda un terzo o la collettivit Es: un soggetto si oppone alla comunicazione al partner della notizia riguardante malattia sessualmente trasmissibile. Tra il bene guridico della tutela della salute e la riservatezza, il legislatore sceglie il primo. Caso della prostituta di Ravenna, aveva infettato molti clienti ignari. Il giudice aveva ordinato di rendere pubbliche foto e generalit. Il Garante ha obiettato che la finalit avrebbe potuto essere perseguita con modalit differenti e pi selettive. Ma legge 135/90 in materia di AIDS, per la comunicazione necessario consenso interessato CONTRADDIZIONE LEGISLATIVA pu essere manifestato una volta sola per il complesso dei trattamenti Anche oralmente, ma con annotazione standard della struttura sanitaria di averlo ricevuto. Onere della prova di non averlo dato st allinteressato LA DIRETTIVA EUROPEA NON PREVEDEVA CONSENSO OBBLIGATORIO PER DIAGNOSTICA E CURE

D. Lgs 196/2003 - overview Pagina 72 Allegato: TRATTAMENTI IN AMBITO SANITARIO INFORMATIVA: semplificazioni, pu essere data per il complesso dei trattamenti di prevenzione, diagnosi, cura, riabilitazione pu riguardare anche dati raccolti presso terzi...... pu essere data anche tramite affissione di un cartello pu essere integrata verbalmente se necessario Si annota lavvenuta informativa IL GARANTE HA PRODOTTO UNO SCHEMA DI INFORMATIVA LA SEMPLIFICAZIONE NON RIGUARDA I CONTENUTI DI CUI ALLART 13

D. Lgs 196/2003 - overview Pagina 73 Allegato: TRATTAMENTI IN AMBITO SANITARIO SICUREZZA (art.83):(no medici generali, no studi medici) distanze di cortesia evitare indebita conoscenza da parte di terzi di informazioni su stato di salute durante colloqui evitare situazioni promiscuit per le prestazioni sanitarie compresa documentazione di anamnesi eliminazione chiamata nominativa....... Acceso selettivo ai dati sensibili + separazione tra dati amministrativi personali e dati sensibili COMUNICAZIONE ART.84 i dati sanitari possono essere comunicati solo da medico designato da interessato o titolare. Titolare pu autorizzare per iscritto personale non medico a comunicare, che abbia nei propri compiti i rapporti con i pazienti. La ratio non tutela privacy ma adeguata rappresentazione al fine di evitare contraccolpi emotivi REFERTI ON LINE: linee guida. Deve essere facoltativa e mantenuto accesso tradizionale cartaceo. informativa + consenso possibilit di revoca anche in relazione a singoli esami se comunicazione tramite posta elettronica deve essere convalidato ogni volta lindirizzo SE DATI VALUTATI CRITICI O ELEMENTI DI PREOCCUPAZIONE A GIUDIZIO MEDICO VA PREFERITA COMUNICAZIOME PERSONALE E DIRETTA Vanno usati protocolli di comunicazione sicuri (https), disponibilit max on line 45 gg, sistemi di autenticazione dellinteressato, se posta elettronica, no body part del messaggio ma file protetto con password

D. Lgs 196/2003 - overview Pagina 74 Allegato: TRATTAMENTI IN AMBITO SANITARIO Conservazione dati: Principio finalit Art.11, non oltre tempo necessario Circolare Ministero Sanit per cartelle cliniche (40 anni e oltre archivio) Art.99 il trattamento dei dati per scopi storici, statistici, scientifici considerato compatibile con le finalit per cui sono stati raccolti, ma adeguate garanzie Codice Deontologia scopi statistici e scientifici, allegato a4: finalit deve essere indicata nellinformativa, fin dalla raccolta del dato Se necessario, va preso consenso Se possibile dati identificativi separati dagli altri Linteressato ha diritto a cancellazione, rettifica, integrazione Criterio soggettivo per applicazione Codice deontologia la finalit di ricerca deve risultare nello statuto dellente. Il codice non si applica ai trattamenti per scopi statistici e scientifici connessi con attivit di tutela della salute svolte da esercenti professioni sanitarie od organismi sanitari, ovvero con attivit comparabili in termini di significativa ricaduta personalizzata sull'interessato, che restano regolati dalle pertinenti disposizioni.

D. Lgs 196/2003 - overview Pagina 75 Allegato: LAVORO ESTRATTO DAL PARERE 8/2001 DEL GRUPPO ART.29: Il controllo e la sorveglianza dei lavoratori rispetto alluso della posta elettronica, allaccesso a Internet, alle riprese televisive o ai dati sulla localizzazione sono soggetti alle norme che tutelano i dati Ogni controllo deve essere una risposta proporzionata del datore di lavoro ai rischi che corre nel tener conto della riservatezza e di altri interessi legittimi dei lavoratori. Tutti i dati personali detenuti o utilizzati durante i controlli devono essere adeguati, pertinenti e non eccedenti rispetto alle finalit che giustificano il controllo. I controlli devono essere eseguiti nel modo meno intrusivo possibile

D. Lgs 196/2003 - overview Pagina 76 Allegato: LAVORO Principi base per il controllo degli strumenti elettronici sul luogo di lavoro Principio di necessit (art. 11.1.b): i trattamenti devono essere effettuati per finalit determinate, esplicite e legittime Principio di pertinenza e non eccedenza (art.11.1.d): I dati trattati devono essere pertinenti e non eccedenti rispetto alle finalit per le quali sono stati raccolti Principio di necessit (art.3 del Codice): configurazione dei sistemi informativi e programmi informatici in modo da non utilizzare dati relativi a persone identificabili, quando le finalit del trattamento possono essere realizzate impiegando solo dati anonimi Principio di correttezza (art.11.1.a): Trasparenza dei potenziali trattamenti (automatici, invisibili o occulti), le cui caratteristiche essenziali devono essere rese note ai lavoratori

Documents

D. Lgs 196/2003 - overview Pagina 1 CONI Servizi S.p.A. D. Lgs 196/2003 - Codice in materia di protezione dei dati personali