Privacy: rischi e novità Le nuove norme ecc. ecc. ecc…

Privacy: rischi e novità

Le nuove normeecc. ecc.

ecc…

Il diritto alla protezione dei dati personali

Art. 1

(Diritto alla protezione dei dati personali

“Chiunque ha diritto alla protezione dei dati personali

che lo riguardano”(cfr. art. 8 Carta diritti fondamentali UE)

Nuova Costituzione Europea

Art. 1

(Diritto alla protezione dei dati personali

“Chiunque ha diritto alla protezione dei dati personali

che lo riguardano”(cfr. art. 8 Carta diritti fondamentali UE)

Nuova Costituzione Europea

Le 2 anime della “Privacy”

PRIVACY

diritto alla autodeterminazione informativa; “Right to be let alone”; controllo sulla circolazione dei miei dati; “I dati sono miei e li gestisco io”; fatti gli affari tuoi……

NotificazioneInformativaConsenso…….

PRIVACY

diritto alla autodeterminazione informativa; “Right to be let alone”; controllo sulla circolazione dei miei dati; “I dati sono miei e li gestisco io”; fatti gli affari tuoi……

NotificazioneInformativaConsenso…….

SICUREZZA

Sicurezza dei dati e dei sistemi; Misure

finalizzate Alla conservazione dei dati

personali; backup; il dato come un bene

prezioso e “pericoloso” da proteggere

DPSMisure minime sicurezza

Amministratori di sistema…….

SICUREZZA

Sicurezza dei dati e dei sistemi; Misure

finalizzate Alla conservazione dei dati

personali; backup; il dato come un bene

prezioso e “pericoloso” da proteggere

DPSMisure minime sicurezza

Amministratori di sistema…….

Principi e regole sulla sicurezza dei trattamenti dei

dati personaliNel quadro dei

più generali obblighi di sicurezza

di cui all’articolo 31, o previsti da speciali disposizioni, i titolari del trattamento sono comunque tenuti ad adottare le misure minime individuate nel presente capo o ai sensi dell’articolo 58, comma 3, volte ad assicurare un

livello minimo di protezione dei dati personali.

DOWNGRADELa

semplificazione delle norme privacy

Provvedimento Garante 19 giugno 2008 Semplificazioni: in

quali casi si applicano?trattamenti effettuati in ambito pubblico e privato a fini amministrativo-contabili

gestione di informazioni attinenti ad altre imprese, amministrazioni, clienti, fornitori e dipendenti utilizzate, anche in relazione a obblighi contrattuali e normativi, per correnti finalità amministrative e contabili

La semplificazione dell’ Informativa – Provv. 19 giugno 2008

a) fornire un'unica informativa per il complesso dei trattamenti, anziché per singoli aspetti del rapporto con gli interessati;

b) fornire a questi ultimi una ricostruzione organica dei trattamenti e con linguaggio semplice, senza frammentarla o reiterarla inutilmente;

c) indicare le informazioni essenziali in un quadro adeguato di lealtà e correttezza;

d) redigere, per quanto possibile, una prima informativa breve. All'interessato, anche oralmente, andrebbero indicate sinteticamente alcune prime notizie chiarendo subito, con immediatezza, le principali caratteristiche del trattamento.

e) per l'informativa, specie per quella breve, si possono utilizzare gli spazi utili nel materiale cartaceo e nella corrispondenza che si impiegano già, ordinariamente, per finalità amministrative e contabili; f) l'informativa breve può rinviare a un testo più articolato, disponibile agevolmente senza oneri per gli interessati, in luoghi e con modalità facilmente accessibili anche con strumenti informatici e telematici (in particolare, tramite reti Intranet o siti Internet, affissioni in bacheche o locali, avvisi e cartelli agli sportelli per la clientela, messaggi preregistrati disponibili digitando un numero telefonico gratuito).

Le notizie da indicare per legge (art. 13, comma 1) devono essere aggiornate, specificando la data dell'ultimo aggiornamento;


g) è possibile non inserire nell'informativa più articolata gli elementi noti all'interessato (art. 13, commi 2 e 4). E' opportuno omettere riferimenti meramente burocratici o circostanze ovvie, per esempio quando alcune informazioni, compresi gli estremi identificativi del titolare, risultano da altre parti del documento in cui è presente l'informativa; i) è invece necessario fornire un'informativa specifica o ad hoc quando il trattamento ha caratteristiche del tutto particolari perché coinvolge, ad esempio, peculiari informazioni (es. dati genetici) o prevede forme inusuali di utilizzazione di dati, specie sensibili, rispetto alle ordinarie esigenze amministrative e contabili, o può comportare rischi specifici per gli interessati (ad esempio, rispetto a determinate forme di uso di dati biometrici o di controllo delle attività dei lavoratori).


La semplificazione del consenso- Ordinarie finalità

Provv. 19 giugno 2008Il Garante invita tutti i titolari del trattamento pubblici e privati a non chiedere il consenso degli interessati quando il trattamento dei dati è svolto, anche in relazione all'adempimento di obblighi contrattuali, precontrattuali o normativi, esclusivamente per correnti finalità amministrative e contabili, nonché quando i dati provengono da pubblici registri ed elenchi pubblici conoscibili da chiunque, o sono relativi allo svolgimento di attività economiche o sono trattati da un soggetto pubblico

i titolari del trattamento in ambito privato che hanno venduto un prodotto o prestato un servizio, nel quadro del perseguimento di ordinarie finalità amministrative e contabili, possono utilizzare senza il consenso i recapiti (oltre che di posta elettronica come già previsto per legge) di posta cartacea forniti dall'interessato, ai fini dell'invio diretto di proprio materiale pubblicitario o di propria vendita diretta o per il compimento di proprie ricerche di mercato o di comunicazione commerciale. Ciò a condizione che: a) tale attività promozionale riguardi beni e servizi del medesimo titolare e analoghi a quelli oggetto della vendita; b) l'interessato, al momento della raccolta e in occasione dell'invio di ogni comunicazione effettuata per le menzionate finalità, sia informato della possibilità di opporsi in ogni momento al trattamento, in maniera agevole e gratuitamente, anche mediante l'utilizzo della posta elettronica o del fax o del telefono e di ottenere un immediato riscontro che confermi l'interruzione di tale trattamento (art. 7, comma 4); c) l'interessato medesimo, così adeguatamente informato già prima dell'instaurazione del rapporto, non si opponga a tale uso, inizialmente o in occasione di successive

comunicazioni >>> ESTENSIONE DELL’AMBITO DI APPLICAZIONE DELL’ART. 130 c. 4 ALLE COMUNICAZIONI PER POSTA TRADIZIONALE

La semplificazione del consenso- Marketing vs. cliente

Provv. 19 giugno 2008

La semplificazione degli incarichi – Provv. 19 giugno 2008

Gli incaricatiOperano sotto la

diretta autorità del titolare o del responsabile

Sono persone fisiche da designare per

iscrittoDevono attenersi alle

istruzioni del titolare o del responsabile

La loro nomina è “obbligatoria”

Il Garante richiama l'attenzione dei titolari del trattamento sulla circostanza che la designazione degli incaricati del trattamento può avvenire in modo semplificato evitando singoli atti circostanziati relativi distintamente a ciascun incaricato, individuando i trattamenti di dati e le relative modalità che sono consentiti all'unità cui sono addetti gli incaricati stessi (art. 30)

« 1-bis. Per i soggetti che trattano soltanto dati personali non sensibili e che trattano come unici dati sensibili quelli costituiti dallo stato di salute o malattia dei propri dipendenti e collaboratori anche a progetto, senza indicazione della relativa diagnosi, ovvero dall'adesione ad organizzazioni sindacali o a carattere sindacale, la tenuta di un aggiornato documento programmatico sulla sicurezza e' sostituita dall'obbligo di autocertificazione, resa dal titolare del trattamento ai sensi dell'articolo 47 del testo unico di cui al decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, di trattare soltanto tali dati in osservanza delle altre misure di sicurezza prescritte. In relazione a tali trattamenti, nonché a trattamenti comunque effettuati per correnti finalità amministrative e contabili, in particolare presso piccole e medie imprese, liberi professionisti e artigiani, il Garante, sentito il Ministro per la semplificazione normativa, individua con proprio provvedimento, da aggiornare periodicamente, modalità semplificate di applicazione del disciplinare tecnico di cui all'Allegato B) in ordine all'adozione delle misure minime di cui al comma 1».

1. All'articolo 34 del codice in materia di protezione dei dati personali, di cui al decreto legislativo 30 giugno 2003, n. 196, dopo il comma 1 e' aggiunto il seguente:

La semplificazione del DPS e delle misure minime- L. 133/2008 e Provv. 27 novembre 2008

Bisogna distinguere tra due aspetti differenti:

•La non obbligatorietà della redazione del DPS e la sostituzione della stessa con un documento di autocertificazione.

•L’applicazione di misure minime semplificate relativamente al trattamento di determinati dati.

La semplificazione del DPS e delle misure minime- L. 133/2008 e Provv. 27 novembre 2008

La non obbligatorietà della redazione del DPS e la sostituzione della stessa con un documento di autocertificazione si applica ai Titolari

“…che trattano come unici dati sensibili quelli costituiti dallo stato di salute o malattia dei propri dipendenti e collaboratori anche a progetto, senza indicazione della relativa diagnosi, ovvero dall'adesione ad organizzazioni sindacali o a carattere sindacale…”.

I due punti I due punti chiave…chiave…

L’applicazione di misure minime semplificate si applica non solamente ai soggetti di cui al punto precedente, ma a qualunque tipo di soggetto limitatamente però ai trattamenti di cui sopra (stato di salute o malattia senza indicazione della diagnosi, iscrizione a sindacati) nonché ai trattamenti “…effettuati per correnti finalità amministrative e contabili, in particolare presso piccole e medie imprese, liberi professionisti e artigiani…”

Per il dettaglio delle misure minime semplificate >>> Provv. 27 novembre 2008 in GU n. 287 del 9 dicembre 2008

I due punti I due punti chiave…chiave…

La semplificazione della notificazione al Garante – L. 133/2008

La notificazione è validamente effettuata solo se è trasmessa per via telematica utilizzando il modello predisposto dal Garante e osservando le prescrizioni da questi impartite, anche per quanto riguarda le modalità di sottoscrizione con firma digitale e di conferma del ricevimento della notificazione

PRIMA DOPOLa notificazione e' validamente effettuata solo se e' trasmessa attraverso il sito del Garante, utilizzando l'apposito modello, che contiene la richiesta di fornire tutte e soltanto le seguenti informazioni: a) le coordinate identificative del titolare del trattamento e, eventualmente, del suo rappresentante, nonche’ le modalita' per individuare il responsabile del trattamento se designato; b) la o le finalita' del trattamento; c) una descrizione della o delle categorie di persone interessate e dei dati o delle categorie di dati relativi alle medesime; d) i destinatari o le categorie di destinatari a cui i dati possono essere comunicati; e) i trasferimenti di dati previsti verso Paesi terzi; f) una descrizione generale che permetta di valutare in via preliminare l'adeguatezza delle misure adottate per garantire la sicurezza del trattamento Con Del. 22 ottobre 2008 (Gazz. Uff. 9 dicembre 2008, n. 287) sono state introdotte alcune semplificazioni al modello di notificazione

UPGRADENuovi

provvedimentiNuove sanzioniNuovi rischi

La “rottamazione” degli hard disk– Comunicato del 5 dicembre 2008

La “rottamazione” degli hard disk– Provv. del 13 ottobre 2008

VISTI gli atti d’ufficio relativi alla problematica del rinvenimento di dati personali all’interno di apparecchiature elettriche ed elettroniche cedute a un rivenditore per la dismissione o la vendita o a seguito di riparazioni e sostituzioni; viste, altresì, le recenti notizie di stampa in ordine al rinvenimento da parte dell’acquirente di un disco rigido usato, commercializzato attraverso un sito Internet, di dati bancari relativi a oltre un milione di individui contenuti nel disco medesimo (…)

RILEVATA la necessità di richiamare l’attenzione su tali rischi di persone giuridiche, pubbliche amministrazioni, altri enti e persone fisiche che, avendone fatto uso nello svolgimento delle proprie attività, in particolare quelle industriali, commerciali, professionali o istituzionali (di seguito sinteticamente individuati con la locuzione “titolari del trattamento”: art. 4, comma 1, lett. f) del Codice), dismettono sistemi informatici o, più in generale, apparecchiature elettriche ed elettroniche contenenti dati personali (come pure dei soggetti che, su base individuale o collettiva, provvedono al reimpiego, al riciclaggio o allo smaltimento dei rifiuti di dette apparecchiature);


RILEVATO che ogni titolare del trattamento deve quindi adottare appropriate misure organizzative e tecniche volte a garantire la sicurezza dei dati personali trattati e la loro protezione anche nei confronti di accessi non autorizzati che possono verificarsi in occasione della dismissione dei menzionati apparati elettrici ed elettronici (artt. 31 ss. del Codice); ciò, considerato anche che, impregiudicati eventuali accordi che prevedano diversamente, produttori, distributori e centri di assistenza di apparecchiature elettriche ed elettroniche non risultano essere soggetti, in base alla particolare disciplina di settore, a specifici obblighi di distruzione dei dati personali eventualmente memorizzati nelle apparecchiature elettriche ed elettroniche a essi consegnate (…)RILEVATO che le misure da adottare in occasione della dismissione di componenti elettrici ed elettronici suscettibili di memorizzare dati personali devono consistere nell’effettiva cancellazione o trasformazione in forma non intelligibile dei dati personali negli stessi contenute, sì da impedire a soggetti non autorizzati che abbiano a vario titolo la disponibilità materiale dei supporti di venirne a conoscenza non avendone diritto (si pensi, ad esempio, ai dati personali memorizzati sul disco rigido dei personal computer o nelle cartelle di posta elettronica, oppure custoditi nelle rubriche dei terminali di comunicazione elettronica)


CONSIDERATO che tali misure risultano allo stato già previste quali misure minime di sicurezza per i trattamenti di dati sensibili o giudiziari, sulla base delle regole 21 e 22 del disciplinare tecnico in materia di misure minime di sicurezza che disciplinano la custodia e l’uso dei supporti rimovibili sui quali sono memorizzati i dati, che vincolano il riutilizzo dei supporti alla cancellazione effettiva dei dati o alla loro trasformazione in forma non intelligibile; RITENUTO che i titolari del trattamento, in occasione della dismissione delle menzionate apparecchiature elettriche ed elettroniche, qualora siano sprovvisti delle necessarie competenze e strumentazioni tecniche per la cancellazione dei dati personali, possono ricorrere all’ausilio o conferendo incarico a soggetti tecnicamente qualificati in grado di porre in essere le misure idonee a cancellare effettivamente o rendere non intelligibili i dati, quali centri di assistenza, produttori e distributori di apparecchiature che attestino l’esecuzione di tali operazioni o si impegnino ad effettuarle; RITENUTO che chi procede al reimpiego o al riciclaggio di rifiuti di apparecchiature elettriche ed elettroniche o di loro componenti debba comunque assicurarsi dell’inesistenza o della non intelligibilità di dati personali sui supporti, acquisendo, ove possibile, l’autorizzazione a cancellarli o a renderli non intelligibili;


TUTTO CIÒ PREMESSO IL GARANTE1. ai sensi dell’art. 154, comma 1, lett. h) del Codice, richiama l’attenzione di persone giuridiche, pubbliche amministrazioni, altri enti e persone fisiche che, avendone fatto uso nello svolgimento delle proprie attività, in particolare quelle industriali, commerciali, professionali o istituzionali, non distruggono, ma dismettono supporti che contengono dati personali, sulla necessità di adottare idonei accorgimenti e misure, anche con l’ausilio di terzi tecnicamente qualificati, volti a prevenire accessi non consentiti ai dati personali memorizzati nelle apparecchiature elettriche ed elettroniche destinate a essere:a.reimpiegate o riciclate, anche seguendo le procedure di cui all’allegato A);b. smaltite, anche seguendo le procedure di cui all’allegato B).Tali misure e accorgimenti possono essere attuate anche con l’ausilio o conferendo incarico a terzi tecnicamente qualificati, quali centri di assistenza, produttori e distributori di apparecchiature che attestino l’esecuzione delle operazioni effettuate o che si impegnino ad effettuarle.Chi procede al reimpiego o al riciclaggio di rifiuti di apparecchiature elettriche ed elettroniche o di loro componenti è comunque tenuto ad assicurarsi dell’inesistenza o della non intelligibilità di dati personali sui supporti, acquisendo, ove possibile, l’autorizzazione a cancellarli o a renderli non intelligibili;

Le novità sugli Amministratori di Sistema Provv. 27 novembre 2008Gli "amministratori di sistema" sono figure essenziali per

la sicurezza delle banche dati e la corretta gestione delle reti telematiche. Sono esperti chiamati a svolgere delicate funzioni che comportano la concreta capacità di accedere a tutti i dati che transitano sulle reti aziendali ed istituzionali. Ad essi viene affidato spesso anche il compito di vigilare sul corretto utilizzo dei sistemi informatici di un'azienda o di una pubblica amministrazione. Le ispezioni effettuate in questi anni dall'Autorità hanno permesso di mettere in luce in diversi casi una scarsa consapevolezza da parte di organizzazioni grandi e piccole del ruolo svolto dagli amministratori di sistema. I gravi casi verificatisi negli ultimi anni hanno evidenziato una preoccupante sottovalutazione dei rischi che possono derivare quando l'attività di questi esperti sia svolta senza il necessario controllo.

Le novità sugli Amministratori di Sistema Provv. 27 novembre 2008CONSTATATO che lo svolgimento delle mansioni di un

amministratore di sistema, anche a seguito di una sua formale designazione quale responsabile o incaricato del trattamento, comporta di regola la concreta capacità, per atto intenzionale, ma anche per caso fortuito, di accedere in modo privilegiato a risorse del sistema informativo e a dati personali cui non si è legittimati ad accedere rispetto ai profili di autorizzazione attribuiti;

CONSTATATO che l'individuazione dei soggetti idonei a svolgere le mansioni di amministratore di sistema riveste una notevole importanza, costituendo una delle scelte fondamentali che, unitamente a quelle relative alle tecnologie, contribuiscono a incrementare la complessiva sicurezza dei trattamenti svolti, e va perciò curata in modo particolare evitando incauti affidamenti;

Le novità sugli Amministratori di Sistema Provv. 27 novembre 2008definizione di "amministratore di sistema"

figure professionali finalizzate alla gestione e alla manutenzione di un impianto di elaborazione o di sue componenti.Ai fini del presente provvedimento vengono però considerate tali anche altre figure equiparabili dal punto di vista dei rischi relativi alla protezione dei dati, quali gli amministratori di basi di dati, gli amministratori di reti e di apparati di sicurezza e gli amministratori di sistemi software complessi.

Attività tecniche quali il salvataggio dei dati (backup/recovery), l'organizzazione dei flussi di rete, la gestione dei supporti di memorizzazione e la manutenzione hardware comportano infatti, in molti casi, un'effettiva capacità di azione su informazioni che va considerata a tutti gli effetti alla stregua di un trattamento di dati personali; ciò, anche quando l'amministratore non consulti "in chiaro" le informazioni medesime.

Le novità sugli Amministratori di Sistema Provv. 27 novembre 2008Il Codice non ha incluso questa figura tra le proprie definizioni normative.

Tuttavia le funzioni tipiche dell'amministrazione di un sistema sono richiamate nel menzionato Allegato B, nella parte in cui prevede l'obbligo per i titolari di assicurare la custodia delle componenti riservate delle credenziali di autenticazione. Gran parte dei compiti previsti nel medesimo Allegato B spettano tipicamente all'amministratore di sistema: dalla realizzazione di copie di sicurezza (operazioni di backup e recovery dei dati) alla custodia delle credenziali alla gestione dei sistemi di autenticazione e di autorizzazione. Nel loro complesso, le norme predette mettono in rilievo la particolare capacità di azione propria degli amministratori di sistema e la natura fiduciaria delle relative mansioni, analoga a quella che, in un contesto del tutto differente, caratterizza determinati incarichi di custodia e altre attività per il cui svolgimento è previsto il possesso di particolari requisiti tecnico-organizzativi, di onorabilità, professionali, morali o di condotta, a oggi non contemplati per lo svolgimento di uno dei ruoli più delicati della "Società dell'informazione"

Le novità sugli Amministratori di Sistema Provv. 27 novembre 2008

Segnalazione ai titolari di trattamenti relativa alle funzioni di amministratore di sistema > si applica a tutti!Ai sensi del menzionato art. 154, comma 1, lett. h) il Garante, nel segnalare a tutti i titolari di trattamenti di dati personali soggetti all'ambito applicativo del Codice ed effettuati con strumenti elettronici la particolare criticità del ruolo degli amministratori di sistema, richiama l'attenzione dei medesimi titolari sulla necessità di adottare idonee cautele volte a prevenire e ad accertare eventuali accessi non consentiti ai dati personali, in specie quelli realizzati con abuso della qualità di amministratore di sistema; richiama inoltre l'attenzione sull'esigenza di valutare con particolare cura l'attribuzione di funzioni tecniche propriamente corrispondenti o assimilabili a quelle di amministratore di sistema, laddove queste siano esercitate in un contesto che renda ad essi tecnicamente possibile l'accesso, anche fortuito, a dati personali. Ciò, tenendo in considerazione l'opportunità o meno di tale attribuzione e le concrete modalità sulla base delle quali si svolge l'incarico, unitamente alle qualità tecniche, professionali e di condotta del soggetto individuato



MISURE E ACCORGIMENTI PRESCRITTI AI TITOLARI DEI TRATTAMENTI EFFETTUATI CON STRUMENTI ELETTRONICI ai sensi dell'art. 154, comma 1, lett. c) del Codice esclusi, allo stato, quelli effettuati in ambito pubblico e privato a fini amministrativo-contabili che, ponendo minori rischi per gli interessati, sono stati oggetto delle recenti misure di semplificazione

1-Valutazione delle caratteristiche soggettiveL'attribuzione delle funzioni di amministratore di sistema deve avvenire previa valutazione dell'esperienza, della capacità e dell'affidabilità del soggetto designato, il quale deve fornire idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento ivi compreso il profilo relativo alla sicurezza.

2-Designazioni individualiLa designazione quale amministratore di sistema deve essere in ogni caso individuale e recare l'elencazione analitica degli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato.

Le novità sugli Amministratori di Sistema Provv. 27 novembre 2008MISURE E ACCORGIMENTI PRESCRITTI AI TITOLARI DEI TRATTAMENTI

EFFETTUATI CON STRUMENTI ELETTRONICI ai sensi dell'art. 154, comma 1, lett. c) del Codice esclusi, allo stato, quelli effettuati in ambito pubblico e privato a fini amministrativo-contabili che, ponendo minori rischi per gli interessati, sono stati oggetto delle recenti misure di semplificazione

NB: UNICA ESCLUSIONEi titolari di alcuni trattamenti effettuati in ambito pubblico e privato a fini amministrativo-contabili, i quali pongono minori rischi per gli interessati e sono stati pertanto oggetto di recenti misure di semplificazione (art. 29 d.l. 25 giugno 2008, n. 112, conv., con mod., con l. 6 agosto 2008, n. 133; art. 34 del Codice; Provv. Garante 6 novembre 2008), debbano essere allo stato esclusi dall'ambito applicativo del presente provvedimento.

gestione di informazioni attinenti ad altre imprese, amministrazioni, clienti, fornitori e dipendenti utilizzate, anche in relazione a obblighi contrattuali e normativi, per correnti finalità amministrative e contabili

Le novità sugli Amministratori di Sistema Provv. 27 novembre 20083- Redazione, conservazione ed aggiornamento di un “elenco degli

amministratori di sistema” (anche per i casi di outsourcing)Gli estremi identificativi delle persone fisiche amministratori di sistema, con l'elenco delle funzioni ad essi attribuite, devono essere riportati nel documento programmatico sulla sicurezza. Nel caso di servizi di amministrazione di sistema affidati in outsourcing il Titolare deve conservare direttamente e specificamente, per ogni eventuale evenienza, gli estremi identificativi delle persone fisiche preposte quali amministratori di sistema.4- Informazione ai lavoratoriQualora l'attività degli amministratori di sistema riguardi anche indirettamente servizi o sistemi che trattano o che permettono il trattamento di informazioni di carattere personale di lavoratori, il Titolare deve rendere nota o conoscibile l'identità degli amministratori di sistema nell'ambito delle proprie organizzazioni, in relazione ai diversi servizi informatici cui questi sono preposti.

Le novità sugli Amministratori di Sistema Provv. 27 novembre 20085- Verifica delle attività

L'operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, di un'attività di verifica da parte del Titolare, in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza rispetto ai trattamenti dei dati personali previste dalle norme vigenti.

6- Registrazione degli accessiDevono essere adottati sistemi idonei alla registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema. Le registrazioni (access log) devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo di verifica per cui sono richieste. Le registrazioni devono comprendere i riferimenti temporali e la descrizione dell'evento che le ha generate e devono essere conservate per un congruo periodo, non inferiore a sei mesi.

LE NUOVE SANZIONI

Il quadro delle sanzioni

•Omessa o inidonea informativa•Cessione dei dati con finalità non omogenee Inosservanza delle modalità di comunicazione al paziente del proprio stato di salute •Omissione delle misure minime •Trattamento illecito di dati •Inosservanza di prescrizione di misure o di divieti del Garante•Violazione dei termini di conservazione dei dati di traffico •Omessa, incompleta o intempestiva notificazione•Omessa informazione e esibizione di documenti

Linee di fondo

1Aumento sanzioni pecuniarie preesistenti

2Riduzione dei min. e max. per violazioni di minore gravità

3Introduzione nuove sanzioni pecuniarie

4Maggiore “scalabilità” (!) delle sanzioni

5Valorizzazione ruolo “normativo” del Garante

IN ESTREMA SINTESIMaggiori poteri al Garante

1 Aumento sanzioni pecuniarie preesistenti

Omessa o inidonea informativa (art. 161)PRIMA DOPO

pagamento di una somma da tremila euro a diciottomila euro o, nei casi di dati sensibili o giudiziari o di trattamenti che presentano rischi specifici ai sensi dell'articolo 17 o, comunque, di maggiore rilevanza del pregiudizio per uno o più interessati, da cinquemila euro a trentamila euro. La somma può essere aumentata sino al triplo quando risulta inefficace in ragione delle condizioni economiche del contravventore

pagamento di una somma da seimila euro a trentaseimila euro


Cessione dei dati con finalità non omogenee (art. 162, c. 1)

PRIMA DOPO

pagamento di una somma da cinque mila euro a trentamila euro

pagamento di una somma da diecimila euro a sessantamila

euro

Inosservanza delle modalità di comunicazione al paziente del proprio stato di salute (art. 162, c. 2)

PRIMA DOPO

pagamento di una somma da cinquecento euro a tremila euro

pagamento di una somma da mille euro a seimila euro


Omessa o incompleta notificazione (art. 163) PRIMA DOPO

pagamento di una somma da diecimila euro a sessantamila euro

pagamento di una somma da ventimila euro a centoventimila

euro

Omessa informazione o esibizione al Garante (art. 164)

PRIMA DOPO

pagamento di una somma da quattromila euro a ventiquattro mila euro

pagamento di una somma da diecimila euro a sessantamila

euro

2 Riduzione dei min. e max. per violazioni di minore gravità

Se taluna delle violazioni di cui agli articoli 161, 162, 163 e 164 è di minore gravità, avuto altresì riguardo alla natura anche economica o sociale dell'attività svolta, i limiti minimi e massimi stabiliti dai medesimi articoli sono applicati in misura pari a due quinti.

Esempioper l’omessa informativa

Min ord Max ord Min rid Max rid

6000 36000 1200 7200

3 Introduzione nuove sanzioni pecuniarie

Omissione misure minime di sicurezza ex art. 33sanzione del pagamento di una somma da ventimila euro a centoventimila euro, con esclusione del pagamento in misura ridotta >>> correlativamente, scompare dal reato ex art. 169 “l'ammenda da diecimila euro a cinquantamila euro”>> si applica la sanzione suddetta

Violazione delle disposizioni indicate nell'articolo 167 sanzione del pagamento di una somma da ventimila euro a centoventimila euro, con possibilità del pagamento in misura ridotta

3 Introduzione nuove sanzioni pecuniarie5 Valorizzazione ruolo “normativo” del Garante

Inosservanza dei provvedimenti di prescrizione di misure necessarie o di divieto ex art. 154, comma 1, lettere c) e d)in ogni caso, pagamento di una somma da trentamila euro a centottantamila euro Art. 154 Il Garante ha il compito di:

c) prescrivere anche d'ufficio ai titolari del trattamento le misure necessarie o opportune al fine di rendere il trattamento conforme alle disposizioni vigenti, ai sensi dell'articolo 143;

d) vietare anche d'ufficio, in tutto o in parte, il trattamento illecito o non corretto dei dati o disporne il blocco ai sensi dell'articolo 143, e di adottare gli altri provvedimenti previsti dalla disciplina applicabile al trattamento dei dati personali

3 Introduzione nuove sanzioni pecuniarie5 Valorizzazione ruolo “normativo” del Garante

ESEMPI DI PROVVEDIMENTI DEL GARANTE SANZIONABILI- Provv. 27/11/2008 Amministratori di sistema- Provv. 19/6/2008 Semplificazioni tratt. amministrativi e contabili- Provv. 1/3/2007 Controlli su internet ed e-mail (in parte: “prescrive ai datori di lavoro privati e pubblici, ai sensi dell'art. 154, comma 1, lett. c), del Codice, di adottare la misura necessaria a garanzia degli interessati, nei termini di cui in motivazione, riguardante l'onere di specificare le modalità di utilizzo della posta elettronica e della rete Internet da parte dei lavoratori (punto 3.1.), indicando chiaramente le modalità di uso degli strumenti messi a disposizione e se, in

che misura e con quali modalità vengano effettuati controlli”) - Provv. 29/4/2004 Videosorveglianza

ESEMPI DI PROVVEDIMENTI DEL GARANTE NON SANZIONABILI- Provv. 13/10/2008 Rottamazione HD- Provv. 26/06/2008 Linee Guida per consulenti e periti

Linee guida per posta elettronica e internet

(Deliberazione n. 13 del 1° marzo 2007)



Struttura fondamentale- 4 puntiCon il provvedimento n. 13/2007 il Garante:1. prescrive alcuni adempimenti obbligatori2. adotta numerose Linee Guida a garanzia degli interessati3. vieta alcuni comportamenti che integrano il controllo a distanza4. stabilisce una nuova ipotesi di “bilanciamento di interessi” relativamente a talune forme di controllo

Divieto

“Balance”

Prescrizioni

Linee Guida



Decisione su modalità utilizzo Il datore di lavoro deve indicare in ogni caso, chiaramente e in modo particolareggiato, quali siano le modalità di utilizzo degli strumenti messi a disposizione ritenute corrette e se, in che misura e con quali modalità vengano effettuati controlli.

Divieto

“Balance”

Prescrizioni

Linee Guida

Azio

ne

ob

blig

ato

ria!!

!

Pubblicità: a seconda del genere e della complessità delle attività svolte, informando il personale con mezzi diverse anche a seconda delle dimensioni della struttura (tenendo conto, ad esempio, di piccole realtà dove vi è una continua condivisione interpersonale di risorse informative).



Informativa ex art. 13 Informare comunque gli interessati ai sensi dell'art. 13 del Codice rispetto alle policy stabilite

Quanto ai controlli, diritto di essere informati preventivamente, e in modo chiaro, sui trattamenti di dati che possono riguardarli.Devono essere tra l'altro indicate le principali caratteristiche dei trattamenti, nonché il soggetto o l'unità organizzativa ai quali i lavoratori possono rivolgersi per esercitare i propri diritti.

Divieto

“Balance”

Prescrizioni

Linee Guida

Azio

ne

ob

blig

ato

ria!!

!



No a sistemi preordinati ai controlli (controlli intenzionali)Principio di fondo: “divieto di installare

"apparecchiature per finalità di controllo a distanza dell'attività dei lavoratori" (art. 4, primo comma, l. n. 300/1970), tra cui sono certamente comprese strumentazioni hardware e software mirate al controllo dell'utente di un sistema di

comunicazione elettronica” ERGO non si può procedere a (NB:, neppure quando i singoli lavoratori ne siano consapevoli)

Divieto

“Balance”

Prescrizioni

Linee Guida

Lim

ite r

igoro

so

1. lettura e registrazione sistematica dei messaggi di posta elettronica ovvero dei relativi dati esteriori, al di là di quanto tecnicamente necessario per svolgere il servizio e-mail;2. riproduzione ed eventuale memorizzazione sistematica delle pagine web visualizzate dal lavoratore;3. lettura e registrazione dei caratteri inseriti tramite la tastiera o analogo dispositivo;4. analisi occulta di computer portatili affidati in uso.

4 Maggiore scalabilità (!) delle sanzioni

In caso di più violazioni di un'unica o di più disposizioni di cui al presente Capo, a eccezione di quelle previste dagli articoli 162, comma 2 (comunicazione all’interessato di dati sulla sua salute), 162-bis (conservazione dati di traffico) e 164 (omessa informazione o esibizione al

Garante), commesse anche in tempi diversi in relazione a banche di dati di particolare rilevanza o dimensioni, si applica la sanzione amministrativa del pagamento di una somma da cinquantamila euro a trecentomila euro. Non è ammesso il pagamento in misura ridotta.

4 Maggiore scalabilità (!) delle sanzioni

In altri casi di maggiore gravità e, in particolare, di maggiore rilevanza del pregiudizio per uno o più interessati, ovvero quando la violazione coinvolge numerosi interessati, i limiti minimo e massimo delle sanzioni di cui al presente Capo sono applicati in misura pari al doppio. Le sanzioni di cui al presente Capo possono essere aumentate fino al quadruplo quando possono risultare inefficaci in ragione delle condizioni economiche del contravventore

Documents

Privacy: rischi e novità Le nuove norme ecc. ecc. ecc…