Semplificazione e Salvezza:

Transcript

1 Confindustria Perugia martedì 6 marzo 2012 Semplificazione e Salvezza: alcuni spunti problematici in materia di privacy: (avv. Andrea Vignaroli)

2 D.L del 6 dicembre 2011,conv. in L. 214 /2011 Decreto Salva Italia Art. 40 Riduzione degli adempimenti amministrativi per le imprese (omissis) 2. Per la riduzione degli oneri in materia di privacy, sono apportate le seguenti modifiche al decreto legislativo 30 giugno 2003, n. 196: a) all'articolo 4, comma 1, alla lettera b), le parole "persona giuridica, ente od associazione" sono soppresse e le parole"identificati o identificabili" sono sostituite dalle parole "identificata o identificabile". b) All'articolo 4, comma 1, alla lettera i), le parole "la persona giuridica, l'ente o l'associazione" sono soppresse. c) Il comma 3-bis dell'articolo 5 e' abrogato. d) Al comma 4, dell'articolo 9, l'ultimo periodo e' soppresso. e) La lettera h) del comma i dell'articolo 43 e' soppressa. (omissis)

3 Definizioni essenziali dato personale: qualunque informazione relativa a persona fisica (o giuridica), individuata o comunque individuabile trattamento: qualunque operazione che abbia ad oggetto dati personali

4 interessato la persona fisica (giuridica, l ente o l associazione) cui si riferiscono i dati personali

5 semplificazioni al quadrato Il comma, 3-bis, aggiunto dall'art. 6, comma 2, lettera a), numero 1), del decreto legge 13 maggio 2011, n. 70, convertito, con modificazioni, dalla legge 12 luglio 2011, n. 106, è stato successivamente abrogato dall'art. 40, comma 2, lettera c), del decreto legge 6 dicembre 2011, n. 201, convertito, con modificazioni, dalla legge 22 dicembre 2011, n "Il trattamento dei dati personali relativi a persone giuridiche, imprese, enti o associazioni effettuato nell'ambito di rapporti intercorrenti esclusivamente tra i medesimi soggetti per le finalità amministrativo - contabili, come definite all'articolo 34, comma 1-ter, non è soggetto all'applicazione del presente codice."

6 Titolare del trattamento E la persona fisica, giuridica e qualsiasi altro ente, associazione ed organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alla finalità, alle modalità di trattamento dei dati personali ed agli strumenti utilizzati, ivi compreso il profilo della sicurezza

7 Titolare Quando il trattamento è effettuato da soggetto non persona fisica, titolare del trattamento è l entità nel suo complesso o l unità od organismo periferico che esercita un potere decisionale del tutto autonomo su finalità e modalità del trattamento, ivi compreso il profilo della sicurezza. Titolare = autonomia decisionale su fini e strumenti del trattamento

8 Responsabile del Trattamento E la persona fisica, giuridica e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento dei dati personali: possono assumere tale qualifica sia lavoratori subordinati al Titolare che enti od organismi autonomi, come società affidatarie di una o più attività

9 Responsabile del Trattamento la nomina del Responsabile è facoltativa deve essere affidabile, esperto e capace può esserci una pluralità di responsabili, anche mediante suddivisione dei compiti il Titolare deve specificare analiticamente e per iscritto i compiti affidati al reponsabile il Titolare deve fornire istruzioni e vigilare sul loro rispetto

10 incaricati Sono i soggetti autorizzati dal Titolare o dal Responsabile a compiere operazioni di trattamento dei dati personali

11 incaricati Tutti coloro che per lo svolgimento della propria attività lavorativa vengono a conoscenza di dati personali devono necessariamente essere designati come incaricati

12 incaricati l incaricato: deve operare sotto la diretta sorveglianza del Titolare o del Responsabile deve ricevere adeguate istruzioni ed attenersi ad esse

13 incaricati La formale designazione può essere realizzata in due modi alternativi: o con un atto di nomina ad personam oppure con una designazione impersonale: la designazione può infatti derivare anche dall assegnazione a un ufficio per il quale è precisato l ambito del trattamento in un organigramma, in un contratto o in un mansionario

14 I diritti dell interessato (titolo II) Diritto di conoscenza art Diritto di intervento art. 7 3 Diritto di opposizione art. 7 4 Tali diritti vengono comunque esercitati nei confronti del Titolare del Trattamento

15 Principi generali (titolo I) principio di necessità (art. 3) principio di universalità (art. 6) principio di liceità, esattezza e pertinenza (art. 11)

16 Regole per tutti i trattamenti (titolo III Capo I) modalità del trattamento (lecito, corretto, raccolti e registrati per scopi espliciti e legittimi, coerenti col trattamento e con quello compatibili, conservati ai fini identificativi per il tempo necessario allo scopo per il quale il dato è raccolto e trattato) requisiti dei dati (esatti, pertinenti, completi, non eccedenti rispetto alle finalità)

17 Regole per tutti i trattamenti (titolo III-Capo I) Responsabilità in ogni caso proprie del titolare: danni cagionati per effetto del trattamento (art. 15) - attività pericolosa (art c.c.) violazione delle norme che stabiliscono le modalità del trattamento (art. 11) per danni patrimoniali e non patrimoniali

18 D.L. 9 febbraio 2012, n. 5 Disposizioni urgenti in materia di semplificazione e di sviluppo in vigore dal 10 febbraio 2012 (GU n. 33 del Suppl. Ordinario n.27) Art. 45 Semplificazioni in materia di dati personali Al decreto legislativo 30 giugno 2003, n. 196, sono apportate le seguenti modificazioni: omissis c) all'articolo 34 è soppressa la lettera g) del comma 1 ed è abrogato il comma 1-bis; d) nel disciplinare tecnico in materia di misure minime di sicurezza di cui all'allegato B sono soppressi i paragrafi da 19 a 19.8 e 26.

19 Misure di sicurezza (art. 31 ) I dati personali devono essere custoditi e controllati con misure di sicurezza adeguate a ridurre al minimo i rischi di distruzione o di perdita, di accesso non autorizzato, di trattamento illecito o non conforme alle finalità della raccolta

20 Misure minime di sicurezza (artt. 33 ss.) Il trattamento operato con strumenti elettronici deve avvenire solo tramite sistemi e procedure di autorizzazione all accesso nonché di autenticazione, protezione di hardware, software e dei dati, oltre che di back up

21 Misure minime di sicurezza (artt. 33 ss.) Il trattamento non automatizzato (su carta) richiede la verifica periodica dei livelli di autorizzazione agli incaricati o alle unità organizzative e la predisposizione di procedure di custodia e conservazione

22 Misure minime di sicurezza (artt. 33 e ss. ) I titolari del trattamento devono adottare misure minime di sicurezza individuate nel Codice: anche con la nomina di Responsabili tale obbligo continua a gravare esclusivamente sul Titolare del trattamento

23 Primo intervento di semplificazione: Provvedimento Garante 19 giugno 2008 informativa - è consentito fornire un'unica informativa per l'intero complesso dei trattamenti (anche per le eventuali cessioni a terzi); - ammissibile anche l'utilizzo di informative orali, con eventuale rinvio ad un testo scritto più articolato; - non burocraticità dell'informativa

24 Semplificazioni politiche prima che tecniche : decreto legge 13 maggio 2011, n. 70, convertito, con modificazioni, dalla legge 12 luglio 2011, n. 106 all'articolo 13, comma 5, e' aggiunto in fine il seguente: "5-bis. L'informativa di cui al comma 1 non e' dovuta in caso di ricezione di curricula spontaneamente trasmessi dagli interessati ai fini dell'eventuale instaurazione di un rapporto di lavoro. Al momento del primo contatto successivo all'invio del curriculum, il titolare e' tenuto a fornire all'interessato, anche oralmente, una informativa breve contenente almeno gli elementi di cui al comma 1, lettere a)[finalità e modalità del trattamento], d) [soggetti cui i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati ed ambito di diffusione]; ed f) [estremi identificativi del titolare e dei responsabili]

25 Primo intervento di semplificazione: Provvedimento Garante 19 giugno 2008 consenso dell'interessato bilanciamento degli interessi : - si applica anche al caso in cui il titolare ha già venduto un prodotto o prestato un servizio all'interessato: possibile l'utilizzo dei recapiti o postali per l'invio di ulteriore materiale pubblicitario, per vendita diretta, per compiere ricerche di mercato

26 Semplificazioni politiche prima che tecniche : decreto legge 13 maggio 2011, n. 70, convertito, con modificazioni, dalla legge 12 luglio 2011, n ) articolo 34 comma 1-bis: Per i soggetti che trattano soltanto dati personali non sensibili e che trattano come unici dati sensibili e giudiziari quelli relativi ai propri dipendenti e collaboratori, anche se extracomunitari, compresi quelli relativi al coniuge e ai parenti, la tenuta di un aggiornato documento programmatico sulla sicurezza e' sostituita dall'obbligo di autocertificazione, resa dal titolare del trattamento ai sensi dell'articolo 47 del testo unico di cui al decreto del Presidente della Repubblica 28 dicembre 2000, n.445, di trattare soltanto tali dati in osservanza delle misure minime di sicurezza previste dal presente codice e dal disciplinare tecnico contenuto nell'allegato B). In relazione a tali trattamenti, nonche' a trattamenti comunque effettuati per correnti finalita' amministrativo - contabili, in particolare presso piccole e medie imprese, liberi professionisti e artigiani, il Garante, sentiti il Ministro per la semplificazione normativa e il Ministro per la pubblica amministrazione e l'innovazione, individua con proprio provvedimento, da aggiornare periodicamente, modalita' semplificate di applicazione del disciplinare tecnico contenuto nel citato allegato B) in ordine all'adozione delle misure minime di cui al comma 1.

27 Semplificazioni politiche prima che tecniche : decreto legge 13 maggio 2011, n. 70, convertito, con modificazioni, dalla legge 12 luglio 2011, n ter. Ai fini dell'applicazione delle disposizioni in materia di protezione dei dati personali, i trattamenti effettuati per finalita' amministrativo - contabili sono quelli connessi allo svolgimento delle attivita' di natura organizzativa, amministrativa, finanziaria e contabile, a prescindere dalla natura dei dati trattati. In particolare, perseguono tali finalita' le attivita' organizzative interne, quelle funzionali all'adempimento di obblighi contrattuali e precontrattuali, alla gestione del rapporto di lavoro in tutte le sue fasi, alla tenuta della contabilita' e all'applicazione delle norme in materia fiscale, sindacale, previdenziale - assistenziale, di salute, igiene e sicurezza sul lavoro"

28 Primo intervento di semplificazione: Legge 6 agosto 2008 n.133 Art. 29. Trattamento dei dati personali «1-bis. Per i soggetti che trattano soltanto dati personali non sensibili e che trattano come unici dati sensibili quelli costituiti dallo stato di salute o malattia dei propri dipendenti e collaboratori anche a progetto, senza indicazione della relativa diagnosi, ovvero dall'adesione ad organizzazioni sindacali o a carattere sindacale, la tenuta di un aggiornato documento programmatico sulla sicurezza e' sostituita dall'obbligo di autocertificazione, resa dal titolare del trattamento ai sensi dell'articolo 47 del testo unico di cui al decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, di trattare soltanto tali dati in osservanza delle altre misure di sicurezza prescritte. In relazione a tali trattamenti, nonché a trattamenti comunque effettuati per correnti finalità amministrative e contabili, in particolare presso piccole e medie imprese, liberi professionisti e artigiani, il Garante, sentito il Ministro per la semplificazione normativa, individua con proprio provvedimento, da aggiornare periodicamente, modalità semplificate di applicazione del disciplinare tecnico di cui all'allegato B) in ordine all'adozione delle misure minime di cui al comma 1».

29 Secondo intervento di semplificazione: Provvedimento Garante del 27 novembre 2008 Obiettivi contemperamento delle esigenze di sicurezza con quelle delle attività di impresa; applicazione dei principi di proporzionalità, efficacia, semplificazione e finalità di cui al Codice e alla Dir. 95/46/CE

30 Secondo intervento di semplificazione: Provvedimento Garante del 27 novembre 2008 Categorie aziende che trattano dati sensibili per finalità di business (es. marketing diretto, ricerche di mercato e sondaggi, prestazioni sanitarie); aziende che effettuano trattamenti con rischi specifici (es. settore bancario e assicurativo, gestione reti di comunicazione); aziende che trattano i dati, anche sensibili, a soli fini di obblighi di legge o contratto

31 ambito soggettivo Sono escluse dalle misure di semplificazione le imprese che utilizzano dati sensibili dei lavoratori o di terzi per finalità ulteriori rispetto a quelle amministrativo-contabili

32 Secondo intervento di semplificazione: Provvedimento Garante del 27 novembre 2008 modalità semplificate Istruzioni agli incaricati del trattamento (modalità applicative delle regole di cui ai punti 4 e 9 dell'allegato B; incerta applicabilità alle regole 18 e 21) Le istruzioni in materia di misure minime di sicurezza previste dall'allegato B) possono essere impartite agli incaricati del trattamento anche oralmente, con indicazioni di semplice e chiara formulazione.

33 Secondo intervento di semplificazione: Provvedimento Garante del 27 novembre 2008 modalità semplificate Sistema di autenticazione informatica (punti 1, 2, 3, 5, 6, 7, 8, 10 e 11 dell'allegato B)) Si può utilizzare un qualsiasi sistema di autenticazione basato su un codice per identificare chi accede ai dati ("username"), associato a una parola chiave ("password"), in modo che: a) l'username individui in modo univoco una sola persona, evitando che soggetti diversi utilizzino codici identici; b) la password sia conosciuta solo dalla persona che accede ai dati. L'username deve essere disattivato quando l'incaricato non ha più la qualità che rende legittimo l'utilizzo dei dati. Ammessa anche la sola procedura di login disponibile sul sistema operativo delle postazioni di lavoro connesse a una rete.

34 Secondo intervento di semplificazione: Provvedimento Garante del 27 novembre 2008 modalità semplificate In caso di prolungata assenza o impedimento dell'incaricato che renda indispensabile e indifferibile intervenire per esclusive necessità di operatività e di sicurezza del sistema, se l'accesso ai dati e agli strumenti elettronici è consentito esclusivamente mediante uso della password, il titolare può assicurare la disponibilità di dati o strumenti elettronici con procedure o modalità predefinite. Riguardo a tali modalità, sono fornite preventive istruzioni agli incaricati e gli stessi sono informati degli interventi effettuati

35 Secondo intervento di semplificazione: Provvedimento Garante del 27 novembre 2008 modalità semplificate Sistema di autorizzazione ( punti 12, 13 e 14 dell'allegato B) Qualora sia necessario diversificare l'ambito del trattamento consentito, possono essere assegnati agli incaricati, singolarmente o per categorie omogenee, corrispondenti profili di autorizzazione, tramite un sistema di autorizzazione o funzioni di autorizzazione incorporate nelle applicazioni software o nei sistemi operativi, così da limitare l'accesso ai soli dati necessari per effettuare le operazioni di trattamento.

36 Secondo intervento di semplificazione: Provvedimento Garante del 27 novembre 2008 modalità semplificate Altre misure di sicurezza ( punti 15, 16, 17 e 18 dell'allegato B) I titolari assicurano che l'ambito di trattamento assegnato ai singoli incaricati, nonché agli addetti alla gestione o alla manutenzione degli strumenti elettronici, sia coerente con i princìpi di adeguatezza, proporzionalità e necessità, anche attraverso verifiche periodiche, provvedendo, quando è necessario, ad aggiornare i profili di autorizzazione eventualmente accordati.

37 Secondo intervento di semplificazione: Provvedimento Garante del 27 novembre 2008 modalità semplificate Altre misure di sicurezza (segue) Gli aggiornamenti periodici dei programmi per elaboratore volti a prevenire la vulnerabilità di strumenti elettronici (ad esempio, antivirus), anche con riferimento ai programmi di cui all'art. 615-quinquies c.p.(programmi diretti a danneggiare o interrompere un sistema informatico), nonché a correggerne difetti, sono effettuati almeno annualmente. Se il computer non è connesso a reti di comunicazione elettronica accessibili al pubblico (linee Adsl, accesso a Internet tramite rete aziendale, posta elettronica), l'aggiornamento deve essere almeno biennale.

38 Secondo intervento di semplificazione: Provvedimento Garante del 27 novembre 2008 modalità semplificate Back-up: i dati possono essere salvaguardati anche attraverso il loro salvataggio con frequenza almeno mensile. Il salvataggio periodico può non riguardare i dati non modificati dal momento dell'ultimo salvataggio effettuato (dati statici), purché ne esista una copia di sicurezza da cui effettuare eventualmente il ripristino.

39 Secondo intervento di semplificazione: Provvedimento Garante del 27 novembre 2008 trattamenti cartacei Non è più espressamente previsto l'obbligo di identificazione del personale che accede agli uffici dopo la chiusura (ad esempio addetti di guardia e alle pulizie)

40 Misure semplificate la finalità del trattamento dei dati è quella prevista dalla legge i dati trattati sono protetti da misure (minime) di sicurezza

41 Semplificazione e misure di sicurezza L'eliminazione dell'obbligo di redazione del DPS non implica esenzione dall'obbligo di protezione dei dati, essendo il titolare tenuto a proteggerli in modo specifico mediante idonee e preventive misure (minime)di sicurezza

42 Riepilogo delle misure obbligatorie autenticazione informatica; adozione di procedure di gestione delle credenziali di autenticazione; utilizzazione di un sistema di autorizzazione; aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici; protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici; adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi.

43 Riepilogo delle misure obbligatorie indicazione del personale che esegue le attività di controllo circa l'uso degli strumenti elettronici aziendali di cui alle Linee Guida per l'uso di internet e posta elettronica del 1 marzo 2007; obblighi inerenti la nomina degli Amministratori di sistema (v. provvedimento del Garante del 27 novembre 2008); obbligo di tenere un elenco aggiornato dei soggetti nominati responsabili in modo da metterlo a disposizione dei soggetti interessati (art. 13);

44 Regola 25 Disciplinare tecnico misure di sicurezza "Il Titolare che adotta misure minime di sicurezza avvalendosi di soggetti esterni alla propria struttura, per provvedere alla esecuzione riceve dall'installatore una descrizione scritta dell'intervento effettuato che ne attesta la conformità alle disposizioni del presente disciplinare tecnico"

45 Provvedimento Garante del 27 novembre 2008: Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema lo svolgimento delle mansioni di un amministratore di sistema, anche a seguito di una sua formale designazione quale responsabile o incaricato del trattamento, comporta di regola la concreta capacità, per atto intenzionale, ma anche per caso fortuito, di accedere in modo privilegiato a risorse del sistema informativo e a dati personali cui non si è legittimati ad accedere rispetto ai profili di autorizzazione attribuiti

46 Provvedimento Garante del 27 novembre 2008: Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema -abuso della qualità di operatore di sistema per le fattispecie di accesso abusivo a sistema informatico o telematico (art. 615 ter c.p.) -frode informatica (art. 640 ter c.p.) -danneggiamento di informazioni, dati e programmi informatici (artt. 635 bis e ter c.p.) -danneggiamento di sistemi informatici e telematici (artt. 635 quater e quinques c.p.)

47 Provvedimento Garante del 27 novembre 2008: Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema l'individuazione dei soggetti idonei a svolgere le mansioni di amministratore di sistema riveste una notevole importanza, costituendo una delle scelte fondamentali che, unitamente a quelle relative alle tecnologie, contribuiscono a incrementare la complessiva sicurezza dei trattamenti svolti, e va perciò curata in modo particolare evitando incauti affidamenti

48 Provvedimento Garante del 27 novembre 2008: Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema amministratore di sistema: - figura professionale finalizzata alla gestione e alla manutenzione di un impianto di elaborazione o di sue componenti. - amministratore di basi di dati, amministratore di reti e di apparati di sicurezza, amministratore di sistemi software complessi.

49 Provvedimento Garante del 27 novembre 2008: Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema L'attribuzione delle funzioni di amministratore di sistema deve avvenire previa valutazione dell'esperienza, della capacità e dell'affidabilità del soggetto designato, il quale deve fornire idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento ivi compreso il profilo relativo alla sicurezza. Anche quando le funzioni di amministratore di sistema o assimilate sono attribuite solo nel quadro di una designazione quale incaricato del trattamento ai sensi dell'art. 30 del Codice, il titolare e il responsabile devono attenersi comunque a criteri di valutazione equipollenti a quelli richiesti per la designazione dei responsabili ai sensi dell'art. 29.

50 Provvedimento Garante del 27 novembre 2008: Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema La designazione quale amministratore di sistema deve essere in ogni caso individuale e recare l'elencazione analitica degli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato.

51 Provvedimento Garante del 27 novembre 2008: Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema Gli estremi identificativi delle persone fisiche amministratori di sistema, con l'elenco delle funzioni ad essi attribuite, devono essere [riportati nel DPS, oppure, nei casi in cui il titolare non è tenuto a redigerlo], annotati comunque in un documento interno da mantenere aggiornato e disponibile in caso di accertamenti anche da parte del Garante.

52 Provvedimento Garante del 27 novembre 2008: Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema Qualora l'attività degli amministratori di sistema riguardi anche indirettamente servizi o sistemi che trattano o che permettono il trattamento di informazioni di carattere personale di lavoratori, i titolari pubblici e privati nella qualità di datori di lavoro sono tenuti a rendere nota o conoscibile l'identità degli amministratori di sistema nell'ambito delle proprie organizzazioni, secondo le caratteristiche dell'azienda o del servizio, in relazione ai diversi servizi informatici cui questi sono preposti.

53 Provvedimento Garante del 27 novembre 2008: Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema Nel caso di servizi di amministrazione di sistema affidati in outsourcing il titolare deve conservare direttamente e specificamente, per ogni eventuale evenienza, gli estremi identificativi delle persone fisiche preposte quali amministratori di sistema.

54 Provvedimento Garante del 27 novembre 2008: Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema L'operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, di un'attività di verifica da parte dei titolari del trattamento, in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza rispetto ai trattamenti dei dati personali previste dalle norme vigenti

55 Provvedimento Garante del 27 novembre 2008: Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema Devono essere adottati sistemi idonei alla registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema. Le registrazioni (access log) devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo per cui sono richieste. Le registrazioni devono comprendere i riferimenti temporali e la descrizione dell'evento che le ha generate e devono essere conservate per un congruo periodo, non inferiore a sei mesi

56 Provvedimento Garante del 27 novembre 2008: Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema E' necessario conciliare le disposizioni del provvedimento in esame con quanto previsto dai provv. 53/2006 e13/2007 dello stesso Garante (linee guida sul trattamento dati dei lavoratori privati e per posta elettronica ed internet) : preventiva attività formativa ed informativa del datore di lavoro

57 Le prospettive future Il nuovo Regolamento Europeo (testo proposto dalla Commissione il 25/1/2012) sarebbe direttamente applicato in ogni singolo Stato Membro, senza bisogno di essere recepito con norme nazionali. sostituirebbe la Direttiva 95/46/EC abrogando buona parte dei "Codici privacy" nazionali, incluso quello italiano.

58 Le prospettive future Il nuovo Regolamento Europeo (testo proposto dalla Commissione il 25/1/2012) obbligo di "privacy impact assessment" (valutazioni preventive di impatto sulla tutela dei dati) in caso di trattamenti che presentino rischi specifici

59 Le prospettive future Il nuovo Regolamento Europeo (testo proposto dalla Commissione il 25/1/2012) obbligo per le aziende con più di 250 dipendenti e per gli enti pubblici di nominare un "data protection officer" (responsabile della protezione dei dati personali), con provati requisiti di competenza ed indipendenza (potrà anche essere esterno all'ente/impresa)

60 Le prospettive future Il nuovo Regolamento Europeo (testo proposto dalla Commissione il 25/1/2012) diritto all'oblio ogni interessato potrà richiedere la rimozione di propri dati personali per motivi legittimi

61 Le prospettive future Il nuovo Regolamento Europeo (testo proposto dalla Commissione il 25/1/2012) diritto alla portabilità dei dati (in formato neutro, da un provider a un altro)

62 Le prospettive future Il nuovo Regolamento Europeo (testo proposto dalla Commissione il 25/1/2012) previsione delle figure dei joint controllers (titolari congiunti) gestione contrattuale delle responsabilità connesse al trattamento, rilevante in caso di controlli o contenziosi (rilevante specie per cloud computing providing e simili)

63 Le prospettive future Il nuovo Regolamento Europeo (testo proposto dalla Commissione il 25/1/2012) previsione del concetto di "stabilimento principale" del titolare, per evitare che un'impresa attiva in più Stati UE debba fronteggiare gli adempimenti nazionali di ogni singolo Stato previsione del ruolo di "lead authority": un solo Garante sarebbe responsabile dei procedimenti internazionali

64 Le prospettive future Il nuovo Regolamento Europeo (testo proposto dalla Commissione il 25/1/2012) severo inasprimento delle sanzioni: fino al 2% del volume d'affari globale

65 Le prospettive future Il nuovo Regolamento Europeo (testo proposto dalla Commissione il 25/1/2012) severa disciplina di opt-in (consenso preventivo) per i cookie pubblicitari online materia da poco oggetto di normativa europea (Direttiva 2009/136/CE) e per cui il Governo italiano sta per approvare un decreto legislativo attuativo

66 Le prospettive future Il nuovo Regolamento Europeo (testo proposto dalla Commissione il 25/1/2012) introduzione del principio di "accountability": ogni titolare, in caso di problemi o controlli, dovrà dimostrare di avere EFFETTIVAMENTE adottato i modelli organizzativi e le misure logiche, fisiche, elettroniche di sicurezza per proteggere i dati;

67 Le prospettive future Il nuovo Regolamento Europeo (testo proposto dalla Commissione il 25/1/2012) principi di data protection by design e data protection by default delegati a successivi provvedimenti della Commissione Europea: standard privacy di produzione delle tecnologie stabiliti dalla UE, (effetti sulla competitività dei produttori extra-ue con impatti sui processi di innovazione)

68 Le prospettive future Il nuovo Regolamento Europeo (testo proposto dalla Commissione il 25/1/2012) normativa UE applicabile anche quando un impresa extra-ue rivolga servizi o prodotti al mercato UE questa condizione sarebbe desumibile da diversi elementi (come ad es. domini, lingue, strumenti utilizzati...)

69 Le prospettive future Il nuovo Regolamento Europeo (testo proposto dalla Commissione il 25/1/2012) VANTAGGI - unificazione delle regole europee - superamento del formalismo

70 Le prospettive future Il nuovo Regolamento Europeo (testo proposto dalla Commissione il 25/1/2012) SVANTAGGI difficoltà applicative (inasprimento delle sanzioni ed intensificazione delle responsabilità e degli adempimenti preventivi)

71 Le prospettive future Il nuovo Regolamento Europeo (testo proposto dalla Commissione il 25/1/2012) POSSIBILI RIMEDI anticipazione dell attuazione di alcune regole nelle imprese, in chiave di buone pratiche, evitando anche la dispersione del patrimonio di misure ad oggi disposte