Il Trattamento dei dati personali

Transcript

1 Il Trattamento dei dati personali Obblighi e adempimenti del professionista dott. Francesco Loppini LA PRIVACY DAL PUNTO DI VISTA STORICO In Italia, a partire dal 1981, numerosi disegni di legge: Il progetto Accame (21 aprile 1981) Il progetto Picano (24 febbraio 1982) Il progetto Seppia (27 gennaio 1984) Il progetto Martinazzoli (5 maggio 1984) (Mirabelli 1) Il progetto Martelli (1989) (Mirabelli 2) Legge 31 dicembre 1996 n

2 LA PRIVACY DAL PUNTO DI VISTA STORICO Dall entrata in vigore della L. 675 numerose sono state le modifiche e le integrazioni: d.lgs. 9 maggio 1997, n. 123 d.lgs. 28 luglio 1997, n. 255 d.lgs. 8 maggio 1998, n. 135 d.lgs. 13 maggio 1998, n. 171 l. 6 ottobre 1998, n, 344 d.lgs. 6 novembre 1998, n. 389 d.lgs. 26 febbraio 1999, n. 51 d.lgs. 11 maggio 1999, n. 135 dpr 28 luglio 1999, n. 318 d.lgs. 30 luglio 1999, n. 281 d.lgs. 30 luglio 1999, n. 282 d.lgs. 28 dicembre 2001, n. 467 D.lgs. 30 giugno 2003 n IL CODICE DELLA PRIVACY D.lgs. 196/2003 è composto da 186 articoli divisi in 3 parti, di cui la prima fissa principi generali e finalità, nella seconda gli aspetti particolari, nella terza quelli patologici ; è integrato da 3 allegati relativi a codici di deontologia, misure minime di sicurezza e trattamenti non occasionali in ambito giudiziario o per fini di polizia; sostituisce tutta la normativa precedente in tema di privacy, e quindi oggi rappresenta la disciplina di riferimento; 4

3 IL CODICE DELLA PRIVACY Principio di finalità del trattamento: I dati personali oggetto di trattamento sono: raccolti e registrati per scopi determinati, espliciti e legittimi, ed utilizzati in altre operazioni del trattamento in termini compatibili con tali scopi; 5 IL CODICE DELLA PRIVACY Principio di necessità del trattamento I sistemi informativi e i programmi informatici sono configurati riducendo al minimo l utilizzazione di dati personali e di dati identificativi, in modo da escluderne il trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante dati anonimi opportune modalità che permettano di identificare l interessato solo in caso di necessità 6

4 IL CODICE DELLA PRIVACY Il codice si applica: a tutte le raccolte ( trattamenti ) dei dati personali, anche senza l ausilio di strumenti elettronici, comprese quelle delle persone giuridiche e delle altre figure soggettive; a chiunque effettui trattamenti stabilito nel territorio dello Stato (prima era a qualunque trattamento effettuato nel territorio dello Stato ); 7 IL CODICE DELLA PRIVACY Definizione di DATO PERSONALE: "qualunque informazione relativa a persona fisica o persona giuridica che la identifica o la rende identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale 8

5 IL CODICE DELLA PRIVACY Definizione di DATO SENSIBILE: "i dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale" 9 LA STRUTTURA DELLA DISCIPLINA I soggetti che trattano i dati Titolare del Trattamento Responsabile del Trattamento Incaricato del Trattamento 10

6 LA STRUTTURA DELLA DISCIPLINA TITOLARE la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza 11 LA STRUTTURA DELLA DISCIPLINA RESPONSABILE la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali 12

7 LA STRUTTURA DELLA DISCIPLINA INCARICATO chiunque compie operazioni di trattamento (possono essere tali solo le persone fisiche) 13 LA STRUTTURA DELLA DISCIPLINA Diverse articolazioni è prevista un attività di adeguamento di colui che vuole effettuare il trattamento, attraverso la fissazione di specifici obblighi vengono previsti una serie di strumenti di tutela per il soggetto i cui dati personali sono oggetto di trattamento è prevista la presenza di un organo pubblico che controlla e rende effettiva la realizzazione dei precedenti punti 14

8 LA STRUTTURA DELLA DISCIPLINA 4 aree di adempimento (+ eventuali altri adempimenti) 1. Obblighi verso l autorità di controllo NOTIFICAZIONE E AUTORIZZAZIONE 2. Obblighi verso l interessato INFORMATIVA E CONSENSO 3. Misure di sicurezza IDONEE E MINIME 4. Altri adempimenti (ad esempio Video-sorveglianza) 15 GLI ADEMPIMENTI VERSO IL GARANTE La Notificazione Chi vuole trattare i dati personali deve darne notificazione al Garante (art. 37) E lo strumento per rendere note al Garante le caratteristiche principali del trattamento dei dati personali eseguito dal titolare. 16

9 GLI ADEMPIMENTI VERSO IL GARANTE La Notificazione - Chi la deve fare (art. 37) Se il trattamento riguarda: a) dati genetici, biometrici o dati che indicano la posizione geografica di persone od oggetti mediante una rete di comunicazione elettronica; b) dati idonei a rivelare lo stato di salute e la vita sessuale, trattati a fini di procreazione assistita, prestazione di servizi sanitari per via telematica relativi a banche di dati o alla fornitura di beni, indagini epidemiologiche, rilevazione di malattie mentali, infettive e diffusive, sieropositività, trapianto di organi e tessuti e monitoraggio della spesa sanitaria; c) dati idonei a rivelare la vita sessuale o la sfera psichica trattati da associazioni, enti od organismi senza scopo di lucro, anche non riconosciuti, a carattere politico, filosofico, religioso o sindacale; 17 GLI ADEMPIMENTI VERSO IL GARANTE La Notificazione - Chi la deve fare (art. 37) Se il trattamento riguarda: d) dati trattati con l'ausilio di strumenti elettronici volti a definire il profilo o la personalità dell'interessato, o ad analizzare abitudini o scelte di consumo, ovvero a monitorare l'utilizzo di servizi di comunicazione elettronica con esclusione dei trattamenti tecnicamente indispensabili per fornire i servizi medesimi agli utenti; e) dati sensibili registrati in banche di dati a fini di selezione del personale per conto terzi, nonchè dati sensibili utilizzati per sondaggi di opinione, ricerche di mercato e altre ricerche campionarie; f) dati registrati in apposite banche di dati gestite con strumenti elettronici e relative al rischio sulla solvibilità economica, alla situazione patrimoniale, al corretto adempimento di obbligazioni, a comportamenti illeciti o fraudolenti. 18

10 GLI ADEMPIMENTI VERSO IL GARANTE La Notificazione - Chi la deve fare Provvedimento relativo ai casi da sottrarre all'obbligo di notificazione (31 marzo G.U. 6 aprile 2004, n. 81) Chiarimenti sui trattamenti da notificare al Garante - 23 aprile GLI ADEMPIMENTI VERSO IL GARANTE L Autorizzazione (art. 26) I dati sensibili possono essere oggetto di trattamento previa AUTORIZZAZIONE del Garante, nell osservanza dei presupposti e dei limiti stabiliti dal codice, nonché dalla legge e dai regolamenti 20

11 GLI ADEMPIMENTI VERSO IL GARANTE L Autorizzazione (autorizzazioni generali) Autorizzazione n. 1 - Datori di lavoro Autorizzazione n. 2 - Esercenti le professioni sanitarie Autorizzazione n. 3 - Organismi di tipo associativo Autorizzazione n. 4 - Liberi professionisti Autorizzazione n. 5 - Diverse categorie di titolari Autorizzazione n. 6 - Investigatori privati Autorizzazione n. 7 - Dati a carattere giudiziario (G.U. n. 190 del 14 agosto 2004) 21 GLI ADEMPIMENTI VERSO L INTERESSATO L Informativa (art. 13) Il titolare deve informare previamente l interessato o il soggetto presso cui i dati sono raccolti, della attività di trattamento l informativa serve per rendere edotto l interessato dei suoi diritti e delle modalità, finalità, obbligatorietà del trattamento dei suoi dati, nonché dei destinatari dello stesso 22

12 GLI ADEMPIMENTI VERSO L INTERESSATO L Informativa (art. 13) Dovranno quindi indicarsi le finalità e le modalità del trattamento, la natura del conferimento dei dati (se obbligatoria o facoltativa), le conseguenze del diniego a rispondere, l ambito di comunicazione-diffusione dei dati, i diritti dell interessato, gli estremi del titolare e del responsabile e del rappresentante ove designati. 23 GLI ADEMPIMENTI VERSO L INTERESSATO L Informativa (art. 13) Forma: non deve essere necessariamente scritta, ma è meglio che lo sia. Sì ad inserirla pre-stampata nella fattura (x i clienti) Accettabile (non ottimale) il cartello appeso nella sala d aspetto 24

13 GLI ADEMPIMENTI VERSO L INTERESSATO Il Consenso (art. 23) Il titolare può svolgere qualsiasi operazione di trattamento solo con il consenso dell'interessato consenso che deve essere libero, riferito ad un trattamento chiaramente individuato, informato e documentato per iscritto numerose esclusioni dall obbligo del consenso in diverse fattispecie (art. 24). 25 GLI ADEMPIMENTI VERSO L INTERESSATO Il Consenso esclusione (art. 24) a) è necessario per adempiere ad un obbligo previsto dalla legge,da un regolamento o dalla normativa comunitaria; b) è necessario per eseguire obblighi derivanti da un contratto del quale è parte l'interessato c) riguarda dati provenienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque, fermi restando i limiti e le modalità che le leggi, i regolamenti o la normativa comunitaria stabiliscono per la conoscibilità e pubblicità dei dati; d) riguarda dati relativi allo svolgimento di attività economiche, trattati nel rispetto della vigente normativa in materia di segreto aziendale e industriale 26

14 GLI ADEMPIMENTI VERSO L INTERESSATO Il Consenso esclusione (art. 24) e) è necessario per la salvaguardia della vita o dell'incolumità fisica di un terzo. f) con esclusione della diffusione, è necessario ai fini dello svolgimento delle investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397, o, comunque, per far valere o difendere un diritto in sede giudiziaria h) con esclusione della diffusione, è effettuato da associazioni, enti od organismi senza scopo di lucro, anche non riconosciuti, in riferimento a soggetti che hanno con essi contatti regolari o ad aderenti. i) è necessario, in conformità ai rispettivi codici di deontologia di cui all'allegato A), per esclusivi scopi scientifici o statistici 27 IL GARANTE Rappresenta l organo di controllo del nostro sistema, è organo collegiale costituito da 4 componenti, eletti due dalla Camera e due dal Senato; al loro interno nominano un presidente opera in piena autonomia e con indipendenza di giudizio e di valutazione (art. 133, comma 1) ha specifici poteri di monitoraggio, controllo, vigilanza, sanzionatori, consultivi, di informazione, di promozione (art. 154). 28

15 IL GARANTE Attivazione del Garante E molto importante chiarire che il Garante non ha un potere esclusivo sulla materia Infatti l art. 145 comma 1 del Dlgs 196 dispone che I diritti di cui all'articolo 7 possono essere fatti valere dinanzi all'autorità giudiziaria o con ricorso al Garante La proposizione del ricorso ad un autorità esclude la possibilità di ricorso all altra 29 IL GARANTE Attivazione del Garante E prevista la possibilità per l interessato di rivolgersi al Garante con un reclamo, una segnalazione o un vero e proprio ricorso Il reclamo può essere presentato al Garante per la presunta violazione di qualsiasi norma in materia, deve essere circostanziato (art. 142). Propedeutico al ricorso è l interpello fatto al titolare o al responsabile, tranne nel caso in cui il decorso del tempo esporrebbe il soggetto a pregiudizio grave e irreparabile 30

16 INOSSERVANZA DELLA DISCIPLINA Le Responsabilità Il Codice sulla protezione dei dati personali prevede tre tipi di responsabilità, e dunque tre diversi tipi di conseguenze sanzionatorie, in relazione ai differenti illeciti che possono essere compiuti; chi non osserva la disciplina del Codice per la privacy può quindi essere responsabile a livello: CIVILE PENALE AMMINISTRATIVO 31 INOSSERVANZA DELLA DISCIPLINA La Responsabilità Civile L'illecito civile è disciplinato nell'art. 15, che assimila l'attività di trattamento tra quelle pericolose ai sensi dell'art. 2050* c.c. Chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell'articolo 2050 del codice civile. * Chiunque cagiona danno ad altri nello svolgimento di un' attività pericolosa, per sua natura o per la natura dei mezzi adoperati, è tenuto al risarcimento, se non prova di avere adottato tutte le misure idonee a evitare il danno. 32

17 INOSSERVANZA DELLA DISCIPLINA La Responsabilità Amministrativa Quattro fattispecie di illecito amministrativo: Omessa o inidonea informativa all interessato. Cessione di dati in violazione della normativa del Codice per la privacy. Omessa o incompleta notificazione. Omesso invio di informazioni o documenti richiesti dal Garante L organo competente ad irrogare le sanzioni amministrative è il Garante. 33 INOSSERVANZA DELLA DISCIPLINA La Responsabilità Penale Quattro fattispecie di reato: Trattamento illecito di dati personali al fine di trarne per sè o per altri profitto o di recare ad altri un danno (violazione degli artt. 18, 19, 23, 123, 126, 130) Falsità nelle dichiarazioni e notificazioni al Garante. omissione di adozione delle misure minime di sicurezza. inosservanza dei provvedimenti del Garante 34

18 LE MISUR DI SICUREZZA Sono di due tipi: Misure MINIME di sicurezza Misure IDONEE di sicurezza 35 LE MISURE DI SICUREZZA MISURE IDONEE Nessuna responsabilità MISURE MINIME Responsabilità Civile Responsabilità Penale 36

19 LE MISURE DI SICUREZZA Le misure IDONEE I dati personali oggetto di trattamento devono essere custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta (art. 31). 37 LE MISURE DI SICUREZZA La misure MINIME Nell ambito del più generale obbligo di sicurezza il titolare deve adottare misure minime per assicurare un livello minimo di protezione dei dati personali trattati (art. 33) l adozione delle misure minime permette di evitare la sanzione penale prevista nell art. 196 (arresto sino a 2 anni o ammenda da a , con possibilità di ravvedimento operoso) ma non evita eventuali responsabilità civili legate alle misure di sicurezza in genere 38

20 LE MISURE DI SICUREZZA Strum. elettronici Le Misure Minime - con strumenti elettronici autenticazione informatica; procedure di gestione delle credenziali di autenticazione; utilizzazione di sistemi di autorizzazione; aggiornamento periodico dell individuazione dell ambito di trattamento per singolo incaricato; protezione di strumenti informatici e dati rispetto alla pirateria informatica; adozione di procedure di back up e di ripristino della disponibilità dei dati e dei sistemi; tenuta di un aggiornato documento programmatico della sicurezza; adozione di tecniche di cifratura per i trattamenti di dati sensibili nel caso vengano effettuati da organismi sanitari. 39 LE MISURE DI SICUREZZA Strum. elettronici Autenticazione informatica (art.1-11 All.B) Le credenziali di autenticazione consistono: in un codice per l identificazione dell incaricato associato a una parola chiave riservata conosciuta solamente dal medesimo in un dispositivo di autenticazione in possesso e uso esclusivo dell incaricato, eventualmente associato a un codice identificativo o a una parola chiave, in una caratteristica biometrica dell incaricato, eventualmente associata a un codice identificativo o a una parola chiave. 40

21 LE MISURE DI SICUREZZA Strum. elettronici Autenticazione informatica (art.5 All.B) La parola chiave (password): deve avere almeno 8 caratteri (o comunque il massimo consentito dal sistema) non deve contenere riferimenti agevolmente riconducibili all incaricato è modificata da quest ultimo al primo utilizzo e, successivamente, almeno ogni sei mesi (x i dati sensibili e i dati giudiziari almeno ogni novanta giorni) 41 LE MISURE DI SICUREZZA Strum. elettronici Autenticazione informatica (art.1-11 All.B) Con le istruzioni impartite agli incaricati è prescritto di adottare le necessarie cautele per assicurare la segretezza della componente riservata della credenziale e la diligente custodia dei dispositivi in possesso ed uso esclusivo dell incaricato. Le credenziali sono disattivate anche in caso di perdita della qualità che consente all incaricato l accesso ai dati Sono impartite istruzioni agli incaricati per non lasciare incustodito e accessibile lo strumento elettronico durante una sessione di trattamento. 42

22 LE MISURE DI SICUREZZA Strum. elettronici Sistemi di Autorizzazione (art All.B) Quando per gli incaricati sono individuati profili di autorizzazione di ambito diverso è utilizzato un sistema di autorizzazione. Se non c è necessità di diversi profili di autorizzazione non c è bisogno di sistemi di autorizzazione Periodicamente (almeno semestralmente), è verificata la sussistenza delle condizioni per la conservazione dei profili di autorizzazione. 43 LE MISURE DI SICUREZZA Strum. elettronici Protezione dalla pirateria (art All.B) Il sistema informatico deve essere protetto dall azione di determinati programmi informatici di diversa dannosità: i virus a tal fine prevede l'attivazione di idonei strumenti elettronici da aggiornare con cadenza almeno semestrale (antivirus) richiede inoltre aggiornamenti periodici dei programmi per elaboratore volti a prevenire la vulnerabilità di strumenti elettronici e a correggerne difetti (patch) Per i dati sensibili e giudiziari sono richiesti anche idonei sistemi elettronici volti a proteggere da accessi abusivi (firewall) 44

23 LE MISURE DI SICUREZZA Strum. elettronici Procedure di Backup Il codice richiede inoltre adozione di procedure per la custodia di copie di sicurezza, e il ripristino della disponibilità dei dati e dei sistemi vengono quindi impartite dal titolare ai responsabili e/o incaricati istruzioni organizzative e tecniche che prevedono il salvataggio dei dati con frequenza almeno settimanale, ed allo stesso modo per il ripristino della configurazione di sistema 45 LE MISURE DI SICUREZZA Strum. elettronici Procedure di Disaster Recovery Per i dati personali è sufficiente la semplice previsione di un backup di dati Per i dati sensibili e giudiziari è invece previsto un vero e proprio piano di disaster recovery : idonee misure per garantire il ripristino dell'accesso ai dati in caso di danneggiamento degli stessi o degli strumenti elettronici, in tempi certi compatibili con i diritti degli interessati e non superiori a sette giorni. 46

24 LE MISURE DI SICUREZZA Strum. elettronici Il Documento Programmatico della Sicurezza E il documento che descrive tutto quanto il titolare fa per garantire la sicurezza della propria struttura relativamente al trattamento dei dati personali; entro il 31 marzo di ogni anno, il titolare di un trattamento di dati sensibili o di dati giudiziari in forma elettronica lo redige lo deve fare solo chi tratta dati sensibili o giudiziari con strumenti elettronici NON HA DATA CERTA Doveva essere redatto entro il 1 gennaio LE MISURE DI SICUREZZA Senza strumenti elettronici Conservazione dei dati in archivi ad accesso selezionato aggiornamento periodico dell individuazione dell ambito di trattamento consentito Procedure per la custodia di atti e documenti affidati agli incaricati per lo svolgimento dei relativi compiti 48

25 RIEPILOGO ADEMPIMENTO SI NO NOTE Notificazione X Non rientra nell art 37 Autorizzazione X Coperto da autoriz. Generale n. 4 Informativa X A dipendenti, clienti, fornitori Consenso X A meno di altre finalità Misure di sicurezza X Minime e idonee DPS X 49