Termini usati dal legislatore Loro significato

Transcript

1 Termini usati dal legislatore Loro significato DATI PERSONALI DATI SENSIBILI BANCA DATI MISURE DI SICUREZZA Sono tutte le informazioni relative a persona fisica (persona giuridica, ente od associazione) identificate o identificabili. Es. Nome, cognome, indirizzo, numeri telefonici, n. Patente, P. IVA... Sono i dati che devono essere maggiormente tutelati, e sono relativi a razza o etnia, ad eventuali adesioni a partiti (ritenute sindacali), organizzazioni a carattere religioso, politico, associazioni di categoria, nonché i dati personali idonei a rilevare lo stato di salute (cartelle mediche) e la vita sessuale del singolo. E? una raccolta di dati personali. Si tratta di custodire i documenti approntando degli accorgimenti (armadietti chiusi a chiave, firewall, wiping, accesso selezionato ai dati...) TRATTAMENTO DEI DATI Consiste in qualunque operazione o insieme di operazioni, eseguite o meno grazie ad un computer, riguardanti la raccolta, la registrazione, l'organizzazione, la conservazione, l'elaborazione, la modificazione, la comunicazione, la diffusione, la cancellazione e la distruzione di dati. TITOLARE DEL TRATTAMENTO E? la persona fisica, (la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo) che ha la competenza a decidere in ordine alle finalità alle modalità del trattamento di dati personali ed alla loro sicurezza. RESPONSABILE DEL TRATTAMENTO DEI DATI E? la persona fisica (la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo) che il titolare (che decide) prepone al trattamento di dati personali. Titolare e responsabile possono essere la stessa persona. I compiti affidati ad esso devono essere analiticamente specificati per iscritto. INCARICATO E? colui/coloro che elabora i dati personali sulla base delle istruzioni scritte del titolare o del responsabile INTERESSATO PASSWORD E? la persona fisica (la persona giuridica, l'ente o l'associazione) a cui si riferiscono i dati personali trattati. E? la parola chiave, una sequenza di lettere e/o numeri, che serve per accordare l?accesso al sistema informatico agli utenti. USER ID (Username) E? un codice identificativo personale formato da lettere e/o numeri. Viene sempre abbinato alla password (segreta). AMMINISTRATORE DI SISTEMA E' il soggetto che si occupa del sistema informatico e delle risorse operative.

2 QUANDO, LE SCADENZE Termine ultimo per adeguarsi era il 1 gennaio E' possibile chiedere una proroga, ex. art. 180 del testo unico sulla privacy, al 1 gennaio Vedi inoltre le altre scadenze di aprile, giugno e settembre CHI DEVE ADEGUARSI Devono adeguarsi tutti coloro che trattano dati personali: aziende, professionisti, cooperative, associazioni, P.A., scuole, comuni, ospedali, enti pubblici ecc. (ovvero chiunque tratti dati personali di clienti, cittadini, dipendenti, fornitori, utenti, pazienti, colleghi, soci, associati ecc.). Ovviamente gli adempimenti sono diversi a seconda delle dimensioni della struttura e della tipologia di trattamento dati. Quali dati sono da considerarsi personali? Ci sono adempimenti diversi a seconda del soggetto che tratta i dati? Quali? Clicca qui per leggere le risposte COME Programmando un adeguamento progressivo. Inventariando i dati personali, adottando le misure di sicurezza obbligatorie (fisiche, logiche ed organizzative), adeguandosi agli obblighi di informativa, consenso, notifica, nomina figure (responsabile, incaricati, custode delle credenziali ecc.), redigendo il Documento programmatico sulla sicurezza. Se volete chiarimenti oppure desiderate verificare direttamente il vostro livello di adeguamento richiedete il servizio gratuito ed anonimo di verifica. SANZIONI Multe da a euro (elevabile al triplo). Reclusione fino a 3 anni. Possibilità di estinguere il reato penale, adeguandosi alla normativa e pagando una sanzione pecuniaria. In modo specifico, vedi tabella delle sanzioni. Risarcimento del danno cagionato ex art TERMINI SPECIFICI USATI DAL LEGISLATORE Dato sensibile, dato anonimo, misure di sicurezza, titolare, responsabile, amministratore di sistema, documento programmatico sulla sicurezza, custode delle parole chiave...in modo specifico, vedi tabella LE NOSTRE PROPOSTE Risolviamo i vostri dubbi. "Adeguamento chiavi in mano". COSTI: da a Euro per le piccole realtà da a per le medie, sopra i Euro per le grandi.

3 Testo unico sulla privacy, un codice Varato dal governo il Testo Unico in materia di protezione dei dati personali (Consiglio dei ministri del 27/06/03, 113). E' possibile consultare l'indice del testo. In attesa di materiale ulteriore sintetizziamo alcune novità MISURE DI SICUREZZA Concesso un anno di tempo (fino a giugno 2004) per adeguarsi alle misure di sicurezza, cosome definite (sono quelle non previste dal DPR 318/99 e contenute negli articoli 33, e dall'allegato B). Per quelle previste il termine caduto. Generalizzato l'obbligo del DPSS (documento programmatico sulla sicurezza). INADEMPIMENTI Il titolare che per ragioni tecniche non riesce ad adeguarsi alle misure deve redigere un documento (avente data certa) in cui motiva le ragioni dei ritardi. Avrà dunque tempo un anno dall'entrata in vigore del codice per adeguarsi e nel frattempo dovrà garantire che i rischi a cui sono sottoposti i dati non incrementino. ENTI PUBBLICI Concesso ulteriore tempo, fino a settembre 2004 per approvare i regolamenti per i dati sensibili. Deve effettuarsi comunicazione al Garante (vecchio art. 27 della legge 675/96) per lo scambio dati tra soggetti pubblici non previsto da legge o regolamento. La comunicazione dei dati può iniziare solo decorsi 45 giorni dall'avvenuta comunicazione al Garante (salvo ovviamente determinazione del Garante di senso contrario). AUTORIZZAZIONI Rinnovate le autorizzazioni per il trattamento dei dati sensibili fino al giugno NOTIFICAZIONI Nei casi in cui sono obbligatorie (art. 37 del codice) devono effettuarsi entro l'aprile SANITA' Entro il 30 settembre 2004 adozione di semplificazioni in merito a informativa e consenso al paziente. Maggiore importanza dell'oralit manifestazione a cascata del consenso (al medico di base sufficiente per esempio)

4 DOCUMENTO PROGRAMMATICO SULLA SICUREZZA DPS Desideri chiarimenti sul documento programmatico? COSA E' IL DPS: E' l'unico documento in grado di attestare l'adeguamento della struttura alla normativa. Il DPS è un manuale di pianificazione della sicurezza dei dati in azienda. In ogni caso si tratta di un consistente piano per la sicurezza dei dati, un manuale scritto ed avente data certa a prova formale dell'adeguamento sostenuto. Il numero delle pagine di un manuale medio di pagine. SCOPO DEL DPS: descrivere la situazione attuale (analisi dei rischi, distribuzione dei compiti, misure approntate, distribuzione delle responsabilità ecc.) ed il percorso di adeguamento prescelto dalla struttura per adeguarsi alla normativa privacy. TEMPI DI STESURA DEL DPS: il documento programmatico richiede una attenta valutazione della situazione aziendale e dei trattamenti effettuati. Per questo motivo i tempi di stesura del DPS variano da tre settimane a due mesi. PRECISAZIONI: il documento deve avere data certa e deve essere aggiornato annualmente. Il testo unico impone come data per la redazione e l'aggiornamento il 31 marzo di ogni anno, solo per questo anno il termine è stato prorogato al 30/06/04. Una copia del DPS deve essere custodita presso la sede per essere consultabile e deve essere esibita in caso di controlli. Il titolare del trattamento deve dare conto nella relazione accompagnatoria del bilancio dell'avvenuta redazione/aggiornamento del DSP.

5 Decreto legislativo 30 giugno 2003, n. 196 CODICE PROTEZIONE DATI PERSONALI (Pubblicato sulla GU n.174 del Suppl. Ordinario n.123) CAPO II - DISPOSIZIONI TRANSITORIE Art. 180 Misure di sicurezza 1. Le misure minime di sicurezza di cui agli articoli da 33 a 35 e all allegato B) che non erano previste dal decreto del Presidente della Repubblica 28 luglio 1999, n. 318, sono adottate entro il 30 giugno Il titolare che alla data di entrata in vigore del presente codice dispone di strumenti elettronici che, per obiettive ragioni tecniche, non consentono in tutto o in parte l immediata applicazione delle misure minime di cui all?articolo 34 e delle corrispondenti modalità tecniche di cui all allegato B), descrive le medesime ragioni in un documento a data certa da conservare presso la propria struttura. 3. Nel caso di cui al comma 2, il titolare adotta ogni possibile misura di sicurezza in relazione agli strumenti elettronici detenuti in modo da evitare, anche sulla base di idonee misure organizzative, logistiche o procedurali, un incremento dei rischi di cui all articolo 31, adeguando i medesimi strumenti al pi?di entro un anno dall entrata in vigore del codice. Art. 181 Altre disposizioni transitorie 1. Per i trattamenti di dati personali iniziati prima del 1 gennaio 2004, in sede di prima applicazione del presente codice: a) l?identificazione con atto di natura regolamentare dei tipi di dati e di operazioni ai sensi degli articoli 20, commi 2 e 3, e 21, comma 2, effettuata, ove mancante, entro il 30 settembre 2004; b) la determinazione da rendere nota agli interessati ai sensi dell articolo 26, commi 3, lettera a), e 4, lettera a), adottata, ove mancante, entro il 30 giugno 2004; c) le notificazioni previste dall articolo 37 sono effettuate entro il 30 aprile 2004; d) le comunicazioni previste dall articolo 39 sono effettuate entro il 30 giugno 2004; e) le modalità semplificate per l informativa e la manifestazione del consenso, ove necessario, possono essere utilizzate dal medico di medicina generale, dal pediatra di libera scelta e dagli organismi sanitari anche in occasione del primo ulteriore contatto con l?interessato, al pi?di entro il 30 settembre 2004; f) l?utilizzazione dei modelli di cui all articolo 87, comma 2, obbligatoria a decorrere dal 1 gennaio Le disposizioni di cui all articolo 21-bis del decreto del Presidente della Repubblica 30 settembre 1963, n. 1409, introdotto dall articolo 9 del decreto legislativo 30 luglio 1999, n. 281, restano in vigore fino alla data di entrata in vigore del presente codice. 3. L?individuazione dei trattamenti e dei titolari di cui agli articoli 46 e 53, da riportare nell allegato C), effettuata in sede di prima applicazione del presente codice entro il 30 giugno Il materiale informativo eventualmente trasferito al Garante ai sensi dell articolo 43, comma 1, della legge 31 dicembre 1996, n. 675, utilizzato per le opportune verifiche, continua ad essere successivamente archiviato o distrutto in base alla normativa vigente. 5. L omissione delle generalità degli altri dati identificativi dell interessato ai sensi dell articolo 52, comma 4, effettuata sulle sentenze o decisioni pronunciate o adottate prima dell entrata in vigore del presente codice solo su diretta richiesta dell interessato e limitatamente ai documenti pubblicati mediante rete di comunicazione elettronica o sui nuovi prodotti su supporto cartaceo o elettronico. I sistemi informativi utilizzati ai sensi dell articolo 51, comma 1, sono adeguati alla medesima disposizione entro dodici mesi dalla data di entrata in vigore del presente codice. 6. Le confessioni religiose che, prima dell adozione del presente codice, abbiano determinato e adottato nell ambito del rispettivo ordinamento le garanzie di cui all articolo 26, comma 3, lettera a), possono proseguire l attività di trattamento nel rispetto delle medesime.