La protezione dei dati personali e le soluzioni organizzative per la sicurezza nel nuovo Codice sulla privacy

Transcript

1 La protezione dei dati personali e le soluzioni organizzative per la sicurezza nel nuovo Codice sulla privacy Agenda Sessione 1 D.Lgs. 196/03 - Contenuti della disciplina Sessione 2 Metodologia attuativa Sessione 3 Rischi di inadempienza e sanzioni

2 Sessione 1 D.Lgs. 196/03 - Contenuti della disciplina La Privacy D.Lgs. 196/03 composto da 186 articoli Disciplinare Tecnico - All. B) Codici deontologici All. A) Autorizzazioni Dal 1 gennaio 2004, data di entrata in vigore del nuovo codice, sono abrogati : La Legge 675/96 (tavola di corrispondenza in allegato al nuovo testo) Il decreto del Presidente della Repubblica 28 luglio 1999, n 318 Il decreto legislativo 28 dicembre 2001, n 467 L insieme di decreti e articoli specifici per settore (circa 20) Viene, nel contempo, data attuazione alle direttive del Parlamento Europeo: 96/45/CE e del Consiglio del 24 ott /58/CE e del Consiglio del 12 lug. 2002

3 Il Codice Il testo unico, che è stato approvato dal Governo italiano il 27 Giugno 2003 e che è entrato in vigore il 1 Gennaio 2004, raccoglie e rende omogenee tutte le norme esistenti in materia di Privacy. Si prevede un forte impatto sulle modalità di trattamento dei dati, ampio quanto quello che la 626 ha avuto nel campo della sicurezza fisica e personale. Il D.Lgs. 196 introduce meccanismi più rigorosi di autoregolamentazione. In particolare : - Consultazione on-line delle notificazioni; - Menzione, nella relazione di bilancio, dell avvenuta redazione del Documento Programmatico sulla Sicurezza (DPS). I Contenuti della Normativa Parte I Disposizioni Generali individua le regole sostanziali per il trattamento dei dati personali che si applicano a tutti i trattamenti, salvo quanto previsto dalle disposizioni della Parte II Parte II Disposizioni relative a specifici Settori individua le regole applicabili a specifici settori, quali: sanitario, istruzione, lavoro, bancario, comunicazioni elettroniche, etc.; Parte III Tutela dell interessato e sanzioni.

4 Principio di Necessità Il Principio di necessità rappresenta un potenziamento dei principi di pertinenza e non eccedenza dei dati rispetto alle finalità del trattamento già individuati con la previgente legge 675/96. Il Titolare dovrà preventivamente adottare procedure organizzative ed informatiche che permettano all incaricato del trattamento l accesso ai soli files necessari alla sua attività lavorativa. Il Titolare, pertanto, dovrà implementare procedure e sistemi al fine di: inibire il trattamento di dati personali a quei soggetti che non hanno necessità di conoscerli; rendere anonimi i dati personali accessibili a tali soggetti. Definizioni Dati Personali: definizione invariata rispetto alla precedente norma Dati Identificabili: definizione invariata; dato non associato a un determinato soggetto e che necessita di un ragionevole sforzo per esservi ricondotto e abbinato Dati Identificativi: definizione nuova; è il dato immediatamente associato ad un determinato soggetto Dati Particolari: definizione invariata rispetto al decreto 467/2001 Trattamento: definizione leggermente modificata rispetto alla precedente norma; rientra nella nozione anche la consultazione

5 Dato Personale Dato comune Dato sensibile Tutte le informazioni relative a persona fisica o giuridica. A metà strada Dati Particolari Diversi dai sensibili e giudiziari, presentano, per la loro natura o per la modalità del trattamento, RISCHI SPECIFICI. Il trattamento di tali dati è ammesso nel rispetto delle misure e degli accorgimenti a garanzia dell interessato, ove prescritti. (Es. solvibilità, centrali rischi) l origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, lo stato di salute e la vita sessuale. Trattamento qualunque operazione effettuata anche senza l ausilio di strumenti elettronici, concernenti: la raccolta la registrazione la modificazione la selezione l estrazione il raffronto la consultazione e/o l utilizzo l interconnessione il blocco la comunicazione la diffusione la cancellazione e distruzione attraverso strumenti elettronici o cartacei su qualsiasi supporto e in qualsiasi modo delle caratteristiche originarie ed integrazioni ordinamento, classificazione, categorizzazione secondo criteri di selezione e ordinamento accertamento dell identità, statistiche, ricerche secondo i fini dichiarati nell informativa di cui art.13 con altre fonti informative la sospensione temporanea del trattamento a uno o più soggetti individuabili a soggetti indeterminati logica ovvero fisica dei dati Anche se non registrati in una banca dati Es. Strumenti elettronici: Elaboratori, Video registratori, Audio Registratori, Rilevatori biometrici (impronte digitali)

6 Definizioni Titolare: definizione ampliata al Titolare competono anche le decisioni relative agli strumenti da utilizzare per il trattamento stesso; ne consegue che, con riferimento agli strumenti elettronici, è tenuto a: adottare tecnologie e soluzioni applicative atte a ridurre al minimo qualsiasi tipo di rischio, organizzarsi, anche sotto il profilo tecnologico, al fine di consentire una adeguata attuazione della normativa. Responsabile: definizione invariata Incaricato: definizione invariata Interessato: definizione invariata I soggetti del trattamento TITOLARE Titolare del trattamento Incaricato Responsabile Responsabile Esterno Incaricato Incaricato Incaricato Incaricato Incaricato E la persona fisica o il soggetto giuridico, nel suo complesso, o l'unità od organismo periferico che esercita un potere decisionale del tutto autonomo sulle finalità e sulle modalità del trattamento, ivi compreso il profilo della sicurezza. Interessato Interessato Interessato Interessato Interessato Interessato Responsabile del trattamento è designato dal titolare facoltativamente. è individuato tra soggetti che per esperienza, capacità ed affidabilità forniscono idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza. possono essere designati responsabili più soggetti, anche mediante suddivisione di compiti. I compiti affidati al responsabile sono analiticamente specificati per iscritto dal titolare. Incaricati del trattamento Persone fisiche autorizzate a compiere operazioni di trattamento; operano sotto la diretta autorità del titolare o del responsabile, attenendosi alle istruzioni loro impartite. La designazione è effettuata per iscritto e individua puntualmente l'ambito del trattamento consentito. Rif. Artt.28,29,30 D.Lgs 196/03

7 Ipotesi di schema organizzativo Titolare del trattamento Azienda nel suo complesso Funzioni di staff Delegato del Titolare Direttore Generale o altra funzione delegata Incaricati del trattamento Comitato interdisciplinare UFFICIO PRIVACY Responsabili di Funzione/Area Responsabile del trattamento Responsabile Del trattamento Responsabile Del trattamento Incaricati del trattamento Tutti coloro che trattano dati Figure previste dalla legge Figure a supporto operativo/organizzativo Gli atti di Nomina Delegato del Titolare Responsabile Incaricato Il Codice considera una corretta designazione ad incaricato, anche la documentata preposizione di una persona fisica ad una unità per la quale venga indicato il preciso ambito del trattamento (per es. operatori di sportello di una banca o di un Ente Pubblico)

8 Adempimenti Obbligatori Notifica Comunicazione preventiva al Garante relativa a particolari trattamenti svolti da alcuni Titolari. Il Codice individua chiaramente le categorie di trattamenti soggetti all obbligo della notificazione e le elenca nell Art. 37. Il Garante, con proprio comunicato del 7 Aprile 2004 sottrae a tale obbligo alcuni trattamenti non continuativi. La notificazione va resa in presenza di trattamenti relativi a: dati relativi alla posizione geografica di un soggetto; dati idonei a definire un profilo o la personalità dell interessato; dati volti a monitorare l utilizzo di servizi di comunicazione elettronica; dati sensibili utilizzati per fini di selezione del personale per conto terzi; dati personali e sensibili utilizzati per sondaggi e ricerche di mercato; dati relativi al rischio della solvibilità c.d. centrali rischi; dati genetici e biometrici; etc. Adempimenti Obbligatori Informativa Va sempre resa, anche oralmente, agli interessati e deve contenere: finalità e modalità del trattamento natura obbligatoria o facoltativa del conferimento conseguenze dell eventuale rifiuto ambito di comunicazione e diffusione dei dati diritti dell interessato estremi identificativi del titolare e, se designato, del responsabile Il contenuto delle informazioni obbligatorie è stato ampliato. Il Titolare ora è tenuto ad informare l interessato circa l ambito di comunicazione dei dati, citando, oltre i Titolari e i Responsabili (come nella normativa previgente) anche quei soggetti che possono venirne a conoscenza in qualità di incaricati.

9 Adempimenti Obbligatori Consenso Il consenso, quando necessario, deve essere fornito dagli interessati in forma scritta ed in riferimento ad un trattamento chiaramente individuato. Non è più necessaria la raccolta del consenso dei dipendenti, nel caso in cui si trattino i dati sensibili solo in adempimento di un obbligo di legge (es.: gestione del rapporto di lavoro, anche in materia di igiene e sicurezza, ecc.) I Diritti degli Interessati Art.7 (Diritto di accesso ai dati personali ed altri diritti) L interessato ha diritto di ottenere la conferma dell esistenza o meno di dati personali che lo riguardano, anche se ancora non registrati, e la loro comunicazione in forma intelligibile. Ha diritto di conoscere l origine dei dati personali le finalità e le modalità del trattamento la logica applicata nel trattamento effettuato con l ausilio di strumenti elettronici gli estremi identificativi del titolare, dei responsabili e dell eventuale rappresentante designato ai sensi dell art. 5 le categorie di soggetti ai quali i dati personali possono essere comunicati Ha diritto di ottenere l aggiornamento, la rettifica, l integrazione dei dati che lo riguardano La cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge, compresi quelli di cui non è necessaria la conservazione in relazione agli scopi per i quali sono stati raccolti o successivamente trattati. L attestazione che le operazioni di cui ai punti precedenti sono state portate a conoscenza di coloro ai quali i dati sono stati comunicati o diffusi Ha diritto di opporsi Al trattamento dei dati che lo riguardano per motivi legittimi ancorché pertinenti allo scopo della raccolta Al trattamento ai fini di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale

10 I Diritti degli Interessati Art.8 (Esercizio dei Diritti) I diritti di cui all art. 7 sono esercitati con richiesta rivolta senza formalità al Titolare o al Responsabile, anche per il tramite di un incaricato, alla quale è fornito idoneo riscontro senza ritardo. Il riscontro alla richiesta da parte del titolare o del responsabile è fornito entro quindici giorni dal suo ricevimento. Entro il termine di cui sopra, se le operazioni necessarie per un integrale riscontro alla richiesta sono di particolare complessità, ovvero ricorre altro giustificato motivo, il titolare o il responsabile ne danno comunicazione all'interessato. In tal caso,il termine per l'integrale riscontro è di trenta giorni dal ricevimento della richiesta medesima. Sessione 2 Metodologia attuativa

11 Documento Programmatico sulla Sicurezza Il DPSS deve essere redatto obbligatoriamente da tutti i soggetti che trattano dati con strumenti elettronici entro il 31 marzo di ogni anno, mantenuto costantemente aggiornato e allegato alla relazione di accompagnamento al bilancio d esercizio. Dovrà contenere l elenco dei trattamenti dei dati personali la distribuzione di compiti e responsabilità nella struttura del titolare l analisi dei rischi sui dati le misure da adottare per garantire l integrità e la disponibilità dei dati, la protezione delle aree e dei locali la descrizione dei criteri da adottare per il ripristino della disponibilità dei dati a seguito di danneggiamento e/o distruzione la previsione della formazione sugli incaricati la descrizione dei criteri da adottare per garantire l attuazione delle misure di sicurezza in caso di trattamenti svolti all esterno della struttura del titolare Il Disciplinare tecnico Il Disciplinare Tecnico individua ulteriori misure minime per il trattamento di dati sensibili e giudiziari Dovrà contenere Istruzioni organizzative e tecniche per la custodia e l uso di supporti rimovibili (floppy, cd-rom) Istruzioni per la distruzione controllata dei supporti e per la cancellazione delle informazioni contenute (non tecnicamente ricostruibili) Adozione di idonee misure per il ripristino dei dati in caso di danneggiamento dei dati e/o degli strumenti

12 Il Disciplinare tecnico Regola Entro il 31 marzo di ogni anno, il titolare di un trattamento di dati sensibili o di dati giudiziari redige anche attraverso il responsabile, se designato, un documento programmatico sulla sicurezza contenente idonee informazioni riguardo: l'elenco dei trattamenti di dati personali; la distribuzione dei compiti e delle responsabilità nell'ambito delle strutture preposte al trattamento dei dati; l'analisi dei rischi che incombono sui dati; le misure da adottare per garantire l'integrità e la disponibilità dei dati, nonchè la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità; la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento di cui al successivo punto 23; la previsione di interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare. La formazione è programmata già al momento dell'ingresso in servizio, nonchè in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati personali; la descrizione dei criteri da adottare per garantire l'adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformità al codice, all'esterno della struttura del titolare; per i dati personali idonei a rivelare lo stato di salute e la vita sessuale di cui al punto 24, l'individuazione dei criteri da adottare per la cifratura o per la separazione di tali dati dagli altri dati personali dell'interessato. Elenco dei trattamenti di dati personali Vanno individuati i trattamenti effettuati dal titolare, direttamente o attraverso collaborazioni esterne, con l indicazione l della natura dei dati e della struttura (ufficio, funzione, ecc.) interna od esterna operativamente preposta, nonché degli strumenti elettronici impiegati. Descrizione sintetica del trattamento Finalità perseguita o attività svolta Categorie di interessati Natura dei dati trattati Sensibile Giudiziario Struttura di riferimento Altre strutture (anche esterne) che concorrono al trattamento Descrizione degli strumenti utilizzati

13 Distribuzione di compiti e responsabilità Sulla base dell organizzazione e delle relative strutture di riferimento, vanno correttamente individuati i compiti e le relative responsabilità,, in relazione ai trattamenti effettuati. Struttura Trattamenti effettuati dalla struttura Descrizione dei compiti e delle responsabilità della struttura Sulla base dell organizzazione interna vengono individuati i ruoli e le funzioni secondo quanto indicato dagli articoli 28, 29, 30 del D.Lgs 196/03: Titolare ed eventuali co-titolari Responsabili Incaricati Analisi del Rischio Le specifiche attività sono finalizzate all individuazione dei rischi che incombono sui dati (All.( B 19.3): analisi di tutte le modalità di acquisizione dei dati pervenuti: Per via elettronica (rete tlc,, terminali, web, supporti multimediali, etc.) Su supporto cartaceo (modulistica, posta ordinaria, etc.) analisi di tutte le modalità di protezione dei dati immagazzinati (elettronici e cartacei) da possibilità di accessi illeciti o non pertinenti, da manipolazioni, contraffazioni e distruzioni. Analisi dei rischi (fasi principali): Identificazione degli asset (dati, hardware, software, ubicazione); Identificazione delle minacce che insistono su ciascun asset; Identificazione delle vulnerabilità che possono essere sfruttate dalle minacce; Identificazione degli impatti che potrebbero derivare dalla perdita di riservatezza, integrità e disponibilità.

14 Misure da adottare Le vulnerabilità rilevate devono essere affrontate con opportune misure atte a ridurre al minimo i rischi. Tutte le misure di protezione, le modalità di acquisizione e di adozione dei dati e le relative fasi di aggiornamento annuale, devono confluire nel Documento Programmatico sulla Sicurezza. Tra gli interventi principali: Predisposizione di soluzioni di protezione fisica e logica (codice identificativo, password, registrazione accessi logici e/o fisici, antivirus, videosorveglianza, armadi blindati, etc.) Aggiornamenti alle soluzioni tecniche e organizzative in essere effettuati tenendo conto anche della letteratura specifica in materia. Misure di tutela e di garanzia Il Il titolare titolare che che si si avvale avvale di di soggetti esterni esterni per per l installazione e l adozione delle delle misure misure di di sicurezza deve deve farsi farsi rilasciare da da questi questi una una descrizione scritta scritta dell intervento effettuato Attestato di di conformità alle Disposizioni del Disciplinare Tecnico

15 Interventi formativi Vanno previsti interventi formativi degli incaricati del trattamento, per informarli: dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano, delle modalità per aggiornarsi sulle misure minime adottate dal titolare. La formazione è programmata già al momento dell'ingresso in servizio, nonchè in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati personali; Inadempienza temporanea Nel caso in cui gli strumenti non consentono (per limiti tecnologici e/o obsolescenza) l immediata applicazione delle misure di sicurezza previste dal Codice e dal Disciplinare Tecnico Il titolare è tenuto a descrivere, in un documento avente data certa e da custodire presso la propria struttura, gli impedimenti tecnici che non hanno consentito la puntuale attuazione del dettato normativo. Detti titolari avranno un anno di tempo per adeguare i propri sistemi informatici ed implementare le misure di sicurezza.

16 Sessione 3 Rischi di inadempienza e sanzioni Rischi di inadempienza e sanzioni Il d.lgs 196/03 ha inasprito le sanzioni da applicare in caso di inadempienza del Titolare, il quale è responsabile civilmente e penalmente. Particolare rilevanza viene data all adozione delle idonee e preventive misure di sicurezza e soprattutto alla mancanza delle misure minime per le quali sono previste sanzioni penali anche se commutabili in rilevanti ammende.

17 Mancata adozione delle Misure di Sicurezza I dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito e non conforme alle finalità della raccolta (cfr. art. 31) Nel quadro dei più generali obblighi di sicurezza di cui all art. 31, o previsti da speciali disposizioni, i titolari del trattamento sono comunque tenuti ad adottare le misure minime individuate nel presente capo o ai sensi dell articolo 58, comma 3, volte ad assicurare un livello minimo di protezione dei dati personali. (cfr. art. 33) Responsabilità civile Responsabilità penale Il Sistema Sanzionatorio Violazioni Amministrative Art. 161 (Omessa o inidonea informativa all interessato ) 1. La violazione delle disposizioni di cui all art. 13 è punita con la sanzione amministrativa del pagamento di una somma da tremila euro a diciottomila euro, o nei casi di dati sensibili o giudiziali o di trattamenti che presentano rischi specifici ai sensi dell art.17 o comunque, di maggiore rilevanza del pregiudizio per uno o più interessati, da cinquemila euro a trentamila euro. La somma può essere aumentata sino al triplo quando risulta inefficace in ragione delle condizioni economiche del contravventore. Art. 162 (Altre fattispecie ) 1. La cessione dei dati in violazione di quanto previsto dall Art.16 comm. 1, lett. b) cessazione del trattamento- o di altre disposizioni in materia di disciplina del trattamento dei dati personali, è punita con la sanzione amministrativa del pagamento di una somma amministrativa da cinque mila euro a trenta mila euro. 2. La violazione della disposizione di cui all Art. 84 (comunicazione dei dati sanitari settore specifico).. È punita con la sanzione amministrativa del pagamento di una somma da cinquecento euro a tremila euro. Art. 163 (Omessa o incompleta notificazione ) 1. Chiunque, essendovi tenuto non provvede tempestivamente alla notificazione di cui agli artt. 37 e 38, ovvero indica in essa notizie incomplete, è punito con la sanzione amministrativa del pagamento di una somma da diecimila euro a sessantamila euro e con la sanzione amministrativa accessoria della pubblicazione dell ordinanzaingiunzione, per intero o per estratto, in uno o più giornali indicati nel provvedimento che la applica. Art. 164 (Omessa informazione o esibizione al Garante ) 1. Chiunque, omette di fornire le informazioni o di esibire i documenti richiesti dal Garante ai sensi degli artt. 150, comma 2 e 157, è punito con la sanzione amministrativa del pagamento di una somma da quattromila euro a ventiquattro mila euro. Art. 165 (Pubblicazione del provvedimento del Garante ) 1. Nei casi previsti (artt. 161, 162 e 164) può essere applicata la sanzione amministrativa accessoria della pubblicazione dell ordinanza-ingiunzione, per intero o per estratto, in uno o più giornali.

18 Responsabilità Civile Chiunque cagiona ad altri un danno per effetto del trattamento di dati personali è tenuto al risarcimento se non prova di avere adottato tutte le misure idonee ad evitarlo. La legge ha parificato il trattamento di dati personali, all esercizio di attività pericolose, ex art c.c., con conseguente presunzione di colpa del gestore e relativa inversione dell onere della prova. Tipologia Omessa, inidonea informativa Importo Codice Dato Personale a Dato Sensibile a Aumento triplo Omessa, incompleta Notificazione a Pubblicaz.ordinanza Omessa informazione o esibizione al Garante Cessione Dati in violazione alle disposizioni Codice Errata o non conforme comunicazione dei dati sanitari all interessato a a a D.P.= Dati Personali D.S.= Dati Sensibili Il Sistema Sanzionatorio Il blocco Art Procedimento per i reclami 1. Esaurita l'istruttoria preliminare, se il reclamo non è manifestamente infondato e sussistono i presupposti per adottare un provvedimento, il Garante, anche prima della definizione del procedimento: a).. b).. c) dispone il blocco o vieta, in tutto o in parte, il trattamento che risulta illecito o non corretto anche per effetto della mancata adozione delle misure necessarie di cui alla lettera b), oppure quando, in considerazione della natura dei dati o, comunque, delle modalità del trattamento o degli effetti che esso può determinare,vi è il concreto rischio del verificarsi di un pregiudizio rilevante per uno o più interessati; d).. 2. I provvedimenti di cui al comma 1 sono pubblicati nella Gazzetta Ufficiale della Repubblica italiana se i relativi destinatari non sono facilmente identificabili per il numero o per la complessità degli accertamenti. Art. 4 Definizioni Comma 1, lettera o) "blocco", la conservazione di dati personali con sospensione temporanea di ogni altra operazione del trattamento;

19 Il Sistema Sanzionatorio Illeciti Penali Art. 167 (Trattamento illecito dei dati ) 1. Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sé o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli artt. 18, 19, (soggetti pubblici) 23 (consenso), 123 (dati relativi al traffico), 126 (dati relativi all ubicazione), e 130 (comunicazioni indesiderate), ovvero in applicazione dell art. 129 (elenco abbonati), è punito, se dal fatto deriva nocumento, con la reclusione sino a due anni o, se il fatto consiste nella comunicazione o diffusione, con la reclusione da sei mesi a tre anni. 2. Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per se o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli artt. 17 (trattamento che presenta rischi specifici) 20 (principi applicabili al trattamento dei dati sensibili) 21 (principi applicabili al trattamento dei dati giudiziari) 22 (principi applicabili al trattamento dei dati sensibili e giudiziari) 25 (divieto di comunicazione e diffuzione) 26 (garanzie per i dati sensibili) 27 (garanzie per i dati giudiziari) 45 (trasferimenti vietati) È punito, se dal fatto deriva nocumento, con la reclusione da uno a quattro anni Art. 168 (Falsità nelle dichiarazioni e notificazioni al Garante ) 1. Chiunque, nella notificazione di cui all Art. 37 o in comunicazioni, atti, documenti o dichiarazioni resi o esibiti in un procedimento dinanzi al Garante o nel corso di accertamenti, dichiara o attesta falsamente notizie o circostanze o procedure atti o documenti falsi, è punito, salvo che il fatto costituisca più grave reato, con la reclusione da sei mesi a tre anni. Il Sistema Sanzionatorio Illeciti Penali Art. 169 (Misure di Sicurezza ) 1. Chiunque, essendovi tenuto, omette di adottare le misure minime di sicurezza previste dall Art. 33 è punito con l arresto sino a due anni o con l ammenda da diecimila euro a cinquanta mila euro. 2. L autore del reato, all atto dell accertamento o, nei casi complessi, anche con successivo atto del Garante, è impartita una prescrizione fissando un termine per la regolarizzazione non eccedente il periodo di tempo tecnicamente necessario, prorogabile in caso di particolare complessità o per l oggettiva difficoltà dell adempimento e comunque non superiore a sei mesi. Nei sessanta giorni successivi allo scadere del termine, se risulta l adempimento alla prescrizione, l autore del reato è ammesso dal Garante a pagare una somma pari al quarto del massimo dell ammenda stabilita per la contravvenzione. L adempimento e il pagamento estinguono il reato. Art. 170 (Inosservanza di provvedimenti del Garante ) 1. Chiunque, essendovi tenuto, non osserva il provvedimento adottato dal Garante ai sensi dell Art. 26 (garanzie per i dati sensibili) 90 (dati genetici), 150 (provvedimento a seguito di ricorso), 143 (procedimenti per i reclami), è punito con la reclusione da tre a due anni Art. 171 (Altre Fattispecie) 1. Le violazioni delle disposizioni di cui agli artt. 113 (raccolta di dati e pertinenza Lavoratori-) e 114 (controllo a distanza) è punibile con le sanzioni dell art. 38 della legge 20 maggio 1970 n 300. (diritti dei lavoratori) Art. 172 (Pene accessorie) 1. La condanna per uno dei delitti previsti dal presente codice comporta la pubblicazione della sentenza

20 Il Sistema Sanzionatorio Responsabilità Penale Sono previste pene detentive sino ad un massimo di quattro anni di reclusione oltre la pubblicazione della sentenza quale pena accessoria Gli illeciti penali si riferiscono a: falsa notifica o false informazioni al Garante inosservanza di provvedimenti del Garante trattamento illecito di dati (illecita comunicazione o diffusione dei dati; trattamento non consentito; trattamento illecito di dati sensibili) omessa adozione delle misure minime di sicurezza