IL NUOVO CODICE SULLA PRIVACY D.L.vo 196/2003

Транскрипт

1 IL NUOVO CODICE SULLA PRIVACY D.L.vo 196/2003 Art.1 CHIUNQUE HA DIRITTO ALLA PROTEZIONE DEI DATI PERSONALI CHE LO RIGUARDANO

2 I DIRITTI TUTELATI DI RISERVATEZZA DI DIGNITA DI IDENTITA DELLE LIBERTA FONDAMENTALI

3 TIPOLOGIA DI DATI DATI COMUNI DATI SENSIBILI E GIUDIZIARI DATI SEMISENSIBILI

4 L INTERESSATO E I SUOI DIRITTI CHI E L INTERESSATO: La persona fisica, la persona giuridica, l ente o l associazione cui i riferiscono i dati DIRITTI DELL INTERESSATO E OBBLIGHI PER IL TITOLARE: DIRITTO DI ACCESSO AI DATI PERSONALI ESERCIZIO DEI DIRITTI MODALITA DI ESERCIZIO RISCONTRO ALL INTERESSATO

5 I SOGGETTI CHE EFFETTUANO IL TRATTAMENTO IL TITOLARE DEL TRATTAMENTO la persona fisica, la persona giuridica, la pubblica amministrazione cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati.. IL RESPONSABILE DEL TRATTAMENTO la persona fisica, la persona giuridica,la pubblica amministrazione preposti dal titolare al trattamento dei dati GLI INCARICATI DEL TRATTAMENTO Le persone fisiche autorizzate a compiere operazioni di trattamento dal titolare o dal responsabile

6 ADEMPIMENTI E ATTIVITA NECESSARIE ORGANIZZAZIONE INTERNA PER LA PRIVACY: nomina del responsabile/i e degli incaricati e relative istruzioni INFORMATIVA CONSENSO SCRITTO (ove previsto) MISURE DI SICUREZZA DPS

7 PRIMA DI QUALUNQUE TRATTAMENTO FORNIRE L INFORMATIVA (PREVENTIVA) ACQUISIRE IL CONSENSO (OVE PREVISTO) RACCOLTA DEI DATI

8 LA SICUREZZA DEI DATI PERSONALI MISURE IDONEE PER RIDURRE AL MINIMO UNA SERIE DI RISCHI MISURE MINIME: TRATTAMENTI CON STRUMENTI ELETTRONICI TRATTAMENTI SENZA STRUMENTI ELETTRONICI

9 MISURE MINIME (Artt e Allegato B) TRATTASI DEL COMPLESSO DELLE: MISURE TECNICHE INFORMATICHE ORGANIZZATIVE LOGISTICHE E PROCEDURALI DI SICUREZZA CHE CONFIGURANO IL LIVELLO MINIMO DI PROTEZIONE

10 AUTENTICAZIONE INFORMATICA DOTARE GLI INCARICATI DI CREDENZIALI DI AUTENTICAZIONE PER L ACCESSO A UNO O PIU TRATTAMENTI. CREDENZIALI DI AUTENTICAZIONE: USER ID E PASSWORD

11 PROCEDURE DI GESTIONE DELLE CREDENZIALI DI AUTENTICAZIONE ISTRUZIONI AGLI INCARICATI PER SEGRETEZZA E CUSTODIA PASSWORD PASSWORD: DI ALMENO 8 CARATTERI PASSWORD: NESSUN ELEMENTO DELL INCARICATO

12 PROCEDURE DI GESTIONE DELLE CREDENZIALI DI AUTENTICAZIONE MODIFICA DELLA PASSWORD USER ID: SEMPRE UNIVOCA DISATTIVAZIONE DI PASSWORD E USER ID ISTRUZIONI AGLI INCARICATI PER NON LASCIARE INCUSTODITO IL PC

13 UTILIZZAZIONE DI UN SISTEMA DI AUTORIZZAZIONE UTILIZZARE UN SISTEMA DI AUTORIZZAZIONE QUANDO GLI INCARICATI HANNO PROFILI DIVERSI DI AUTORIZZAZIONE I PROFILI SONO INDIVIDUATI PRIMA DELL INIZIO DEL TRATTAMENTO VERIFICARE ALMENO ANNUALMENTE LA SUSSISTENZA DELLE CONDIZIONI PER LA CONSERVAZIONE DEI PROFILI

14 PROTEZIONE DEGLI STRUMENTI ELETTRONICI E DEI DATI I DATI PERSONALI DEVONO ESSERE PROTETTI CONTRO IL RISCHIO DI INTRUSIONE DA VIRUS INFORMATICI MEDIANTE L ATTIVAZIONE DI IDONEI STRUMENTI ELETTRONICI DA AGGIORNARE CON CADENZA ALMENO SEMESTRALE I DATI SENSIBILI DEVONO ESSERE PROTETTI CONTRO L ACCESSO ABUSIVO DA HACKER, MEDIANTE L UTILIZZO DI IDONEI STRUMENTI ELETTRONICI

15 PROCEDURE PER LA CUSTODIA COPIE DI BACK UP E RIPRISTINO DELLA DISPONIBILITÀ DEI DATI E DEI SISTEMI ISTRUZIONI ORGANIZZATIVE E TECNICHE PER IL SALVATAGGIO DEI DATI CON FREQUENZA ALMENO SETTIMANALE ISTRUZIONI ORGANIZZATIVE E TECNICHE PER LA CUSTODIA E L USO DEI SUPPORTI COPIE DI BACK-UP AL FINE DI EVITARE ACCESSI NON AUTORIZZATI E TRATTAMENTI NON CONSENTITI (dati sensibili) GARANTIRE IL RIPRISTINO DELL ACCESSO AI DATI IN CASO DI DANNEGGIAMENTO DEI DATI STESSI O DEGLI STRUMENTI ELETTRONICI, ENTRO 7 GIORNI (dati sensibili)

16 SANZIONI PENALI PER OMISSIONE MISURE MINIME DI SICUREZZA CHIUNQUE, ESSENDOVI TENUTO, OMETTE DI ADOTTARE LE MISURE MINIME DI SICUREZZA PREVISTE DALL ART. 33 E PUNITO CON L ARRESTO SINO A DUE ANNI O CON L AMMENDA DA EURO A EURO

17 SANZIONI PENALI PER TRATTAMENTO ILLECITO DEI DATI RECLUSIONE DA 6 A 18 MESI (art. 167) salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sé o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli artt. 18, 19, 23, 123, 126, 130 ovvero in applicazione dell articolo 129, e punito se dal fatto deriva nocumento, con la reclusione da sei a diciotto mesi o, se il fatto consiste nella comunicazione o diffusione, con la reclusione da sei a ventiquattro mesi.

18 SANZIONI AMMINISTRATIVE PER OMESSA O INIDONEA INFORMATIVA VIOLAZIONI art. 13 (INFORMATIVA): DA A EURO NEI CASI DI DATI SENSIBILI O TRATTAMENTI CHE PRESENTANO SPECIFICI RISCHI AI SENSI DELL ART. 17 : DA A EURO