PRIVACY LE RISPOSTE AI VOSTRI QUESITI

Transcript

1 Studio Ing. Fiorenzo Pietrobono Sicurezza, Privacy, Formazione. PRIVACY LE RISPOSTE AI VOSTRI QUESITI Con le corrette informazioni per l adeguamento Rev. 0e Studio Ing. Fiorenzo Pietrobono studio@pietrobono.eu

2 SOMMARIO 1. PRIVACY E DATI PERSONALI Cos è la privacy? Cos è il diritto alla privacy? Cosa sono i dati personali? Come sono classificati i dati personali? Esempi di dati personali? CODICE PRIVACY Cos è il Codice Privacy? Il Codice Privacy è la solita legge all italiana? Cosa c entra il Codice Privacy con la sicurezza? TRATTAMENTO DEI DATI PERSONALI Cos è il trattamento dei dati personali? La normativa si applica a tutti i trattamenti di dati personali? La normativa si applica anche se non si utilizzano computer? FIGURE PREVISTE Chi è il Titolare? Chi è il Responsabile? Chi è l Incaricato? Chi è l Interessato? INFORMATIVA E CONSENSO Cos è l informativa? Cos è il consenso? DPS ED OUTSOURCING Cos è il DPS? Cosa fare in caso di outsourcing? MISURE DI SICUREZZA Cosa sono le misure di sicurezza? Quando devono essere adottate le misure di sicurezza? Quali misure di sicurezza devono essere state adottate entro il 2003? Quali misure di sicurezza possono essere adottate entro il 2006? ADEGUARSI ALLA NORMATIVA Perché adeguarsi? Cos é l onere della prova? Quali sono i crimini informatici? Cosa accade se è un Incaricato a commettere un crimine informatico? Perché adeguarsi subito? Come adeguarsi? CONSULENTE PRIVACY ED AUTORE Quali vantaggi se ci si avvale di un Consulente? Quali ulteriori vantaggi se ci si avvale dell Autore? Quali servizi può fornire l Autore?... 8 ALLEGATI... 9 A.1 SANZIONI... 9 A.1.1 Sanzioni Articoli di Legge... 9 A.1.2 Sanzioni Tabelle Riepilogative Studio Ing. Fiorenzo Pietrobono - PRI_LeRisposte.doc - Rev. 0e - Pag. 2

3 1.1 Cos è la privacy? 1. PRIVACY E DATI PERSONALI È un termine inglese che evoca i concetti di riservatezza e sfera privata. Oggi la privacy significa anche il diritto di controllare l'utilizzo e la circolazione dei propri dati personali (v. 1.3). 1.2 Cos è il diritto alla privacy? L art. 1 del Codice Privacy (v. 2.1) così recita: Chiunque ha diritto alla protezione dei dati personali che lo riguardano.. Il diritto alla privacy e, in particolare, alla protezione dei dati personali costituisce un diritto fondamentale delle persone, direttamente collegato alla tutela della dignità umana, come sancito anche dalla Carta dei diritti fondamentali dell'ue. 1.3 Cosa sono i dati personali? L art. 4 del Codice Privacy (v. 2.1) dà la seguente definizione di dato personale : Qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale. 1.4 Come sono classificati i dati personali? In base al Codice Privacy (v. 2.1), i dati personali sono classificati nelle seguenti tipologie (in ordine decrescente di importanza): Genetici : dati che riguardano l origine, la formazione, la riproduzione, l eredità biologica. Biometrici : dati relativi alla biometria, cioè allo studio dei fenomeni della vita dal punto di vista quantitativo. Sensibili : dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale. Giudiziari : dati personali idonei a rivelare provvedimenti di cui all'articolo 3, comma 1, lettere da a) a o) e da r) a u), del DPR 313/02 in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualità di imputato o di indagato ai sensi degli articoli 60 e 61 del Codice di Procedura Penale (sono dati rivelatori di provvedimenti di cui all'art. 686 C.P.P.). Comuni : tutti gli altri dati personali che non rientrano nelle tipologie precedenti. 1.5 Esempi di dati personali? Esempi di dati personali trattati con maggior frequenza nelle aziende e negli studi professionali, relativamente a fornitori, clienti, dipendenti o candidati per diventarlo, collaboratori, partner, agenti, rivenditori, utenti, pazienti, soci, iscritti, ecc. sono: Nome, cognome, indirizzo, n. telefono, n. fax, ; Codice fiscale, Partita Iva; Dati bancari; Trattenute sindacali sulla retribuzione, informazioni relative alla retribuzione; Rilevazioni di presenze; Otto per mille (dichiarazione dei redditi); Certificati di malattia, certificati di gravidanza, cartelle cliniche; Fotografie, radiografie, filmati (videosorveglianza); Impronte digitali; Informazioni sulla composizione del nucleo familiare; Informazioni sulla professione esercitata; Informazioni relative al profilo creditizio. 2.1 Cos è il Codice Privacy? 2. CODICE PRIVACY Il Codice Privacy, esattamente denominato Codice in materia di protezione dei dati personali, è: Il Decreto Legislativo 196/03, pubblicato sulla Gazzetta Ufficiale n. 174 del , Supplemento Ordinario n. 123/L. Un testo unico, che ha abrogato ben 12 tra leggi e decreti, oltre a numerosi articoli e commi di altre norme. Studio Ing. Fiorenzo Pietrobono - PRI_LeRisposte.doc - Rev. 0e - Pag. 3

4 Composto da n. 186 articoli, cui si aggiungono n. 5 allegati (n. 3 Codici Deontologici, n. 1 Disciplinare Tecnico, n. 1 Tavola di corrispondenza tra la norma in vigore e quelle precedenti). Entrato in vigore il 1 gennaio 2004 (v. 7.2). 2.2 Il Codice Privacy è la solita legge all italiana? No. Diversamente da quanto comunemente si crede, l'istituzione dell Autorità Garante e l emanazione di una normativa a protezione dei dati personali sono previste ed obbligatorie in tutti i Paesi membri dell'unione Europea (Direttiva 2002/58/CE). 2.3 Cosa c entra il Codice Privacy con la sicurezza? Oltre al corretto utilizzo dei dati personali, l art. 31 del Codice Privacy obbliga chiunque a ridurre al minimo i rischi di distruzione, perdita ed accesso non autorizzato ai dati, mediante l adozione di idonee misure di sicurezza (v. capitolo 7). Occorre quindi dotarsi di sistemi in grado, tra l altro, di proteggere i dati dalle intrusioni e dagli eventuali danni provocati dall intruso: chi non lo fa rischia sanzioni civili e penali molto pesanti (v. allegato A.1 in fondo al presente documento). 3. TRATTAMENTO DEI DATI PERSONALI 3.1 Cos è il trattamento dei dati personali? L art. 4 del Codice Privacy dà la seguente definizione di trattamento dei dati personali : Qualunque operazione o complesso di operazioni, effettuati anche senza l'ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati. Come si vede la definizione fornita dalla legge è molto ampia e comprende tra l altro le seguenti operazioni: Conservazione : avere documenti con dati personali di terzi, da anni riposti in un cassetto e non utilizzati, è trattamento. Consultazione : visualizzare sul monitor del computer dati personali di terzi, senza modificarli, è comunque trattamento. 3.2 La normativa si applica a tutti i trattamenti di dati personali? La normativa privacy si applica a tutti coloro che trattano dati personali di terzi (clienti, fornitori, dipendenti, agenti,...) per fini professionali (artigiani, commercianti, professionisti, studi professionali, aziende, cooperative, enti pubblici e privati,...). Non si applica se per fini personali (es., rubrica di casa). 3.3 La normativa si applica anche se non si utilizzano computer? Sì, la normativa privacy si applica a tutti i trattamenti di dati personali, indipendentemente dal fatto che siano effettuati con l'ausilio di mezzi elettronici o comunque automatizzati. Quindi anche chi tratta solo documenti cartacei per fini professionali è soggetto alla normativa. 4.1 Chi è il Titolare? 4. FIGURE PREVISTE L art. 4 del Codice Privacy dà la seguente definizione di Titolare (del trattamento dei dati personali): La persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro Titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali ed agli strumenti utilizzati, ivi compreso il profilo della sicurezza. Nei casi in cui il trattamento dei dati personali sia svolto da una: Ditta individuale o Libero professionista : per Titolare va inteso tale individuo. Società o Pubblica Amministrazione : per Titolare va intesa l'entità nel suo complesso e non l'individuo o l'organo che l'amministra o la rappresenta (Presidente, Amministratore Delegato, Legale Rappresentante, Direttore Generale,...). 4.2 Chi è il Responsabile? L art. 4 del Codice Privacy dà la seguente definizione di Responsabile (del trattamento dei dati personali): La persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal Titolare al trattamento di dati personali. In pratica, il Responsabile è: La persona, la società, l'ente, l'associazione o l'organismo, anche esterno, a cui il Titolare affida per la particolare esperienza o capacità, compiti di gestione e controllo del trattamento dei dati. Una figura facoltativa. Studio Ing. Fiorenzo Pietrobono - PRI_LeRisposte.doc - Rev. 0e - Pag. 4

5 La nomina va effettuata per iscritto e va accettata dal Responsabile per iscritto. 4.3 Chi è l Incaricato? L art. 4 del Codice Privacy dà la seguente definizione di Incaricato (del trattamento dei dati personali): La persona fisica autorizzata a compiere operazioni di trattamento dal Titolare o dal Responsabile. In pratica, l Incaricato è: Il dipendente o il collaboratore esterno che per conto della struttura del Titolare elabora o utilizza materialmente i dati personali nei locali del Titolare, sulla base delle istruzioni ricevute dal Titolare medesimo (e/o dal Responsabile, se designato); Una figura obbligatoria. L incarico va effettuato per iscritto ed individua puntualmente l ambito del trattamento dei dati consentito all Incaricato. 4.4 Chi è l Interessato? L art. 4 del Codice Privacy dà la seguente definizione di Interessato : La persona fisica, la persona giuridica, l'ente o l'associazione cui si riferiscono i dati personali. Esempio: se un trattamento riguarda l'indirizzo, il codice fiscale, ecc. del Sig. Mario Rossi o dell organizzazione ABC S.p.A., l Interessato è rispettivamente il Sig. Mario Rossi o l organizzazione ABC S.p.A. 5.1 Cos è l informativa? 5. INFORMATIVA E CONSENSO L informativa è l insieme delle informazioni che il Titolare del trattamento deve fornire ad ogni Interessato, verbalmente o per iscritto, quando i dati personali sono raccolti presso l'interessato stesso o presso terzi. In alcuni casi non è necessaria l informativa. 5.2 Cos è il consenso? Il consenso è la libera manifestazione della volontà dell'interessato, con cui questi accetta espressamente un determinato trattamento dei suoi dati personali, sul quale è stato preventivamente informato, tramite l informativa (v. 5.1), da chi tratta i dati personali. In alcuni casi non è necessario il consenso. 6.1 Cos è il DPS? 6. DPS ED OUTSOURCING Il DPS è il Documento Programmatico sulla Sicurezza : è un documento obbligatorio se si trattano con strumenti elettronici dati personali sensibili, giudiziari, biometrici, genetici; va aggiornato annualmente entro il 31 marzo. Vi è l'obbligo di riportare nella Relazione accompagnatoria del bilancio d'esercizio, se dovuta, l indicazione dell'avvenuta redazione o aggiornamento del DPS. In alcuni casi non è necessario il DPS, ma può essere sostituito da una autocertificazione. 6.2 Cosa fare in caso di outsourcing? È consentito che un organizzazione (Affidante) comunichi e faccia trattare i dati personali di terzi (propri clienti, fornitori, dipendenti, consulenti, agenti e rappresentanti,...) ad un altra organizzazione (Affidataria). L Affidante ha però il compito di vigilare sul fatto che le norme privacy vengano diligentemente rispettate dall Affidatario e che le misure di sicurezza vengano attuate correttamente; questo può essere svolto in una delle seguenti modalità: L Affidante può provvedere alla nomina dell Affidatario come Responsabile del trattamento di dati personali. Si esige dall Affidatario una dichiarazione in cui dichiari di avere adottato le misure minime previste dal Codice Privacy. Si esige dall Affidatario una copia dell eventuale DPS / Attestato di Conformità rilasciato da chi ha curato la progettazione e l attuazione delle misure minime di sicurezza per conto dell Affidatario. 7. MISURE DI SICUREZZA 7.1 Cosa sono le misure di sicurezza? Le misure di sicurezza sono tutti gli accorgimenti (organizzativi, procedurali e tecnici) ed i dispositivi fisici utilizzati per garantire la riservatezza, l integrità, la disponibilità e la liceità dei dati personali trattati. Le misure di sicurezza si distinguono in: Misure minime : misure di sicurezza che è obbligatorio adottare per garantire un livello minimo di protezione e per non incorrere in responsabilità penali (artt del Codice Privacy e punti 1 29 dell'allegato B). Studio Ing. Fiorenzo Pietrobono - PRI_LeRisposte.doc - Rev. 0e - Pag. 5

6 Misure idonee : più ampie misure di sicurezza, rispetto a quelle minime, che il Titolare del trattamento deve applicare a tutela dei dati personali, per non incorrere in responsabilità civile per danni (art. 31 del Codice Privacy ). Le misure di sicurezza che il Titolare del trattamento deve adottare nei tempi previsti (v. 7.2) variano in base a: Tipologia dei dati personali trattati (genetici, biometrici, sensibili, giudiziari, comuni). Strumenti utilizzati per il trattamento dei dati personali [computer (con/senza accesso ad Internet e/o in rete locale), documenti cartacei, ecc.]. 7.2 Quando devono essere adottate le misure di sicurezza? Le misure di sicurezza devono essere state adottate entro i seguenti termini: , per le misure di sicurezza già previste dalla normativa precedente (L. 675/96, DPR 318/99, L. 325/2000) (v. 7.3) , solamente per le nuove misure di sicurezza (v. 7.4), nel caso in cui l organizzazione al deteneva strumenti tecnicamente adeguati , solamente per le nuove misure di sicurezza (v. 7.4), nel caso in cui l organizzazione al deteneva strumenti tecnicamente inadeguati, di cui deve aver dato le motivazioni tecniche entro il in un documento avente data certa da custodire presso la propria struttura (non andava quindi inviato al Garante Privacy). Chi non si è ancora adeguato è bene che provveda prima possibile. 7.3 Quali misure di sicurezza devono essere state adottate entro il 2003? Le misure di sicurezza che devono essere state già adottate entro il sono le seguenti: Gestione delle lettere di nomina dei Responsabili (se previsti) e degli Incaricati. Prescrizioni per il trattamento dei dati personali (da fornire agli Incaricati). Procedure per la classificazione dei dati trattati. Gestione dell informativa e del consenso. Creazione e gestione di archivi fisici ad accesso controllato. Adozione di un sistema di autenticazione informatica (es., fornitura di user-id e password a ciascuna persona che utilizza il computer). Utilizzo di programmi antivirus. Controllo dei supporti di memorizzazione (cd, dvd, memorie usb, nastri, dischetti,...). Formazione degli Incaricati (in certe condizioni). Inventario degli strumenti elettronici (in certe condizioni). Redazione e revisione del DPS (in certe condizioni) (v. 6.1). Analisi dei rischi (in certe condizioni). Altre misure di sicurezza (in certe condizioni). 7.4 Quali misure di sicurezza possono essere adottate entro il 2006? Le misure di sicurezza che possono essere state adottate entro il / (v. 7.2), misure nuove rispetto alla normativa precedente (L. 675/96, DPR 318/99, L. 325/2000), sono le seguenti: Predisposizione ed aggiornamento del mansionario privacy. Adozione di un sistema di autorizzazione informatica (definizione di quali dati elettronici ciascun utente può utilizzare e divieto dell'utilizzo degli altri dati). Utilizzo di firewall (barriera tra il pc ed il mondo Internet). Manutenzione logica degli strumenti (applicazione di patch e service pack ai sistemi operativi Windows, Unix, Linux, ). Salvataggio e ripristino dei dati. Formazione degli Incaricati (in certe condizioni). Inventario delle aree e dei locali (in certe condizioni). Inventario degli strumenti elettronici (in certe condizioni). Redazione e revisione del DPS (in certe condizioni) [v. 6.1]. Analisi dei rischi (in certe condizioni). Altre misure di sicurezza (in certe condizioni). 8.1 Perché adeguarsi? 8. ADEGUARSI ALLA NORMATIVA Le organizzazioni devono adeguarsi alla normativa (adottare le opportune misure di sicurezza entro i termini indicati nel 7.2) per i seguenti motivi: Per tutelarsi legalmente dai propri dipendenti e collaboratori per un uso scorretto delle risorse (strumenti informatici e non) che l organizzazione mette a disposizione (contrariamente a quanto comunemente si crede, le statistiche ufficiali dimostrano che la maggior parte dei crimini informatici e dei comportamenti Studio Ing. Fiorenzo Pietrobono - PRI_LeRisposte.doc - Rev. 0e - Pag. 6

7 scorretti, volontari o meno, viene commessa dal personale all interno dell organizzazione rispetto agli intrusi dall esterno) (v. 8.3). Per tutelarsi legalmente da eventuali comportamenti non conformi alla normativa da parte degli Affidatari (v. 6.2). L'Autorità Garante effettua ispezioni autonomamente o avvalendosi della Guardia di Finanza, della Polizia Postale, dei Carabinieri,... Per essere tutelati legalmente dal punto di vista delle responsabilità civili e, in taluni casi, penali. Il trattamento dei dati personali è stato equiparato ad attività pericolosa, per cui si rischiano sanzioni molto pesanti (ammende, reclusione, risarcimento del danno patrimoniale e morale, pubblicazione della sentenza sui quotidiani,...) ex art C.C. (maggiori dettagli sulle sanzioni previste sono riportati nell allegato A.1 in fondo al presente documento). È stato introdotto con la nuova normativa l onere della prova (v. 8.2). 8.2 Cos é l onere della prova? Solitamente chi si ritiene danneggiato da un fatto illecito, deve provare la responsabilità di chi ha commesso il fatto. Invece nell art C.C., che si applica al trattamento dei dati personali, è sancito il principio dell inversione dell onere della prova : il danneggiato deve provare solo il fatto, mentre chi effettua il trattamento dei dati e ha causato il danno, a fini liberatori, deve dimostrare di aver adottato tutte le misure idonee ad evitarlo. 8.3 Quali sono i crimini informatici? La Legge 547/93 ha introdotto nel nostro ordinamento giuridico i seguenti crimini informatici : Attentato a impianti informatici di pubblica utilità. Falsificazione di documenti informatici. Accesso abusivo ad un sistema informatico o telematico. Detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici. Diffusione di programmi diretti a danneggiare o interrompere un sistema informatico. Violazione e intercettazione di corrispondenza telematica. Danneggiamento di sistemi informatici o telematici. 8.4 Cosa accade se è un Incaricato a commettere un crimine informatico? In tale caso il Titolare rischia di essere ritenuto in concorso di colpa con l Incaricato, per non aver posto in essere tutte le misure di prevenzione e controllo idonee a garantire la sicurezza del trattamento dei dati personali. La mancata adozione di tutte le misure idonee a ridurre al minimo i rischi viene considerata difatti dalla giurisprudenza un agevolazione alla commissione del crimine informatico (v. 8.3). 8.5 Perché adeguarsi subito? È opportuno adeguarsi subito per i seguenti motivi: Il Codice Privacy è in vigore da vari anni (v. 7.3 e 7.4); Più il tempo passa e maggiori sono i rischi di un controllo e di pesanti sanzioni. In caso di sanzioni è opportuno valutare, oltre alle perdite economiche, anche i danni all'immagine e alla credibilità: la sicurezza non deve diventare importante quando il danno si è prodotto (è come mettere l antifurto alla propria abitazione dopo che si è verificato un furto). Il costo dell'adeguamento è molto basso in valore assoluto ed in relazione al rischio che si corre ed alle sanzioni previste. Il costo dell adeguamento in realtà è un investimento, perché vanno correttamente valutati i costi del non investimento nella sicurezza e nella continuità del business ed i costi degli incidenti informatici. 8.6 Come adeguarsi? Adottando le seguenti misure di sicurezza: Identificazione e nomina delle figure richieste dalla normativa (Titolare/i, eventuali Responsabili, Incaricati). Inventario dei dati personali e dei relativi trattamenti. Adeguamento agli obblighi di informativa, consenso, autorizzazione e notificazione (ove previste). Scrittura ed implementazione delle procedure da seguire, facendole conoscere ed applicare ai propri Incaricati. Redazione del DPS (se dovuto). Formazione degli Incaricati, nelle varie forme previste. Protezione degli elaboratori contro il rischio di intrusione e virus. Definizione di un sistema di autenticazione e di autorizzazione per l accesso agli elaboratori. Adozione di misure fisiche di protezione. Studio Ing. Fiorenzo Pietrobono - PRI_LeRisposte.doc - Rev. 0e - Pag. 7

8 9. CONSULENTE PRIVACY ED AUTORE 9.1 Quali vantaggi se ci si avvale di un Consulente? Un Consulente privacy può rappresentare i seguenti vantaggi per l organizzazione: Competenza ed esperienza nella normativa privacy. Implementazione rapida del sistema di gestione privacy e delle misure di sicurezza. Consulenza nell adozione, da parte dell organizzazione, delle misure di sicurezza, organizzative, logiche e fisiche. Responsabilità del Consulente in sede civile e penale, confermata dal rilascio, obbligatorio per legge, dell Attestato di Conformità (la responsabilità è parziale, in quanto per legge non può essere trasferita del tutto dal Titolare al Consulente). 9.2 Quali ulteriori vantaggi se ci si avvale dell Autore? L Autore può rappresentare i seguenti ulteriori vantaggi per l organizzazione: Competenza ed esperienza nella sicurezza informatica (è uno dei pochi in Italia qualificato Auditor BS ora ISO e per conto di un noto Ente di certificazione internazionale ha svolto attività di certificazione nella sicurezza informatica). Possibilità di consulenza nel campo della sicurezza e salute nei luoghi di lavoro. Possibilità di essere nominato RSPP Responsabile del Servizio di Prevenzione e Protezione dai rischi (in possesso di certificato dell Università Studi PG - Facoltà Ingegneria - Dipartimento Ingegneria Industriale, conforme al D.Lgs. 81/08 art. 34) nelle organizzazioni appartenenti a qualsiasi macrosettore ATECO e in particolare in uno dei seguenti macrosettori, dove è specializzato: Macrosettore ATECO 4 Industria (industrie alimentari, tessili, abbigliamento; conciarie, cuoio; legno; carta, editoria, stampa; minerali non metalliferi; produzione e lavorazione di metalli; fabbricazione di macchine, apparecchi meccanici; fabbricazione di macchine, apparecchi elettrici ed elettronici; autoveicoli; mobili; produzione e distribuzione di energia elettrica, gas, acqua; smaltimento rifiuti). Macrosettore ATECO 6 Commercio-Artigianato (commercio ingrosso e dettaglio; attività artigianali varie - parrucchieri, carrozzerie, riparazioni veicoli, lavanderie, panificatori, pasticceri, ecc.; trasporti, magazzinaggio, comunicazioni). Macrosettore ATECO 9 Servizi (studi professionali; servizi alle imprese; alberghi, ristoranti; banche, assicurazioni; attività immobiliari; noleggio; informatica; associazioni ricreative, culturali, sportive; servizi domestici; organizzazioni extraterritoriali, ecc.). È comunque abilitato a svolgere il ruolo di RSPP nelle aziende di tutti i macrosettori ATECO, in base a quanto previsto dal D.Lgs. 81/08 art. 32 comma 5 e dal D.M , essendo in possesso di laurea quinquennale classe 10 Ingegneria industriale. 9.3 Quali servizi può fornire l Autore? Per quanto riguarda la privacy, l Autore può fornire i seguenti servizi: Analisi dettagliata della realtà dell organizzazione per quanto riguarda il trattamento dei dati e la sicurezza informatica. Supporto all organizzazione nell attuazione delle misure di sicurezza e nella eventuale selezione dei fornitori privacy. Formazione agli Incaricati sulla normativa privacy e sulla sicurezza delle informazioni. Rilascio dell Attestato di Conformità, relativo all adeguamento del Sistema Gestione Privacy alla normativa in vigore. Audit periodico per l aggiornamento del Sistema Gestione Privacy e delle altre misure di sicurezza adottate. Studio Ing. Fiorenzo Pietrobono - PRI_LeRisposte.doc - Rev. 0e - Pag. 8

9 ALLEGATI A.1 SANZIONI A.1.1 Sanzioni Articoli di Legge Si riportano gli articoli del codice privacy relativi alle sanzioni, previste per violazioni amministrative ed illeciti penali. TITOLO III SANZIONI CAPO I VIOLAZIONI AMMINISTRATIVE Art. 161 (Omessa o inidonea informativa all interessato) 1. La violazione delle disposizioni di cui all articolo 13 è punita con la sanzione amministrativa del pagamento di una somma da tremila euro a diciottomila euro o, nei casi di dati sensibili o giudiziari o di trattamenti che presentano rischi specifici ai sensi dell articolo 17 o, comunque, di maggiore rilevanza del pregiudizio per uno o più interessati, da cinquemila euro a trentamila euro. La somma può essere aumentata sino al triplo quando risulta inefficace in ragione delle condizioni economiche del contravventore. Art. 162 (Altre fattispecie) 1. La cessione dei dati in violazione di quanto previsto dall articolo 16, comma 1, lettera b), o di altre disposizioni in materia di disciplina del trattamento dei dati personali è punita con la sanzione amministrativa del pagamento di una somma da cinque mila euro a trentamila euro. 2 La violazione della disposizione di cui all articolo 84, comma 1, è punita con la sanzione amministrativa del pagamento di una somma da cinquecento euro a tremila euro. Art. 163 (Omessa o incompleta notificazione) 1. Chiunque, essendovi tenuto, non provvede tempestivamente alla notificazione ai sensi degli articoli 37 e 38, ovvero indica in essa notizie incomplete, è punito con la sanzione amministrativa del pagamento di una somma da diecimila euro a sessantamila euro e con la sanzione amministrativa accessoria della pubblicazione dell ordinanza-ingiunzione, per intero o per estratto, in uno o più giornali indicati nel provvedimento che la applica. Art. 164 (Omessa informazione o esibizione al Garante) 1. Chiunque omette di fornire le informazioni o di esibire i documenti richiesti dal Garante ai sensi degli articoli 150, comma 2, e 157 è punito con la sanzione amministrativa del pagamento di una somma da quattromila euro a ventiquattro mila euro. Art. 165 (Pubblicazione del provvedimento del Garante) 1. Nei casi di cui agli articoli 161, 162 e 164 può essere applicata la sanzione amministrativa accessoria della pubblicazione dell ordinanza-ingiunzione, per intero o per estratto, in uno o più giornali indicati nel provvedimento che la applica. Art. 166 (Procedimento di applicazione) 1. L organo competente a ricevere il rapporto e ad irrogare le sanzioni di cui al presente capo e all articolo 179, comma 3, è il Garante. Si osservano, in quanto applicabili, le disposizioni della legge 24 novembre 1981, n. 689, e successive modificazioni. I proventi, nella misura del cinquanta per cento del totale annuo, sono riassegnati al fondo di cui all'articolo 156, comma 10, e sono utilizzati unicamente per l'esercizio dei compiti di cui agli articoli 154, comma 1, lettera h), e 158. CAPO II ILLECITI PENALI Art. 167 (Trattamento illecito di dati) 1. Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sé o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli articoli 18, 19, 23, 123, 126 e 130, ovvero in applicazione dell articolo 129, è punito, se dal fatto deriva nocumento, con la reclusione da sei a diciotto mesi o, se il fatto consiste nella comunicazione o diffusione, con la reclusione da sei a ventiquattro mesi. Studio Ing. Fiorenzo Pietrobono - PRI_LeRisposte.doc - Rev. 0e - Pag. 9

10 2. Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sé o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli articoli 17, 20, 21, 22, commi 8 e 11, 25, 26, 27 e 45, è punito, se dal fatto deriva nocumento, con la reclusione da uno a tre anni. Art. 168 (Falsità nelle dichiarazioni e notificazioni al Garante) 1. Chiunque, nella notificazione di cui all articolo 37 o in comunicazioni, atti, documenti o dichiarazioni resi o esibiti in un procedimento dinanzi al Garante o nel corso di accertamenti, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi, è punito, salvo che il fatto costituisca più grave reato, con la reclusione da sei mesi a tre anni. Art. 169 (Misure di sicurezza) 1. Chiunque, essendovi tenuto, omette di adottare le misure minime previste dall articolo 33 è punito con l'arresto sino a due anni o con l'ammenda da diecimila euro a cinquantamila euro. 2. All autore del reato, all atto dell accertamento o, nei casi complessi, anche con successivo atto del Garante, è impartita una prescrizione fissando un termine per la regolarizzazione non eccedente il periodo di tempo tecnicamente necessario, prorogabile in caso di particolare complessità o per l oggettiva difficoltà dell adempimento e comunque non superiore a sei mesi. Nei sessanta giorni successivi allo scadere del termine, se risulta l adempimento alla prescrizione, l'autore del reato è ammesso dal Garante a pagare una somma pari al quarto del massimo dell'ammenda stabilita per la contravvenzione. L'adempimento e il pagamento estinguono il reato. L organo che impartisce la prescrizione e il pubblico ministero provvedono nei modi di cui agli articoli 21, 22, 23 e 24 del decreto legislativo 19 dicembre 1994, n. 758, e successive modificazioni, in quanto applicabili. Art. 170 (Inosservanza di provvedimenti del Garante) 1. Chiunque, essendovi tenuto, non osserva il provvedimento adottato dal Garante ai sensi degli articoli 26, comma 2, 90, 150, commi 1 e 2, e 143, comma 1, lettera c), è punito con la reclusione da tre mesi a due anni. Art. 171 (Altre fattispecie) 1. La violazione delle disposizioni di cui agli articoli 113, comma 1, e 114 è punita con le sanzioni di cui all articolo 38 della legge 20 maggio 1970, n Art. 172 (Pene accessorie) 1. La condanna per uno dei delitti previsti dal presente codice importa la pubblicazione della sentenza. Studio Ing. Fiorenzo Pietrobono - PRI_LeRisposte.doc - Rev. 0e - Pag. 10

11 A.1.2 Sanzioni Tabelle Riepilogative La mancata adozione delle misure minime di sicurezza prevede sanzioni penali, che possono prevedere fino a 2 anni di reclusione o un'ammenda dai ai euro, oppure la facoltà di mettersi in regola entro un termine (non superiore ai sei mesi) fissato dall'autorità per l'adozione delle prescritte misure di sicurezza, pagando comunque un'ammenda di euro ed ottenendo il beneficio dell'estinzione del reato. TAB. A.1.2A VIOLAZIONI AMMINISTRATIVE ART. VIOLAZIONE AMMINISTRATIVA SANZIONE Omessa o inidonea informativa (art. 161) Omessa o incompleta notificazione (art. 163) Omessa informazione o esibizione al Garante (art. 164) Altre fattispecie (art. 162) Violazione delle disposizioni di cui all'art. 13 (informativa all'interessato). Quando la violazione riguarda dati sensibili o giudiziari, trattamenti che presentano rischi specifici ai sensi dell'art. 17 o, comunque, di maggiore rilevanza del pregiudizio per uno o più interessati. Chiunque, essendovi tenuto, non provvede tempestivamente alla notificazione, ai sensi degli artt. 37 e 38, ovvero indica in essa notizie incomplete. Chiunque omette di fornire le informazioni o di esibire i documenti richiesti dal Garante ai sensi degli artt. 150, comma 2, e 157 Cessione dei dati in violazione di quanto previsto dall'art. 16, comma 1, lettera b), o di altre disposizioni in materia di disciplina del trattamento dei dati personali. Sanzione da a euro. Sanzione da a euro. La somma può essere aumentata sino al triplo se inefficace in ragione delle condizioni economiche del contravventore. Sanzione da a euro e pubblicazione dell'ordinanza-ingiunzione. Sanzione da a euro. Sanzione da a euro. Tab. A.1.2B ILLECITI PENALI ART. ILLECITO PENALE SANZIONE Trattamento illecito di dati (art. 167 c. 1) Trattamento illecito di dati (art. 167 c. 2) Falsità nelle dichiarazioni e notificazioni al Garante (art. 168) Misure di sicurezza (art. 169) Inosservanza di provvedimenti del Garante (art. 170) Altre fattispecie (art. 171) Chiunque, al fine di trarne per sé o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli artt. 18, 19, 23, 123, 126 e 130, ovvero in applicazione dell'art. 129, è punito, se dal fatto deriva nocumento. Chiunque, al fine di trarne per sé o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli artt. 17, 20, 21, 22, commi 8 e 11, 25, 26, 27 e 45, è punito, se dal fatto deriva nocumento. Chiunque, al fine di trarne per sé o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli artt. 17 (trattamento che presenta rischi specifici), 20, 21, 22, comma 8 e 11, 25, 26, 27 e 45, è punito, se dal fatto deriva nocumento. Chiunque, essendovi tenuto, omette di adottare le misure minime previste dall'art. 33 Chiunque, essendovi tenuto, non osserva il provvedimento adottato dal Garante ai sensi degli artt. 26, comma 2, 90, 150, comma 1, 2 e 143, comma 1 lett. c) Violazione delle disposizioni di cui agli artt. 113, comma 1, e 114. Reclusione da 6 a 18 mesi o, se il fatto consiste nella comunicazione o diffusione, con la reclusione da 6 a 24 mesi. Reclusione da 1 a 3 anni. Reclusione da 6 mesi a 3 anni. Arresto fino a 2 anni o ammenda da a euro. Reclusione da 3 mesi a 2 anni. Sanzioni previste dall'art. 38 della legge 20 maggio 1970, n Studio Ing. Fiorenzo Pietrobono - PRI_LeRisposte.doc - Rev. 0e - Pag. 11