Oltre clienti

Транскрипт

1 !"#$$%&'''$$%

2 Oltre clienti

3 I prodotti e le aree di competenza Soluzioni software applicativo Information e communication technology Internet provider Soluzioni ai problemi legali dell ICT

4 Il nostro Team unito alle migliori Partnership tecnologiche per la soddisfazione delle vostre esigenze

5 Parleremo di Privacy e Policy in Azienda Luca Leone - Responsabile Unolegal Consulting Casi concreti di gestione e organizzazione della Privacy Aziendale intervento di: Debora Origlia - Alberto Rinero - ALPITOUR S.p.A. Unolearning.it: : Formazione Privacy on-line Luca Leone - Responsabile Unolegal Consulting Conclusioni sessione domande e risposte

6 PRIVACY: LE NOVITÀ NORMATIVE Luca Leone Unolegal Consulting

7 Provvedimento Garante Protezione Dati Personali del 19/06/08 (vedi anche Provv. 24/05/07, n.21) Semplificazioni rispetto a trattamenti di dati per finalità amministrative e contabili

8 1. ESIGENZE ALLA BASE DI NUOVE MISURE DI SEMPLIFICAZIONE Rivolte in particolare a piccole e medie imprese, liberi professionisti e artigiani Modalità applicative ancora basate su approcci burocratici e di ordine formale Protezione dei dati rappresenta una risorsa per una efficiente attività gestionale

9 1. L INFORMATIVA AGLI INTERESSATI Il Garante prescrive a tutti i titolari in ambito privato e pubblico alcune misure opportune e formula indicazioni per semplificare l informativa: - fornire un unica informativa per il complesso dei trattamenti - redigere, per quanto possibile, una prima informativa breve che può rinviare ad un testo più articolato disponibile con modalità di facile accesso tramite reti intranet o siti internet, avvisi e cartelli agli sportelli per la clientela, messaggi preregistrati, etc. - le notizie da indicare per legge (art. 13 comma 1) devono essere aggiornate, specificando la data dell ultimo aggiornamento

10 L INFORMATIVA AGLI INTERESSATI (segue) - è possibile non inserire nell informativa più articolata gli elementi noti all interessato - è opportuno che l informativa più articolata sia basata su uno schema uniforme per il settore di attività del titolare del trattamento - è necessario fornire un informativa specifica o ad hoc quando il trattamento ha caratteristiche del tutto particolari (es. dati genetici) o prevede forme inusuali di uso di dati, specie sensibili, rispetto alle ordinarie esigenze amministrative e contabili

11 2. IL CONSENSO Il Garante ribadisce che il consenso (art.23) non deve essere richiesto quando: - il trattamento dei dati in ambito privato è svolto per adempiere a obblighi contrattuali o normativi o, comunque per ordinarie finalità amministrative e contabili - i dati provengono da pubblici registri ed elenchi pubblici conoscibili da chiunque o sono relativi allo svolgimento di attività economiche dell interessato

12 IL CONSENSO (segue) - in applicazione dell istituto del bilanciamento di interessi, il titolare che abbia già venduto un prodotto o prestato un servizio all interessato potrà utilizzare i recapiti (oltre che di posta elettronica, come già previsto dall art. 130, c.4) di posta cartacea forniti dall interessato medesimo, per inviare materiale pubblicitario o promuovere una sua vendita diretta

13 ALTRE INDICAZIONI - la designazione degli incaricati del trattamento può avvenire in modo semplificato evitando lettere ad personam ed individuando i trattamenti di dati e le relative modalità consentite all unità cui sono addetti gli incaricati stessi - la notificazione telematica al Garante non è necessaria per perseguire finalità amministrative e contabili, salvo che per eventuali casi eccezionali indicati dalla legge (art.37)

14 D.L. 25/06/08, N. 112 (Convertito in L. n. 133 il 06/08/08) Disposizioni urgenti per lo sviluppo economico, la semplificazione, la competitività, la stabilizzazione della finanza pubblica e la perequazione Tributaria

15 ART. 29 D.L. 25/06/08, N. 112 Comma 1 L Art. 34 del Codice Privacy 196/03 è integrato con: Per i soggetti che trattano soltanto dati personali non sensibili e che trattano come unici dati sensibili quelli costituiti: - dallo stato di salute o malattia dei propri dipendenti e collaboratori anche a progetto, senza indicazione della relativa diagnosi; - dalladesione ad organizzazioni sindacali o a carattere sindacale la tenuta di un aggiornato documento programmatico sulla sicurezza sostituita dallobbligo di autocertificazione, resa dal titolare del trattamento ai sensi dellarticolo 47 del testo unico di cui al decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, di trattare soltanto tali dati in osservanza delle altre misure di sicurezza prescritte

16 ART. 29 D.L. 25/06/08, N. 112 Comma 1 (Segue) In relazione a tali trattamenti, nonch a trattamenti comunque effettuati per correnti finalit amministrative e contabili, in particolare presso piccole e medie imprese, liberi professionisti e artigiani, il Garante, sentito il Ministro per la semplificazione normativa, individua con proprio provvedimento, da aggiornare periodicamente, modalit semplificate di applicazione del disciplinare tecnico di cui allallegato B) in ordine alladozione delle misure minime

17 Dati sensibili mancanti - Permessi politici e per festività religiose - Permessi per malattie dei familiari del dipendente per gravi infermità o decessi (DM 278/02 Art.2 e contratti collettivi nazionali) - Permessi ai sensi della Legge 104/92 (es. genitore di figlio con grave disabilità) - Permessi per dipendente tossicodipendente ove richieda di accedere a programmi riabilitativi o terapeutici (DPR 309/90 Art. 124) - Permessi per familiari di tossicodipendenti (DPR 309/90 Art. 124) - Detrazioni fiscali per figli o familiari disabili (presenti nel modulo di detrazione) - Assegni per nucleo familiare con almeno un componente disabile - Dati eventualmente presenti nei C.V.: origine razziale o etnica, appartenenza a categoria protetta (es. invalidità), etc.

18 ART. 29 D.L. 25/06/08, N. 112 L obbligo di redazione del DPS viene quindi eliminato e sostituito da un autocertificazione ai sensi dell art. 47 del D.P.R. 455/2000 Le responsabilità penali in caso di false dichiarazioni, sono espressamente stabilite dall art. 76 del D.P.R. 445/2000

19 Art. 76 del D.P.R. 445/2000: Norme penali 1. Chiunque rilascia dichiarazioni mendaci, forma atti falsi o ne fa uso nei casi previsti dal presente testo unico è punito ai sensi del codice penale e delle leggi speciali in materia. 2. L'esibizione di un atto contenente dati non più rispondenti a verità equivale ad uso di atto falso. 3. Le dichiarazioni sostitutive rese ai sensi degli articoli 46 e 47 e le dichiarazioni rese per conto delle persone indicate nell'articolo 4, comma 2, sono considerate come fatte a pubblico ufficiale. 4. Se i reati indicati nei commi 1, 2 e 3 sono commessi per ottenere la nomina ad un pubblico ufficio o l'autorizzazione all'esercizio di una professione o arte, il giudice, nei casi più gravi, può applicare l'interdizione temporanea dai pubblici uffici o dalla professione e arte.

20 Perché nei diversi capitoli che lo compongono sono indicati: l elenco dei trattamenti di dati personali la distribuzione dei compiti e delle responsabilità nell ambito delle strutture preposte al trattamento l analisi dei rischi che incombono sui dati e le misure da adottare per garantire l integrità e la disponibilità dei dati, nonché la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità Norma ISO/IEC TR :98 Approccio base: viene seguito per stabilire, indipendentemente dal rischio reale, un set minimo di contromisure per proteggere le informazioni e i dati distribuiti in vari punti dell organizzazione la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento

21 la previsione di interventi formativi degli incaricati del trattamento. La formazione programmata gi al momento dellingresso in servizio, nonch in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento dei dati la descrizione dei criteri da adottare per garantire ladozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformit al codice, allesterno della struttura del titolare per i dati personali idonei a rivelare lo stato di salute e la vita sessuale lindividuazione dei criteri da adottare per la cifratura o per la separazione di tali dati dagli altri dati personali dellinteressato (per organismi sanitari)

22 ART. 29 D.L. 25/06/08, N. 112 Comma 4 L Art. 38 del Codice Privacy 196/03 è così sostituito: La notificazione validamente effettuata solo se trasmessa attraverso il sito del Garante che contiene solo le seguenti informazioni: - le coordinate identificative del titolare - la o le finalit del trattamento - le categorie di persone interessate e i dati relativi alle medesime - i destinatari dei dati - i trasferimenti di dati verso Paesi terzi - una descrizione generale che permetta di valutare in via preliminare ladeguatezza delle misure adottate E eliminata la modalit di sottoscrizione con firma digitale

23 ART. 29 D.L. 25/06/08, N. 112 Comma 5bis Il trasferimento di dati verso Paesi non appartenenti all Unione europea è consentito, oltre che da adeguate garanzie individuate dal Garante, anche mediante regole di condotta (vedi Binding Corporate Rules) esistenti nell ambito di società appartenenti a un medesimo gruppo

24 Provvedimento Garante Protezione Dati Personali del 27/11/08 Semplificazione delle misure minime di sicurezza contenute nel disciplinare tecnico, di cui all allegato B) al codice in materia di protezione dei dati personali

25 SOGGETTI CHE POSSONO AVVALERSI DELLA SEMPLIFICAZIONE a) Chi utilizza dati personali non sensibili o che tratta come unici dati sensibili - riferiti ai propri dipendenti e collaboratori anche a progetto quelli costituiti dallo stato di salute o malattia senza indicazione della relativa diagnosi, ovvero dall'adesione a organizzazioni sindacali o a carattere sindacale; b) Chi tratta dati personali unicamente per correnti finalità amministrative e contabili, in particolare presso liberi professionisti, artigiani e piccole e medie imprese.

26 LE MISURE MINIME DI SICUREZZA MODIFICATE Istruzioni agli incaricati del trattamento: possono essere impartite anche oralmente; Sistema di autenticazione informatica: si può adottare anche la procedura di login disponibile sul sistema operativo delle postazioni di lavoro connesse in rete; Sistema di autorizzazione: aggiornamento dei profili di autorizzazione solo se necessario;

27 LE MISURE MINIME DI SICUREZZA MODIFICATE (Segue) Sistema di aggiornamento anti-virus: annuale o biennale se il pc non è connesso a reti di comunicazione elettronica accessibili al pubblico (es. posta elettronica, accesso ad internet); Salvataggio dei dati: il loro salvataggio può avvenire con frequenza almeno mensile; Documento programmatico sulla sicurezza: fermo restando che per alcuni casi si possa redigere un autocertificazione, il Dps può essere redatto con modalità semplificate;

28 D.Lgs. 30/05/2008, N. 109 (modifiche Art. 132 del Codice) Conservazione dei dati generati o trattati nell ambito della fornitura di servizi di comunicazione elettronica accessibili al pubblico o di reti pubbliche di comunicazione

29 per finalità di accertamento e repressione dei reati) - I dati relativi al traffico telefonico: sono conservati dal fornitore per 24 MESI dalla data della comunicazione - I dati relativi al traffico telematico: sono conservati dal fornitore per 12 MESI dalla data della comunicazione (esclusi i contenuti delle comunicazioni) - I dati relativi alle chiamate senza risposta: sono conservati dal fornitore per 30 GIORNI

30 - I dati necessari per rintracciare e identificare la fonte di una comunicazione Per l accesso ad Internet Nome ed indirizzo dell abbonato o dell utente registrato a cui al momento della comunicazione sono stati univocamente assegnati l indirizzo di protocollo internet (IP), un identificativo di utente o un numero telefonico

31 - I dati necessari per rintracciare e identificare la fonte di una comunicazione Per la posta elettronica indirizzo IP utilizzato e indirizzo di posta elettronica ed eventuale ulteriore identificativo del mittente indirizzo IP e nome a dominio pienamente qualificato del mail exchanger host (nel caso della tecnologia SMTP) ovvero di qualsiasi tipologia di host (relativamente ad una diversa tecnologia utilizzata) per la trasmissione della comunicazione

32 - I dati necessari per rintracciare e identificare la destinazione di una comunicazione Per la posta elettronica indirizzo di posta elettronica, ed eventuale ulteriore identificativo, del destinatario della comunicazione indirizzo IP e nome a dominio pienamente qualificato del mail exchanger host (nel caso della tecnologia SMTP), ovvero di qualsiasi tipologia di host (relativamente ad una diversa tecnologia utilizzata) che ha provveduto alla consegna del messaggio indirizzo IP utilizzato per la ricezione ovvero la consultazione dei messaggi di posta elettronica da parte del destinatario indipendentemente dalla tecnologia o dal protocollo utilizzato

33 - I dati necessari per determinare la data, l ora e la durata di una comunicazione Per l accesso ad internet data e ora (GMT) della connessione e della disconnessione dell utente del servizio di accesso ad internet, unitamente all indirizzo IP, dinamico o statico, univocamente assegnato dal fornitore di accesso internet a una comunicazione e l identificativo dell abbonato o dell utente registrato

34 - I dati necessari per determinare la data, l ora e la durata di una comunicazione Per la posta elettronica data e ora (GMT) della connessione e della disconnessione dell utente del servizio di posta elettronica su internet ed indirizzo IP utilizzato, indipendentemente dalla tecnologia e dal prodotto impiegato

35 - I dati necessari per determinare il tipo di comunicazione Per la posta elettronica internet e la telefonia internet il servizio internet utilizzato

36 - I dati necessari per determinare le attrezzature di comunicazione degli utenti Per l accesso internet e invio sms e mms via internet numero telefonico chiamante per l accesso commutato digital subscriber line number (DSL) o altro identificatore finale di chi è all origine della comunicazione

37 ! Salvo che il fatto costituisca reato, nel caso di violazione delle disposizioni di cui all art. 132, commi 1 e 1-bis del Codice (conservazione dei dati di traffico): sanzione amministrativa da a euro che può essere aumentata del triplo Salvo che il fatto costituisca reato, l omessa o l incompleta conservazione dei dati ai sensi dell art. 132, commi 1 e 1-bis del Codice: sanzione amministrativa da a euro che può essere aumentata del triplo

38 ! Nel caso di assegnazione di indirizzo IP che non consente l identificazione univoca dell utente o dell abbonato: sanzione amministrativa da a euro che può essere aumentata del triplo IL TUTTO HA EFFETTO A DECORRERE DAL 31 MARZO 2009

39 D.Lgs. 08/06/2001, N. 231 Disciplina della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica

40 24-bis. Delitti informatici e trattamento illecito di dati 1. In relazione alla commissione dei delitti di cui agli articoli 615-ter, 617-quater, 617-quinquies, 635-bis, 635-ter, 635-quater e 635-quinquies del codice penale, si applica all ente la sanzione pecuniaria da cento a cinquecento quote 2. In relazione alla commissione dei delitti di cui agli articoli 615-quater e 615-quinquies del codice penale, si applica all ente la sanzione pecuniaria sino a trecento quote

41 24-bis. Delitti informatici e trattamento illecito di dati (Segue) 3. In relazione alla commissione dei delitti di cui agli articoli 491-bis e 640- quinquies del codice penale, salvo quanto previsto dall articolo 24 del presente decreto per i casi di frode informatica in danno dello Stato o di altro ente pubblico, si applica all ente la sanzione pecuniaria sino a quattrocento quote 4. Nei casi di condanna per uno dei delitti indicati nel comma 1 si applicano le sanzioni interdittive previste dall articolo 9, comma 2, lettere a), b) ed e). Nei casi di condanna per uno dei delitti indicati nel comma 2 si applicano le sanzioni interdittive previste dall articolo 9, comma 2, lettere b) ed e). Nei casi di condanna per uno dei delitti indicati nel comma 3 si applicano le sanzioni interdittive previste dall articolo 9, comma 2, lettere c), d) ed e) (6)

42 615-ter. Accesso abusivo ad un sistema informatico o telematico Chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo, è punito con la reclusione fino a tre anni. La pena è della reclusione da uno a cinque anni: 1) se il fatto è commesso da un pubblico ufficiale o da un incaricato di un pubblico servizio, con abuso dei poteri o con violazione dei doveri inerenti alla funzione o al servizio, o da chi esercita anche abusivamente la professione di investigatore privato, o con abuso della qualità di operatore del sistema; 2) se il colpevole per commettere il fatto usa violenza sulle cose o alle persone,ovvero se è palesemente armato;

43 615-ter. Accesso abusivo ad un sistema informatico o telematico (Segue) 3) se dal fatto deriva la distruzione o il danneggiamento del sistema o l'interruzione totale o parziale del suo funzionamento, ovvero la distruzione o il danneggiamento dei dati, delle informazioni o dei programmi in esso contenuti. Qualora i fatti di cui ai commi primo e secondo riguardino sistemi informatici o telematici di interesse militare o relativi all'ordine pubblico o alla sicurezza pubblica o alla sanità o alla protezione civile o comunque di interesse pubblico, la pena è, rispettivamente, della reclusione da uno a cinque anni e da tre a otto anni. Nel caso previsto dal primo comma il delitto è punibile a querela della persona offesa; negli altri casi si procede d'ufficio.

44 617-quater. Intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche Chiunque fraudolentemente intercetta comunicazioni relative ad un sistema informatico o telematico o intercorrenti tra più sistemi, ovvero le impedisce o le interrompe, è punito con la reclusione da sei mesi a quattro anni. Salvo che il fatto costituisca più grave reato, la stessa pena si applica a chiunque rivela, mediante qualsiasi mezzo di informazione al pubblico, in tutto o in parte, il contenuto delle comunicazioni di cui al primo comma. I delitti di cui ai commi primo e secondo sono punibili a querela della persona offesa.

45 617-quater. Intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche (Segue) Tuttavia si procede d'ufficio e la pena è della reclusione da uno a cinque anni se il fatto è commesso: 1) in danno di un sistema informatico o telematico utilizzato dallo Stato o da altro ente pubblico o da impresa esercente servizi pubblici o di pubblica necessità; 2) da un pubblico ufficiale o da un incaricato di un pubblico servizio, con abuso dei poteri o con violazione dei doveri inerenti alla funzione o al servizio, ovvero con abuso della qualità di operatore del sistema; 3) da chi esercita anche abusivamente la professione di investigatore privato.

46 617-quinquies. Installazione di apparecchiature atte ad intercettare, impedire o interrompere comunicazioni informatiche o telematiche Chiunque, fuori dai casi consentiti dalla legge, installa apparecchiature atte ad intercettare, impedire o interrompere comunicazioni relative ad un sistema informatico o telematico ovvero intercorrenti tra più sistemi, è punito con la reclusione da uno a quattro anni. La pena è della reclusione da uno a cinque anni nei casi previsti dal quarto comma dell'articolo 617-quater.

47 635-bis. Danneggiamento di informazioni, dati e programmi informatici Salvo che il fatto costituisca più grave reato, chiunque distrugge, deteriora, cancella, altera o sopprime informazioni, dati o programmi informatici altrui è punito, a querela della persona offesa, con la reclusione da sei mesi a tre anni. Se il fatto è commesso con abuso della qualità di operatore del sistema, la pena è della reclusione da uno a quattro anni e si procede d ufficio.

48 635-ter. Danneggiamento di informazioni, dati e programmi informatici utilizzati dallo Stato o da altro ente pubblico o comunque di pubblica utilità Salvo che il fatto costituisca più grave reato, chiunque commette un fatto diretto a distruggere, deteriorare, cancellare, alterare o sopprimere informazioni, dati o programmi informatici utilizzati dallo Stato o da altro ente pubblico o ad essi pertinenti, o comunque di pubblica utilità, è punito con la reclusione da uno a quattro anni. Se dal fatto deriva la distruzione, il deterioramento, la cancellazione, l alterazione o la soppressione delle informazioni, dei dati o dei programmi informatici, la pena è della reclusione da tre a otto anni. Se il fatto è commesso con abuso della qualità di operatore del sistema, la pena è aumentata.

49 635-quater. Danneggiamento di sistemi informatici o telematici Salvo che il fatto costituisca più grave reato, chiunque, mediante le condotte di cui all articolo 635-bis, ovvero attraverso l introduzione o la trasmissione di dati, informazioni o programmi, distrugge, danneggia, rende, in tutto o in parte, inservibili sistemi informatici o telematici altrui o ne ostacola gravemente il funzionamento è punito con la reclusione da uno a cinque anni. Se il fatto è commesso con abuso della qualità di operatore del sistema, la pena è aumentata.

50 635-quinquies. Danneggiamento di sistemi informatici o telematici di pubblica utilità Se il fatto di cui all articolo 635-quater è diretto a distruggere, danneggiare, rendere, in tutto o in parte, inservibili sistemi informatici o telematici di pubblica utilità o ad ostacolarne gravemente il funzionamento, la pena è della reclusione da uno a quattro anni. Se dal fatto deriva la distruzione o il danneggiamento del sistema informatico o telematico di pubblica utilità ovvero se questo è reso, in tutto o in parte, inservibile, la pena è della reclusione da tre a otto anni. Se il fatto è commesso con abuso della qualità di operatore del sistema, la pena è aumentata.

51 615-quater. Detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici Chiunque, al fine di procurare a sé o ad altri un profitto o di arrecare ad altri un danno, abusivamente si procura, riproduce, diffonde, comunica o consegna codici, parole chiave o altri mezzi idonei all'accesso ad un sistema informatico o telematico, protetto da misure di sicurezza, o comunque fornisce indicazioni o istruzioni idonee al predetto scopo, è punito con la reclusione sino ad un anno e con la multa sino a euro La pena è della reclusione da uno a due anni e della multa da euro a euro se ricorre taluna delle circostanze di cui ai numeri 1) e 2) del quarto comma dell'articolo 617-quater.

52 615-quinquies. Diffusione di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico Chiunque, allo scopo di danneggiare illecitamente un sistema informatico o telematico, le informazioni, i dati o i programmi in esso contenuti o ad esso pertinenti ovvero di favorire l interruzione, totale o parziale, o l alterazione del suo funzionamento, si procura, produce, riproduce, importa, diffonde, comunica, consegna o, comunque, mette a disposizione di altri apparecchiature, dispositivi o programmi informatici, è punito con la reclusione fino a due anni e con la multa sino a euro

53 491-bis. Documenti informatici Se alcuna delle falsità previste dal presente capo riguarda un documento informatico pubblico o privato avente efficacia probatoria, si applicano le disposizioni del capo stesso concernenti rispettivamente gli atti pubblici e le scritture private 640-quinquies. Frode informatica del soggetto che presta servizi di certificazione di firma elettronica Il soggetto che presta servizi di certificazione di firma elettronica, il quale, al fine di procurare a sé o ad altri un ingiusto profitto ovvero di arrecare ad altri danno, viola gli obblighi previsti dalla legge per il rilascio di un certificato qualificato, è punito con la reclusione fino a tre anni e con la multa da 51 a euro

54 Provvedimento Garante Protezione Dati Personali del 13/10/08 Rifiuti di apparecchiature elettriche ed elettroniche (Raee) e misure di sicurezza dei dati personali

55 REIMPIEGO E RICICLAGGIO DI RIFIUTI DI APPARECCHIATURE ELETTRICHE ED ELETTRONICHE In caso di reimpiego e riciclaggio di rifiuti di apparecchiature elettriche ed elettroniche le misure e gli accorgimenti volti a prevenire accessi non consentiti ai dati personali in esse contenuti, adottati nel rispetto delle normative di settore, devono consentire l'effettiva cancellazione dei dati o garantire la loro non intelligibilità.

56 REIMPIEGO E RICICLAGGIO DI RIFIUTI DI APPARECCHIATURE ELETTRICHE ED ELETTRONICHE 1. Misure tecniche preventive per la memorizzazione sicura dei dati, applicabili a dispositivi elettronici o informatici: - Cifratura di singoli o gruppi di file - Memorizzazione dei dati su dischi rigidi dei pc su altro genere di supporto magnetico 2. Misure tecniche per la cancellazione sicura dei dati, applicabili a dispositivi elettronici o informatici: - Cancellazione sicura con programmi informatici ad hoc - Formattazione a basso livello di hard disk - Demagnetizzazione

57 SMALTIMENTO DI RIFIUTI ELETTRICI ED ELETRONICI In caso di smaltimento di rifiuti elettrici ed elettronici, l'effettiva cancellazione dei dati personali dai supporti contenuti nelle apparecchiature elettriche ed elettroniche può anche risultare da procedure che comportino la distruzione dei supporti di memorizzazione di tipo ottico o magneto-ottico in modo da impedire l'acquisizione indebita di dati personali. La distruzione dei supporti prevede il ricorso a procedure o strumenti diversi a secondo del loro tipo, quali: - sistemi di punzonatura o deformazione meccanica - distruzione fisica o di disintegrazione (usata per i supporti ottici come i cd-rom e i dvd) - demagnetizzazione ad alta intensità

58 Provvedimento Garante Protezione Dati Personali del 27/11/08 Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema

59 DEFINIZIONE DI AMMINISTRATORE DI SISTEMA Con la definizione di «amministratore di sistema» si individuano generalmente, in ambito informatico, figure professionali finalizzate alla gestione e alla manutenzione di un impianto di elaborazione o di sue componenti. Ai fini del presente provvedimento vengono però considerate tali anche altre figure equiparabili dal punto di vista dei rischi relativi alla protezione dei dati, quali gli amministratori di basi di dati, gli amministratori di reti e di apparati di sicurezza e gli amministratori di sistemi software complessi

60 RACCOMANDAZIONI AI TITOLARI DI TRATTAMENTI Il Garante, richiama l'attenzione dei titolari sulla necessità di adottare idonee cautele volte a prevenire e ad accertare eventuali accessi non consentiti ai dati personali, in specie quelli realizzati con abuso della qualità di amministratore di sistema; Richiama inoltre l'attenzione sull'esigenza di valutare con particolare cura l'attribuzione di funzioni tecniche propriamente corrispondenti o assimilabili a quelle di amministratore di sistema, laddove queste siano esercitate in un contesto che renda ad essi tecnicamente possibile l'accesso, anche fortuito, a dati personali; Anche in considerazione delle responsabilità, specie di ordine penale e civile (articoli 15 e 169 del Codice), che possono derivare in caso di incauta o inidonea designazione.

61 MISURE ED ACCORGIMENTI PRESCRITTI AI TITOLARI Valutazione delle caratteristiche soggettive: l'attribuzione delle funzioni di amministratore di sistema deve avvenire previa valutazione dell'esperienza, della capacità e dell'affidabilità del soggetto designato; Designazioni individuali: la designazione quale amministratore di sistema deve essere in ogni caso individuale e recare l'elencazione analitica degli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato;

62 MISURE ED ACCORGIMENTI PRESCRITTI AI TITOLARI (segue) Elenco degli amministratori di sistema: gli estremi identificativi delle persone fisiche amministratori di sistema, con l'elenco delle funzioni ad essi attribuite, devono essere riportati nel documento programmatico sulla sicurezza, oppure, nei casi in cui il titolare non è tenuto a redigerlo, annotati comunque in un documento interno da mantenere aggiornato e disponibile in caso di accertamenti anche da parte del Garante; Nel caso di servizi di amministrazione di sistema affidati in outsourcing il titolare deve conservare direttamente e specificamente, per ogni eventuale evenienza, gli estremi identificativi delle persone fisiche preposte quali amministratori di sistema;

63 MISURE ED ACCORGIMENTI PRESCRITTI AI TITOLARI (segue) Verifica delle attività: l'operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale; Registrazione degli accessi (access log): devono essere adottati sistemi idonei alla registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema. Le registrazioni devono comprendere i riferimenti temporali e la descrizione dell'evento che le ha generate e devono essere conservate per un congruo periodo, non inferiore a sei mesi. TEMPI DI ADOZIONE DELLE MISURE E DEGLI ACCORGIMENTI: 24 APRILE 2009

64 D.L. 30/12/08, N. 207 Proroga di termini previsti da disposizioni legislative e disposizioni finanziarie urgenti (inasprimenti delle sanzioni previste)

65 Art.44:. Disposizioni in materia di tutela della riservatezza Omessa o inidonea informativa: la sanzione base minima raddoppia, passando da euro a 6.000, mentre la sanzione base massima passa da euro a ; Omessa adozione misure minime di sicurezza (ad esempio password, backup, redazione Dps, etc): eliminazione della sanzione pecuniaria alternativa alla sanzione detentiva ed incremento della somma da pagare per ottenere la derubricazione in illecito amministrativo ( euro); Inosservanza dei provvedimenti di prescrizione di misure necessarie o divieti: sanzione amministrativa più elevata che può raggiungere, nei casi di maggiore gravità 720 mila euro;

66 Art.44:. Disposizioni in materia di tutela della riservatezza (segue) Omessa o incompleta notificazione: le sanzioni minime e massime raddoppiano, passando rispettivamente da euro a , e da euro a ; Omessa informazione o esibizione al Garante: la sanzione minima passa da euro a , mentre la sanzione massima passa da euro a

67 Deliberazione Garante Protezione Dati Personali 1 marzo 2007, n. 13 (in G.U. 10 marzo 2007, n. 58) Lavoro: le linee guida del Garante per posta elettronica e Internet

68 Utilizzo della posta elettronica e della rete Internet nel rapporto di lavoro Premessa Datore di lavoro: assicura la funzionalità e il corretto impiego dei mezzi da parte dei lavoratori Datore di lavoro: adotta idonee misure di sicurezza Esigenza di tutelare i lavoratori L utilizzo di Internet da parte dei lavoratori può formare oggetto di analisi e profilazione Le informazioni trattate contengono dati personali

69 Utilizzo della posta elettronica e della rete Internet nel rapporto di lavoro Tutela del lavoratore Il luogo di lavoro è una formazione sociale nella quale va assicurata la tutela dei diritti Protezione della sua sfera di riservatezza Alcuni datori di lavoro assegnano aree di lavoro riservate per appunti strettamente personali.

70 Codice in materia di protezione dei dati e discipline di settore Principi Generali Il Garante ha tenuto conto del diritto alla protezione dei dati personali Discipline di settore Statuto dei lavoratori (artt. 4 e 8 L. 300/70) Codice dell Amministrazione digitale (art. 47 c. 3 lett. b))

71 Codice in materia di protezione dei dati e discipline di settore Principi del Codice Principio di necessità Principio di correttezza Finalità determinate esplicite e legittime. Il Datore di lavoro deve trattare i dati nella misura meno invasiva possibile

72 Controlli e correttezza nel trattamento Disciplina interna Il trattamento deve essere ispirato ad un canone di trasparenza. Il datore di lavoro deve: indicare, in modo chiaro e particolareggiato, quali siano le modalità di utilizzo degli strumenti messi a disposizione ritenute corrette. Il datore di lavoro deve indicare se, in che misura e con quali modalità, vengano effettuati controlli. Informazione, concertazione e consultazione delle organizzazioni sindacali.

73 Controlli e correttezza nel trattamento Linee Guida E opportuno adottare un disciplinare interno (Policy aziendale) redatto in modo chiaro e senza formule generiche Nella Policy aziendale andrebbe indicato: Comportamenti non tollerati Eventuale utilizzo personale della posta elettronica o della rete Quali informazioni sono memorizzate (log file) Eventuali controlli effettuati dal datore di lavoro Conseguenze, anche di tipo disciplinare, che saranno adottate dal datore di lavoro qualora vengano constatati utilizzi indebiti di Internet e posta elettronica Soluzioni per garantire la continuità dell attività lavorativa Prescrizioni interne sulla sicurezza dei dati e dei sistemi

74 Controlli e correttezza nel trattamento Informativa E onere del datore di lavoro prefigurare e pubblicizzare una Policy interna Dovere del datore di lavoro di informare gli interessati (lavoratori) ai sensi dell art. 13 del Codice: Finalità: organizzative, produttive e di sicurezza, esercizio di un diritto in sede giudiziaria Indicare le principali caratteristiche dei trattamenti e dove rivolgersi per esercitare i diritti dell art. 7

75 Apparecchiature preordinate al controllo a distanza Il datore di lavoro può riservarsi di controllare l effettivo adempimento della prestazione lavorativa (artt. 2086, 2087 e 2104 c.c.) Divieto di installare apparecchiature per finalità di controllo a distanza (art. 4, c.1 L.300/70) Il trattamento dei dati che ne consegue è illecito Divieto assoluto di: Lettura e registrazione sistematica dei messaggi di posta elettronica ovvero dei dati esteriori Riproduzione ed eventuale memorizzazione sistematica delle pagine web visualizzate dal lavoratore Lettura e registrazione dei caratteri inseriti tramite tastiera Analisi occulta di computer portatili affidati in uso

76 Programmi che consentono controlli indiretti Il datore di lavoro può avvalersi di sistemi che consentono indirettamente un controllo a distanza (cd. Controllo preterintenzionale) (per esigenze produttive, organizzative o di sicurezza del lavoro) nel rispetto dello statuto dei lavoratori (art. 4 c. 2) Principio di necessità Misure organizzative: valutazione impatto sui diritti dei lavoratori Individuare preventivamente a quali lavoratori è accordato l utilizzo di Internet e posta elettronica Ubicazione riservata alle postazioni di lavoro per ridurre il rischio di utilizzo abusivo

77 Programmi che consentono controlli indiretti Principio di necessità Internet (navigazione web): Il datore di lavoro deve adottare opportune misure che possano prevenire controlli successivi sul lavoratore:» Individuazione di categorie di siti considerati correlati alla prestazione lavorativa» Configurazione di sistemi o utilizzo di filtri» Trattamento di dati in forma anonima

78 Programmi che consentono controlli indiretti Principio di necessità Posta elettronica: Il contenuto dei messaggi riguardano forme di corrispondenza assistite da garanzie di segretezza Se non esplicitato nella Policy il lavoratore considera legittimamente confidenziali i messaggi inviati o ricevuti. Questo si ripercuoterebbe sui controlli del datore di lavoro (in termini di liceità). Consigli:» Il datore di lavoro deve rendere disponibili indirizzi condivisi tra più lavoratori» Il datore di lavoro deve valutare la possibilità di attribuire al lavoratore un diverso indirizzo destinato ad uso privato» Adozione di funzionalità di sistema (risponditori automatici, reindirizzamenti)» In caso di assenza improvvisa del lavoratore delega ad un fiduciario per la verifica dei contenuti di posta elettronica» Avvertimenti ai destinatari nei quali venga dichiarata l eventuale natura non personale dei messaggi.

79 Pertinenza e non eccedenza Graduazione dei controlli L eventuale controllo è lecito solo se sono rispettati i principi di pertinenza e non eccedenza Deve essere preferito un controllo preliminare su dati aggregati Il controllo anonimo può concludersi con un avviso generalizzato. L avviso può essere circoscritto a dipendenti afferenti una certa area In assenza di ulteriori anomalie non è di regola giustificato effettuare controlli su base individuale

80 Pertinenza e non eccedenza Conservazione Cancellazione periodica e automatica dei log Eventuale prolungamento dei tempi di conservazione: Esigenze tecniche o di sicurezza del tutto particolari Indispensabilità del dato rispetto all esercizio o alla difesa di un diritto in sede giudiziaria Obbligo di custodire o consegnare i dati per ottemperare ad una specifica richiesta dell autorità giudiziaria o della polizia giudiziaria

81 Presupposti di liceità del trattamento: bilanciamento di interessi Datori di lavoro privati Trattamento anche in assenza del consenso ma per effetto del Provvedimento del Garante che individua un legittimo interesse al trattamento in applicazione della disciplina sul c.d. bilanciamento di interessi. Per il bilanciamento di interessi il garante ha tenuto conto delle garanzie previste dallo Statuto dei lavoratori (accordo con le rappresentanze sindacali)

82 Individuazione dei soggetti preposti Il datore di lavoro può designare uno o più responsabili del trattamento (art. 29 del Codice) Per interventi di manutenzione del sistema resta fermo l obbligo degli incaricati alla gestione e manutenzione degli strumenti elettronici di svolgere solo le operazioni strettamente necessarie al perseguimento delle relative finalità Obbligatorio per gli incaricati alla gestione e manutenzione degli strumenti elettronici di corsi di formazione sui profili tecnico-gestionali e di sicurezza delle reti, sui principi di protezione dei dati personali e sul segreto nelle comunicazioni

83 Grazie per l attenzione