Riassunto dei contenuti del corso CAPITOLO 1 La normativa Il Codice Privacy (D.Lgs. 196/2003) sancisce il diritto di autodeterminazione informativa. Sono tenuti a rispettarlo tutti coloro che utilizzano nel territorio italiano le informazioni personali per scopi non esclusivamente personali. Il Codice Privacy si applica anche a soggetti stabiliti nel territorio italiano o in un luogo soggetto alla sovranità dello Stato Italiano che trattano dati personali detenuti all'estero e a soggetti stabiliti fuori dall'unione Europea che effettuano il trattamento di dati personali sul territorio italiano. Il trattamento dei dati deve seguire sette principi chiave: minimizzazione, pertinenza, trasparenza, finalità, liceità e correttezza, qualità dei dati, conservazione e durata CAPITOLO 2 I dati personali I dati personali si classificano in: sensibili, giudiziari, identificativi e comuni. Per trattare qualsiasi dato personale è necessario rilasciare un informativa all Interessato. L utilizzo di dati sensibili richiede il consenso firmato dell Interessato. L utilizzo di dati identificativi deve rispettare i provvedimenti generali emessi dal Garante oppure i provvedimenti specifici a seguito di un interpello preventivo allo stesso Garante. L utilizzo di dati giudiziari è possibile solo se previsto dalla legge o da un provvedimento del Garante. Per utilizzare i dati comuni, invece, occorre raccogliere il consenso scritto solo nei pochi casi previsti. CAPITOLO 3 Il trattamento dei dati personali Il ciclo di vita dei dati personali si sviluppa in 4 fasi: Raccolta e registrazione Elaborazione Diffusione e comunicazione (la fase più delicata)
Conservazione, cancellazione, distruzione o blocco Il Titolare del trattamento decide le finalità del trattamento dei dati personali. Le finalità devono essere legittime ed esplicitate nell informativa rilasciata agli Interessati. Le modalità: il trattamento dei dati personali può avvenire attraverso sistemi che utilizzano supporti cartacei o automatizzati. CAPITOLO 4 I soggetti previsti dal Codice Privacy Il Titolare è la persona fisica o giuridica che assume le decisioni principali sul trattamento dei dati personali e vigila sulle attività svolte dai Responsabili, dagli Incaricati e dagli Amministratori di sistema. La verifica dell operato dei Responsabili e degli Incaricati deve essere svolta dal Titolare periodicamente, quella degli Amministratori di sistema, invece, annualmente. L Incaricato è la persona fisica che materialmente compie le operazioni di trattamento dei dati personali. L Amministratore di sistema è la persona fisica preposta alla manutenzione del sistema hardware, alla gestione delle autenticazioni, al salvataggio dei dati e all'organizzazione dei flussi di rete. L Interessato è la persona fisica cui si riferiscono i dati personali che vengono trattati. Il Responsabile viene nominato dal Titolare e la sua nomina è facoltativa. Gli Incaricati vengono nominati dal Responsabile o dal Titolare e la loro nomina è obbligatoria. L'Amministratore di sistema viene nominato dal Titolare o dal Responsabile. La sua nomina è obbligatoria qualora l'azienda adotti supporti elettronici per il trattamento dei dati. CAPITOLO 5 L informativa e il consenso Il consenso è la libera e manifesta volontà dell Interessato. Deve essere espresso per iscritto e può riguardare l intero trattamento oppure solo alcune operazioni. Il Codice Privacy riconosce all Interessato il diritto di: accesso, anonimizzazione, modifica, cancellazione, blocco, attestazione di esecuzione e opposizione al trattamento dei propri dati personali. L informativa è il complesso di informazioni che il Titolare (anche tramite i Responsabili e gli Incaricati) rilascia in forma orale o scritta agli Interessati. La forma scritta ha il valore probatorio.
L informativa deve contenere: le finalità e le modalità di trattamento, l ambito di comunicazione, il Responsabile e le categorie di Incaricati, la natura obbligatoria o facoltativa, le conseguenze nel mancato conferimento dei dati, i diritti privacy e come farli valere, la denominazione e la sede del Titolare. CAPITOLO 6 Le misure minime di sicurezza Le misure minime di sicurezza sono indicate nel Codice Privacy e la loro inosservanza può comportare responsabilità penale, amministrativa o civile. Le misure adeguate di sicurezza possono derivare dal livello di sicurezza adottato dall'azienda o da dei provvedimenti del Garante e devono essere commisurate allo sviluppo tecnologico, alla natura dei dati e alla tipologia del trattamento. La loro inosservanza può comportare responsabilità civile o amministrativa. Le misure di sicurezza minime e adeguate devono prevenire tre tipologie di rischi: quello di confidenzialità, di integrità e di disponibilità dei dati. Le misure minime di sicurezza per il trattamento dei dati in forma cartacea prevedono la custodia e il controllo dei documenti, la restituzione dei documenti contenenti dati sensibili e giudiziari alla fine delle operazioni, il controllo agli accessi degli archivi contenenti dati sensibili e giudiziari e la nomina degli Incaricati per iscritto. CAPITOLO 7 Le misure per il trattamento dei dati con strumenti elettronici Le misure minime di sicurezza per il trattamento di dati elettronici: sistemi di autenticazione e autorizzazione degli accessi, programmi antivirus e antiintrusioni, aggiornamenti di sistemi informativi, tecniche di cifratura o codici identificativi, backup dei dati. Il trattamento di dati sensibili e giudiziari richiede: garanzie contro l accesso abusivo al sistema informatico, non riutilizzo dei supporti informatici removibili, custodia dei supporti removibili e ripristino degli strumenti elettronici entro sette giorni. Il Titolare del trattamento deve ridurre il rischio di usi impropri della navigazione: individuando categorie di siti correlati con la prestazione lavorativa, predisponendo filtri per prevenire operazioni non attinenti e conservando solo i dati strettamente necessari. La segretezza del contenuto dei messaggi di posta elettronica è tutelata costituzionalmente. In alcuni casi specifici, è consentito per il datore di lavoro conoscere contenuti dei messaggi di posta elettronica, ma è opportuno che adotti idonee misure di sicurezza.
Azioni soggette alle sanzioni amministrative e civili: CAPITOLO 8 La responsabilità penale
Azioni soggette alle sanzioni penali: CAPITOLO 9 La responsabilità penale