Aspetti legali della gestione dei dati elettronici

Documenti analoghi
2. Il trat (Indicare le modalità del trattamento: manuale / informatizzato / altro.) FAC-SIMILE

Strumenti digitali e privacy. Avv. Gloria Galli

Egr. dott. Ernesto D'ELISA. Via Crispi n CAMPOBASSO

Trattamento dei dati personali

REGOLAMENTO DI ATTUAZIONE DELLE NORME SULLA TUTELA DELLE PERSONE E DI ALTRI SOGGETTI RISPETTO AL TRATTAMENTO DI DATI PERSONALI

La normativa italiana

REGOLAMENTO PER LA TUTELA DELLA RISERVATEZZA RISPETTO AL TRATTAMENTO DEI DATI PERSONALI

RICHIESTA DI CONTRIBUTO

Procedura automatizzata per la gestione del prestito - FLUXUS

TRATTAMENTO DATI PERSONALI

LA PRIVACY POLICY DI WEDDINGART

Manuale Informativo. Decreto Legislativo 30 giugno 2003, n. 196 Codice in materia di protezione dei dati personali

La privacy policy di questo sito

FORM CLIENTI / FORNITORI

La tutela della Privacy. Annoiatore: Stefano Pelacchi

RICHIESTA SCELTA MEDICO IN DEROGA ALLA RESIDENZA. nato/a a (prov. ) il residente in (prov. ) via/piazza n.civico indirizzo mail.

La ristrutturazione del debito e il concordato preventivo

MODULO DI DESIGNAZIONE/REVOCA DEI BENEFICIARI

LA PRIVACY POLICY DI QUESTO SITO WEB

MAIL A info@poltrone- italia.com MODULO RICHIESTA D ORDINE CON IVA AGEVOLATA 4%

INFORMATIVA SULLA PRIVACY. Informativa sul trattamento dei dati personali ai sensi dell art. 13 D.Lgs. 30 giugno 2003, n.196

In questa pagina si descrivono le modalità di gestione del sito in riferimento al trattamento dei dati personali degli utenti che lo consultano.

INFORMATIVA PRIVACY E COOKIE POLICY

Regolamento di attuazione degli articoli 20, comma 2, e 21 del decreto legislativo 30 giugno 2003 n. 196,

Modulo 1. Concetti di base della Tecnologia dell Informazione ( Parte 1.8) Rielaborazione dal WEB: prof. Claudio Pellegrini - Sondrio.

REGOLAMENTO SUL TRATTAMENTO DEI DATI PERSONALI

LA PRIVACY DI QUESTO SITO

PROFILI DEI PROCEDIMENTI DI REGOLAZIONE DELLE CRISI DA SOVRAINDEBITAMENTO:

C A T A N I A

CONSORZIATA PER LA QUALE CONCORRE ALLA GARA IL SEGUENTE CONSORZIO DICHIARA

Domanda di mutuo INFORMATIVA AI SENSI DELL'ART.13 DEL D.LGS.196/2003. BHW Bausparkasse AG. Con i migliori saluti. Sede Italiana

LA COMUNICAZIONE PERSUASIVA PER MIGLIORARE L'EFFICACIA DEL PROPRIO LAVORO I modelli di comunicazione usati dai maestri della persuasione

Sede Paritetica Regionale Artigianato Veneto Matr. EBAV

Ci si riferisce, in particolare, all'abuso della qualità di operatore di


INFORMATIVA SUL DIRITTO ALLA PRIVACY PER LA CONSULTAZIONE DEL SITO WEB

Zwinger Opco 6 B.V., con sede in Strawinskylaan 1161, 1077XX, Amsterdam, Paesi Bassi (l Offerente ) Scheda di adesione n.

PRIVACY POLICY DEL SITO WEB

VALUE PARTNERS S.p.A.

Fondo Pensione per il personale della Deutsche Bank S.p.A. Iscritto all Albo tenuto dalla Covip con il n MODULO DI ADESIONE

OFFERTA PUBBLICA DI SOTTOSCRIZIONE DI AZIONI ORDINARIE ACQUE POTABILI S.p.A.

essere cittadini italiani o cittadini stranieri residenti in Italia con padronanza della lingua italiana;

PRIVACY POLICY SITO INTERNET

Codice. in materia di. Protezione dei Dati Personali

OFFERTA PUBBLICA DI ACQUISTO SU AZIONI ORDINARIE. DADA S.p.A. ai sensi degli artt. 102, 106, comma 1 e 109, comma 1, lett. a) del D.Lgs. N.

MODULO CONVALIDA ESAMI LAUREA MAGISTRALE

Provvedimenti a carattere generale 27 novembre 2008 Bollettino del n. 0/novembre 2008, pag. 0

Spazio riservato alla segreteria. Data di ricevimento Protocollo N. pratica DOMANDA PER PROGETTI DI TERZI - ANNO 2015

lì (luogo) (data) (il richiedente) (timbro e firma del soggetto incaricato del collocamento)

FORMULARIO CANDIDATURA FRANCHISEE. Si prega di scrivere in stampatello ed inviare a mezzo all indirizzo: franchising@piadineriaitaliana.

REGOLAMENTO CONCORSO ON-LINE "VINCI UN WEEK END A RICCIONE"

COMUNE DI COLORNO Provincia di Parma

L Intermediario Depositario

ADERISCE AUTORIZZA. (l Aderente) (l Intermediario Depositario) (l Intermediario Incaricato) (Firma) (Timbro e Firma) (Timbro e Firma)

In questa pagina si descrivono le modalità di gestione del sito in riferimento al trattamento dei dati personali degli utenti che lo consultano.

OFFERTA PUBBLICA DI VENDITA E SOTTOSCRIZIONE DI AZIONI ORDINARIE Aeroporto Guglielmo Marconi di Bologna S.p.A. (l Offerta Pubblica )

COMPARIZIONE AL PROCEDIMENTO DI MEDIAZIONE PROC. N.

OFFERENTE: SOFIL S.a.s. Spett. le Intermediario Incaricato della Raccolta delle Adesioni. Nato/a il Cittadinanza/nazionalità

Informazioni per la presentazione di domande di erogazione

L adempimento della notificazione al Garante per la Privacy

Avvocatura Comunicato Portale 3 marzo 2016 Pubblicazione di foto e filmati relativi a minori


EUROCONSULTANCY-RE. Privacy Policy

SCHEDA DI ADESIONE ALL OFFERTA PUBBLICA DI ACQUISTO OBBLIGATORIA

OFFERTA PUBBLICA DI VENDITA E SOTTOSCRIZIONE DI AZIONI ORDINARIE FINCANTIERI S.P.A. (L "OFFERTA")

ACQUE ASSIMILATE ALLE DOMESTICHE ai sensi dell art. 101 comma 7 D.Lgs. n.152/06

OFFERTA PUBBLICA DI VENDITA E SOTTOSCRIZIONE DI AZIONI ORDINARIE ITALIAONLINE S.P.A. (L "OFFERTA PUBBLICA")

OFFERTA PUBBLICA DI VENDITA E SOTTOSCRIZIONE DI AZIONI ORDINARIE BANCA SISTEMA S.P.A. (L OFFERTA )

Nota informativa sulla Privacy

DOMANDA DI ADESIONE allegata alla nota informativa

Tutela della privacy

Servizi a supporto del paziente in trattamento con la Penna Forsteo ITFRT00528

Informativa ai sensi dell'art. 13 del Decreto Legislativo 30 giugno 2003, n. 196 Codice in materia di trattamento dei dati personali

Privacy semplice per le PMI

Informativa sul trattamento dei dati personali ex art. 13 D.lgs. 196/2003

PRIVACY POLICY DI digitaldictionary.it. Digital Dictionary Servizi s.r.l. Milano via Paleocapa 1, (MI) P.IVA/CF: REA: MI

Ente Ospedaliero Specializzato in Gastroenterologia "Saverio de Bellis" Istituto di Ricovero e Cura a Carattere Scientifico

INFORMATIVA SULLA PRIVACY. In questa pagina si descrivono le modalità di gestione del sito in riferimento al

Via Piave, Capo d Orlando (Messina)

SCHEDA DI ADESIONE N. OFFERTA PUBBLICA DI SOTTOSCRIZIONE DELLE OBBLIGAZIONI DEL PRESTITO BANCA IMI TASSO FISSO 2,00% P.A

PRIVACY. Federica Savio M2 Informatica

Indirizzo di posta elettronica Telefono Cellulare

Gamma RE B.V., con sede in (1012 JS) Amsterdam, Royaldamcenter, Dam 7 f Olanda (l Offerente )

Validità / Scadenza: / Edizione:

PRIVACY POLICY DI LattinaDesign S.r.l.s

Al Comune Di Piacenza Direzione Operativa Servizi Alla Persona e Al Cittadino Servizio Famiglia e Tutela Minori

CITTÀ DI ANGUILLARA SABAZIA

ELENCO DEGLI ADEMPIMENTI RICHIESTI A TITOLARI DEL TRATTAMENTO PRIVATI DALLA NORMATIVA PRIVACY.

INFORMATIVA AI SENSI DELL'ART. 13 DEL DECRETO LEGISLATIVO N. 196 DEL 2003

Istanza di Autorizzazione Unica Ambientale A.U.A. ai sensi del D.P.R. 13 marzo 2013, n 59

lì (luogo) (data) (il richiedente) (timbro e firma del soggetto incaricato del collocamento)

La Privacy nelle Associazioni di Promozione Sociale

ll sito Internet è di proprietà di: Nesocell Srl via Livorno n.60 I Torino - Italia P. IVA

DISCIPLINARE TECNICO IN MATERIA DI MISURE MINIME DI SICUREZZA ANNO 2015

DOMANDA DI ISCRIZIONE

2015/Mod. Prev. 1 Adesione al Fondo

Regolamento per la disciplina di accesso e riutilizzo delle banche dati

INFORMATIVA SUL TRATTAMENTO DEI DATI PERSONALI

INFORMATIVA SULLA PRIVACY

Andreani Tributi Srl. Titolare del Trattamento dei Dati. P.Iva Sede: Via Cluentina 33/D Macerata

Transcript:

Aspetti legali della gestione dei dati elettronici Avv. Ivan Tosco, PhD Studio Legale Secci & Medda 1 Aspetti Legali della gestione dei dati elettronici Colleretto Giacosa, 10 ottobre 2013 - Ivan Tosco 2013

2 Ivan Tosco - Dottore di ricerca in diritto internazionale (indirizzo diritto dell Unione Europea) presso l Università di Milano Statale e Avvocato nel Foro di Torino. Ha ricoperto il ruolo di General Counsel, direttore degli affari legali, e responsabile di trattamento, del ramo broadband del gruppo Eutelsat (ETL:Euronext). E autore di diverse pubblicazioni in materia di reti commerciali. avv.tosco@avvocatiseccimedda.it Lo studio Secci & Medda è uno studio legale attivo a Torino. La sua mission è fornire assistenza globale all impresa e all imprenditore, offrendo le prestazioni di professionisti costantemente aggiornati. Lo studio offre prestazioni specialistiche in diritto commerciale internazionale, diritto del lavoro, diritto di famiglia e della persona, difesa tributaria. www.avvocatiseccimedda.it

3 Riferimenti normativi Dlgs. 30 giugno 2003, n.196- Codice in materia di protezione dei dati personali, vigenza 27 febbraio 2004 (c. privacy) Deliberazione n.52 del 24 luglio 2008- Linee guida per i trattamenti di dati personali nell ambito delle sperimentazioni cliniche di medicinali Dlgs. 24 giugno 2003, n. 211 - Attuazione della direttiva 2001/20/CE relativa all'applicazione della buona pratica clinica nell'esecuzione delle sperimentazioni cliniche di medicinali per uso clinico Aut. Gen. n. 8/2012 - Autorizzazione generale al trattamento dei dati genetici (Provv. N. 405 del 13 dicembre 2012) D.L. 14 agosto 2013 n. 93, Disposizioni urgenti in materia di sicurezza e per il contrasto della violenza di genere (c.d. femminicidio ) D.L. 9 febbraio 2012, n. 5, Disposizioni urgenti in materia di semplificazione e sviluppo (c.d. Decreto Sviluppo ) WMA Declaration of Helsinki - Ethical Principles for Medical Research Involving Human Subjects (1964 as amended)

4 Il dato elettronico Principi generali del trattamento Diritti dell interessato, informazione, consenso Misure di sicurezza e sanzioni Il trasferimento dei dati all estero

5 L albero dei dati Dati Personali Reali (Afferenti alle cose) Comuni Sensibili Tutelati non tutelati Informazioni relativa a persona fisica, identificata o identificabile Informazioni relative a origine etnica, profilo religioso/filosofico/ politico, stato di salute e vita sessuale Possibile oggetto di privativa industriale (eg. Brevetto) o di diritto esclusivo (eg. Nome proprio o di famiglia) Dati non suscettibili di proprietà e privi di uno status privilegiato. Possono essere protetti con accordi contrattuali

6 Dati privati e dati pubblici Dati privati dati la cui disponibilità è unicamente presso colui che li ha generati (tutti i dati nascono privati); Dati pubblici dati provenienti da pubblici registri, elenchi atti o documenti conoscibili da chiunque (nei limiti previsti dalla legge); Il dato pubblico può essere reso indisponibile ad altri dalla persona che l ha generato (è il caso dei dati brevettuali). Dati riservati dati non di pubblico dominio cui (1) la legge o (2) il detentore attribuiscono un particolare status di riservatezza. (I dati sensibili rientrano nel caso 1, i dati industriali non ancora registrati rientrano nel caso 2).

7 Dati elettronici e non Non esiste una definizione normativa di dato elettronico. Il dato, poiché è una informazione, non è di per sé elettronico (troviamo invece comunicazione elettronica, firma elettronica, etc). Il trattamento del dato può avvenire con Strumenti elettronici (art. 4(3)b) -> art. 34 Senza strumenti elettronici -> art. 35

8 Il dato nel Codice Privacy Definizioni art.4 Dato personale Dati sensibili (Dati giudiziari) Dati identificativi identificazione diretta (es. nome) Dato anonimo non associabile a un interessato L Interessato è la persona fisica cui si riferiscono i dati.

9 Dati Personali Art. 4 c.1 lett. b) Qualunque informazione relativa a persona fisica, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale. Comma così modificato dal D.L. n. 201/2011 tale modifica comporta solo che non costituiscano più dato personale i dati relativi alle persone giuridiche, non che le persone giuridiche non siano tenute a rispettare il Codice Privacy!

10 Dati sensibili Art. 4 c.1 lett. D) dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale;

11 Il dato elettronico Principi generali del trattamento Diritti dell interessato, informazione, consenso Misure di sicurezza e sanzioni Il trasferimento dei dati all estero

12 Scopo della legge Art. 2. Finalità 1. Il presente testo unico, di seguito denominato "codice", garantisce che il trattamento dei dati personali si svolga nel rispetto dei diritti e delle libertà fondamentali, nonché della dignità dell'interessato, con particolare riferimento alla riservatezza, all'identità personale e al diritto alla protezione dei dati personali. 2. (omissis)

13 Le finalità scientifiche Sono "scopi scientifici", le finalità di studio e di indagine sistematica finalizzata allo sviluppo delle conoscenze scientifiche in uno specifico settore. [Art. 4 c.4 lett. C)] -> le sperimentazioni di farmaci finalizzate allo sfruttamento commerciale non hanno scopo scientifico (come i.e. gli studi epidemiologici). A queste si applicano non le linee guida, ma il codice deontologico (all. A. 4 Provv. 2/2004)

14 Necessità Art. 3. Principio di necessità nel trattamento dei dati 1. I sistemi informativi e i programmi informatici sono configurati riducendo al minimo l'utilizzazione di dati personali e di dati identificativi, in modo da escluderne il trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante, rispettivamente, dati anonimi od opportune modalità che permettano di identificare l'interessato solo in caso di necessità.

15 Ambito geografico Art. 5. Oggetto ed ambito di applicazione 1. Il presente codice disciplina il trattamento di dati personali, anche detenuti all'estero, effettuato da chiunque è stabilito nel territorio dello Stato o in un luogo comunque soggetto alla sovranità dello Stato. 2. Il presente codice si applica anche al trattamento di dati personali effettuato da chiunque è stabilito nel territorio di un Paese non appartenente all'unione europea e impiega, per il trattamento, strumenti situati nel territorio dello Stato anche diversi da quelli elettronici, salvo che essi siano utilizzati solo ai fini di transito nel territorio dell'unione europea. In caso di applicazione del presente codice, il titolare del trattamento designa un proprio rappresentante stabilito nel territorio dello Stato ai fini dell'applicazione della disciplina sul trattamento dei dati personali. 3. (omissis)

16 Principi del trattamento Art. 11. Modalità del trattamento e requisiti dei dati 1. I dati personali oggetto di trattamento sono: a) trattati in modo lecito e secondo correttezza; b) raccolti e registrati per scopi determinati, espliciti e legittimi, ed utilizzati in altre operazioni del trattamento in termini compatibili con tali scopi; c) esatti e, se necessario, aggiornati; d) pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono raccolti o successivamente trattati; e) conservati in una forma che consenta l'identificazione dell'interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati. 2. I dati personali trattati in violazione della disciplina rilevante in materia di trattamento dei dati personali non possono essere utilizzati.

17 Principio di prevenzione Art. 31. Obblighi di sicurezza 1. I dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.

18 L organigramma privacy Persona (anche giuridica) che decide finalità, modalità e strumenti del trattamento dei dati personali Titolare del trattamento Persona (anche giuridica) autorizzata dal titolare al trattamento dei dati personali Responsabile/i del trattamento Persona fisiche autorizzate dal titolare o dal responsabile al trattamento dei dati personali Incaricati del trattamento

I ruoli privacy nel contesto di uno studio clinico ( Linee guida ) 19 Sponsor Titolare del trattamento CRO Responsabile/i del trattamento Collaboratori Incaricati del trattamento

20 Il dato elettronico Principi generali del trattamento Diritti dell interessato, informazione, consenso Misure di sicurezza e sanzioni Il trasferimento dei dati all estero

21 Diritti dell interessato Diritto di essere informato (e di non prestare il consenso) Diritti di accesso Diritti di intervento Diritti di opposizione

22 L informativa (Art. 13) L interessato o le persone presso la quale sono raccolti i dati personali sono preventivamente informati oralmente o per iscritto Contenuti dell informativa: 1. Finalità e modalità di trattamento 2. Natura obbligatoria o facoltativa del conferimento dei dati 3. Conseguenze di un eventuale rifiuto di rispondere 4. Soggetti (o categorie ) ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati, e ambito di diffusione 5. Diritti di cui all art. 7 del Codice 6. Estremi identificativi del titolare e, se designato, del responsabile

23 Il consenso al Trattamento Il consenso deve avere le seguenti caratteristiche (art.23) Consenso espresso (e documentato per iscritto) Consenso in forma scritta per dati sensibili Il consenso può riguardare l intero trattamento oppure una o più operazioni dello stesso Il consenso è validamente prestato solo se è espresso liberamente e specificamente in riferimento ad un trattamento chiaramente individuato, se è documentato per iscritto, e se è stata resa all interessato l informativa di cui all art. 13 NOTA BENE il consenso al trattamento dei dati non è il consenso alla sperimentazione

24 Casi in cui non occorre il consenso Quando il trattamento (casi principali): E necessario per adempiere a un obbligo di legge E necessario per adempiere a un contratto in cui è parte l interessato Riguarda dati provenienti da pubblici registri Riguarda dati relativi a attività economiche (nel rispetto del segreto industriale); Quando il trattamento avviene tra società dello stesso gruppo societario (rapporti c.d. intercompany )

25 Diritto di accesso (art. 7) L interessato ha diritto di ottenere: La conferma dell esistenza o meno di dati personali che lo riguardano, anche se non ancora registrati La loro comunicazione in forma intelligibile L indicazione: dell origine dei dati personali delle finalità e modalità del trattamento della logica applicata in caso di trattamento effettuato con l ausilio di strumenti elettronici degli estremi identificativi del titolare e dei responsabili dei soggetti o delle categorie di soggetti ai quali i dati possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati

26 Diritto di intervento (art. 7) L interessato ha diritto di ottenere: L aggiornamento, la rettificazione ovvero l integrazione dei dati La cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge L attestazione che le precedenti operazioni sono state portate a conoscenza di coloro ai quali i dati sono stati comunicati o diffusi, eccettuato il caso in cui tale adempimento si rivela impossibile o comporta un impiego di mezzi manifestamente sproporzionato rispetto al diritto tutelato

27 Diritti di opposizione (art. 7) L interessato ha diritto di opporsi, in tutto o in parte: Per motivi legittimi al trattamento dei dati personali che lo riguardano, ancorché pertinenti allo scopo della raccolta Al trattamento di dati personali che lo riguardano a fini di invio di materiale pubblicitario o di vendita diretta o per l effettuazione di ricerche di mercato o di comunicazione commerciale

28 Modalità di esercizio dei diritti Accesso Anche oralmente Altri per iscritto (i.e. attraverso il modulo presente sul sito del Garante) NOTA BENE Le modalità di formulazione della domanda influenzano le misure da prendere per la risposta. Il modello di domanda, molto completo, induce a effettuare domande molto articolate, cui è comunque dovuta risposta entro 15 o 30 giorni.

29 Informativa e consenso informato Il paziente inserito in uno studio clinico ha il diritto di essere informato e di prestare il proprio consenso sotto diversi aspetti: A) Consenso al trattamento dei propri dati di natura personale e/o sensibile; B) Consenso informato alla partecipazione allo studio art. 2 lett. l) e art. 3 lett. b) e d) del D.lgs. 211/2003 C) Eventuale consenso informato previsto dalla natura del trattamento clinico implicato nella sperimentazione Nulla vieta di unificare le informative in un unico documento, purché l informativa risulti chiara e completa in relazione agli elementi richiesti per esprimere ciascun elemento del consenso

30 L informativa secondo le Linee Guida Il Garante, nel rilasciare le Linee Guida (2008) ha predisposto un modello di informativa e manifestazione del consenso al trattamento congiunta tra Sponsor e CRO. Il modello è redatto per la raccolta dei dati personali, e non soddisfa i requisiti dell informativa redatta ai fini della raccolta del consenso informato. Può tuttavia essere usata come modello o falsariga per la raccolta del consenso dell interessato nel contesto di uno studio.

31 Informativa e consenso informato Informativa privacy CONSENSO DATI Informativa clinica Informativa integrata CONSENSO TERAPIA Informativa sperimenta zione CONSENSO SPERIMENTA ZIONE

32 Il dato elettronico Principi generali del trattamento Diritti dell interessato, informazione, consenso Misure di sicurezza e sanzioni Il trasferimento dei dati all estero

33 Misure di sicurezza Art. 31. Obblighi di sicurezza 1. I dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta. Art. 33. Misure minime di sicurezza 1. Nel quadro dei più generali obblighi di sicurezza di cui all'articolo 31, o previsti da speciali disposizioni, i titolari del trattamento sono comunque tenuti ad adottare le misure minime individuate nel presente capo o ai sensi dell'articolo 58, comma 3, volte ad assicurare un livello minimo di protezione dei dati personali.

34 Misure di sicurezza Misure minime Previste dal codice privacy (art. 33 e allegato B - disciplinare tecnico) Misure idonee Non codificate. Le misure sono idonee in quanto raggiungano lo scopo di evitare i rischi di cui all art. 31. Le misure adottate per prevenire rischi specifici sono idonee in tanto in quanto prevengano l evento che mirano a evitare (salvo il caso fortuito o la forza maggiore)

35 Misure di sicurezza Art.34 - Trattamenti con strumenti elettronici Misure minime di sicurezza da adottare a) autenticazione informatica; b) adozione di procedure di gestione delle credenziali di autenticazione; c) utilizzazione di un sistema di autorizzazione; d) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici; e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici; f) adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi; g) [tenuta di un aggiornato documento programmatico sulla sicurezza;] h) adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari.

36 Misure di sicurezza ulteriori in caso di studi clinici Memorizzazione Laddove siano utilizzati sistemi di memorizzazione o archiviazione dei dati, idonei accorgimenti per garantire la protezione dei dati registrati dai rischi di accesso abusivo, furto o smarrimento parziali o integrali dei supporti di memorizzazione o dei sistemi di elaborazione portatili o fissi (ad esempio, attraverso l'applicazione parziale o integrale di tecnologie crittografiche a file system o database, oppure tramite l'adozione di altre misure informatiche di protezione che rendano inintelligibili i dati ai soggetti non legittimati); CAP.12 (a) - Del.n.52 del 24 luglio 2008- Linee guida

37 Misure di sicurezza ulteriori in caso di studi clinici Comunicazioni elettroniche Protocolli di comunicazione sicuri basati sull'utilizzo di standard crittografici per la trasmissione elettronica dei dati raccolti dai centri di sperimentazione al database centralizzato presso il promotore o gli altri soggetti che effettuano la successiva validazione ed elaborazione statistica dei dati; CAP.12 (b) -Del.n.52 del 24 luglio 2008- Linee guida

38 Rimedi civili Art. 15 c.priv 1. Chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell art. 2050 cod. civ. 2. Il danno non patrimoniale è risarcito anche in caso di violazione dell articolo 11 Art. 2050 cod. civ. attività pericolose inversione dell onere della prova (spetta al titolare provare di aver posto in essere tutti gli accorgimenti disponibili (non ragionevoli ) per impedire il verificarsi del danno. Spetta al danneggiato dare prova del danno.

39 Rimedi civili Art. 15 c.priv (segue) Trib. Mantova Sent., 05/08/2009 In materia di tutela dei dati personali, il richiamo operato dall'art. 15 del D.Lgs. n. 196/2003 all'art. 2050 c.c. ha per scopo l'affermazione di un favor per il danneggiato, escludendo che nel caso del trattamento di dati personali possa porsi un problema di sussistenza o meno della colpa e di un'eventuale graduazione della stessa, trattandosi di ipotesi di responsabilità oggettiva; ciononostante, il danneggiato che chiede la condanna del responsabile al risarcimento dei danni patiti deve dare la prova del nesso eziologico tra attività pericolosa ed evento dannoso. Trib. Mantova, 24/11/2009 La divulgazione da parte di un operatore sanitario di dati sensibili riguardanti la salute di un paziente rappresenta un illecito trattamento dei dati personali, a cui consegue il risarcimento del danno non patrimoniale, atteso che la risarcibilità di tale pregiudizio è prevista direttamente dalla legge (art.15, D.Lgs. n. 196/2003).

40 Sanzioni Artt. 161-171c.priv Sanzioni amministrative Fattispecie Sanzione Omessa o inidonea informativa all interessato (161) 6.000-36.000 Cessione illecita di dati (162, c.1) 10.000-60.000 Comunicazione dati sanitari da non sanitario (162,c.2) 1.000-6.000 Omessa o incompleta notificazione [al Garante] (164) 20.000-120.000 Omessa informazione o esibizione al Garante 10.000-60.000 Omissione misure minime di sicurezza (162, c.2bis)(*)( ) 10.000-120.000 Inosservanza dei provvedimenti del Garante (162, c. 2ter) 30.000-180.000 (artt. 162bis e 162ter riguardano solo gli operatori TLC) (*) Concorre con i reati di cui agli artt. 167 e 169 ( ) Non è ammesso il pagamento in misura ridotta ex art. 16 L. 689/1981!

41 Sanzioni Artt. 161-171c.priv Fattispecie Sanzioni Penali Trattamento illecito di dati (167, c.1) (dati comuni) Sanzione Reclusione 6-18 mesi (Aggravata 6-24 mesi)(*) Trattamento illecito di dati (167, c.1) (dati sensibili) Reclusione 12-36 mesi Falsità in dichiarazioni e notificazioni al Garante Reclusione 6-36 mesi Omissione di misure di sicurezza (169, c.1) Arresto fino a 2 anni (salvo regolarizzazione) Inosservanza provv. del Garante (170) (dati sensibili) Reclusione 6-24 mesi SEMPRE prevista la pena accessoria della PUBBLICAZIONE DELLA SENTENZA (*) ricorre quando la condotta e di diffusione o pubblicazione

42 Sanzioni Artt. 161-171c.priv Sanzioni Penali (segue) Fattispecie Struttura del reato Dolo Trattamento illecito di dati d evento (danno) Specifico Falsità in dich.ni e notificazioni al Garante d evento (mera condotta) Generico Omissione di misure di sicurezza d evento (mera condotta) Generico Inosservanza provv. del Garante d evento (mera condotta) Generico

43 Sanzioni Artt. 161-171c.priv La regolarizzazione Verifica contestazione assegnazione termine Mancata adozione delle misure necessarie o riconoscimento di difficoltà nell adempimento: Proroga (max 6 mesi) Adozione delle misure necessarie: Pagamento sanzione amministrativa (1/4 del massimo ex 162 c.2bis 30.000) estinzione del reato

44 Sanzioni D.lgs 231/2001 Il DL 93/2013 opera un ulteriore aggiornamento del catalogo dei «reati presupposto»(*) In relazione alle fattispecie penali di cui sopra, l ente rischia una sanzione da 100 a 500 quote (da 25.800 a 775.000 ). inoltre, le sanzioni interdittive: interdizione dall esercizio dell attività; sospensione o revoca di autorizzazione, licenze o concessioni funzionali alla commissione dell illecito; divieto di pubblicizzare beni e servizi. (*)Nel momento in cui si scrive è in corso l iter di conversione

45 Il dato elettronico Principi generali del trattamento Diritti dell interessato, informazione, consenso Misure di sicurezza e sanzioni Il trasferimento dei dati all estero

46 Il trasferimento di dati all estero (artt. 42-45 c. priv) Trasferimento Trasferimento verso Paesi UE Accorgimenti Nessuno (trattamento naz.) Trasferimento verso Stati terzi - In presenza di consenso specifico o di interesse pubblico (art. 43); - in base a specifica autorizzazione del Garante (art. 44.a) o verso gli Stati che hanno un accordo Safe Harbour con l UE; Trasferimento verso US L organizzazione destinataria negli US deve aderire ai criteri della decisione Safe Harbour 2000/520/Ce (provv. Garante 36/2001)

47 Trasferimento dei dati all estero (Linee guida) Cap. 10 Provv. 52/2008 ( ) costituiscono garanzie sufficienti per la tutela della vita privata e dei diritti degli interessati le clausole contrattuali standard per il trasferimento di dati personali a "responsabili del trattamento" residenti in Paesi terzi (cfr. decisione della Commissione europea del 27 dicembre 2001, n. 2002/16/ Ce e Provv. del Garante 10 aprile 2002 n. 3), nonché quelle previste per il trasferimento di dati effettuati da un "titolare del trattamento" avente sede nell'unione europea a un diverso "titolare" residente al di fuori del territorio europeo (cfr. decisione della Commissione europea del 15 giugno 2001, n. 2001/497/Ce e Provv. del Garante del 10 ottobre 2001; decisione del 27 dicembre 2004, n. 2004/915/Ce e Provv. del Garante del 9 giugno 2005).

48 Ai fini dell'utilizzazione delle citate clausole è necessario definire preventivamente, con chiarezza e precisione, i ruoli svolti dai soggetti nell'ambito del trasferimento dei dati e delle operazioni di trattamento effettuate in conformità ai parametri indicati (l'esportatore deve risultare effettivamente "titolare" del trattamento e, l'importatore, deve essere l'effettivo "responsabile" o "titolare" autonomo del trattamento), specificare le attività principali di trattamento cui sottoporre le informazioni personali oggetto di trasferimento.( )

49 Grazie per l attenzione! Studio Legale Secci & Medda C.So Siracusa, 3 10136 Torino www.avvocatiseccimedda.it

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back