SOMMARIO Presentazione... Note sugli autori... XI XIII Parte Prima IL NUOVO CODICE E GLI ADEMPIMENTI Antonio Ciccia Capitolo 1 - Contesto normativo e sua evoluzione... 3 Capitolo 2 - Gli adempimenti nei confronti dei clienti/utenti... 15 1. La gestione delle informazioni, il consenso e cause di esclusione 15 2. Il censimento dei dati personali... 16 3. Il consenso per i dati diversi da quelli sensibili e giudiziari... 20 4. Il consenso per i dati sensibili... 28 5. Informativa agli interessati... 30 6. La gestione dell esercizio dei diritti riconosciuti agli interessati 37 Capitolo 3 - Gli adempimenti nei confronti del Garante... 47 1. La notificazione e i casi di esonero... 47 2. La griglia sulle notificazioni... 49 3. La procedura per le notificazioni... 71 4. Le autorizzazioni per i dati sensibili e giudiziari... 73 Capitolo 4 - Gli adempimenti organizzativi... 77 1. Titolari e responsabili del trattamento... 77 2. Il responsabile e l incaricato del trattamento esterno... 89 3. La struttura aziendale e dello studio... 93 4. Nomine dei responsabili e problemi legati al rapporto di lavoro: qualifiche, responsabilita`... 96 Capitolo 5 - Le sanzioni... 101 1. Premessa... 101 2. La responsabilità civile... 101 3. Le sanzioni penali... 104 4. Le sanzioni amministrative... 111 5. I ricorsi al Garante... 114 6. Il ricorso avanti al tribunale... 118 V
Privacy - Guida agli adempimenti Parte Seconda ADEGUAMENTO ALLE MISURE DI SICUREZZA Sergio Fumagalli Capitolo 1 - Premessa alla sezione sulla sicurezza... 129 1. Privacy e sicurezza: un rapporto complesso... 129 1.1. Tutelare la privacy per mantenere la fiducia... 130 1.2. Sicurezza: un esigenza crescente... 131 1.3. Tutela di terzi e tutela degli interessi del titolare... 132 2. Obiettivi della sezione... 132 3. Esclusioni: trattamento specifico dei particolari titolari (art. 32)... 133 Capitolo 2 - Come e` organizzata la normativa sulla sicurezza... 135 1. Gli articoli rilevanti... 135 2. Aspetti innovativi rispetto alla normativa precedente... 135 3. Il disciplinare tecnico... 136 Capitolo 3 - L obbligo alla sicurezza... 137 1. Il principio di necessità: la sicurezza intrinseca dei sistemi informativi... 137 1.1. Il principio di necessità, l organizzazione e i programmi applicativi... 138 1.2. Soggetti pubblici e sanità: separare i dati identificativi dai dati personali... 142 2. Obbligo generale alla sicurezza: le misure preventive ed idonee 144 3. Responsabilita` verso terzi... 147 4. Responsabilita` penale: le misure minime... 149 5. L inutilizzabilita` dei dati... 151 Capitolo 4 - Le definizioni... 155 Capitolo 5 - Le misure minime: che cosa e` cambiato... 157 1. I principali cambiamenti rispetto al D.P.R. n. 318/1999... 157 1.1. Semplificazione e indipendenza dalla tecnologia... 157 1.2. Obsolescenza tecnologica e impossibilità tecnica ad adempiere... 159 1.3. Incaricati e ruoli specialisticià... 160 1.4. I tempi per l adozione... 161 Capitolo 6 - Le misure minime di sicurezza: trattamenti con l ausilio di strumenti elettronici... 163 1. La riservatezza delle informazioni... 163 VI
Sommario 1.1. Autenticazione informatica e procedure di gestione delle credenziali (art. 34 lettere a) e b) - allegato B punti 1-11) 165 1.2. Sistema di autorizzazione e gestione dei profili di autorizzazione (art. 34 lettere c) e d) - allegato B punti 12-15) 170 2. Protezione degli strumenti e dei dati (art. 34 lettera e) - allegato B punti 16-17 e 20-22)... 171 2.1. Salvataggio dei dati e ripristino della disponibilità (art. 34 lettera f) - allegato B punti 18 e 23)... 173 3. Il Documento Programmatico sulla Sicurezza (art. 34 lettera g) - allegato B punto 19)... 176 3.1. Chi è tenuto alla redazione del DPS... 176 3.2. DPS: anello di congiunzione fra responsabilità civile e penale del titolare... 177 3.3. La mappa dell organizzazione (punti 19.1-19.2)... 177 3.4. L analisi dei rischi e le misure a tutela (punti 19.1-19.2) 178 3.5. Riepilogo: redazione del DPS - (punti 19.1/19.4)... 181 3.6. La descrizione dei criteri di ripristino dei dati (punto 19.5) 182 3.7. La formazione degli incaricati (punto 19.6)... 184 3.8. L outsourcing di trattamenti (punto 19.7)... 185 3.9. Il trattamento di dati relativi alla salute e alla vita sessuale (punto 19.8)... 187 3.10. Riepilogo: redazione del DPS (punti 19.5/19.8)... 188 4. Misure specifiche per gli organismi sanitari (art. 34 lettera h) - allegato B punto 24)... 189 5. Misure di tutela e garanzia (allegato B punti 25 e 26)... 190 Capitolo 7 - Trattamenti senza l ausilio di strumenti elettronici: i dati su carta... 197 1. Aggiornamento periodico dell ambito degli incarichi (art. 35 lettera a) - allegato B punto 27)... 198 2. Procedure per il trattamento di atti e documenti che contengono dati sensibili e giudiziari (art. 35 lettera b) - allegato B punto 28) 199 3. Procedure particolari per la custodia di atti contenenti dati sensibili o giudiziari (art. 35 lettera c) - allegato B punto 29)... 200 Parte terza APPENDICE Documentazione Decreto legislativo 30 giugno 2003, n. 196... 207 Garante per la privacy - Provvedimento 30 giugno 2004 - Autorizzazioni... 324 VII
Privacy - Guida agli adempimenti Autorizzazione n. 1 del 2004 al trattamento dei dati sensibili nei rapporti di lavoro... 324 Autorizzazione n. 2 del 2004 al trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale... 331 Autorizzazione n. 3 del 2004 al trattamento dei dati sensibili da parte degli organismi di tipo associativo e delle fondazioni... 340 Autorizzazione n. 4 del 2004 al trattamento dei dati sensibili da parte dei liberi professionisti... 348 Autorizzazione n. 5 del 2004 al trattamento dei dati sensibili da parte di diverse categorie di titolari... 355 Autorizzazione n. 6 del 2004 al trattamento di dati sensibili da parte degli investigatori privati... 365 Autorizzazione n. 7 del 2004 al trattamento dei dati a carattere giudiziario... 372 DPS Comunicato del Garante 11 giugno 2004 - Guida operativa per redigere il DPS... 383 Check list Check-list delle attività periodiche di gestione e delle scadenze... 405 Check-list degli interventi tecnici... 407 Modelli (contenuti nel Cd Rom) Modello 1 Informativa sul trattamento dei dati personali inerenti alla notificazione Modello 2 Informativa e consenso anche per i dati sensibili Modello 3 Informativa - Modello base Modello 4 Informativa al cliente Modello 5 Informativa al dipendente Modello 6 Informativa al consulente Modello 7 Informativa al fornitore Modello 8 Informativa sul sito internet Modello 9 Informativa sulla videosorveglianza Modello 10 Informativa da inserire nel messaggio di posta elettronica Modello 11 Informativa in risposta ai curricula ricevuti per la selezione del personale VIII
Sommario Modello 12 Informativa negli annunci di lavoro pubblicati sui giornali Modello 13 Clausola contrattuale di regolamentazione dei rapporti ai fini privacy con il cliente Modello 14 Clausola contrattuale di regolamentazione dei rapporti ai fini privacy con il consulente Modello 15 Clausola contrattuale di regolamentazione dei rapporti ai fini privacy con il fornitore Modello 16 Consenso del lavoratore - Dichiarazione da trasmettere all azienda Modello 17 Formule per il consenso Modello 18 Nomina incaricato del trattamento interno Modello 19 Nomina incaricato del trattamento esterno Modello 20 Nomina del responsabile del trattamento Modello 21 Nomina del responsabile del trattamento esterno (consulente) Modello 22 Nomina del responsabile del trattamento esterno (servizio di outsourcing) Modello 23 Nomina del responsabile del trattamento ai fini di cui all articolo 13 del codice della privacy Modello 24 Elenco dei responsabili del trattamento sul sito web Modello 25 Interpello per esercizio dei diritti Modello 26 Risposta a interpello con adesione alla richiesta Modello 27 Risposta a interpello con rigetto della richiesta Modello 28 Risposta a interpello con segnalazione della onerosità della ricerca Modello 29 Ricorso al Garante per la protezione dei dati personali Modello 30 Ricorso al Tribunale Modello 31 Intimazione di risarcimento danni Modello 32 Citazione per risarcimento danni Modello 33 Reclamo al Garante per la protezione dei dati personali Modello 34 Richiesta al Garante di autorizzazione al trattamento di dati sensibili Modello 35 Istruzioni sulla custodia della password Modello 36 Disposizioni scritte per l accesso agli strumenti: custodia delle chiavi Modello 37 Notificazione del trattamento - Modello 2004 (pdf) Modello 38 Notificazione del trattamento - Tabella della procedura di notificazione (pdf) Modello 39 Comunicazione dell avvenuta redazione del DPS IX
Privacy - Guida agli adempimenti DPS (contenuti nel CD Rom) Esempio 1 - DPS Piccoli comuni (compilato) Esempio 2 - DPS Medici/laboratori d analisi (compilato) Esempio 3 - DPS Azienda (compilato) Comunicato del Garante 11 giugno 2004 - Guida operativa per redigere il DPS Documentazione (contenuta nel Cd Rom) Legislazione Decreto legislativo 13 maggio 1998, n. 171 Decreto legislativo 22 maggio 1999, n. 185 Decreto legislativo 9 aprile 2003, n. 70 Decreto legislativo 30 giugno 2003, n. 196 Normativa comunitaria Direttiva CE del Parlamento europeo e del Consiglio - 7 marzo 2002, n. 21 Direttiva CE del Parlamento europeo e del Consiglio - 12 luglio 2002, n. 58 Normativa del Garante Relazione 2003 (pdf) Scheda informativa 1 gennaio 2004 - Istruzioni per la notificazione Deliberazione 31 marzo 2004, n. 1 - Provvedimento relativo ai casi da sottrarre all obbligo di notificazione Parere 23 aprile 2004 - Chiarimenti sui trattamenti da notificare al Garante Parere 26 aprile 2004 - Notificazioni in ambito sanitario: precisazioni del Garante Provvedimento generale del 29 aprile 2004 - Videosorveglianza. Il decalogo delle regole per non violare la privacy Deliberazione 16 novembre 2004, n. 8 - Codice di deontologia Deliberazione 16 novembre 2004, n. 9 - Bilanciamento di interessi Autorizzazioni del Garante Provvedimento 30 giugno 2004 - Autorizzazioni Prassi Ordine dei Consulenti del Lavoro - Circolare 11 maggio 2004, n. 814 Parere 3 giugno 2004 - Principali adempimenti in materia di protezione di dati personali nello svolgimento dell attività forense X