Corso base privacy (Varese, )

Documenti analoghi
Nome modulo: MISURE DI SICUREZZA ADOTTATE DALL AMMINISTRAZIONE NOME LEZIONE: INTRODUZIONE

La notificazione secondo il codice in materia di protezione dei dati personali

STUDIO MURER COMMERCIALISTI

02/10/2010 ABILITA INFORMATICHE E TELEMATICHE. Introduzione al problema. Obiettivi. Protezione dei dati e Privacy A.A

D.P.R. 28 luglio 1999, n. 318

Decreto Legislativo 30giugno 2003, n. 196 Codice in materia di protezione dei dati personali

Principali adempimenti privacy

DPR 318 e sua entrata in vigore

ASPETTI PRINCIPALI CODICE SULLA PRIVACY (D. Lgs. 196/2003)

INFORMATIVA E CONSENSO SUL TRATTAMENTO DEI DATI PERSONALI AI SENSI DELL ART 13 DEL D. LGS: 196/03

DOCUMENTO PROGRAMMATICO SULLA SICUREZZA SEMPLIFICATO

Privacy e Misure di Sicurezza. Giulia M. Lugoboni

Privacy. Natale Prampolini 196/03. ing. Natale Prampolini Business & Technology Adviser

REGOLAMENTO COMUNALE SULLA TUTELA DELLA RISERVATEZZA DEI DATI PERSONALI CONTENUTI IN ARCHIVI E BANCHE DATI COMUNALI

IL NUOVO CODICE SULLA PRIVACY D.L.vo 196/2003

6(((((((((((((((((((((((((((((( )((((((((((((((((((((((((((((((

Comune di Assago. Provincia di MI. DOCUMENTO PROGRAMMATICO sulla SICUREZZA

Cambiamenti Normativi

INFORMATIVA SUL TRATTAMENTO DEI DATI PERSONALI

Circolare N.26 del 22 febbraio DL semplificazioni: eliminato il DPS

Allegato E Segnalazioni Appendice E. 1

CONSENSO INFORMATO DEL TRATTAMENTO DEI DATI PERSONALI, IDENTIFICATIVI E SENSIBILI EX D.Lgs. 196/2003

Le misure di sicurezza nel trattamento di dati personali

INFORMATIVA BENEFICIARI

Università Popolare degli Studi di Milano INFORMATIVA SUL TRATTAMENTO DEI DATI PERSONALI

COMUNE DI ANDORNO MICCA PROVINCIA DI BIELLA REGOLAMENTO SULLA RISERVATEZZA DEI DATI PERSONALI

POLISPORTIVA CESENATICO 2000 A.D. VIALE MAGELLANO, CESENATICO (FC) COD.FISCALE TEL. E FAX

STRUTTURA (Denominazione). COMPETENZE della Struttura...

DOMANDA DI CONCILIAZIONE

Nota informativa ai sensi dell art. 13 DLgs 196/2003 (Codice di protezione dei dati personali)

Informativa n. 1 ai sensi dell articolo 13 del Decreto Legislativo 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali)

A) NOMINA DEL RESPONSABILE ESTERNO DEL TRATTAMENTO DEI DATI PERSONALI... 4

DENOMINAZIONE ENTE: INDIRIZZO :.. CAP :. LOCALITA :.. PROVINCIA:. CODICE FISCALE : PARTITA IVA :

1. Finalità del trattamento dati

Fac-simile DICHIARAZIONE DI AUTORIZZAZIONE AL TRATTAMENTO DEI DATI PERSONALI, IDENTIFICATIVI, SENSIBILI e GIUDIZIARI ex D.LGS. 30 giugno 2003 n.

COMUNE DI CARPINETI Prov. di Reggio Emilia. REGOLAMENTO sulla TUTELA della RISERVATEZZA dei DATI PERSONALI

1. Libro soci. A. Modulo o scheda di nuova adesione B. Modulistica Privacy C. Scheda personale nominativa

Circolare per i Clienti del 22 febbraio 2012

Art. 1 Ambito di applicazione

LEGGE N. 675 REGOLAMENTO COMUNALE SULLA TUTELA DELLA RISERVATEZZA DEI DATI PERSONALI

LA PRIVACY POLICY DEL SITO INTERNET

SCHEDA DI ADESIONE PROV. ALLA VIA: PROV. CELL. ALLA VIA: PROV. CODICE FISCALE SITO WEB: WWW. ISCRIZIONE INPS N.: / /

INFORMATIVA PRIVACY INFORMATIVA AI SENSI DEL CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI D.LGS. N. 196/2003

OFFERTA PUBBLICA DI VENDITA E SOTTOSCRIZIONE DI AZIONI ORDINARIE (L OFFERTA ) Enìa S.p.A.

Regolamento interno per l utilizzo delle fonti dati gestite dal Comune di MELLE e dal Comune di VALMALA

lì (luogo) (data) (il richiedente) (timbro e firma del soggetto incaricato del collocamento)

REGOLAMENTO PER IL TRATTAMENTO DEI DATI PERSONALI INDICE

Informativa e consenso al trattamento dei dati personali

Profili di Responsabilità degli operatori di sistemi telematici

Il Testo Unico sulla Privacy

Conoscenza delle norme di base in materia di protezione dei dati personali

APPROVATO DAL: C.C. con atto n. 2/00

Data, PROVINCIA DI COSENZA AL DIRIGENTE DEL SETTORE POLITICHE SOCIALI E POLITICHE DELL IMMIGRAZIONE Piazza XV Marzo, Cosenza

con sede legale in: Via n., CAP comune di codice fiscale partita Iva n. tel., fax indirizzo pec

REGOLAMENTO PER L UTILIZZO DELL IMPIANTO DI VIDEOSORVEGLIANZA AL PENSIONATO PIAGGI

REGOLAMENTO DI ATENEO PER L ATTUAZIONE DELLA LEGGE 675/96 SULLA TUTELA DELLE PERSONE E DI ALTRI SOGGETTI RISPETTO AL TRATTAMENTO DEI DATI PERSONALI

Il/la sottoscritto/a chiede di partecipare alla selezione per il conferimento di una Borsa di Studio.

IL DECRETO LEGGE 196/2003

OFFERTA IN OPZIONE DI AZIONI ORDINARIE GreenergyCapital S.p.A. EX ART C.C.

QUESTIONARIO PER LA PREDISPOSIZIONE DEL PRIMO DPS SENZA STRUMENTI INFORMATICI

DECRETI E DELIBERE DI ALTRE AUTORITÀ

REGOLAMENTO SULLA TUTELA DELLA RISERVATEZZA DEI DATI PERSONALI TRATTATI DAGLI UFFICI COMUNALI

Giudizio di conformità sugli adempimenti richiesti BOZZA

Nuove responsabilità organizzative del titolare e azioni da intraprendere

OPENJOBMETIS S.P.A. AGENZIA PER IL LAVORO REGOLAMENTO DELL ELENCO DELLE PERSONE AVENTI ACCESSO A INFORMAZIONI PRIVILEGIATE

Scheda di iscrizione al Corso di Integrazione per Mediatore

REGOLAMENTO PER IL TRATTAMENTO E LA SICUREZZA DEI DATI SENSIBILI

All Ufficiale dello Stato Civile del COMUNE DI MONDOVÌ (CN)

RICHIESTA DI ASSUNZIONE

SERVIZIO PRIVACY Regolamento per l utilizzo degli impianti di videosorveglianza del Comune di SPORMAGGIORE

Il/La sottoscritto/a M/F Codice fiscale... nato/a il a... Dirigente/Amministratore della Società

Decreto Ministeriale 7 dicembre 2006, n. 305 (in GU 15 gennaio 2007, n. 11)

Procedure in materia di Privacy

è un sito informativo a cura dello: Studio Legale Craparotta Avv. Biagio Craparotta

REGOLAMENTO COMUNALE SULAL DISCIPLINA DELLA PRIVACY AI SENSI DELLA LEGGE 675/96 E DEL D. LGS. 135/99

Norme per il trattamento dei dati personali nell INFN

tutti i diritti sono riservati

Trattamento dei dati personali e sensibili. Documento Programmatico sulla sicurezza

Informativa sulla Privacy relativa al trattamento dei dati.

Notifica Attività libero-professionale

Incaricati del trattamento dei dati personali: linee guida e istruzioni operative ai sensi del decreto legislativo n.196/2003.

Sample test Informatica Giuridica modulo: Protezione dati personali: Privacy e Sicurezza

Vi informiamo pertanto che, nell ambito e nei limiti del rapporto o dei rapporti instaurati

ALLEGATO 1. Le istruzioni che seguono sono vincolanti per il Responsabile Esterno: Istruzioni generali per il trattamento

Cod. ITHMT00080(2) Servizi a supporto del paziente in in trattamento. con HumatroPen TM*

COMUNE DI BORGOSATOLLO PROVINCIA DI BRESCIA SERVIZIO DI POLIZIA LOCALE

TED seminario robotica e reti. Genova - Ottobre Linda Giannini e Carlo Nati -

Importanza degli aspetti legali per un professionista

INFORMATIVA PRIVACY AI SENSI DELL ART. 13, D. LGS. 30/06/2003, N. 196

Istituto Comprensivo Statale 10 Vicenza. Provincia di VI. Documento Programmatico sulla Sicurezza ALLEGATO B. Adozione delle Misure di Sicurezza

STUDIO DOTT. BONVICINI Circolare n. 3 del 4 gennaio 2006 Rif. Ns. Circ. n. 5 del 15/5/2004

Richiesta di finanziamento per le Iniziative Culturali e Sociali proposte dagli Studenti

Nato a Prov il. Via/Piazza n. cap. Tel/cell . Ente presso il quale svolge l attività come operatore di Cure Palliative CHIEDE DICHIARA

Diritto e ICT Modulo 1 Protezione Dati Personali Privacy e Sicurezza (Versione 1.0)

DESCRIZIONE DELLE ATTIVITA Delibera Ufficio di Presidenza n. 67 del 28 luglio 2015 (Scheda 1)

Comunicazione n. 70 del 21 Giugno OGGETTO: D.Lgs 196/03- Acquisizione consenso da parte degli esercenti le professioni sanitarie

ISTRUZIONI AGLI INCARICATI DEL TRATTAMENTO DEI DATI PERSONALI COMUNI, SENSIBILI E/O GIUDIZIARI

Articolo 1 Oggetto e finalità

Regolamento sulla tutela della riservatezza dei dati personali contenuti in archivi e banche-dati comunali

REGISTRO DI ANAGRAFE CONDOMINIALE

Transcript:

Corso base privacy (Varese,02.2006)

DEFINIZIONI ESSENZIALI TRATTAMENTO DATI Qualunque operazione o complesso di operazioni effettuato anche senza l ausilio di strumenti elettronici (es.: manualmente) concernente: raccolta registrazione organizzazione conservazione elaborazione modificazione selezione estrazione raffronto utilizzo interconnessione blocco comunicazione diffusione cancellazione distruzione consultazione CNA Interpreta 2

Dato personale Qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale Dati esclusivamente personali (art. 5.3) Le disposizioni del Codice non riguardano il trattamento di dati effettuato per fini esclusivamente personali sempre che non si abbia diffusione o comunicazione sistematica Rimane la responsabilità per danni cagionati (15) e il dovere di rispettare gli obblighi generali di sicurezza (31) CNA Interpreta 3

Dati sensibili Dati idonei a rivelare L origine razziale ed etnica Le convinzioni religiose, filosofiche e di altro genere Le opinioni politiche L adesione a partiti, sindacati, associazioni od organizzazioni a carattere filosofico, politico o sindacale Lo stato di salute e la vita sessuale CNA Interpreta 4

Interessato e suoi diritti (art. 7) Persona fisica o giuridica, ente o associazione cui si riferiscono i dati personali Gli spettano i diritti previsti dall art. 7 del Codice: h dell origine dei dati Diritto di sapere se esistono o meno suoi dati presso il titolare Diritto di ottenere l indicazione: h delle finalità e modalità del trattamento h della logica applicata nel trattamento effettuato con l ausilio di strumenti elettronici hdegli estremi identificativi: - titolare - responsabile se designato hdei soggetti o delle categorie ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di rappresentante designato nel territorio dello Stato, di responsabili o incaricati CNA Interpreta 5

Diritto di ottenere: h l aggiornamento, la rettifica, ovvero l integrazione dei dati (quando via ha interesse) h la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge, compresi quelli di cui non è necessaria la conservazione in relazione agli scopi per i quali i dati sono stati raccolti o successivamente trattati h l attestazione che le operazioni dei due punti precedenti sono state portate a conoscenza, anche per quanto riguarda il loro contenuto, di coloro ai quali i dati sono stati comunicati o diffusi (se questo risulta possibile o non sproporzionato) Diritto di opporsi in tutto o in parte h per motivi legittimi al trattamento dei dati che lo riguardano ancorché pertinenti allo scopo della raccolta h al trattamento dei dati personali che lo riguardano ai fini di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale I diritti dell interessato sono esercitati con richiesta rivolta senza formalità al titolare o al responsabile alla quale è fornito idoneo riscontro senza ritardo (entro 15 giorni dal ricevimento! Art. 146.2) CNA Interpreta 6

Titolare del trattamento (art. 28) È la persona fisica, giuridica, ente, associazione, P.A. cui compete la decisione sulle finalità,, modalità e mezzi del trattamento e sugli strumenti utilizzati (ivi compreso il profilo della sicurezza) Se il trattamento è effettuato da una persona giuridica, da una P.A. o da un qualsiasi altro ente, associazione od organismo, titolare del trattamento è l entità nel suo complesso o l unità od organismo periferico che esercita un potere decisionale del tutto autonomo Sotto il profilo civilistico Sotto il profilo penale del risarcimento danni ne risponde l impresa La responsabilità è sempre personale : ne risponde chi ha la rappresentanza legale a meno che non vi sia stata specifica attribuzione di compiti/responsabilità CNA Interpreta 7

CONTITOLARI (ex art. 4.1 lett. f) Soggetti che, unitamente al titolare, esercitano le decisioni in ordine alle finalità, modalità di trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza ( = potere reale) Condivisione (col titolare) di prerogative e responsabilità (es.: associazione professionale tra medici, con trattamento di dati in comune) (es.: società che operano all interno di un gruppo societario) CNA Interpreta 8

Responsabile del trattamento (art. 29) È la persona fisica, giuridica, ente, P.A. preposta dal titolare del trattamento (art. 4.1 lett. g) Discrezionalmente il titolare può decidere se designare un responsabile cui delegare compiti e responsabilità (anche in ordine alla sicurezza) Se lo designa, deve farlo con atto scritto contenente precise istruzioni analitiche Responsabile può essere interno o esterno CNA Interpreta 9

CARATTERISTICHE RESPONSABILE Il soggetto deve avere esperienza, capacità ed affidabilità che forniscano idonea garanzia del pieno rispetto e delle disposizioni di legge e delle istruzioni del titolare in materia di trattamento Tali qualità presuppongono l'assegnazione a dipendenti di qualifica medio-alta, cui va conferita disponibilità ed autonomia di spesa La designazione non libera il titolare da tutti gli adempimenti (l'obbligo della notificazione non è delegabile), né da tutte le responsabilità, quanto meno in ordine al controllo periodico ed alla vigilanza sulla puntuale osservanza delle disposizioni di legge e delle istruzioni impartite CNA Interpreta 10

Incaricati del trattamento Sono le persone fisiche che effettuano le operazioni del trattamento, attenendosi alle istruzioni impartite dal titolare o responsabile (art. 30, comma 1), che, per iscritto (comma 2), ha loro attribuito questo compito individuando puntualmente l ambito del trattamento consentito Inserendo o elaborando i dati a computer o attendendo all'archivio i dipendenti vengono a conoscenza dei dati personali CNA Interpreta 11

la Legge tuttavia non considera tale conoscenza come comunicazione; lo si evince dall art. 4.1, lett. l, che la esclude per l interessato, per il rappresentate del titolare nel territorio dello Stato, per il responsabile e per gli incaricati Assume particolare importanza fornire agli incaricati precisi indirizzi e dettagliate norme comportamentali, sia nella fase iniziale di raccolta dei dati, sia nella successiva fase di gestione, così da evitare situazioni lesive imputabili al titolare e/o al responsabile CNA Interpreta 12

Informativa (art. 13) Prima di effettuare il trattamento dei dati personali il titolare del trattamento ha SEMPRE l obbligo di fornire succinta ma chiara informazione (ORALE O SCRITTA) circa: > Le finalità della raccolta Trattamento giuridico ed economico del personale Gestione del personale Adempimenti di obblighi fiscali e contabili Gestione di fornitori Gestione della clientela Gestione del contenzioso > Le modalità del trattamento Telematica Manuale Informatica Altri sistemi di telecomunicazione CNA Interpreta 13

> Natura facoltativa/obbligatoria del trattamento > Le conseguenze di un rifiuto a rispondere > I soggetti o le categorie di soggetti a cui i dati potranno essere comunicati (es.: autotrasportatori, spedizionieri) O CHE POSSONO VENIRNE A CONOSCENZA IN QUALITA DI RESPONSABILI OD INCARICATI Circa l indicazione dei soggetti che potranno venire a conoscenza dei dati, si riporta la seguente formula che ha l unico pregio di provenire dal Garante All interno della nostra società (o gruppo) possono venire a conoscenza dei suoi dati soltanto i dipendenti ed i collaboratori (anche esterni) da noi incaricati del loro trattamento appartenenti a servizi ed uffici centrali e della rete (agenzie, filiali) nonché a strutture che svolgono anche per nostro conto compiti tecnici di supporto (servizi legali, controlli aziendali, etc.) CNA Interpreta 14

> I diritti che il Codice attribuisce (art. 7) all interessato > Gli estremi identificativi: - del TITOLARE - del RESPONSABILE se designato - dell eventuale RESPONSABILE DESIGNATO PER I RAPPORTI CON CHI ESERCITA I DIRITTI DELL INTERESSATO Se ci sono più responsabili basta un solo nominativo occorre però indicare: sito in rete altro modo agevole per reperire l elenco completo CNA Interpreta 15

INFORMATIVA RIDOTTA Può non contenere * Elementi già noti alla persona che fornisce i dati Può essere data con modalità semplificate per provvedimento del Garante (in particolare: dai servizi telefonici di assistenza/informazione al pubblico/radiotaxi) INFORMATIVA PER I DATI RACCOLTI PRESSO TERZI deve anche indicare le categorie di dati trattati va data all interessato - all atto di registrazione dei dati - o (se prevista) non oltre la prima comunicazione CNA Interpreta 16

Consenso (artt. 23/26) Il trattamento dei dati personali da parte di privati/enti pubblici economici è ammesso solo col consenso espresso (non presunto, non implicito) dell interessato, che può prestarlo per una o più operazioni o per l intero trattamento Il consenso deve essere raccolto per iscritto (sempre, per i dati sensibili) od anche oralmente documentandolo per iscritto Il consenso è validamente prestato solo se - espresso liberamente, cioè non in presenza di situazioni di pressione fisica o psicologica - dato in forma specifica, quindi non riferito a trattamento generico per fini imprecisati - preceduto da chiara informativa che gli permetta la decisione con nozione di causa CNA Interpreta 17

Casi di esclusione consenso in generale e salve le disposizioni per settori specifici (art.24) Quando il trattamento: h riguarda dati raccolti e detenuti in base ad un obbligo di legge, regolamento o normativa comunitaria h è necessario per l esecuzione di obblighi derivanti da un contratto del quale è parte l interessato o per adempiere prima della conclusione del contratto a a specifiche richieste dell interessato h riguarda dati provenienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque, nel rispetto delle norme che regolano la conoscibilità e pubblicità di tali dati (es.: elenco telefonico, liste elettorali non servono all esercizio del marketing) h è finalizzato unicamente a scopi di ricerca storica o scientifica o di statistica e avviene nel rispetto dei rispettivi codici di deontologia CNA Interpreta 18

h riguarda dati relativi allo svolgimento di attività economiche (dell interessato) nel rispetto della normativa sul segreto aziendale e industriale h è necessario per la salvaguardia della vita o dell incolumità dell interessato e questi non può prestare il proprio consenso h è necessario per indagini difensive o, comunque, per far valere o difendere un diritto in sede giudiziaria h è necessario, nei casi individuati dal Garante, per perseguire un legittimo interesse del titolare/o terzo destinatario dei dati e non prevalgono diritti, libertà, dignità, interessi legittimi dell interessato diffusione esclusa Le formule utilizzate nei coupon e gli inviti a trasmettere frasi contenenti generiche autorizzazioni sono state stigmatizzati dal Garante! CNA Interpreta 19

Autorizzazioni DATI SENSIBILI (26.1) Per trattarli occorre (oltre al consenso scritto dell interessato) la preventiva autorizzazione del Garante LA RICHIESTA D AUTORIZZAZIONED (41.3) - Su apposito modulo del Garante - Inviata per via telematica (come per la notificazione) o telefax, o raccomandata LE AUTORIZZAZIONI GENERALI (40) - Il Garante può rilasciare autorizzazioni per determinate categorie di titolari Pubblicate sulla G.U. AUTORIZZAZIONI GENERALI 2005 Il Garante ha provveduto a rilasciare - con validità fino al 30.6.2007 - le 6 autorizzazioni generali per il trattamento dei dati sensibili e l autorizzazione riguardante il trattamento dei dati giudiziari,poi pubblicate sulla G.U.n 2 del 3.01.2006. CNA Interpreta 20

Dati sensibili trattabili con autorizzazione e senza consenso 1 Quando il trattamento è effettuato da associazioni, enti, organismi senza scopo di lucro (anche non riconosciuti) a carattere politico, filosofico, religioso, sindacale 2 Quando il trattamento è necessario per la salvaguardia della vita, incolumità fisica di un terzo o dell interessato (v. art. 82.2) 3 Quando il trattamento è necessario per indagini difensive/difesa diritti (solo per queste finalità e per il tempo strettamente necessario) 4 Quando il trattamento è necessario per adempiere a specifici obblighi/compiti per la gestione del rapporto di lavoro (previsti da leggi, regolamenti, norme comunitarie) Vi rientrano anche gli adempimenti in materia - di igiene e sicurezza del lavoro e della popolazione - di previdenza ed assistenza Nei limiti dell autorizzazione Nei rispetto dei codici di condotta CNA Interpreta 21

Dati quasi sensibili (artt. 17 e 37.2) I dati che la Legge 675 definiva particolari l art. 17 del Codice li definisce ora dati che presentano rischi specifici (per i diritti e le libertà fondamentali e per la dignità dell interessato). Il loro trattamento è condizionato da eventuali misure ed accorgimenti di garanzia, prescritti dal Garante, valutati di volta in volta anche su richiesta del titolare CNA Interpreta 22

Dati Giudiziari Il trattamento da parte dei privati è consentito solo se autorizzato da 1- espressa disposizione di legge 2 o provvedimento del Garante che specifichino hle rilevanti finalità d interesse pubblico del trattamento hi tipi di dati trattati hle operazioni eseguibili CNA Interpreta 23

Check List 1) Nomina di eventuali responsabili interni del trattamento 2) Nomina di eventuali responsabili esterni del trattamento (es.: attività in outsourcing) e acquisizione di dichiarazione/documenti ai fini della eventuale redazione del DPS 3) Lettera d incarico ed istruzioni (ed eventuali autorizzazioni al trattamento di dati sensibili) ai dipendenti e agli eventuali collaboratori 4) Adeguamento a tutte le misure minime di sicurezza previste dall Allegato B del Codice (es.: individuazione dell ambito di trattamento consentito agli incaricati e agli addetti alla gestione/manutenzione degli strumenti informatici, assegnazione password di 8 caratteri e codice identificativo, aggiornamento antivirus, documento programmatico, procedure per la custodia di copie di sicurezza e per il ripristino della disponibilità dei dati e dei sistemi, etc. ) 5) Nomina di eventuali incaricati alla custodia delle copie delle credenziali 6) Informativa per tutti i dipendenti (es.: per elaborazione paghe) e per eventuali collaboratori CNA Interpreta 24

7) Informativa e richiesta di consenso (nei casi in cui è richiesto) per soggetti esterni (clienti e fornitori) con particolare attenzione alle attività eventualmente svolte di invio di materiale pubblicitario, vendita diretta, compimento di ricerche di mercato e comunicazione commerciale 8) Informativa agli interessati per i dati raccolti presso terzi 9) Informativa anche per i dati raccolti da Internet o in caso di partecipazione a fiere e mercati 10) Adeguamento dei moduli da compilare da parte dei candidati all assunzione 11) Predisposizione procedure per dar corso alle istanze degli interessati (art. 7) e del Garante nei tempi previsti dal Codice 12) Notificazione telematica al Garante nell ipotesi in cui si rientri nelle previsioni dell articolo 37 del Codice 13) Adeguamento alle prescrizioni previste nelle 7 Autorizzazioni generali per poter trattare dati sensibili/giudiziari 14) Adeguamento alle indicazioni del Garante previste in specifici provvedimenti (video-sorveglianza, radiotaxi) CNA Interpreta 25

OBBLIGO GENERALE (art. 31) MISURE DI SICUREZZA I dati personali oggetto di trattamento sono custoditi e controllati, in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di: hdistruzione o perdita, anche accidentale haccesso non autorizzato htrattamento non consentito htrattamento non conforme alle finalità della raccolta Tenendo conto: delle conoscenze acquisite in base al progresso tecnico della natura dei dati delle specifiche caratteristiche del trattamento CNA Interpreta 26

LE MISURE MINIME DI SICUREZZA Dal PRINCIPIO DI NECESSITÀ (art. 3) - ridurre al minimo l utilizzo dei dati All OBBLIGO GENERALE DI SICUREZZA (art. 31) derivante dallo svolgimento di un attività valutata pericolosa, art. 15 art. 2050 C.C. con responsabilità civile oggettiva, patrimoniale e non patrimoniale Alle MISURE MINIME DI SICUREZZA (art. 33/35) Misure volte a garantire un LIVELLO MINIMO DI PROTEZIONE. Prescrizioni specifiche del Codice, alle quali il titolare e responsabile debbono attenersi (sanzionate penalmente) individuate in un DISCIPLINARE TECNICO, allegate al CODICE Il disciplinare viene aggiornato periodicamente (decreto del Ministro della giustizia di concerto col Ministro per le innovazioni e le tecnologie) in base all evoluzione tecnica ed all esperienza maturata nel settore (art. 36) CNA Interpreta 27

PRESCRIZIONI NORMATIVE Negli articoli 34-35 il trattamento dei dati è consentito solo se sono adottate le misure minime Art. 35 PER I TRATTAMENTI SENZA AUSILIO DI STRUMENTI ELETTRONICI Misure minime (nei modi previsti dal disciplinare) Art. 34 PER I TRATTAMENTI CON STRUMENTI ELETTRONICI Misure minime (nei modi previsti dal disciplinare) CNA Interpreta 28

MODALITA TECNICHE DISCIPLINARE TECNICO ALLEGATO B TRATTAMENTI SENZA L AUSILIO DI STRUMENTI ELETTRONICI Premessa: INCARICATI (art. 30) - Designazione scritta del titolare, contenente anche le istruzioni cui debbono attenersi; la precisazione dell ambito del trattamento consentito (a quali dati possono accedere e quali trattamenti possono effettuare) MISURE MINIME PRESCRITTE AGGIORNAMENTO ALMENO ANNUALE DELL AMBITO TRATTAMENTO CONSENTITO AGLI INCARICATI Si possono fare liste di incaricati per classi omogenee (di incarico e di profilo d autorizzazione) ISTRUZIONI SCRITTE AGLI INCARICATI SU CONTROLLO E CUSTODIA DEGLI ATTI/DOCUMENTI CONTENENTI DATI PERSONALI CNA Interpreta 29 DI

Quando gli atti e i documenti contenenti dati sensibili o giudiziari sono affidati agli incaricati del trattamento per lo svolgimento dei relativi compiti, i medesimi atti e documenti sono controllati e custoditi dagli incaricati fino alla restituzione in maniera che ad essi non accedano persone prive di autorizzazione, e sono restituiti al termine delle operazioni affidate L accesso agli archivi contenenti dati sensibili o giudiziari è controllato! Il controllo può avvenire: - con strumenti elettronici per il controllo degli accessi (utilizzo badge, scanner) - o da incaricati della vigilanza - Le persone ammesse, a qualunque titolo, dopo l orario di chiusura, sono identificate e registrate - Quando gli archivi non sono controllati, le persone che vi accedono sono preventivamente autorizzate CNA Interpreta 30

TRATTAMENTI CON L AUSILIO DI STRUMENTI ELETTRONICI Superata la distinzione tra strumenti elettronici collegati a reti e non! Modalità tecniche da adottare a cura del titolare, del responsabile, (ove designato) e dell incaricato Sistema di autenticazione informatica Il trattamento di dati personali con strumenti elettronici è consentito agli incaricati dotati di credenziali di autenticazione che consentano il superamento di una procedura di autenticazione relativa a uno specifico trattamento o a un insieme di trattamenti Io sono Tizio! Io sono Tizio! Ti riconosco come Tizio Non ti riconosco Tizio può accedere alla banca dati CNA Interpreta 31

Le credenziali di autenticazione consistono in - un codice per l identificazione dell incaricato associato a una parola chiave riservata conosciuta solamente dal medesimo (CONOSCERE) - oppure in un dispositivo di autenticazione in possesso e uso esclusivo dell incaricato, eventualmente associato a un codice identificativo o a una parola chiave (POSSEDERE) - oppure in una caratteristica biometrica dell incaricato, eventualmente associata a un codice identificativo o a una parola chiave (ESSERE) Ad ogni incaricato sono assegnate o associate individualmente una o più credenziali per l autenticazione CNA Interpreta 32

Con le istruzioni impartite agli incaricati è prescritto di adottare le necessarie cautele per assicurare la segretezza della componente riservata della credenziale e la diligente custodia dei dispositivi in possesso ed uso esclusivo dell incaricato La parola chiave, quando è prevista dal sistema di autenticazione: - è composta da almeno 8 caratteri - oppure, nel caso in cui lo strumento elettronico non lo permetta, da un numero di caratteri pari al massimo consentito - essa non contiene riferimenti agevolmente riconducibili all incaricato ed è modificata da quest ultimo al primo utilizzo e, successivamente, almeno ogni sei mesi In caso di trattamento di dati sensibili e giudiziari la parola chiave è modificata almeno ogni 3 mesi CNA Interpreta 33

Il codice per l identificazione, laddove utilizzato, non può essere assegnato ad altri incaricati, neppure in tempi diversi Le credenziali di autenticazione non utilizzate da almeno sei mesi sono disattivate (salvo quelle preventivamente autorizzate per soli scopi di gestione tecnica) Le credenziali sono disattivate anche in caso di perdita della qualità che consente all incaricato l accesso ai dati personali Sono impartite istruzioni agli incaricati per non lasciare incustodito e accessibile lo strumento elettronico durante una sessione di trattamento CNA Interpreta 34

Quando l accesso ai dati e agli strumenti elettronici è consentito esclusivamente mediante uso della componente riservata della credenziale per l autenticazione, sono impartite idonee e preventive disposizioni scritte volte a individuare chiaramente le modalità con le quali il titolare può assicurare la disponibilità di dati o strumenti elettronici in caso di prolungata assenza o impedimento dell incaricato che renda indispensabile e indifferibile intervenire per esclusive necessità di operatività e di sicurezza del sistema In tal caso la custodia delle copie delle credenziali è organizzata garantendo la relativa segretezza e individuando preventivamente per iscritto i soggetti incaricati della loro custodia, i quali devono informare tempestivamente l incaricato dell intervento effettuato CNA Interpreta 35

Sistema di autorizzazione Quando per gli incaricati sono individuati profili di autorizzazione di ambito diverso è utilizzato un sistema di autorizzazione I profili di autorizzazione, per ciascun incaricato o per classi omogenee di incaricati, sono individuati e configurati anteriormente all inizio del trattamento, in modo da limitare l accesso ai soli dati necessari per effettuare le operazioni di trattamento Dip. Paghe Dip. Paghe si si Banca dati paghe si no Banca dati infortuni autenticazione Periodicamente (almeno annualmente) è verificata la sussistenza delle condizioni per la conservazione dei profili di autorizzazione autorizzazione CNA Interpreta 36

Altre misure di sicurezza Con cadenza almeno annuale deve essere individuato l ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici (la lista degli incaricati può essere redatta anche per classi omogenee di incarico) I dati personali sono protetti contro il rischio di intrusione e dell azione di programmi di cui all art. 615-quinquies del codice penale, mediante l attivazione di idonei strumenti elettronici (antivirus) da aggiornare con cadenza almeno semestrale Gli aggiornamenti periodici dei programmi per elaboratore volti a prevenire la vulnerabilità di strumenti elettronici e a correggerne difetti sono effettuati almeno annualmente trattasi delle patch In caso di trattamento di dati sensibili o giudiziari l aggiornamento delle patch è almeno semestrale Sono impartite istruzioni organizzative e tecniche che prevedono il salvataggio dei dati con frequenza almeno settimanale CNA Interpreta 37

Documento programmatico sulla sicurezza Entro il 31 marzo di ogni anno, il titolare di un trattamento di dati sensibili o di dati giudiziari redige anche attraverso il responsabile (se designato) un documento programmatico sulla sicurezza contenente idonee informazioni riguardo: - l elenco dei trattamenti di dati personali - la distribuzione dei compiti e delle responsabilità nell ambito delle strutture preposte al trattamento dei dati - l analisi dei rischi che incombono sui dati - le misure da adottare per garantire l integrità e la disponibilità dei dati, nonché la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità - la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati (in seguito a distruzione o danneggiamento) e per permettere un rapido diritto d accesso ai suoi dati da parte dell interessato CNA Interpreta 38

- la previsione di interventi formativi degli incaricati del trattamento, per renderli edotti: 1) dei rischi che incombono sui dati; 2) delle misure disponibili per prevenire eventi dannosi; 3) dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività; 4) delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare - la formazione è programmata già al momento dell ingresso in servizio, nonché in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati personali - la descrizione dei criteri da adottare per garantire l adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformità al codice, all esterno della struttura del titolare Il Decreto MILLEPROROGHE ha fatto slittare l adozione delle misure minime di sicurezza al 31.03.06. CNA Interpreta 39

CNA Interpreta 40

CNA Interpreta 41

NOVITA : il titolare riferisce, nella relazione accompagnatoria al bilancio d'esercizio (se dovuta) l avvenuta redazione/aggiornamento del documento programmatico sulla sicurezza I soggetti obbligati alla redazione della relazione accompagnatoria (tecnicamente si tratta della relazione sulla gestione di cui all'art. 2428 C.C.) sono esclusivamente: - le società di capitali obbligate alla redazione del bilancio in forma estesa, vale a dire le S.p.a. (sempre) - le S.r.l. (queste ultime solo se non possono accedere al bilancio in forma abbreviata di cui all'art. 2435 bis C.C.) Normalmente andrebbe predisposta entro il 31 marzo di ogni esercizio CNA Interpreta 42

SOGGETTI CHE GIÀ ERANO TENUTI A REDIGERE IL DPS IN BASE AL D.P.R N. 318/99 Per tali soggetti l obbligo del Dps non costituisce una misura di sicurezza innovativa e pertanto avrebbero già dovuto predisporlo/aggiornarlo. SOGGETTI NON TENUTI A REDIGERE IL DPS IN BASE AL D.P.R N. 318/99 (ORA, INVECE, TENUTI IN BASE AL DISCIPLINARE TECNICO) Per costoro il Dps costituisce innovativa misura di sicurezza, da approntare entro il 31.03.06. CNA Interpreta 43

Ulteriori misure in caso di trattamento di dati sensibili o giudiziari I dati sensibili o giudiziari sono protetti contro l accesso abusivo, di cui all art. 615-ter del codice penale, mediante l utilizzo di idonei strumenti elettronici (es.: FIREWALL) Sono impartite istruzioni organizzative e tecniche per la custodia e l uso dei supporti rimovibili su cui sono memorizzati i dati al fine di evitare accessi non autorizzati e trattamenti non consentiti I supporti rimovibili contenenti dati sensibili/giudiziari se non utilizzati sono distrutti o resi inutilizzabili, ovvero possono essere riutilizzati da altri incaricati, non autorizzati al trattamento degli stessi dati, se le informazioni precedentemente in essi contenute non sono intelligibili e tecnicamente in alcun modo ricostruibili CNA Interpreta 44

Sono adottate idonee misure per garantire il ripristino dell accesso ai dati in caso di danneggiamento degli stessi o degli strumenti elettronici, in tempi certi compatibili con i diritti degli interessati e non superiori a sette giorni Misure di tutela e garanzia Il titolare che adotta misure minime di sicurezza avvalendosi di soggetti esterni alla propria struttura, per provvedere alla esecuzione riceve dall installatore una descrizione scritta dell intervento effettuato che ne attesta la conformità alle disposizioni del presente disciplinare tecnico CNA Interpreta 45

La dichiarazione che, a norma del punto 25.1. del Disciplinare tecnico (allegato B al Codice), l installatore esterno rilascia al titolare del trattamento che adotta misure minime di sicurezza deve contenere: huna descrizione scritta dell intervento effettuato huna attestazione di conformità alle disposizioni del Disciplinare Un informatico, per questa dichiarazione, non è tenuto a verificare se quanto dichiaratogli dal Titolare o dal responsabile del trattamento corrisponde al vero! CNA Interpreta 46

Notificazione La notificazione è una dichiarazione con la quale un soggetto pubblico o privato rende nota al Garante l esistenza di un attività di raccolta e di utilizzazione dei dati personali, svolta quale autonomo titolare del trattamento Col Codice cambia la sistematica: dalla prescrizione generale seguita dalle eccezioni si è passati all individuazione dei soli casi in cui è prescritta Il "titolare" che intende procedere al trattamento dei dati personali individuati nell art. 37 è tenuto alla notificazione preventiva (una sola volta e con un solo atto) al Garante A prescindere: - dal numero delle operazioni - dal numero dei trattamenti con finalità correlate - dalla durata del trattamento - dal fatto che il trattamento comporti il trasferimento di dati all estero CNA Interpreta 47

L art. 37.1 limita l obbligo di notificazione ai casi in cui il trattamento riguarda: a) dati genetici, biometrici o dati che indicano la posizione geografica di persone od oggetti (ovviamente riferibili a persona!) mediante una rete di comunicazione elettronica b) dati idonei a rivelare stato di salute e vita sessuale, trattati a fini di procreazione assistita, prestazione di servizi sanitari per via telematica relativi a banche di dati o alla fornitura di beni, indagini epidemiologiche, rilevazione di malattie mentali, infettive e diffusive, sieropositività, trapianto di organi e tessuti, monitoraggio spesa sanitaria c) dati idonei a rivelare la vita sessuale o la sfera psichica trattati da associazioni, enti od organismi senza scopo di lucro, anche non riconosciuti, a carattere politico, filosofico, religioso o sindacale d) dati trattati con l ausilio di strumenti elettronici volti a definire il profilo o la personalità dell interessato, o ad analizzare abitudini o scelte di consumo, ovvero a monitorare l utilizzo di servizi di comunicazione elettronica con esclusione dei trattamenti tecnicamente indispensabili per fornire i servizi medesimi agli utenti CNA Interpreta 48

e) dati sensibili registrati in banche dati a fini di selezione del personale per conto terzi, nonché dati sensibili utilizzati per sondaggi di opinione, ricerche di mercato e altre ricerche campionarie f) dati registrati in apposite banche di dati gestite con strumenti elettronici e relative al rischio sulla solvibilità economica, alla situazione patrimoniale, al corretto adempimento di obbligazioni, a comportamenti illeciti o fraudolenti Il Garante può individuare altri trattamenti suscettibili di recare pregiudizio ai diritti e alle libertà dell interessato (in ragione delle relative modalità o della natura dei dati personali) con proprio provvedimento. Con analogo provvedimento pubblicato sulla G.U. il Garante può anche individuare eventuali trattamenti non suscettibili di recare pregiudizio e pertanto sottratti all obbligo di notificazione - Provvedimento relativo ai casi da sottrarre all'obbligo di notificazione in Gazzetta Ufficiale del 6 aprile 2004, n. 81 - Parere 23.4.2004 Chiarimenti sui trattamenti da notificare al Garante CNA Interpreta 49

Termini/modalità della notificazione La notificazione va sempre presentata al Garante prima dell inizio del trattamento Dal 1 gennaio 2004 non è più utilizzabile il precedente modello di notificazione, ne è possibile la compilazione e l invio con modelli cartacei o dischetti Gli imprenditori che iniziano una nuova attività (che comporta trattamento rientrante nelle ipotesi previste dall art. 37) sono tenuti alla notificazione a partire dal 1 gennaio 2004 Alla notificazione, eseguibile solo in via telematica, si provvede mediante la compilazione dei campi del nuovo modello, disponibile sul sito Internet ( https://web.garanteprivacy.it/rgt/ ) selezionando dapprima il campo nuova notificazione, poi prima notificazione CNA Interpreta 50

CALENDARIO DI ALCUNI ADEMPIMENTI PER LE IMPRESE 1.1.2004 Entrata in vigore del Codice (informativa/consenso) 30.06.2007 Scadenza delle 7 autorizzazioni generali rilasciate dal Garante per il trattamento dei dati sensibili e giudiziari 31.03.2006 Adozione misure minime di sicurezza (Allegato B) e aggiornamento o prima redazione del DPS da parte di chi tratta dati sensibili/giudiziari con strumenti elettronici entro il 30.06.06 Adozione misure minime di sicurezza solo da parte di quei titolari che dispongano di strumenti elettronici, i quali, per obiettive ragioni tecniche (descritte in un documento con data certa), non le hanno tempestivamento adottate.

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back