PRINCIPALI ADEMPIMENTI, RESPONSABILITÀ E SANZIONI NEL CODICE DELLA PRIVACY

Documenti analoghi
Principali adempimenti, responsabilità e sanzioni nel codice della privacy

La notificazione secondo il codice in materia di protezione dei dati personali

Privacy. Natale Prampolini 196/03. ing. Natale Prampolini Business & Technology Adviser

ASPETTI PRINCIPALI CODICE SULLA PRIVACY (D. Lgs. 196/2003)

Dlg 196/2003: Commenti

INTRODUZIONE SULLA NOTIFICAZIONE

IL NUOVO CODICE SULLA PRIVACY D.L.vo 196/2003

Circolare alla clientela TZ&A

Circolare N.26 del 22 febbraio DL semplificazioni: eliminato il DPS

Privacy. Quadro normativo. Definizioni di dati. L. 675/1996 D. Lgs. 196/2003 Perché? Dati pubblici Dati personali Dati sensibili.

Nome modulo: MISURE DI SICUREZZA ADOTTATE DALL AMMINISTRAZIONE NOME LEZIONE: INTRODUZIONE

Circolare per i Clienti del 22 febbraio 2012

LA PROTEZIONE DEI DATI PERSONALI

Sample test Informatica Giuridica modulo: Protezione dati personali: Privacy e Sicurezza

Privacy e Misure di Sicurezza. Giulia M. Lugoboni

Nuove responsabilità organizzative del titolare e azioni da intraprendere

Principali adempimenti privacy

STUDIO MURER COMMERCIALISTI

Decreto Legislativo 30giugno 2003, n. 196 Codice in materia di protezione dei dati personali

LA NORMATIVA SULLA PRIVACY

02/10/2010 ABILITA INFORMATICHE E TELEMATICHE. Introduzione al problema. Obiettivi. Protezione dei dati e Privacy A.A

FEDERAZIONE SOVRAZONALE PIEMONTE 2 TORINO NORD s.c. a r.l.

IL DIRITTO ALLA PRIVACY

DPS Documento Programmatico sulla Sicurezza D. Lgs 196/93 Codice sulla Privacy

Le misure di sicurezza nel trattamento di dati personali

Nome modulo: ILLUSTRAZIONE DETTAGLIATA DEI COMPITI E DELLE RESPONSABILITÀ CIVILI E PENALI

DOCUMENTO PROGRAMMATICO SULLA SICUREZZA SEMPLIFICATO

Comunicati stampa 54 Newsletter 19 Cd-rom (edizioni pubblicate) 1 Notiziario bimestrale 6 Dépliant 1 Conferenze internazionali 4

Informazioni Generali Privacy DPSS Sanzioni Amministrative e Penali

STRUTTURA (Denominazione). COMPETENZE della Struttura...

REGOLAMENTO SULLA TUTELA DELLA RISERVATEZZA DEI DATI PERSONALI

Introduzione al diritto alla protezione dei dati personali

LEGGE N. 675 REGOLAMENTO COMUNALE SULLA TUTELA DELLA RISERVATEZZA DEI DATI PERSONALI

Istituto Comprensivo Statale 10 Vicenza. Provincia di VI. Documento Programmatico sulla Sicurezza ALLEGATO B. Adozione delle Misure di Sicurezza

Il Nuovo Codice Privacy in materia di protezione dei dati personali (D. Lgs. 196/2003)

Diritto e ICT Modulo 1 Protezione Dati Personali Privacy e Sicurezza (Versione 1.0)

Manuale Informativo. Decreto Legislativo 30 giugno 2003, n. 196 Codice in materia di protezione dei dati personali

Comune di Assago. Provincia di MI. DOCUMENTO PROGRAMMATICO sulla SICUREZZA

Profili di Responsabilità degli operatori di sistemi telematici

Il Testo Unico sulla Privacy

DOCUMENTO PROGRAMMATICO SULLA SICUREZZA (DPS) D.Lgs. n. 196 del 30/06/2003 CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI

imprese individuali, società;

Sintesi delle principali attività dell'autorità. Numero complessivo dei provvedimenti collegiali adottati 524

Privacy: formazione sul nuovo Codice

Il nuovo Codice sulla protezione dei dati personali

Cambiamenti Normativi

COMUNE DI ARCINAZZO ROMANO PROVINCIA DI ROMA REGOLAMENTO SULLA TUTELA DELLA RISERVATEZZA DEI DATI PERSONALI TRATTATI DAI SERVIZI COMUNALI

CAPO I Principi generali. CAPO II Obblighi per il titolare del trattamento

Trento, 8 febbraio Privacy (d.lgs 196/03) e internet. Obblighi ed opportunità per il datore di lavoro

L attuazione del Codice in Materia di Protezione dei Dati Personali in ambito sanitario

QUESTIONARIO PER LA PREDISPOSIZIONE DEL PRIMO DPS SENZA STRUMENTI INFORMATICI

REGOLAMENTO COMUNALE SULAL DISCIPLINA DELLA PRIVACY AI SENSI DELLA LEGGE 675/96 E DEL D. LGS. 135/99

Regolamento. Per il trattamento dei dati personali (legge , n. 675)

I REGISTRI DELLE ATTIVI TA DI TRATTAMENTO, il fulcro del sistema gestionale privacy nel sistema sanitario

REGOLAMENTO SULLA TUTELA DELLA RISERVATEZZA DEI DATI PERSONALI TRATTATI DAGLI UFFICI COMUNALI

L ADEGUAMENTO ALLE NORME OBBLIGATORIE IN MATERIA DI TRATTAMENTO DATI PERSONALI D. Lgs. 196/2003

Sistemi informativi in ambito sanitario e protezione dei dati personali

Importanza degli aspetti legali per un professionista

S.E.F. s.r.l. Servizi Etici Finanziari. Documento Programmatico sulla Sicurezza

Sicurezza e Privacy. Requisiti minimi e adeguati. Il nuovo Testo Unico sulla Privacy

Codice in materia di protezione dei dati personali d.lgs. n.196/2003

Privacy SPECIALE. Il nuovo Codice della. Prima parte

DPR 318 e sua entrata in vigore

D.P.R. 28 luglio 1999, n. 318

INFORMATIVA E CONSENSO SUL TRATTAMENTO DEI DATI PERSONALI AI SENSI DELL ART 13 DEL D. LGS: 196/03

Roberto Zampese Business Development Manager. ORACLE Italia

Allegato E Segnalazioni Appendice E. 1

Trattamento dei dati personali e sensibili. Documento Programmatico sulla sicurezza

LINEE GUIDA PER L APPLICAZIONE DELLA NORMATIVA SULLA PRIVACY

Segreto Professionale

DOCUMENTO PROGRAMMATICO SULLA SICUREZZA

REGOLAMENTO COMUNALE SULLA TUTELA DELLA RISERVATEZZA DEI DATI PERSONALI CONTENUTI IN ARCHIVI E BANCHE DATI COMUNALI

TED seminario robotica e reti. Genova - Ottobre Linda Giannini e Carlo Nati -

TRATTAMENTO DEI DATI PERSONALI Informativa ex art. 13 d. lgs. 30 giugno 2003 n. 196

6(((((((((((((((((((((((((((((( )((((((((((((((((((((((((((((((

APPROVATO DAL: C.C. con atto n. 2/00

Norme per il trattamento dei dati personali nell INFN

STUDIO DOTT. BONVICINI Circolare n. 3 del 4 gennaio 2006 Rif. Ns. Circ. n. 5 del 15/5/2004

La nuova disciplina in materia di tutela della privacy (D.Lgs n. 196) Principali novità

Il Trattamento dei dati personali

LA PRIVACY POLICY DEL SITO INTERNET

Regolamento per il trattamento dei dati personali delle persone fisiche e di altri soggetti in attuazione del Dlgs. 30 giugno 2003 n.

Regolamento interno per l utilizzo delle fonti dati gestite dal Comune di MELLE e dal Comune di VALMALA

Nuove tecnologie, nuove responsabilità: focus sul D.Lgs. 196/2003. Daniela Rocca Politecnico di Milano, 4 giugno 2004

ATTO DI NOMINA RESPONSABILE DEL TRATTAMENTO DEI DATI PERSONALI

La Normativa Antiriciclaggio e sulla Trasparenza. I compiti dei Consigli Ordini Forensi Roma 27 maggio 2016

COMUNE DI CARPINETI Prov. di Reggio Emilia. REGOLAMENTO sulla TUTELA della RISERVATEZZA dei DATI PERSONALI

Giudizio di conformità sugli adempimenti richiesti BOZZA

Intervento formativo per i Responsabili del trattamento. Giovanni M. Bianco Maggio 2007

REGOLAMENTO SUL TRATTAMENTO DEI DATI SENSIBILI E GIUDIZIARI E INDIVIDUAZIONE DELLE TIPOLOGIE DI DATI E DELLE OPERAZIONI SU DATI

REGOLAMENTO PER IL TRATTAMENTO DEI DATI PERSONALI INDICE

ALLEGATO B CASA DI RIPOSO CESARE BERTOLI VIA CAMPAGNOLA NOGAROLE ROCCA VR REGOLAMENTO PER LA SICUREZZA DEI DATI PERSONALI

La Nuova Normativa in materia di Protezione dei Dati Personali, D. Lgs. 30 giugno 2003 n 196

Codice in materia di protezione dei dati personali (196/03) [per informatici]

Le procedure organizzative dell intermediario per garantire la riservatezza. Torino 22/03/2013 dott. Giuseppe Scolaro

C O M U N E D I C O D O G N O. ( Provincia di Lodi ) REGOLAMENTO SULLA TUTELA DELLA RISERVATEZZA DEI DATI PERSONALI

DELIBERAZIONE DEL DIRETTORE GENERALE N 260 DEL 29/07/2005 A D O T T A PROVVEDIMENTI ATTUATIVI DEL D.LGS. N. 196 DEL 30 GIUGNO 2003 (CODICE PRIVACY).

REGOLAMENTO PER LA TUTELA DELLA RISERVATEZZA E DISPOSIZIONI IN MATERIA DI TRATTAMENTO DEI DATI PERSONALI

Verso il nuovo Regolamento Europeo Privacy

Incaricati del trattamento dei dati personali: linee guida e istruzioni operative ai sensi del decreto legislativo n.196/2003.

Transcript:

PRINCIPALI ADEMPIMENTI, RESPONSABILITÀ E SANZIONI NEL CODICE DELLA PRIVACY 1

Principali Adempimenti D.lgs. 196/03 Adempimenti verso l autorità garante Notificazione Autorizzazione Adempimenti verso gli interessati Informativa Richiesta di consenso Adempimenti interni (o organizzativi) Misure minime di sicurezza 2

Adempimenti verso l Autorità Garante: Notificazione La notificazione è una dichiarazione attraverso la quale il Titolare comunica al Garante l esistenza di un attività di trattamento dei dati personali Ieri: obbligo di notificazione quasi generalizzato Oggi: notevolmente ridimensionato l obbligo di notificazione (articolo 37 D. lgs. 196/03) 3

La notificazione Il titolare notifica al Garante il trattamento di dati personali cui intende procedere, solo se il trattamento riguarda: dati genetici, biometrici o dati che indicano la posizione geografica di persone od oggetti mediante una rete di comunicazione elettronica; dati idonei a rivelare lo stato di salute e la vita sessuale, trattati a fini di procreazione assistita, prestazione di servizi sanitari per via telematica relativi a banche di dati o alla fornitura di beni, indagini epidemiologiche, rilevazione di malattie mentali, infettive e diffusive, sieropositività, trapianto di organi e tessuti e monitoraggio della spesa sanitaria 4

La notificazione dati idonei a rivelare la vita sessuale o la sfera psichica trattati da associazioni, enti od organismi senza scopo di lucro, anche non riconosciuti, a carattere politico, filosofico, religioso o sindacale; dati trattati con l'ausilio di strumenti elettronici volti a definire il profilo o la personalità dell'interessato, o ad analizzare abitudini o scelte di consumo, ovvero a monitorare l'utilizzo di servizi di comunicazione elettronica con esclusione dei trattamenti tecnicamente indispensabili per fornire i servizi medesimi agli utenti; 5

La notificazione dati sensibili registrati in banche di dati a fini di selezione del personale per conto terzi, nonché dati sensibili utilizzati per sondaggi di opinione, ricerche di mercato e altre ricerche campionarie dati registrati in apposite banche di dati gestite con strumenti elettronici e relative al rischio sulla solvibilità economica, alla situazione patrimoniale, al corretto adempimento di obbligazioni, a comportamenti illeciti o fraudolenti 6

La notificazione In quale momento si presenta la notificazione? Prima che inizi il trattamento medesimo Quante volte si notifica? Una sola volta Come si notifica? Esclusivamente per via telematica, tramite il sito www.garanteprivacy.it Quando va ripetuta? In caso di definitiva cessazione dell attività di trattamento In caso di modifiche agli elementi da indicare nella notificazione 7

Richiesta di Autorizzazione al Garante E un adempimento previsto per tutti i titolari che trattano dati sensibili e giudiziari Tenuto conto dell altissimo numero di soggetti interessati, il legislatore ha previsto le Autorizzazioni Generali concesse a determinate categorie di titolari o di trattamenti 8

Autorizzazioni generali al trattamento di dati sensibili Trattamento dati nei rapporti di lavoro Trattamento dati da parte di diverse categorie di titolari ( p. es. attività bancarie, creditizie, assicurative) Trattamento dati da parte di organismi di tipo associativo e delle fondazioni Trattamento dati da parte di liberi professionisti Trattamento dati da parte di investigatori privati Trattamento dati a carattere giudiziario da parte di privati, enti pubblici economici e di soggetti pubblici 9

Gli adempimenti verso gli interessati: l informativa Prevista dall articolo 13 del Codice Privacy Si tratta di una comunicazione finalizzata ad informare l interessato su: I soggetti che effettueranno il trattamento Le finalità del trattamento Le modalità del trattamento I diritti dell interessato 10

Richiesta di autorizzazione all interessato Prevista dall articolo 23 del Codice Privacy Consenso scritto nell ipotesi di trattamento di dati sensibili e giudiziari Per i dati comuni, si richiede il consenso espresso Comma 3: il consenso è validamente prestato solo se è documentato per iscritto Deroghe all obbligo di consenso da parte dell interessato (art. 24 e 26) Trattamento necessario per adempiere ad obblighi normativi Trattamento necessario per eseguire obblighi derivanti da un contratto del quale è parte l interessato 11

DISCIPLINARE TECNICO IN MATERIA DI MISURE MINIME DI SICUREZZA 12

Misure minime di sicurezza Credenziali di autenticazione Formate da userid e password Caratteristiche password Almeno 8 caratteri Non riconducibile al soggetto Modificata dopo il primo utilizzo e ogni 6 o 3 mesi a seconda dei trattamenti 13

Misure minime di sicurezza Gestione delle credenziali Disattivazione per Mancato utilizzo per almeno 6 mesi Perdita della qualità che permette l accesso ai dati Garantire la disponibilità dei dati o degli strumenti elettronici in caso di prolungata assenza o impedimento dell incaricato che goda delle credenziali di autenticazione 14

Misure minime di sicurezza Sistema di autorizzazione Verifica almeno annuale delle condizioni per l autorizzazione Protezione contro intrusioni esterne Es. antivirus Almeno ogni 6 mesi 15

Misure minime di sicurezza Protezione interna del sistema Protezione interna da eventuali errori del sistema Annuale per i dati comuni Semestrale per i dati sensibili e giudiziari Salvataggio dati e ripristino all accesso dei dati Backup (o disaster recovery) almeno settimanale Ripartenza entro massimo una settimana 16

Misure minime di sicurezza L adempimento più importante previsto nel codice è il D.P.S.(Documento programmatico per la sicurezza) Il DPS deve essere redatto o aggiornato, entro il 31 marzo di ogni anno, dal titolare del trattamento di dati sensibili o giudiziari, effettuato con strumenti elettronici. 17

D.P.S. Non è solo un adempimento normativo E soprattutto un valido strumento di analisi Contestualizza l analisi, la valutazione e la gestione del rischio Solleva solo da responsabilità penali 18

Obbligo di redazione Il trattamento dei dati personali effettuato con strumenti elettronici è consentito solo se, tra le misure minime di sicurezza, si tiene aggiornato un documento programmatico sulla sicurezza (art. 34) Entro il 31 marzo di ogni anno, il titolare di un trattamento di dati sensibili o di dati giudiziari redige anche attraverso il responsabile, se designato, un documento programmatico sulla sicurezza (reg. 19, all. B) 19

Obbligo di redazione Art. 34: DPS per coloro che trattano tutti i tipi di dati personali purché con strumenti elettronici Reg. 19, all. B: solo i titolari di dati sensibili o giudiziari, a prescindere dalle modalità di trattamento (e dunque anche in assenza di strumenti elettronici) 20

Composizione D.P.S. L elenco dei trattamenti I compiti e le responsabilità dei soggetti incaricati al trattamento La protezione delle aree e dei locali in relazione alla loro custodia ed accessibilità L analisi dei rischi con l individuazione delle modalità che possono essere poste a favore del ripristino della disponibilità dei dati qualora si verifichino episodi di distruzione o danneggiamento 21

Composizione D.P.S. I criteri per l adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati all esterno della struttura (outsourcing) Gli interventi formativi in tema di analisi dei rischi che incombono sui dati Criteri adottati per la separazione dei dati sensibili da quelli comuni. Protezione contro l accesso abusivo con strumenti hardware e software Particolari misure fisiche e logiche di protezione per i dati genetici (cifratura) 22

Misure di prevenzione La sicurezza totale non esiste: INFORMAZIONE AGGIORNAMENTO PREVENZIONE 23

D.P.S. Le misure minime di sicurezza sono previste anche per trattamenti effettuati senza l ausilio di strumenti elettronici Aggiornamento almeno annuale I controllo e custodia di atti e documenti contenenti i dati personali fino al termine del trattamento e conseguente restituzione 24

D.P.S. Accesso controllato agli archivi per i dati sensibili o giudiziari Fuori dall orario di chiusura, individuazione e registrazione delle persone ammesse negli archivi In caso di mancanza di vigilanza agli archivi, necessaria preventiva autorizzazione all accesso 25

Trattamento di dati ultra-sensibili Nel DPS occorre individuare i criteri da adottare per cifrareo separare i dati idonei a rilevare lo stato di salute e la vita sessuale trattati da organismi sanitari ed esercenti le professioni sanitarie (reg. 19.8 e 24, all. B) La cifratura, o la disgiunzione, riguardano solo organismi sanitari e esercenti professioni sanitarie 26

Modulistica Atto di nomina del responsabile del trattamento dati Atto di nomina dell incaricato del trattamento dati Atto di nomina dell amministratore del sistema informativo Atto di nomina custode credenziali di autenticazione Modulo di comunicazione della password Documento programmatico per la sicurezza 27

Sanzioni Il codice prevede tre tipi di responsabilità: Amministrativa Civile Penale 28

Responsabilità amministrativa L organo competente ad irrogare le sanzioni amministrative è il Garante Inasprite nel 2008 Art. 161 Omessa o inidonea informativa all interessato Da 6.000 a 36.000 (in misura ridotta 12.000 ) 29

Responsabilità amministrativa Art. 162 Cessione di dati in violazione del codice da 10.000 a 60.000 Art. 84 Comunicazione di dati sanitari non attraverso personale medico da 1.000 a 6.000 Art. 162 Trattamento di dati in violazione delle misure minime di sicurezza da 20.000 a 120.000 Escluso pagamento in misura ridotta In aggiunta alla sanzione penale 30

Responsabilità amministrativa Art. 162 Trattamento di dati illecito Da 20.000 a 120.000 Forma ridotta 40.000 Art. 162 Inosservanza delle prescrizioni e divieti disposti dal Garante con propri provvedimenti Da 30.000 a 180.000 31

Responsabilità amministrativa Art. 163 Omessa o incompleta notifica Da 20.000 a 120.000 Art. 164 Omessa informazione od esibizione al Garante Da 10.000 a 0.000 32

Responsabilità civile L illecito civile è disciplinato nell art. 15 che assimila l attività di trattamento di dati tra quelle pericolose ai sensi dell art. 2050 c.c. 33

Responsabilità penale Art. 167 Trattamento illecito di dati personali Reclusione da 6 mesi a 3 anni Art. 168 Falsità nelle dichiarazioni e notificazioni al garante Reclusione da 6 mesi a 3 anni Omissione di adozione delle misure di sicurezza, salvo il C.D. ravvedimento operoso di cui all art. 169 comma 2 Arresto fino a 2 anni Art. 170 Inosservanza dei provvedimenti del garante Reclusione da 3 mesi a 2 anni 34

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back