Il Codice della Privacy Sintesi normativa e cenni applicativi
by user
Comments
Transcript
Il Codice della Privacy Sintesi normativa e cenni applicativi
Il Codice della Privacy Sintesi normativa e cenni applicativi a cura di Malfarà Sacchini Mario Ragioniere commercialista in Vibo Valentia a cura di Rag. Malfara Sacchini Mario - Vibo Valentia 5 Novembre 2006 La normativa D.Lgs n. 196 del 30/06/2003 Codice in materia di protezione dei dati personali. (pubblicato in G.U. il 29/07/2003) Entrata in vigore 1° gennaio 2004. Dall’entrata in vigore sono abrogate le disposizioni della L. 31/12/1996 n. 675 e quelle del D.P.R. 28/07/1999 n. 318. Le disposizioni abrogate sono indicate all’articolo 183 del Decreto Legislativo n. 196. a cura di Rag. Malfara Sacchini Mario - Vibo Valentia 5 Novembre 2006 Significato della privacy Le parole d’ordine della normativa sono: CONTROLLO SUL PROCESSO DI ACQUISIZIONE, GESTIONE ED ELIMINAZIONE DEI DATI PERSONALI CUSTODIA DEI DATI PERSONALI E DEFINIZIONE DELLE MISURE DI SICUREZZA CON LA PRESCRIZIONE DI UN LIVELLO MINIMO DI SICUREZZA a cura di Rag. Malfara Sacchini Mario - Vibo Valentia 5 Novembre 2006 Significato della privacy È un termine di origine inglese traducibile come “ diritto alla riservatezza ” che rimanda alla dignità dell'interessato, con particolare riferimento alla riservatezza, all'identità personale e al diritto alla protezione dei dati personali a cura di Rag. Malfara Sacchini Mario - Vibo Valentia 5 Novembre 2006 Significato della privacy ASSIOMA DELLA NORMATIVA Nell’era dell’informatizzazione diffusa, il dato assurge al rango di bene personale da proteggere, indipendentemente dalle ragioni in forza delle quali è acquisito, detenuto o trattato a cura di Rag. Malfara Sacchini Mario - Vibo Valentia 5 Novembre 2006 Possibile equivocità del termine “privacy” La traduzione letterale del termine “ privacy” potrebbe condurre a risultati errati circa la portata dell’obbligo di legge che vuole tutelare non solo i dati sensibili, bensì tutti i dati personali a cura di Rag. Malfara Sacchini Mario - Vibo Valentia 5 Novembre 2006 Cosa disciplina 1. 2. 3. Disposizioni generali (articoli da 1 a 45): fissano regole sostanziali della disciplina del trattamento dei dati personali, applicabili a tutti i tipi di trattamento; fissano regole specifiche che si devono osservare per i trattamenti effettuati. Disposizioni relative a specifici settori (articoli da 46 a 140) disciplina il trattamento dei dati in particolari ambiti (ambito giudiziario, forze di polizia, difesa e sicurezza dello stato, ambito pubblico, ambito sanitario, istruzione e trattamento per scopi storici,statistici e scientifici). Disposizioni relative alle azioni di tutela dell’interessato e al sistema sanzionatorio (articoli da 141 a 186). a cura di Rag. Malfara Sacchini Mario - Vibo Valentia 5 Novembre 2006 Chi lo deve applicare Tutti i soggetti pubblici e privati che conservino o trattino: “dati personali”: qualsiasi informazione che sia relativa a persone fisiche, giuridiche, enti od associazioni, identificati o identificabili anche indirettamente mediante il riferimento a qualsiasi altra informazione, compreso un numero di identificazione personale. “dati sensibili e/o giudiziari”: i dati personali idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti politici, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e le abitudini sessuali. I dati personali idonei a rivelare provvedimenti iscrivibili nel casellario giudiziale, o all’anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualità di soggetto imputato o indagato ai sensi degli articoli 60 e 61 del c.p.p. a cura di Rag. Malfara Sacchini Mario - Vibo Valentia 5 Novembre 2006 Principi generali - Diritto alla protezione dei dati personali (art. 1) - Finalità Rispetto dei diritti e delle libertà fondamentali, nonché della dignità dell’interessato, con riguardo alla riservatezza e alla garanzia di del diritto alla protezione dei dati personali - Principio di necessità nel trattamento dei dati (art. 3) - Diritto di accesso ai dati personali ed altri diritti (Titolo II articoli da 7 a 10) Obblighi del titolare del trattamento (riscontro all’interessato) - Obbligo d’informativa (art. 13) - Obblighi connessi alla cessazione del trattamento (art. 16) a cura di Rag. Malfara Sacchini Mario - Vibo Valentia 5 Novembre 2006 Definizioni L’art. 4 del Codice fornisce le definizioni dei seguenti termini: Trattamento Dato personale Dati identificativi Dati sensibili Dati giudiziari Titolare Responsabile Incaricati Interessato Comunicazione Diffusione Dato anonimo Blocco Banca di dati Garante segue a cura di Rag. Malfara Sacchini Mario - Vibo Valentia 5 Novembre 2006 Adempimenti riguardanti tutti i tipi di trattamenti Informazione del soggetto interessato Dati di natura comune Dati sensibili o giudiziari Acquisizione del consenso del soggetto interessato Dati di natura comune Dati di natura sensibile a cura di Rag. Malfara Sacchini Mario - Vibo Valentia 5 Novembre 2006 Casi di esclusione dall’obbligo di acquisizione del consenso L’obbligo di acquisizione del consenso viene meno quando: Il trattamento dati è necessario per adempiere ad un obbligo previsto dalla legge, da un regolamento o dalla normativa comunitaria Il trattamento è necessario per l’esecuzione di un contratto del quale è parte l’interessato o per adempiere a specifiche richieste dell’interessato riguardanti il contratto in essere. Il trattamento riguarda dati provenienti da pubblici registri, elenchi , atti o documenti conoscibili da chiunque, fermi restando i limiti e le modalità che le leggi e la normativa comunitaria stabiliscono per la conoscibilità dei dati. Il trattamento riguarda dati relativi allo svolgimento di attività economiche, trattatati nel rispetto della vigente normativa in materia di segreto aziendale o industriale. a cura di Rag. Malfara Sacchini Mario - Vibo Valentia 5 Novembre 2006 Trattamento di dati sensibili e giudiziari I dati sensibili o giudiziari possono essere trattati solo con il consenso dell’interessato e previa autorizzazione dell’autorità garante. Tale obbligo viene meno per i dati sensibili quando: Sono trattati per adempiere a specifici obblighi o compiti previsti dalla legge, da un regolamento o dalla normativa comunitaria, per la gestione dei rapporti di lavoro anche in materia di igiene e sicurezza L’esonero è previsto da specifiche autorizzazioni generali (vedi art. 40) a cura di Rag. Malfara Sacchini Mario - Vibo Valentia 5 Novembre 2006 L’informativa L’informativa deve essere resa all’interessato prima di poter procedere al trattamento dei dati personali (siano essi solo personali o di natura sensibile o giudiziaria). L’informativa può essere resa anche in forma orale (art. 13) Essa deve informare l’interessato circa: a) b) c) d) e) f) Le finalità e le modalità del trattamento cui sono destinati i dati La natura obbligatoria o facoltativa del conferimento dei dati Le conseguenze di un eventuale rifiuto di rispondere I soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza, in qualità di responsabili o incaricati, l’ambito di diffusione dei medesimi. L’ indicazione dei diritti dell’interessato richiamati all’articolo 7 Gli estremi identificativi del titolare, e dove designato, del responsabile, del rappresentante nel territorio dello stato Per i trattamenti iniziati prima dell’entrata in vigore del Codice si deve procedere ad integrazione dell’informativa rilasciata in precedenza, integrata con i/il nominativi/i dei/del responsabile. a cura di Rag. Malfara Sacchini Mario - Vibo Valentia 5 Novembre 2006 Adozione di misure minime di sicurezza per il trattamento dei dati. Il soppresso D.P.R. 318/1999 ha trovato accoglimento e ampliamento normativo all’interno delle disposizioni generali del codice. Il titolo V della parte I del codice è integralmente dedicato alla sicurezza dei dati e dei sistemi con cui si procede al trattamento. a cura di Rag. Malfara Sacchini Mario - Vibo Valentia 5 Novembre 2006 Le misure di sicurezza Il Codice impone la sicurezza dei sistemi di trattamento dati personali in base alle conoscenze acquisite e progresso tecnico, in modo da ridurre al minimo i rischi di distruzione o perdita anche accidentale, dei dati stessi, e prevenire l’accesso non autorizzato o il trattamento non consentito o non conforme alle finalità della raccolta. L’articolo 31 definisce quindi il principio generale di sicurezza applicabile sia ai dati personali che ai dati sensibili e giudiziari. a cura di Rag. Malfara Sacchini Mario - Vibo Valentia 5 Novembre 2006 Misure minime per trattamenti con strumenti elettronici. L’articolo 34 impone le seguenti misure minime per il trattamento di dati personali effettuato con strumenti elettronici: a) b) c) d) e) f) g) h) Autenticazione informatica Adozione di procedura di gestione delle credenziali di autenticazione Utilizzazione di un sistema di autorizzazione Aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o manutenzione dei sistemi elettronici Protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici. Adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi. Tenuta di un aggiornato documento programmatico sulla sicurezza Adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari L’adozione delle misure minime di sicurezza deve essere posta in essere entro il 31/12/2005 a cura di Rag. Malfara Sacchini Mario - Vibo Valentia 5 Novembre 2006 Misure minime per il trattamento senza ausilio di strumenti elettronici L’art. 35 dispone invece sulle misure minime da adottarsi per il trattamento di dati personali senza ausilio di strumenti elettronici. La prima misura prevede l’aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati o alle unità organizzative La seconda misura consiste nella previsione di procedure per un’idonea custodia di atti e documenti affidati agli incaricati per lo svolgimento dei relativi compiti. La terza misura consiste nella previsione di procedure di conservazione di determinati atti in archivi ad accesso selezionato e disciplina delle modalità di accesso, finalizzata all’identificazione degli incaricati. L’adozione delle misure minime di sicurezza deve essere posta in essere entro il 31/12/2005 a cura di Rag. Malfara Sacchini Mario - Vibo Valentia 5 Novembre 2006 Il disciplinare tecnico delle misure minime di sicurezza L’allegato B al Decreto legislativo, individua le misure tecniche relative alle misure minime di sicurezza che i titolari devono adottare. L’allegato B contrariamente alla definizione prevista dall’articolo 34 prevede l’obbligo di redazione del DPS è necessario per coloro che trattano dati sensibili e/o giudiziari con l’ausilio di strumenti elettronici. Il DPS deve essere redatto e aggiornato entro il 31 marzo di ogni anno.. Nella relazione al bilancio d’esercizio (o nella Nota Integrativa) gli amministratori devono riferire in merito alla redazione e/o all’aggiornamento del documento. a cura di Rag. Malfara Sacchini Mario - Vibo Valentia 5 Novembre 2006 Le sanzioni: violazioni amministrative Omessa o inidonea informativa all’interessato (art. 161): Dati personali Dati sensibili € 3.000/18.000 € 5.000/30.000 Cessione di dati in ad altro titolare in violazione dell’art. 16 lett.b) (art. 162) Sanzione € 5.000/30.000 Omessa o incompleta notificazione (art. 163) Sanzione € 10.000/60.000 Sanzione accessoria spese di pubblicazione ordinanza- ingiunzione in uno o più giornali. a cura di Rag. Malfara Sacchini Mario - Vibo Valentia 5 Novembre 2006 Altre sanzioni amministrative disciplinate Omessa informazione o esibizione di documenti al garante (art. 164) Sanzione € 4.000/24.000 Violazioni concernenti le comunicazioni dei dati personali sullo stato di salute (art. 162, c.2) Sanzione € 500/3.000 a cura di Rag. Malfara Sacchini Mario - Vibo Valentia 5 Novembre 2006 Le sanzioni: illeciti penali Delitti Trattamento illecito di dati (art. 167) VI rientra il trattamento dei dati senza consenso ove necessario Reclusione: 6/18 mesi; a 6/24 ove si procede ad illecita comunicazione o diffusione a terzi dei dati Falsità nelle dichiarazioni e notificazioni al Garante (art. 168) Reclusione: 6/36 mesi Inosservanza dei provvedimenti del Garante (art. 170) Reclusione: 3/24 mesi a cura di Rag. Malfara Sacchini Mario - Vibo Valentia 5 Novembre 2006 Sanzioni: illeciti penali Contravvenzioni Mancata adozione misure minime di sicurezza (art. 169) Arresto sino a 2 anni o Ammenda da € 10.000/50.000 Divieto d’indagine sulle opinioni dei lavoratori e Violazioni delle norme di controllo a distanza dei lavoratori Arresto da 15 giorni ad un anno Ammenda da € 154,94/1.549,37 a cura di Rag. Malfara Sacchini Mario - Vibo Valentia 5 Novembre 2006 Il risarcimento dei danni Il Codice disciplina due tipologie di risarcimento: Danno patrimoniale “Chiunque cagiona ad altri danni per effetto del trattamento di dati personali (art. 15, c.1) Applicabilità dell’art. 2050 del C.C.: il titolare deve quindi provare in caso di danni patrimoniali causati all’interessato di aver adottato tutte le misure idonee ad evitarlo. Danno non patrimoniale (art. 15, c.2) Può essere invocato il risarcimento del danno biologico di natura psichica, ove il titolare non provveda al trattamento in forma lecita dei dati, non provveda ad aggiornarli, li detenga oltre il termine superiore agli scopi per i quali sono raccolti. a cura di Rag. Malfara Sacchini Mario - Vibo Valentia 5 Novembre 2006 Dichiarazioni di conformità delle misure minime adottate. Il titolare che adotta misure minime di sicurezza avvalendosi di soggetti esterni alla propria struttura, per provvedere all’esecuzione, riceve dall’installare all’uopo incaricato una descrizione scritta dell’intervento effettuato che ne attesta la conformità alle disposizioni del disciplinare tecnico allegato B al D.Lgs. n. 196 (punto 25 allegato b). a cura di Rag. Malfara Sacchini Mario - Vibo Valentia 5 Novembre 2006