La privacy - Ordine psicologi Veneto

La privacy
e il trattamento dei dati personali
nell’ambito della professione di
psicologo
Barbara Rizzato
dottore commercialista
Le fonti normative
‰
La direttiva europea n. 95/46/CE
‰
La legge 675/1996
‰
Il D.Lgs. 196/2003 => codice sul trattamento dei dati personali
Perché un nuovo codice sulla
privacy?
Il D.Lgs. 196/2003 rappresenta una rielaborazione della vecchia
disciplina, atta ad accorpare fra loro le disposizioni normative
con quelle regolamentari, nel contempo integrando la materia con
gli interventi esplicativi del Garante e con gli indirizzi forniti
dalla giurisprudenza
Gli adempimenti posti in essere ai
sensi della Legge 675/1996
mantengono qualche validità ?
‰
‰
La legge 675/1996 è espressamente abrogata dall’entrata in
vigore del nuovo codice
Gli adempimenti posti in essere in vigenza della vecchia
normativa continuano ad esplicare la loro validità, ma necessitano
di essere integrati in funzione delle nuove previsioni normative
Preliminarmente: cosa si intende
per trattamento dei dati?
‰
‰
Il trattamento è qualsiasi operazione, svolta manualmente o in
modo automatizzato, concernente la raccolta, la registrazione,
l’organizzazione,
la
conservazione,
l’elaborazione,
la
modificazione, la selezione, l’estrazione, il raffronto, l’utilizzo,
l’interconnessione, il blocco, la comunicazione, la diffusione, la
cancellazione e la distruzione dei dati
Il trattamento deve essere:
- lecito
- finalizzato a scopi determinati, espliciti e legittimi
- relativo a dati esatti, aggiornati e non eccedenti lo scopo
Traccia di lavoro
1.
2.
3.
4.
5.
Le sanzioni
I dati
I soggetti
Gli adempimenti
I tempi per l’adeguamento
1. Le sanzioni
‰
‰
‰
irrogabili dal Garante:
amministrative (= di carattere pecuniario)
penali (= fattispecie di reato)
irrogabili dall’autorità giudiziaria:
civili (= risarcimento del danno patrimoniale e/o morale ex art.
2050 c.c.)
Esemplificazioni di sanzioni
amministrative
‰
‰
‰
‰
Omessa o incompleta informativa di dati sensibili:
ammenda da 5.000 a 30.000 euro (aumentabili fino al triplo)
Omessa esibizione al Garante di documentazione dallo stesso
richiesta nell’ambito dell’esercizio del potere ispettivo:
ammenda da 4.000 a 24.000 euro
Qualsiasi violazione (non meglio specificata) delle disposizioni sul
trattamento dei dati:
ammenda da 5.000 a 30.000 euro
Omessa adozione delle misure minime di sicurezza:
ammenda da 10.000 a 50.000 euro
Esemplificazioni di sanzioni
penali
‰
‰
‰
Violazione* delle norme sul consenso:
reclusione da 6 a 18 mesi
Violazione* delle norme relative al trattamento di dati sensibili:
reclusione da 1 a 3 anni
Omessa adozione delle misure minime di sicurezza:
reclusione fino a 2 anni
* Caratterizzata da dolo specifico e che crei un danno (patrimoniale o morale)
2. I dati
Dati personali
Dati identificativi
Dati sensibili
Dati anonimi
I dati personali
‰
Sono quei dati che consentono un’identificazione anche indiretta
del soggetto interessato
I dati identificativi
‰
‰
Sono i dati personali che consentono un’identificazione diretta
del soggetto interessato
Sono tali i dati anagrafici
I dati sensibili
‰
Sono i dati personali idonei a rivelare … lo stato di salute (ivi
compresa la sfera psichica) e la vita sessuale
I dati anonimi
‰
‰
Sono i dati (in origine) personali, che in un determinato momento
del loro utilizzo si trasformano in anonimi per il fatto di non
poter essere in alcun modo associabili ad un determinato
soggetto
Sono tali i dati raccolti nell’ambito di ricerche statistiche
3. I soggetti
a)
I soggetti tutelati
b)
I soggetti del trattamento
c)
Il soggetto del controllo
a) I soggetti tutelati
L’interessato
L’interessato al
al trattamento
trattamento dei
dei dati
dati
ovvero:
- il paziente
- l’utente
- il soggetto nei confronti del quale è resa la prestazione
professionale (persona fisica o giuridica, ente o associazione)
b) I soggetti del trattamento
Titolare
Titolare
Responsabile
Responsabile
(facoltativo)
(facoltativo)
Incaricato
Incaricato
Incaricato
Incaricato
Incaricato
Incaricato
Il titolare
‰
‰
‰
È il soggetto (persona fisica, giuridica, pubblica amministrazione
o qualsiasi altro ente) cui competono le decisioni in ordine alle
finalità e alle modalità del trattamento dei dati
Nell’ambito di un organismo complesso (asl, cooperative, enti) la
titolarità non può mai essere individuata in una persona fisica,
quest’ultima potrà – semmai – assumere il ruolo di responsabile
L’esistenza di un responsabile non esonera comunque il titolare
dall’applicazione di sanzioni
Il responsabile
‰
‰
‰
‰
È il soggetto (persona fisica o giuridica) preposto dal titolare al
trattamento dei dati
Non si tratta di un mero esecutore delle indicazioni fornitegli dal
titolare, queste saranno infatti integrate da un punto di vista
pratico e tecnico dal responsabile stesso
Si tratta di una figura facoltativa, eventualmente anche esterna
alla struttura organizzativa del titolare
Qualora nominato, deve obbligatoriamente essere un soggetto
che, per esperienza, capacità ed affidabilità, fornisca idonea
garanzia del pieno rispetto delle disposizioni vigenti in materia di
trattamento dei dati
Gli incaricati
‰
‰
‰
Sono i soggetti (persone fisiche) autorizzati dal titolare o dal
responsabile a compiere specifiche operazioni di trattamento dei
dati
La legge impone al titolare di verificare ed aggiornare
annualmente l’ambito di trattamento dei soggetti incaricati
Operano sotto il controllo del titolare e/o del responsabile
I SOGGETTI DEL TRATTAMENTO
Esemplificazioni pratiche
In uno studio professionale
Titolare:
professionista, o
associazione professionale
Responsabile:
persona fisica o
giuridica nominata
ad hoc
Incaricati:
dipendenti,
collaboratori,
commercialisti,
consulenti del lavoro, etc..
In un ente, associazione,
ASL, cooperativa, ONLUS
Titolare:
ente
Responsabile:
persona fisica o
giuridica nominata
ad hoc
Incaricati:
dipendenti,
collaboratori,
commercialisti,
consulenti del lavoro, etc..
Quali sono i soggetti sanzionabili
nelle due fattispecie?
1.
2.
Il professionista e il responsabile (se designato), anche per le
inadempienze degli incaricati
***
L’ente nel suo complesso e il responsabile (se designato), anche
per le inadempienze degli incaricati
per la seconda fattispecie, si osservi:
„
„
.
Sanzioni amministrative: a carico dell’ente
Sanzioni penali: non applicabili all’ente (in quanto persona
giuridica), ma alle persone fisiche che all’interno dell’ente
ricoprono ruoli decisionali
Gli incaricati saranno mai
sanzionabili?
„
„
„
„
Le sanzioni amministrative
direttamente agli incaricati
non
saranno
mai
applicabili
Le sanzioni penali saranno tutt’al più applicabili agli incaricati in
ragione di una condotta criminosa degli stessi che non poteva
essere impedita dal titolare o dal responsabile
Le sanzioni civili saranno applicabili agli incaricati in tutti i casi di
grave negligenza, imprudenza, imperizia, nonché violazione del
segreto professionale
=> in capo agli incaricati si può profilare una responsabilità per
fatto proprio, mai per fatto altrui!
c) Il soggetto di controllo
Il
Il Garante
Garante
Organo collegiale composto da 4 membri nominati dal Parlamento
„
„
„
„
„
„
Compiti:
controlla che i trattamenti siano effettuati nel rispetto della
legge (agendo su istanza di parte o d’ufficio) => POTERE ISPETTIVO
decide su ricorsi, segnalazioni e reclami degli interessati al
trattamento
tiene il registro delle notificazioni (e delle comunicazioni
obbligatorie)
rilascia le autorizzazioni generali e quelle individuali
promuove l’informazione sulla materia (sito internet e
bollettino)
offre pareri consulenziali
Potere ispettivo
(art. 158)
„
„
Esercitato da:
l’Ufficio del Garante, direttamente tramite il proprio personale,
o attraverso la collaborazione della Guardia di Finanza
Preventivamente:
a) per l’accesso a luoghi privati:
assenso del titolare o del responsabile; in assenza autorizzazione
del Tribunale
b) per l’accesso a luoghi di lavoro e banche dati:
comunicazione al titolare o al responsabile o, in loro assenza, agli
incaricati
„
Modalità di esercizio del potere ispettivo e di accertamento:
- il personale
riconoscimento
verificatore
deve
esibire
documento
di
- l’accesso deve avvenire tra le ore 7 e le ore 20
- possono essere estratte copie di atti, dati, documenti
- al termine dell’ispezione deve essere redatto un verbale
riportante i risultati dell’ispezione e le eventuali dichiarazioni dei
presenti
- rilevate eventuali violazioni, il Garante indica al titolare o al
responsabile le misure modificative o integrative da adottare e
ne verifica l’adozione
4. Gli adempimenti
(cui è tenuto il titolare)
a) PER IL TRATTAMENTO DI DATI PERSONALI
1.
OBBLIGHI VERSO IL GARANTE
‰
NESSUNO
2.
ORGANIZZAZIONE DEI TRATTAMENTI
‰
‰
‰
3.
‰
‰
INDIVIDUAZIONE DELLE FIGURE PREPOSTE AL TRATTAMENTO E LORO NOMINA
(RESPONSABILE ED INCARICATI)
VIGILANZA E FORMAZIONE DEL RESPONSABILE E DEGLI INCARICATI
ADOZIONE DELLE MISURE MINIME DI SICUREZZA
OBBLIGHI VERSO L’INTERESSATO
INFORMATIVA
CONSENSO ESPRESSO
4. Gli adempimenti (cui è tenuto il titolare)
b) PER IL TRATTAMENTO DI DATI SENSIBILI
1.
OBBLIGHI VERSO IL GARANTE
‰
NOTIFICAZIONE O COMUNICAZIONE PREVENTIVA
RICHIESTA DI AUTORIZZAZIONE
2.
ORGANIZZAZIONE DEI TRATTAMENTI
‰
‰
INDIVIDUAZIONE DELLE FIGURE PREPOSTE AL TRATTAMENTO E LORO NOMINA
(RESPONSABILE ED INCARICATI)
VIGILANZA E FORMAZIONE DEL RESPONSABILE E DEGLI INCARICATI
ADOZIONE DELLE MISURE MINIME DI SICUREZZA (FRA CUI: DPS)
3.
OBBLIGHI VERSO L’INTERESSATO
‰
‰
‰
‰
INFORMATIVA
CONSENSO ESPRESSO PER ISCRITTO
GLI ADEMPIMENTI 1. obblighi verso il garante
La notificazione del trattamento
(art. 37 e 38)
„
„
„
„
è obbligatoria solo se:
I dati sensibili sono inseriti in banche dati accessibili a terzi per
via telematica
I dati sensibili sono trattati da associazioni senza scopo di lucro
a carattere politico, sindacale, filosofico o religioso (restano
escluse le cooperative sociali)
I dati sensibili sono trattati da agenzie di ricerca e selezione del
personale per conto terzi
I dati sensibili sono trattati per la definizione di profili tipo
mediante strumenti elettronici (indagini di mercato)
GLI ADEMPIMENTI 1. obblighi verso il garante
La comunicazione
(art. 39)
è obbligatoria solo se:
„
„
I dati sensibili sono comunicati da ente pubblico ad altro ente
pubblico (sempre che ciò non sia imposto dalla legge)
I dati sensibili sono trattati nell’ambito dell’attività di ricerca
medica
***
„
Il trattamento oggetto della comunicazione può essere iniziato
decorsi 45 giorni dal ricevimento della stessa da parte del
Garante
GLI ADEMPIMENTI 1. obblighi verso il garante
L’autorizzazione del Garante
(art. 40 e 41)
‰
‰
‰
‰
È sempre obbligatoria nel caso di trattamento di dati sensibili
Esistono le autorizzazioni generali collettive (che hanno validità
per 1 anno, salvo proroga e/o aggiornamento)
Le categorie di titolari del trattamento cui sono rivolte le
autorizzazioni generali collettive, sono esonerate dal presentare
apposita richiesta di autorizzazione al Garante (purché il
trattamento sia conforme alle prescrizioni contenute
nell’autorizzazione generale collettiva)
Il Garante risponde entro 45 giorni, decorsi i quali il silenzio
equivale a rigetto
GLI ADEMPIMENTI 1. obblighi verso il garante
Autorizzazioni n.2/2004 e
n.3/2004
Autorizzazione n.2/2004 del 30.06.04:
- si tratta dell’autorizzazione generale collettiva rivolta a chi
tratta dati idonei a rivelare lo stato di salute e la vita sessuale,
ovvero: tutti gli esercenti professioni socio-sanitarie, tanto
liberi professionisti (ivi compresi gli psicologi), quanto enti
genericamente intesi (asl, case di cura, istituti di recupero,
associazioni di volontariato, comunità, ecc…)
‰
Autorizzazione n.3/2004 del 30.06.04:
- si tratta dell’autorizzazione generale collettiva rivolta agli
organismi di tipo associativo e alle fondazioni che trattano dati
sensibili ovvero: fondazioni, ONLUS, cooperative sociali, ecc…
‰
GLI ADEMPIMENTI 1. obblighi verso il garante
La notificazione, la comunicazione
e la richiesta di autorizzazione:
A chi si fanno? Come si fanno?
Quando si fanno?
‰
al Garante
‰
per la notificazione: esclusivamente tramite via telematica
per la comunicazione e per la richiesta di autorizzazione: tramite
via telematica, o a mezzo fax o lettera raccomandata
‰
prima di iniziare il trattamento
‰
GLI ADEMPIMENTI 2. organizzazione dei trattamenti
La nomina del responsabile e degli
incaricati
„
„
a) nomina del responsabile:
- fatta per iscritto, deve contenere le istruzioni relative al
trattamento affidatogli
- deve comunque garantire un certo grado di autonomia al
responsabile atteso che questi condivide con il titolare le
responsabilità connesse al trattamento
- il soggetto designato deve manifestare l’accettazione della
nomina mediante sottoscrizione della stessa
b) nomina degli incaricati:
- fatta per iscritto, deve contenere la puntuale definizione
dell’ambito entro cui il soggetto è legittimato a trattare i dati
FAC-SIMILE
NOMINA DEL RESPONSABILE DEL TRATTAMENTO
ART. 29 del codice sul trattamento dei dati personali
Il sottoscritto
in qualità di “titolare del trattamento dei dati pesonali” gestiti
nell’ambito della propria attività, dello studio .............................con sede in…………………………………..
NOMINA
Il/La Sig./Sig.ra……………………………………..nato/a a…………………………..il………………………………………e residente in………………………………Via………………………………, n..
QUALE RESPONSABILE AL TRATTAMENTO DEI DATI PERSONALI
In relazione ai seguenti
trattamenti……………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………
…………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………..
1)
2)
3)
4)
nello svolgimento dell’incarico Lei avrà accesso a tutti i dati dei pazienti di cui il titolare sia venuto in possesso;
nell’ambito di tali dati dovrà adottare tutte le misure delle quali si renda necessaria l’adozione al fine di tutelare i dati del trattamento;
dovrà procedere all’individuazione e alla nomina degli incaricati al trattamento;
dovrà verificare e aggiornare costantemente l’attività degli incaricati dello studio, nonché provvedere alla formazione degli stessi in materia di
privacy;
5) nello svolgimento delle Sue funzioni dovrà comunque sempre attenersi alle istruzioni del titolare avendo cura di rispettare le disposizioni del codice
sul trattamento dei dati personali e del disciplinare tecnico ad esso allegato;
6) dovrà garantire il rispetto della normativa in materia di privacy anche sotto il profilo delle misure di sicurezza;
7) dovrà eseguire controlli periodici, con cadenza almeno annuale, per verificare la rispondenza e l’efficacia delle misure intraprese rispetto a quelle
dovute;
8) per l’attività di cui sopra è pattuito/non è pattuito un compenso annuo pari a €…………
Con la sottoscrizione della presente dichiara di aver ricevuto la seguente documentazione:
a) Copia della informativa e richiesta di consenso che lo studio sottopone ai pazienti;
b)……………………………………………………………;
……………………..li……………………..
Per accettazione e ricevuta
Il responsabile del trattamento
Il titolare del trattamento
FAC - SIMILE
NOMINA DELL’INCARICATO
ART. 30 del Codice sul trattamento dei dati personali
Il sottoscritto dott.
pazienti dello studio medesimo
sito in Via
in qualità di titolare del trattamento dei dati dei
IL Sig....................................................
Nato a…..................................................
INCARICA
AL TRATTAMENTO DEI DATI PERSONALI
Nell’ambito delle funzioni di
che è chiamato a svolgere.
A tal fine vengono fornite informazioni ed istruzioni per l’assolvimento del compito assegnato.
I dati personali oggetto dell’incarico debbono essere trattati in modo:
A) lecito e secondo correttezza;
B) raccolti e registrati per le sole finalità terapeutiche svolte dallo studio;
C) si dovrà costantemente controllarne l’ esattezza e qualora necessario provvedere all’aggiornamento dei dati posseduti;
D) la raccolta dei dati dovrà essere pertinente, completa e non eccedente rispetto alle finalità per le quali sono raccolti;
Nello svolgimento delle Sue funzioni dovrà costantemente garantire la massima riservatezza dei dati trattati evitando qualunque
divulgazione, comunicazione e/o diffusione, degli stessi senza il consenso del titolare e/o del responsabile.
E’ fatto divieto assoluto di procedere alla loro produzione e/o riproduzione al di fuori dello studio.
E’ richiesta la massima cura nel trattamento dei dati anche all’interno dello studio in modo tale da non renderli accessibili a terzi non
incaricati, assicurandosi che il contenuto non sia accessibile ad estranei.
Gli obblighi assunti dall’incaricato in tema di riservatezza dei dati personali dovranno essere osservati anche in seguito alla cessazione
del rapporto di lavoro in essere.
Nell’ambito dell’incarico assegnatoLe di……………………………………………..Le viene conferito l’incarico di compiere le operazioni di trattamento
dei dati sotto elencate, avendo cura di rispettare le avvertenze sopra citate e delle istruzioni in materia fornitegli dal Titolare:
1) nello svolgimento dell’incarico Lei avrà accesso ai soli dati personali di identificazione dei pazienti,
2) nell’ambito di tali dati dovrà raccogliere, organizzare, registrare e conservare i dati personali dei clienti dello studio, l’attività sarà
svolta sia attraverso cartelle cartacee sia attraverso l’ausilio di supporti informatici, l’accesso ai quali dovrà essere riservato in modo
che le proprie credenziali di autenticazione (username e password) non vengano comunicate a nessun altro.
…………………………li……………………
Il titolare del trattamento dei dati
………………………………………………………………
GLI ADEMPIMENTI 2. organizzazione dei trattamenti
Vigilanza e formazione del
responsabile e degli incaricati
„
„
L’obbligo di vigilanza sull’operato degli incaricati è condiviso da
titolare e responsabile ed incide in maniera significativa sulla
portata della loro responsabilità sotto il profilo sanzionatorio
Corsi formativi sia sulle misure di sicurezza stabilite, sia sulle
istruzioni da seguire per le operazioni di trattamento
GLI ADEMPIMENTI 2. organizzazione dei trattamenti
Le misure di sicurezza
(art. 31, 33, 34, 35)
„
„
a)
b)
Si tratta del complesso di misure tecniche, organizzative,
logistiche e procedurali che consentono di ridurre al minimo i
rischi di perdita o di distruzione anche accidentale dei dati, di
accesso non autorizzato, di trattamento illecito
L’adozione di tali misure è necessaria indipendentemente:
dalla tipologia dei dati trattati (personali o sensibili)
dal tipo di supporto su cui sono registrati (cartaceo o informatico)
Misure di sicurezza
≠
Misure minime di sicurezza
„
„
L’obbligo di adottare delle adeguate misure di sicurezza è
previsto direttamente dal D.Lgs 196/2003
Nell’ambito delle misure di sicurezza, esistono delle misure
minime, queste sono illustrate nel disciplinare tecnico (allegato B
del codice) avente natura regolamentare e soggetto a periodica
manutenzione
Misure di sicurezza
di cui al D.Lgs 196/2003
Misure minime
di cui al disciplinare tecnico
DPS
Sotto il profilo sanzionatorio, la mancata adozione:
• di misure di sicurezza adeguate
⇒responsabilità civile ex art. 2050 c.c.
• delle misure minime di sicurezza
⇒sanzioni amministrative e penali + responsabilità civile
GLI ADEMPIMENTI 2. organizzazione dei trattamenti
Il documento programmatico sulla
sicurezza (DPS)
„
„
„
„
Si tratta di un piano di gestione dei rischi connessi al
trattamento (da aggiornare entro il 31 marzo di ogni anno)
Si tratta di una delle misure minime di sicurezza prevista
direttamente dall’art. 34 del codice, il quale a sua volta rinvia al
disciplinare tecnico quanto alle modalità di redazione dello
stesso DPS
Obbligatorio solo per il trattamento con strumenti elettronici
Obbligatorio solo per il trattamento di dati sensibili (?!)
=> un’aporia nel sistema !!
Il ravvedimento
(art. 169)
Contestazione
Contestazionealaltrasgressore
trasgressoredell’omessa
dell’omessa
adozione
adozionedelle
dellemisure
misureminime
minimedi
disicurezza
sicurezza
Possibilità
Possibilitàdi
diadeguarsi
adeguarsialle
alleprescrizioni
prescrizioniimpartire
impartiredal
dal
Garante
Garantenell’atto
nell’attodi
diaccertamento
accertamento
++
Pagamento
Pagamentoridotto
ridottodella
dellasanzione
sanzione(1/4
(1/4del
delmassimo)
massimo)
Estinzione
Estinzionedel
delreato
reato
GLI ADEMPIMENTI
3. obblighi verso l’interessato
L’informativa
(art. 13)
„
È sempre obbligatoria
„
Può essere fornita oralmente (ma è meglio fornirla per iscritto)
„
„
Deve indicare:
- chi tratterà i dati, a che scopo e con che metodo
- l’obbligatorietà o meno di rilasciare i dati e le conseguenze per
il mancato rilascio
- i diritti spettanti all’interessato
Attenzione: un consenso non informato non ha validità!
GLI ADEMPIMENTI
3. obblighi verso l’interessato
Il consenso
(art. 23)
‰
È sempre obbligatorio, salvo per:
- i trattamenti necessari per adempiere un obbligo previsto per
legge
- i trattamenti ad opera di enti, associazioni ed ONLUS
(esclusivamente: a) per il perseguimento degli scopi leciti indicati nell’atto
costitutivo e nello statuto, b) limitatamente ai dati degli aderenti, c) sempre che
i dati non siano comunicati all’esterno)
- i dati relativi ai dipendenti per attività connesse al rapporto di
lavoro
‰
‰
Nel caso di trattamento di dati sensibili, deve essere fornito per
iscritto direttamente dall’interessato (mediante l’apposizione
della firma)
Il consenso per le persone incapaci e per i minori è reso da chi ne
esercita legalmente la potestà
FAC-SIMILE
Spett.le/Egr./Gentile
………………………………………..
Gentile cliente,
In qualità di “Interessato” in relazione ai dati personali di cui lo studio……………………………………….. entrerà in possesso ai sensi
dell’art. 13 D.Lgs. n. 196 del 30 giugno 2003 (di seguito codice) la informiamo di quanto segue:
Informativa per il cliente ai sensi dell’articolo 13 Testo Unico in materia di protezione dei dati personali (D.Lgs. n.196 del 30.06.03
entrato in vigore il 01.01.04).
ƒ Il trattamento[1] dei dati personali è finalizzato esclusivamente allo svolgimento delle prestazioni professionali richieste;
ƒ tali dati saranno inseriti in un archivio informatico/cartaceo;
ƒil conferimento da parte del cliente dei propri dati personali è facoltativo;
ƒ tuttavia un eventuale rifiuto da parte dell’interessato non consentirebbe l’instaurarsi del rapporto professionale;
ƒ il titolare[2] del trattamento è:
Studio………………………………..
con domicilio fiscale in…………………. – Via…………………………..
ƒ il responsabile[3]del trattamento è:………………………………..
La dott.ssa
ƒcon domicilio fiscale in ……………………………………
ƒ gli incaricati del trattamento sono:
le persone fisiche autorizzate a compiere operazioni di trattamento dal titolare o dal responsabile (collaboratori, praticanti, dipendenti).
ƒi dati saranno trattati in base alle disposizioni di legge e in modo da garantirne la riservatezza;
ƒ i dati saranno trattati in modo da escludere il rischio di accesso da parte di soggetti non autorizzati e il rischio di distruzione o perdita
anche accidentale degli stessi;
ƒi diritti della persona che conferisce i propri dati sono quelli previsti dall’art.7 del Codice in materia di protezione dei dati personali (D.
Lgs. n.196 del 30.06.2003 entrato in vigore il 01.01.2004).
[1] Per trattamento si intende qualunque operazione concernente la raccolta, la registrazione, l’organizzazione, la conservazione,
l’elaborazione, la modificazione, la selezione, l’estrazione, il raffronto, l’utilizzo, il blocco, la comunicazione, la diffusione, la cancellazione e
la
distruzione
di
dati
anche
se
non
registrati
in
una
banca
dati.
[2] Il titolare è il soggetto cui competono le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti
utilizzati, ivi compreso il profilo della sicurezza (nel caso di specie lo studio dello Psicologo cui si rivolge l’interessato).
[3] Il responsabile è il soggetto preposto dal titolare al trattamento di dati personali.
Per completezza si riporta di seguito l’art. 7 del Codice in materia di protezione dei dati personali.
Titolo II
DIRITTI DELL’INTERESSATO
Art. 7
(Diritto di accesso ai dati personali ed altri diritti)
a1. L'interessato ha diritto di ottenere la conferma dell'esistenza o meno di dati personali che lo riguardano, anche se non ancora registrati, e la
loro comunicazione in forma intelligibile.
2. L’interessato ha diritto di ottenere l’indicazione:
a) dell’origine dei dati personali;
b) delle finalità e modalità del trattamento;
c) della logica applicata in caso di trattamento effettuato con l’ausilio di strumenti elettronici;
d) degli estremi identificativi del titolare, dei responsabili e del rappresentante designato ai sensi dell’articolo 5, comma 2;
e) dei soggetti o delle categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di
rappresentante designato nel territorio dello Stato, di responsabili o incaricati.
3. L’interessato ha diritto di ottenere:
a) l'aggiornamento, la rettificazione ovvero, quando vi ha interesse, l'integrazione dei dati;
b) la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge, compresi quelli di cui non è necessaria la
conservazione in relazione agli scopi per i quali i dati sono stati raccolti o successivamente trattati;
c) l'attestazione che le operazioni di cui alle lettere a) e b) sono state portate a conoscenza, anche per quanto riguarda il loro contenuto, di coloro
ai quali i dati sono stati comunicati o diffusi, eccettuato il caso in cui tale adempimento si rivela impossibile o comporta un impiego di mezzi
manifestamente sproporzionato rispetto al diritto tutelato.
4. L’interessato ha diritto di opporsi, in tutto o in parte:
a) per motivi legittimi al trattamento dei dati personali che lo riguardano, ancorché pertinenti allo scopo della raccolta;
b) al trattamento di dati personali che lo riguardano a fini di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di
mercato o di comunicazione commerciale.
***
I diritti di cui all’articolo sopra citato sono esercitati con richiesta rivolta senza formalità al titolare o al responsabile, anche per il tramite
di un incaricato, alla quale è fornito idoneo riscontro senza ritardo.
La richiesta rivolta al titolare o al responsabile può essere trasmessa anche mediante lettera raccomandata, telefax o posta elettronica.
Nell'esercizio dei diritti di cui all'articolo 7 sopra citato l'interessato può conferire, per iscritto, delega o procura a persone fisiche, enti,
associazioni od organismi. L'interessato può, altresì, farsi assistere da una persona di fiducia.
………………………, li ……………………………………
Per ricevuta informazione
CONSENSO
Ricevute le informazioni di cui sopra dichiaro di autorizzare lo studio
al trattamento dei miei dati personali
identificativi ivi compresi quelli definiti dal codice come “sensibili” ai fini dell’espletamento delle prestazioni di cui all’informativa.
………………………..li………………………………
L’interessato
ed
GLI ADEMPIMENTI
3. obblighi verso l’interessato
Diritti dell’interessato
(art. 7)
„
L’obbligo dell’informativa si interfaccia con il diritto
dell’interessato ad avanzare istanze al titolare finalizzate a:
-
„
conoscere i dati a lui relativi oggetto di trattamento
conoscere i soggetti che effettuano il trattamento
rettificare i dati
cancellare i dati
ordinare il blocco dei dati o la trasformazione in forma anonima
Il titolare deve rispondere in modo chiaro e tempestivo entro 15
giorni
GLI ADEMPIMENTI
Esemplificazioni pratiche
In uno studio professionale
¾
Autorizzazione generale collettiva n. 2/2004
In una ONLUS
¾
Autorizzazione generale collettiva n. 2/2004
¾
Autorizzazione generale collettiva n. 3/2004
¾
Notificazione
=> solo se la ONLUS ha carattere religioso
Adozione misure minime di sicurezza
(fra cui DPS se dovuto)
Adozione misure minime di sicurezza
(fra cui DPS, se dovuto)
¾
¾
Nomina degli incaricati (e del responsabile)
¾
Nomina degli incaricati (e del responsabile)
¾
Informativa
¾
Informativa
¾
Consenso espresso per iscritto
¾
GLI ADEMPIMENTI
Esemplificazioni pratiche
In una cooperativa sociale
¾
Autorizzazione generale collettiva n. 2/2004
¾
Autorizzazione generale collettiva n. 3/2004
¾
Adozione misure minime di sicurezza
(fra cui DPS, se dovuto)
In una ASL
¾
¾
Autorizzazione generale collettiva n. 2/2004
Adozione misure minime di sicurezza
(fra cui DPS, se dovuto)
¾
Nomina degli incaricati (e del responsabile)
¾
Nomina degli incaricati (e del responsabile)
¾
Informativa
¾
Informativa (anche in forma semplificata)
¾
Consenso espresso per iscritto
¾
Consenso espresso per iscritto
5. I tempi per l’adeguamento
„
„
„
Il D.L. 266/2004 ha prorogato al 30/06/2005 il termine ultimo
solo per l’adozione delle misure minime di sicurezza di cui al
disciplinare tecnico
Attenzione: tutti gli altri adempimenti devono essere già stati
assunti !!
E’ stato altresì conseguentemente prorogato al 30/09/2005 il termine per
l’adozione delle misure minime di sicurezza nei casi in cui oggettivi impedimenti
(per lo più dovuti ad obsolescenza tecnologica degli strumenti elettronici) abbiano
reso impossibile la tempestiva adozione delle misure minime di sicurezza
Tali impedimenti devono essere descritti, a cura del titolare, in un documento a
data certa da custodire presso la propria struttura