...

Il Codice della Privacy Sintesi normativa e cenni applicativi

by user

on
Category: Documents
19

views

Report

Comments

Transcript

Il Codice della Privacy Sintesi normativa e cenni applicativi
Il Codice della Privacy
Sintesi normativa e cenni
applicativi
a cura di Malfarà Sacchini Mario
Ragioniere commercialista in Vibo Valentia
a cura di Rag. Malfara Sacchini Mario
- Vibo Valentia 5 Novembre 2006
La normativa
 D.Lgs n. 196 del 30/06/2003 Codice in
materia di protezione dei dati personali.
(pubblicato in G.U. il 29/07/2003)
 Entrata in vigore 1° gennaio 2004.
 Dall’entrata in vigore sono abrogate le
disposizioni della L. 31/12/1996 n. 675 e
quelle del D.P.R. 28/07/1999 n. 318.
 Le disposizioni abrogate sono indicate
all’articolo 183 del Decreto Legislativo n.
196.
a cura di Rag. Malfara Sacchini Mario
- Vibo Valentia 5 Novembre 2006
Significato della privacy
Le parole d’ordine della normativa sono:
CONTROLLO SUL
PROCESSO DI
ACQUISIZIONE,
GESTIONE ED
ELIMINAZIONE DEI
DATI PERSONALI
CUSTODIA DEI DATI
PERSONALI E
DEFINIZIONE DELLE
MISURE DI SICUREZZA
CON LA PRESCRIZIONE
DI UN LIVELLO MINIMO DI
SICUREZZA
a cura di Rag. Malfara Sacchini Mario
- Vibo Valentia 5 Novembre 2006
Significato della privacy
È un termine di origine inglese
traducibile come “ diritto alla
riservatezza ” che rimanda alla
dignità dell'interessato, con
particolare riferimento alla
riservatezza, all'identità personale
e al diritto alla protezione dei dati
personali
a cura di Rag. Malfara Sacchini Mario
- Vibo Valentia 5 Novembre 2006
Significato della privacy
ASSIOMA DELLA NORMATIVA
Nell’era dell’informatizzazione diffusa, il dato assurge
al rango di bene personale da proteggere,
indipendentemente dalle ragioni in forza delle quali è
acquisito, detenuto o trattato
a cura di Rag. Malfara Sacchini Mario
- Vibo Valentia 5 Novembre 2006
Possibile equivocità del
termine “privacy”
La traduzione letterale del termine “ privacy”
potrebbe condurre a risultati errati circa la
portata dell’obbligo di legge che vuole tutelare
non solo i dati sensibili, bensì tutti i dati
personali
a cura di Rag. Malfara Sacchini Mario
- Vibo Valentia 5 Novembre 2006
Cosa disciplina
1.
2.
3.
Disposizioni generali (articoli da 1 a 45):
fissano regole sostanziali della disciplina del trattamento dei
dati personali, applicabili a tutti i tipi di trattamento;
fissano regole specifiche che si devono osservare per i
trattamenti effettuati.
Disposizioni relative a specifici settori (articoli da 46 a 140)
disciplina il trattamento dei dati in particolari ambiti (ambito
giudiziario, forze di polizia, difesa e sicurezza dello stato,
ambito pubblico, ambito sanitario, istruzione e trattamento per
scopi storici,statistici e scientifici).
Disposizioni relative alle azioni di tutela dell’interessato e
al sistema sanzionatorio (articoli da 141 a 186).
a cura di Rag. Malfara Sacchini Mario
- Vibo Valentia 5 Novembre 2006
Chi lo deve applicare
 Tutti i soggetti pubblici e privati che conservino o trattino:
 “dati personali”: qualsiasi informazione che sia relativa a
persone fisiche, giuridiche, enti od associazioni, identificati o
identificabili anche indirettamente mediante il riferimento a
qualsiasi altra informazione, compreso un numero di
identificazione personale.
 “dati sensibili e/o giudiziari”: i dati personali idonei a rivelare
l’origine razziale ed etnica, le convinzioni religiose, filosofiche o
di altro genere, le opinioni politiche, l’adesione a partiti politici,
sindacati, associazioni od organizzazioni a carattere religioso,
filosofico, politico o sindacale, nonché i dati personali idonei a
rivelare lo stato di salute e le abitudini sessuali. I dati personali
idonei a rivelare provvedimenti iscrivibili nel casellario giudiziale,
o all’anagrafe delle sanzioni amministrative dipendenti da reato
e dei relativi carichi pendenti, o la qualità di soggetto imputato o
indagato ai sensi degli articoli 60 e 61 del c.p.p.
a cura di Rag. Malfara Sacchini Mario
- Vibo Valentia 5 Novembre 2006
Principi generali
 - Diritto alla protezione dei dati personali (art. 1)
 - Finalità
Rispetto dei diritti e delle libertà fondamentali, nonché
della dignità dell’interessato, con riguardo alla riservatezza
e alla garanzia di del diritto alla protezione dei dati personali
 - Principio di necessità nel trattamento dei dati
(art. 3)
 - Diritto di accesso ai dati personali ed altri diritti
(Titolo II articoli da 7 a 10)
Obblighi del titolare del trattamento (riscontro all’interessato)
 - Obbligo d’informativa (art. 13)
 - Obblighi connessi alla cessazione del
trattamento (art. 16)
a cura di Rag. Malfara Sacchini Mario
- Vibo Valentia 5 Novembre 2006
Definizioni

L’art. 4 del Codice fornisce le definizioni dei seguenti termini:















Trattamento
Dato personale
Dati identificativi
Dati sensibili
Dati giudiziari
Titolare
Responsabile
Incaricati
Interessato
Comunicazione
Diffusione
Dato anonimo
Blocco
Banca di dati
Garante
segue
a cura di Rag. Malfara Sacchini Mario
- Vibo Valentia 5 Novembre 2006
Adempimenti riguardanti tutti i tipi di
trattamenti
 Informazione del soggetto interessato


Dati di natura comune
Dati sensibili o giudiziari
 Acquisizione del consenso del soggetto
interessato


Dati di natura comune
Dati di natura sensibile
a cura di Rag. Malfara Sacchini Mario
- Vibo Valentia 5 Novembre 2006
Casi di esclusione dall’obbligo di
acquisizione del consenso
 L’obbligo di acquisizione del consenso viene meno quando:




Il trattamento dati è necessario per adempiere ad un obbligo
previsto dalla legge, da un regolamento o dalla normativa
comunitaria
Il trattamento è necessario per l’esecuzione di un contratto
del quale è parte l’interessato o per adempiere a specifiche
richieste dell’interessato riguardanti il contratto in essere.
Il trattamento riguarda dati provenienti da pubblici registri,
elenchi , atti o documenti conoscibili da chiunque, fermi
restando i limiti e le modalità che le leggi e la normativa
comunitaria stabiliscono per la conoscibilità dei dati.
Il trattamento riguarda dati relativi allo svolgimento di attività
economiche, trattatati nel rispetto della vigente normativa in
materia di segreto aziendale o industriale.
a cura di Rag. Malfara Sacchini Mario
- Vibo Valentia 5 Novembre 2006
Trattamento di dati sensibili e
giudiziari
 I dati sensibili o giudiziari possono essere trattati solo
con il consenso dell’interessato e previa
autorizzazione dell’autorità garante.
 Tale obbligo viene meno per i dati sensibili quando:


Sono trattati per adempiere a specifici obblighi o
compiti previsti dalla legge, da un regolamento o dalla
normativa comunitaria, per la gestione dei rapporti di
lavoro anche in materia di igiene e sicurezza
L’esonero è previsto da specifiche autorizzazioni
generali (vedi art. 40)
a cura di Rag. Malfara Sacchini Mario
- Vibo Valentia 5 Novembre 2006
L’informativa



L’informativa deve essere resa all’interessato prima di poter
procedere al trattamento dei dati personali (siano essi solo personali
o di natura sensibile o giudiziaria).
L’informativa può essere resa anche in forma orale (art. 13)
Essa deve informare l’interessato circa:
a)
b)
c)
d)
e)
f)

Le finalità e le modalità del trattamento cui sono destinati i dati
La natura obbligatoria o facoltativa del conferimento dei dati
Le conseguenze di un eventuale rifiuto di rispondere
I soggetti o le categorie di soggetti ai quali i dati personali possono
essere comunicati o che possono venirne a conoscenza, in qualità di
responsabili o incaricati, l’ambito di diffusione dei medesimi.
L’ indicazione dei diritti dell’interessato richiamati all’articolo 7
Gli estremi identificativi del titolare, e dove designato, del
responsabile, del rappresentante nel territorio dello stato
Per i trattamenti iniziati prima dell’entrata in vigore del Codice si deve
procedere ad integrazione dell’informativa rilasciata in precedenza,
integrata con i/il nominativi/i dei/del responsabile.
a cura di Rag. Malfara Sacchini Mario
- Vibo Valentia 5 Novembre 2006
Adozione di misure minime di
sicurezza per il trattamento dei dati.
 Il soppresso D.P.R. 318/1999 ha trovato
accoglimento e ampliamento normativo
all’interno delle disposizioni generali del
codice.
 Il titolo V della parte I del codice è
integralmente dedicato alla sicurezza dei dati
e dei sistemi con cui si procede al
trattamento.
a cura di Rag. Malfara Sacchini Mario
- Vibo Valentia 5 Novembre 2006
Le misure di sicurezza
 Il Codice impone la sicurezza dei sistemi di
trattamento dati personali in base alle
conoscenze acquisite e progresso tecnico, in
modo da ridurre al minimo i rischi di
distruzione o perdita anche accidentale, dei
dati stessi, e prevenire l’accesso non
autorizzato o il trattamento non consentito o
non conforme alle finalità della raccolta.
 L’articolo 31 definisce quindi il principio
generale di sicurezza applicabile sia ai dati
personali che ai dati sensibili e giudiziari.
a cura di Rag. Malfara Sacchini Mario
- Vibo Valentia 5 Novembre 2006
Misure minime per trattamenti con
strumenti elettronici.

L’articolo 34 impone le seguenti misure minime per il trattamento di dati
personali effettuato con strumenti elettronici:
a)
b)
c)
d)
e)
f)
g)
h)

Autenticazione informatica
Adozione di procedura di gestione delle credenziali di autenticazione
Utilizzazione di un sistema di autorizzazione
Aggiornamento periodico dell’individuazione dell’ambito del trattamento
consentito ai singoli incaricati e addetti alla gestione o manutenzione dei
sistemi elettronici
Protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di
dati, ad accessi non consentiti e a determinati programmi informatici.
Adozione di procedure per la custodia di copie di sicurezza, il ripristino della
disponibilità dei dati e dei sistemi.
Tenuta di un aggiornato documento programmatico sulla sicurezza
Adozione di tecniche di cifratura o di codici identificativi per determinati
trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati
da organismi sanitari
L’adozione delle misure minime di sicurezza deve essere posta in essere
entro il 31/12/2005
a cura di Rag. Malfara Sacchini Mario
- Vibo Valentia 5 Novembre 2006
Misure minime per il trattamento senza
ausilio di strumenti elettronici
 L’art. 35 dispone invece sulle misure minime da adottarsi per il




trattamento di dati personali senza ausilio di strumenti
elettronici.
La prima misura prevede l’aggiornamento periodico
dell’individuazione dell’ambito del trattamento consentito ai
singoli incaricati o alle unità organizzative
La seconda misura consiste nella previsione di procedure per
un’idonea custodia di atti e documenti affidati agli incaricati per
lo svolgimento dei relativi compiti.
La terza misura consiste nella previsione di procedure di
conservazione di determinati atti in archivi ad accesso
selezionato e disciplina delle modalità di accesso, finalizzata
all’identificazione degli incaricati.
L’adozione delle misure minime di sicurezza deve essere posta
in essere entro il 31/12/2005
a cura di Rag. Malfara Sacchini Mario
- Vibo Valentia 5 Novembre 2006
Il disciplinare tecnico delle misure
minime di sicurezza
 L’allegato B al Decreto legislativo, individua le misure
tecniche relative alle misure minime di sicurezza che
i titolari devono adottare.
 L’allegato B contrariamente alla definizione prevista
dall’articolo 34 prevede l’obbligo di redazione del
DPS è necessario per coloro che trattano dati
sensibili e/o giudiziari con l’ausilio di strumenti
elettronici.
 Il DPS deve essere redatto e aggiornato entro il 31
marzo di ogni anno..
 Nella relazione al bilancio d’esercizio (o nella Nota
Integrativa) gli amministratori devono riferire in merito
alla redazione e/o all’aggiornamento del documento.
a cura di Rag. Malfara Sacchini Mario
- Vibo Valentia 5 Novembre 2006
Le sanzioni: violazioni amministrative
 Omessa o inidonea informativa all’interessato
(art. 161):


Dati personali
Dati sensibili
€ 3.000/18.000
€ 5.000/30.000
 Cessione di dati in ad altro titolare in
violazione dell’art. 16 lett.b) (art. 162)

Sanzione
€ 5.000/30.000
 Omessa o incompleta notificazione (art. 163)


Sanzione
€ 10.000/60.000
Sanzione accessoria spese di pubblicazione
ordinanza- ingiunzione in uno o più giornali.
a cura di Rag. Malfara Sacchini Mario
- Vibo Valentia 5 Novembre 2006
Altre sanzioni amministrative
disciplinate
 Omessa informazione o esibizione di
documenti al garante (art. 164)

Sanzione
€ 4.000/24.000
 Violazioni concernenti le comunicazioni dei
dati personali sullo stato di salute (art. 162,
c.2)

Sanzione
€ 500/3.000
a cura di Rag. Malfara Sacchini Mario
- Vibo Valentia 5 Novembre 2006
Le sanzioni: illeciti penali
 Delitti
 Trattamento illecito di dati (art. 167)

VI rientra il trattamento dei dati senza consenso
ove necessario
 Reclusione: 6/18 mesi; a 6/24 ove si procede ad
illecita comunicazione o diffusione a terzi dei dati

Falsità nelle dichiarazioni e notificazioni al
Garante (art. 168)
 Reclusione: 6/36 mesi

Inosservanza dei provvedimenti del Garante
(art. 170)
 Reclusione: 3/24 mesi
a cura di Rag. Malfara Sacchini Mario
- Vibo Valentia 5 Novembre 2006
Sanzioni: illeciti penali
 Contravvenzioni

Mancata adozione misure minime di sicurezza
(art. 169)
 Arresto sino a 2 anni o
 Ammenda da
€ 10.000/50.000

Divieto d’indagine sulle opinioni dei lavoratori
e Violazioni delle norme di controllo a distanza
dei lavoratori
 Arresto da 15 giorni ad un anno
 Ammenda da
€ 154,94/1.549,37
a cura di Rag. Malfara Sacchini Mario
- Vibo Valentia 5 Novembre 2006
Il risarcimento dei danni
 Il Codice disciplina due tipologie di risarcimento:
 Danno patrimoniale
 “Chiunque cagiona ad altri danni per effetto del
trattamento di dati personali (art. 15, c.1)
 Applicabilità dell’art. 2050 del C.C.: il titolare deve quindi
provare in caso di danni patrimoniali causati all’interessato
di aver adottato tutte le misure idonee ad evitarlo.

Danno non patrimoniale (art. 15, c.2)
 Può essere invocato il risarcimento del danno
biologico di natura psichica, ove il titolare non
provveda al trattamento in forma lecita dei dati, non
provveda ad aggiornarli, li detenga oltre il termine
superiore agli scopi per i quali sono raccolti.
a cura di Rag. Malfara Sacchini Mario
- Vibo Valentia 5 Novembre 2006
Dichiarazioni di conformità delle
misure minime adottate.
 Il titolare che adotta misure minime di
sicurezza avvalendosi di soggetti esterni alla
propria struttura, per provvedere
all’esecuzione, riceve dall’installare all’uopo
incaricato una descrizione scritta
dell’intervento effettuato che ne attesta la
conformità alle disposizioni del disciplinare
tecnico allegato B al D.Lgs. n. 196 (punto 25
allegato b).
a cura di Rag. Malfara Sacchini Mario
- Vibo Valentia 5 Novembre 2006
Fly UP