il nuovo codice della privacy decreto legislativo n. 196 del 2003
TRANSCRIPT
![Page 1: IL NUOVO CODICE DELLA PRIVACY DECRETO LEGISLATIVO N. 196 DEL 2003](https://reader035.vdocuments.site/reader035/viewer/2022062404/5542eb4b497959361e8b7c7f/html5/thumbnails/1.jpg)
IL NUOVO CODICE DELLA PRIVACY
DECRETO LEGISLATIVON. 196 DEL 2003
![Page 2: IL NUOVO CODICE DELLA PRIVACY DECRETO LEGISLATIVO N. 196 DEL 2003](https://reader035.vdocuments.site/reader035/viewer/2022062404/5542eb4b497959361e8b7c7f/html5/thumbnails/2.jpg)
D.Lgs. n. 196 – Codice in materia di protezione dei dati personali
• Convenzione di Strasburgo del 28.01.1981 (Consiglio d’Europa):
“Protezione delle persone rispetto al trattamento automatizzato di dati di
carattere personale”• Direttive comunitarie:
1995/46/Ce e 2002/58/Ce
![Page 3: IL NUOVO CODICE DELLA PRIVACY DECRETO LEGISLATIVO N. 196 DEL 2003](https://reader035.vdocuments.site/reader035/viewer/2022062404/5542eb4b497959361e8b7c7f/html5/thumbnails/3.jpg)
Categorie di dati
• Dati personali non sensibili: Esempio: dati anagrafici (nome, cognome, indirizzo,
codice fiscale)
• Dati sensibili: Esempio: razza, stato di salute, opinioni
• Dati giudiziari:• Esempio: condanne, procedimenti in corso, fallimenti,
etc.
![Page 4: IL NUOVO CODICE DELLA PRIVACY DECRETO LEGISLATIVO N. 196 DEL 2003](https://reader035.vdocuments.site/reader035/viewer/2022062404/5542eb4b497959361e8b7c7f/html5/thumbnails/4.jpg)
Dati personali
Informazioni esatte e aggiornateriferite a persone fisiche o giuridicheidentificate o identificabiliche il titolare del trattamento deve utilizzareper finalità legittimelimitate e pertinenti all’uso dovuto.Esempio:anagrafiche clienti, fornitori, dipendenti
![Page 5: IL NUOVO CODICE DELLA PRIVACY DECRETO LEGISLATIVO N. 196 DEL 2003](https://reader035.vdocuments.site/reader035/viewer/2022062404/5542eb4b497959361e8b7c7f/html5/thumbnails/5.jpg)
I soggetti coinvolti
• Titolare del trattamento:(impresa o organizzazione)
• Responsabile del trattamento:(persona fisica)
• Incaricati del trattamento:(persone fisiche)
• Interessati al trattamento• Terzi destinatari o fornitori dei dati
![Page 6: IL NUOVO CODICE DELLA PRIVACY DECRETO LEGISLATIVO N. 196 DEL 2003](https://reader035.vdocuments.site/reader035/viewer/2022062404/5542eb4b497959361e8b7c7f/html5/thumbnails/6.jpg)
Il titolare del trattamento
acquisisce, utilizza e conserva i dati
decide le finalità di utilizzo (e i dati necessari)
decide le modalità di trattamento:Raccolta
Registrazione
Comunicazione
Diffusione
decide le misure di sicurezza
vigila sull’operato del responsabile
![Page 7: IL NUOVO CODICE DELLA PRIVACY DECRETO LEGISLATIVO N. 196 DEL 2003](https://reader035.vdocuments.site/reader035/viewer/2022062404/5542eb4b497959361e8b7c7f/html5/thumbnails/7.jpg)
Responsabile del trattamento
E’ designato a discrezione dal titolare
Può essere persona fisica o giuridica
La nomina è facoltativa
Va nominato per iscritto
Vanno indicati i compiti affidati con l’incarico
Deve essere esperto, capace e affidabilePuò essere anche esterno all’organizzazione del titolare
(esempio: commercialista per i dati contabili)
![Page 8: IL NUOVO CODICE DELLA PRIVACY DECRETO LEGISLATIVO N. 196 DEL 2003](https://reader035.vdocuments.site/reader035/viewer/2022062404/5542eb4b497959361e8b7c7f/html5/thumbnails/8.jpg)
Incaricati del trattamento
Sono solo persone fisiche
Sono nominati dal titolare del trattamento
La nomina è obbligatoria
Effettuano materialmente le operazioni
Operano sotto l’autorità del responsabile
(o del titolare in mancanza del responsabile)
Devono attenersi ad istruzioni scritte
sui dati da trattare (quali, come, perché, etc.)
![Page 9: IL NUOVO CODICE DELLA PRIVACY DECRETO LEGISLATIVO N. 196 DEL 2003](https://reader035.vdocuments.site/reader035/viewer/2022062404/5542eb4b497959361e8b7c7f/html5/thumbnails/9.jpg)
Notificazione di trattamento
Denuncia preventiva al Garante, via web, sull’esistenza di un’attività di trattamento di dati personali
Comporta l’inserimento nel Registro Pubblico dei trattamenti (internet)
non tutti i trattamenti vanno notificati (quelli ordinari su clienti, fornitori e dipendenti non sono soggetti a notifica)
![Page 10: IL NUOVO CODICE DELLA PRIVACY DECRETO LEGISLATIVO N. 196 DEL 2003](https://reader035.vdocuments.site/reader035/viewer/2022062404/5542eb4b497959361e8b7c7f/html5/thumbnails/10.jpg)
Trattamenti soggetti a notifica
• Banche dati elettroniche sui rischi di solvibilità economica, frodi, illeciti, situazione patrimoniale, inadempimento generale di obbligazioni
• dati genetici e biometrici
• dati GPS o altra localizzazione geografica
• Profilo dell’interessato (personalità)
• Dati sensibili per indagini per conto terzi
![Page 11: IL NUOVO CODICE DELLA PRIVACY DECRETO LEGISLATIVO N. 196 DEL 2003](https://reader035.vdocuments.site/reader035/viewer/2022062404/5542eb4b497959361e8b7c7f/html5/thumbnails/11.jpg)
Informativa sul trattamento
Va comunicata dal titolare del trattamento al soggetto trattato (interessato)
Può essere anche informale, purchè chiara, completa ed essenziale
Riguarda sia i dati raccolti direttamente presso l’interessato che presso terzi
![Page 12: IL NUOVO CODICE DELLA PRIVACY DECRETO LEGISLATIVO N. 196 DEL 2003](https://reader035.vdocuments.site/reader035/viewer/2022062404/5542eb4b497959361e8b7c7f/html5/thumbnails/12.jpg)
Contenuto dell’informativa
(è sufficiente solo la prima volta)• Estremi del titolare e dell’ev. responsabile• Finalità del trattamento (perché)• Modalità del trattamento (come)• Eventuale obbligatorietà del trattamento e
conseguenze del rifiuto• Terzi (o categorie) destinatari dei dati• Diritti dell’interessato
![Page 13: IL NUOVO CODICE DELLA PRIVACY DECRETO LEGISLATIVO N. 196 DEL 2003](https://reader035.vdocuments.site/reader035/viewer/2022062404/5542eb4b497959361e8b7c7f/html5/thumbnails/13.jpg)
Quando sorge l’obbligo?
Una sola volta all’inizio del rapporto (esempio: clienti, fornitori, dipendenti)
Quando si modificano in modo sostanziale i dati trattati (categorie) e le modalità di trattamento
Come redigere l’informativa?• Anche orale, sintetica e colloquiale• Si può utilizzare uno spazio nell’ordinaria
corrispondenza (lettere, fatture, etc.)
![Page 14: IL NUOVO CODICE DELLA PRIVACY DECRETO LEGISLATIVO N. 196 DEL 2003](https://reader035.vdocuments.site/reader035/viewer/2022062404/5542eb4b497959361e8b7c7f/html5/thumbnails/14.jpg)
Quando comunicare l’informativa?
• In caso di dati raccolti presso l’interessato: prima dell’inizio del trattamento, anche in forma orale
• In caso di dati raccolti presso terzi:
prima della registrazione
• In caso di dati da destinare a terzi:
entro la prima comunicazione
![Page 15: IL NUOVO CODICE DELLA PRIVACY DECRETO LEGISLATIVO N. 196 DEL 2003](https://reader035.vdocuments.site/reader035/viewer/2022062404/5542eb4b497959361e8b7c7f/html5/thumbnails/15.jpg)
Quando non è necessaria?
• In caso di dati raccolti presso terzi in ottemperanza a obblighi di legge
• Per far valere un diritto in sede giudiziaria
• Quando l’onere informativo è troppo elevato rispetto al diritto alla privacy in discussione (previa apposita istanza al Garante)
![Page 16: IL NUOVO CODICE DELLA PRIVACY DECRETO LEGISLATIVO N. 196 DEL 2003](https://reader035.vdocuments.site/reader035/viewer/2022062404/5542eb4b497959361e8b7c7f/html5/thumbnails/16.jpg)
Il consenso dell’interessato
Non è necessario quando i dati trattati non sono “sensibili” e, inoltre:
• sono connessi all’esecuzione di un contratto (o alla trattativa precedente)
• sono conseguenti a obblighi di legge• provengono da elenchi pubblici• Sono relativi allo svolgimento di attività
economiche rese pubbliche dall’interessato
![Page 17: IL NUOVO CODICE DELLA PRIVACY DECRETO LEGISLATIVO N. 196 DEL 2003](https://reader035.vdocuments.site/reader035/viewer/2022062404/5542eb4b497959361e8b7c7f/html5/thumbnails/17.jpg)
Il consenso dell’interessato
Quando è necessario chiederlo, il consenso deve essere
• Libero
• Specifico rispetto ai dati trattati
• Informato rispetto al trattamento
• Documentato per iscritto e sottoscritto
![Page 18: IL NUOVO CODICE DELLA PRIVACY DECRETO LEGISLATIVO N. 196 DEL 2003](https://reader035.vdocuments.site/reader035/viewer/2022062404/5542eb4b497959361e8b7c7f/html5/thumbnails/18.jpg)
I dati sensibili
• Origine razziale o etnica
• Convinzioni religiose o filosofiche
• Opinioni politiche (comprese adesioni a partiti, sindacati, movimenti, etc.)
• Stato di salute
• Comportamento sessuale.
![Page 19: IL NUOVO CODICE DELLA PRIVACY DECRETO LEGISLATIVO N. 196 DEL 2003](https://reader035.vdocuments.site/reader035/viewer/2022062404/5542eb4b497959361e8b7c7f/html5/thumbnails/19.jpg)
I dati sensibili
Necessitano sempre, per essere trattati:
• Del consenso scritto dell’interessato
• Dell’autorizzazione del Garante
Vi sono tuttavia 7 autorizzazioni “generali” preventive, rilasciate dal Garante per i dati sensibili da trattare in alcuni casi tipici.
Esempio: rapporto di lavoro (malattia)
associazioni (opinioni politiche)
![Page 20: IL NUOVO CODICE DELLA PRIVACY DECRETO LEGISLATIVO N. 196 DEL 2003](https://reader035.vdocuments.site/reader035/viewer/2022062404/5542eb4b497959361e8b7c7f/html5/thumbnails/20.jpg)
Il trasferimento dati fuori dall’UE
All’interno dell’UE vigono le stesse regoleFuori dall’UE il trasferimento è consentito
se:• l’interessato ha dato consenso espresso• è necessario per l’esecuzione di un
contratto• è necessario per un pubblico interesse o
attività difensive in sede giudiziaria• riguarda persone giuridiche, enti o assoc.
![Page 21: IL NUOVO CODICE DELLA PRIVACY DECRETO LEGISLATIVO N. 196 DEL 2003](https://reader035.vdocuments.site/reader035/viewer/2022062404/5542eb4b497959361e8b7c7f/html5/thumbnails/21.jpg)
Il trasferimento dati fuori dall’UE
Quando non è consentito a priori, il trasferimento può essere autorizzato se:
• vi sono idonee garanzie per l’interessato (autorizzazione caso per caso)
• vi sono autorizzazioni generali del Garante (esempio: “Safe Harbor” con gli USA)
• il trasferimento avviene con modalità standard già autorizzate preventiv. dall’UE
![Page 22: IL NUOVO CODICE DELLA PRIVACY DECRETO LEGISLATIVO N. 196 DEL 2003](https://reader035.vdocuments.site/reader035/viewer/2022062404/5542eb4b497959361e8b7c7f/html5/thumbnails/22.jpg)
Il diritto d’accesso
• L’interessato ha diritto di accedere ai dati che lo riguardano, trattati presso terzi
• Il titolare del trattamento deve rispondere alla richiesta entro 15 giorni dal ricevimento
• In caso di mancata o incompleta risposta, l’interessato può rivolgersi all’a.g. o ricorrere al Garante
![Page 23: IL NUOVO CODICE DELLA PRIVACY DECRETO LEGISLATIVO N. 196 DEL 2003](https://reader035.vdocuments.site/reader035/viewer/2022062404/5542eb4b497959361e8b7c7f/html5/thumbnails/23.jpg)
Il diritto d’accesso
L’interessato ha diritto di ottenere informazioni su:• esistenza o meno di dati personali che lo riguardano• origine dei dati• finalità del trattamento• modalità del trattamento• metodi elettronici per il trattamento• estremi del titolare, responsabili e incaricati• terzi destinatari
![Page 24: IL NUOVO CODICE DELLA PRIVACY DECRETO LEGISLATIVO N. 196 DEL 2003](https://reader035.vdocuments.site/reader035/viewer/2022062404/5542eb4b497959361e8b7c7f/html5/thumbnails/24.jpg)
Il diritto d’accesso
L’interessato ha diritto di ottenere:
• l’aggiornamento o rettifica dei dati
• l’integrazione dei dati
• la cancellazione dei dati trattati in violazione della legge o del consenso
• L’attestazione ai terzi destinatari dell’avvenuto aggiornamento, rettifica, integrazione o cancellazione
![Page 25: IL NUOVO CODICE DELLA PRIVACY DECRETO LEGISLATIVO N. 196 DEL 2003](https://reader035.vdocuments.site/reader035/viewer/2022062404/5542eb4b497959361e8b7c7f/html5/thumbnails/25.jpg)
La sicurezza dei sistemi
• I soggetti coinvolti
• Le misure di sicurezza (e le “minime”)
• Il DPS (documento programmatico per la s)
![Page 26: IL NUOVO CODICE DELLA PRIVACY DECRETO LEGISLATIVO N. 196 DEL 2003](https://reader035.vdocuments.site/reader035/viewer/2022062404/5542eb4b497959361e8b7c7f/html5/thumbnails/26.jpg)
I soggetti coinvolti
• Titolare del trattamento
• Eventuale responsabile designato
• Incaricati
• Interessato al trattamento
• Terzi
![Page 27: IL NUOVO CODICE DELLA PRIVACY DECRETO LEGISLATIVO N. 196 DEL 2003](https://reader035.vdocuments.site/reader035/viewer/2022062404/5542eb4b497959361e8b7c7f/html5/thumbnails/27.jpg)
Contenuto dell’obbligo
Il titolare deve adottare tutte le misure idonee, alla luce del progresso tecnico, per ridurre i rischi di:
• Distruzione
• Perdita
• Accesso non autorizzato o non consentito
![Page 28: IL NUOVO CODICE DELLA PRIVACY DECRETO LEGISLATIVO N. 196 DEL 2003](https://reader035.vdocuments.site/reader035/viewer/2022062404/5542eb4b497959361e8b7c7f/html5/thumbnails/28.jpg)
Le misure minime
Trattamenti effettuati con sistemi elettronici:
• Autenticazione informatica con credenziali (User-ID e password)
• Programmi anti-vulnerabilità (antivirus, firewall, anti-trojan, etc.)
• Procedure di salvataggio periodico (back-up)
![Page 29: IL NUOVO CODICE DELLA PRIVACY DECRETO LEGISLATIVO N. 196 DEL 2003](https://reader035.vdocuments.site/reader035/viewer/2022062404/5542eb4b497959361e8b7c7f/html5/thumbnails/29.jpg)
Le misure minime
Trattamenti effettuati con strumenti non elettronici:• Istruzioni scritte agli incaricati (controllo e
custodia)• Uso di contenitori e locali sottoposti a
“credenziali” (chiave, serratura, etc.)• Sistemi di protezione e sicurezza (facoltativo):
– Impianto antincendio (segnalazione e/o estinzione)– Misure di prevenzione e protezione incendi– Impianto anti-effrazione
![Page 30: IL NUOVO CODICE DELLA PRIVACY DECRETO LEGISLATIVO N. 196 DEL 2003](https://reader035.vdocuments.site/reader035/viewer/2022062404/5542eb4b497959361e8b7c7f/html5/thumbnails/30.jpg)
Il DPS
• E’ obbligatorio in caso di trattamento di dati sensibili e/o giudiziari
• E’ comunque opportuno per evidenziare le misure “minime”
• Va redatto e aggiornato entro il 31 marzo di ogni anno
• Va conservato dal titolare presso la propria struttura (senza comunicarlo al Garante)
• Va esibito in caso di controlli ispettivi
![Page 31: IL NUOVO CODICE DELLA PRIVACY DECRETO LEGISLATIVO N. 196 DEL 2003](https://reader035.vdocuments.site/reader035/viewer/2022062404/5542eb4b497959361e8b7c7f/html5/thumbnails/31.jpg)
Il DPS per le misure “minime”
Indice:• Dati del titolare del trattamento• Elenco dei trattamenti di dati personali• Distribuzione compiti e responsabilità• Analisi dei rischi• Misure di protezione preventiva• Misure di ripristino• Interventi formativi• Criteri minimi per l’affidamento dati a terzi• Nomina responsabile, incaricati e custode credenziali
![Page 32: IL NUOVO CODICE DELLA PRIVACY DECRETO LEGISLATIVO N. 196 DEL 2003](https://reader035.vdocuments.site/reader035/viewer/2022062404/5542eb4b497959361e8b7c7f/html5/thumbnails/32.jpg)
Dati del titolare
• Nome o denominazione
• Sede o residenza
• Codice fiscale e/o partita IVA
• Telefono, fax, e-mail
• Dati del legale rappresentante
![Page 33: IL NUOVO CODICE DELLA PRIVACY DECRETO LEGISLATIVO N. 196 DEL 2003](https://reader035.vdocuments.site/reader035/viewer/2022062404/5542eb4b497959361e8b7c7f/html5/thumbnails/33.jpg)
Elenco dei trattamenti dati
• Categoria di trattamento:(esempio: gestione clienti, fornitori, dipendenti)• Finalità:(esempio: contabilità generale e paghe)• Tipo di dati:(esempio: personali non sensibili)• Gestione:(esempio: interna o esterna)• Eventuale responsabile• Banche dati utilizzate(esempio: archivio cartaceo, cartelle elettroniche MS Access, etc.)• Dispositivi utilizzati(esempio: PC Desktop Marca HP……….)
![Page 34: IL NUOVO CODICE DELLA PRIVACY DECRETO LEGISLATIVO N. 196 DEL 2003](https://reader035.vdocuments.site/reader035/viewer/2022062404/5542eb4b497959361e8b7c7f/html5/thumbnails/34.jpg)
Distribuzione compiti
• Responsabile: ……………..
• Incaricato 1…..Compito:……..
• Incaricato 2…..Compito:…….
Esempio: sig. Rossi – Addetto paghe
sig. Bianchi – Addetto contabilità
…………..
![Page 35: IL NUOVO CODICE DELLA PRIVACY DECRETO LEGISLATIVO N. 196 DEL 2003](https://reader035.vdocuments.site/reader035/viewer/2022062404/5542eb4b497959361e8b7c7f/html5/thumbnails/35.jpg)
Analisi dei rischi
Alto / Medio / Basso per:• Furto credenziali autenticazione• Incuria• Frode• Errore materiale• Virus informatici• Spamming• Malfunzionamento strumenti• Accessi esterni ai locali non autorizzati• Intercettazione informazioni informatiche• Furto• Eventi dolosi o accidentali, guasti, etc.
![Page 36: IL NUOVO CODICE DELLA PRIVACY DECRETO LEGISLATIVO N. 196 DEL 2003](https://reader035.vdocuments.site/reader035/viewer/2022062404/5542eb4b497959361e8b7c7f/html5/thumbnails/36.jpg)
Misure di protezione preventiva
Responsabile, trattamento interessato, rischio protetto, stato attuale (attivo o meno), controlli periodici (settimana, mese, etc.) per:
• Aggiornamenti software• Antivirus• Firewall hardware o software• Cifratura (su floppy, smart card, etc.)• Gruppo continuità• Allarme e serrature di sicurezza• Impianto antincendio
![Page 37: IL NUOVO CODICE DELLA PRIVACY DECRETO LEGISLATIVO N. 196 DEL 2003](https://reader035.vdocuments.site/reader035/viewer/2022062404/5542eb4b497959361e8b7c7f/html5/thumbnails/37.jpg)
Misure minime strumenti elettronici
• Credenziali autenticazione (User-ID e password) di almeno 8 caratteri di cui almeno 2 numerici e almeno 2 alfabetici
• Modificazione obbligatoria al primo utilizzo• Modificazione obbligatoria ogni 6 mesi (dati personali non sensibili)
o 3 mesi (dati sensibili o giudiziari)• Il codice è strettamente personale• I codici aziendali sono affidati a un custode delle credenziali che le
conserva in luogo sicuro e, in sua assenza, nomina un sostituto sotto propria responsabilità
• In caso di mancato utilizzo per 6 mesi, le credenziali sono automaticamente disattivate
• In caso di intervento tecnico, al termine va modificata nuovamente la password
• Le credenziali su supporti (floppy, smart card, etc.) vanno conservate sotto chiave dal custode delle credenziali
![Page 38: IL NUOVO CODICE DELLA PRIVACY DECRETO LEGISLATIVO N. 196 DEL 2003](https://reader035.vdocuments.site/reader035/viewer/2022062404/5542eb4b497959361e8b7c7f/html5/thumbnails/38.jpg)
Misure di ripristino
Procedure di back-up:
• Copie informatiche
• Copie cartacee (eventuali)
Responsabile, frequenze salvataggio, frequenze verifica, luogo e modalità di conservazione archivi
Procedura di ripristino
![Page 39: IL NUOVO CODICE DELLA PRIVACY DECRETO LEGISLATIVO N. 196 DEL 2003](https://reader035.vdocuments.site/reader035/viewer/2022062404/5542eb4b497959361e8b7c7f/html5/thumbnails/39.jpg)
Interventi formativi
• Normativa• Responsabilità• Rischi• Misure di sicurezza• Aggiornamenti tecnici• Aggiornamenti di procedura• Quando e come si effettuano (esempio:
neo assunti, periodici, etc.)
![Page 40: IL NUOVO CODICE DELLA PRIVACY DECRETO LEGISLATIVO N. 196 DEL 2003](https://reader035.vdocuments.site/reader035/viewer/2022062404/5542eb4b497959361e8b7c7f/html5/thumbnails/40.jpg)
Criteri per l’affidamento dati a terzi
Chiarire le procedure in caso che alcuni dati formalmente trattati dal titolare siano affidati in trattamento a terzi
Esempio: il commercialista che tratta i dati contabili dell’impresa (clienti, fornitori e dipendenti)
Come si trasferiscono, con che periodicità, su che supporti, chi è responsabile, etc.