trattamento dei dati lgs 196/2003

1

Legge 196/2003 – Istruzioni per gli Incaricati del Trattamento dei Dati

Contenuto della sessione di aggiornamento

• Premessa, link utili, glossario

• Informativa agli Interessati:– Art. 13– Schema per la formulazione dell’Informativa– Art. 7 (Diritti dell’Interessato)– Esempi di Informativa in uso al Gruppo Abele

• Sicurezza e riservatezza dei dati personali– Norme logistiche di carattere generale– Utilizzo del PC: – Utilizzo di servizi in rete e della posta elettronica– Gestione dei documenti “non elettronici”

• Domande e risposte

2


Premessa

• La Legge 196/2003 “ Codice in materia di protezione dei dati personali” regolamenta per grandi linee il Trattamento dei Dati Personali affinché si svolga nel rispetto dei diritti e delle libertà fondamentali nonché della dignità delle persone, con particolare riferimento alla riservatezza

• La Legge 196/2003 prescrive che ciascuna Organizzazione definisca un Responsabile per il Trattamento dei Dati Personali, il quale:

– Definisce le modalità specifiche per l’Organizzazione stessa;– Le comunica agli Incaricati del Trattamento dei Dati Personali– Supporta gli Incaricati e verifica che le modalità vengano applicate correttamente

• I dipendenti, i collaboratori, i consulenti, i volontari ed in generale tutti coloro che operano nell’Associazione Gruppo Abele ONLUS devono essere informati sulle modalità di Trattamento dei Dati Personali ed in generale sulle corrette modalità di utilizzo delle risorse informatiche e telematiche

3


Link utili per saperne di più

• www.camera.it/parlam/leggi/deleghe/testi/03196dl.htm

Pubblicazione sulla Gazzetta Ufficiale n. 174 del 29 luglio 2003

• it.wikipedia.org/wiki/Legge_sulla_privacy_(diritto_italiano)

Descrizione e commenti sulla Legge 196/2003

http://www.camera.it/parlam/leggi/deleghe/testi/03196dl.htm

4


Glossario (1 / 2)

Dati Personali Tutte le informazioni relative a persone fisiche o giuridiche, oppure ad enti o associazioni, che consentano l’identificazione diretta o indiretta di questi stessi soggetti e/o l’attribuzione ad essi di atti, stati e condizioni, che la Legge considera attinenti alla loro sfera di riservatezza.

Dati Sensibili Dati Personali idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni o organizzazioni a carattere religioso, politico, filosofico o sindacale, nonché i Dati Personali idonei

a rivelare lo stato di salute e la vita sessuale.

Dati Giudiziari Dati Personali idonei a rivelare provvedimenti di cui all'articolo 3, comma 1, lettere da a) a o) e da r) a u), del d.P.R. 14 novembre 2002, n. 313, in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualita' di imputato o di indagato ai sensi degli articoli 60 e 61 del

codice di procedura penale.

5


Glossario (2 / 2)

Trattamento dei Dati

Personali

Qualunque operazione o complesso di operazioni, effettuati con o senza l'ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati.

Responsabile del

Trattamento

E’ la persona fisica che definisce le modalità per il Trattamento di Dati Personali e le comunica agli Incaricati. Nel caso del Gruppo Abele

ONLUS è la sig.ra Ornella Vigna, come Responsabile dei Servizi. Incaricato del

Trattamento Colui che compie le operazioni di Trattamento dei Dati Personali, attenendosi alle istruzioni ricevute dal Responsabile del Trattamento.

Nel seguito del documento sarà referenziato come Incaricato.

Interessato La persona fisica, la persona giuridica, l’ente o l’associazione cui si

riferiscono i Dati Personali.

6


Informativa – Art. 13

1. L'interessato o la persona presso la quale sono raccolti i dati personali sono previamente informati oralmente o per iscritto circa:

a) le finalità e le modalità del trattamento cui sono destinati i dati;

b) la natura obbligatoria o facoltativa del conferimento dei dati;

c) le conseguenze di un eventuale rifiuto di rispondere;

d) i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati, e l'ambito di diffusione dei dati medesimi;

e) i diritti di cui all'articolo 7;

f) gli estremi identificativi del titolare e … del rappresentante …

7


Informativa – Schema per la formulazione (1/2)

Con la presente desideriamo informarLa che il D. Lgs. n° 196 del

30/06/2003 (Codice in materia di protezione dei dati personali)

prevede la tutela delle persone e di altri soggetti rispetto al trattamento

dei dati personali. Secondo la normativa indicata, tale trattamento sarà

improntato ai principi di correttezza, liceità, trasparenza e di tutela della

Sua riservatezza e dei Suoi diritti.

(Descrivere le finalità del trattamento che si intende effettuare)

I suoi dati personali potranno inoltre essere da noi trattati per

l'adempimento di obblighi previsti da legge, regolamenti e/o

disposizioni comunitarie ovvero impartiti da autorità ed organi di

vigilanza e/o controllo.

Il trattamento sarà effettuato mediante supporti cartacei o con l’ausilio

di strumenti automatizzati informatici, elettronici e comunque

secondo modalità idonee a garantire la sicurezza e la riservatezza dei

dati ex art. 31 D. Lgs. 196/2003.

8


Informativa – Schema per la formulazione (2/2)

Il conferimento dei dati (assume carattere di obbligatorietà per le finalità

strettamente relative all’espletamento del nostro intervento / è facoltativo (ma

in alcuni casi è necessario per poter adempiere ai nostri obblighi e il Suo

eventuale rifiuto a rispondere comporterà l'impossibilità a …)

(Eventuale: I suoi dati potranno essere/saranno comunicati a: (specificare)

Il titolare del trattamento è: Gruppo Abele ONLUS – c. Trapani 91 – 10141

Torino, nella persona del suo legale rappresentante.

Il responsabile del trattamento dei dati è la sig.ra Ornella Vigna (idem c.s.)

Al medesimo titolare Lei potrà rivolgersi a far valere i Suoi diritti così come

previsti dall'art. 7 del Dlgs 196 del 30/06/03

(Eventuale: La presente informativa è resa per la raccolta dei dati sia presso

l'interessato che presso terzi.)

9


Art. 7 – Diritti dell’interessato

a. Diritto di esprimere il consenso al trattamento, seppur con alcune deroghe concernenti i casi nei quali, per legge, il trattamento non è subordinato al consenso;

b. Diritto di accesso gratuito al registro pubblico istituito dal Garante ai sensi dell'art. 154 del Dlgs 196 del 30/06/03;

c. Diritto di informazione circa gli elementi identificativi del titolare, nonché circa le modalità e le finalità del trattamento;

d. Diritto di intervento sui dati che si riferiscono alla Sua persona;

e. Diritto di risarcimento in caso di elaborazioni illegittime;

f. Diritto di opposizione, in tutto o in parte, al trattamento di dati personali previsto ai fini di informazione commerciale o di invio di materiale pubblicitario o di vendita diretta ovvero per il compimento di ricerche di mercato o di comunicazione commerciale interattiva;

g. Diritto di essere informati dal titolare, non oltre il momento in cui i dati sono comunicati o diffusi, della possibilità di esercitare gratuitamente tale diritto;

h. Diritto di opporsi a qualsiasi valutazione del comportamento fondata unicamente su un trattamento automatizzato volto a definire il profilo o la personalità dell'interessato.

10


Informativa – Esempi di applicazione al Gruppo Abele

• Ospiti delle Comunità, persone coinvolte in progetti di assistenza e recupero: – Informare gli ospiti delle Comunità con il documento in All. 7 del DPS –

“Dichiarazione di consenso informato per Ospiti delle Comunità” sulle modalità e le finalità del trattamento dei loro dati;

– Chiedere il consenso all’eventuale utilizzo di immagini di minori nell’ambito di attività dell’Associazione con il documento in All. 8 del DPS “Consenso_Liberatoria_Foto”.

• Dipendenti e collaboratori del Gruppo:– Documento in All. 9 – “Consenso_Dipendenti_Collaboratori”

• Volontari:– Documento in All. 10 – “Consenso_Domanda_Volontari”.

11


Sicurezza e riservatezza – Norme Logistiche di carattere generale

• Laddove si esegue il trattamento di Dati Personali:

– deve essere possibile ricoverare in luogo sicuro i documenti cartacei ed i supporti rimovibili contenenti tali dati. Pertanto devono essere dotati di serratura con chiave:

• Le porte degli uffici;

• Almeno un armadio per sede, meglio un armadio per ufficio;

• Le scrivanie degli Incaricati del trattamento.

– Al termine dell’orario lavorativo, ove la dinamica delle attività ed il numero di occupanti lo consentano, è necessario chiudere sempre a chiave gli uffici nei quali vengono svolti trattamenti di Dati Personali.

12


Utilizzo del PC: Credenziali di autenticazione

• Per l’accesso al PC (Log-in) ogni utente deve inserire le credenziali di autenticazione sue personali, costituite da un codice utente (username) ed una parola chiave (password).

• Come scegliere la password:– Deve avere almeno otto caratteri;– Non deve fare riferimento ad informazioni riconducibili all’utente stesso;– Deve contenere una combinazione di numeri e lettere, maiuscole e minuscole.

• Come gestire la password:– È necessario cambiarla almeno ogni 6 mesi (almeno ogni 3 mesi per gli Incaricati

del trattamento di Dati Sensibili e Giudiziari);– Ogni password ricevuta deve essere cambiata al primo utilizzo.

• Attenzione:– Non scrivere la password su supporti cartacei visibili oppure all’interno di e-mail;– Non rivelare la password ad altre persone, neanche via telefono;– Rispondere “No” quando un software chiede se si vuole salvare automaticamente la

password per un successivo riutilizzo.

13


Utilizzo del PC: Gestione sessione di lavoro

• Spegnere il PC al termine di una sessione di lavoro.

• Se l’incaricato si assenta momentaneamente dalla propria postazione deve:

– chiudere la sessione di lavoro, oppure

– verificare che si sia attivato il salvaschermo (screen-saver) protetto dalle credenziali di autenticazione (username e password).

• Ritirare tempestivamente le stampe di documenti contenenti Dati Personali, in particolare se la stampante è condivisa.

14


Utilizzo del PC: Installazioni hw / sw, configurazioni

• Non eseguire in modo autonomo:

– Installazioni di dispositivi hardware;

– Installazioni di programmi software;

– Modifiche dei parametri di configurazione del PC.

• Per eventuali operazioni di cui sopra, fare sempre richiesta al Servizio Informatico.

• Limitare la condivisione di aree e di risorse del proprio PC solo a casi eccezionali e per il tempo strettamente necessario allo svolgimento delle attività di lavoro.

15


Utilizzo del PC: Protezione contro i virus informatici

• Su ogni PC è installato il software antivirus ufficiale (Symantec End Point Protection).

• Non disattivarlo mai né sostituirlo con un altro software.

• Se il software riscontra la presenza di un virus, oppure si sospetta che un virus sia presente sul proprio PC, avvisare subito il responsabile del Servizio Informatico.

• Importante! – Non scaricare né tantomeno aprire file provenienti via e-mail da mittenti

sconosciuti. Tali file, generalmente di tipo .EXE o .ZIP, possono essere portatori di virus e compromettere la funzionalità del PC, l’integrità dei dati in essa contenuti e l’integrità di altri sistemi collegati.

16


Utilizzo del PC: Gestione dei PC portatili

Sono valide le stesse regole per la gestione dei PC fissi, con le seguenti

Ulteriori raccomandazioni:

• Custodire il portatile con la massima cura per evitare furti, sia nei locali dell’Associazione sia all’esterno. In caso di furto, avvisare subito il responsabile del Servizio Informatico.

• Nei viaggi aerei portare il PC come bagaglio a mano.

• Se il PC è stato fornito in prestito dal Servizio Informatico, cancellare i propri files prima di riconsegnarlo.

• Eseguire periodicamente salvataggi dei dati e non mantenere i backup insieme al PC portatile.

17

Legge 196/2003 – Istruzioni per gli Incaricati del Trattamento dei DatiUtilizzo del PC: Salvataggio dati, utilizzo di supporti rimovibili

• Salvataggio dati residenti sui serverPer i dati ed i documenti che risiedono sui server gestiti centralmente, come ad esempio cartelle di rete e database, il Servizio Informatico esegue i salvataggi con la possibilità di ripristinare in toto oppure selettivamente eventuali files distrutti ad esempio per guasti hardware oppure per cancellazioni involontarie.

• Salvataggio dati residenti sul PC– eseguire almeno una volta alla settimana la copia (salvataggio, o backup);– verificare che i supporti informatici utilizzati per il backup siano funzionanti e non

corrotti.

• Utilizzo di supporti rimovibili– nella sede di lavoro: custodirli in luogo protetto e non accessibile (es. cassaforte

o armadio chiuso a chiave). – durante i trasferimenti tra luoghi di lavoro: custodirli con cura.– quando il supporto rimovibile non è più utilizzato: cancellarne al più presto il

contenuto.

18


Utilizzo di servizi su Internet e altre reti

• L’accesso a Internet è gestito da un software di filtro della navigazione Web(Sophos Web Filtering) sul quale sono definite le categorie di siti accessibili da parte degli utenti dei PC aziendali.

• I servizi online devono essere esclusivamente finalizzati al reperimento di informazioni utili all’Associazione e l’utente deve adottare i seguenti comportamenti:

– Non eseguire di propria iniziativa lo scaricamento (download) di programmi software. In caso di necessità, chiedere l’autorizzazione al Servizio Informatico;

– Evitare la partecipazione a forum non professionali, l’utilizzo di chat, di bacheche elettroniche e in generale qualunque utilizzo di servizi Internet non strettamente inerenti all’attività professionale.

– Non utilizzare software per la condivisione di file (“peer to peer”).

19


Utilizzo del servizio di Posta Elettronica

Sui PC dell’Associazione, usare solamente la Posta Elettronica aziendale per

le finalità della Associazione e per le attività lavorative, con le seguenti

precauzioni:

• Se si ricevono mail da destinatari sconosciuti contenenti file di qualsiasi tipo, procedere alla loro immediata eliminazione evitando di aprire le mail e a maggior ragione eventuali file allegati. Questa precauzione è molto importante perché la Posta Elettronica è uno dei mezzi principali di diffusione dei virus informatici.

• Non utilizzare le caselle di Posta Elettronica per l’invio di messaggi personali o per la partecipazione a dibattiti, forum o mail list, salvo diversa ed esplicita autorizzazione.

20


Gestione dei documenti “non elettronici”

Per “non elettronici” si intendono documenti sia cartacei sia ad esempio microfilm, microfiches e lucidi. Quando contengono Dati Personali, è necessario osservare le seguenti precauzioni:

• Non lasciarli mai incustoditi, in particolare:– negli ambienti di transito o pubblici (corridoi o sale riunioni);– sulle scrivanie, quando ci si assenta dal proprio posto oppure al termine

dell’orario di lavoro;– sulle stampanti, specialmente se sono condivise da più utenti.

• Quando non sono più utilizzati: – non gettarli nei cestini ma distruggerli, possibilmente con un trita documenti.– gestire l’eventuale invio al macero in modo che non siano liberamente accessibili

• Quando contengono Dati Sensibili o Dati Giudiziari, i documenti devono essere protetti in cassetti della scrivania oppure in armadi dotati di chiavi.

• Attenzione: non utilizzare documenti contenenti Dati Personali come carta da riciclo o da appunti

trattamento dei dati lgs 196/2003

Law