Privacy e trattamento dei dati personali.
(Modulo IV del corso di Diritto dell\'Informatica e delle Nuove Tecnologie, Facoltà di Ingegneria, laurea specialistica in Ingegneria delle Telecomunicazioni, Università di Cagliari)
1. 1
A.A. 2008/09
Corso di Laurea Specialistica in
Ingegneria delle Telecomunicazioni
Diritto dell’Informatica e delle Nuove Tecnologie
Docente: Massimo Farina
MODULO IV
http://www.massimofarina.it
massimo@massimofarina.it
2. MODULO IV
Privacy e Trattamento dei Dati Personali
2
Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina
A.A. 2008/09
Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
3. SOMMARIO
Linee Fondamentali del
Codice Privacy
Principi
Definizioni
Principali Adempimenti
D.lgs. 196/03
Responsabilità,
Sanzioni e Tutela
3
Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina
A.A. 2008/09
Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
4. Linee Fondamentali
4
Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina
A.A. 2008/09
Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
5. CODICE DELLA PRIVACY
Chiunque ha diritto alla
protezione dei dati personali
Art. 1
che lo riguardano
Il presente testo unico, di seguito
denominato quot;codicequot;, garantisce
che il trattamento dei dati personali
si svolga nel rispetto dei diritti e
delle libertà fondamentali, nonché
Art. 2 della dignità dell'interessato, con
particolare riferimento alla
riservatezza, all'identità personale e
al diritto alla protezione dei dati
personali
5
Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina
A.A. 2008/09
Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
6. Costituzione della Repubblica
la repubblica riconosce e garantisce i
diritti inviolabili dell'uomo, sia come
singolo sia nelle formazioni sociali,
Art. 2
ove si svolge la sua personalità, e
richiede l'adempimento dei doveri
inderogabili di solidarietà politica,
economica e sociale
tutti hanno diritto di manifestare
Art. 21
liberamente il proprio pensiero con
la parola, lo scritto e ogni altro
mezzo di diffusione.
6
Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina
A.A. 2008/09
Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
7. Struttura del Codice
si compone di 3 parti:
I – Disposizioni Generali
II – Disposizioni Relative a Settori Specifici
III – Tutela dell'Interessato e Sanzioni
…. e di 3 allegati
A – Codici Deontologici (storici, statistici, giornalisti)
B – Disciplinare Tecnico
C – Trattamenti in ambito giudiziario ...
8. Le definizioni
8
Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina
A.A. 2008/09
Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
9. qualunque informazione relativa a persona fisica, persona giuridica,
DATI PERSONALI
ente od associazione, identificati o identificabili, anche
indirettamente, mediante riferimento a qualsiasi altra informazione,
ivi compreso un numero di identificazione personale
i dati personali idonei a rivelare l'origine razziale ed etnica, le
DATI SENSIBILI
convinzioni religiose, filosofiche o di altro genere, le opinioni politiche,
l'adesione a partiti, sindacati, associazioni od organizzazioni a
carattere religioso, filosofico, politico o sindacale, nonchè i dati
personali idonei a rivelare lo stato di salute e la vita sessuale
i dati personali idonei a rivelare […] informazioni in materia di
DATI GIUDIZIARI
casellario giudiziale, di anagrafe delle sanzioni amministrative
dipendenti da reato e dei relativi carichi pendenti, o la qualità di
imputato o di indagato ai sensi degli articoli 60 e 61 del codice di
procedura penale […]
9
Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina
A.A. 2008/09
Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
10. qualunque operazione o complesso di
operazioni, effettuati anche senza
l'ausilio di strumenti elettronici,
concernenti la raccolta, la
registrazione, l'organizzazione, la
conservazione, la consultazione,
TRATTAMENTO DEI DATI l'elaborazione, la modificazione, la
selezione, l'estrazione, il raffronto,
l'utilizzo, l'interconnessione, il blocco,
la comunicazione, la diffusione, la
cancellazione e la distruzione di dati,
anche se non registrati in una banca
di dati
10
Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina
A.A. 2008/09
Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
11. I PRINCIPALI ADEMPIMENTI
Notificazione
ADEMPIMENTI VERSO L’AUTORITÀ
GARANTE
Autorizzazione
Informativa
ADEMPIMENTI VERSO
GLI INTERESSATI
Richiesta
di consenso
Misure minime
ADEMPIMENTI INTERNI (O ORGANIZZATIVI) di sicurezza
11
Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina
A.A. 2008/09
Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
12. Notificazione
Come si notifica?
Art. 38. Modalità di notificazione [II] La
notificazione è validamente effettuata solo se è
trasmessa per via telematica utilizzando il modello
predisposto dal Garante e osservando le
prescrizioni da questi impartite, anche per quanto
riguarda le modalità di sottoscrizione con firma
digitale e di conferma del ricevimento della
notificazione. [Tramite il sito www.garanteprivacy.it]
12
Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina
A.A. 2008/09
Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
13. Notificazione
Quante volte si notifica?
Art. 38. Modalità di notificazione [IV] Una
nuova notificazione è richiesta solo
anteriormente alla cessazione del trattamento
o al mutamento di taluno degli elementi da
indicare nella notificazione medesima.
13
Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina
A.A. 2008/09
Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
14. Autorizzazione
previsto per tutti i titolari che trattano dati sensibili e
giudiziari
Art. 26. Garanzie per i dati sensibili.
1. I dati sensibili possono essere oggetto di trattamento solo con il consenso
scritto dell'interessato e previa autorizzazione del Garante, nell'osservanza
dei presupposti e dei limiti stabiliti dal presente codice, nonché dalla legge e
dai regolamenti.
2. Il Garante comunica la decisione adottata sulla richiesta di autorizzazione
entro quarantacinque giorni, decorsi i quali la mancata pronuncia equivale a
rigetto. Con il provvedimento di autorizzazione, ovvero successivamente,
anche sulla base di eventuali verifiche, il Garante può prescrivere misure e
accorgimenti a garanzia dell'interessato, che il titolare del trattamento è
tenuto ad adottare.
14
Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina
A.A. 2008/09
Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
15. Tenuto conto dell’altissimo numero di soggetti interessati, il
legislatore ha previsto le “Autorizzazioni Generali” concesse a
determinate categorie di titolari o di trattamenti
• Autorizzazione generale n. 1/2008 del 19 giugno 2008
“Trattamento dei dati sensibili nei rapporti di lavoro”
• Autorizzazione generale n. 2/2008 del 19 giugno 2008
“Trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale”
• Autorizzazione generale n. 3/2008 del 19 giugno 2008
“Trattamento dei dati sensibili da parte degli organismi di tipo associativo e delle fondazioni”
• Autorizzazione generale n. 4/2008 del 19 giugno 2008
“Trattamento dei dati sensibili da parte dei liberi professionisti”
• Autorizzazione generale n. 5/2008 del 19 giugno 2008
“Trattamento dei dati sensibili da parte di diverse categorie di titolari”
• Autorizzazione generale n. 6/2008 del 19 giugno 2008
“Trattamento dei dati sensibili da parte degli investigatori privati”
• Autorizzazione generale n. 7/2004 del 19 giugno 2008
“Trattamento dei dati a carattere giudiziario da parte di privati, di enti pubblici economici e di soggetti
pubblici”
15
Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina
A.A. 2008/09
Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
16. INFORMATIVA
Art. 13. Informativa.
L'interessato o la persona presso la quale sono
raccolti i dati personali sono previamente informati
oralmente o per iscritto circa:
I soggetti che La finalità La modalità I diritti
effettueranno del del dell’interessato
il trattamento trattamento trattamento
16
Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina
A.A. 2008/09
Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
17. La Forma dell’Informativa
L'interessato o la persona presso la quale sono raccolti i
dati personali sono previamente informati oralmente o
per iscritto […]
(art. 13 D.lgs. 196/03)
LA FORMA E’ LIBERA
E’ tuttavia consigliabile la forma scritta
quale prova dell’avvenuta comunicazione
17
Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina
A.A. 2008/09
Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
18. Consenso dell’interessato
Art. 23. Consenso.
[I] Il trattamento di dati personali da parte di privati o di enti
pubblici economici è ammesso solo con il consenso
espresso dell'interessato.
•Espresso
REQUISITI
•Libero
DI VALIDITA’
•Documentato per iscritto
•Scritta soltanto in casi di
FORMA trattamento di dati
sensibili
18
Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina
A.A. 2008/09
Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
19. Casi nei quali può essere
effettuato il trattamento senza
consenso (art. 24)
a) è necessario per adempiere ad un obbligo previsto dalla legge, da un regolamento o dalla normativa
comunitaria;
b) è necessario per eseguire obblighi derivanti da un contratto del quale è parte l'interessato […];
c) riguarda dati provenienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque,
fermi restando i limiti e le modalità che le leggi, i regolamenti o la normativa comunitaria
stabiliscono per la conoscibilità e pubblicità dei dati;
d) riguarda dati relativi allo svolgimento di attività economiche, trattati nel rispetto della vigente
normativa in materia di segreto aziendale e industriale;
e) è necessario per la salvaguardia della vita o dell'incolumità fisica di un terzo.
f) […] è necessario ai fini dello svolgimento delle investigazioni difensive di cui alla legge 7 dicembre
2000, n. 397, o, comunque, per far valere o difendere un diritto in sede giudiziaria […]
g) […] è necessario, nei casi individuati dal Garante sulla base dei princìpi sanciti dalla legge, per
perseguire un legittimo interesse del titolare o di un terzo
h) […] è effettuato da associazioni, enti od organismi senza scopo di lucro, anche non riconosciuti, in
riferimento a soggetti che hanno con essi contatti regolari o ad aderenti, per il perseguimento di
scopi determinati e legittimi individuati dall'atto costitutivo, dallo statuto o dal contratto collettivo
[…]
19
Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina
A.A. 2008/09
Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
20. Disciplinare Tecnico
“Misure Minime di Sicurezza”.
MISURE MINIME MISURE IDONEE
DI SICUREZZA DI SICUREZZA
20
Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina
A.A. 2008/09
Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
21. Lunghezza minima della password di
1.
CARATTERISTICHE DELLE
8 caratteri,
CREDENZIALI DI
non riconducibile al soggetto
2.
AUTENTICAZIONE
Modifica dopo il primo utilizzo, ogni 6
1.
o 3 mesi a seconda dei dati trattati
Disattivazione in caso di non uso per
2.
almeno 6 mesi o di perdita della
qualità che permette l’accesso ai dati
GESTIONE DELLE Garanzia della disponibilità dei dati o
3.
CREDENZIALI DI degli strumenti elettronici in caso di
AUTENTICAZIONE prolungata assenza o impedimento
dell’incaricato che goda delle
credenziali di autenticazione
21
Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina
A.A. 2008/09
Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
22. “Misure minime di sicurezza”
VS
“Misure idonee di sicurezza”
È NECESSARIO PRESTARE ATTENZIONE ALLA DISTINZIONE TRA MISURE
MINIME DI SICUREZZA E MISURE IDONEE DI SICUREZZA
art. 4 comma 3 del D.Lgs. 196/03: “Il complesso delle
misure tecniche, informatiche, organizzative, logistiche e
procedurali di sicurezza che configurano il livello minimo di MISURE MINIME
protezione richiesto in relazione ai rischi previsti
nell'articolo 31”.
NESSUNA DEFINIZIONE NORMATIVA: sono individuabili sulla
base delle soluzioni tecniche concretamente disponibili sul
MISURE IDONEE mercato, mentre le misure minime sono puntualmente
individuate dalla legge (in particolare dall'allegato B)”.
22
Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina
Privacy e sicurezza 22
A.A. 2008/09
Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
23. “Misure minime di sicurezza”
VS
“Misure idonee di sicurezza”
CONSEGUENZE DIVERSE PER IL MANCATO RISPETTO DELLE MISURE MINIME
DI SICUREZZA E DELLE MISURE IDONEE DI SICUREZZA
Responsabilità di tipo amministrativo e penale MISURE MINIME
Responsabilità Civile ex art. 2050 c.c.
MISURE IDONEE
23
Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina
Privacy e sicurezza 23
A.A. 2008/09
Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
24. Verifica almeno annuale delle condizioni per
SISTEMA DI AUTORIZZAZIONE
l’autorizzazione
Attivazione di idonei strumenti elettronici
PROTEZIONE CONTRO IL
da aggiornare con cadenza almeno
RISCHIO DI INTRUSIONE
semestrale.
•Almeno annuale per dati comuni
AGGIORNAMENTI PERIODICI DEI
•Almeno semestrale per dati sensibili e/o
PROGRAMMI PER ELABORATORE
giudiziari
24
Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina
A.A. 2008/09
Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
25. salvataggio dei dati con frequenza almeno
BACK UP settimanale
Ripristino entro il termine massimo di una
DISASTER RECOVERY settimana
25
Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina
A.A. 2008/09
Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
26. DOCUMENTO PROGRAMMATICO PER LA
SICUREZZA
i compiti e le
l’elenco dei trattamenti
responsabilità dei
soggetti incaricati al
trattamento
l’analisi dei rischi con
l’indicazione delle misure
la protezione delle
che sono adottate al fine
aree e dei locali in
di garantire l’integrità e la
relazione alla loro
disponibilità dei dati
custodia ed accessibilità
26
Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina
A.A. 2008/09
Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
27. DOCUMENTO PROGRAMMATICO PER LA
SICUREZZA
i criteri per l’adozione delle
l’analisi dei rischi con misure minime di sicurezza in
l’individuazione delle modalità caso di trattamenti di dati
che possono essere poste a personali affidati all’esterno
favore del ripristino della della struttura (outsourcing)
disponibilità dei dati qualora si
verifichino episodi di
distruzione o
danneggiamento criteri adottati per la
separazione dei dati sensibili
da quelli comuni.
gli interventi formativi in
tema di analisi dei rischi che
incombono sui dati
27
Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina
A.A. 2008/09
Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
28. DOCUMENTO PROGRAMMATICO PER LA
SICUREZZA
Ripristino della
Protezione contro disponibilità dei dati
l’accesso abusivo con entro sette giorni
strumenti hardware e
software
Particolari misure
Attenta gestione dei
fisiche e logiche di
supporti magnetici
protezione per i dati
rimovibili
genetici – cifratura –
28
Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina
A.A. 2008/09
Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
29. Quali sono i titolari obbligati a redigere il
D.P.S. ?
CONTRASTO TRA ART. 34 LETT. G) D.LGS. 196/03
E
DISCIPLINARE TECNICO “ALLEGATO B”
il documento programmatico tenuta di un aggiornato
sulla sicurezza va redatto dai documento programmatico sulla
Titolari di un trattamento di dati sicurezza per chiunque tratta
sensibili o giudiziari (punto 19.1 dati personali su supporti
all. b) elettronici (art. 34 lett. g)
29
Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina
A.A. 2008/09
Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
30. SOLUZIONE
Il DPS deve essere redatto dal titolare del
trattamento di dati sensibili o giudiziari
effettuato con strumenti elettronici
L’art. 34 ha valore di legge (fonte primaria) e prevale
1 sull’allegato b che ha
valore regolamentare (fonte secondaria)
“In base al nuovo Codice, la misura minima del DPS
deve essere ora adottata dal titolare di un trattamento di
dati sensibili o giudiziari effettuato con strumenti
2 elettronici”
Punto 2.2 Parere garante 22 marzo 2004
30
Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina
A.A. 2008/09
Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
31. E’ consigliabile redigere sempre un documento riepilogativo
Sullo stato di adeguamento privacy della propria azienda
PERCHE’
Il codice della Privacy impone una nuova metodologia di lavoro che
comporta impiego di risorse umane ed economiche
E’ FONDAMENTALE
Tenere traccia di quanto è stato fatto nella propria struttura aziendale per
il corretto trattamento dei dati personali
31
Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina
A.A. 2008/09
Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
32. Documento recante “data certa”
Art. 181 comma 2, d.lgs. 196/03
Il titolare che alla data di entrata in vigore del presente codice dispone di
strumenti elettronici che, per obiettive ragioni tecniche, non consentono in tutto
o in parte l'immediata applicazione delle misure minime di cui all'articolo 34 e
delle corrispondenti modalità tecniche di cui all'allegato B), descrive le
medesime ragioni in un documento a data certa da conservare presso la
propria struttura
NON SI TRATTA DEL D.P.S.
32
Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina
A.A. 2008/09
Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
33. Relazione accompagnatoria di bilancio
Punto 26 all. b)
Il titolare riferisce, nella relazione accompagnatoria
del bilancio d'esercizio, se dovuta, dell'avvenuta
redazione o aggiornamento del documento
programmatico sulla sicurezza
IL D.P.S. NON VA ALLEGATO AL BILANCIO
33
Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina
A.A. 2008/09
Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
34. Altri adempimenti interni
(nomine ed incarichi)
34
Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina
A.A. 2008/09
Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
35. ATTO DI NOMINA DEL RESPONSABILE DEL
TRATTAMENTO DATI [VEDI ESEMPIO]
ATTO DI NOMINA DELL’INCARICATO DEL
TRATTAMENTO DATI [VEDI ESEMPIO]
ATTO DI NOMINA DELL’AMMINISTRATORE
DEL SISTEMA INFORMATIVO [VEDI ESEMPIO]
ATTO DI NOMINA CUSTODE PAROLE
CHIAVE [VEDI ESEMPIO]
35
Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina
A.A. 2008/09
Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
36. Responsabilità, Sanzioni e Tutela
36
Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina
A.A. 2008/09
Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
37. IL CODICE PREVEDE TRE TIPI DI
RESPONSABILITÀ:
AMMINISTRATIVA
Artt. 161- 166
CIVILE
Art. 15
PENALE
Artt. 167- 172
37
Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina
A.A. 2008/09
Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
38. TITOLO III
Sanzioni.
Capo I - Violazioni amministrative
Artt. 161-166
L'organo competente ad irrogare le sanzioni
amministrative è il Garante. Si osservano, in quanto
applicabili, le disposizioni della legge 24 novembre
1981, n. 689, e successive modificazioni.
38
Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina
A.A. 2008/09
Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
39. art. 161 – OMESSA O INIDONEA INFORMATIVA
ALL’INTERESSATO
DA €. 3.000 a 18.000 DA €. 5.000 a 30.000
SE RIGUARDA DATI COMUNI SE RIGUARDA DATI SENSIBILI
MOLTIPLICABILE PER TRE IN RELAZIONE ALLE CONDIZIONI
ECONOMICHE DEL CONTRAVVENTORE
39
Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina
A.A. 2008/09
Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
40. art. 163 – Omessa o
incompleta notificazione al
garante
da €. 10.000 a 60.000
da €. 4.000 a 24.000
Art. 164 – Omesso invio di
informazioni o documenti
richiesti dal garante
40
Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina
A.A. 2008/09
Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
41. RESPONSABILITA’ CIVILE
Art. 15. Danni cagionati per effetto del trattamento.
Chiunque cagiona danno ad altri per effetto del
trattamento di dati personali è tenuto al risarcimento ai sensi
dell'articolo 2050 del codice civile.
Art. 2050 c.c.:Responsabilità per l'esercizio di attività pericolose.
Chiunque cagiona danno ad altri nello svolgimento di un’attività
pericolosa, per sua natura o per natura dei mezzi adoperati, è tenuto
al risarcimento, se non prova di avere adottato tutte le misure idonee
a evitare il danno
41
Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina
A.A. 2008/09
Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
42. RESPONSABILITA’ PENALE
Art. 15. Danni cagionati per effetto del trattamento.
Chiunque cagiona danno ad altri per effetto del
trattamento di dati personali è tenuto al risarcimento ai sensi
dell'articolo 2050 del codice civile.
Art. 2050 c.c.:Responsabilità per l'esercizio di attività pericolose.
Chiunque cagiona danno ad altri nello svolgimento di un’attività
pericolosa, per sua natura o per natura dei mezzi adoperati, è tenuto
al risarcimento, se non prova di avere adottato tutte le misure idonee
a evitare il danno
42
Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina
A.A. 2008/09
Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
43. TITOLO III
Sanzioni.
Capo II – Illeciti Penali
Artt. 167-172
1. se dal fatto deriva
nocumento, reclusione da
Art. 167 – TRATTAMENTO sei a diciotto mesi
ILLECITO DI DATI PERSONALI 2. se il fatto consiste nella
comunicazione o diffusione,
con la reclusione da sei a
ventiquattro mesi.
Art. 168 – FALSITÀ NELLE salvo che il fatto costituisca più
DICHIARAZIONI E NOTIFICAZIONI grave reato, con la reclusione
AL GARANTE da sei mesi a tre anni
43
Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina
A.A. 2008/09
Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
44. arresto sino a due anni o
ammenda da €. 10.000 a
Art. 169 – OMISSIONE DI
50.000.
ADOZIONE DELLE MISURE
MINIME DI SICUREZZA
RAVVEDIMENTO OPEROSO
All'autore è impartita una prescrizione fissando un
termine per la regolarizzazione. Nei sessanta giorni
successivi allo scadere del termine, se risulta
l'adempimento alla prescrizione, l'autore del reato è
ammesso dal Garante a pagare una somma pari al
quarto del massimo dell'ammenda stabilita per la
contravvenzione.
reclusione da tre mesi a due
Art. 170 – INOSSERVANZA DEI
anni
PROVVEDIMENTI DEL GARANTE
44
Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina
A.A. 2008/09
Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
45. Forme di tutela
1. se dal fatto deriva
nocumento, reclusione da
Art. 167 – TRATTAMENTO sei a diciotto mesi
ILLECITO DI DATI PERSONALI 2. se il fatto consiste nella
comunicazione o diffusione,
con la reclusione da sei a
ventiquattro mesi.
Art. 168 – FALSITÀ NELLE salvo che il fatto costituisca più
DICHIARAZIONI E NOTIFICAZIONI grave reato, con la reclusione
AL GARANTE da sei mesi a tre anni
45
Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina
A.A. 2008/09
Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
46. Forme di tutela
TUTELA GIURISDIZIONALE TUTELA AMMINISTRATIVA
GIUDICE ORDINARIO GARANTE
Per il risarcimento dei danni
l’unica forma di tutela
ammessa è quella davanti al
Giudice Ordinario
46
Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina
A.A. 2008/09
Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
47. I PIU’ RECENTI INTERVENTI DEL GARANTE PRIVACY
LE REGOLE PER
LE REGOLE PER GLI LA ROTTAMAZIONE DI
AMMINISTRATORI DI SISTEMA APPARECCHIATURE
ELETTRICHE ED ELETTRONICHE
Provvedimenti a carattere generale - 13 ottobre 2008 Provvedimenti a carattere generale - 27 novembre 2008
G.U. n. 300 del 24 dicembre 2008)
G.U. n. 287 del 9 dicembre 2008
47
Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina
A.A. 2008/09
Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
48. AMMINISTRATORI DI SISTEMA
Comunicato stampa - 14 gennaio 2009
Soggetti che vigilano sul corretto
utilizzo dei sistemi informatici
AMMINISTRATORI DI
di un'azienda
SISTEMA o di
una pubblica amministrazione.
L’amministratore di sistema non è semplicemente il manutentore
della struttura informatica ma è il “garante informatico”
della protezione delle informazioni personali unitamente al titolare.
48
Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina
A.A. 2008/09
Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
49. AMMINISTRATORI DI SISTEMA
Comunicato stampa - 14 gennaio 2009
Non è una figura nuova nell’ordinamento italiano.
Esisteva già nel Regolamento attuativo (DPR 318/1999) della legge
675/1996.
Esistevano due figure:
1. il preposto alla custodia della parola chiave
2. l’amministratore di sistema. (abrogato dall'art. 183, D.Lgs. n. 196/03)
49
Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina
A.A. 2008/09
Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
50. AMMINISTRATORI DI SISTEMA
Comunicato stampa - 14 gennaio 2009
1. Deve trattarsi di un soggetto affidabile.
“….a. Valutazione delle caratteristiche soggettive. L'attribuzione delle funzioni di amministratore di sistema
deve avvenire previa valutazione delle caratteristiche di esperienza, capacità e affidabilità del soggetto
designato, il quale deve fornire idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di
trattamento, ivi compreso il profilo relativo alla sicurezza. Anche quando le funzioni di amministratore di
sistema o assimilate sono attribuite solo nel quadro di una designazione quale incaricato del trattamento ai
sensi dell'art. 30 del Codice, il titolare e il responsabile devono attenersi comunque a criteri di valutazione
equipollenti a quelli richiesti per la designazione dei responsabili ai sensi dell'art. 29quot;.
2. Si deve procedere alla designazione individuale ovvero occorre predisporre apposita nomina
scritta con il profilo di operatività corrispondente al profilo di autorizzazione assegnato.
50
Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina
A.A. 2008/09
Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
51. AMMINISTRATORI DI SISTEMA
3. Devono essere resi noti al pubblico e ai lavoratori gli estremi identificativi dell’amministratore di sistema tramite
menzione nel DPS.
“….c. Elenco degli amministratori di sistema. Gli estremi identificativi delle persone fisiche amministratori di sistema, con l'elenco
delle funzioni ad essi attribuite, devono essere riportati nel documento programmatico sulla sicurezza oppure, nei casi in cui il
titolare non è tenuto a redigerlo, annotati comunque in un documento interno da mantenere aggiornato e disponibile in caso di
accertamenti da parte del Garante. Qualora l'attività degli amministratori di sistema riguardi anche indirettamente servizi o sistemi
che trattano o che permettono il trattamento di informazioni di carattere personale dei lavoratori, i titolari pubblici e privati sono
tenuti a rendere nota o conoscibile l'identità degli amministratori di sistema nell'ambito delle proprie organizzazioni, secondo le
caratteristiche dell'azienda o del servizio, in relazione ai diversi servizi informatici cui questi sono preposti. Ciò, avvalendosi
dell'informativa resa agli interessati ai sensi dell'art. 13 del Codice nell'ambito del rapporto di lavoro che li lega al titolare, oppure
tramite il disciplinare tecnico di cui al provvedimento del Garante n. 13 del 1° marzo 2007 (in G.U. 10 marzo 2007, n. 58) o, in
alternativa, mediante altri strumenti di comunicazione interna (ad es., intranet aziendale, ordini di servizio a circolazione interna o
bollettini). Ciò, salvi i casi in cui tali forme di pubblicità o di conoscibilità siano incompatibili con diverse previsioni dell'ordinamento
che disciplinino uno specifico settore”.
51
Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina
A.A. 2008/09
Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
52. AMMINISTRATORI DI SISTEMA
4 Si deve procedere alla verifica delle relative attività mediante
controllo almeno annuale.
5 Devono essere adottati sistemi idonei alla registrazione degli
accessi.
“….f. Registrazione degli accessi. Devono essere adottati sistemi idonei alla
registrazione degli accessi logici (autenticazione informatica) ai sistemi di
elaborazione e agli archivi elettronici da parte degli amministratori di
sistema. Le registrazioni (access log) devono avere caratteristiche di
completezza, inalterabilità e possibilità di verifica della loro integrità
adeguate al raggiungimento dello scopo per cui sono richieste. Le
registrazioni devono comprendere i riferimenti temporali e la descrizione
dell'evento che le ha generate e devono essere conservate per un congruo
periodo, non inferiore a sei mesi”.
52
Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina
A.A. 2008/09
Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
53. LA ROTTAMAZIONE DI APPARECCHIATURE
ELETTRICHE ED ELETTRONICHE
Comunicato stampa - 05 dicembre 2008
Misure tecniche preventive
È bene proteggere i file usando una password di cifratura, oppure memorizzare i dati su hard disk o su altri supporti magnetici
usando sistemi di cifratura automatica al momento della scrittura.
Misure tecniche di cancellazione sicura
La cancellazione sicura delle informazioni su disco fisso o su altri supporti magnetici è ottenibile con programmi informatici di
quot;riscritturaquot; che provvedono - una volta che l'utente abbia eliminato dei file dall'unità disco con i normali strumenti previsti dai
sistemi operativi (ad es., con l'uso del quot;cestinoquot; o con comandi di cancellazione) - a scrivere ripetutamente nelle aree vuote del
disco. Si possono anche utilizzare sistemi di formattazione a basso livello degli hard disk o di quot;demagnetizzazionequot;, in grado di
garantire la cancellazione rapida delle informazioni.
Smaltimento di rifiuti elettrici ed elettronici
Per la distruzione degli hard disk e di supporti magnetici non riscrivibili, come cd rom e dvd, è consigliabile l'utilizzo di sistemi di
punzonatura o deformazione meccanica o di demagnetizzazione ad alta intensità o di vera e propria distruzione fisica.
53
Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina
A.A. 2008/09
Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
54. LA ROTTAMAZIONE DI APPARECCHIATURE
ELETTRICHE ED ELETTRONICHE
Comunicato stampa - 05 dicembre 2008
Smaltimento di rifiuti elettrici ed elettronici
Per la distruzione degli hard disk e di supporti magnetici non riscrivibili,
come cd rom e dvd, è consigliabile l'utilizzo di sistemi di punzonatura o
deformazione meccanica o di demagnetizzazione ad alta intensità o di vera
e propria distruzione fisica.
Con questo provvedimento il Garante intende sviluppare una nuova
consapevolezza e indicare i modi con i quali rispettare i dati degli
altri e tutelarsi rispetto ai propri – commenta Giuseppe Fortunato -
La vecchia regola aurea, aggiornata ai nostri tempi vale anche in
questo caso: quot;Non fare ai dati degli altri quello che non vorresti
fosse fatto ai tuoiquot;.
54
Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina
A.A. 2008/09
Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
55. Grazie per l’attenzione
55
Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina
A.A. 2008/09
Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
56. LICENZA
Attribuzione - Non Commerciale - Condividi allo stesso modo 2.5
Tu sei libero:
di riprodurre, distribuire, comunicare al pubblico, esporre in pubblico, rappresentare, eseguire o recitare
l'opera
di creare opere derivate
Alle seguenti condizioni:
Attribuzione. Devi riconoscere il contributo dell'autore originario.
Non commerciale. Non puoi usare quest’opera per scopi commerciali.
Condividi allo stesso modo. Se alteri, trasformi o sviluppi quest’opera, puoi
distribuire l’opera risultante solo per mezzo di una licenza identica a questa.
In occasione di ogni atto di riutilizzazione o distribuzione, devi chiarire agli altri i termini della licenza di
quest’opera.
Se ottieni il permesso dal titolare del diritto d'autore, è possibile rinunciare ad ognuna di queste condizioni.
Le tue utilizzazioni libere e gli altri diritti non sono in nessun modo limitati da quanto sopra
56
Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina
A.A. 2008/09
Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni