1




                     A.A. 2008/09
            Corso di Laurea Specialistica in
     Ingegneria delle Telecomunicazio...
MODULO IV




Privacy e Trattamento dei Dati Personali




                                                               ...
SOMMARIO

Linee Fondamentali del
    Codice Privacy


       Principi


      Definizioni

Principali Adempimenti
     D.l...
Linee Fondamentali




                                                                                 4
     Diritto del...
CODICE DELLA PRIVACY


                                                     Chiunque ha diritto alla
                     ...
Costituzione della Repubblica

                                                la repubblica riconosce e garantisce i
    ...
Struttura del Codice


si compone di 3 parti:



    I – Disposizioni Generali
    II – Disposizioni Relative a Settori Sp...
Le definizioni




                                                                                 8
     Diritto dell’In...
qualunque informazione relativa a persona fisica, persona giuridica,
DATI PERSONALI
                                 ente ...
qualunque operazione o complesso di
                                                   operazioni, effettuati anche senza
...
I PRINCIPALI ADEMPIMENTI


                                                                             Notificazione
ADEM...
Notificazione

Come si notifica?

   Art. 38. Modalità di notificazione [II] La
   notificazione è validamente effettuata ...
Notificazione

Quante volte si notifica?


     Art. 38. Modalità di notificazione [IV] Una
     nuova notificazione è ric...
Autorizzazione
    previsto per tutti i titolari che trattano dati sensibili e
                             giudiziari
Art...
Tenuto conto dell’altissimo numero di soggetti interessati, il
    legislatore ha previsto le “Autorizzazioni Generali” co...
INFORMATIVA
Art. 13. Informativa.
L'interessato o la persona presso la quale sono
raccolti i dati personali sono previamen...
La Forma dell’Informativa

L'interessato o la persona presso la quale sono raccolti i
dati personali sono previamente info...
Consenso dell’interessato

Art. 23. Consenso.
[I] Il trattamento di dati personali da parte di privati o di enti
pubblici ...
Casi nei quali può essere
                                        effettuato il trattamento senza
                        ...
Disciplinare Tecnico
                            “Misure Minime di Sicurezza”.




MISURE MINIME                          ...
Lunghezza minima della password di
                                                  1.
CARATTERISTICHE DELLE
            ...
“Misure minime di sicurezza”
                                    VS
                        “Misure idonee di sicurezza”

...
“Misure minime di sicurezza”
                                  VS
                      “Misure idonee di sicurezza”

   C...
Verifica almeno annuale delle condizioni per
SISTEMA DI AUTORIZZAZIONE
                                                   ...
salvataggio dei dati con frequenza almeno
           BACK UP                                     settimanale




         ...
DOCUMENTO PROGRAMMATICO PER LA
            SICUREZZA

                                                             i compi...
DOCUMENTO PROGRAMMATICO PER LA
             SICUREZZA

                                                                 i ...
DOCUMENTO PROGRAMMATICO PER LA
            SICUREZZA

                                                        Ripristino d...
Quali sono i titolari obbligati a redigere il
                  D.P.S. ?


          CONTRASTO TRA ART. 34 LETT. G) D.LGS....
SOLUZIONE


Il DPS deve essere redatto dal titolare del
  trattamento di dati sensibili o giudiziari
    effettuato con st...
E’ consigliabile redigere sempre un documento riepilogativo
                Sullo stato di adeguamento privacy della propr...
Documento recante “data certa”

                                Art. 181 comma 2, d.lgs. 196/03


   Il titolare che alla ...
Relazione accompagnatoria di bilancio

                             Punto 26 all. b)


Il titolare riferisce, nella relazi...
Altri adempimenti interni
                   (nomine ed incarichi)




                                                   ...
ATTO DI NOMINA DEL RESPONSABILE DEL
                       TRATTAMENTO DATI [VEDI ESEMPIO]


 ATTO DI NOMINA DELL’INCARICA...
Responsabilità, Sanzioni e Tutela




                                                                                 36
...
IL CODICE PREVEDE TRE TIPI DI
                       RESPONSABILITÀ:



   AMMINISTRATIVA
Artt. 161- 166




   CIVILE
Art...
TITOLO III
                                         Sanzioni.
                            Capo I - Violazioni amministrati...
art. 161 – OMESSA O INIDONEA INFORMATIVA
             ALL’INTERESSATO


DA €. 3.000 a 18.000                              ...
art. 163 – Omessa o
incompleta notificazione al
garante

                                                                 ...
RESPONSABILITA’ CIVILE



   Art. 15. Danni cagionati per effetto del trattamento.
        Chiunque cagiona danno ad altri...
RESPONSABILITA’ PENALE



   Art. 15. Danni cagionati per effetto del trattamento.
        Chiunque cagiona danno ad altri...
TITOLO III
                                                  Sanzioni.
                                            Capo II...
arresto sino a due anni o
                                                                  ammenda da €. 10.000 a
Art. 16...
Forme di tutela


                                                                 1. se     dal      fatto deriva
       ...
Forme di tutela


TUTELA GIURISDIZIONALE                                 TUTELA AMMINISTRATIVA
  GIUDICE ORDINARIO        ...
I PIU’ RECENTI INTERVENTI DEL GARANTE PRIVACY




                                                                        ...
AMMINISTRATORI DI SISTEMA
Comunicato stampa - 14 gennaio 2009


                                                          ...
AMMINISTRATORI DI SISTEMA
Comunicato stampa - 14 gennaio 2009



             Non è una figura nuova nell’ordinamento ital...
AMMINISTRATORI DI SISTEMA
   Comunicato stampa - 14 gennaio 2009


1. Deve trattarsi di un soggetto affidabile.

  “….a. V...
AMMINISTRATORI DI SISTEMA


3. Devono essere resi noti al pubblico e ai lavoratori gli estremi identificativi dell’amminis...
AMMINISTRATORI DI SISTEMA




4 Si deve procedere alla verifica delle relative attività mediante
 controllo almeno annuale...
LA ROTTAMAZIONE DI APPARECCHIATURE
     ELETTRICHE ED ELETTRONICHE

     Comunicato stampa - 05 dicembre 2008



Misure te...
LA ROTTAMAZIONE DI APPARECCHIATURE
    ELETTRICHE ED ELETTRONICHE

    Comunicato stampa - 05 dicembre 2008




Smaltiment...
Grazie per l’attenzione




                                                                                    55
       ...
LICENZA


                 Attribuzione - Non Commerciale - Condividi allo stesso modo 2.5


Tu sei libero:
      di ripro...
Upcoming SlideShare
Loading in …5
×

Mod. Iv Aa 08 09

1,011 views
927 views

Published on

Privacy e trattamento dei dati personali.
(Modulo IV del corso di Diritto dell\'Informatica e delle Nuove Tecnologie, Facoltà di Ingegneria, laurea specialistica in Ingegneria delle Telecomunicazioni, Università di Cagliari)

Published in: Technology, Health & Medicine
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
1,011
On SlideShare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
0
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Mod. Iv Aa 08 09

  1. 1. 1 A.A. 2008/09 Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni Diritto dell’Informatica e delle Nuove Tecnologie Docente: Massimo Farina MODULO IV http://www.massimofarina.it massimo@massimofarina.it
  2. 2. MODULO IV Privacy e Trattamento dei Dati Personali 2 Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina A.A. 2008/09 Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
  3. 3. SOMMARIO Linee Fondamentali del Codice Privacy Principi Definizioni Principali Adempimenti D.lgs. 196/03 Responsabilità, Sanzioni e Tutela 3 Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina A.A. 2008/09 Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
  4. 4. Linee Fondamentali 4 Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina A.A. 2008/09 Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
  5. 5. CODICE DELLA PRIVACY Chiunque ha diritto alla protezione dei dati personali Art. 1 che lo riguardano Il presente testo unico, di seguito denominato quot;codicequot;, garantisce che il trattamento dei dati personali si svolga nel rispetto dei diritti e delle libertà fondamentali, nonché Art. 2 della dignità dell'interessato, con particolare riferimento alla riservatezza, all'identità personale e al diritto alla protezione dei dati personali 5 Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina A.A. 2008/09 Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
  6. 6. Costituzione della Repubblica la repubblica riconosce e garantisce i diritti inviolabili dell'uomo, sia come singolo sia nelle formazioni sociali, Art. 2 ove si svolge la sua personalità, e richiede l'adempimento dei doveri inderogabili di solidarietà politica, economica e sociale tutti hanno diritto di manifestare Art. 21 liberamente il proprio pensiero con la parola, lo scritto e ogni altro mezzo di diffusione. 6 Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina A.A. 2008/09 Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
  7. 7. Struttura del Codice si compone di 3 parti: I – Disposizioni Generali II – Disposizioni Relative a Settori Specifici III – Tutela dell'Interessato e Sanzioni …. e di 3 allegati A – Codici Deontologici (storici, statistici, giornalisti) B – Disciplinare Tecnico C – Trattamenti in ambito giudiziario ...
  8. 8. Le definizioni 8 Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina A.A. 2008/09 Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
  9. 9. qualunque informazione relativa a persona fisica, persona giuridica, DATI PERSONALI ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale i dati personali idonei a rivelare l'origine razziale ed etnica, le DATI SENSIBILI convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonchè i dati personali idonei a rivelare lo stato di salute e la vita sessuale i dati personali idonei a rivelare […] informazioni in materia di DATI GIUDIZIARI casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualità di imputato o di indagato ai sensi degli articoli 60 e 61 del codice di procedura penale […] 9 Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina A.A. 2008/09 Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
  10. 10. qualunque operazione o complesso di operazioni, effettuati anche senza l'ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, TRATTAMENTO DEI DATI l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati 10 Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina A.A. 2008/09 Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
  11. 11. I PRINCIPALI ADEMPIMENTI Notificazione ADEMPIMENTI VERSO L’AUTORITÀ GARANTE Autorizzazione Informativa ADEMPIMENTI VERSO GLI INTERESSATI Richiesta di consenso Misure minime ADEMPIMENTI INTERNI (O ORGANIZZATIVI) di sicurezza 11 Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina A.A. 2008/09 Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
  12. 12. Notificazione Come si notifica? Art. 38. Modalità di notificazione [II] La notificazione è validamente effettuata solo se è trasmessa per via telematica utilizzando il modello predisposto dal Garante e osservando le prescrizioni da questi impartite, anche per quanto riguarda le modalità di sottoscrizione con firma digitale e di conferma del ricevimento della notificazione. [Tramite il sito www.garanteprivacy.it] 12 Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina A.A. 2008/09 Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
  13. 13. Notificazione Quante volte si notifica? Art. 38. Modalità di notificazione [IV] Una nuova notificazione è richiesta solo anteriormente alla cessazione del trattamento o al mutamento di taluno degli elementi da indicare nella notificazione medesima. 13 Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina A.A. 2008/09 Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
  14. 14. Autorizzazione previsto per tutti i titolari che trattano dati sensibili e giudiziari Art. 26. Garanzie per i dati sensibili. 1. I dati sensibili possono essere oggetto di trattamento solo con il consenso scritto dell'interessato e previa autorizzazione del Garante, nell'osservanza dei presupposti e dei limiti stabiliti dal presente codice, nonché dalla legge e dai regolamenti. 2. Il Garante comunica la decisione adottata sulla richiesta di autorizzazione entro quarantacinque giorni, decorsi i quali la mancata pronuncia equivale a rigetto. Con il provvedimento di autorizzazione, ovvero successivamente, anche sulla base di eventuali verifiche, il Garante può prescrivere misure e accorgimenti a garanzia dell'interessato, che il titolare del trattamento è tenuto ad adottare. 14 Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina A.A. 2008/09 Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
  15. 15. Tenuto conto dell’altissimo numero di soggetti interessati, il legislatore ha previsto le “Autorizzazioni Generali” concesse a determinate categorie di titolari o di trattamenti • Autorizzazione generale n. 1/2008 del 19 giugno 2008 “Trattamento dei dati sensibili nei rapporti di lavoro” • Autorizzazione generale n. 2/2008 del 19 giugno 2008 “Trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale” • Autorizzazione generale n. 3/2008 del 19 giugno 2008 “Trattamento dei dati sensibili da parte degli organismi di tipo associativo e delle fondazioni” • Autorizzazione generale n. 4/2008 del 19 giugno 2008 “Trattamento dei dati sensibili da parte dei liberi professionisti” • Autorizzazione generale n. 5/2008 del 19 giugno 2008 “Trattamento dei dati sensibili da parte di diverse categorie di titolari” • Autorizzazione generale n. 6/2008 del 19 giugno 2008 “Trattamento dei dati sensibili da parte degli investigatori privati” • Autorizzazione generale n. 7/2004 del 19 giugno 2008 “Trattamento dei dati a carattere giudiziario da parte di privati, di enti pubblici economici e di soggetti pubblici” 15 Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina A.A. 2008/09 Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
  16. 16. INFORMATIVA Art. 13. Informativa. L'interessato o la persona presso la quale sono raccolti i dati personali sono previamente informati oralmente o per iscritto circa: I soggetti che La finalità La modalità I diritti effettueranno del del dell’interessato il trattamento trattamento trattamento 16 Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina A.A. 2008/09 Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
  17. 17. La Forma dell’Informativa L'interessato o la persona presso la quale sono raccolti i dati personali sono previamente informati oralmente o per iscritto […] (art. 13 D.lgs. 196/03) LA FORMA E’ LIBERA E’ tuttavia consigliabile la forma scritta quale prova dell’avvenuta comunicazione 17 Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina A.A. 2008/09 Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
  18. 18. Consenso dell’interessato Art. 23. Consenso. [I] Il trattamento di dati personali da parte di privati o di enti pubblici economici è ammesso solo con il consenso espresso dell'interessato. •Espresso REQUISITI •Libero DI VALIDITA’ •Documentato per iscritto •Scritta soltanto in casi di FORMA trattamento di dati sensibili 18 Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina A.A. 2008/09 Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
  19. 19. Casi nei quali può essere effettuato il trattamento senza consenso (art. 24) a) è necessario per adempiere ad un obbligo previsto dalla legge, da un regolamento o dalla normativa comunitaria; b) è necessario per eseguire obblighi derivanti da un contratto del quale è parte l'interessato […]; c) riguarda dati provenienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque, fermi restando i limiti e le modalità che le leggi, i regolamenti o la normativa comunitaria stabiliscono per la conoscibilità e pubblicità dei dati; d) riguarda dati relativi allo svolgimento di attività economiche, trattati nel rispetto della vigente normativa in materia di segreto aziendale e industriale; e) è necessario per la salvaguardia della vita o dell'incolumità fisica di un terzo. f) […] è necessario ai fini dello svolgimento delle investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397, o, comunque, per far valere o difendere un diritto in sede giudiziaria […] g) […] è necessario, nei casi individuati dal Garante sulla base dei princìpi sanciti dalla legge, per perseguire un legittimo interesse del titolare o di un terzo h) […] è effettuato da associazioni, enti od organismi senza scopo di lucro, anche non riconosciuti, in riferimento a soggetti che hanno con essi contatti regolari o ad aderenti, per il perseguimento di scopi determinati e legittimi individuati dall'atto costitutivo, dallo statuto o dal contratto collettivo […] 19 Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina A.A. 2008/09 Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
  20. 20. Disciplinare Tecnico “Misure Minime di Sicurezza”. MISURE MINIME MISURE IDONEE DI SICUREZZA DI SICUREZZA 20 Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina A.A. 2008/09 Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
  21. 21. Lunghezza minima della password di 1. CARATTERISTICHE DELLE 8 caratteri, CREDENZIALI DI non riconducibile al soggetto 2. AUTENTICAZIONE Modifica dopo il primo utilizzo, ogni 6 1. o 3 mesi a seconda dei dati trattati Disattivazione in caso di non uso per 2. almeno 6 mesi o di perdita della qualità che permette l’accesso ai dati GESTIONE DELLE Garanzia della disponibilità dei dati o 3. CREDENZIALI DI degli strumenti elettronici in caso di AUTENTICAZIONE prolungata assenza o impedimento dell’incaricato che goda delle credenziali di autenticazione 21 Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina A.A. 2008/09 Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
  22. 22. “Misure minime di sicurezza” VS “Misure idonee di sicurezza” È NECESSARIO PRESTARE ATTENZIONE ALLA DISTINZIONE TRA MISURE MINIME DI SICUREZZA E MISURE IDONEE DI SICUREZZA art. 4 comma 3 del D.Lgs. 196/03: “Il complesso delle misure tecniche, informatiche, organizzative, logistiche e procedurali di sicurezza che configurano il livello minimo di MISURE MINIME protezione richiesto in relazione ai rischi previsti nell'articolo 31”. NESSUNA DEFINIZIONE NORMATIVA: sono individuabili sulla base delle soluzioni tecniche concretamente disponibili sul MISURE IDONEE mercato, mentre le misure minime sono puntualmente individuate dalla legge (in particolare dall'allegato B)”. 22 Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina Privacy e sicurezza 22 A.A. 2008/09 Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
  23. 23. “Misure minime di sicurezza” VS “Misure idonee di sicurezza” CONSEGUENZE DIVERSE PER IL MANCATO RISPETTO DELLE MISURE MINIME DI SICUREZZA E DELLE MISURE IDONEE DI SICUREZZA Responsabilità di tipo amministrativo e penale MISURE MINIME Responsabilità Civile ex art. 2050 c.c. MISURE IDONEE 23 Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina Privacy e sicurezza 23 A.A. 2008/09 Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
  24. 24. Verifica almeno annuale delle condizioni per SISTEMA DI AUTORIZZAZIONE l’autorizzazione Attivazione di idonei strumenti elettronici PROTEZIONE CONTRO IL da aggiornare con cadenza almeno RISCHIO DI INTRUSIONE semestrale. •Almeno annuale per dati comuni AGGIORNAMENTI PERIODICI DEI •Almeno semestrale per dati sensibili e/o PROGRAMMI PER ELABORATORE giudiziari 24 Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina A.A. 2008/09 Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
  25. 25. salvataggio dei dati con frequenza almeno BACK UP settimanale Ripristino entro il termine massimo di una DISASTER RECOVERY settimana 25 Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina A.A. 2008/09 Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
  26. 26. DOCUMENTO PROGRAMMATICO PER LA SICUREZZA i compiti e le l’elenco dei trattamenti responsabilità dei soggetti incaricati al trattamento l’analisi dei rischi con l’indicazione delle misure la protezione delle che sono adottate al fine aree e dei locali in di garantire l’integrità e la relazione alla loro disponibilità dei dati custodia ed accessibilità 26 Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina A.A. 2008/09 Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
  27. 27. DOCUMENTO PROGRAMMATICO PER LA SICUREZZA i criteri per l’adozione delle l’analisi dei rischi con misure minime di sicurezza in l’individuazione delle modalità caso di trattamenti di dati che possono essere poste a personali affidati all’esterno favore del ripristino della della struttura (outsourcing) disponibilità dei dati qualora si verifichino episodi di distruzione o danneggiamento criteri adottati per la separazione dei dati sensibili da quelli comuni. gli interventi formativi in tema di analisi dei rischi che incombono sui dati 27 Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina A.A. 2008/09 Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
  28. 28. DOCUMENTO PROGRAMMATICO PER LA SICUREZZA Ripristino della Protezione contro disponibilità dei dati l’accesso abusivo con entro sette giorni strumenti hardware e software Particolari misure Attenta gestione dei fisiche e logiche di supporti magnetici protezione per i dati rimovibili genetici – cifratura – 28 Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina A.A. 2008/09 Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
  29. 29. Quali sono i titolari obbligati a redigere il D.P.S. ? CONTRASTO TRA ART. 34 LETT. G) D.LGS. 196/03 E DISCIPLINARE TECNICO “ALLEGATO B” il documento programmatico tenuta di un aggiornato sulla sicurezza va redatto dai documento programmatico sulla Titolari di un trattamento di dati sicurezza per chiunque tratta sensibili o giudiziari (punto 19.1 dati personali su supporti all. b) elettronici (art. 34 lett. g) 29 Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina A.A. 2008/09 Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
  30. 30. SOLUZIONE Il DPS deve essere redatto dal titolare del trattamento di dati sensibili o giudiziari effettuato con strumenti elettronici L’art. 34 ha valore di legge (fonte primaria) e prevale 1 sull’allegato b che ha valore regolamentare (fonte secondaria) “In base al nuovo Codice, la misura minima del DPS deve essere ora adottata dal titolare di un trattamento di dati sensibili o giudiziari effettuato con strumenti 2 elettronici” Punto 2.2 Parere garante 22 marzo 2004 30 Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina A.A. 2008/09 Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
  31. 31. E’ consigliabile redigere sempre un documento riepilogativo Sullo stato di adeguamento privacy della propria azienda PERCHE’ Il codice della Privacy impone una nuova metodologia di lavoro che comporta impiego di risorse umane ed economiche E’ FONDAMENTALE Tenere traccia di quanto è stato fatto nella propria struttura aziendale per il corretto trattamento dei dati personali 31 Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina A.A. 2008/09 Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
  32. 32. Documento recante “data certa” Art. 181 comma 2, d.lgs. 196/03 Il titolare che alla data di entrata in vigore del presente codice dispone di strumenti elettronici che, per obiettive ragioni tecniche, non consentono in tutto o in parte l'immediata applicazione delle misure minime di cui all'articolo 34 e delle corrispondenti modalità tecniche di cui all'allegato B), descrive le medesime ragioni in un documento a data certa da conservare presso la propria struttura NON SI TRATTA DEL D.P.S. 32 Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina A.A. 2008/09 Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
  33. 33. Relazione accompagnatoria di bilancio Punto 26 all. b) Il titolare riferisce, nella relazione accompagnatoria del bilancio d'esercizio, se dovuta, dell'avvenuta redazione o aggiornamento del documento programmatico sulla sicurezza IL D.P.S. NON VA ALLEGATO AL BILANCIO 33 Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina A.A. 2008/09 Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
  34. 34. Altri adempimenti interni (nomine ed incarichi) 34 Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina A.A. 2008/09 Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
  35. 35. ATTO DI NOMINA DEL RESPONSABILE DEL TRATTAMENTO DATI [VEDI ESEMPIO] ATTO DI NOMINA DELL’INCARICATO DEL TRATTAMENTO DATI [VEDI ESEMPIO] ATTO DI NOMINA DELL’AMMINISTRATORE DEL SISTEMA INFORMATIVO [VEDI ESEMPIO] ATTO DI NOMINA CUSTODE PAROLE CHIAVE [VEDI ESEMPIO] 35 Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina A.A. 2008/09 Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
  36. 36. Responsabilità, Sanzioni e Tutela 36 Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina A.A. 2008/09 Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
  37. 37. IL CODICE PREVEDE TRE TIPI DI RESPONSABILITÀ: AMMINISTRATIVA Artt. 161- 166 CIVILE Art. 15 PENALE Artt. 167- 172 37 Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina A.A. 2008/09 Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
  38. 38. TITOLO III Sanzioni. Capo I - Violazioni amministrative Artt. 161-166 L'organo competente ad irrogare le sanzioni amministrative è il Garante. Si osservano, in quanto applicabili, le disposizioni della legge 24 novembre 1981, n. 689, e successive modificazioni. 38 Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina A.A. 2008/09 Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
  39. 39. art. 161 – OMESSA O INIDONEA INFORMATIVA ALL’INTERESSATO DA €. 3.000 a 18.000 DA €. 5.000 a 30.000 SE RIGUARDA DATI COMUNI SE RIGUARDA DATI SENSIBILI MOLTIPLICABILE PER TRE IN RELAZIONE ALLE CONDIZIONI ECONOMICHE DEL CONTRAVVENTORE 39 Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina A.A. 2008/09 Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
  40. 40. art. 163 – Omessa o incompleta notificazione al garante da €. 10.000 a 60.000 da €. 4.000 a 24.000 Art. 164 – Omesso invio di informazioni o documenti richiesti dal garante 40 Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina A.A. 2008/09 Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
  41. 41. RESPONSABILITA’ CIVILE Art. 15. Danni cagionati per effetto del trattamento. Chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell'articolo 2050 del codice civile. Art. 2050 c.c.:Responsabilità per l'esercizio di attività pericolose. Chiunque cagiona danno ad altri nello svolgimento di un’attività pericolosa, per sua natura o per natura dei mezzi adoperati, è tenuto al risarcimento, se non prova di avere adottato tutte le misure idonee a evitare il danno 41 Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina A.A. 2008/09 Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
  42. 42. RESPONSABILITA’ PENALE Art. 15. Danni cagionati per effetto del trattamento. Chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell'articolo 2050 del codice civile. Art. 2050 c.c.:Responsabilità per l'esercizio di attività pericolose. Chiunque cagiona danno ad altri nello svolgimento di un’attività pericolosa, per sua natura o per natura dei mezzi adoperati, è tenuto al risarcimento, se non prova di avere adottato tutte le misure idonee a evitare il danno 42 Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina A.A. 2008/09 Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
  43. 43. TITOLO III Sanzioni. Capo II – Illeciti Penali Artt. 167-172 1. se dal fatto deriva nocumento, reclusione da Art. 167 – TRATTAMENTO sei a diciotto mesi ILLECITO DI DATI PERSONALI 2. se il fatto consiste nella comunicazione o diffusione, con la reclusione da sei a ventiquattro mesi. Art. 168 – FALSITÀ NELLE salvo che il fatto costituisca più DICHIARAZIONI E NOTIFICAZIONI grave reato, con la reclusione AL GARANTE da sei mesi a tre anni 43 Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina A.A. 2008/09 Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
  44. 44. arresto sino a due anni o ammenda da €. 10.000 a Art. 169 – OMISSIONE DI 50.000. ADOZIONE DELLE MISURE MINIME DI SICUREZZA RAVVEDIMENTO OPEROSO All'autore è impartita una prescrizione fissando un termine per la regolarizzazione. Nei sessanta giorni successivi allo scadere del termine, se risulta l'adempimento alla prescrizione, l'autore del reato è ammesso dal Garante a pagare una somma pari al quarto del massimo dell'ammenda stabilita per la contravvenzione. reclusione da tre mesi a due Art. 170 – INOSSERVANZA DEI anni PROVVEDIMENTI DEL GARANTE 44 Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina A.A. 2008/09 Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
  45. 45. Forme di tutela 1. se dal fatto deriva nocumento, reclusione da Art. 167 – TRATTAMENTO sei a diciotto mesi ILLECITO DI DATI PERSONALI 2. se il fatto consiste nella comunicazione o diffusione, con la reclusione da sei a ventiquattro mesi. Art. 168 – FALSITÀ NELLE salvo che il fatto costituisca più DICHIARAZIONI E NOTIFICAZIONI grave reato, con la reclusione AL GARANTE da sei mesi a tre anni 45 Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina A.A. 2008/09 Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
  46. 46. Forme di tutela TUTELA GIURISDIZIONALE TUTELA AMMINISTRATIVA GIUDICE ORDINARIO GARANTE Per il risarcimento dei danni l’unica forma di tutela ammessa è quella davanti al Giudice Ordinario 46 Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina A.A. 2008/09 Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
  47. 47. I PIU’ RECENTI INTERVENTI DEL GARANTE PRIVACY LE REGOLE PER LE REGOLE PER GLI LA ROTTAMAZIONE DI AMMINISTRATORI DI SISTEMA APPARECCHIATURE ELETTRICHE ED ELETTRONICHE Provvedimenti a carattere generale - 13 ottobre 2008 Provvedimenti a carattere generale - 27 novembre 2008 G.U. n. 300 del 24 dicembre 2008) G.U. n. 287 del 9 dicembre 2008 47 Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina A.A. 2008/09 Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
  48. 48. AMMINISTRATORI DI SISTEMA Comunicato stampa - 14 gennaio 2009 Soggetti che vigilano sul corretto utilizzo dei sistemi informatici AMMINISTRATORI DI di un'azienda SISTEMA o di una pubblica amministrazione. L’amministratore di sistema non è semplicemente il manutentore della struttura informatica ma è il “garante informatico” della protezione delle informazioni personali unitamente al titolare. 48 Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina A.A. 2008/09 Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
  49. 49. AMMINISTRATORI DI SISTEMA Comunicato stampa - 14 gennaio 2009 Non è una figura nuova nell’ordinamento italiano. Esisteva già nel Regolamento attuativo (DPR 318/1999) della legge 675/1996. Esistevano due figure: 1. il preposto alla custodia della parola chiave 2. l’amministratore di sistema. (abrogato dall'art. 183, D.Lgs. n. 196/03) 49 Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina A.A. 2008/09 Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
  50. 50. AMMINISTRATORI DI SISTEMA Comunicato stampa - 14 gennaio 2009 1. Deve trattarsi di un soggetto affidabile. “….a. Valutazione delle caratteristiche soggettive. L'attribuzione delle funzioni di amministratore di sistema deve avvenire previa valutazione delle caratteristiche di esperienza, capacità e affidabilità del soggetto designato, il quale deve fornire idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza. Anche quando le funzioni di amministratore di sistema o assimilate sono attribuite solo nel quadro di una designazione quale incaricato del trattamento ai sensi dell'art. 30 del Codice, il titolare e il responsabile devono attenersi comunque a criteri di valutazione equipollenti a quelli richiesti per la designazione dei responsabili ai sensi dell'art. 29quot;. 2. Si deve procedere alla designazione individuale ovvero occorre predisporre apposita nomina scritta con il profilo di operatività corrispondente al profilo di autorizzazione assegnato. 50 Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina A.A. 2008/09 Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
  51. 51. AMMINISTRATORI DI SISTEMA 3. Devono essere resi noti al pubblico e ai lavoratori gli estremi identificativi dell’amministratore di sistema tramite menzione nel DPS. “….c. Elenco degli amministratori di sistema. Gli estremi identificativi delle persone fisiche amministratori di sistema, con l'elenco delle funzioni ad essi attribuite, devono essere riportati nel documento programmatico sulla sicurezza oppure, nei casi in cui il titolare non è tenuto a redigerlo, annotati comunque in un documento interno da mantenere aggiornato e disponibile in caso di accertamenti da parte del Garante. Qualora l'attività degli amministratori di sistema riguardi anche indirettamente servizi o sistemi che trattano o che permettono il trattamento di informazioni di carattere personale dei lavoratori, i titolari pubblici e privati sono tenuti a rendere nota o conoscibile l'identità degli amministratori di sistema nell'ambito delle proprie organizzazioni, secondo le caratteristiche dell'azienda o del servizio, in relazione ai diversi servizi informatici cui questi sono preposti. Ciò, avvalendosi dell'informativa resa agli interessati ai sensi dell'art. 13 del Codice nell'ambito del rapporto di lavoro che li lega al titolare, oppure tramite il disciplinare tecnico di cui al provvedimento del Garante n. 13 del 1° marzo 2007 (in G.U. 10 marzo 2007, n. 58) o, in alternativa, mediante altri strumenti di comunicazione interna (ad es., intranet aziendale, ordini di servizio a circolazione interna o bollettini). Ciò, salvi i casi in cui tali forme di pubblicità o di conoscibilità siano incompatibili con diverse previsioni dell'ordinamento che disciplinino uno specifico settore”. 51 Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina A.A. 2008/09 Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
  52. 52. AMMINISTRATORI DI SISTEMA 4 Si deve procedere alla verifica delle relative attività mediante controllo almeno annuale. 5 Devono essere adottati sistemi idonei alla registrazione degli accessi. “….f. Registrazione degli accessi. Devono essere adottati sistemi idonei alla registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema. Le registrazioni (access log) devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo per cui sono richieste. Le registrazioni devono comprendere i riferimenti temporali e la descrizione dell'evento che le ha generate e devono essere conservate per un congruo periodo, non inferiore a sei mesi”. 52 Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina A.A. 2008/09 Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
  53. 53. LA ROTTAMAZIONE DI APPARECCHIATURE ELETTRICHE ED ELETTRONICHE Comunicato stampa - 05 dicembre 2008 Misure tecniche preventive È bene proteggere i file usando una password di cifratura, oppure memorizzare i dati su hard disk o su altri supporti magnetici usando sistemi di cifratura automatica al momento della scrittura. Misure tecniche di cancellazione sicura La cancellazione sicura delle informazioni su disco fisso o su altri supporti magnetici è ottenibile con programmi informatici di quot;riscritturaquot; che provvedono - una volta che l'utente abbia eliminato dei file dall'unità disco con i normali strumenti previsti dai sistemi operativi (ad es., con l'uso del quot;cestinoquot; o con comandi di cancellazione) - a scrivere ripetutamente nelle aree vuote del disco. Si possono anche utilizzare sistemi di formattazione a basso livello degli hard disk o di quot;demagnetizzazionequot;, in grado di garantire la cancellazione rapida delle informazioni. Smaltimento di rifiuti elettrici ed elettronici Per la distruzione degli hard disk e di supporti magnetici non riscrivibili, come cd rom e dvd, è consigliabile l'utilizzo di sistemi di punzonatura o deformazione meccanica o di demagnetizzazione ad alta intensità o di vera e propria distruzione fisica. 53 Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina A.A. 2008/09 Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
  54. 54. LA ROTTAMAZIONE DI APPARECCHIATURE ELETTRICHE ED ELETTRONICHE Comunicato stampa - 05 dicembre 2008 Smaltimento di rifiuti elettrici ed elettronici Per la distruzione degli hard disk e di supporti magnetici non riscrivibili, come cd rom e dvd, è consigliabile l'utilizzo di sistemi di punzonatura o deformazione meccanica o di demagnetizzazione ad alta intensità o di vera e propria distruzione fisica. Con questo provvedimento il Garante intende sviluppare una nuova consapevolezza e indicare i modi con i quali rispettare i dati degli altri e tutelarsi rispetto ai propri – commenta Giuseppe Fortunato - La vecchia regola aurea, aggiornata ai nostri tempi vale anche in questo caso: quot;Non fare ai dati degli altri quello che non vorresti fosse fatto ai tuoiquot;. 54 Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina A.A. 2008/09 Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
  55. 55. Grazie per l’attenzione 55 Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina A.A. 2008/09 Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
  56. 56. LICENZA Attribuzione - Non Commerciale - Condividi allo stesso modo 2.5 Tu sei libero: di riprodurre, distribuire, comunicare al pubblico, esporre in pubblico, rappresentare, eseguire o recitare l'opera di creare opere derivate Alle seguenti condizioni: Attribuzione. Devi riconoscere il contributo dell'autore originario. Non commerciale. Non puoi usare quest’opera per scopi commerciali. Condividi allo stesso modo. Se alteri, trasformi o sviluppi quest’opera, puoi distribuire l’opera risultante solo per mezzo di una licenza identica a questa. In occasione di ogni atto di riutilizzazione o distribuzione, devi chiarire agli altri i termini della licenza di quest’opera. Se ottieni il permesso dal titolare del diritto d'autore, è possibile rinunciare ad ognuna di queste condizioni. Le tue utilizzazioni libere e gli altri diritti non sono in nessun modo limitati da quanto sopra 56 Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina A.A. 2008/09 Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni

×