Lezioni di Privacy Corso2011

Click to edit Master title style
Lezioni di Privacy
• Click to edit Master text styles
• Second level
• Third levelprotezione dei dati
Il Codice per la
personali Videosorveglianza –Stress
• Fourth level
correlato level
• Fifth
Roberto Ghinolfi

05/07/12 1

Che cos’è la privacy

• Click to edit Master textprotezione dei dati
Art. 1 Diritto alla styles
personali
• Second level
Chiunque ha diritto alla protezione dei dati
• Third levelche lo riguardano.
personali
• Fourth level
• IL DLGS.196/2003 TUTELA I DIRITTI DI UN
Fifth level
INTERESSATO DURANTE UN
TRATTAMENTO DI DATI PERSONALI

05/07/12 2

Che cosa sono i dati personali?

Qualunque informazione relativa a
persona fisica, persona giuridica,
• Click to edit Master text styles ente o associazione, identificata o
identificabile, anche indirettamente,
• Second level mediante riferimento a qualsiasi
altra informazione, ivi compreso un
• Third level numero di identificazione personale
E’ un’informazione oggettivamente
• Fourth level caratterizzante (suscettibile di verifica)
- Può essere una valutazione soggettiva
• Fifth level (descrizioni, giudizi, analisi, ricostruzioni
ecc.)
- Va intesa in senso ampio (suoni, immagini,
dati biometrici, dati genetici)

05/07/12 3

Come si suddividono i dati personali

• Click to edit Master text stylescomuni, identificativi
 dati
• Second level  dati sensibili e giudiziari
 dati di natura comune
• Third level
(il cui trattamento
• Fourth level presenta rischi specifici)
• Fifth level

05/07/12 4

Che cosa sono i dati sensibili?

Click to editche riguardano:title style
Dati
Master
 lo stato di salute
 la vita sessuale
 • Second level
l’origine razziale o etnica
 • convinzioni religiose, filosofiche o di altro genere
le Third level
 le opinioni politiche, l’adesione a partiti, sindacati, associazioni
• Fourth level
 l’adesione a organizzazioni di carattere religioso, filosofico,
• Fifthsindacale
politico o level

05/07/12 5

Definizione: Trattamento

Operazione o complesso di operazioni, effettuati anche senza
l’ausilio di strumenti elettronici, riguardanti:
Raccolta, Registrazione, Organizzazione, Conservazione,
• Second level
Consultazione, Elaborazione, Modificazione, Selezione,
Estrazione, Raffronto, Utilizzo, Interconnessione, Blocco,
• Third level
Comunicazione, Diffusione, Cancellazione, Distruzione dei dati,
anche se non registrati in una banca dati
• Fourth level
• Fifth level
COMUNICAZIONE: soggetti definiti e identificati
DIFFUSIONE: soggetti indeterminati

05/07/12 6

Chi sono gli interessati

La persona fisica, la persona giuridica, l’ente o l’associazione cui
si riferiscono i dati personali
• soggetto, level
ogni Secondi cui dati vengono trattati, è garante di sé stesso

• Third level
ciascun interessato può curare direttamente la tutela dei propri diritti
• Fourth level
• soggetti che trattano i dati personali all’interno delle imprese il
per iFifth level
primo controllore è l’insieme dei dipendenti, clienti e fornitori

05/07/12 7

SEMPLIFICAZIONI

Possono avvalersi della semplificazione sia le pubbliche amministrazioni sia
imprese e professionisti che
A) che trattano SOLAMENTE dati sensibili per i dipendenti inerenti alla
gestione della malattia senza diagnosi o dei Rapporti sindacali;

• li trattano level
B)cheSecond questi dati personali sensibili SOLAMENTE per finalità
amministrative e contabili, in particolare presso liberi professionisti, artigiani e
• Third level piccole e medie imprese.
• Fourth level
Il Garante con queste indicazioni sta venendo incontro a tutta una serie di
piccole aziende che utilizzano in toto Studi paghe e Studi di Commercialisti
• Fifthla gestione dei rapporti di lavoro con i dipendenti.
per level
Stiamo parlando, di meccanici, piccoli Negozi, Liberi professionisti etc.

05/07/12 8

PRIVACY ED ANALISI STRESS LAVORATIVO

decreto legislativo 81/ 2008 e sue successive
• modifiche level
Second con d.lgs. 106/2009). Dal primo gennaio
c’è l’obbligo per tutti i datori di lavoro di “misurare” lo
• stress dei propri dipendenti, provvedendo, qualora
Third level
• Fourth leveleliminarlo o almeno a ridurlo.
esista, a

• Fifth level

05/07/12 9

???? E ALLORA ?

• Second level
• Third level
• Fourth level
• Fifth level

05/07/12 10


Click to edit COME
Master title style
I NDI CATOR I AZI ENDALI CONTES TO DEL LAVORO CONTENUTO DEL LAVOR O
Infortuni Ambiente di lavoro ed
Funzione e cultura organizzativa
Assenza per malattia attrezzature di lavoro
• Second level
Assenteismo Ruolo nell’ambito
Pianificazione dei compiti
Ferie non godute dell’organizzazione

• Third level
Rotazione del personale Evoluzione della carriera Carico di lavoro – ritmo di lavoro

Turnover
Autonomia decisionale –
• Fourth level
Procedimenti/ Sanzioni
disciplinari
controllo del lavoro
Orario di lavoro
Richieste visite straordinarie Rapporti interpersonali sul lavoro
• Fifth level
Segnalazioni stress lavoro Interfaccia casa lavoro –
Istanze giudiziarie conciliazione vita/lavoro*

05/07/12 11


I Questionari,
I risultati dell’analisi,
• SONO
Click to edit Master text styles
DATI PERSONALI
• Second level
Sicuramente di tipo comune
• Third level PROBABILMENTE
Anche di tipo sensibile
• Fourth level
Quindi
• FifthNESSUNA SEMPLIFICAZIONE è POSSIBILE
level

05/07/12 12

Gli addetti

•  titolare
 responsabile
• Second level
 incaricato
• Third level
• Fourth level
• Fifth level

05/07/12 13

Il Titolare

Quando il trattamento è effettuato da
• una persona giuridica, titolare del
trattamento è l’entità nel suo
• Second level complesso o l’unità od organismo
periferico che esercita un potere
• Third level decisionale del tutto autonomo sulle
finalità e sulle modalità del trattamento,
• Fourth level ivi compreso il profilo della sicurezza

• Fifth level

05/07/12 14

Il Responsabile

Si intende per responsabile la persona
fisica, la persona giuridica, la pubblica
amministrazione e qualsiasi altro ente,
• associazione od organismo preposti dal
Second level titolare al trattamento di dati personali
• Third level
• Fourth level
• Fifth level

05/07/12 15

L’Incaricato

Click to edit E’ la persona fisica autorizzata dal
Master title style
titolare o dal responsabile a
compiere le operazioni di
trattamento

• Second level  Le operazioni di trattamento
• Third level possono essere effettuate solo da
incaricati che operano sotto la
• Fourth level diretta autorità del titolare o del
responsabile, attenendosi alle
• Fifth level istruzioni impartite

05/07/12 16

Adempimenti

 Informativa
 Consenso
• Second level  Autorizzazioni

• Third level  Notificazione

• Fourth level
• Fifth level

05/07/12 17

Informativa

L'interessato o la persona presso la quale sono raccolti i dati personali
sono previamente informati oralmente o per iscritto circa la finalità e
modalità del trattamento o i diritti dell’interessato
• Second level
• Third level
L’informativa deve essere sempre fornita
• Fourth level
• Fifth level

05/07/12 18

INFORMATIVA ATTENZIONE …..

Sito Internet
• Second level Dipendenti
Clienti
• Third level Potenziali Clienti
• Fourth level Curricula
Casi Particolari
• Fifth level

05/07/12 19

Consenso

Il trattamento di dati personali da parte di privati o di enti pubblici economici
è ammesso solo con il consenso espresso dell'interessato

• Second level
 consenso espresso (OPT IN SYSTEM)

• Third level
 consenso scritto, più autorizzazione del Garante, per il trattamento dei
• Fourth level
dati sensibili
• Fifth level

05/07/12 20

Notificazione al Garante

 Generale assenza
dell’obbligo (art. 37)
 Invio telematico con firma
• Second level digitale
• Third level
• Fourth level
 Successivi provvedimenti
• Fifth level di esonero del Garante
che prevedono ulteriori
esenzioni (ad es. Provv.
n. 1 del 31.03.2004)

05/07/12 21

VIDEOSORVEGLIANZA

• Second level
• Third level
• Fourth level
• Fifth level

05/07/12 22

VIDEOSORVEGLIANZA

La normativa vigente coinvolta
c.Normativa civile e penale in materia di
• Second level
interferenze illecite nella vita privata
• Third level
d.Statuto dei Lavoratori
e.Misure level
• Fourth di sicurezza nei luoghi pubblici
f.Accessi ai trasporti aerei, via mare, treni,
• Fifth level
ecc.

05/07/12 23

VIDEOSORVEGLIANZA

Click DEL RISPETTO DEI PRINCIPI DI
A FRONTE to edit Master title style
BASE (FINALITA’, PROPORZIONALITA’)
OCCORRE PREVENTIVAMENTE:
• Second level
c.Verificare effettiva necessità
• Third level
d.Verificare alternative alla videosorveglianza
• Fourth level
e. Verificare posizionamento
• Fifth level
f.Verificare necessità di durata
g.Adempiere correttamente agli obblighi
normativi
05/07/12 24

VIDEOSORVEGLIANZA

Click to NECESSITA’: title style
edit Master
• Click to e incolumità degli individui,
Protezione edit Master text styles
Protezione della proprietà
• Second level
Rilevazione, prevenzione e controllo delle
• Third level
infrazioni level
• Fourth
Acquisizioni di prove
• Fifth level

05/07/12 25

VIDEOSORVEGLIANZA

• Deve essere collocato prima del raggio di
azione della telecamera, anche nelle sue immediate
• Click non necessariamente styles
vicinanze e to edit Master text a contatto con gli
impianti;
• Deve level
• Secondavere un formato ed un posizionamento
tale Third level
• da essere chiaramente visibile in ogni
condizione di illuminazione ambientale, anche
• Fourth level
quando il sistema di videosorveglianza si eventualmente
attivo in orario notturno;
• Fifth level
• Può inglobare un simbolo o una stilizzazione
di esplicita immediata comprensione, eventualmente
diversificati al fine di informare se le immagini sono solo
visionate o anche registrate.
05/07/12 26

VIDEOSORVEGLIANZA

• Second level
• Third level
• Fourth level
• Fifth level

05/07/12 27

VIDEOSORVEGLIANZA

Click to edit ANCHE INFORMATIVA
E NECESSARIA
Master title style
COMPLETA
disponibile agevolmente senza oneri per gli interessati, con
• Second level
modalità facilmente accessibili anche con strumenti
• Third e telematici (in particolare, tramite reti Intranet o
informaticilevel
siti Internet, affissioni in bacheche o locali, avvisi e cartelli
• Fourth per gli
agli sportellilevel utenti, messaggi preregistrati disponibili
• Fifth digitando un numero telefonico gratuito).
level
In ogni caso il titolare, anche per il tramite di un incaricato,
ove richiesto è tenuto a fornire anche oralmente
un’informativa adeguata, contenente gli elementi individuati
05/07/12 dall’art. 13 del Codice. 28

VIDEOSORVEGLIANZA

adottare nel trattamento dei dati personali tutte le
misure necessarie affinchè non si producano danni
agli interessati che possono derivare:
• Second level
Dalla distruzione o dalla perdita dei dati
• Third level
Dall’accesso non autorizzato alle immagini da parte di
• Fourth level vengono così a conoscenza
terzi che ne
•Dall’effettuazione di un trattamento al di fuori dei casi
Fifth level
stabiliti dalla legge o con modalità che questa non
consente.

05/07/12 29

VIDEOSORVEGLIANZA

La conservazione massimo 24 ore successive alla rilevazione,
fatte salve speciali esigenze di ulteriore conservazione in relazione a
festività o chiusura di uffici o esercizi.
Solo in alcuni casi, per peculiari esigenze tecniche (mezzi di
trasporto) o per particolari rischi dell’attività svolta (ad esempio, per
• Second level
alcuni luoghi come le banche può risultare giustificata l’esigenza d
•
identificare gli autori di un sopralluogo nei giorni precedenti una
Third level
rapina), si ammette termine ampio non comunque superiore a 7
•
gg. Fourth level
Per i comuni e nelle sole ipotesi in cui l’attività di videosorveglianza sia
• Fifth level
finalizzata alla tutela della sicurezza urbana, il termine massimo di
durata della conservazione dei dati è limitato “ai 7 giorni successivi
alla rilevazione delle informazioni e delle immagini raccolte mediante
l’uso di sistemi di videosorveglianza, fatte salve speciali esigenze di
ulteriore conservazione”.
05/07/12 30

VIDEOSORVEGLIANZA

CONFIGURAZIONE DI DIVERSI LIVELLI DI VISUALIZZAZIONE

PERIODO DI CONSERVAZIONE: devono essere predisposte misure
tecniche od organizzative per la cancellazione, anche in forma
automatica, delle registrazioni allo scadere del termine previsto.
• Second level
INTERVENTI DI MANUTENZIONE: i soggetti preposti possono
accedere alle immagini solo se ciò si renda indispensabile al fine di
• Third level
effettuare eventuali verifiche tecniche ed in presenza dei soggetti dotati
di credenziali di autenticazione.
• Fourth level
APPARATI DIGITALI CONNESSI A RETI INFORMATICHE: gli
• Fifth level essere protetti contro i rischi di accesso
apparati medesimi devono
abusivo di cui all’art. 615 – ter CP

CONNESSIONI WIRELESS: protezione con applicazione di tecniche
crittografiche che ne garantiscano la riservatezza.
05/07/12 31

VIDEOSORVEGLIANZA

RAPPORTI DI LAVORO OSPEDALI E LUOGHI DI CURA

ISTITUTI SCOLASTICI
SICUREZZA NEL TRASPORTO PUBBLICO
• Second level
UTILIZZO WEB-CAM PER SCOPI PROMOZIONALI E TURISTICI
• Third level
SICUREZZA URBANA
• Fourth level
DEPOSITO RIFIUTI
• Fifth level
RILEVAZIONI INFRAZIONI CODICE DELLA STRADA

TRATTAMENTO IMMAGINI PER FINI ESCLUSIVAMENTE
PERSONALI

05/07/12 32

Sicurezza dei dati e dei sistemi

 misure idonee di sicurezza

• Click to edit Master text31)
(art.
styles
• Second level  misure minime di sicurezza
• Third level (art. 33- 36)
• Fourth level - con l’ausilio di strumenti elettronici (art. 34)
- senza l’ausilio di strumenti elettronici (art. 35)
• Fifth level

05/07/12 33

Misure di sicurezza

• Second level
• Third level
• Fourth level
• Fifth level

05/07/12 34

Misure minime di sicurezza

Il Codice distingue tra:


• Second level strumenti elettronici (art. 34)
trattamenti con

• Third level
•
 Fourth levelsenza l’ausilio di strumenti
trattamenti
• elettronici
Fifth level (art. 35)

05/07/12 35

Disciplinare Tecnico in materia di
Misure minime di Sicurezza
L’allegato B è composto da 29 commi:
1-11 Sistema di autenticazione informatica
• Click to di autorizzazione
12-14 Sistema edit Master text styles
• Second level
15-18 Alter misure di sicurezza
• Third level
19 (1-8) Documento Programmatico Sulla Sicurezza
• Fourth level
20-24 Ulteriori misuri in caso di trattamento di dati sensibili
25-26 Misure di tutela e garanzia
• Fifth level
27-29 Trattamento di dati senza l’ausilio di strumenti
elettronici

05/07/12 36

Amministratori di Sistema

Valutazione delle caratteristiche soggettive
Click to edit amministratore di sistema deve avvenire
Master title style
L'attribuzione delle funzioni di
previa valutazione dell'esperienza, della capacità e dell'affidabilità del
soggetto designato, il quale deve fornire idonea garanzia del pieno
rispetto delle vigenti disposizioni in materia di trattamento ivi compreso il
profilo relativo alla sicurezza.
• Second level
Anche quando le funzioni di amministratore di sistema o assimilate sono
attribuite solo nel quadro di una designazione quale incaricato del
• Third level
trattamento ai sensi dell'art. 30 del Codice, il titolare e il responsabile
devono attenersi comunque a criteri di valutazione equipollenti a quelli
• Fourth level
richiesti per la designazione dei responsabili ai sensi dell'art. 29.
• Fifth level della attività Amministratori
Verifica
Verifica almeno annuale da parte dei titolari del trattamento sulla
rispondenza dell'operato degli amministratori di sistema alle misure
organizzative, tecniche e di sicurezza previste dalla legge per i
trattamenti di dati personali
05/07/12 37


Elenco degli amministratori di sistema e delle loro
caratteristiche
• documento programmatico della pubblico dovrà un documento
Click to azienda o soggetto sicurezza o in inserire nel
Ciascuna
edit Master text styles
•interno (disponibile in caso diamministratorida sistema eGarante)
Second level degli accertamenti di parte del l'elenco
gli estremi identificativi
• Third level delle funzioni loro attribuite.
• Fourth level Designazioni individuali
La designazione quale amministratore di sistema deve essere in
• Fifth level
ogni caso individuale e recare l'elencazione analitica degli ambiti
di operatività consentiti in base al profilo di autorizzazione
assegnato.

05/07/12 38


Registrazione degli accessi degli amministratori
Devono essere adottati sistemi idonei alla registrazione degli accessi logici
(autenticazione informatica) ai sistemi di elaborazione e agli archivi
elettronici da parte degli amministratori di sistema.
• Second level
Le registrazioni (access log) devono avere caratteristiche di completezza,
inalterabilità e possibilità di verifica della loro integrità adeguate al
• Third level dello scopo di verifica per cui sono richieste.
raggiungimento

• Le registrazioni devono comprendere i riferimenti temporali e la
Fourth level
descrizione dell'evento che le ha generate e devono essere conservate per
• Fifth un congruo periodo, non inferiore a sei mesi.
level

05/07/12 39

Sanzioni

 sanzioni Amministrative
• Second level  sanzioni Penali

• Third level  risarcimento per danni

• Fourth level
• Fifth level

05/07/12 40

Sanzioni amministrative

Omessa o inidonea informativa per trattamenti che non contengono dati
sensibili:
Ammenda da 3.000,00€ a 18.000,00€
Tale somma può essere aumentata fino al triplo se, in ragione delle condizioni
economiche del contravventore, risulta inefficace.
• Second level
• Third level
Omessa o inidonea informativa per trattamenti che contengono dati
sensibili:
Ammenda da 5.000,00€ a 30.000,00€
• Fourth level
Tale somma può essere aumentata fino al triplo se, in ragione delle condizioni
• Fifth contravventore, risulta inefficace
economiche dellevel

Omessa o incompleta notificazione:
Ammenda da 10.000,00€ a 60.000,00€

05/07/12 41

Sanzioni penali

Trattamento di dati senza il prescritto consenso
Se il trattamento causa un danno: reclusione da 6 a 18 mesi
Se il trattamento è effettuato in violazione delle regole in ordine alla
• Second level
comunicazione e alla diffusione :reclusione da 6 a 24 mesi

• Third level
Violazione dei divieti di comunicazione e diffusione
• Fourthcausa un danno: reclusione da 1 a 3 anni
Se il trattamento
level
• Fifth level
Omessa adozione delle misure minime di sicurezza
Arresto sino a 2 anni o ammenda da 30.000,00€ a 180.000,00€
(con possibilità di ‘ravvedimento operoso’)
05/07/12 42

Organi di controllo

 Ufficio del garante
• Click to edit Master textGuardia di finanza

styles
• Second level  Polizia postale

• Third level
• Fourth level
• Fifth level

05/07/12 43

Le multe

• Second level
• Third level
• Fourth level
• Fifth level

05/07/12 44

PrivacyLab
• Second level
• Third level
• Fourth level
• Fifth level

05/07/12 45

Lezioni di Privacy Corso2011

Recommended

Recommended

More Related Content

Featured

Featured (20)

Lezioni di Privacy Corso2011