SlideShare a Scribd company logo

12345

E
edoardocassaro

a

Business
1 of 71
Privacy e protezione dei dati Corso di Formazione Modulo base
PRIVACY E’ un termine inglese che evoca significati a volte mutevoli, sinonimo dei concetti di «riservatezza», «privatezza». Nella realtà contemporanea, con il concetto di Privacy non si intende soltanto il diritto di essere lasciati in pace o di proteggere la propria sfera privata, ma soprattutto il diritto di controllare l’uso e la circolazione dei propri dati personali che costituiscono il bene primario dell’attuale società dell’informazione. Il diritto alla privacy e, in particolare, alla protezione dei dati personali costituisce un diritto fondamentale delle persone, direttamente collegato alla tutela della dignità umana, come sancito anche dalla Carta dei diritti fondamentali dell’Unione Europea. Glossario sito web Garante – doc. web n. 1663787
Da una analisi più puntuale di questa autorevole definizione possiamo fare alcune considerazioni preliminari…
«Significati a volte mutevoli» L’uso del termine «Privacy» è frequente nel linguaggio corrente, ma è sicuramente difficile dare una definizione delle tante sfaccettature e sfumature che il termine può assumere. Tanto per avere una idea del complesso dibattito, vivo anche sul piano filosofico, alcune delle definizioni che negli anni sono state date: «Diritto a essere lasciato solo» - Warren-Brandeis «Diritto di controllare l’uso che altri fanno delle informazioni che mi riguardano» - A. Westin « Diritto di mantenere il controllo sulle proprie informazioni e di determinare le modalità di costruzione della propria sfera privata» - P.E. Agree e M. Rotenberg « Libertà di scegliere, di non essere omologati, di non essere controllati, di esprimere spontaneamente la nostra creatività» - Discorso del presidente A. Soro, Relazione annuale al Parlamento.
«Nella realtà contemporanea» Il tema è strettamente legato all’evoluzione tecnologica e alla vera e propria rivoluzione avvenuta negli ultimi decenni: in questo nuovo panorama, è lo stesso concetto di «sfera privata» ad essere modificato. Anche in questo caso la dottrina evolve le sue definizioni: « Cediamo informazioni, lasciamo tracce quando ci vengono forniti beni o servizi, quando cerchiamo informazioni, quando ci muoviamo nello spazio reale o virtuale» - S. Rodotà « Non si ha più una persona virtuale contrapposta alla persona reale, ma un intreccio che restituisce la persona reale come connotata dal digitale» - S. Rodotà
« L’uso e la circolazione dei propri dati personali» Arriviamo al fulcro di tutta la trattazione: il DATO, l’INFORMAZIONE. «Per dato personale si intende qualunque informazione relativa a persona fisica, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale» - art. 4 lett. b) D.lgs. 30 Giugno 2003 n. 196. Il dato è da decenni al centro dell’analisi scientifica sia dal punto di vista della conservazione/custodia delle informazioni in sicurezza, sia dal punto di vista della tutela della circolazione delle informazioni.
« il bene primario dell’attuale società dell’informazione» Il dato è stato definito « il nuovo petrolio dell’età moderna» Nel rapporto Microsoft Digital Trends 2015, studio realizzato in partnership con Future Laboratory e Research Now è stato evidenziato che: « il 78% degli intervistati mostra di aver capito che i dati derivanti dalla propria presenza online sono oro colato per i brand; più della metà di loro ( 61%) si dice favorevole alla condivisione di informazioni riservate con le aziende, purché questo avvenga in modo trasparente e porti loro precisi e quantificabili benefici»
«il Bene primario dell’attuale società[…]diritto fondamentale delle persone» La stessa definizione accosta due aspetti che possono far nascere una contrapposizione «esplosiva»: da una parte la salvaguardia e la tutela della dignità umana, dall’altra il fortissimo valore commerciale assunto dai DATI. … e la normativa sulla Privacy a tentare di contemperare le esigenze, attraverso la tutela della gigantesca mole di dati messa a disposizione ogni istante…
RILEGGENDO LA DEFINIZIONE INIZIALE… PRIVACY è un termine inglese che evoca significati a volte mutevoli, sinonimo dei concetti di «riservatezza», «privatezza». Nella realtà contemporanea, con il concetto di Privacy non si intende soltanto il diritto di essere lasciati in pace o di proteggere la propria sfera privata, ma soprattutto il diritto di controllare l’uso e la circolazione dei propri dati personali che costituiscono il bene primario dell’attuale società dell’informazione. Il diritto alla privacy e, in particolare, alla protezione dei dati personali costituisce un diritto fondamentale delle persone, direttamente collegato alla tutela della dignità umana, come sancito anche dalla Carta dei diritti fondamentali dell’Unione Europea. Ecco, quindi, molto sinteticamente, il panorama da tenere in considerazione quando ci si approccia al tema della Privacy: argomento complesso e articolato, presente in tutti gli ambiti della vita e del lavoro.
Ma prima di entrare nello specifico, ancora due aspetti connessi con la definizione iniziale: • L’importanza della legiferazione europea • Chi è il Garante?
L’importanza della legiferazione europea Le fonti a cui si ricollega l’intera disciplina italiana hanno derivazione Europea. Le fonti europee principali sono: - Carta dei diritti fondamentali dell’Unione Europea; - Trattato di Lisbona; - Direttiva 1995/46 ( c.d. Direttiva Madre) - Direttiva 2002/58 - Direttiva 2009/136 - Dal 24 Maggio 2016: il Regolamento UE n. 679/2016 – Regolamento Europeo sulla protezione dei dati
Il nuovo Regolamento Europeo Con comunicato stampa del 4 Maggio 2016, il Garante della Privacy informa che sono stati pubblicati nella Gazzetta Ufficiale dell’Unione europea del 4 Maggio 2016 il regolamento europeo sulla protezione dei dati personali n. 679/2016 e la direttiva n. 680/2016 che regola i trattamenti dei dati nei settori di prevenzione, contrasto e repressione dei crimini. Il nuovo regolamento andrà a sostituire la Direttiva 95/46/CE che era stata la «Direttiva Madre» da cui si era sviluppata la legiferazione Italiana. Il Garante precisa che le norme del regolamento non trovano immediata applicazione, tuttavia, dal 24 Maggio 2016 ( 20° gg successivo alla pubblicazione) inizia a decorrere il termine di 2 anni entro i quali gli Stati membri devono adeguare le norme nazionali in materia di «privacy» alle nuove prescrizioni.
Il nuovo Regolamento Europeo Il Regolamento introduce una legislazione in materia di protezione dati uniforme e valida in tutta Europa, affrontando temi innovativi - come il diritto alla portabilità dei dati – e stabilendo anche criteri che da una parte responsabilizzano maggiormente imprese ed enti rispetto alla protezione dei dati personali e, dall’altra, introducono notevoli semplificazioni e sgravi dagli adempimenti per chi rispetta le regole. Novità in vista, dunque, anche per la normativa Italiana: Il regolamento UE n. 679/2016 troverà in ogni caso automatica applicazione dal 25 Maggio 2018 con conseguente disapplicazione di tutte le norme nazionali che fossero in contrasto con lo stesso. I principi e le definizioni alla base della normativa sono rimasti comunque invariati, quindi possiamo affrontare già oggi buona parte degli argomenti, basandoci sull’attuale Codice della Privacy italiano ( D.lgs. 196/2003).
Chi è questo «Garante» di cui si sente tanto parlare? Il Garante per la protezione dei dati personali è una Autorità indipendente che presiede la tutela dei dati personali. E’ un organo collegiale composto da 4 membri eletti dal Parlamento, istituito per la tutela dei diritti, delle libertà fondamentali e della dignità delle persone. Controlla se il trattamento di dati personali da parte di privati e pubbliche amministrazioni è lecito e corretto e rilascia le autorizzazioni al trattamento dei dati sensibili e giudiziari. Esamina reclami, segnalazioni e ricorsi, svolge accertamenti anche su richiesta del cittadino, esegue ispezioni e verifiche. Prescrive modifiche necessarie od opportune per far adeguare i trattamenti alla disciplina vigente e segnala al Parlamento e al Governo l’opportunità di interventi normativi per tutelare gli interessati.
Chi è questo «Garante» di cui si sente tanto parlare? Ogni anno, attraverso il proprio sito web e la sua newsletter, il Garante rende noto il piano ispettivo previsto per i successivi mesi. Per le attività ispettive, il Garante si avvale di un reparto speciale della Guardia di Finanza noto come “Nucleo Speciale Funzione Pubblica e Privacy” che collabora all'attività ispettiva attraverso indagini conoscitive sullo stato di attuazione della Legge in settori specifici e la segnalazione all’Autorità di tutte le situazioni di cui venga a conoscenza nel corso dell’esecuzione delle ordinarie attività di servizio.
Il Garante (la composizione dal 6 Giugno 2012) IL COLLEGIO Antonello Soro (Presidente) Augusta Iannini (vice-presidente) Giovanna Bianchi Clerici (componente) Licia Califano (componente) Il primo presidente dell’Ufficio del Garante ( dal 1997 al 2005), considerato il «padre fondatore» della Legge, è stato Stefano Rodotà.
Passiamo ora ad analizzare la disciplina che più direttamente influisce sul nostro operato quotidiano
Le norme di Legge Legge n. 675/1996 La disciplina italiana della protezione dei dati personali parte con la Legge n. 675/1996, attuativa della direttiva 95/46/CEE del 24 ottobre 1995. La Legge n. 675/1996 ha anche consentito all'Italia di entrare a far parte dell'Accordo di Schengen, sull'abolizione dei controlli sulle persone alle frontiere dell'Unione europea. E’ oggi abrogata.
Le norme di Legge D.lgs n. 196/2003 – Codice della privacy Il Codice della privacy riunisce in un solo testo, di rango unicamente legislativo, la L. n. 675/1996, i successivi decreti legislativi correttivi, varie disposizioni regolamentari approvate in seguito, altre norme rilevanti in tema di tutela della privacy, nonché alcune importanti disposizioni innovative, che, in alcuni casi, recepiscono e codificano la giurisprudenza espressa in questi anni dal Garante. E’ la norma ad oggi in vigore e rimarrà in vigore fino al recepimento del nuovo Regolamento Europeo.
Gli altri riferimenti di rango primario Provvedimenti, autorizzazioni e codici deontologici Il Codice Privacy è la fonte principale, ma il contesto normativo è complesso e variamente articolato, sia a livello legislativo sia a livello regolamentare. Infatti il quadro comprende anche provvedimenti generali, autorizzazioni generali e codici deontologici che disciplinano nel loro ambito, molto spesso con forza e valore di norma di rango primario ( Legge). il complesso delle norme sulla protezione dei dati personali deve poi essere anche coordinato con le altre disposizioni dell'ordinamento italiano, che, pur non essendo espressamente dedicate alla protezione dei dati personali o alla tutela della riservatezza, toccano in ambito settoriale temi tipici attinenti tali materie ( es. Statuto dei lavoratori).
Gli altri riferimenti di rango inferiore Linee guida e modelli Periodicamente il Garante pubblica anche linee guida e modelli di riferimento per il rispetto degli adempimenti. Mentre il Codice, gli allegati al codice ed i provvedimenti hanno valore di legge e sono dunque obbligatori le linee guida ed i modelli sono opzionali. CAMBIARE L’IMMAGINE
Il CODICE PRIVACY D.lgs. 196/2003
La struttura del decreto Si compone di 3 parti… 1. Disposizioni generali ( artt.1-45); 2. Disposizioni relative a settori specifici ( artt. 46-140); 3. Tutela dell’interessato e sanzioni ( artt. 141-186); …a cui seguono 3 categorie di allegati: 1. Codici deontologici; 2. Disciplinare tecnico; 3. Trattamenti non occasionali[…] in ambito giudiziario o per fini di polizia
Principi generali All’interno delle disposizioni generali, parte importante rivestono i «principi generali» che esprimono i principi base ispiratori di tutta la disciplina. Rappresentano lo strumento principale ed indispensabile per dirimere questioni controverse e valutare l’impatto Privacy di un qualsiasi progetto. Soprattutto in conseguenza della rapidissima evoluzione tecnologica, spesso capita che il Garante debba pronunciarsi su questioni che non trovano soluzioni in norme ad hoc: in tutti questi casi, viene fatto riferimento ai principi generali.
Principi generali 1. Il diritto alla protezione dei dati personali ( art. 1): «Chiunque ha diritto alla protezione dei dati personali che lo riguardano» 2. Il principio di finalità ( art. 2 ): E’ espresso il concetto per cui la protezione dei dati personali viene realizzata attraverso l’applicazione delle regole indicate nel Codice; 3. Il principio di necessità ( art. 3): «I sistemi informativi e i programmi informatici siano configurati riducendo al minimo l'utilizzazione di dati personali e di dati identificativi, in modo da escluderne il trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante, rispettivamente, dati anonimi od opportune modalità che permettano di identificare l'interessato solo in caso di necessità». Ancora la necessità di moderare tra due interessi: l’esigenza di efficienza amministrativa e la tutela di un diritto della personalità.
Principi generali E poi l’art. 11, che esprime i principi generali ai quali si deve conformare qualsiasi trattamento di dati personali: 4. Il principio di liceità e correttezza ( art. 11 comma 1 lettera a): « i dati personali sono trattati in modo lecito e secondo correttezza»… «lecito» significa conforme alla Legge, «corretto» significa nel rispetto del Codice Privacy. 5. Il principio di finalità ( art. 11 comma 1 lettera b): «i dati personali sono raccolti e registrati per scopi determinati, espliciti e legittimi, ed utilizzati in altre operazioni del trattamento in termini compatibili con tali scopi»…ogni trattamento deve avvenire per legittime, specifiche e manifeste finalità. E’ uno dei principi cardine, alla base di uno degli adempimenti operativi principali, ossia l’ «Informativa».
Principi generali 6. Il principio di esattezza e aggiornamento ( art. 11 comma 1 lettera c): Sono richieste misure di monitoraggio periodiche al fine di garantire lo stato di aggiornamento dei dati. 7. Il principio di pertinenza e non eccedenza ( art. 11 comma 1 lettera d): E’ richiesta la verifica che TUTTI i dati servano per poter raggiungere la finalità dichiarata. 8. Il principio di conservazione dei dati o della giusta durata del trattamento ( art. 11 comma 1 lettera e): I dati vanno conservati per il tempo necessario a realizzare le finalità per i quali sono stati raccolti.
Principi generali Art. 11 comma 2 «I dati personali trattati in violazione della disciplina rilevante in materia di trattamento dei dati personali… ( quindi in violazione dei principi sopra esposti)… NON possono essere utilizzati.»
Trattamento dei dati Fondamentale, a questo punto, è capire cosa si intende per «trattamento dei dati» e nel Codice Privacy è contenuta una definizione decisamente ampia. Art. 4 comma 1 D.lgs. 196/2003: «qualunque operazione o complesso di operazioni, effettuati anche senza l'ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione, la distruzione di dati, anche se non registrati in una banca di dati». Le operazioni indicate possono essere suddivisibili in 4 fasi: una fase preliminare ( raccolta, registrazione), una fase di elaborazione ( organizzazione, elaborazione, estrazione…), una fase di circolazione ( comunicazione e diffusione), una fase conclusiva ( cancellazione, blocco, conservazione).
Trattamento dei dati Pertanto, l'operazione sinteticamente definita come trattamento è intesa dal nostro Legislatore nella accezione più ampia possibile: l'apparente tassatività dell'elenco contenuto nella legge è, infatti, compensata dal riferimento iniziale a "qualunque operazione" che vanifica qualunque tipo di limitazione dell’ambito considerato. Né il Legislatore ha identificato delle riduzioni relative alla durata temporale. Il concetto di trattamento di dati non può essere limitato al concetto di trattamento sistematico o continuativo di informazioni: anche un trattamento episodico e istantaneo non è escluso dalla nozione di trattamento.
Trattamento dei dati In realtà, in modo più o meno diretto, la norma offre la possibilità di fare dei distinguo rispetto al trattamento e di limitare un po’ il campo: Art. 5 comma 3: «il trattamento di dati personali effettuato da persone fisiche per fini esclusivamente personali è soggetto all’applicazione del presente codice solo se i dati sono destinati ad una comunicazione sistematica o alla diffusione. Si applicano in ogni caso le disposizioni in tema di responsabilità e di sicurezza dei dati di cui agli articoli 15 e 31». Si deve ritenere, pertanto, che tutte le banche dati contenenti contatti personali, realizzate da persone fisiche, siano fuori dal regime di disciplina del Codice: la normale vita di relazione tra persone fisiche è dunque esclusa…anche se non del tutto priva di rischio, visto che eventuali danni cagionati per effetto del trattamento potrebbero comunque dar vita ad una risarcimento di danni!!!
I dati Ritorniamo a questo punto al «dato», che, come detto, è il fulcro della trattazione: il dato è, in ultima analisi, l’oggetto della tutela e deve necessariamente essere chiaramente identificato. A questo preciso fine, il Codice Privacy fornisce le definizioni delle diverse tipologie di dati, facendo dipendere da esse la graduazione degli adempimenti necessari per un trattamento corretto ed in linea con la disciplina: identificare le diverse classi di dati è un passo fondamentale per organizzare il comportamento da mantenere e, spesso, proprio su questo punto si creano le principali confusioni.
Dato personale Avevamo detto che, ai sensi art. 4 comma 1 : «Per dato personale si intende qualunque informazione relativa a persona fisica, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale» Al dato personale si contrappone il «dato anonimo», definito sempre all’art. 4 comma 1 come «il dato che in origine, o a seguito di trattamento, non può essere associato ad un interessato identificato o identificabile»: il tema è sicuramente delicato, in quanto, il requisito dell'identificabilità consentita dal dato non è immune dal creare difficoltà, essendo comunque possibile, attraverso l'utilizzo di tecniche sofisticate, procedere all'individuazione di un soggetto anche attraverso un complesso insieme di informazioni anonime.
Dato personale Il dato personale è dunque qualunque informazione, inclusi suoni ed immagini, che sia tale da consentire di identificare la persona (fisica) sia in modo diretto che indiretto, ottenuto cioè per connessione con altra informazione: siamo in presenza di dati identificativi tutte le volte in cui non è necessario porre in essere particolari operazioni di ricostruzione per identificare in maniera diretta l’interessato ( es. PIN o USER ID da cui sia possibile risalire al titolare). E ancora: Il dato è anonimo quando da esso sia impossibile risalire all'interessato, e questa sua caratteristica può tanto essere innata, quanto acquisita a seguito di trattamento. Solo i dati personali sono oggetto di trattamento rilevante dal punto di vista del Codice privacy: se, a seguito di trattamento, un dato personale diviene anonimo ( procedimento di anonimizzazione), allora esce dalla necessità di tutela.
All’interno della macro-area dei dati personali sono espressamente individuate 2 sottocategorie 1. Dati sensibili; 2. Dati giudiziari;
I dati sensibili Sono quelli che riguardano informazioni concernenti gli aspetti più intimi della vita di un individuo e sono tassativamente indicati dalla norma. Art. 4 comma 1 D.lgs. 196/2003: I dati sensibili sono «i dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale». I dati sensibili godono del maggior grado di tutela e le violazioni che causano danni al dato sensibile sono punite più severamente: molti dei dati elencati tra quelli sensibili attengono a diritti fondamentali e tutelati dalla Costituzione, e, in relazione a questo si giustificano strumenti di tutela rafforzati, rispetto alla disciplina generale, sia sotto il profilo civilistico, sia sotto il profilo penale, nonché sotto quello amministrativo.
I dati sensibili Sono addirittura definiti «supersensibili» i dati idonei a rilevare lo stato di salute e la vita sessuale delle persone. E’ quindi chiaro che è fondamentale una individuazione precisa dei dati sensibili che possono essere riscontrati e che il trattamento degli stessi richieda particolare attenzione, perizia e l’adozione di idonee misure di sicurezza. Importante è poi l’individuazione della cosiddetta area di sensibilità, intesa come una valutazione fatta con riferimento al contesto e alla natura stessa dell’informazione: sempre tenendo a mente che l’identificazione dell’interessato può essere sia diretta sia indiretta.
Il codice Privacy, poi, dà un ruolo a tutti i «soggetti» che, direttamente o indirettamente, hanno a che fare con i dati…
Il Titolare del trattamento Art. 4 comma 1 D.lgs. 196/2003: «La persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza.» Garante - Guida pratica e misure di semplificazione per le piccole e medie imprese – 24 Maggio 2007 «Il "titolare del trattamento", è la "[...] entità che esercita un potere decisionale del tutto autonomo sulle finalità e sulle modalità del trattamento, ivi compreso il profilo della sicurezza" (art. 28 del Codice). In particolare, nell'ambito dello svolgimento dell'attività economica, "titolare del trattamento" può essere la persona fisica (si pensi all'imprenditore individuale) o giuridica (ad esempio, la società) che tratta i dati (con la raccolta, la registrazione, la comunicazione o la diffusione). Il "titolare del trattamento" è chiamato ad attuare gli obblighi in materia e, se ritiene di designare uno o più responsabili del trattamento, è tenuto a vigilare sulla puntuale osservanza delle istruzioni da impartire loro.»
Il Titolare del trattamento I tratti distintivi del titolare del trattamento 1. Il potere decisionale: ciò che identifica il titolare è il potere decisionale in ordine al trattamento dei dati e agli strumenti utilizzati, anche se le singole operazioni del trattamento vengono svolte da collaboratori, interni o esterni all'organizzazione del titolare del trattamento. 2. La responsabilità: «è chiamato ad attuare»… « è tenuto a vigilare»…il titolare del trattamento è il vertice della piramide, il soggetto che, in ultima analisi, ha la responsabilità di organizzare la struttura affinché la normativa sulla tutela della riservatezza delle persone sia osservata, anche istituendo meccanismi di monitoraggio e controllo. 3. Sotto il profilo soggettivo, può essere persona fisica o persona giuridica: l’aspetto è stato chiaramente definito sia dal Garante, sia dalla Corte di Cassazione.
Il responsabile del trattamento Art. 4 comma 1 D.lgs. 196/2003: «E' responsabile la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali». Garante - Guida pratica e misure di semplificazione per le piccole e medie imprese – 24 Maggio 2007: «Il "responsabile del trattamento" (possono essere più d'uno), è una figura che può essere designata a propria discrezione dal titolare del trattamento con un atto scritto nel quale vanno indicati i compiti affidati. Occorre scegliere persone fisiche od organismi che per esperienza, capacità ed affidabilità, forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza (art. 29 del Codice). Tale figura, la cui designazione da parte del "titolare del trattamento" è quindi facoltativa, ricorre frequentemente in presenza di articolazioni interne delle realtà produttive dotate di una certa autonomia (ad es., possono essere designati responsabili del trattamento i dirigenti di funzioni aziendali, quali quelle del personale o del settore marketing) o, rispetto a soggetti esterni all'impresa, per svariate forme di outsourcing che comportino un trattamento di dati personali (ad es., per i centri di elaborazione dati contabili, per i servizi di postalizzazione, per le società di recupero crediti , etc.)».
Il responsabile del trattamento I tratti distintivi del responsabile del trattamento 1. E’ facoltativo: La sua designazione si ritiene importante quando la struttura aziendale abbia dimensioni importanti, ma, da un punto di vista formale, NON è obbligatoria. 2. La nomina scritta: il responsabile ( o i responsabili) deve essere formalmente designato per iscritto, con l’individuazione analitica dei compiti affidati, dei mezzi e delle modalità. 3. Le conoscenze adeguate: il soggetto designato deve avere capacità ed esperienza in materia di Privacy. 4. La diligenza: il soggetto designato deve attenersi alle istruzioni del Titolare, il quale, dal canto suo, vigila sulla puntuale osservanza delle disposizioni. 5. Interno o esterno: Può essere interno alla struttura aziendale, ma anche esterno.
L’incaricato al trattamento Art. 4 comma 1 D.lgs. 196/2003: «Le persone fisiche autorizzate a compiere operazioni di trattamento dal titolare o dal responsabile». Art. 30 comma 1 D.lgs. 196/2003: «Le operazioni di trattamento possono essere effettuate solo da incaricati che operano sotto la diretta autorità del titolare o del responsabile, attenendosi alle istruzioni impartite». L'incaricato del trattamento, dunque, non si trova in posizione apicale e non sovrintende al trattamento: egli compie le operazioni del trattamento, così come precedentemente definite, attenendosi alle istruzioni impartite. In pratica, solo chi svolge mere operazioni materiali o chi usa informazioni anonime non è considerato incaricato del trattamento.
L’incaricato al trattamento I tratti distintivi dell’incaricato al trattamento 1. E’ persona fisica: A differenza del responsabile del trattamento, che può essere anche un ente collettivo, l'incaricato può essere solo una persona fisica (Garante 8 giugno 1999). 2. Deve essere designato: la designazione è effettuata per iscritto e individua puntualmente l'ambito del trattamento consentito. La nomina è pertanto obbligatoria e permette di capire la natura dei dati personali ai quali l’incaricato accede e la tipologia di trattamento consentita. N.B.: è sufficiente la documentata preposizione della persona fisica ad una unità per la quale è individuato, per iscritto, l’ambito del trattamento consentito agli addetti all’unità medesima. La designazione degli incaricati del trattamento, tra le altre cose, permette di considerare legittimo il flusso delle informazioni personali nell'ambito degli uffici e tra i dipendenti del titolare del trattamento.
L’interessato Art. 4 comma 1 D.lgs. 196/2003: «L’interessato è la persona fisica cui si riferiscono i dati personali» In pratica, l'interessato è il titolare del diritto alla tutela della propria riservatezza, formalizzato dal Codice. L’attuale formulazione è stata modificata dal D.L. 6 Dicembre 2011, n. 201, il c.d. «Decreto salva Italia», che ha ricondotto la tutela dei diritti e delle libertà fondamentali alle sole persone fisiche, ridisegnando la disciplina in materia di protezione dei dati personali nella parte riguardante il trattamento di dati relativo a persone giuridiche, enti o associazioni.
L’esclusione delle persone giuridiche Obiettivo dell’intervento è stata una riduzione degli oneri in materia di privacy gravanti sulle imprese: è chiaro che questa misura esenta le imprese da ogni adempimento previsto dalla normativa SOLO quando il trattamento di dati non riguarda persone fisiche e quindi ha una portata necessariamente limitata. D’altra parte, l’intervento, in un certo senso, determina l’azzeramento della tutela delle persone giuridiche rispetto al trattamento dei dati che le riguardano, comportando l’impossibilità per le stesse di usufruire degli strumenti che il Codice prevede. Ancora una volta due importanti esigenze di cui tenere conto: lo snellimento degli adempimenti burocratici e la tutela della Privacy. Probabilmente, però, non era ancora chiaro ( come comincia invece ad esserlo oggi), che Privacy, anche per le aziende, significa rispetto per la dignità altrui, ma anche tutela delle informazioni necessarie al proprio business, salvaguardia del proprio Know-how e protezione della propria clientela.
I diritti dell’interessato • Diritto di accesso ai dati e altri diritti connessi; • Diritto all’identità personale; • Diritto all’oblio;
Diritto di accesso ai dati personali Costituisce il principale diritto dell’interessato ed è disciplinato dagli artt. 7-10 del Codice «L'interessato ha diritto di ottenere la conferma dell'esistenza o meno di dati personali che lo riguardano, anche se non ancora registrati, e la loro comunicazione in forma intelligibile». La richiesta di accesso ai propri dati personali è formulata liberamente e senza costrizioni e può essere rinnovata, salva l'esistenza di giustificati motivi, con intervallo non minore di novanta giorni. Quando chiede di accedere ai dati personali che lo riguardano, l'interessato non è tenuto ad indicare specificamente in quali atti o documenti essi sono contenuti: chi gestisce la banca dati deve comunicare tutte le informazioni in suo possesso (Garante - newsletter n. 254 del 2-8 maggio 2005).
Diritto di accesso ai dati personali Diritto di conoscere e di avere comunicazione Nel diritto di accesso sono compresi il diritto di ottenere conoscenza: a) dell'origine dei dati personali (quindi come i propri dati sono stati ottenuti dal titolare); b) delle finalità e modalità del trattamento ( per quale scopo sono trattati) c) della logica applicata in caso di trattamento effettuato con l'ausilio di strumenti elettronici ( con quali modalità/metodo sono trattati) d) degli estremi identificativi del titolare, dei responsabili e del rappresentante in Italia del titolare di trattamento stabilito in paese extracomunitario ( chi all’interno dell’organizzazione tratta/viene a contatto con i dati) e) dei soggetti o delle categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di rappresentanti designati nel territorio dello Stato, di responsabili o incaricati ( N.B.: ricordiamoci della differenza tra «comunicazione», ossia dare conoscenza a uno o più soggetti determinati e «diffusione», ossia dare conoscenza a soggetti indeterminati).
Diritto di accesso ai dati personali e altri diritti connessi Diritto di intervenire Ai sensi art. 7 comma 3 del Codice, l'interessato ha anche altri diritti e, in particolare, il diritto di ottenere: a) l'aggiornamento, la rettificazione ovvero, quando vi ha interesse, l'integrazione dei dati; b) la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge, compresi quelli di cui non è necessaria la conservazione in relazione agli scopi per i quali i dati sono stati raccolti o successivamente trattati; c) l'attestazione che le operazioni di cui alle lettere a) e b) sono state portate a conoscenza, anche per quanto riguarda il loro contenuto, di coloro ai quali i dati sono stati comunicati o diffusi, eccettuato il caso in cui tale adempimento si rivela impossibile o comporta un impiego di mezzi manifestamente sproporzionato rispetto al diritto tutelato.
Diritto di accesso ai dati personali e altri diritti connessi Diritto di contrastare il trattamento Infine l'interessato ha diritto di opporsi, in tutto o in parte: a) per motivi legittimi al trattamento dei dati personali che lo riguardano, ancorché pertinenti allo scopo della raccolta; b) al trattamento di dati personali che lo riguardano a fini di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale. Vita quotidiana: Dal 1° febbraio 2011, gli abbonati i cui nominativi e numeri siano pubblicati negli elenchi telefonici e che non desiderino ricevere telefonate pubblicitarie con operatore, devono iscriversi al Registro Pubblico delle opposizioni.
Diritto di accesso ai dati personali e altri diritti connessi Riscontro all’interessato Il titolare del trattamento è tenuto ad agevolare l’accesso ai dati personali, a semplificare le modalità e a ridurre i tempi. In merito alla modalità di comunicazione richiesta dall'interessato, il titolare è tenuto a rendere noti, in forma intelligibile e anche oralmente, i dati personali presenti nei suoi archivi, ma non a esibire o rilasciare copia di atti o documenti che li contengono. Questa ultima ipotesi è prevista solo quando l'estrapolazione dei dati da tali documenti risulti particolarmente difficoltosa, e comunque, omettendo i dati riferiti a terzi. Quando, a seguito della richiesta, non risulta confermata l’esistenza di dati che riguardano l’interessato, può essere chiesto un contributo spese non eccedente i costi effettivamente sopportati per la specifica ricerca.
Diritto all’identità personale Sostenuto da provvedimenti del Garante e dalla giurisprudenza. Il diritto alla privacy è diventato anche strumento di tutela del diritto all'identità personale, cioè all'esatta ricostruzione della personalità dell'individuo: trattare in maniera esatta i dati personali dell'individuo significa tratteggiarne in maniera esatta la sua personalità. Esempio Ricorso presentato in via d'urgenza da una donna per lamentare l'uso illecito di una sua immagine fotografica da parte di un partito politico per i manifesti pubblicitari della campagna di tesseramento 2006 e accolto dal Garante: la foto risaliva a circa 18 anni prima e ritraeva la donna mentre partecipava ad una manifestazione pubblica. Secondo la donna l'associazione della sua immagine con la campagna pubblicitaria del partito l'avrebbe esposta ad un giudizio pubblico lesivo della sua identità personale attribuendole una fede politica che non sua.
Diritto all’oblio Sostenuto fino ad oggi da provvedimenti del Garante, è divenuto uno dei «nuovi» diritti sanciti dal Regolamento Europeo. Garante (newsletter n. 249 del 21-27 marzo 2005): -Le notizie negative sul conto delle persone non devono essere indiscriminatamente e sempre essere disponibili su internet tramite i motori di ricerca. - E' legittimo pubblicare nella rete la notizia di una sanzione, una condanna o un altro precedente pregiudizievole lontani nel tempo, senza omissione del nominativo dell'interessato; ma non è legittimo che siano per sempre disponibili a tutti e a chiunque in internet tramite i comuni motori di ricerca. Nuovo Regolamento Europeo Sancito il diritto che l'interessato ha di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo.
Le ultime 2 figure rappresentative Ultime in senso cronologico rispetto alla loro introduzione e, peraltro, non disciplinate all’interno del Codice Privacy, rimangono da definire ancora 2 figure attive nell’ambito della tutela dei dati: 1. L’amministratore di sistema; 2. Il «Data Protection Officer»;
L’amministratore di sistema Introdotto nell’ordinamento con Provvedimento del Garante del 27 novembre 2008: «Con la definizione di Amministratori di sistema, si individuano, generalmente, figure professionali finalizzate alla gestione e alla manutenzione di un impianto di elaborazione o di sue componenti. Ai fini del presente provvedimento vengono, però, considerate tali anche altre figure equiparabili dal punto di vista dei rischi relativi alla protezione dei dati». L’ A.d.s non è dunque il semplice manutentore della struttura informatica, ma è il «garante informatico» della protezione delle informazioni personali unitamente al Titolare. Nelle ipotesi in cui la normativa o l’interesse della azienda prevedano questa nomina, il Titolare del trattamento deve individuare persona affidabile e competente, designarla per iscritto e predisporre idonee attività di verifica e di registrazione degli accessi.
Il «data protection officer» Introdotto dal nuovo Regolamento Europeo del 4 Maggio 2016, è una figura che, al momento, pare obbligatoria solo per alcuni ambiti: «Devono nominare obbligatoriamente un Responsabile della protezione dei dati personali (il c.d. data protection officer) tutte le pubbliche amministrazioni ed enti pubblici, eccetto le autorità giudiziarie. L'obbligo riguarda anche tutti i soggetti (enti e imprese) che trattano su larga scala dati sensibili, relativi alla salute o alla vita sessuale, genetici, giudiziari e biometrici, oppure che svolgono attività in cui i trattamenti richiedono il controllo regolare e sistematico degli interessati». «Il Responsabile della protezione dei dati personali ha il compito di informare e consigliare il titolare o il responsabile del trattamento da lui preposto, nonché i dipendenti, in merito agli obblighi derivanti dal Regolamento Europeo e dalle altre disposizioni dell'UE o delle normative locali degli Stati membri relative alla protezione dei dati. Dovrà poi verificare che la normativa vigente e le policy interne del titolare siano correttamente attuate ed applicate, incluse le attribuzioni delle responsabilità, la sensibilizzazione e la formazione del personale, ed i relativi audit.»
A questo punto, conosciuto l’oggetto della tutela ( il dato), l’elemento che fa nascere l’esigenza della tutela ( il trattamento) e le figure che rivestono un ruolo attivo nell’esercizio della tutela stessa, arriviamo a passare in rassegna gli adempimenti che devono essere messi in atto perché gli obiettivo fissati dagli artt.1 e 2 del Codice Privacy («Chiunque ha diritto alla protezione dei dati personali che lo riguardano») possano essere concretamente realizzati.
I principali adempimenti I principali adempimenti possono essere raggruppati in 3 gruppi: • Adempimenti verso l’autorità Garante; • Adempimenti verso gli interessati; • Adempimenti organizzativi di sicurezza;
Adempimenti verso l’autorità garante
Adempimenti verso l’autorità Garante I principali sono 2: 1. La notificazione del trattamento; 2. La richiesta di autorizzazione;
La notificazione La notificazione è l'atto con il quale il titolare di trattamento si presenta al Garante, che è tenuto a censire particolari categorie. Una sorta di autodichiarazione con la quale si comunicano al Garante i dati salienti sulla impresa - titolare di trattamento - e sui trattamenti effettuati dalla stessa. Diversamente dall’impostazione della normativa precedente, con il Codice Privacy devono essere notificati al Garante soltanto alcuni trattamenti, mentre tutti gli altri sono esenti.
La notificazione Art. 37 D.lgs. 196/2003: Il titolare notifica al Garante il trattamento di dati personali cui intende procedere solo se il trattamento riguarda: a) Dati genetici , dati biometrici o dati che indicano posizione geografica di persone od oggetti mediante una rete di comunicazione elettronica. b) Dati idonei a rivelare lo stato di salute e la vita sessuale, trattati a fini di procreazione assistita, prestazione di servizi sanitari per via telematica relativi a banche di dati o alla fornitura di beni, indagini epidemiologiche, rilevazione di malattie mentali, infettive e diffusive, sieropositività, trapianto di organi e tessuti e monitoraggio della spesa sanitaria. c) Dati idonei a rivelare la vita sessuale o la sfera psichica trattati da associazioni, enti od organismi senza scopo di lucro, anche non riconosciuti, a carattere politico, filosofico, religioso o sindacale. d) Dati trattati con l'ausilio di strumenti elettronici volti a definire il profilo o la personalità dell'interessato, o ad analizzare abitudini o scelte di consumo ( c.d. profilazione), ovvero a monitorare l'utilizzo di servizi di comunicazione elettronica con esclusione dei trattamenti tecnicamente indispensabili per fornire i servizi medesimi agli utenti. e) Dati sensibili registrati in banche di dati a fini di selezione del personale per conto terzi, nonché dati sensibili utilizzati per sondaggi di opinione, ricerche di mercato e altre ricerche campionarie. f) Dati registrati in apposite banche di dati gestite con strumenti elettronici e relative al rischio sulla solvibilità economica, alla situazione patrimoniale, al corretto adempimento di obbligazioni, a comportamenti illeciti o fraudolenti.. Ciascuno di questi ambiti è poi stato meglio definito da Comunicazioni e Provvedimenti del Garante.
La richiesta di autorizzazione Art. 26 D.lgs. 196/2003: « i dati sensibili possono essere oggetto di trattamento solo con il consenso scritto dell’interessato e previa autorizzazione del Garante». Art. 27 D.lgs. 196/2003: « Il trattamento di dati giudiziari….è consentito soltanto se autorizzato da espressa disposizione di legge o provvedimento del Garante». Come già visto, i dati sensibili e giudiziari godono di una più intensa protezione in ragione della loro particolare natura: per poter trattare queste categorie di dati, il Codice Privacy, prevede che, di regola, occorra non solo il consenso scritto dell'interessato, ma anche la previa autorizzazione del Garante.
La richiesta di autorizzazione Art. 40 D.lgs. 196/2003: « Le disposizioni….che prevedono una autorizzazione del Garante sono applicate anche mediante il rilascio di autorizzazioni relative a determinate categorie di titolari o di trattamenti…». Ai sensi dell’art. 40 del Codice, dunque, il trattamento dei dati sensibili può essere autorizzato dal Garante anche d’ufficio, con provvedimenti di carattere generale, relativi a determinate categorie di titolari e trattamenti: la autorizzazioni generali prescrivono dunque misure uniformi a garanzia degli interessati, rendendo superflua la richiesta di singole autorizzazioni.
La richiesta di autorizzazione L’ultimo rinnovo della autorizzazioni generali da parte del Garante ha previsto le seguenti autorizzazioni, pubblicate in Gazzetta Ufficiale: • Autorizzazione generale n. 1/2016 al trattamento dei dati sensibili nei rapporti di lavoro • Autorizzazione generale n. 2/2016 al trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale • Autorizzazione generale n. 3/2016 al trattamento dei dati sensibili da parte degli organismi di tipo associativo e delle fondazioni • Autorizzazione generale n. 4/2016 al trattamento dei dati sensibili da parte dei liberi professionisti • Autorizzazione generale n. 5/2016 al trattamento dei dati sensibili da parte di diverse categorie di titolari • Autorizzazione generale n. 6/2016 al trattamento dei dati sensibili da parte degli investigatori privati • Autorizzazione generale n. 7/2016 al trattamento dei dati a carattere giudiziario da parte di privati, di enti pubblici economici e di soggetti pubblici • Autorizzazione generale n. 8/2016 al trattamento dei dati genetici • Autorizzazione generale n. 9/2016 al trattamento dei dati personali effettuato per scopi di ricerca scientifica Come si può vedere, sono diversi gli ambiti disciplinati dalle autorizzazioni generali.
Adempimenti verso gli interessati IMMAGINE
Adempimenti verso gli interessati I principali sono 2: 1. L’informativa; 2. Il consenso;
L’informativa L'informativa è il mezzo attraverso il quale si realizza la trasparenza del trattamento e si concretizza il diritto dell'interessato di conoscere una serie di informazioni che riguardano il titolare del trattamento (privato o pubblico) e la sua organizzazione, il trattamento e i suoi diritti. L’informativa deve essere resa per i dati raccolti presso l’interessato e per quelli reperiti presso terzi.
COSA CONTIENE FAC SIMILE INFORMATIVA PER I CLIENTI • Ai sensi dell'articolo 13 del Codice in materia di dati personali si informa che il trattamento dei dati personali, anche sensibili, forniti, finalizzati unicamente ad eseguire gli obblighi contrattuali e ad adempiere a Sue specifiche richieste, avverrà presso ...................... ..................... ................... ................... ...................... ...................... .................... ............... (indicare nome e recapito del titolare del trattamento) con l'utilizzo di procedure anche informatizzate, nei modi e nei limiti necessari per perseguire le predette finalità. • I dati potranno essere comunicati a ................. ................. .................... ................ .............. (ad esempio altre società del gruppo, Enti ........... ........); • Dei dati potranno venire a conoscenza i seguenti responsabili o incaricati del trattamento .............. ..................... ............. ............ (dipendenti della nostra società, ecc.). • Il conferimento dei dati è facoltativo/obbligatorio/necessario per esatta esecuzione degli obblighi contrattuali e precontrattuali, ecc. e la loro mancata indicazione comporta l'impossibilità di portare a termine in maniera esatta l'adempimento delle obbligazioni contrattuali a nostro carico. • Agli interessati sono riconosciuti i diritti di cui all'articolo 7 del citato Codice e in particolare il diritto di accedere ai propri dati personali, di chiederne la rettifica, l'aggiornamento e la cancellazione, se incompleti, erronei o raccolti in violazione della legge, nonché di opporsi al loro trattamento per motivi legittimi, rivolgendo le richieste al ................ .................. ................. ................ (precisare identificativo e recapiti del titolare e del responsabile del trattamento; eventualmente il responsabile per il riscontro all'interessato in caso di esercizio dei diritti, se nominato); -1- Le finalità e le modalità del trattamento cui sono destinati i dati -2- La natura obbligatoria o facoltativa del conferimento dei dati -3- Le conseguenze di un eventuale rifiuto di rispondere -4- I soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati, e l'ambito di diffusione dei dati medesimi -5- I diritti di cui all'articolo 7 ( diritti dell’interessato) -6- Gli estremi identificativi del titolare e, se designati, del rappresentante nel territorio dello Stato ai sensi dell'articolo 5 e del responsabile.
L’informativa QUANDO • In caso di dati raccolti presso l’interessato, l’informativa deve essere resa prima delle operazioni del trattamento; • In caso di dati raccolti presso terzi, l’informativa deve essere resa al momento della registrazione dei dati o comunque non oltre la prima comunicazione, se prevista. • Non è necessario ripeterla in occasione di ogni contatto COME • La forma dell’informativa è LIBERA; • Può essere resa in forma orale o scritta. Per i dati sensibili DEVE essere scritta; • Deve essere CHIARA e Idonea allo scopo: non deve seguire particolari formalità, ma deve dare le informazioni necessarie.

Recommended

Modulo 5
Modulo 5Modulo 5
Modulo 5ISIS Fermo Solari
 
Ppt I S H 2010
Ppt I S H 2010Ppt I S H 2010
Ppt I S H 2010Massimo Penco
 
Responsabilità e danno nel Regolamento Privacy Europeo
Responsabilità e danno nel Regolamento Privacy EuropeoResponsabilità e danno nel Regolamento Privacy Europeo
Responsabilità e danno nel Regolamento Privacy EuropeoGigliola Pirotta
 
Smau Milano 2016 - CSIG - Data Breach Parte 2
Smau Milano 2016 - CSIG - Data Breach Parte 2Smau Milano 2016 - CSIG - Data Breach Parte 2
Smau Milano 2016 - CSIG - Data Breach Parte 2SMAU
 
Il ruolo del Data Protection Officer: un decalogo per la GDPR compliance
Il ruolo del Data Protection Officer: un decalogo per la GDPR complianceIl ruolo del Data Protection Officer: un decalogo per la GDPR compliance
Il ruolo del Data Protection Officer: un decalogo per la GDPR complianceDiritto & Information and Communication Technology
 
Privacy in England and Italy
Privacy in England and ItalyPrivacy in England and Italy
Privacy in England and ItalyFrancesco Sabatini
 
Smau 2016 seminario privacy: Data Protection Officer, seminario alovisio go...
Smau 2016 seminario privacy: Data Protection Officer, seminario alovisio go...Smau 2016 seminario privacy: Data Protection Officer, seminario alovisio go...
Smau 2016 seminario privacy: Data Protection Officer, seminario alovisio go...Mauro Alovisio
 
Smau Milano 2016 - CSIG - Sanità
Smau Milano 2016 - CSIG - SanitàSmau Milano 2016 - CSIG - Sanità
Smau Milano 2016 - CSIG - SanitàSMAU
 

Recommended

Modulo 5
Modulo 5Modulo 5
Modulo 5ISIS Fermo Solari
 
Ppt I S H 2010
Ppt I S H 2010Ppt I S H 2010
Ppt I S H 2010Massimo Penco
 
Responsabilità e danno nel Regolamento Privacy Europeo
Responsabilità e danno nel Regolamento Privacy EuropeoResponsabilità e danno nel Regolamento Privacy Europeo
Responsabilità e danno nel Regolamento Privacy EuropeoGigliola Pirotta
 
Smau Milano 2016 - CSIG - Data Breach Parte 2
Smau Milano 2016 - CSIG - Data Breach Parte 2Smau Milano 2016 - CSIG - Data Breach Parte 2
Smau Milano 2016 - CSIG - Data Breach Parte 2SMAU
 
Il ruolo del Data Protection Officer: un decalogo per la GDPR compliance
Il ruolo del Data Protection Officer: un decalogo per la GDPR complianceIl ruolo del Data Protection Officer: un decalogo per la GDPR compliance
Il ruolo del Data Protection Officer: un decalogo per la GDPR complianceDiritto & Information and Communication Technology
 
Privacy in England and Italy
Privacy in England and ItalyPrivacy in England and Italy
Privacy in England and ItalyFrancesco Sabatini
 
Smau 2016 seminario privacy: Data Protection Officer, seminario alovisio go...
Smau 2016 seminario privacy: Data Protection Officer, seminario alovisio go...Smau 2016 seminario privacy: Data Protection Officer, seminario alovisio go...
Smau 2016 seminario privacy: Data Protection Officer, seminario alovisio go...Mauro Alovisio
 
Smau Milano 2016 - CSIG - Sanità
Smau Milano 2016 - CSIG - SanitàSmau Milano 2016 - CSIG - Sanità
Smau Milano 2016 - CSIG - SanitàSMAU
 
Cyber Risk e Data Protection C&S Aon Rhea _Padova 21.11.2017
Cyber Risk e Data Protection C&S Aon Rhea _Padova 21.11.2017 Cyber Risk e Data Protection C&S Aon Rhea _Padova 21.11.2017
Cyber Risk e Data Protection C&S Aon Rhea _Padova 21.11.2017 Andrea Cortellazzo
 
Lezione 10 2015-2016 Cibernetica Società dell'Informazione
Lezione 10 2015-2016 Cibernetica Società dell'InformazioneLezione 10 2015-2016 Cibernetica Società dell'Informazione
Lezione 10 2015-2016 Cibernetica Società dell'InformazioneFederico Costantini
 
R. Villano - Concetti di privacy
R. Villano - Concetti di privacyR. Villano - Concetti di privacy
R. Villano - Concetti di privacyRaimondo Villano
 
Lezione 09 2015-2016 Condivisione e social networks
Lezione 09 2015-2016 Condivisione e social networksLezione 09 2015-2016 Condivisione e social networks
Lezione 09 2015-2016 Condivisione e social networksFederico Costantini
 
Equilibrio trasparenzaprivacydlgs33 2013_faini
Equilibrio trasparenzaprivacydlgs33 2013_fainiEquilibrio trasparenzaprivacydlgs33 2013_faini
Equilibrio trasparenzaprivacydlgs33 2013_fainiFernanda Faini
 
Privacy: cosa cambia con il nuovo Regolamento Europeo [Newsletter]
Privacy: cosa cambia con il nuovo Regolamento Europeo [Newsletter]Privacy: cosa cambia con il nuovo Regolamento Europeo [Newsletter]
Privacy: cosa cambia con il nuovo Regolamento Europeo [Newsletter]teresadepiano
 
Data protection e blockchain
Data protection e blockchainData protection e blockchain
Data protection e blockchainmarcomaglio
 
Lezioni 17-18 2015-2016 Approfondimento Peer to Peer, Data Retentionaretention
Lezioni 17-18 2015-2016 Approfondimento Peer to Peer, Data RetentionaretentionLezioni 17-18 2015-2016 Approfondimento Peer to Peer, Data Retentionaretention
Lezioni 17-18 2015-2016 Approfondimento Peer to Peer, Data RetentionaretentionFederico Costantini
 
Il Giurista Tecnologico
Il Giurista TecnologicoIl Giurista Tecnologico
Il Giurista TecnologicoElena Maggio
 
Privacy e Trattamento dei Dati Personali
Privacy e Trattamento dei Dati PersonaliPrivacy e Trattamento dei Dati Personali
Privacy e Trattamento dei Dati PersonaliGiacomo Giovanelli
 
Privacy e videosorveglianza.
Privacy e videosorveglianza. Privacy e videosorveglianza.
Privacy e videosorveglianza. Roberta Rapicavoli
 
Privacy - semplificazioni e adempimenti. Un'opportunità per le aziende - Inte...
Privacy - semplificazioni e adempimenti. Un'opportunità per le aziende - Inte...Privacy - semplificazioni e adempimenti. Un'opportunità per le aziende - Inte...
Privacy - semplificazioni e adempimenti. Un'opportunità per le aziende - Inte...Unione Parmense degli Industriali
 
40158_NFoPP - ARLA - PETER SAVAGE presentation 1600x900
40158_NFoPP - ARLA - PETER SAVAGE presentation 1600x90040158_NFoPP - ARLA - PETER SAVAGE presentation 1600x900
40158_NFoPP - ARLA - PETER SAVAGE presentation 1600x900PETER E. SAVAGE PPARLA Honoured MNAEA
 
Cassia at the fields MBR city Dubai +971 4553 8725
Cassia at the fields MBR city Dubai +971 4553 8725Cassia at the fields MBR city Dubai +971 4553 8725
Cassia at the fields MBR city Dubai +971 4553 8725Sandeepnextgen
 
Meet nayakpura ceramic industries report
Meet nayakpura ceramic industries reportMeet nayakpura ceramic industries report
Meet nayakpura ceramic industries reportMeet Nayakpura
 
Green Building
Green BuildingGreen Building
Green Buildingintraderamit100
 
Certificate's
Certificate'sCertificate's
Certificate'sDewald Pieterse
 
A brief history of the science of learning part 1. By Tracey Tokuhama-Espinos...
A brief history of the science of learning part 1. By Tracey Tokuhama-Espinos...A brief history of the science of learning part 1. By Tracey Tokuhama-Espinos...
A brief history of the science of learning part 1. By Tracey Tokuhama-Espinos...Conexiones: The Learning Sciences Platform
 
Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/...
Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/... Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/...
Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/...Digital Law Communication
 
Privacy ed antiriciclaggio
Privacy ed antiriciclaggioPrivacy ed antiriciclaggio
Privacy ed antiriciclaggioMarco Krogh
 
Hr paradigma
Hr paradigmaHr paradigma
Hr paradigmaSalvo Reina
 
NOTA ANTIRICICLAGGIO E PRIVACYrev.pdf
NOTA ANTIRICICLAGGIO E PRIVACYrev.pdfNOTA ANTIRICICLAGGIO E PRIVACYrev.pdf
NOTA ANTIRICICLAGGIO E PRIVACYrev.pdfMarco Krogh
 

More Related Content

What's hot

Cyber Risk e Data Protection C&S Aon Rhea _Padova 21.11.2017
Cyber Risk e Data Protection C&S Aon Rhea _Padova 21.11.2017 Cyber Risk e Data Protection C&S Aon Rhea _Padova 21.11.2017
Cyber Risk e Data Protection C&S Aon Rhea _Padova 21.11.2017 Andrea Cortellazzo
 
Lezione 10 2015-2016 Cibernetica Società dell'Informazione
Lezione 10 2015-2016 Cibernetica Società dell'InformazioneLezione 10 2015-2016 Cibernetica Società dell'Informazione
Lezione 10 2015-2016 Cibernetica Società dell'InformazioneFederico Costantini
 
R. Villano - Concetti di privacy
R. Villano - Concetti di privacyR. Villano - Concetti di privacy
R. Villano - Concetti di privacyRaimondo Villano
 
Lezione 09 2015-2016 Condivisione e social networks
Lezione 09 2015-2016 Condivisione e social networksLezione 09 2015-2016 Condivisione e social networks
Lezione 09 2015-2016 Condivisione e social networksFederico Costantini
 
Equilibrio trasparenzaprivacydlgs33 2013_faini
Equilibrio trasparenzaprivacydlgs33 2013_fainiEquilibrio trasparenzaprivacydlgs33 2013_faini
Equilibrio trasparenzaprivacydlgs33 2013_fainiFernanda Faini
 
Privacy: cosa cambia con il nuovo Regolamento Europeo [Newsletter]
Privacy: cosa cambia con il nuovo Regolamento Europeo [Newsletter]Privacy: cosa cambia con il nuovo Regolamento Europeo [Newsletter]
Privacy: cosa cambia con il nuovo Regolamento Europeo [Newsletter]teresadepiano
 
Data protection e blockchain
Data protection e blockchainData protection e blockchain
Data protection e blockchainmarcomaglio
 
Lezioni 17-18 2015-2016 Approfondimento Peer to Peer, Data Retentionaretention
Lezioni 17-18 2015-2016 Approfondimento Peer to Peer, Data RetentionaretentionLezioni 17-18 2015-2016 Approfondimento Peer to Peer, Data Retentionaretention
Lezioni 17-18 2015-2016 Approfondimento Peer to Peer, Data RetentionaretentionFederico Costantini
 
Il Giurista Tecnologico
Il Giurista TecnologicoIl Giurista Tecnologico
Il Giurista TecnologicoElena Maggio
 

What's hot (9)

Cyber Risk e Data Protection C&S Aon Rhea _Padova 21.11.2017
Cyber Risk e Data Protection C&S Aon Rhea _Padova 21.11.2017 Cyber Risk e Data Protection C&S Aon Rhea _Padova 21.11.2017
Cyber Risk e Data Protection C&S Aon Rhea _Padova 21.11.2017
 
Lezione 10 2015-2016 Cibernetica Società dell'Informazione
Lezione 10 2015-2016 Cibernetica Società dell'InformazioneLezione 10 2015-2016 Cibernetica Società dell'Informazione
Lezione 10 2015-2016 Cibernetica Società dell'Informazione
 
R. Villano - Concetti di privacy
R. Villano - Concetti di privacyR. Villano - Concetti di privacy
R. Villano - Concetti di privacy
 
Lezione 09 2015-2016 Condivisione e social networks
Lezione 09 2015-2016 Condivisione e social networksLezione 09 2015-2016 Condivisione e social networks
Lezione 09 2015-2016 Condivisione e social networks
 
Equilibrio trasparenzaprivacydlgs33 2013_faini
Equilibrio trasparenzaprivacydlgs33 2013_fainiEquilibrio trasparenzaprivacydlgs33 2013_faini
Equilibrio trasparenzaprivacydlgs33 2013_faini
 
Privacy: cosa cambia con il nuovo Regolamento Europeo [Newsletter]
Privacy: cosa cambia con il nuovo Regolamento Europeo [Newsletter]Privacy: cosa cambia con il nuovo Regolamento Europeo [Newsletter]
Privacy: cosa cambia con il nuovo Regolamento Europeo [Newsletter]
 
Data protection e blockchain
Data protection e blockchainData protection e blockchain
Data protection e blockchain
 
Lezioni 17-18 2015-2016 Approfondimento Peer to Peer, Data Retentionaretention
Lezioni 17-18 2015-2016 Approfondimento Peer to Peer, Data RetentionaretentionLezioni 17-18 2015-2016 Approfondimento Peer to Peer, Data Retentionaretention
Lezioni 17-18 2015-2016 Approfondimento Peer to Peer, Data Retentionaretention
 
Il Giurista Tecnologico
Il Giurista TecnologicoIl Giurista Tecnologico
Il Giurista Tecnologico
 

Viewers also liked

Privacy e Trattamento dei Dati Personali
Privacy e Trattamento dei Dati PersonaliPrivacy e Trattamento dei Dati Personali
Privacy e Trattamento dei Dati PersonaliGiacomo Giovanelli
 
Privacy - semplificazioni e adempimenti. Un'opportunità per le aziende - Inte...
Privacy - semplificazioni e adempimenti. Un'opportunità per le aziende - Inte...Privacy - semplificazioni e adempimenti. Un'opportunità per le aziende - Inte...
Privacy - semplificazioni e adempimenti. Un'opportunità per le aziende - Inte...Unione Parmense degli Industriali
 
Cassia at the fields MBR city Dubai +971 4553 8725
Cassia at the fields MBR city Dubai +971 4553 8725Cassia at the fields MBR city Dubai +971 4553 8725
Cassia at the fields MBR city Dubai +971 4553 8725Sandeepnextgen
 
Meet nayakpura ceramic industries report
Meet nayakpura ceramic industries reportMeet nayakpura ceramic industries report
Meet nayakpura ceramic industries reportMeet Nayakpura
 
A brief history of the science of learning part 1. By Tracey Tokuhama-Espinos...
A brief history of the science of learning part 1. By Tracey Tokuhama-Espinos...A brief history of the science of learning part 1. By Tracey Tokuhama-Espinos...
A brief history of the science of learning part 1. By Tracey Tokuhama-Espinos...Conexiones: The Learning Sciences Platform
 

Viewers also liked (9)

Privacy e Trattamento dei Dati Personali
Privacy e Trattamento dei Dati PersonaliPrivacy e Trattamento dei Dati Personali
Privacy e Trattamento dei Dati Personali
 
Privacy e videosorveglianza.
Privacy e videosorveglianza. Privacy e videosorveglianza.
Privacy e videosorveglianza.
 
Privacy - semplificazioni e adempimenti. Un'opportunità per le aziende - Inte...
Privacy - semplificazioni e adempimenti. Un'opportunità per le aziende - Inte...Privacy - semplificazioni e adempimenti. Un'opportunità per le aziende - Inte...
Privacy - semplificazioni e adempimenti. Un'opportunità per le aziende - Inte...
 
40158_NFoPP - ARLA - PETER SAVAGE presentation 1600x900
40158_NFoPP - ARLA - PETER SAVAGE presentation 1600x90040158_NFoPP - ARLA - PETER SAVAGE presentation 1600x900
40158_NFoPP - ARLA - PETER SAVAGE presentation 1600x900
 
Cassia at the fields MBR city Dubai +971 4553 8725
Cassia at the fields MBR city Dubai +971 4553 8725Cassia at the fields MBR city Dubai +971 4553 8725
Cassia at the fields MBR city Dubai +971 4553 8725
 
Meet nayakpura ceramic industries report
Meet nayakpura ceramic industries reportMeet nayakpura ceramic industries report
Meet nayakpura ceramic industries report
 
Green Building
Green BuildingGreen Building
Green Building
 
Certificate's
Certificate'sCertificate's
Certificate's
 
A brief history of the science of learning part 1. By Tracey Tokuhama-Espinos...
A brief history of the science of learning part 1. By Tracey Tokuhama-Espinos...A brief history of the science of learning part 1. By Tracey Tokuhama-Espinos...
A brief history of the science of learning part 1. By Tracey Tokuhama-Espinos...
 

Similar to 12345

Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/...
Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/... Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/...
Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/...Digital Law Communication
 
Privacy ed antiriciclaggio
Privacy ed antiriciclaggioPrivacy ed antiriciclaggio
Privacy ed antiriciclaggioMarco Krogh
 
NOTA ANTIRICICLAGGIO E PRIVACYrev.pdf
NOTA ANTIRICICLAGGIO E PRIVACYrev.pdfNOTA ANTIRICICLAGGIO E PRIVACYrev.pdf
NOTA ANTIRICICLAGGIO E PRIVACYrev.pdfMarco Krogh
 
Seminario privacy Alovisio 6 dicembre impatto regolamento europeo su studi...
Seminario privacy Alovisio 6 dicembre impatto regolamento europeo su studi...Seminario privacy Alovisio 6 dicembre impatto regolamento europeo su studi...
Seminario privacy Alovisio 6 dicembre impatto regolamento europeo su studi...Mauro Alovisio
 
Smau Milano 2016 CSIG - Data Protection Officer
Smau Milano 2016 CSIG - Data Protection OfficerSmau Milano 2016 CSIG - Data Protection Officer
Smau Milano 2016 CSIG - Data Protection OfficerSMAU
 
Smau seminario data breach prima parte
Smau seminario data breach prima parte Smau seminario data breach prima parte
Smau seminario data breach prima parte Mauro Alovisio
 
Codice della Privacy. Testo Unico in materia di dati personali
Codice della Privacy. Testo Unico in materia di dati personaliCodice della Privacy. Testo Unico in materia di dati personali
Codice della Privacy. Testo Unico in materia di dati personaliVittorio Pasteris
 
Privacy: Facebook e WhatsApp (come paghiamo questi servizi)
Privacy: Facebook e WhatsApp (come paghiamo questi servizi)Privacy: Facebook e WhatsApp (come paghiamo questi servizi)
Privacy: Facebook e WhatsApp (come paghiamo questi servizi)Pedroletti Sharmayne
 
La Privacy in Facebook e WhatsApp
La Privacy in Facebook e WhatsAppLa Privacy in Facebook e WhatsApp
La Privacy in Facebook e WhatsAppGiusy Sacco
 
Privacy in Facebook e WhatsApp
Privacy in Facebook e WhatsAppPrivacy in Facebook e WhatsApp
Privacy in Facebook e WhatsAppDaniela Belotti
 
Aspetti legali degli open data: la guida definitiva (vers. 1.0 – maggio 2022)
Aspetti legali degli open data: la guida definitiva (vers. 1.0 – maggio 2022)Aspetti legali degli open data: la guida definitiva (vers. 1.0 – maggio 2022)
Aspetti legali degli open data: la guida definitiva (vers. 1.0 – maggio 2022)Simone Aliprandi
 
Nuovo Regolamento Privacy Europeo: la genesi normativa sulla privacy
Nuovo Regolamento Privacy Europeo: la genesi normativa sulla privacyNuovo Regolamento Privacy Europeo: la genesi normativa sulla privacy
Nuovo Regolamento Privacy Europeo: la genesi normativa sulla privacyM2 Informatica
 
Smau Padova 2016 - Assintel regolamento europeo
Smau Padova 2016 - Assintel regolamento europeoSmau Padova 2016 - Assintel regolamento europeo
Smau Padova 2016 - Assintel regolamento europeoSMAU
 
SignEAT - Evento AIFAG del 15 giugno 2017 - Intervento Andrea Lisi
SignEAT - Evento AIFAG del 15 giugno 2017 - Intervento Andrea LisiSignEAT - Evento AIFAG del 15 giugno 2017 - Intervento Andrea Lisi
SignEAT - Evento AIFAG del 15 giugno 2017 - Intervento Andrea LisiDigital Law Communication
 
Mauro Alovisio Droni e privacy 27 04 2016 2016 museo del cinema smart
Mauro Alovisio Droni e privacy 27 04 2016 2016 museo del cinema smartMauro Alovisio Droni e privacy 27 04 2016 2016 museo del cinema smart
Mauro Alovisio Droni e privacy 27 04 2016 2016 museo del cinema smartMauro Alovisio
 
Talk Agostino IHC Padova, 03.08.2018
Talk Agostino IHC Padova, 03.08.2018Talk Agostino IHC Padova, 03.08.2018
Talk Agostino IHC Padova, 03.08.2018Agostino Pedone
 

Similar to 12345 (20)

Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/...
Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/... Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/...
Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/...
 
Privacy ed antiriciclaggio
Privacy ed antiriciclaggioPrivacy ed antiriciclaggio
Privacy ed antiriciclaggio
 
Hr paradigma
Hr paradigmaHr paradigma
Hr paradigma
 
NOTA ANTIRICICLAGGIO E PRIVACYrev.pdf
NOTA ANTIRICICLAGGIO E PRIVACYrev.pdfNOTA ANTIRICICLAGGIO E PRIVACYrev.pdf
NOTA ANTIRICICLAGGIO E PRIVACYrev.pdf
 
Seminario privacy Alovisio 6 dicembre impatto regolamento europeo su studi...
Seminario privacy Alovisio 6 dicembre impatto regolamento europeo su studi...Seminario privacy Alovisio 6 dicembre impatto regolamento europeo su studi...
Seminario privacy Alovisio 6 dicembre impatto regolamento europeo su studi...
 
Smau Milano 2016 CSIG - Data Protection Officer
Smau Milano 2016 CSIG - Data Protection OfficerSmau Milano 2016 CSIG - Data Protection Officer
Smau Milano 2016 CSIG - Data Protection Officer
 
Smau data breach v1
Smau data breach v1Smau data breach v1
Smau data breach v1
 
Smau seminario data breach prima parte
Smau seminario data breach prima parte Smau seminario data breach prima parte
Smau seminario data breach prima parte
 
Codice della Privacy. Testo Unico in materia di dati personali
Codice della Privacy. Testo Unico in materia di dati personaliCodice della Privacy. Testo Unico in materia di dati personali
Codice della Privacy. Testo Unico in materia di dati personali
 
Diritto all'oblio
Diritto all'oblioDiritto all'oblio
Diritto all'oblio
 
Privacy: Facebook e WhatsApp (come paghiamo questi servizi)
Privacy: Facebook e WhatsApp (come paghiamo questi servizi)Privacy: Facebook e WhatsApp (come paghiamo questi servizi)
Privacy: Facebook e WhatsApp (come paghiamo questi servizi)
 
La Privacy in Facebook e WhatsApp
La Privacy in Facebook e WhatsAppLa Privacy in Facebook e WhatsApp
La Privacy in Facebook e WhatsApp
 
Privacy in Facebook e WhatsApp
Privacy in Facebook e WhatsAppPrivacy in Facebook e WhatsApp
Privacy in Facebook e WhatsApp
 
Aspetti legali degli open data: la guida definitiva (vers. 1.0 – maggio 2022)
Aspetti legali degli open data: la guida definitiva (vers. 1.0 – maggio 2022)Aspetti legali degli open data: la guida definitiva (vers. 1.0 – maggio 2022)
Aspetti legali degli open data: la guida definitiva (vers. 1.0 – maggio 2022)
 
Nuovo Regolamento Privacy Europeo: la genesi normativa sulla privacy
Nuovo Regolamento Privacy Europeo: la genesi normativa sulla privacyNuovo Regolamento Privacy Europeo: la genesi normativa sulla privacy
Nuovo Regolamento Privacy Europeo: la genesi normativa sulla privacy
 
Smau Padova 2016 - Assintel regolamento europeo
Smau Padova 2016 - Assintel regolamento europeoSmau Padova 2016 - Assintel regolamento europeo
Smau Padova 2016 - Assintel regolamento europeo
 
SignEAT - Evento AIFAG del 15 giugno 2017 - Intervento Andrea Lisi
SignEAT - Evento AIFAG del 15 giugno 2017 - Intervento Andrea LisiSignEAT - Evento AIFAG del 15 giugno 2017 - Intervento Andrea Lisi
SignEAT - Evento AIFAG del 15 giugno 2017 - Intervento Andrea Lisi
 
Mauro Alovisio Droni e privacy 27 04 2016 2016 museo del cinema smart
Mauro Alovisio Droni e privacy 27 04 2016 2016 museo del cinema smartMauro Alovisio Droni e privacy 27 04 2016 2016 museo del cinema smart
Mauro Alovisio Droni e privacy 27 04 2016 2016 museo del cinema smart
 
Newsletter 05.2018
Newsletter 05.2018Newsletter 05.2018
Newsletter 05.2018
 
Talk Agostino IHC Padova, 03.08.2018
Talk Agostino IHC Padova, 03.08.2018Talk Agostino IHC Padova, 03.08.2018
Talk Agostino IHC Padova, 03.08.2018
 

12345

  • 1. Privacy e protezione dei dati Corso di Formazione Modulo base
  • 2. PRIVACY E’ un termine inglese che evoca significati a volte mutevoli, sinonimo dei concetti di «riservatezza», «privatezza». Nella realtà contemporanea, con il concetto di Privacy non si intende soltanto il diritto di essere lasciati in pace o di proteggere la propria sfera privata, ma soprattutto il diritto di controllare l’uso e la circolazione dei propri dati personali che costituiscono il bene primario dell’attuale società dell’informazione. Il diritto alla privacy e, in particolare, alla protezione dei dati personali costituisce un diritto fondamentale delle persone, direttamente collegato alla tutela della dignità umana, come sancito anche dalla Carta dei diritti fondamentali dell’Unione Europea. Glossario sito web Garante – doc. web n. 1663787
  • 3. Da una analisi più puntuale di questa autorevole definizione possiamo fare alcune considerazioni preliminari…
  • 4. «Significati a volte mutevoli» L’uso del termine «Privacy» è frequente nel linguaggio corrente, ma è sicuramente difficile dare una definizione delle tante sfaccettature e sfumature che il termine può assumere. Tanto per avere una idea del complesso dibattito, vivo anche sul piano filosofico, alcune delle definizioni che negli anni sono state date: «Diritto a essere lasciato solo» - Warren-Brandeis «Diritto di controllare l’uso che altri fanno delle informazioni che mi riguardano» - A. Westin « Diritto di mantenere il controllo sulle proprie informazioni e di determinare le modalità di costruzione della propria sfera privata» - P.E. Agree e M. Rotenberg « Libertà di scegliere, di non essere omologati, di non essere controllati, di esprimere spontaneamente la nostra creatività» - Discorso del presidente A. Soro, Relazione annuale al Parlamento.
  • 5. «Nella realtà contemporanea» Il tema è strettamente legato all’evoluzione tecnologica e alla vera e propria rivoluzione avvenuta negli ultimi decenni: in questo nuovo panorama, è lo stesso concetto di «sfera privata» ad essere modificato. Anche in questo caso la dottrina evolve le sue definizioni: « Cediamo informazioni, lasciamo tracce quando ci vengono forniti beni o servizi, quando cerchiamo informazioni, quando ci muoviamo nello spazio reale o virtuale» - S. Rodotà « Non si ha più una persona virtuale contrapposta alla persona reale, ma un intreccio che restituisce la persona reale come connotata dal digitale» - S. Rodotà
  • 6. « L’uso e la circolazione dei propri dati personali» Arriviamo al fulcro di tutta la trattazione: il DATO, l’INFORMAZIONE. «Per dato personale si intende qualunque informazione relativa a persona fisica, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale» - art. 4 lett. b) D.lgs. 30 Giugno 2003 n. 196. Il dato è da decenni al centro dell’analisi scientifica sia dal punto di vista della conservazione/custodia delle informazioni in sicurezza, sia dal punto di vista della tutela della circolazione delle informazioni.
  • 7. « il bene primario dell’attuale società dell’informazione» Il dato è stato definito « il nuovo petrolio dell’età moderna» Nel rapporto Microsoft Digital Trends 2015, studio realizzato in partnership con Future Laboratory e Research Now è stato evidenziato che: « il 78% degli intervistati mostra di aver capito che i dati derivanti dalla propria presenza online sono oro colato per i brand; più della metà di loro ( 61%) si dice favorevole alla condivisione di informazioni riservate con le aziende, purché questo avvenga in modo trasparente e porti loro precisi e quantificabili benefici»
  • 8. «il Bene primario dell’attuale società[…]diritto fondamentale delle persone» La stessa definizione accosta due aspetti che possono far nascere una contrapposizione «esplosiva»: da una parte la salvaguardia e la tutela della dignità umana, dall’altra il fortissimo valore commerciale assunto dai DATI. … e la normativa sulla Privacy a tentare di contemperare le esigenze, attraverso la tutela della gigantesca mole di dati messa a disposizione ogni istante…
  • 9. RILEGGENDO LA DEFINIZIONE INIZIALE… PRIVACY è un termine inglese che evoca significati a volte mutevoli, sinonimo dei concetti di «riservatezza», «privatezza». Nella realtà contemporanea, con il concetto di Privacy non si intende soltanto il diritto di essere lasciati in pace o di proteggere la propria sfera privata, ma soprattutto il diritto di controllare l’uso e la circolazione dei propri dati personali che costituiscono il bene primario dell’attuale società dell’informazione. Il diritto alla privacy e, in particolare, alla protezione dei dati personali costituisce un diritto fondamentale delle persone, direttamente collegato alla tutela della dignità umana, come sancito anche dalla Carta dei diritti fondamentali dell’Unione Europea. Ecco, quindi, molto sinteticamente, il panorama da tenere in considerazione quando ci si approccia al tema della Privacy: argomento complesso e articolato, presente in tutti gli ambiti della vita e del lavoro.
  • 10. Ma prima di entrare nello specifico, ancora due aspetti connessi con la definizione iniziale: • L’importanza della legiferazione europea • Chi è il Garante?
  • 11. L’importanza della legiferazione europea Le fonti a cui si ricollega l’intera disciplina italiana hanno derivazione Europea. Le fonti europee principali sono: - Carta dei diritti fondamentali dell’Unione Europea; - Trattato di Lisbona; - Direttiva 1995/46 ( c.d. Direttiva Madre) - Direttiva 2002/58 - Direttiva 2009/136 - Dal 24 Maggio 2016: il Regolamento UE n. 679/2016 – Regolamento Europeo sulla protezione dei dati
  • 12. Il nuovo Regolamento Europeo Con comunicato stampa del 4 Maggio 2016, il Garante della Privacy informa che sono stati pubblicati nella Gazzetta Ufficiale dell’Unione europea del 4 Maggio 2016 il regolamento europeo sulla protezione dei dati personali n. 679/2016 e la direttiva n. 680/2016 che regola i trattamenti dei dati nei settori di prevenzione, contrasto e repressione dei crimini. Il nuovo regolamento andrà a sostituire la Direttiva 95/46/CE che era stata la «Direttiva Madre» da cui si era sviluppata la legiferazione Italiana. Il Garante precisa che le norme del regolamento non trovano immediata applicazione, tuttavia, dal 24 Maggio 2016 ( 20° gg successivo alla pubblicazione) inizia a decorrere il termine di 2 anni entro i quali gli Stati membri devono adeguare le norme nazionali in materia di «privacy» alle nuove prescrizioni.
  • 13. Il nuovo Regolamento Europeo Il Regolamento introduce una legislazione in materia di protezione dati uniforme e valida in tutta Europa, affrontando temi innovativi - come il diritto alla portabilità dei dati – e stabilendo anche criteri che da una parte responsabilizzano maggiormente imprese ed enti rispetto alla protezione dei dati personali e, dall’altra, introducono notevoli semplificazioni e sgravi dagli adempimenti per chi rispetta le regole. Novità in vista, dunque, anche per la normativa Italiana: Il regolamento UE n. 679/2016 troverà in ogni caso automatica applicazione dal 25 Maggio 2018 con conseguente disapplicazione di tutte le norme nazionali che fossero in contrasto con lo stesso. I principi e le definizioni alla base della normativa sono rimasti comunque invariati, quindi possiamo affrontare già oggi buona parte degli argomenti, basandoci sull’attuale Codice della Privacy italiano ( D.lgs. 196/2003).
  • 14. Chi è questo «Garante» di cui si sente tanto parlare? Il Garante per la protezione dei dati personali è una Autorità indipendente che presiede la tutela dei dati personali. E’ un organo collegiale composto da 4 membri eletti dal Parlamento, istituito per la tutela dei diritti, delle libertà fondamentali e della dignità delle persone. Controlla se il trattamento di dati personali da parte di privati e pubbliche amministrazioni è lecito e corretto e rilascia le autorizzazioni al trattamento dei dati sensibili e giudiziari. Esamina reclami, segnalazioni e ricorsi, svolge accertamenti anche su richiesta del cittadino, esegue ispezioni e verifiche. Prescrive modifiche necessarie od opportune per far adeguare i trattamenti alla disciplina vigente e segnala al Parlamento e al Governo l’opportunità di interventi normativi per tutelare gli interessati.
  • 15. Chi è questo «Garante» di cui si sente tanto parlare? Ogni anno, attraverso il proprio sito web e la sua newsletter, il Garante rende noto il piano ispettivo previsto per i successivi mesi. Per le attività ispettive, il Garante si avvale di un reparto speciale della Guardia di Finanza noto come “Nucleo Speciale Funzione Pubblica e Privacy” che collabora all'attività ispettiva attraverso indagini conoscitive sullo stato di attuazione della Legge in settori specifici e la segnalazione all’Autorità di tutte le situazioni di cui venga a conoscenza nel corso dell’esecuzione delle ordinarie attività di servizio.
  • 16. Il Garante (la composizione dal 6 Giugno 2012) IL COLLEGIO Antonello Soro (Presidente) Augusta Iannini (vice-presidente) Giovanna Bianchi Clerici (componente) Licia Califano (componente) Il primo presidente dell’Ufficio del Garante ( dal 1997 al 2005), considerato il «padre fondatore» della Legge, è stato Stefano Rodotà.
  • 17. Passiamo ora ad analizzare la disciplina che più direttamente influisce sul nostro operato quotidiano
  • 18. Le norme di Legge Legge n. 675/1996 La disciplina italiana della protezione dei dati personali parte con la Legge n. 675/1996, attuativa della direttiva 95/46/CEE del 24 ottobre 1995. La Legge n. 675/1996 ha anche consentito all'Italia di entrare a far parte dell'Accordo di Schengen, sull'abolizione dei controlli sulle persone alle frontiere dell'Unione europea. E’ oggi abrogata.
  • 19. Le norme di Legge D.lgs n. 196/2003 – Codice della privacy Il Codice della privacy riunisce in un solo testo, di rango unicamente legislativo, la L. n. 675/1996, i successivi decreti legislativi correttivi, varie disposizioni regolamentari approvate in seguito, altre norme rilevanti in tema di tutela della privacy, nonché alcune importanti disposizioni innovative, che, in alcuni casi, recepiscono e codificano la giurisprudenza espressa in questi anni dal Garante. E’ la norma ad oggi in vigore e rimarrà in vigore fino al recepimento del nuovo Regolamento Europeo.
  • 20. Gli altri riferimenti di rango primario Provvedimenti, autorizzazioni e codici deontologici Il Codice Privacy è la fonte principale, ma il contesto normativo è complesso e variamente articolato, sia a livello legislativo sia a livello regolamentare. Infatti il quadro comprende anche provvedimenti generali, autorizzazioni generali e codici deontologici che disciplinano nel loro ambito, molto spesso con forza e valore di norma di rango primario ( Legge). il complesso delle norme sulla protezione dei dati personali deve poi essere anche coordinato con le altre disposizioni dell'ordinamento italiano, che, pur non essendo espressamente dedicate alla protezione dei dati personali o alla tutela della riservatezza, toccano in ambito settoriale temi tipici attinenti tali materie ( es. Statuto dei lavoratori).
  • 21. Gli altri riferimenti di rango inferiore Linee guida e modelli Periodicamente il Garante pubblica anche linee guida e modelli di riferimento per il rispetto degli adempimenti. Mentre il Codice, gli allegati al codice ed i provvedimenti hanno valore di legge e sono dunque obbligatori le linee guida ed i modelli sono opzionali. CAMBIARE L’IMMAGINE
  • 23. La struttura del decreto Si compone di 3 parti… 1. Disposizioni generali ( artt.1-45); 2. Disposizioni relative a settori specifici ( artt. 46-140); 3. Tutela dell’interessato e sanzioni ( artt. 141-186); …a cui seguono 3 categorie di allegati: 1. Codici deontologici; 2. Disciplinare tecnico; 3. Trattamenti non occasionali[…] in ambito giudiziario o per fini di polizia
  • 24. Principi generali All’interno delle disposizioni generali, parte importante rivestono i «principi generali» che esprimono i principi base ispiratori di tutta la disciplina. Rappresentano lo strumento principale ed indispensabile per dirimere questioni controverse e valutare l’impatto Privacy di un qualsiasi progetto. Soprattutto in conseguenza della rapidissima evoluzione tecnologica, spesso capita che il Garante debba pronunciarsi su questioni che non trovano soluzioni in norme ad hoc: in tutti questi casi, viene fatto riferimento ai principi generali.
  • 25. Principi generali 1. Il diritto alla protezione dei dati personali ( art. 1): «Chiunque ha diritto alla protezione dei dati personali che lo riguardano» 2. Il principio di finalità ( art. 2 ): E’ espresso il concetto per cui la protezione dei dati personali viene realizzata attraverso l’applicazione delle regole indicate nel Codice; 3. Il principio di necessità ( art. 3): «I sistemi informativi e i programmi informatici siano configurati riducendo al minimo l'utilizzazione di dati personali e di dati identificativi, in modo da escluderne il trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante, rispettivamente, dati anonimi od opportune modalità che permettano di identificare l'interessato solo in caso di necessità». Ancora la necessità di moderare tra due interessi: l’esigenza di efficienza amministrativa e la tutela di un diritto della personalità.
  • 26. Principi generali E poi l’art. 11, che esprime i principi generali ai quali si deve conformare qualsiasi trattamento di dati personali: 4. Il principio di liceità e correttezza ( art. 11 comma 1 lettera a): « i dati personali sono trattati in modo lecito e secondo correttezza»… «lecito» significa conforme alla Legge, «corretto» significa nel rispetto del Codice Privacy. 5. Il principio di finalità ( art. 11 comma 1 lettera b): «i dati personali sono raccolti e registrati per scopi determinati, espliciti e legittimi, ed utilizzati in altre operazioni del trattamento in termini compatibili con tali scopi»…ogni trattamento deve avvenire per legittime, specifiche e manifeste finalità. E’ uno dei principi cardine, alla base di uno degli adempimenti operativi principali, ossia l’ «Informativa».
  • 27. Principi generali 6. Il principio di esattezza e aggiornamento ( art. 11 comma 1 lettera c): Sono richieste misure di monitoraggio periodiche al fine di garantire lo stato di aggiornamento dei dati. 7. Il principio di pertinenza e non eccedenza ( art. 11 comma 1 lettera d): E’ richiesta la verifica che TUTTI i dati servano per poter raggiungere la finalità dichiarata. 8. Il principio di conservazione dei dati o della giusta durata del trattamento ( art. 11 comma 1 lettera e): I dati vanno conservati per il tempo necessario a realizzare le finalità per i quali sono stati raccolti.
  • 28. Principi generali Art. 11 comma 2 «I dati personali trattati in violazione della disciplina rilevante in materia di trattamento dei dati personali… ( quindi in violazione dei principi sopra esposti)… NON possono essere utilizzati.»
  • 29. Trattamento dei dati Fondamentale, a questo punto, è capire cosa si intende per «trattamento dei dati» e nel Codice Privacy è contenuta una definizione decisamente ampia. Art. 4 comma 1 D.lgs. 196/2003: «qualunque operazione o complesso di operazioni, effettuati anche senza l'ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione, la distruzione di dati, anche se non registrati in una banca di dati». Le operazioni indicate possono essere suddivisibili in 4 fasi: una fase preliminare ( raccolta, registrazione), una fase di elaborazione ( organizzazione, elaborazione, estrazione…), una fase di circolazione ( comunicazione e diffusione), una fase conclusiva ( cancellazione, blocco, conservazione).
  • 30. Trattamento dei dati Pertanto, l'operazione sinteticamente definita come trattamento è intesa dal nostro Legislatore nella accezione più ampia possibile: l'apparente tassatività dell'elenco contenuto nella legge è, infatti, compensata dal riferimento iniziale a "qualunque operazione" che vanifica qualunque tipo di limitazione dell’ambito considerato. Né il Legislatore ha identificato delle riduzioni relative alla durata temporale. Il concetto di trattamento di dati non può essere limitato al concetto di trattamento sistematico o continuativo di informazioni: anche un trattamento episodico e istantaneo non è escluso dalla nozione di trattamento.
  • 31. Trattamento dei dati In realtà, in modo più o meno diretto, la norma offre la possibilità di fare dei distinguo rispetto al trattamento e di limitare un po’ il campo: Art. 5 comma 3: «il trattamento di dati personali effettuato da persone fisiche per fini esclusivamente personali è soggetto all’applicazione del presente codice solo se i dati sono destinati ad una comunicazione sistematica o alla diffusione. Si applicano in ogni caso le disposizioni in tema di responsabilità e di sicurezza dei dati di cui agli articoli 15 e 31». Si deve ritenere, pertanto, che tutte le banche dati contenenti contatti personali, realizzate da persone fisiche, siano fuori dal regime di disciplina del Codice: la normale vita di relazione tra persone fisiche è dunque esclusa…anche se non del tutto priva di rischio, visto che eventuali danni cagionati per effetto del trattamento potrebbero comunque dar vita ad una risarcimento di danni!!!
  • 32. I dati Ritorniamo a questo punto al «dato», che, come detto, è il fulcro della trattazione: il dato è, in ultima analisi, l’oggetto della tutela e deve necessariamente essere chiaramente identificato. A questo preciso fine, il Codice Privacy fornisce le definizioni delle diverse tipologie di dati, facendo dipendere da esse la graduazione degli adempimenti necessari per un trattamento corretto ed in linea con la disciplina: identificare le diverse classi di dati è un passo fondamentale per organizzare il comportamento da mantenere e, spesso, proprio su questo punto si creano le principali confusioni.
  • 33. Dato personale Avevamo detto che, ai sensi art. 4 comma 1 : «Per dato personale si intende qualunque informazione relativa a persona fisica, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale» Al dato personale si contrappone il «dato anonimo», definito sempre all’art. 4 comma 1 come «il dato che in origine, o a seguito di trattamento, non può essere associato ad un interessato identificato o identificabile»: il tema è sicuramente delicato, in quanto, il requisito dell'identificabilità consentita dal dato non è immune dal creare difficoltà, essendo comunque possibile, attraverso l'utilizzo di tecniche sofisticate, procedere all'individuazione di un soggetto anche attraverso un complesso insieme di informazioni anonime.
  • 34. Dato personale Il dato personale è dunque qualunque informazione, inclusi suoni ed immagini, che sia tale da consentire di identificare la persona (fisica) sia in modo diretto che indiretto, ottenuto cioè per connessione con altra informazione: siamo in presenza di dati identificativi tutte le volte in cui non è necessario porre in essere particolari operazioni di ricostruzione per identificare in maniera diretta l’interessato ( es. PIN o USER ID da cui sia possibile risalire al titolare). E ancora: Il dato è anonimo quando da esso sia impossibile risalire all'interessato, e questa sua caratteristica può tanto essere innata, quanto acquisita a seguito di trattamento. Solo i dati personali sono oggetto di trattamento rilevante dal punto di vista del Codice privacy: se, a seguito di trattamento, un dato personale diviene anonimo ( procedimento di anonimizzazione), allora esce dalla necessità di tutela.
  • 35. All’interno della macro-area dei dati personali sono espressamente individuate 2 sottocategorie 1. Dati sensibili; 2. Dati giudiziari;
  • 36. I dati sensibili Sono quelli che riguardano informazioni concernenti gli aspetti più intimi della vita di un individuo e sono tassativamente indicati dalla norma. Art. 4 comma 1 D.lgs. 196/2003: I dati sensibili sono «i dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale». I dati sensibili godono del maggior grado di tutela e le violazioni che causano danni al dato sensibile sono punite più severamente: molti dei dati elencati tra quelli sensibili attengono a diritti fondamentali e tutelati dalla Costituzione, e, in relazione a questo si giustificano strumenti di tutela rafforzati, rispetto alla disciplina generale, sia sotto il profilo civilistico, sia sotto il profilo penale, nonché sotto quello amministrativo.
  • 37. I dati sensibili Sono addirittura definiti «supersensibili» i dati idonei a rilevare lo stato di salute e la vita sessuale delle persone. E’ quindi chiaro che è fondamentale una individuazione precisa dei dati sensibili che possono essere riscontrati e che il trattamento degli stessi richieda particolare attenzione, perizia e l’adozione di idonee misure di sicurezza. Importante è poi l’individuazione della cosiddetta area di sensibilità, intesa come una valutazione fatta con riferimento al contesto e alla natura stessa dell’informazione: sempre tenendo a mente che l’identificazione dell’interessato può essere sia diretta sia indiretta.
  • 38. Il codice Privacy, poi, dà un ruolo a tutti i «soggetti» che, direttamente o indirettamente, hanno a che fare con i dati…
  • 39. Il Titolare del trattamento Art. 4 comma 1 D.lgs. 196/2003: «La persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza.» Garante - Guida pratica e misure di semplificazione per le piccole e medie imprese – 24 Maggio 2007 «Il "titolare del trattamento", è la "[...] entità che esercita un potere decisionale del tutto autonomo sulle finalità e sulle modalità del trattamento, ivi compreso il profilo della sicurezza" (art. 28 del Codice). In particolare, nell'ambito dello svolgimento dell'attività economica, "titolare del trattamento" può essere la persona fisica (si pensi all'imprenditore individuale) o giuridica (ad esempio, la società) che tratta i dati (con la raccolta, la registrazione, la comunicazione o la diffusione). Il "titolare del trattamento" è chiamato ad attuare gli obblighi in materia e, se ritiene di designare uno o più responsabili del trattamento, è tenuto a vigilare sulla puntuale osservanza delle istruzioni da impartire loro.»
  • 40. Il Titolare del trattamento I tratti distintivi del titolare del trattamento 1. Il potere decisionale: ciò che identifica il titolare è il potere decisionale in ordine al trattamento dei dati e agli strumenti utilizzati, anche se le singole operazioni del trattamento vengono svolte da collaboratori, interni o esterni all'organizzazione del titolare del trattamento. 2. La responsabilità: «è chiamato ad attuare»… « è tenuto a vigilare»…il titolare del trattamento è il vertice della piramide, il soggetto che, in ultima analisi, ha la responsabilità di organizzare la struttura affinché la normativa sulla tutela della riservatezza delle persone sia osservata, anche istituendo meccanismi di monitoraggio e controllo. 3. Sotto il profilo soggettivo, può essere persona fisica o persona giuridica: l’aspetto è stato chiaramente definito sia dal Garante, sia dalla Corte di Cassazione.
  • 41. Il responsabile del trattamento Art. 4 comma 1 D.lgs. 196/2003: «E' responsabile la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali». Garante - Guida pratica e misure di semplificazione per le piccole e medie imprese – 24 Maggio 2007: «Il "responsabile del trattamento" (possono essere più d'uno), è una figura che può essere designata a propria discrezione dal titolare del trattamento con un atto scritto nel quale vanno indicati i compiti affidati. Occorre scegliere persone fisiche od organismi che per esperienza, capacità ed affidabilità, forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza (art. 29 del Codice). Tale figura, la cui designazione da parte del "titolare del trattamento" è quindi facoltativa, ricorre frequentemente in presenza di articolazioni interne delle realtà produttive dotate di una certa autonomia (ad es., possono essere designati responsabili del trattamento i dirigenti di funzioni aziendali, quali quelle del personale o del settore marketing) o, rispetto a soggetti esterni all'impresa, per svariate forme di outsourcing che comportino un trattamento di dati personali (ad es., per i centri di elaborazione dati contabili, per i servizi di postalizzazione, per le società di recupero crediti , etc.)».
  • 42. Il responsabile del trattamento I tratti distintivi del responsabile del trattamento 1. E’ facoltativo: La sua designazione si ritiene importante quando la struttura aziendale abbia dimensioni importanti, ma, da un punto di vista formale, NON è obbligatoria. 2. La nomina scritta: il responsabile ( o i responsabili) deve essere formalmente designato per iscritto, con l’individuazione analitica dei compiti affidati, dei mezzi e delle modalità. 3. Le conoscenze adeguate: il soggetto designato deve avere capacità ed esperienza in materia di Privacy. 4. La diligenza: il soggetto designato deve attenersi alle istruzioni del Titolare, il quale, dal canto suo, vigila sulla puntuale osservanza delle disposizioni. 5. Interno o esterno: Può essere interno alla struttura aziendale, ma anche esterno.
  • 43. L’incaricato al trattamento Art. 4 comma 1 D.lgs. 196/2003: «Le persone fisiche autorizzate a compiere operazioni di trattamento dal titolare o dal responsabile». Art. 30 comma 1 D.lgs. 196/2003: «Le operazioni di trattamento possono essere effettuate solo da incaricati che operano sotto la diretta autorità del titolare o del responsabile, attenendosi alle istruzioni impartite». L'incaricato del trattamento, dunque, non si trova in posizione apicale e non sovrintende al trattamento: egli compie le operazioni del trattamento, così come precedentemente definite, attenendosi alle istruzioni impartite. In pratica, solo chi svolge mere operazioni materiali o chi usa informazioni anonime non è considerato incaricato del trattamento.
  • 44. L’incaricato al trattamento I tratti distintivi dell’incaricato al trattamento 1. E’ persona fisica: A differenza del responsabile del trattamento, che può essere anche un ente collettivo, l'incaricato può essere solo una persona fisica (Garante 8 giugno 1999). 2. Deve essere designato: la designazione è effettuata per iscritto e individua puntualmente l'ambito del trattamento consentito. La nomina è pertanto obbligatoria e permette di capire la natura dei dati personali ai quali l’incaricato accede e la tipologia di trattamento consentita. N.B.: è sufficiente la documentata preposizione della persona fisica ad una unità per la quale è individuato, per iscritto, l’ambito del trattamento consentito agli addetti all’unità medesima. La designazione degli incaricati del trattamento, tra le altre cose, permette di considerare legittimo il flusso delle informazioni personali nell'ambito degli uffici e tra i dipendenti del titolare del trattamento.
  • 45. L’interessato Art. 4 comma 1 D.lgs. 196/2003: «L’interessato è la persona fisica cui si riferiscono i dati personali» In pratica, l'interessato è il titolare del diritto alla tutela della propria riservatezza, formalizzato dal Codice. L’attuale formulazione è stata modificata dal D.L. 6 Dicembre 2011, n. 201, il c.d. «Decreto salva Italia», che ha ricondotto la tutela dei diritti e delle libertà fondamentali alle sole persone fisiche, ridisegnando la disciplina in materia di protezione dei dati personali nella parte riguardante il trattamento di dati relativo a persone giuridiche, enti o associazioni.
  • 46. L’esclusione delle persone giuridiche Obiettivo dell’intervento è stata una riduzione degli oneri in materia di privacy gravanti sulle imprese: è chiaro che questa misura esenta le imprese da ogni adempimento previsto dalla normativa SOLO quando il trattamento di dati non riguarda persone fisiche e quindi ha una portata necessariamente limitata. D’altra parte, l’intervento, in un certo senso, determina l’azzeramento della tutela delle persone giuridiche rispetto al trattamento dei dati che le riguardano, comportando l’impossibilità per le stesse di usufruire degli strumenti che il Codice prevede. Ancora una volta due importanti esigenze di cui tenere conto: lo snellimento degli adempimenti burocratici e la tutela della Privacy. Probabilmente, però, non era ancora chiaro ( come comincia invece ad esserlo oggi), che Privacy, anche per le aziende, significa rispetto per la dignità altrui, ma anche tutela delle informazioni necessarie al proprio business, salvaguardia del proprio Know-how e protezione della propria clientela.
  • 47. I diritti dell’interessato • Diritto di accesso ai dati e altri diritti connessi; • Diritto all’identità personale; • Diritto all’oblio;
  • 48. Diritto di accesso ai dati personali Costituisce il principale diritto dell’interessato ed è disciplinato dagli artt. 7-10 del Codice «L'interessato ha diritto di ottenere la conferma dell'esistenza o meno di dati personali che lo riguardano, anche se non ancora registrati, e la loro comunicazione in forma intelligibile». La richiesta di accesso ai propri dati personali è formulata liberamente e senza costrizioni e può essere rinnovata, salva l'esistenza di giustificati motivi, con intervallo non minore di novanta giorni. Quando chiede di accedere ai dati personali che lo riguardano, l'interessato non è tenuto ad indicare specificamente in quali atti o documenti essi sono contenuti: chi gestisce la banca dati deve comunicare tutte le informazioni in suo possesso (Garante - newsletter n. 254 del 2-8 maggio 2005).
  • 49. Diritto di accesso ai dati personali Diritto di conoscere e di avere comunicazione Nel diritto di accesso sono compresi il diritto di ottenere conoscenza: a) dell'origine dei dati personali (quindi come i propri dati sono stati ottenuti dal titolare); b) delle finalità e modalità del trattamento ( per quale scopo sono trattati) c) della logica applicata in caso di trattamento effettuato con l'ausilio di strumenti elettronici ( con quali modalità/metodo sono trattati) d) degli estremi identificativi del titolare, dei responsabili e del rappresentante in Italia del titolare di trattamento stabilito in paese extracomunitario ( chi all’interno dell’organizzazione tratta/viene a contatto con i dati) e) dei soggetti o delle categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di rappresentanti designati nel territorio dello Stato, di responsabili o incaricati ( N.B.: ricordiamoci della differenza tra «comunicazione», ossia dare conoscenza a uno o più soggetti determinati e «diffusione», ossia dare conoscenza a soggetti indeterminati).
  • 50. Diritto di accesso ai dati personali e altri diritti connessi Diritto di intervenire Ai sensi art. 7 comma 3 del Codice, l'interessato ha anche altri diritti e, in particolare, il diritto di ottenere: a) l'aggiornamento, la rettificazione ovvero, quando vi ha interesse, l'integrazione dei dati; b) la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge, compresi quelli di cui non è necessaria la conservazione in relazione agli scopi per i quali i dati sono stati raccolti o successivamente trattati; c) l'attestazione che le operazioni di cui alle lettere a) e b) sono state portate a conoscenza, anche per quanto riguarda il loro contenuto, di coloro ai quali i dati sono stati comunicati o diffusi, eccettuato il caso in cui tale adempimento si rivela impossibile o comporta un impiego di mezzi manifestamente sproporzionato rispetto al diritto tutelato.
  • 51. Diritto di accesso ai dati personali e altri diritti connessi Diritto di contrastare il trattamento Infine l'interessato ha diritto di opporsi, in tutto o in parte: a) per motivi legittimi al trattamento dei dati personali che lo riguardano, ancorché pertinenti allo scopo della raccolta; b) al trattamento di dati personali che lo riguardano a fini di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale. Vita quotidiana: Dal 1° febbraio 2011, gli abbonati i cui nominativi e numeri siano pubblicati negli elenchi telefonici e che non desiderino ricevere telefonate pubblicitarie con operatore, devono iscriversi al Registro Pubblico delle opposizioni.
  • 52. Diritto di accesso ai dati personali e altri diritti connessi Riscontro all’interessato Il titolare del trattamento è tenuto ad agevolare l’accesso ai dati personali, a semplificare le modalità e a ridurre i tempi. In merito alla modalità di comunicazione richiesta dall'interessato, il titolare è tenuto a rendere noti, in forma intelligibile e anche oralmente, i dati personali presenti nei suoi archivi, ma non a esibire o rilasciare copia di atti o documenti che li contengono. Questa ultima ipotesi è prevista solo quando l'estrapolazione dei dati da tali documenti risulti particolarmente difficoltosa, e comunque, omettendo i dati riferiti a terzi. Quando, a seguito della richiesta, non risulta confermata l’esistenza di dati che riguardano l’interessato, può essere chiesto un contributo spese non eccedente i costi effettivamente sopportati per la specifica ricerca.
  • 53. Diritto all’identità personale Sostenuto da provvedimenti del Garante e dalla giurisprudenza. Il diritto alla privacy è diventato anche strumento di tutela del diritto all'identità personale, cioè all'esatta ricostruzione della personalità dell'individuo: trattare in maniera esatta i dati personali dell'individuo significa tratteggiarne in maniera esatta la sua personalità. Esempio Ricorso presentato in via d'urgenza da una donna per lamentare l'uso illecito di una sua immagine fotografica da parte di un partito politico per i manifesti pubblicitari della campagna di tesseramento 2006 e accolto dal Garante: la foto risaliva a circa 18 anni prima e ritraeva la donna mentre partecipava ad una manifestazione pubblica. Secondo la donna l'associazione della sua immagine con la campagna pubblicitaria del partito l'avrebbe esposta ad un giudizio pubblico lesivo della sua identità personale attribuendole una fede politica che non sua.
  • 54. Diritto all’oblio Sostenuto fino ad oggi da provvedimenti del Garante, è divenuto uno dei «nuovi» diritti sanciti dal Regolamento Europeo. Garante (newsletter n. 249 del 21-27 marzo 2005): -Le notizie negative sul conto delle persone non devono essere indiscriminatamente e sempre essere disponibili su internet tramite i motori di ricerca. - E' legittimo pubblicare nella rete la notizia di una sanzione, una condanna o un altro precedente pregiudizievole lontani nel tempo, senza omissione del nominativo dell'interessato; ma non è legittimo che siano per sempre disponibili a tutti e a chiunque in internet tramite i comuni motori di ricerca. Nuovo Regolamento Europeo Sancito il diritto che l'interessato ha di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo.
  • 55. Le ultime 2 figure rappresentative Ultime in senso cronologico rispetto alla loro introduzione e, peraltro, non disciplinate all’interno del Codice Privacy, rimangono da definire ancora 2 figure attive nell’ambito della tutela dei dati: 1. L’amministratore di sistema; 2. Il «Data Protection Officer»;
  • 56. L’amministratore di sistema Introdotto nell’ordinamento con Provvedimento del Garante del 27 novembre 2008: «Con la definizione di Amministratori di sistema, si individuano, generalmente, figure professionali finalizzate alla gestione e alla manutenzione di un impianto di elaborazione o di sue componenti. Ai fini del presente provvedimento vengono, però, considerate tali anche altre figure equiparabili dal punto di vista dei rischi relativi alla protezione dei dati». L’ A.d.s non è dunque il semplice manutentore della struttura informatica, ma è il «garante informatico» della protezione delle informazioni personali unitamente al Titolare. Nelle ipotesi in cui la normativa o l’interesse della azienda prevedano questa nomina, il Titolare del trattamento deve individuare persona affidabile e competente, designarla per iscritto e predisporre idonee attività di verifica e di registrazione degli accessi.
  • 57. Il «data protection officer» Introdotto dal nuovo Regolamento Europeo del 4 Maggio 2016, è una figura che, al momento, pare obbligatoria solo per alcuni ambiti: «Devono nominare obbligatoriamente un Responsabile della protezione dei dati personali (il c.d. data protection officer) tutte le pubbliche amministrazioni ed enti pubblici, eccetto le autorità giudiziarie. L'obbligo riguarda anche tutti i soggetti (enti e imprese) che trattano su larga scala dati sensibili, relativi alla salute o alla vita sessuale, genetici, giudiziari e biometrici, oppure che svolgono attività in cui i trattamenti richiedono il controllo regolare e sistematico degli interessati». «Il Responsabile della protezione dei dati personali ha il compito di informare e consigliare il titolare o il responsabile del trattamento da lui preposto, nonché i dipendenti, in merito agli obblighi derivanti dal Regolamento Europeo e dalle altre disposizioni dell'UE o delle normative locali degli Stati membri relative alla protezione dei dati. Dovrà poi verificare che la normativa vigente e le policy interne del titolare siano correttamente attuate ed applicate, incluse le attribuzioni delle responsabilità, la sensibilizzazione e la formazione del personale, ed i relativi audit.»
  • 58. A questo punto, conosciuto l’oggetto della tutela ( il dato), l’elemento che fa nascere l’esigenza della tutela ( il trattamento) e le figure che rivestono un ruolo attivo nell’esercizio della tutela stessa, arriviamo a passare in rassegna gli adempimenti che devono essere messi in atto perché gli obiettivo fissati dagli artt.1 e 2 del Codice Privacy («Chiunque ha diritto alla protezione dei dati personali che lo riguardano») possano essere concretamente realizzati.
  • 59. I principali adempimenti I principali adempimenti possono essere raggruppati in 3 gruppi: • Adempimenti verso l’autorità Garante; • Adempimenti verso gli interessati; • Adempimenti organizzativi di sicurezza;
  • 61. Adempimenti verso l’autorità Garante I principali sono 2: 1. La notificazione del trattamento; 2. La richiesta di autorizzazione;
  • 62. La notificazione La notificazione è l'atto con il quale il titolare di trattamento si presenta al Garante, che è tenuto a censire particolari categorie. Una sorta di autodichiarazione con la quale si comunicano al Garante i dati salienti sulla impresa - titolare di trattamento - e sui trattamenti effettuati dalla stessa. Diversamente dall’impostazione della normativa precedente, con il Codice Privacy devono essere notificati al Garante soltanto alcuni trattamenti, mentre tutti gli altri sono esenti.
  • 63. La notificazione Art. 37 D.lgs. 196/2003: Il titolare notifica al Garante il trattamento di dati personali cui intende procedere solo se il trattamento riguarda: a) Dati genetici , dati biometrici o dati che indicano posizione geografica di persone od oggetti mediante una rete di comunicazione elettronica. b) Dati idonei a rivelare lo stato di salute e la vita sessuale, trattati a fini di procreazione assistita, prestazione di servizi sanitari per via telematica relativi a banche di dati o alla fornitura di beni, indagini epidemiologiche, rilevazione di malattie mentali, infettive e diffusive, sieropositività, trapianto di organi e tessuti e monitoraggio della spesa sanitaria. c) Dati idonei a rivelare la vita sessuale o la sfera psichica trattati da associazioni, enti od organismi senza scopo di lucro, anche non riconosciuti, a carattere politico, filosofico, religioso o sindacale. d) Dati trattati con l'ausilio di strumenti elettronici volti a definire il profilo o la personalità dell'interessato, o ad analizzare abitudini o scelte di consumo ( c.d. profilazione), ovvero a monitorare l'utilizzo di servizi di comunicazione elettronica con esclusione dei trattamenti tecnicamente indispensabili per fornire i servizi medesimi agli utenti. e) Dati sensibili registrati in banche di dati a fini di selezione del personale per conto terzi, nonché dati sensibili utilizzati per sondaggi di opinione, ricerche di mercato e altre ricerche campionarie. f) Dati registrati in apposite banche di dati gestite con strumenti elettronici e relative al rischio sulla solvibilità economica, alla situazione patrimoniale, al corretto adempimento di obbligazioni, a comportamenti illeciti o fraudolenti.. Ciascuno di questi ambiti è poi stato meglio definito da Comunicazioni e Provvedimenti del Garante.
  • 64. La richiesta di autorizzazione Art. 26 D.lgs. 196/2003: « i dati sensibili possono essere oggetto di trattamento solo con il consenso scritto dell’interessato e previa autorizzazione del Garante». Art. 27 D.lgs. 196/2003: « Il trattamento di dati giudiziari….è consentito soltanto se autorizzato da espressa disposizione di legge o provvedimento del Garante». Come già visto, i dati sensibili e giudiziari godono di una più intensa protezione in ragione della loro particolare natura: per poter trattare queste categorie di dati, il Codice Privacy, prevede che, di regola, occorra non solo il consenso scritto dell'interessato, ma anche la previa autorizzazione del Garante.
  • 65. La richiesta di autorizzazione Art. 40 D.lgs. 196/2003: « Le disposizioni….che prevedono una autorizzazione del Garante sono applicate anche mediante il rilascio di autorizzazioni relative a determinate categorie di titolari o di trattamenti…». Ai sensi dell’art. 40 del Codice, dunque, il trattamento dei dati sensibili può essere autorizzato dal Garante anche d’ufficio, con provvedimenti di carattere generale, relativi a determinate categorie di titolari e trattamenti: la autorizzazioni generali prescrivono dunque misure uniformi a garanzia degli interessati, rendendo superflua la richiesta di singole autorizzazioni.
  • 66. La richiesta di autorizzazione L’ultimo rinnovo della autorizzazioni generali da parte del Garante ha previsto le seguenti autorizzazioni, pubblicate in Gazzetta Ufficiale: • Autorizzazione generale n. 1/2016 al trattamento dei dati sensibili nei rapporti di lavoro • Autorizzazione generale n. 2/2016 al trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale • Autorizzazione generale n. 3/2016 al trattamento dei dati sensibili da parte degli organismi di tipo associativo e delle fondazioni • Autorizzazione generale n. 4/2016 al trattamento dei dati sensibili da parte dei liberi professionisti • Autorizzazione generale n. 5/2016 al trattamento dei dati sensibili da parte di diverse categorie di titolari • Autorizzazione generale n. 6/2016 al trattamento dei dati sensibili da parte degli investigatori privati • Autorizzazione generale n. 7/2016 al trattamento dei dati a carattere giudiziario da parte di privati, di enti pubblici economici e di soggetti pubblici • Autorizzazione generale n. 8/2016 al trattamento dei dati genetici • Autorizzazione generale n. 9/2016 al trattamento dei dati personali effettuato per scopi di ricerca scientifica Come si può vedere, sono diversi gli ambiti disciplinati dalle autorizzazioni generali.
  • 67. Adempimenti verso gli interessati IMMAGINE
  • 68. Adempimenti verso gli interessati I principali sono 2: 1. L’informativa; 2. Il consenso;
  • 69. L’informativa L'informativa è il mezzo attraverso il quale si realizza la trasparenza del trattamento e si concretizza il diritto dell'interessato di conoscere una serie di informazioni che riguardano il titolare del trattamento (privato o pubblico) e la sua organizzazione, il trattamento e i suoi diritti. L’informativa deve essere resa per i dati raccolti presso l’interessato e per quelli reperiti presso terzi.
  • 70. COSA CONTIENE FAC SIMILE INFORMATIVA PER I CLIENTI • Ai sensi dell'articolo 13 del Codice in materia di dati personali si informa che il trattamento dei dati personali, anche sensibili, forniti, finalizzati unicamente ad eseguire gli obblighi contrattuali e ad adempiere a Sue specifiche richieste, avverrà presso ...................... ..................... ................... ................... ...................... ...................... .................... ............... (indicare nome e recapito del titolare del trattamento) con l'utilizzo di procedure anche informatizzate, nei modi e nei limiti necessari per perseguire le predette finalità. • I dati potranno essere comunicati a ................. ................. .................... ................ .............. (ad esempio altre società del gruppo, Enti ........... ........); • Dei dati potranno venire a conoscenza i seguenti responsabili o incaricati del trattamento .............. ..................... ............. ............ (dipendenti della nostra società, ecc.). • Il conferimento dei dati è facoltativo/obbligatorio/necessario per esatta esecuzione degli obblighi contrattuali e precontrattuali, ecc. e la loro mancata indicazione comporta l'impossibilità di portare a termine in maniera esatta l'adempimento delle obbligazioni contrattuali a nostro carico. • Agli interessati sono riconosciuti i diritti di cui all'articolo 7 del citato Codice e in particolare il diritto di accedere ai propri dati personali, di chiederne la rettifica, l'aggiornamento e la cancellazione, se incompleti, erronei o raccolti in violazione della legge, nonché di opporsi al loro trattamento per motivi legittimi, rivolgendo le richieste al ................ .................. ................. ................ (precisare identificativo e recapiti del titolare e del responsabile del trattamento; eventualmente il responsabile per il riscontro all'interessato in caso di esercizio dei diritti, se nominato); -1- Le finalità e le modalità del trattamento cui sono destinati i dati -2- La natura obbligatoria o facoltativa del conferimento dei dati -3- Le conseguenze di un eventuale rifiuto di rispondere -4- I soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati, e l'ambito di diffusione dei dati medesimi -5- I diritti di cui all'articolo 7 ( diritti dell’interessato) -6- Gli estremi identificativi del titolare e, se designati, del rappresentante nel territorio dello Stato ai sensi dell'articolo 5 e del responsabile.
  • 71. L’informativa QUANDO • In caso di dati raccolti presso l’interessato, l’informativa deve essere resa prima delle operazioni del trattamento; • In caso di dati raccolti presso terzi, l’informativa deve essere resa al momento della registrazione dei dati o comunque non oltre la prima comunicazione, se prevista. • Non è necessario ripeterla in occasione di ogni contatto COME • La forma dell’informativa è LIBERA; • Può essere resa in forma orale o scritta. Per i dati sensibili DEVE essere scritta; • Deve essere CHIARA e Idonea allo scopo: non deve seguire particolari formalità, ma deve dare le informazioni necessarie.