1. LUCERNA IURIS – LEGAL EUROPEAN NETWORK
STUDIO LEGALE MAGLIO E ASSOCIATI
Gaia Solution
2. LUCERNA IURIS – LEGAL EUROPEAN NETWORK
STUDIO LEGALE MAGLIO E ASSOCIATI
Gaia Solution
3. LUCERNA IURIS – LEGAL EUROPEAN NETWORK
STUDIO LEGALE MAGLIO E ASSOCIATI
Cosa è la privacy
Il diritto fondamentale di esercitare il
pieno e consapevole controllo sui nostri
dati personali.
Ovvero
Il diritto di scelta circa l'uso che vogliamo
gli altri facciano dei nostri dati personali.
Gaia Solution
4. LUCERNA IURIS – LEGAL EUROPEAN NETWORK
STUDIO LEGALE MAGLIO E ASSOCIATI
Gaia Solution
La tutela dei dati personali è
regolamentata dal D.Lgs 196/2003
“Codice in materia di protezione dei dati
personali” e dalla normativa ad esso
collegata ed emessa dal Garante per la
protezione dei dati personali.
5. LUCERNA IURIS – LEGAL EUROPEAN NETWORK
STUDIO LEGALE MAGLIO E ASSOCIATI
Gaia Solution
Tra il 2011 e il 2012, la normativa italiana è stata
investita da modifiche che hanno apportato i seguenti
cambiamenti:
- nuova definizione di dato personale, ora applicabile
alle sole persone fisiche;
- eliminazione dell’obbligo di redigere il Documento
programmatico per la sicurezza (DPS).
6. LUCERNA IURIS – LEGAL EUROPEAN NETWORK
STUDIO LEGALE MAGLIO E ASSOCIATI
Il D.Lgs. 196/2003 “Codice della Privacy
disciplina”:
una attività: il TRATTAMENTO
compiuta da alcuni: SOGGETTI
ed avente ad oggetto: DATI PERSONALI
Gaia Solution
7. LUCERNA IURIS – LEGAL EUROPEAN NETWORK
STUDIO LEGALE MAGLIO E ASSOCIATI
Gaia Solution
TRATTAMENTO: qualunque operazione o
complesso di operazioni, effettuati anche senza
l’ausilio di strumenti elettronici, concernenti la
raccolta, la registrazione, l’organizzazione, la
conservazione, la consultazione,l’elaborazione, la
modificazione, la selezione, il raffronto, l’utilizzo,
l’interconnessione, il blocco, la comunicazione, la
diffusione, la cancellazione e la distruzione di dati,
anche se non registrati in una banca dati. (Art.4).
8. LUCERNA IURIS – LEGAL EUROPEAN NETWORK
STUDIO LEGALE MAGLIO E ASSOCIATI
Soggetti privati
Infine occorre tenere presente che il trattamento di
dati personali effettuato da persone fisiche per fini
esclusivamente personali è soggetto
all'applicazione del presente codice solo se i dati
sono destinati ad una comunicazione sistematica
o alla diffusione.
Gaia Solution
9. LUCERNA IURIS – LEGAL EUROPEAN NETWORK
STUDIO LEGALE MAGLIO E ASSOCIATI
Soggetti del trattamento
Esaminiamo chi sono i soggetti che intervengono nelle operazioni di
trattamento dei dati personali.
Le figure cui la normativa attribuisce poteri di controllo sono:
Titolare
Responsabile
Incaricato
Interessato
Garante per la tutela dei dati personali
Autorità Giudiziaria ordinaria
Custode delle password
Gaia Solution
10. LUCERNA IURIS – LEGAL EUROPEAN NETWORK
STUDIO LEGALE MAGLIO E ASSOCIATI
Soggetti del trattamento
Per titolare, s'intende la persona fisica, la persona giuridica, la pubblica
amministrazione e qualsiasi altro ente, associazione od organismo cui
competono anche unitariamente ad altro titolare, le decisioni in ordine alle
finalità e alle modalità del trattamento di dati personali e agli strumenti
utilizzati, ivi compreso il profilo della sicurezza. Quando il trattamento è
effettuato da una persona giuridica o da un ente titolare è l'entità nel suo
complesso e non la persona fisica che la rappresenta. (Joint Controller)
Il responsabile del trattamento è la persona fisica, la persona giuridica, la
pubblica amministrazione e qualsiasi altro ente, associazione od organismo
preposto al trattamento di dati personali. La sua nomina non è obbligatoria ma
è lasciata alla discrezionalità del titolare. Il responsabile procede al trattamento
attenendosi alle istruzioni impartite per iscritto dal titolare che, anche tramite
verifiche periodiche, vigila sulla puntuale osservanza delle norme di legge e
delle proprie istruzioni.
Gaia Solution
11. LUCERNA IURIS – LEGAL EUROPEAN NETWORK
STUDIO LEGALE MAGLIO E ASSOCIATI
Soggetti del trattamento
Consulente: titolare autonomo o Responsabile
esterno?
I “responsabili” operano seguendo le istruzioni impartitegli dall’azienda
titolare, il “titolare” esterno ha piena autonomia nella gestione del
trattamento dei dati (nomina i propri incaricati del trattamento, decide
l’hardware e il software da utilizzare per i trattamento dei dati, ha
autonomia di spesa per i sistemi di sicurezza da adottare, eccetera). Il
titolare autonomo non sottostà alle direttive e al potere di controllo del
“titolare del trattamento”, ma, al più, deve rilasciare una dichiarazione
che attesti di aver messo in atto quanto previsto dal Codice della
privacy e che i dati personali comunicategli dal titolare saranno trattati
solo per il tempo necessario e per il fine per il quale gli sono stati
comunicati.
Gaia Solution
12. LUCERNA IURIS – LEGAL EUROPEAN NETWORK
STUDIO LEGALE MAGLIO E ASSOCIATI
Soggetti del trattamento
Gli incaricati del trattamento sono le persone fisiche autorizzate a compiere
operazioni di trattamento dal titolare o dal responsabile. Si tratta quindi dei
soggetti che possono elaborare i dati personali, ai quali accedono attenendosi
alle istruzioni ricevute dal titolare o dal responsabile.
L'interessato è il soggetto cui si riferiscono i dati personali. È quindi il vero
protagonista del trattamento.
L'autorità preposta alla tutela della riservatezza dei dati personali è il
Garante per la protezione dei dati personali. Dal punto di vista generale il
Garante è un'autorità amministrativa indipendente. Le funzioni principali del
Garante sono controllare la legittimità dei trattamenti, esaminare i ricorsi e le
segnalazioni ricevute dagli interessati.
Gaia Solution
13. LUCERNA IURIS – LEGAL EUROPEAN NETWORK
STUDIO LEGALE MAGLIO E ASSOCIATI
Soggetti del trattamento
La normativa italiana fa inoltre esplicito riferimento alla giurisdizione del Giudice
ordinario. Infatti resta ferma la possibilità di far valere i diritti fondamentali
attribuiti all'interessato, oltre che con ricorso davanti al Garante, mediante
l'esercizio dell'azione davanti all' Autorità Giudiziaria.
Tuttavia la tutela offerta dal Garante è alternativa a quella fornita dal Giudice
Ordinario: il ricorso al Garante non può essere proposto se, per il medesimo
oggetto e tra le stesse parti, è stata già adita l'Autorità Giudiziaria.
Compete sempre alla magistratura ordinaria ogni azione volta ad ottenere il
risarcimento del danno tanto patrimoniale quanto non patrimoniale.
Gaia Solution
14. LUCERNA IURIS – LEGAL EUROPEAN NETWORK
STUDIO LEGALE MAGLIO E ASSOCIATI
All’interno della vostra organizzazione rispetto al
trattamento dei dati personali voi siete:
titolare
responsabile
incaricato
nessuna di queste figure
Gaia Solution
15. LUCERNA IURIS – LEGAL EUROPEAN NETWORK
STUDIO LEGALE MAGLIO E ASSOCIATI
Gaia Solution
DATO PERSONALE: qualunque informazione
relativa a persona fisica, identificati o identificabili,
anche indirettamente,mediante riferimento a
qualsiasi altra informazione. Ivi compreso il
numero di identificazione personale.
DATI IDENTIFICATIVI: (definizione nuova) i dati
personali che permettono l’identificazione diretta
dell’interessato.
16. LUCERNA IURIS – LEGAL EUROPEAN NETWORK
STUDIO LEGALE MAGLIO E ASSOCIATI
Gaia Solution
DATO ANONIMO: il dato che in origine, o a seguito
di trattamento, non può essere associato ad un
interessato identificato o identificabile
DATI SENSIBILI: i dati personali idonei a rivelare
l’origine razziale ed etnica, le convinzioni religiose,
filosofiche o di altro genere, le opinioni politiche,
l’adesione a partiti, sindacati, associazioni od
organizzazioni a carattere religioso, filosofico,
politico o sindacale, nonché i dati personali idonei
a rivelare lo stato di salute e la vita sessuale.
17. LUCERNA IURIS – LEGAL EUROPEAN NETWORK
STUDIO LEGALE MAGLIO E ASSOCIATI
Gaia Solution
DATI GIUDIZIARI: i dati personali idonei a rivelare
provvedimenti di cui all’art. 3, comma 1, lettere da a) a o)
e da r) a u), del DPR 14 novembre 2002, n. 313, in
materia di casellario giudiziale, di anagrafe delle sanzioni
amministrative dipendenti da reato e dei relativi carichi
pendenti, o la qualità di indagato ai sensi degli articoli 60
e 61 del codice di procedura penale.
DATI PARTICOLARI (art. 17): ...dati...che presentino per la
loro natura o per le modalità del trattamento rischi
specifici per i diritti e le libertà dell’interessato
(considerandosi quindi particolari o semi sensibili).
Presumibilmente si tratta di dati sul patrimonio, sulla
capacità di essere solvibile, sul reddito prodotto, ma
anche sulle abitudini di vita e sugli interessi. Un caso di
dati particolari riconosciuti dal legislatore sono i dati di
traffico telefonico.
18. LUCERNA IURIS – LEGAL EUROPEAN NETWORK
STUDIO LEGALE MAGLIO E ASSOCIATI
Abbiamo visto la distinzione tra dati comuni e dati
sensibili. La vostra organizzazione:
tratta solo dati comuni
tratta sia dati comuni che dati sensibili
Gaia Solution
19. LUCERNA IURIS – LEGAL EUROPEAN NETWORK
STUDIO LEGALE MAGLIO E ASSOCIATI
Proteggere i dati personali: principi
generali
Malgrado le norme che proteggono i dati personali siano
molto complesse ed articolate, è possibile individuare
alcuni principi fondamentali ai quali le regole si ispirano: è
necessario conoscere questi principi per comprendere
quali criteri garantiscono la protezione dei dati personali.
Gaia Solution
20. LUCERNA IURIS – LEGAL EUROPEAN NETWORK
STUDIO LEGALE MAGLIO E ASSOCIATI
Proteggere i dati personali: principi
generali
1. Principio di precauzione
Occorre prevenire ogni forma di illecito utilizzo di
dati personali, anche per mera negligenza o
imperizia.
E’ necessario adottare qualsiasi cautela per
evitare l’accesso a dati di provenienza non
definita.
Gaia Solution
21. LUCERNA IURIS – LEGAL EUROPEAN NETWORK
STUDIO LEGALE MAGLIO E ASSOCIATI
Proteggere i dati personali: principi
generali
2. Principio di necessità nel trattamento dei dati
È il criterio che mira a limitare le raccolte ed i
trattamenti di dati non necessari.
Vanno raccolti solo i dati necessari per il
trattamento che si intende realizzare.
Gaia Solution
22. LUCERNA IURIS – LEGAL EUROPEAN NETWORK
STUDIO LEGALE MAGLIO E ASSOCIATI
Proteggere i dati personali: principi
generali
3. Principio di finalità
È il principio che collega l’attività di raccolta dei
dati personali con l’uso che di quelle informazioni
viene fatto
ovvero
la ragione per la quale i dati sono raccolti: questa
finalità deve essere legittima e determinata.
Gaia Solution
23. LUCERNA IURIS – LEGAL EUROPEAN NETWORK
STUDIO LEGALE MAGLIO E ASSOCIATI
Proteggere i dati personali: principi
generali
4. Principio di autodeterminazione informativa
Ogni individuo ha diritto di stabilire se ed in che
misura le informazioni a lui riferite possono
circolare ed essere conosciute dagli altri.
Gaia SolutionGaia Solution
24. LUCERNA IURIS – LEGAL EUROPEAN NETWORK
STUDIO LEGALE MAGLIO E ASSOCIATI
Proteggere i dati personali: principi
generali
5. Principio di correttezza
La raccolta di dati avviene presso l’interessato in
modo trasparente e non mediante ricorso ad
artifizi e raggiri.
Gaia Solution
25. LUCERNA IURIS – LEGAL EUROPEAN NETWORK
STUDIO LEGALE MAGLIO E ASSOCIATI
Proteggere i dati personali: principi
generali
Rispettare i principi che abbiamo ora esaminato è importante
perché
i dati personali trattati in violazione della disciplina rilevante in
materia di trattamento dei dati personali non possono essere
utilizzati.
Quindi, rispettare questi principi permette di prevenire contestazioni
che possono portare al blocco del trattamento dei dati (che per
un’azienda significa non poter più svolgere la propria attività).
Gaia Solution
26. LUCERNA IURIS – LEGAL EUROPEAN NETWORK
STUDIO LEGALE MAGLIO E ASSOCIATI
Gaia Solution
Applicazione dei principi
Rapporti con gli
interessati
(Front office)
Principi:
- finalità
- correttezza
- autodeterminazione
- necessità
• Informativa (art. 13 e 161);
• Consenso (artt. 23 e 24);
• Rispetto dei diritti esercitati
dagli interessati (artt.
7,8,9 e 10).
• Consenso informato
dipendenti / clienti e fornitori
/curricula
• Istanza per l’esercizio dei diritti
(modello del Garante)
Organizzazione
aziendale
(Back office)
Principi:
- precauzione
- necessità
• Definire un organigramma
aziendale funzionale
agli adempimenti
(artt28,29 e 30);
• Predisposizione di un
sistema di sicurezza
idoneo (artt. 31-36 e
disciplinare tecnico).
• Designazione e istruzioni agli
incaricati (compreso il
Regolamento aziendale per
l’utilizzo del sistema
informatico)
• Nomina del Custode delle copie
delle credenziali
• Clausola (o lettera integrativa)
per prestatore di servizi
• Lettera di riservatezza
27. LUCERNA IURIS – LEGAL EUROPEAN NETWORK
STUDIO LEGALE MAGLIO E ASSOCIATI
Informativa e consenso
Contenuto minimo dell'informativa (art.13):ognuno ha diritto di
conoscere:
- per quali finalità e con quali modalità i dati sono raccolti;
- quali diritti può esercitare su quel trattamento (art.7);
- i soggetti ai quali i dati possono essere comunicati;
- se i dati sono obbligatori o facoltativi;
- il nome del titolare del trattamento;
- le conseguenze di un eventuale rifiuto di rispondere .
Dopo aver ricevuto queste informazioni la persona cui si
riferiscono i dati ha diritto di decidere se consentire o non
consentire quel trattamento.
Gaia Solution
28. LUCERNA IURIS – LEGAL EUROPEAN NETWORK
STUDIO LEGALE MAGLIO E ASSOCIATI
Informativa e consenso
Sulla base delle informazioni ricevute ha diritto di scegliere
se permettere o vietare questo trattamento.
Da un lato è posto l'obbligo di informare l'interessato
oralmente o per iscritto, e dall'altro è stabilito l'obbligo di
chiedere il consenso espresso all'interessato per poter
effettuare l'operazione di trattamento (salvi i casi in cui il
consenso non è necessario).
Gaia Solution
29. LUCERNA IURIS – LEGAL EUROPEAN NETWORK
STUDIO LEGALE MAGLIO E ASSOCIATI
Esempio di informativa
I suoi dati sono raccolti per adempiere obblighi contrattuali,
contabili, amministrativi e fiscali ed il trattamento avviene con
modalità manuale ed informatizzata.
Il conferimento dei dati ha natura obbligatoria. In caso di rifiuto di
conferire i dati le conseguenze saranno di non poter instaurare il
rapporto contrattuale.
I suoi dati saranno comunicati a enti verso i quali la
comunicazione è obbligatoria per legge, a titolari autonomi quali
istituti bancari e studi commerciali per gli adempimenti contrattuali
e non saranno diffusi. In azienda saranno comunicati agli uffici
contabilità quali incaricati del trattamento.
Può rivolgersi all’azienda per far valere i suoi diritti ai sensi dell’art.
7 del D. Lgs. 196/03. Il Titolare del trattamento è Stefano Di Zio.
L'informativa integrale è reperibile presso il sito
gaiasolution.blogspot.it.
Gaia Solution
30. LUCERNA IURIS – LEGAL EUROPEAN NETWORK
STUDIO LEGALE MAGLIO E ASSOCIATI
Gaia Solution
31. LUCERNA IURIS – LEGAL EUROPEAN NETWORK
STUDIO LEGALE MAGLIO E ASSOCIATI
Cerchiamo ora di applicare i principi sotto
l'aspetto organizzativo per trattare
correttamente i dati personali, evitando condotte
a rischio e per escludere gli abusi nell'utilizzo dei
dati personali.
Questi 10 punti dovrebbero essere indicati nella
lettera di nomina dell’incaricato.
Gaia Solution
32. LUCERNA IURIS – LEGAL EUROPEAN NETWORK
STUDIO LEGALE MAGLIO E ASSOCIATI
Istruzioni per gli incaricati
1
Accedere solo se autorizzati e custodire in modo
riservato banche dati, contratti e comunque ogni
documentazione raccolta nello svolgimento dell’attività.
Gaia Solution
33. LUCERNA IURIS – LEGAL EUROPEAN NETWORK
STUDIO LEGALE MAGLIO E ASSOCIATI
Istruzioni per gli incaricati
2
Comunicare i dati esclusivamente ai soggetti esterni
indicati nell’informativa.
Gaia Solution
34. LUCERNA IURIS – LEGAL EUROPEAN NETWORK
STUDIO LEGALE MAGLIO E ASSOCIATI
Istruzioni per gli incaricati
3
Adottare le cautele organizzative oggetto della
formazione ricevuta per evitare abusi per negligenza,
imprudenza o imperizia.
Gaia Solution
35. LUCERNA IURIS – LEGAL EUROPEAN NETWORK
STUDIO LEGALE MAGLIO E ASSOCIATI
Istruzioni per gli incaricati
4
Verificare sempre l’origine dei dati utilizzati per
l’effettuazione di autonome campagne promozionali e
verificare che la persona che si contatta abbia fornito il
consenso.
Gaia Solution
36. LUCERNA IURIS – LEGAL EUROPEAN NETWORK
STUDIO LEGALE MAGLIO E ASSOCIATI
Istruzioni per gli incaricati
5
Informare prontamente il proprio referente qualora un
interessato formuli un’istanza per l’esercizio dei suoi
diritti.
Gaia Solution
37. LUCERNA IURIS – LEGAL EUROPEAN NETWORK
STUDIO LEGALE MAGLIO E ASSOCIATI
Gaia Solution
In base all’ art. 7 Codice Privacy l’interessato ha diritto:
a. Sapere se vengono trattati dati personali che lo riguardano
b. Conoscere l’origine dei dati personali trattati
c. Conoscere le finalità e le modalità del trattamento
d. Conoscere gli estremi identificativi del titolare
e. Ottenere l’indicazione dei soggetti o categorie di soggetti ai
quali i dati possono essere comunicati
f. Ottenere l’aggiornamento, la rettificazione, l’integrazione, la
cancellazione, la trasformazione in forma anonima e il blocco
dei dati trattati
g. Opporsi in tutto in parte al trattamento
38. LUCERNA IURIS – LEGAL EUROPEAN NETWORK
STUDIO LEGALE MAGLIO E ASSOCIATI
Istruzioni per gli incaricati
6
Evitare di utilizzare liste di nominativi ed indirizzi quando
non ne è certa la provenienza. Non creare nuove banche
dati senza consenso.
Gaia Solution
39. LUCERNA IURIS – LEGAL EUROPEAN NETWORK
STUDIO LEGALE MAGLIO E ASSOCIATI
Istruzioni per gli incaricati
7
Fare attenzione a qualsiasi anomalia riscontrata nella
qualità dei dati presenti nel data base aziendale.
Gaia Solution
40. LUCERNA IURIS – LEGAL EUROPEAN NETWORK
STUDIO LEGALE MAGLIO E ASSOCIATI
Istruzioni per gli incaricati
8
La password di accesso è personale; le variazioni
disposte autonomamente dallo stesso incaricato con
periodicità semestrale (trimestrale in caso di trattamento
di dati sensibili o giudiziari) devono essere comunicate,
sempre in modo riservato, al custode delle credenziali.
Gaia Solution
41. LUCERNA IURIS – LEGAL EUROPEAN NETWORK
STUDIO LEGALE MAGLIO E ASSOCIATI
Istruzioni per gli incaricati
9
La postazione informatica non va lasciata incustodita
lasciando accessibili i dati;
tutti i supporti magnetici utilizzati vanno riposti negli
archivi;
i supporti non più utilizzati possono essere eliminati solo
dopo che i dati contenuti sono stati resi effettivamente
inutilizzabili.
Gaia Solution
42. LUCERNA IURIS – LEGAL EUROPEAN NETWORK
STUDIO LEGALE MAGLIO E ASSOCIATI
Istruzioni per gli incaricati
10
L’incaricato non può installare software non autorizzati.
(inserimento opportuno per il rispetto della normativa del
diritto d’autore a tutela del software, e per evitare
possibili danni al sistema derivanti da virus od
incompatibilità tecniche).
Gli strumenti informatici e telematici messi a disposizione
(computer, software, navigazione su internet, e- mail)
costituiscono degli strumenti di lavoro da utilizzare
esclusivamente per l’esecuzione delle mansioni affidate.
Gaia Solution
43. LUCERNA IURIS – LEGAL EUROPEAN NETWORK
STUDIO LEGALE MAGLIO E ASSOCIATI
Clausola per prestatori di servizi
Nell’espletamento dell’incarico conferitovi, la vostra società tratta
dati personali, di cui è titolare la nostra impresa.
Vi chiediamo di confermarci che nell’esecuzione dell’incarico
da parte vostra sono state adottate tutte le misure di sicurezza
minime obbligatorie previste dal disciplinare tecnico allegato
allo stesso d. lgs.vo n. 196/2003, e più in generale che la vostra
società si è dotata di adeguate misure di sicurezza informatiche ed
organizzative atte a garantire la sicurezza, integrità e riservatezza
dei dati personali trattati per nostro conto.
Vi precisiamo che siete tenuti ad informare correttamente i vostri
incaricati e a garantire il loro rispetto delle misure minime di
sicurezza.
Resta inteso che non potrete effettuare alcuna comunicazione dei
dati stessi a terzi se non previa nostra autorizzazione.
Gaia Solution
44. LUCERNA IURIS – LEGAL EUROPEAN NETWORK
STUDIO LEGALE MAGLIO E ASSOCIATI
Lettera di riservatezza
Lei, nella Sua qualità di addetto alle pulizie, potrebbe avere accesso alle
banche dati da noi gestite.
Con la sottoscrizione della presente lettera Lei si impegna a esentarsi
dallo svolgere qualsivoglia operazione di trattamento (compresa la
semplice consultazione) sui dati dei quali dovesse venire a contatto e in
ogni caso ad usare la massima riservatezza e discrezione su quelli di cui
dovesse comunque venire a conoscenza.
La informiamo che è tenuto a seguire le sopraddette istruzioni e che
qualunque violazione delle stesse potrebbe dare luogo a
responsabilità.
Gaia Solution
45. LUCERNA IURIS – LEGAL EUROPEAN NETWORK
STUDIO LEGALE MAGLIO E ASSOCIATI
Istruzioni Custode delle password
•Ricevere dagli incaricati la busta chiusa contenente la nuova
password che hanno provveduto sostituire autonomamente
con la prevista periodicità;
• Custodire le parole chiave;
•Nel caso in cui il titolare del trattamento abbia la necessità
indifferibile di accedere ad un elaboratore in caso di
prolungata assenza dell’incaricato, consegnare al titolare
stesso la busta contenente la parola chiave;
• Informare tempestivamente l’incaricato affinché questi
provveda immediatamente alla sostituzione della parola
chiave, e farsela consegnare in una nuova busta chiusa.
Gaia Solution
46. LUCERNA IURIS – LEGAL EUROPEAN NETWORK
STUDIO LEGALE MAGLIO E ASSOCIATI
Check up misure obbligatorie
Il Check-up si compone di una serie di domande suddivise sotto tre profili:
strumenti di autenticazione informatica
sistemi di autorizzazione
altre misure di sicurezza
Vediamo i quesiti relativi a questi tre aspetti distintamente.
Gaia Solution
47. LUCERNA IURIS – LEGAL EUROPEAN NETWORK
STUDIO LEGALE MAGLIO E ASSOCIATI
Strumenti di autenticazione informatica
- Gli utenti sono dotati delle credenziali di autenticazione
che consentano il proprio login al sistema?
- Il login al sistema consente all’utente di accedere
indistintamente a tutte le informazioni presenti sul sistema
informatico?
Gaia Solution
48. LUCERNA IURIS – LEGAL EUROPEAN NETWORK
STUDIO LEGALE MAGLIO E ASSOCIATI
Strumenti di autenticazione informatica
- L’ambito di utilizzo delle risorse per ciascun utente è
stato definito e/o comunicato per iscritto all’utente?
-
- Gli utenti dispongono di parole chiave univoche, a loro
solamente riservate e da loro solamente conosciute?
-
- Gli utenti possono scambiarsi user name e password tra
loro?
-
Gaia Solution
49. LUCERNA IURIS – LEGAL EUROPEAN NETWORK
STUDIO LEGALE MAGLIO E ASSOCIATI
Strumenti di autenticazione informatica
- Sono state impartite per iscritto le raccomandazioni di
adottare le necessarie cautele per assicurare la
segretezza delle password?
-
- Le password sono composte da almeno otto caratteri?
-
Gaia Solution
50. LUCERNA IURIS – LEGAL EUROPEAN NETWORK
STUDIO LEGALE MAGLIO E ASSOCIATI
Strumenti di autenticazione informatica
- Nel caso in cui lo strumento elettronico non lo permetta, le
password sono composte da un numero di caratteri pari al
massimo consentito?
- E' vietato l’utilizzo di password agevolmente riconducibili
all’incaricato?
- E' vietato l’utilizzo di password contenenti riferimenti di
tipo personale, come la data di nascita o il nome
dell’animale domestico?
Gaia Solution
51. LUCERNA IURIS – LEGAL EUROPEAN NETWORK
STUDIO LEGALE MAGLIO E ASSOCIATI
Strumenti di autenticazione informatica
- Le password sono state modificate dopo il primo utilizzo?
- Le password sono cambiate almeno ogni sei mesi (tre in
presenza di dati sensibili)?
- Sono state adottate regole per il non utilizzo da parte di
altri incaricati di codici di identificazione, già attribuiti ad altri
soggetti, anche in tempi diversi?
- È prevista la disattivazione delle password non utilizzate
da almeno sei mesi?
Gaia Solution
52. LUCERNA IURIS – LEGAL EUROPEAN NETWORK
STUDIO LEGALE MAGLIO E ASSOCIATI
Strumenti di autenticazione informatica
- È prevista la procedura per disabilitare le credenziali di
autenticazione in caso di perdita della qualità che
consente all’incaricato l’accesso ai dati personali?
- Sono impartite istruzioni agli incaricati per non lasciare
incustodito e accessibile lo strumento elettronico
durante una sessione di trattamento?
Gaia Solution
53. LUCERNA IURIS – LEGAL EUROPEAN NETWORK
STUDIO LEGALE MAGLIO E ASSOCIATI
Strumenti di autenticazione informatica
- Nei casi di prolungata assenza dell’incaricato sono state
impartite disposizioni scritte per individuare le modalità con
le quali il titolare può disporre dei dati e degli strumenti
elettronici?
- Esiste una copia delle credenziali di autenticazione?
- Le copie delle credenziali sono state affidate per iscritto
ad un custode?
Gaia Solution
54. LUCERNA IURIS – LEGAL EUROPEAN NETWORK
STUDIO LEGALE MAGLIO E ASSOCIATI
Strumenti di autenticazione informatica
- I responsabili della custodia delle password sono stati
avvisati con istruzione scritta del loro dovere di informare
tempestivamente l’incaricato degli eventuali interventi
effettuati?
-
-
- Il sistema di autorizzazione discrimina gli ambiti in base ai
profili prestabiliti?
-
Gaia Solution
55. LUCERNA IURIS – LEGAL EUROPEAN NETWORK
STUDIO LEGALE MAGLIO E ASSOCIATI
Sistemi di autorizzazione
- È stato adottato un piano delle verifiche periodiche
(almeno annuali) per la verifica della sussistenza delle
condizioni per la conservazione dei profili di
autorizzazione?
Gaia Solution
56. LUCERNA IURIS – LEGAL EUROPEAN NETWORK
STUDIO LEGALE MAGLIO E ASSOCIATI
Altre misure di sicurezza
- I dati personali sono protetti contro il rischio di intrusione
con firewall (software e/o hardware) ?
- Si dispone di antivirus aggiornato semestralmente?
Gaia Solution
57. LUCERNA IURIS – LEGAL EUROPEAN NETWORK
STUDIO LEGALE MAGLIO E ASSOCIATI
Altre misure di sicurezza
- Le copie di backup vengono eseguite ogni settimana?
- È stato definito un incaricato ed un apposito piano di
ripristino da copia in caso di perdita totale o parziale
dei dati (Disaster Ricovery)?
-
-
- Esiste un piano di formazione in materia di privacy per
gli incaricati?
-
Gaia Solution
58. LUCERNA IURIS – LEGAL EUROPEAN NETWORK
STUDIO LEGALE MAGLIO E ASSOCIATI
Sanzioni in caso di violazione delle
regole
La normativa, in caso di violazione delle regole che disciplinano il trattamento
dei dati, prevede alcune sanzioni che possono essere applicate dal Garante o
dall'Autorità Giudiziaria ordinaria.
Le sanzioni possono essere:
penali: comportano l'applicazione di pene detentive o pecuniarie da parte
dell'Autorità Giudiziaria;
amministrative: determinano l'applicazione di sanzioni pecuniarie da parte
del Garante o di specifiche limitazioni rispetto al libero trattamento dei dati
personali; in particolare il Garante può disporre il blocco del trattamento dei
dati.
Gaia Solution
59. LUCERNA IURIS – LEGAL EUROPEAN NETWORK
STUDIO LEGALE MAGLIO E ASSOCIATI
Sanzioni in caso di violazione delle
regole
L'interessato che ritiene di aver subito un danno
dall'illegittimo trattamento dei dati può chiedere,
esclusivamente all'Autorità Giudiziaria, il
risarcimento del danno subito.
Per evitare di essere obbligati al risarcimento
occorre dimostrare di aver adottato tutte le misure
idonee a evitare il danno.
Gaia Solution
60. LUCERNA IURIS – LEGAL EUROPEAN NETWORK
STUDIO LEGALE MAGLIO E ASSOCIATI
Sanzioni in caso di violazione delle
regole
La normativa prevede inoltre espressamente che, in caso
di violazione della disciplina in materia di modalità del
trattamento e requisiti dei dati, è risarcibile anche il
danno non patrimoniale, cioè il danno che non incide
direttamente sull'integrità economica dell'interessato.
Si tratta di quello che viene comunemente definito danno
morale.
Peraltro, rimane in ogni caso a carico del danneggiato
l'onere di provare l'esistenza del nesso causale fra l'attività
di trattamento dei dati personali e l'evento dannoso.
Gaia Solution
61. LUCERNA IURIS – LEGAL EUROPEAN NETWORK
STUDIO LEGALE MAGLIO E ASSOCIATI
Gaia Solution
Falsità nelle notificazioni, comunicazioni, atti e
dichiarazioni al Garante
Art. 168 Reclusione da 6 mesi a tre anni.
Omessa adozione delle misure di sicurezza minime
obbligatorie previste dall’art.33
Art. 169 Arresto sino a 2 anni o ammenda da 10.000 a 50.000
euro.
Trattamento di dati illecito (violazione artt.18-19-23-
123-126- 129-130)
Art. 167-
1°comma
Reclusione da 6 a 18 mesi purchè vi sia nocumento;
trattamento con comunicazione o diffusione del dato:
da 6 a 24 mesi.
Trattamento in violazione alle prescrizioni su dati che
presentano rischi specifici (art.17), sui dati sensibili
(art.20,21,22,26), sui dati giudiziari (art.27), e sui
divieti di trasferimento dei dati all’estero(art.45).
Art. 167 – 2°
comma
Reclusione da 1 a 3 anni, purchè dal fatto derivi
nocumento.
Mancata osservanza provvedimenti del Garante Art. 170 Reclusione da 3 mesi a 2 anni.
Violazione artt. 4 (controlli a distanza) e 8 (divieto di
indagini sulle opinioni) dello Statuto dei lavoratori
Art. 171 Ammenda da 154 a 1549 euro od arresto da 15 gg. a 1
anno
Violazione dell’obbligo di informazione dell’interessato Art. 161 Sanzione pecuniaria amministrativa da 3.000 a 18.000
euro; nei casi più gravi o relativi ai dati sensibili,
giudiziari ad agli altri dati con particolari rischi da 5.000
a 30.000 euro. Possibilità di aumento fino al triplo.
Violazione dell’obbligo di fornire informazioni o
documenti al Garante
Art. 164 Sanzione pecuniaria amministrativa 4.000 a 24.000
euro.
62. LUCERNA IURIS – LEGAL EUROPEAN NETWORK
STUDIO LEGALE MAGLIO E ASSOCIATI
Gaia Solution
La Commissione europea ha presentato nel 2012 la proposta di un
Regolamento generale sulla protezione dei dati, che andrà a
sostituire, oltre alla direttiva 95/46/CE, lo stesso Codice privacy;
introducendo identiche regole nei Paesi che compongono la UE.
I Regolamenti UE, a differenza delle direttive, sono
immediatamente esecutivi e non necessitano di recepimento da
parte degli Stati membri e non possono subire adattamenti se non in
meglio.
Il nuovo Regolamento, al momento solo in bozza, non è previsto
che apporterà riduzioni o stravolgimenti dei requisiti rispetto
all’attuale Codice privacy.
Il futuro: Regolamento Europeo
63. LUCERNA IURIS – LEGAL EUROPEAN NETWORK
STUDIO LEGALE MAGLIO E ASSOCIATI
Gaia Solution
Regolamento Europeo - obblighi
- Diritto all'oblio: ogni persona, per motivi legittimi, può richiedere la
cancellazione di dati in possesso.
- Diritto alla portabilità dei dati personali: per esempio un fornitore
di servizi cloud di una rubrica on line deve permettere l'esportabilità dei
dati in altri cloud service provider.
- Data Protection Officer : per le medie e grandi imprese e per tutti gli
enti pubblici devono dotarsi di consulenti privacy o avvocati esperti in
materia.
64. LUCERNA IURIS – LEGAL EUROPEAN NETWORK
STUDIO LEGALE MAGLIO E ASSOCIATI
Gaia Solution
Regolamento Europeo - obblighi
- Sanzioni elevate: entità simili alle violazioni antitrust (2% del volume
d'affari annuale mondiale)
- Notifica di violazione dei dati personali: tutti i titolari del
trattamento avranno l'obbligo di notificare al Garante il furto di dati.
- Joint Controller : due o più titolari autonomi devono concordare
l'ambito delle proprie responsabilità in caso di un medesimo
trattamento di dati.
65. LUCERNA IURIS – LEGAL EUROPEAN NETWORK
STUDIO LEGALE MAGLIO E ASSOCIATI
Gaia Solution
Regolamento Europeo - obblighi
- Responsabilità verificabile : onere di dimostrare
l'adozione di tutte le misure e cautele privacy in capo a chi
tratta i dati, senza formalismi e badando alla sostanza.
Si devono produrre “evidenze” attestanti l'adozione di un
modello organizzativo e di sicurezza privacy.
66. LUCERNA IURIS – LEGAL EUROPEAN NETWORK
STUDIO LEGALE MAGLIO E ASSOCIATI
Domande di verifica
Gaia Solution
67. LUCERNA IURIS – LEGAL EUROPEAN NETWORK
STUDIO LEGALE MAGLIO E ASSOCIATI
Domande di verifica
1) Cosa si intende per trattamento?
R: 1 La raccolta. L’elaborazione, la conservazione dei
dati
R: 2 Qualunque attività si compia sui dati compresa la
consultazione
R: 3 Le attività compiute sui dati mediante strumenti
elettronici
2) Il consenso dell’interessato per il trattamento dei
dati:
R: 1 Deve essere richiesto in ogni caso
R: 2 Ci sono particolari casi di deroga in cui non è
richiesto
R: 3 E’ chiesto solo per il trattamento dei dati sensibili
Gaia Solution
68. LUCERNA IURIS – LEGAL EUROPEAN NETWORK
STUDIO LEGALE MAGLIO E ASSOCIATI
Domande di verifica
3) La designazione del Responsabile è:
R: 1 Obbligatoria
R: 2 Facoltativa e può essere rifiutata dal designato
R: 3 Facoltativa ma non può essere rifiutata dal
designato
4) I dati sensibili sono:
R: 1 Qualsiasi dato personale
R: 2 I dati che necessitano di consenso
R: 3 Dato personale idoneo a rivelare l’origine razziale
ed etnica, le convinzioni religiose, l’adesione a partiti,
sindacati, associazioni od organizzazioni a carattere
religioso, filosofico, politico o sindacale, nonché i dati
idonei a rivelare lo stato di salute e la vita sessuale
Gaia Solution
69. LUCERNA IURIS – LEGAL EUROPEAN NETWORK
STUDIO LEGALE MAGLIO E ASSOCIATI
Domande di verifica
5) Il diritto di accesso ai dati può essere esercitato:
R: 1 Da qualsiasi interessato
R: 2 Solo dal Responsabile
R: 3 Solo dall’Incaricato
6) Il trattamento dei dati personali può comportare:
R: 1 Conseguenze esclusivamente civili
R: 2 Sanzioni amministrative
R: 3 Conseguenze civili, sanzioni amministrative e
condanne penali
Gaia Solution
70. LUCERNA IURIS – LEGAL EUROPEAN NETWORK
STUDIO LEGALE MAGLIO E ASSOCIATI
Domande di verifica
7) L’informativa completa:
R: 1 E’ sempre dovuta nei confronti di qualsiasi
interessato
R: 2 E’ dovuta solo in caso di trattamento di dati
sensibili
R: 3 Non è mai dovuta
8) Le misure di sicurezza previste dal Codice Privacy:
R: 1 Sono solo le misure minime
R: 2 Sono le misure minime e le misure idonee
R: 3 Sono solo le misure idonee
Gaia Solution
71. LUCERNA IURIS – LEGAL EUROPEAN NETWORK
STUDIO LEGALE MAGLIO E ASSOCIATI
Domande di verifica
9) Quale tra le seguenti NON è un illecito penale?
R: 1 Trattamento illecito dei dati
R: 2 Omissione di misure di sicurezza
R: 3 Omessa o inidonea informativa all’interessato
10) Il Documento Programmatico sulla sicurezza:
R: 1 Non è più obbligatorio
R: 2 E’ obbligatorio per i trattamenti con strumenti
NON elettronici
R: 3 E’ obbligatorio per i trattamenti con strumenti
elettronici
Gaia Solution