Professional Documents
Culture Documents
it/
Panfilo Marcelli
Aggiornato ai nuovi
Aggiornato alle
adempimenti per le
funzioni di “semplificazioni”
amministratore di versione 1.0 del Garante del
sistema
12 gennaio 2009 dicembre 2008
(Introduzione e
Lezione 1)
Commons Deed
Tu sei libero:
• di modificare quest'opera
• Ogni volta che usi o distribuisci quest'opera, devi farlo secondo i termini di questa licenza,
che va comunicata con chiarezza.
• In ogni caso, puoi concordare col titolare dei diritti utilizzi di quest'opera non consentiti da
questa licenza (p.marcelli@cmaconsulting.it).
• Questa licenza lascia impregiudicati i diritti morali.
Limitazione di responsabilità
Le utilizzazioni consentite dalla legge sul diritto d'autore e gli altri diritti non sono in alcun modo
limitati da quanto sopra.
Questo è un riassunto in linguaggio accessibile a tutti del Codice Legale (la licenza integrale)1.
1
http://creativecommons.org/licenses/by-nc/2.5/it/legalcode
Indice
Indice
INDICE.........................................................................................................................I
INTRODUZIONE.......................................................................................................1
PERCORSI FORMATIVI.......................................................................................................2
ORGANIZZAZIONE DEI CONTENUTI......................................................................................4
IL SITO WEB COLLEGATO AL LIBRO.....................................................................................5
RINGRAZIAMENTI............................................................................................................5
LIMITAZIONE DI RESPONSABILITÀ.......................................................................................5
PANFILO MARCELLI SI PRESENTA.......................................................................................6
LEZIONE 1 – INTRODUZIONE ALLA PRIVACY...............................................7
UNITÀ DIDATTICA 1.1 – IL DIRITTO ALLA PROTEZIONE DEI DATI PERSONALI............................15
Modulo 1.1.1 – Mini glossario.............................................................................16
Modulo 1.1.2 – Sintesi delle norme sulla privacy................................................17
Modulo 1.1.3 – Quadro normativo.......................................................................18
DOMANDE DI VERIFICA 1.1............................................................................................19
UNITÀ DIDATTICA 1.2 – IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI......................21
Modulo 1.2.1 – L’ufficio del Garante...................................................................22
Modulo 1.2.2 – Ispezioni del Garante .................................................................24
Modulo 1.2.3 – Nucleo speciale funzione pubblica e privacy della guardia di
finanza..................................................................................................................25
DOMANDE DI VERIFICA 1.2............................................................................................26
UNITÀ DIDATTICA 1.3 – LE PRINCIPALI NORME SULLA PRIVACY...........................................27
Modulo 1.3.1 – Codice in materia di protezione dei dati personali....................28
Modulo 1.3.2 – Allegati al Codice ......................................................................31
Modulo 1.3.3 – Allegato B - Disciplinare tecnico in materia di misure minime di
sicurezza ..............................................................................................................32
Modulo 1.3.4 – Le “semplificazioni” del 2008 sulla sicurezza e la notificazione
..............................................................................................................................37
Modulo 1.3.5 – I nuovi adempimenti per le funzioni di “amministratore di
sistema” ...............................................................................................................39
DOMANDE DI VERIFICA 1.3............................................................................................41
RISPOSTE ALLE DOMANDE DI VERIFICA..............................................................................42
II
Introduzione
Questo testo è un corso di formazione sulle tematiche della privacy rivolto a coloro che
lavorano in azienda.
Come è noto il “Codice in materia di protezione dei dati personali” 2 prevede, tra gli
obblighi di sicurezza, la programmazione di interventi formativi per “rendere edotti”
gli incaricati del trattamento di dati personali dei rischi che incombono sui dati e delle
relative contromisure di sicurezza; è inoltre necessario che la pianificazione della
formazione sia riportata nel Documento Programmatico sulla Sicurezza, se redatto.
Per rispondere anche a tali esigenze è stato realizzato questo corso che si articola in sei
lezioni.
2
http://www.garanteprivacy.it/garante/doc.jsp?ID=1311248
3
http://www.arcobaleni196.it
1
Percorsi formativi
È opportuno che la formazione sulla privacy non venga svolta in maniera indifferenziata
per tutti gli incaricati ma che, viceversa, sia predisposta una “struttura formativa
modulare” in relazione alle tipologie di incarico al trattamento dei dati personali.
Le sei lezioni del testo si rivolgono, dunque, ad interlocutori diversi, come di seguito
specificato.
Le sei lezioni possono essere combinate secondo veri e propri “percorsi formativi”
quali quelli di seguito proposti.
È ovviamente possibile far svolgere a particolari classi di incaricati l’intero corso per
dare una formazione ed informazione più ampia.
L1
Introduzione alla privacy
Lezioni
Caso di CS1
Arcobaleni196
studio e la privacy
U11
U12
Il diritto
Il Garante per la
alla protezione ….
dei dati personali
protezione dei dati
personali
Unità
Didattiche
Domande DV11
Verifica
di verifica la tua comprensione
M111
M112
La privacy
in
Quadro
normativo
…
Moduli
Italia
Al corso è inoltre collegato il sito Arcobaleni1966 dal nome (fittizio) della società che è
protagonista dei nostri casi di studio ed esercitazioni.
Ringraziamenti
Si ringrazia ComplianceNet e CMa Consulting per l’aiuto e l’assistenza nella
redazione di questo corso; in particolare:
• Cristina Cellucci per l’entusiasmo che mette in tutte le sue iniziative (questo
corso non avrebbe visto luce senza il suo aiuto); Cristina può essere contattata al
seguente indirizzo email: cristina.cellucci@compliancenet.it
• Manlio Torquato per la revisione, correzione, puntualizzazione dei contenuti
del testo (questo corso ha rischiato, per colpa sua, più di una volta di non vedere
la luce...); Manlio può essere contattato al seguente indirizzo email:
manlio.torquato@gmail.com
Limitazione di responsabilità
ComplianceNet, CMA Consulting, Panfilo Marcelli, Cristina Cellucci, Manlio Torquato
e tutti coloro che hanno contribuito a tale documento non forniscono nessuna
assicurazione né garanzia che l’uso di questo documento, delle relative linee guida, dei
suggerimenti, delle check list e degli strumenti indicati in questa pubblicazione possano
garantire di per sé la conformità alle norme.
4
http://www.compliancenet.it/
5
http://www.cmaconsulting.it/
6
http://www.arcobaleni196.it
5
7
http://www.cmaconsulting.it/
6
Lezione 1 –
Introduzione alla
privacy
Obiettivi di apprendimento
• Cos’è la Privacy?
• Quale sono le norme più importanti in ambito privacy?
• Cos’è il Garante per la protezione dei dati personali e che poteri ha?
• Cosa sono i provvedimenti del Garante?
Percorsi formativi
• Corso per incaricati al trattamento dei dati personali.
• Corso per Direzione.
• Corso per Responsabile dei trattamenti.
• Corso per Responsabile dei trattamenti con video sorveglianza.
• Corso per Responsabile dei trattamenti di marketing.
Concetti chiave:
• Codice in materia di protezione dei dati personali.
• Allegati al Codice.
• Provvedimenti del Garante.
Lezione 1 –
Caso di studio a –
Arcobaleni196 e la privacy
Le lezioni di questo corso sono basate su un caso di studio concreto. Simuleremo di trovarci presso
Arcobaleni196 srl8 una società che produce e commercializza vernici speciali per la carrozzeria di
veicoli. Sono stato convocato dal cavalier Pinco Arcobaleni, fondatore e Direttore Generale
dell’azienda. “Ho bisogno di una consulenza sulla privacy” mi ha detto telefonicamente. E così
vado a trovarlo.
Primo incontro
con il cavalier
Arcobaleni
“Ieri è stato rubato un altro computer portatile! È il terzo dall’inizio dell’anno adesso basta! Voglio
sapere chi è che ruba in azienda. Inoltre il mese scorso, nonostante il divieto di fumo in tutti gli
uffici, qualcuno ha acceso una sigaretta in uno dei bagni facendo suonare l’allarme antincendio.”
“Le telecamere non sono vietate di per sé” gli ho spiegato “ma la legge sulla privacy impone di
seguire delle regole.”
8
http://www.arcobaleni196.it/
9
http://www.compliancenet.it/category/compliancenet/privacy
10
“In Italia esistono norme precise, ed in alcuni casi anche severe, sui trattamenti di dati personali. Le
riprese effettuate con sistemi di videosorveglianza sono considerati trattamenti di dati personali. Dal
primo gennaio 2004 l’intera materia è stata riordinata e precisata dal Codice in materia di
protezione dei dati personali” ho spiegato.
Comunicazione del
Direttore Generale del 15
settembre 2008
Si comunica a tutto il
personale che a far data da
oggi è vietato il
trattamento di qualsiasi
dato personale in
azienda.
Firmato
Pinco Arcobaleni
Direttore Generale
“Me lo ha consigliato la dottoressa Rossetti. Mi ha detto che lo scorso giugno è stato abrogato
l’obbligo delle misure di sicurezza per le aziende che non trattano dati sensibili.”
11
“Nessuno ha abrogato l’obbligo di adottare le misure di sicurezza” chiarisco “il Decreto Legge 25
giugno 2008 n.11210 del giugno 2008, poi tradotto in un provvedimento11 del Garante nel
dicembre 2008, ha semplicemente abrogato l’obbligo della redazione del Documento
Programmatico sulla sicurezza per tutte le aziende che non trattano dati sensibili o che trattano
solo dati sensibili inerenti salute e malattia dei propri dipendenti, senza indicazione della diagnosi”.
“Mi scusi mi sono espresso male. Intendevo dire che non trattiamo dati sensibili! Sa con tutte
queste definizioni … Adesso però dovrò rifare la comunicazione a tutto il personale… Non è che mi
darebbe una mano? Avrei bisogno che qualcuno mi chiarisse un po’ meglio le idee sulla privacy.
Ma mi dica subito: posso installare o no le telecamere?”
“Certamente cavaliere. Ma il mio consiglio è di fare un po’ di ordine sia sulle norme sia sugli
adempimenti privacy. Temo che ci siano numerosi obblighi che avete sottovalutato. Le posso fare
una proposta? Convochi i suoi principali collaboratori ed in un paio d’ore le farò un quadro
completo della normativa e di quello che serve per fare il censimento dei trattamenti.”
“Ingegnere, sarò franco: fino ad oggi non ci siamo curati di questi aspetti e non abbiamo mai avuto
problemi… Non siamo una grande azienda che può spendere migliaia di euro su questi temi. Io la
ringrazio per essere venuto a trovarmi ma vorrei essere onesto con lei: ho altre priorità!”
“Tocca a lei decidere, cavaliere. Le ricordo però che le sanzioni previste per il mancato rispetto
delle norme sulla privacy sono sia penali sia amministrative.”
“Le sanzioni penali possono comportare anche pene detentive oltre che pecuniarie. Le sanzioni
amministrative possono essere pecuniarie o a fronte di gravi irregolarità arrivare anche al blocco del
trattamento dei dati.”
“Che significa?”
“Significa che Arcobaleni196 non potrebbe più operare e sarebbe costretta a chiudere… Cavaliere
si fidi di me! Facciamo così: mi accordi due ore con i suoi collaboratori più stretti. E poi decida lei
se andare avanti con il mio aiuto o continuare a fare tutto da solo.”
10
http://www.camera.it/parlam/leggi/decreti/08112d.htm
11
http://www.garanteprivacy.it/garante/doc.jsp?ID=1571218
12
Illeciti penali
Sanzioni amministrative
Trattamento illecito di dati Reclusione da 6 a 24 mesi
Omessa o inidonea informativa Da € 3.000,00 a € 18.000,00 Trattamento illecito di dati (dati sensibili,
giudiziari, trattamenti che presentano
rischi specifici) Reclusione da 1 a 3 anni
Omessa o inidonea informativa (dati
sensibili, giudiziari, trattamenti che Falsità nelle dichiarazioni e notificazioni
presentano rischi specifici) Da € 5.000,00 a € 30.000,00 al Garante Reclusione da 6 mesi a 3 anni
Arresto fino a 2 anni Sanzione
Cessione illecita di dati Da € 5.000,00 a € 30.000,00 Omessa adozione delle misure minime pecuniaria da € 10.000,00 a €
di sicurezza 50.000,00
Violazione relativa ai dati personali
idonei a rilevare lo stato di salute Da € 500,00 a € 3.000,00
Violazione da parte dei datori di lavoro
Omessa o incompleta notificazione Da € 10.000,00 a € 60.000,00 del divieto di Effettuare indagini su
opinioni politiche, Controllo attraverso
Omessa informazione o esibizione al luso di impianti audiovisivi, o altre
Garante dei documenti richiesti Da € 4.000,00 a € 24.000,00 apparecchiature art.4 Legge n.300/1970 Arresto da 15 giorni a 1 anno
“Okay ingegnere. Faccio venire immediatamente i miei principali collaboratori: Carmela Rossetti
della qualità e controlli, Giuseppina Nerucci delle risorse umane, Ercole Marroni della produzione,
Mariuccia Nerini della Contabilità.”
Introduzione
alla privacy
13
Inizia il corso…
14
Lezione 1 –
Unità didattica 1.1 – Il diritto
alla protezione dei dati
personali
15
Dato sensibile: qualunque dato che può rivelare l’origine razziale, l’appartenenza etnica, le
convinzioni religiose o di altra natura, le opinioni politiche, l’appartenenza a partiti o sindacati, lo
stato di salute e la vita sessuale.
Trattamento dei dati personali: qualunque operazione o complesso di operazioni, effettuate anche
senza mezzi elettronici o automatizzati (raccolta, registrazione, organizzazione, conservazione,
elaborazione, modificazione, selezione, estrazione, raffronto, utilizzo, interconnessione, blocco,
comunicazione, diffusione, cancellazione e distruzione).
Titolare del trattamento: la pubblica amministrazione, la persona giuridica o fisica cui competono
le decisioni in ordine alle finalità ed alle modalità del trattamento dei dati personali.
Interessato: la persona fisica, la persona giuridica, l’ente o l’associazione cui si riferiscono i dati.
Informativa: contiene le informazioni che il titolare del trattamento deve fornire all’interessato per
chiarire, in particolare, se quest’ultimo è obbligato o meno a rilasciare i dati, quali sono gli scopi e
le modalità del trattamento, come circolano i dati e in che modo esercitare i diritti riconosciuti dalla
legge.
Consenso: la libera manifestazione della volontà con la quale l’interessato accetta – in modo
espresso e, se vi sono dati sensibili, per iscritto - un determinato trattamento di dati che lo
riguardano, sul quale è stato preventivamente informato da chi utilizza i dati.
Il Garante: un’Autorità indipendente composta da quattro membri eletti dal Parlamento. È stata
istituita per la tutela dei diritti, delle libertà fondamentali e della dignità delle persone rispetto al
trattamento dei dati personali. Controlla se il trattamento di dati personali da parte di privati e
pubbliche amministrazioni è lecito e corretto. Esamina reclami, segnalazioni e ricorsi, svolge
accertamenti anche su richiesta del cittadino, esegue ispezioni e verifiche. Prescrive modifiche
necessarie od opportune per far adeguare i trattamenti alla disciplina vigente. Segnala al Parlamento
e al Governo l’opportunità di interventi normativi per tutelare gli interessati. Esprime pareri su
regolamenti e atti amministrativi di alcune amministrazioni pubbliche. Presenta al Parlamento e al
Governo una relazione annuale sullo stato di attuazione della normativa che regola la materia.
12
http://www.garanteprivacy.it/garante/document?ID=1382763
16
• I dati personali sono una proiezione della persona. La legge tutela la riservatezza,
l’identità personale, la dignità e gli altri nostri diritti e libertà fondamentali.
• Il trattamento dei dati che ci riguardano deve rispettare le garanzie previste dalla legge.
• La prima garanzia è la trasparenza. Ognuno di noi ha il diritto di “sapere”. Il diritto di
conoscere se un soggetto detiene informazioni, di apprenderne il contenuto, di farle
rettificare se erronee, incomplete o non aggiornate.
• Conoscere i nostri diritti e il modo per farli valere è semplice.
13
http://www.garanteprivacy.it/garante/doc.jsp?ID=1311248
14
Brochure “La tutela dei dati personali: il primo Garante sei tu” http://www.garanteprivacy.it/garante/document?
ID=1382763
17
Codice
Obblighi
normativi Allegati
Provvedimenti
Best
Linee guida
practices
Modelli
15
http://www.garanteprivacy.it/garante/doc.jsp?ID=1311248
16
http://www.garanteprivacy.it/garante/navig/jsp/index.jsp?folderpath=Provvedimenti
17
http://www.garanteprivacy.it/garante/navig/jsp/index.jsp?folderpath=Normativa%2FItaliana%2FIl+Codice+in+materia+di+protezione+dei+dati+personali
18
19
20
Lezione 1 –
Unità didattica 1.2 – Il
Garante per la protezione dei
dati personali
Modulo 1.2.1 – l’Ufficio del Garante
21
Presidente
Francesco Pizzetti
Vicepresidente
Giuseppe Chiaravalloti
Componenti
Mauro Paissan
Giuseppe Fortunato
Fonte immagini18
18
http://www.garanteprivacy.it/garante/doc.jsp?ID=1116178
22
Fonte immagine20
Fonte immagine23
19
http://it.wikipedia.org/wiki/Stefano_Rodot%C3%A0
20
http://commons.wikimedia.org/wiki/Image:Stefano_Rodot%C3%A0_Trento_2007.jpg?uselang=it
21
http://www.garanteprivacy.it/garante/doc.jsp?ID=1127990
22
http://europa.eu/institutions/others/edps/index_it.htm
23
http://www.garanteprivacy.it/garante/doc.jsp?ID=1127990
24
http://maps.google.it/
23
Ogni anno, attraverso il proprio sito web e la sua newsletter25, il Garante rende noto il piano
ispettivo previsto per i successivi mesi.
Nella newsletter del 7 aprile 200826 il Garante ha comunicato che nel corso dei rimanenti mesi del
2008, nell'ambito dell'attività ispettiva programmata, una particolare attenzione sarebbe stata posta
ai sistemi di videosorveglianza e che sarebbero state effettuate ispezioni su tutto il territorio
nazionale sia per verificare il rispetto delle regole fissate dal Garante con il provvedimento del 2004
sull'uso delle telecamere, sia per poter disporre di un quadro aggiornato sull'attuale impiego dei
sistemi di videosorveglianza da parte di soggetti pubblici e privati.
Altri controlli, ha annunciato il Garante, avrebbero riguardato il rispetto dell'obbligo
dell'informativa da fornire agli interessati al momento della raccolta dei dati personali, la libertà e
validità del consenso, la durata della conservazione dei dati; infine sarebbero state effettuate
verifiche sull'adozione delle misure minime di sicurezza da parte di soggetti, pubblici e privati,
che effettuano trattamenti di dati sensibili.
Ovviamente, oltre agli accertamenti previsti nel programma varato, l'Ufficio del Garante svolge
anche le ordinarie ulteriori attività istruttorie di carattere ispettivo relative a segnalazioni, reclami e
ricorsi presentati all'Autorità.
25
http://www.garanteprivacy.it/garante/navig/jsp/index.jsp?folderpath=Newsletter
26
http://www.garanteprivacy.it/garante/doc.jsp?ID=1504209
24
Fonte immagine28
27
http://www.gdf.it/reparti/reparto.asp?idreparto=RM083&idcomune=&provincia=&denominazione=&catastale=
28
http://www.gdf.it/organizzazione/dove_siamo/comando_dei_reparti_speciali/info-407534563.html
25
26
Lezione 1 –
Unità didattica 1.3 – Le
principali norme sulla privacy
Modulo 1.3.1 – Codice in materia di protezione dei dati personali
27
1. disposizioni generali;
2. disposizioni relative a specifici settori;
3. norme relative alle forme di tutela, alle sanzioni ed all’ufficio del Garante per la protezione
dei dati personali.
Diritti fondamentali
L’articolo 1 spiega chiaramente lo spirito della norma: “chiunque ha diritto alla protezione dei dati
personali che lo riguardano”.
L’articolo 2 recita che il Codice “garantisce che il trattamento dei dati personali si svolga nel
rispetto dei diritti e delle libertà fondamentali, nonché della dignità dell’interessato, con particolare
riferimento alla riservatezza, all’identità personale e al diritto alla protezione dei dati personali”.
Trattamenti e dati
Le disposizioni del Codice si applicano al trattamento di dati personali cioè a “qualunque
operazione o complesso di operazioni, effettuati anche senza l’ausilio di strumenti elettronici,
concernenti:
• la raccolta,
• la registrazione,
• l’organizzazione,
• la conservazione,
• la consultazione,
• l’elaborazione,
• la modificazione,
• la selezione,
• l’estrazione,
• il raffronto,
• l’utilizzo,
• l’interconnessione,
• il blocco,
• la comunicazione,
• la diffusione,
• la cancellazione,
• la distruzione di dati
anche se non registrati in una banca di dati”.
29
http://www.garanteprivacy.it/garante/doc.jsp?ID=1311248
28
L’articolo 4 definisce i dati personali come “qualunque informazione relativa a persona fisica,
persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante
riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale”.
I dati personali si dividono in:
• dati identificativi, ossia “dati personali che permettono l’identificazione diretta
dell'interessato”;
• dati sensibili,ossia “dati personali idonei a rivelare l’origine razziale ed etnica, le
convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti,
sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o
sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale”.
Principi
Il Codice fissa alcuni principi generali che devono esser seguiti nel trattamento di dati personali; in
particolare:
• in applicazione del principio di necessità (articolo 3), i sistemi informativi e i programmi
informatici devono essere configurati, già in origine, in modo da ridurre al minimo l'utilizzo
di informazioni relative a clienti identificabili. Il trattamento di dati personali relativi a
clienti non è lecito se le finalità del trattamento, in particolare di profilazione, possono
essere perseguite con dati anonimi o solo indirettamente identificativi;
29
• nel rispetto del principio di proporzionalità nel trattamento (articolo 11, comma 1, lett. d),
tutti i dati personali e le varie modalità del loro trattamento devono essere pertinenti e non
eccedenti rispetto alle finalità perseguite;
• il trattamento dei dati è possibile solo se è fondato su uno dei presupposti di liceità che il
Codice prevede espressamente per gli organi pubblici da un lato (svolgimento di funzioni
istituzionali: articoli 18-22) e, dall’altro, per soggetti privati ed enti pubblici economici
(adempimento ad un obbligo di legge, provvedimento del Garante di c.d. “bilanciamento di
interessi” o consenso libero ed espresso: articoli 23-27);
• le finalità perseguite dal trattamento devono essere determinati, espliciti e legittimi (articolo
11, comma 1, lett. b); ciò comporta che il titolare possa perseguire solo finalità di sua
pertinenza.
Se l'interessato esercita il proprio diritto d'accesso ai dati che lo riguardano o uno degli altri diritti
che gli sono riconosciuti, il titolare del trattamento (o il responsabile) deve fornire riscontro (di
regola) entro quindici giorni dal ricevimento dell'istanza (art. 146 del Codice).
In caso di omesso o incompleto riscontro, i predetti diritti possono essere fatti valere dinanzi
all'autorità giudiziaria o con ricorso al Garante (art. 145 del Codice).
Sanzioni
Il Codice prevede sia sanzioni di carattere amministrativo sia illeciti penali.
Le sanzioni di carattere amministrativo sono causate da:
• omessa o inidonea informativa all’interessato (articolo 161);
• illecita cessione di dati personali (articolo 162);
• omessa o incompleta notificazione (articolo 163);
• omessa informazione o esibizione al Garante (articolo 164).
Gli illeciti penali sono causati da:
• trattamento illecito di dati (articolo 167);
• falsità nelle dichiarazioni e notificazioni al Garante (articolo 168);
• omissione delle misure minime di sicurezza (articolo 169);
• inosservanza di provvedimenti del Garante (articolo 170).
30
30
http://www.garanteprivacy.it/garante/doc.jsp?ID=1565171
31
http://www.garanteprivacy.it/garante/doc.jsp?ID=1556693
32
http://www.garanteprivacy.it/garante/doc.jsp?ID=1556635
33
http://www.garanteprivacy.it/garante/doc.jsp?ID=1556386
34
http://www.garanteprivacy.it/garante/doc.jsp?ID=1556419
35
http://www.garanteprivacy.it/garante/doc.jsp?ID=1556573
36
http://www.garanteprivacy.it/garante/doc.jsp?ID=1557184
37
http://www.garanteprivacy.it/garante/doc.jsp?ID=1557209
31
Il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate,
nei modi previsti dal disciplinare tecnico contenuto nell'allegato B), le seguenti misure minime:
a) autenticazione informatica;
b) adozione di procedure di gestione delle credenziali di autenticazione;
c) utilizzazione di un sistema di autorizzazione;
d) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai
singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici;
e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad
accessi non consentiti e a determinati programmi informatici;
f) adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità
dei dati e dei sistemi;
g) tenuta di un aggiornato documento programmatico sulla sicurezza;
h) adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati
idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari.
Con le semplificazioni adottate nel dicembre 2008 è stato aggiunto all’articolo 34 il comma 1-bis di
seguito riportato.
Per i soggetti che trattano soltanto dati personali non sensibili e che trattano come
unici dati sensibili quelli costituiti dallo stato di salute o malattia dei propri
dipendenti e collaboratori anche a progetto, senza indicazione della relativa diagnosi,
ovvero dall'adesione ad organizzazioni sindacali o a carattere sindacale, la tenuta di un
aggiornato documento programmatico sulla sicurezza è sostituita dall'obbligo di
autocertificazione, resa dal titolare del trattamento ai sensi dell'articolo 47 del testo unico
di cui al decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, di trattare
38
http://www.garanteprivacy.it/garante/doc.jsp?ID=1557184
32
soltanto tali dati in osservanza delle altre misure di sicurezza prescritte. In relazione a tali
trattamenti, nonché a trattamenti comunque effettuati per correnti finalità amministrative e
contabili, in particolare presso piccole e medie imprese, liberi professionisti e artigiani, il
Garante, sentito il Ministro per la semplificazione normativa, individua con proprio
provvedimento, da aggiornare periodicamente, modalità semplificate di applicazione del
disciplinare tecnico di cui all'Allegato B) in ordine all'adozione delle misure minime di cui
al comma 1.
Il trattamento di dati personali effettuato senza l'ausilio di strumenti elettronici è consentito solo se
sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell'allegato B), le seguenti
misure minime:
a) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai
singoli incaricati o alle unità organizzative;
b) previsione di procedure per un'idonea custodia di atti e documenti affidati agli incaricati per
lo svolgimento dei relativi compiti;
c) previsione di procedure per la conservazione di determinati atti in archivi ad accesso
selezionato e disciplina delle modalità di accesso finalizzata all'identificazione degli
incaricati.
Allegato B
Il “Disciplinare tecnico in materia di misure minime di sicurezza” (allegato B39) specifica le
modalità con cui attuare le misure minime di sicurezza indicate nel Codice.
7. Le credenziali di autenticazione non utilizzate da almeno sei mesi sono disattivate, salvo
quelle preventivamente autorizzate per soli scopi di gestione tecnica.
8. Le credenziali sono disattivate anche in caso di perdita della qualità che consente
all'incaricato l'accesso ai dati personali.
9. Sono impartite istruzioni agli incaricati per non lasciare incustodito e accessibile lo
strumento elettronico durante una sessione di trattamento.
10. Quando l'accesso ai dati e agli strumenti elettronici è consentito esclusivamente mediante
uso della componente riservata della credenziale per l'autenticazione, sono impartite idonee
e preventive disposizioni scritte volte a individuare chiaramente le modalità con le quali il
titolare può assicurare la disponibilità di dati o strumenti elettronici in caso di prolungata
assenza o impedimento dell'incaricato che renda indispensabile e indifferibile intervenire per
esclusive necessità di operatività e di sicurezza del sistema. In tal caso la custodia delle
copie delle credenziali è organizzata garantendo la relativa segretezza e individuando
preventivamente per iscritto i soggetti incaricati della loro custodia, i quali devono
informare tempestivamente l'incaricato dell'intervento effettuato.
11. Le disposizioni sul sistema di autenticazione di cui ai precedenti punti e quelle sul sistema di
autorizzazione non si applicano ai trattamenti dei dati personali destinati alla diffusione.
Sistema di autorizzazione
12. Quando per gli incaricati sono individuati profili di autorizzazione di ambito diverso è
utilizzato un sistema di autorizzazione.
13. I profili di autorizzazione, per ciascun incaricato o per classi omogenee di incaricati, sono
individuati e configurati anteriormente all'inizio del trattamento, in modo da limitare
l'accesso ai soli dati necessari per effettuare le operazioni di trattamento.
14. Periodicamente, e comunque almeno annualmente, è verificata la sussistenza delle
condizioni per la conservazione dei profili di autorizzazione.
34
19. Entro il 31 marzo di ogni anno, il titolare di un trattamento di dati sensibili o di dati
giudiziari40 redige anche attraverso il responsabile, se designato, un documento
programmatico sulla sicurezza contenente idonee informazioni riguardo:
19.1.l'elenco dei trattamenti di dati personali;
19.2.la distribuzione dei compiti e delle responsabilità nell'ambito delle strutture preposte
al trattamento dei dati;
19.3.l'analisi dei rischi che incombono sui dati;
19.4.le misure da adottare per garantire l'integrità e la disponibilità dei dati, nonchè la
protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità;
19.5.la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in
seguito a distruzione o danneggiamento di cui al successivo punto 23;
19.6.la previsione di interventi formativi degli incaricati del trattamento, per renderli
edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi
dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in
rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità
per aggiornarsi sulle misure minime adottate dal titolare. La formazione è
programmata già al momento dell'ingresso in servizio, nonchè in occasione di
cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti
rispetto al trattamento di dati personali;
19.7.la descrizione dei criteri da adottare per garantire l'adozione delle misure minime di
sicurezza in caso di trattamenti di dati personali affidati, in conformità al codice,
all'esterno della struttura del titolare;
19.8.per i dati personali idonei a rivelare lo stato di salute e la vita sessuale di cui al punto
24, l'individuazione dei criteri da adottare per la cifratura o per la separazione di tali
dati dagli altri dati personali dell'interessato.
40
Con le semplificazioni adottate nel dicembre 2008 per i titolari che trattano soltanto dati personali non sensibili e che
trattano come unici dati sensibili quelli costituiti dallo stato di salute o malattia dei propri dipendenti e collaboratori
anche a progetto, senza indicazione della relativa diagnosi, ovvero dall'adesione ad organizzazioni sindacali o a
carattere sindacale, la tenuta di un aggiornato documento programmatico sulla sicurezza è sostituita dall'obbligo di
autocertificazione
35
dati con le modalità di cui all'articolo 22, comma 6, del codice, anche al fine di consentire il
trattamento disgiunto dei medesimi dati dagli altri dati personali che permettono di
identificare direttamente gli interessati. I dati relativi all'identità genetica sono trattati
esclusivamente all'interno di locali protetti accessibili ai soli incaricati dei trattamenti ed ai
soggetti specificatamente autorizzati ad accedervi; il trasporto dei dati all'esterno dei locali
riservati al loro trattamento deve avvenire in contenitori muniti di serratura o dispositivi
equipollenti; il trasferimento dei dati in formato elettronico è cifrato.
27. Agli incaricati sono impartite istruzioni scritte finalizzate al controllo ed alla custodia, per
l'intero ciclo necessario allo svolgimento delle operazioni di trattamento, degli atti e dei
documenti contenenti dati personali. Nell'ambito dell'aggiornamento periodico con cadenza
almeno annuale dell'individuazione dell'ambito del trattamento consentito ai singoli
incaricati, la lista degli incaricati può essere redatta anche per classi omogenee di incarico e
dei relativi profili di autorizzazione.
28. Quando gli atti e i documenti contenenti dati personali sensibili o giudiziari sono affidati
agli incaricati del trattamento per lo svolgimento dei relativi compiti, i medesimi atti e
documenti sono controllati e custoditi dagli incaricati fino alla restituzione in maniera che ad
essi non accedano persone prive di autorizzazione, e sono restituiti al termine delle
operazioni affidate.
29. L'accesso agli archivi contenenti dati sensibili o giudiziari è controllato. Le persone
ammesse, a qualunque titolo, dopo l'orario di chiusura, sono identificate e registrate. Quando
gli archivi non sono dotati di strumenti elettronici per il controllo degli accessi o di incaricati
della vigilanza, le persone che vi accedono sono preventivamente autorizzate.
36
• amministrazioni pubbliche e società private che utilizzano dati personali non sensibili
(nome, cognome, indirizzo, codice fiscale, numero di telefono) o che trattano come unici
dati sensibili dei dipendenti quelli relativi allo stato di salute o all'adesione a organizzazioni
sindacali;
• piccole e medie imprese, liberi professionisti o artigiani che trattano dati solo per fini
amministrativi e contabili.
Obiettivo dell'Autorità è quello di mantenere un adeguato livello per le misure minime di sicurezza
venendo però incontro alle esigenze prospettate da imprese, soprattutto di piccole dimensioni,
volte a snellire le procedure, graduare le cautele a seconda della delicatezza dei trattamenti e a
contenere i costi.
• possono impartire agli incaricati le istruzioni in materia di misure minime anche oralmente;
• possono utilizzare per l'accesso ai sistemi informatici un qualsiasi sistema di
autenticazione basato su un username e una password; lo username deve essere disattivato
quando viene meno il diritto di accesso ai dati (es. non si opera più all'interno
dell'organizzazione);
• in caso di assenze prolungate o di impedimenti del dipendente possono mettere in atto
procedure o modalità che consentano comunque l'operatività e la sicurezza del sistema ( ad
es. l'invio automatico delle mail ad un altro recapito accessibile);
• devono aggiornare i programmi di sicurezza (antivirus) almeno una volta l'anno, e
effettuare backup dei dati almeno una volta al mese.
Con il provvedimento, inoltre, il Garante ha fornito a piccole e medie imprese, artigiani, liberi
professioni, soggetti pubblici e privati che trattano dati solo a fini amministrativi e contabili, alcune
indicazioni per la redazione di un documento programmatico per la sicurezza semplificato.
Procedure semplificate sono state indicate anche per chi tratta dati senza l'impiego di sistemi
informatici.
Insieme a quello sulle misure minime di sicurezza, il Garante ha adottato anche un provvedimento
che semplifica il modello utilizzato per effettuare le notificazioni, ossia le dichiarazioni da fare
41
http://www.garanteprivacy.it/garante/doc.jsp?ID=1573203
42
http://www.garanteprivacy.it/garante/doc.jsp?ID=1571218
37
38
Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici
interessati ai sensi dell'art. 13 del Codice nell'ambito del rapporto di lavoro che li lega al
titolare, oppure tramite il disciplinare tecnico la cui adozione è prevista dal provvedimento
del Garante n. 13 del 1° marzo 2007 (in Gazzetta Ufficiale 10 marzo 2007, n. 58); in
alternativa si possono anche utilizzare strumenti di comunicazione interna (a es., intranet
aziendale, ordini di servizio a circolazione interna o bollettini). Ciò, salvi i casi in cui tale
forma di pubblicità o di conoscibilità non sia esclusa in forza di un'eventuale disposizione di
legge che disciplini in modo difforme uno specifico settore. Nel caso di servizi di
amministrazione di sistema affidati in outsourcing il titolare deve conservare direttamente e
specificamente, per ogni eventuale evenienza, gli estremi identificativi delle persone fisiche
preposte quali amministratori di sistema.
4. Verifica delle attività. L'operato degli amministratori di sistema deve essere oggetto, con
cadenza almeno annuale, di un'attività di verifica da parte dei titolari del trattamento, in
modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza
rispetto ai trattamenti dei dati personali previste dalle norme vigenti.
5. Registrazione degli accessi. Devono essere adottati sistemi idonei alla registrazione degli
accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici
da parte degli amministratori di sistema. Le registrazioni (access log) devono avere
caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità
adeguate al raggiungimento dello scopo di verifica per cui sono richieste. Le registrazioni
devono comprendere i riferimenti temporali e la descrizione dell'evento che le ha generate e
devono essere conservate per un congruo periodo, non inferiore a sei mesi.
6. Tempi di adozione delle misure e degli accorgimenti. Per tutti i titolari dei trattamenti già
iniziati o che avranno inizio entro trenta giorni dalla data di pubblicazione nella Gazzetta
Ufficiale del presente provvedimento, le misure e gli accorgimenti (…) dovranno essere
introdotti al più presto e comunque entro, e non oltre, il termine che è congruo stabilire, in
centoventi giorni dalla medesima data. Per tutti gli altri trattamenti che avranno inizio dopo
il predetto termine di trenta giorni dalla pubblicazione, gli accorgimenti e le misure
dovranno essere introdotti anteriormente all'inizio del trattamento dei dati.
40
41
Domanda
Il Codice in materia di Falso, il Codice in
protezione dei dati materia di protezione
personali è in vigore dei dati personali è in
dal primo gennaio vigore dal primo
2001 gennaio 2004 e
sostituisce la
precedente legge
n.675 del 1996
Quando è stata Nel 2004 dal Codice
abrogata la legge sulla in materia di
privacy del 1996? protezione dei dati
personali
La legge sulla privacy Falso. Le norme sulla
riguarda solo le privacy si applicano
persone fisiche e non sia a persone fisiche
le aziende che ad aziende
Domanda
L’Autorità Garante per Falso.
la protezione dei dati Il Garante può
personali non ha reali infliggere sanzioni ed
poteri ma può imporre le proprie
semplicemente decisioni fino al
“consigliare” i blocco dei
comportamenti corretti trattamenti
La nomina dei Vero.
componenti I membri
dell’Autorità Garante dell’autorità sono
per la privacy è di tipo nominati dal
“politica” Parlamento
I cittadini, e le Vero.
imprese, possono Sul sito del Garante sono
disponibili anche
appellarsi direttamente suggerimenti e modelli
al garante per far per esercitare tale diritto
valere i propri diritti
42
Domanda
L’allegato B al Codice Vero.
contiene l’elenco delle L’allegato contiene le
misure minime di disposizioni tecniche
sicurezza da adottare relative alla misure
per i trattamenti di dati minime di sicurezza
personali già enunciate nel
Codice
L’allegato A5 riguarda Vero. Questo allegato
le centrali rischi fissa le regole su
private come trattare i dati
delle persone ed
aziende registrate
come cattivi (o buoni)
pagatori
L’allegato A3 contiene Falso.
il codice deontologico Il codice deontologico
sul marketing sul marketing non è
ancora stato
emanato.
43
44
http://www.compliancenet.it/
45
http://www.cmaconsulting.it/
46
http://www.arcobaleni196.it
44